基层审计机关信息系统审计初探

进入２１世纪，随着计算机技术的不断进步，以　内的以网络及计算机为核心的信息系统。而审计过　程比传统审计更加复杂，覆盖了信息系统从规划、开　发、运行、维护到报废的整个生命周期的过程．　．二、开展信息系统审计的必要性　计算机为核心的信息系统得到了迅猛发展，信息系　统也广泛深入地渗透到社会的各个领域，成为政治、　经济、军事、文化乃至社会一切领域的基础，各种信　息系统在帮助企业改善运作与管理水平的同时，也　带来了许多已知的和潜在的风险。为了对信息系统　工程建设质量和系统风险进行有效的监控，我国自　信息技术的兴起和企业对核心竞争力的遁　ｌ伴动　了信息技术在数据处理、存贮和交换等方面的广泛应　用，信息系统已经渗透到社会生活的方方面面，它的高　效和程序化给人们带来便利与效益的同时，也带来了　很多负面影响，如计算机犯罪案件的频频发生、系统不　稳定引发社会问题等，系统安全问题日益严峻。如　２００２年起初步建立了信息系统项目经理制和信息系　统项目监理制度，而国外采取的监控手段主要是信　息系统审计（Ｉｎｆｏｒｍａｔｉｏｎ　Ｓｙｓｔｅｍ　Ａｕｄｉｔｉｎｇ，ＩＳＡ），我国　近几年也开始把目光投向信息系统审计，日益关注　包括财务信息系统在内的所有信息系统的安全性、　２００７年９月，西安市医保中心使用未经测试、未经验　收的软件系统将医保资金打入个人账户时，先是重复　给１８万余人账户多打人医保资金１　０９０万元；在发现　错误扣回这些资金时，竟又多扣了１．８５万人账户上的　资金。为恢复数据，该中心被迫紧急叫停西安市医保信　息系统，在长达７天的时间里，全市１３０万市民拿着医　可靠性，及其与组织目标的一致性。信息系统审计的　必要性逐渐凸显。　信息系统审计的涵义　一、信息系统审计出现的时间不长，直到２１世纪才　进入我国。信息系统审计是在电子数据处理审计　（ＥＤＰ审计）的基础上发展起来的。虽然目前对信息系　统审计的概念并没有统一的定义，但比较有代表性的　定义有：Ｒｏｎ　Ｗｅｂｅｒ（１９９９）认为“信息系统审计是一　保卡却无法购药、无法就医，西安市社保局局长张平均　因信息系统混乱诱发的问题而丢了官；２０１１年５月ｌ３　日，广州市广珠轻轨站外抛锚，因信息系统故障致列车　２个多小时进不了站；２０１１年１０月２５日，北京市东城　个获取并评价证据，以判断信息系统是否能够保证资　产的安全、数据的完整以及有效率地利用组织的资源　并有效果地实现组织目标的过程”。邓少灵（２００２）认　为“信息系统审计是指对信息系统从计划、研发、实施　区社区卫生服务信息系统发生故障，影响到社区卫生　服务站的结算运行，患者无法使用医保卡结算，致使东　城区３９个社区卫生服务站因信息系统故障关闭近一　周无法正常提供门诊取药服务等信息系统故障引发问　题不胜枚举，原因也各种各样。　到运行维护各个过程进行审查与评价的活动，以审查　企业信息系统是否安全、可靠、有效，保证信息系统得　出准确可靠的数据”。国际信息系统审计和控制协会　（ＩＳＡＣＡ）认为“信息系统审计是一个获取并评价证　信息系统的可靠性、安全性、有效性和效率成为　制约信息系统质量的重要因素，我们现在普遍开展　的计算机辅助审计，是在基于认可了信息系统安全、　据，以判断计算机系统是否能够保证资产的安全、数　据的完整以及有效率的利用组织的资源并有效果的　可靠，数据真实的情况下，采取有关数据后进行数据　分析，审计人员并未对信息系统进行审计，仅对它产　实现组织目标的过程”。钱啸森等（２００６）认为信息系　统审计是对信息系统规划、开发、运行和维护等各个　环节进行评价，确保其符合经营管理目标的过程。　无论哪种定义我们都可以看出，信息系统审计　是传统审计的深化，其目的在于有效地监控信息系　统的风险。信息系统审计更加强调系统的观点，审计　对象包括整个信息系统环境以及与此有关的业务在　生的财务数据、业务数据进行审查。那么信息系统是　否安全、可靠呢？其运行结果是否真实有效呢？在回　答这些问题之前，审计结论的可靠性就要受到质疑，　审计风险也就在所难免。信息系统审计作为一种可　以确保信息系统的安全、可靠及高效运行的新的审　计模式受到世界各国的普遍重视，随着我国以“信息　化带动工业化”战略的全面实施，国民经济信息化被　一　Ｉ【１２】ｌ　审计与理财２０１１．１２……～…　一…提到了前所未有的高度，加快发展我国的信息系统　效性和可靠性做出合理的评价。另一方面，对开展信　审计事业具有重要意义。　息系统审计存在“等、靠、看”的思想。由于对信息系　首先，信息系统审计是审计机关维护国家信息安　统审计这样一个新生事物，理论和实践的认识程度　全的重要手段。新任审计长刘家义多次指出，作为经　还不是非常成熟，常规性审计工作主要包含财政财　济社会运行的“免疫系统”，维护国家安全是审计　［作　务收支、经济责任、固定资产投资审计等，审计观念　的第一要务。信息安全是国家经济安全的一个重要方　仍局限在查错纠弊上，审计习惯于“就账审账”，同时　面。当前信息化条件下，政府机关通过信息系统和计　审计思路难以衔接，会造成不知如何下手，从而引起　算机网络运行了大量的国家资源，开展信息系统审　畏难情绪，望而却步，寄希望上级审计机关先进行合　计，确保这些系统的安全稳定，维护国家信息安全。　理的实践和探索，形成一套有效的经验和方法，在这　其次，信息系统审计是新形势下防范审计风险　基础上再开展信息系统审计，导致基层审计机关对　的必然要求。由于信息系统的迅速发展和单位业务　于信息系统审计的开展仍处于“等、观、望”的状态。　量的不断扩大，许多我们审计过程中需要的取汪材　二是审计人才培养尚未形成机制。开展信息系　料都是通过计算机系统直接生成的，而如何确保这　统审计，需要熟悉、精通审计专业和计算机专业的高　些系统直接生成的材料是百分之百正确的，如何确　端复合型人才。包含两个方面的人才，一种是精通审　保审计机　不是“假账真查”，如何确保系统自身的　计、担任过大型项目主审且熟悉计算机应用的高级　产品（信息资源）是可靠的，不能仅仅依靠被审计单　审计师；另一种是精通计算机（例如注册信息系统审　位的承诺来解决，而是要通过开展信息系统审计，来　计师ＣＩＳＡ）或者熟练掌握数据库有关技术、信息系统　降低和防范审计风险，提高审计质量。　控制以及软件：Ｉ：程等知识，同时又熟悉审计原理和　第三，信息系统审计是查处打击新型犯罪手段　审计实务的计算机专业人才。目前基层审计机关的　的重要途径。由于计算机和通信技术的不断普及，我　业务骨干大多为财会和审计专业。虽然经过计算机　们对信息系统的依赖越来越严重。在一些特殊的行　强化培训审计机关会用计算机的人越来越多，但信　业，如银行、保险、电信行业，如果离开信息系统，正　息系统审计不仅要“会用”还要“精通”；不仅要精通　常工作将无法开展　但同时，利用信息系统漏洞而进　计算机知识，还要会将审计思路转变成计算机审计　行的计算机犯罪行为屡有发生，这更加引起我们对　方法，现有审计人员素质很难满足。针对这种状况，　信息系统内部控制、合理授权等安全性、可靠性的关　基层审计机关有的是直接引进计算机专业人才想取　注。开展信息系统审计，能够帮助被审计单位完善信　而代之，但从实际引入的计算机专业人才来看，如何　息系统的运行，同时，对利用信息系统进行计算机犯　将审计思路提炼成计算机语言并融合于信息系统审　罪也具有强大的震慑作用。　计中，依旧需要审计机关后期的不断培训。　三是计算机软硬件设施存在不足。一方面，在硬　三、当前制约基层审计机关开展信息系统审计的　件设备购买上，目前基层审计机关经费重点保障计算　因素　机辅助审计、信息化办公管理和联网审计的硬件投　为适应经济社会的不断发展，目前基层多数单　入；而信息系统审计要承载运行的大量数据，往往依　位在财务核算等内部管理上均开始使用计算机信息　靠普通笔记本或配置较高的台式机是难以奏效的，引　系统。如何克服审计资源的不足，积极有效地开展基　入小型服务器对经费紧张的基层审计机关来说难免　层信息系统审计　工作，已经成为基层审计机关面临　捉襟见肘。另一方面，被审计单位信息系统应用参差　的一个新问题。笔者认为，制约基层审计机关开展计　不齐。从基层被审计单位软件应用情况看：各种软件　算机信息系统审计主要有五大因素：　各行其道，同一个品牌的诸如用友、金蝶等财务软件　一是对信息系统审计的观念转变不到位。信息系　都有许多个版本，每个版本系统自身不复杂，但难在　统审计不仅是审计手段和审计对象的转变，更是对　小而多；另有部分垂管单位和业务性强、业务量大的　传统审计在思维方式上的转变。一方面，对信息系统　单位，其业务信息系统是由省统一布置，其信息化程　审计的认识和定位不到位，对信息系统的理解还停　度高但又不能实施信息系统审计，基层审计机关往往　留在计算机辅助审计或辅助审计软件开发及应用的　只能获取终端数据，测试数据的运行几乎不可能。　层次上，尚未全面树立制度基础审计和风险审计的　四是开展信息系统审计的法律法规依据不充足。　理念。信息系统审计不是计算机辅助审计，其对象就　当前，审计机关开展信息系统审计所依赖的法律法规　是信息系统本身。计算机辅助审计是一种审计手段，　主要有《审计法》和《国务院办公厅关于利用计算机信　而信息系统审计就是一种审计模式，通过对信息系　息系统开展审计工作有关问题的通知》（国办发　统整个生命周期过程的审计，来对系统的安全性、有　［２００１］８８号）等。但是，《审计法》第三十一条和三十二　Ｉ【１３】Ｉ　条，仅明确审计机关对被审单位运用电　计算机管理　财政和财务收支电子数据系统（即会计信息系统）进　行审计，而对与被审单位管理和决策等有关其它信息　系统的审计，则未予以明确。在现代信息系统审计中，　不仅跳出了传统概念七的账册、凭证，甚至跳出了计　算机电子数据，开始对计算机系统内部控制设置、内　部评价标准进行探索，但由于缺少法律支撑，被审计　单位对开展信息系统安全审计所需的数据字典、程序　开发文档等核心文档时，常遭到对方以涉及企业商业　秘密等种种理由而拒绝，而审计机关又没有确切的法　律依据强制要求提供，导致信息系统审计开展困难。　系统审计案例来看，项目的实施一旦取得阶段性的　成果，审计人员对于被审计的信息系统就会更加熟　悉，自信心就会更强，也逐步累积了经验，为今后的　审计奠定了基础。“小”的审计成果促进了信息系统　审计工作“大”的发展。在硬件设施的配备上，一方面　要在经费供给上保障信息系统审计，逐步改善硬件　设施，以点带面，推动信息系统审计工作；另一方面　要充分发挥基层审计人员的主观能动性，对数据量　过大又不能直接采集或运行的，可通过数据分割的　方式来解决；对内存不够、计算运行时间过长等问　题，可采用换人不停机的方式来解决。　是加强审计沟通交流。首先加大审计系统内　五是信息系统审计相关审计准则和操作指南不　完善。由于我阳开展信息系统审计正处于起步阶段，　对审计机关如何开展信息系统审计尚在积极探索中。　信息系统审计缺少具备实际指导意义的相关审计准　则和操作指南。因此，目前尚没有一个完整的、成熟的　具有示范作用的市计案例，而信息系统审计查出问题　定性复杂、依据难找，也缺少具备实际指导意义的相　部交流。可以结合审计特点举办信息系统审计相关　知识的培训班和审计案例观摩讲座，以成功的案例　来挑开信息系统审计神秘的面纱。及时总结成功的　经验，排除审计人员的畏难情绪。进一步规范审计操　作、完善审计内容、统一审计处理，逐步形成操作性　较强的指导意见和应用标准。其次加强与被审计单　位的沟通。要让被审计单位充分感受电子化管理的　关信息系统审计准则和操作指南。信息系统审计准则　和审计指南的缺失，不利于规范和指导信息系统审计　实践，不利于衡量和评价信息系统审计工作质量，也　便利，以推广会计电算化为基础，推广信息系统管　理。要让被审计单位逐步了解并接受信息系统审计　工作，从而转变观念，创造更加宽松的审计环境。　四是充分利用现有人才。首先继续加强对审计人　不利于防范和规避信息系统审计风险。　四、基层审计机关加快开展信息系统审计的对策　建议　．　员计算机知识的系统培训。目前各基层审计机关基本　都已经具备一定数量的审计业务与计算机水平均比较　突出的业务骨干，要继续进行系统培训，逐步培养出自　己的“信息系统审计师”。其次要进一步加强审计机关　之间需要业务学习与交流，了解互相存在的困难，交流　彼此解决的方法，特别是成功案例的经验分享。通过交　针对上述问题，笔者认为，基层审计机关在推动　信息系统审计工作的时候，只有充分运用现有条件，　从“小”处人手，以小搏大．逐步推进，方是良策。　一是选择恰当的审计方法。目前推行信息系统　审计主要有四种方式：独立式、全结合式、结合式和　倒推式。各基层审计机关要充分了解自身的实际状　流和资源共享，提高基层审计系统的整体水平。　五是形成良好审计氛围。信息系统审计的开展　并不能仅仅依靠一两个计算机业务骨干，而是要全　员动员，全员参与，才能把信息系统审计这篇文章做　好。首先，领导重视是关键。列于县级审计机关而言，　只有领导重视了，信息系统审计才有发芽的土壤，才　况，充分学习了解各种系统审计方法，不能肓目推行　独立式和全结合式。要以倒推式为起点，结合式为发　展，独立式和全结合式为最终目标，有计划、有步骤　地逐　推进信息系统审计工作。专项资金类审计项　目被审计单位大多采用白行开发的软件，因而更具　备开展信息系统审计的条件。如某地实施的《地方税　务征管信息系统审计项目》，审计人员从一个抵扣项　的“小”字段出发，见到其对减免税的“大”影响。实施　过程中，不贪大求洋，采用最简单的倒推式审计方　法，最终确认应退未退减免税近千万元的问题。而《Ｊ　市新型农村合作医疗计算机管理系统审计项目》，审　计人员则从身份证号这样一个“小”事项出发，倒推　能有更多的审计人员参与进来，才能有更好的硬件　软件保障。其次，转变思想观念。当前，要开展信息系　统审计，审计人员要切实去除对信息系统审计的畏　难思想、无用思想和上级先行思想，主动融入和参与　到信息系统审计的发展潮流中去。　信息系统审计工作的推进不是一朝一夕就能解　决的问题，各基层审计机关既不能被困难吓住，也不　能冒进。要从自身的实际出发，充分利用现有审计资　源，充分调动基层审计人员的积极性。用阶段性成果　推动。用最终的目标鼓励，以小搏大，积极有效地开　出该系统参保人员信息输入未予控制，导致一人多　保的问题。以“小”事项见“大”系统，揭示出了资金管　理的“大”问题和“大”漏洞。　展信息系统审计工作。　（作者单位：吉安市审计局）　二是逐步积累审计资源。从这两个成功的信息　ｌ［１４１ｌ　审计与理财２㈣．　……………