网络强国建设中的信息系统审计机制研究

□ 裴晓宁 王新杰

网络强国战略是我国在习近平新时代中国特色社会主义思想指引下的治国理政新战略的重要组成部分，是当前以数字网络为代表的高新技术迅猛发展条件下的马克思主义基本原理与社会数字化变革实践相结合的产物。本文以新时代中国特色社会主义思想和网络强国战略为指导，以审计机关、社会审计机构如何在推进网络强国建设中更好地发挥审计监督作用为出发点和立足点，通过对已有信息系统审计经验的总结和被审计对象风险与问题的分析，在分析国内外信息系统审计现状与发展趋势的基础上，通过调查研究，指出我国开展信息系统审计工作的必要性和紧迫性，以及目前存在的国家层面要求不明确、法规和准则不健全；重要性认识不到位，实践水平低；涉及国家安全的关键信息基础设施尚未有效开展信息系统审计，存在重大隐患等方面的主要问题，以此为基础，提出建立健全我国信息系统审计机制的4点建议。

以因特网（Internet）为代表的数字化网络，是20世纪人类最伟大的发明。目前，我国已经成为名副其实的网络大国。根据中国互联网络信息中心发布的第41次《中国互联网络发展状况统计报告》，截至2017年12月，我国网民规模达7.72亿，互联网普及率为55.8%，手机网民规模达7.53亿，各种网络应用更是以“大爆炸”的速度发展，民众的网络生活也是越来越丰富。马克思曾经指出：“任何真正的哲学都是自己时代精神的精华。”恩格斯指出：“随着自然科学领域中每一个划时代的发现，唯物主义也必然要改变自己的形式。”基于对互联网络发展规律的深刻认知和准确把握，习近平总书记指出：“互联网时代对人类的生活、生产、生产力的发展都具有很大的进步推动作用。”[1]党的十八届五中全会站在未来发展的战略高度，建议将网络强国战略纳入“十三五”规划的战略体系之中，充分体现建设网络强国的重要性和紧迫性。但是，我们现在仅仅是网络大国，还不是网络强国。伴随着互联网络的快速发展，网络安全风险和隐患逐渐显现。大规模用户数据泄露、木马和僵尸网络、移动应用恶意程序、拒绝服务攻击、各类安全漏洞、网页仿冒、网页篡改等网络安全事件多有发生，以及虚假新闻、恶意舆论等内容充斥着人们每时每刻都在使用的互联网络，基础网络设备、域名系统、工业互联网络等我国基础网络和关键基础设施同样面临着更大的安全风险。建立健全信息系统审计机制应当成为加强网络强国建设的一项有力保障手段。

推进网络强国建设势在必行

习近平总书记指出：“世界经济加速向以网络信息技术产业为重要内容的经济活动转变。我们要把握这一历史契机，以信息化培育新动能，用新动能推动新发展。”[2]从社会发展史看，人类经历了农业革命、工业革命，目前，正在经历数字化网络革命。农业革命增强了人类生存能力，使人类从采食捕猎走向栽种畜养，从野蛮时代走向文明社会。工业革命拓展了人类体力，以机器取代了人力，以大规模工厂化生产取代了个体工场手工生产。而数字化网络革命则增强了人类脑力，带来生产力又一次质的飞跃，对国际政治、经济、文化、社会、生态、军事等领域的发展产生了深刻影响。

目前，大国之间的网络博弈，不仅是技术博弈，还是理念博弈、话语权博弈和舆论博弈。党中央提出了全球网络发展治理的“尊重网络主权，维护和平安全，促进开放合作和构建良好秩序”的4项原则和“加快全球网络基础设施建设，促进互联互通；打造网上文化交流共享平台，促进交流互鉴；推动网络经济创新发展，促进共同繁荣；保障网络安全，促进有序发展；构建互联网治理体系，促进公平正义”的5点主张，特别是倡导尊重网络主权、构建网络空间命运共同体，赢得了世界各国赞同。

建设网络强国，离不开网络安全，网络安全和信息化是相辅相成的。安全是发展的前提，发展是安全的保障，安全和发展要同步推进。古往今来，很多技术都是“双刃剑”，一方面可以造福社会、造福人民，另一方面也可以被一些人用来损害社会公共利益和民众个人利益。网络强国犹如时代之“列车”[3]，网络安全和信息化便是其“驱动之双轮”。建设网络强国，既要解决网络安全问题，也要加快发展信息化，让这“双轮”协调一致，同步前进，为“网络强国”这辆列车保驾护航。

信息系统审计是保障网络强国建设的重要手段

2014年10月，国务院在《国务院关于加强审计工作的意见》（国发〔2014〕48号）文件中明确提出了“推进对各部门、单位计算机信息系统安全性、可靠性和经济性的审计”的要求。2017年，党中央也要求对网络安全建设和绩效开展审计。各级审计机关和各类审计机构应该担此重任，更好地发挥在网络强国建设过程中的重要监督作用。审计法规定“真实性、合法性、效益性”是审计工作的基本目标，信息系统审计则在真实性、合法性、效益性的基础上，还要关注信息系统和信息化建设的安全性、可靠性和经济性，现阶段应重点加强对安全性的关注。

国家审计机关开展信息系统审计应充分发挥审计监督作用，从体制机制层面分析原因，及时反映制约网络强国战略实施的各类风险，提出相应审计建议，推动网络安全和信息化管理体制机制的改进和完善。主要内容应包括下面几个方面：一是国家信息化重大政策措施落实情况的审计，推动网络强国战略和相关政策措施的贯彻落实；二是重点关注信息系统项目规划目标实现、应用效果、系统功能和数据可靠性等方面内容，促进提高政府效能和财政资金使用效益；三是加强网络安全审计，围绕安全管理和安全技术2方面，重点关注国家数据资产的安全及信息化装备自主可控情况，切实维护国家网络和信息安全；四是重点关注信息化投资审批、软硬件及服务采购和招标投标等关键环节，揭示项目建设运维中的重大违法违纪问题，促进廉政建设；五是重点关注信息化建设的顶层设计、统筹规划、数据资源的共享利用程度和信息系统间业务协同能力等，揭示项目建设中存在的“小、散、乱”和信息孤岛等突出问题，推动财政资金的合理配置和统筹使用。

另外，内部审计部门和社会审计机构作为一个相对独立的、专业的第三方，就信息系统的有效性、可靠性、安全性以及信息化建设的经济性，作出一个客观、公正的判断，评价信息系统控制措施的设计和执行的效果是否能够保障信息系统高效、有序和安全地运行，是对国家审计机关信息系统审计工作有益补充。

信息系统审计国内外现状及存在的问题

1）国外信息系统审计情况

从美国、加拿大、英国、澳大利亚和韩国等网络发达国家的信息系统审计发展历程看，这些国家的信息系统审计工作起步早，如美国早在1960年代就开始了计算机系统审计工作。从审计内容上看信息系统的经济性和安全性作为审计重点，一直备受关注。近年来，伴随着信息化的快速发展，信息化建设大力开展，如何促进信息化投资的有效性和建设的经济性，保证建设资金的安全和效率至关重要。与此同时，各种信息安全隐患不断出现、破坏手段不断升级，信息系统的安全防护迫在眉睫，各国审计机关高度重视被审计机构信息系统的安全性能，积极行使督察职责，妥善保护信息资产，进而保障国家信息安全。

国外信息系统审计的主要特点是：信息系统审计政策和法规健全，信息系统审计在政府审计中发挥越来越大的作用。审计方式上，越来越多地开展独立式信息系统审计。审计内容上，越来越重视安全性审计；社会信息系统审计的认证和培训机制较为健全[4]。

2）我国已开展的信息系统审计工作

（1）审计署开展信息系统审计工作

1993年9月，《审计署关于计算机审计的暂行规定》（审计署第9号令）提出，凡使用计算机管理财政、财务收支及其有关经济活动的被审计单位，审计机关有权采用计算机技术，依法独立对其计算机财务系统进行审计监督。2001 年11月，国务院办公厅下发了《关于利用计算机信息系统开展审计工作有关问题的通知》（国办发〔2001〕88号），规定审计机关有权检查被审计单位运用计算机管理财政收支、财务收支的信息系统。2006年6月，《中华人民共和国审计法》（修正）第32条规定，审计机关进行审计时，有权检查被审计单位的会计凭证、会计账簿、财务会计报告和运用电子计算机管理财政收支、财务收支电子数据的系统。2007年，审计署组织开展了信息系统审计试点工作。2010年审计署颁布了《关于检查信息系统相关审计事项的指导意见》，提出了需重点关注的九大类信息系统相关审计事项，并对信息系统审计的对象、内容及方法进行了明确。2012年，审计署颁布了《信息系统审计指南》（计算机审计实务公告第34号），各级审计机关参照指南相继开展了信息系统审计工作。

（2）内部审计中的信息系统审计开展情况

在2000年前后，人民银行在其内审司设置信息科技审计处，专司信息系统审计，一些商业银行如工、农、中、建、交，以及国家开发银行等纷纷设置信息系统审计职能部门开展内部信息系统审计。银监会成立以后，自2006年开始颁布相关信息科技风险管理指引，至今已颁布相关信息科技监管指引超过5项。2008年，财政部联合国资委等5部委，颁布了《企业内部控制基本规范》（财会［2008］7号），2010年发布了《企业内部控制审计指引》（财会[2010]11号），要求企业应当加强信息系统控制，保证信息系统安全稳定运行。证监会也积极开展信息系统审计工作。2014年发布了我国证券期货行业第1个信息系统审计标准《证券期货业信息系统审计规范》（JR/T0112—2014）。2016年，证监会又组织制定和发布了7项《信息系统审计指南》。

（3）社会机构开展信息系统审计的情况

我国信息系统审计中的社会审计机构，主要以传统会计师事务所为主，其中尤以国际“四大”会计师事务所为主，占据了国内信息系统审计大部分市场份额。国内会计事务所也逐步涉足信息系统审计业务，但由于起步较晚，信息系统审计力量不足，所能占据的份额十分有限。除会计师事务所以外，国内一部分以信息安全咨询服务为主营业务的IT企业，近年来也参与到信息系统审计工作中。

3）我国信息系统审计目前存在的主要问题

虽然信息系统审计得到了越来越多的关注，但是还处于探索、起步阶段，在发展过程中还存在诸多令人担忧的问题。

（1）信息系统审计的职责尚未明确要求，科学的管理运行机制尚未建立，信息系统审计有关的国家层面的法规和准则尚不健全。

与信息技术发达国家比较，我国信息系统审计起步较晚。美国等西方发达国家已经建立了比较完善的信息系统审计管理运作机制，而我国信息系统审计管理运作机制尚不健全，尚未建立起全国统一的信息系统审计法规、制度和规范体系，也没有成立全国性的行业自律组织，信息系统审计行业还处在无序的自发发展阶段。

我国有关部门对计算机网络环境下的审计工作做过有关规定：2009年，中国内部审计协会出台了《内部审计具体准则第 28 号——信息系统审计》，这是我国第1个有关信息系统审计方面的准则；2012年审计署印发了信息系统审计指南。这些规定虽然为信息系统审计提供了制度上的初步规范，但只是对信息系统审计的某个方面的规定，比较笼统和零散，没有相应的实施细则，远远不能满足我国信息系统审计事业发展的要求。目前我国急需建立一套权威的体系完整、结构合理、内容全面的信息系统审计法规和准则。

（2）对信息系统审计重要性认识不足，实践水平低。

我国开展信息系统审计虽然已有十几年的时间，但是，无论是国家审计机关、内部审计机构和社会审计组织，还是被审计单位和部门，对信息系统审计并没有足够的认识和重视。这其中一个重要的原因就是对信息系统审计存在误解，人们已经习惯了传统的财务审计，认为信息系统审计并非必需。在信息技术高速发展的今天，人们更多关注了计算机信息系统的应用，对计算机信息系统存在的风险还没有充分的认识，更没有认识到审计是揭示和预防信息系统风险的重要手段。例如大型电子政务工程和大型央企动辄几十亿元的信息系统建设投资，每年巨额的运行维护费都存在审计监督缺失的情况。

目前，除部分对信息系统安全性要求较高的金融机构和大型企业比较重视信息系统审计外，其他机构和部门，均未对信息系统审计引起应有的重视。相当数量的地方审计机关并未开展信息系统审计工作。

（3）四大会计师事务所和国外信息系统审计行业协会的活动给信息安全和行业发展安全带来潜在风险。

由于我国信息系统审计缺少自身的理论研究和工程实践，长期以来，以“四大”为代表的国外会计事务所通过审计手段，包括传统财务审计和信息系统审计，不仅占领了我国信息系统审计的市场，还掌握了我国大量重要领域经济数据，包括金融、电信、能源等行业数据,给国家网络和信息安全带来了严重隐患[5]。

目前，我国信息系统审计人员在实际工作中大多采用美国信息系统控制审计协会（ISACA）颁布的信息系统审计鉴证准则，但是这些类似机构颁布的信息系统审计准则并不完全适合我国国情，一味照搬他们的信息系统审计准则，可能会导致一个行业的标准和市场受制于人的悲剧重演。

（4）涉及国家安全的关键行业没有开展信息系统审计，存在重大隐患。

习近平总书记在2016年4月19日召开的网络安全和信息化工作座谈会上的讲话时强调，要依法加强对大数据的管理。2017年6月1日正式实施的《中华人民共和国网络安全法》明确了关键信息基础设施的保护要求。除金融、电信、社保等行业外，一些涉及国家利益、国家安全的数据，还掌握在互联网企业手里，企业需要保证这些数据安全。如果企业在数据保护和安全上出了问题，不仅对自己的信誉产生不利影响，对国家安全同样会带来风险。在互联网络高速发展的今天，大型企业，尤其是互联网企业掌握的数据，已经达到可以危及国家安全的地步。目前大型互联网公司在国内网民的生活、工作中的融入度非常高，他们拥有十分庞大的数据库，不仅存储着各类涉及人们购物、社交和金融等方面的数据，同时也存储着我国公民的住址、联络方式、身份信息等公民个人基础数据，这些数据如果综合起来采用先进的大数据技术进行分析，具有十分重要的战略意义。建议将这些公司和数据纳入国家安全审计监督范围内。

（5）适应信息系统审计事业发展的人才培养机制尚未建立。

信息系统审计是建立在传统审计、信息系统管理和计算机等学科基础之上的交叉学科。信息系统审计工作是一项复杂的系统过程，要求信息系统审计人员具有复合型的知识结构，不仅要掌握审计知识，具有一定的职业判断能力、分析能力和表达能力，还应掌握计算机、信息系统管理和网络技术等综合知识。目前在我国信息系统审计行业，普遍采用国外信息系统审计协会（如ISACA）授权的注册信息系统审计师资格。近年来，虽然国内相关机构尝试开展了市场化的信息系统审计师考试认证工作，但由于起步晚，参加考试认证的人员数量少，还没有形成我国自己的、公认的信息系统审计从业人员有关的资质考试和认证体系，导致从业人员专业水平参差不齐，给信息系统审计事业的发展造成极大的阻碍。

建立健全我国信息系统审计机制的建议

如果信息系统的安全性、可靠性得不到保障，就会给国家和企业带来巨大的经济损失和安全风险,最终影响国家安全，给网络强国战略的实施带来风险。因此应及早采取积极有效的措施，加强对信息系统审计理论研究，建立健全我国的信息系统审计机制，无论从微观到宏观，都是我国网络强国战略和网络空间安全发展的战略要求，是我国网络空间安全保障和网络主权维护工作中的重要一环，是网络强国战略中不可或缺的内容。根据对国内外现状的分析，结合笔者实践经验，提出如下建议。

1）进一步明确我国信息系统审计职能的主管部门和责任部门

建议由主管部门明确提出我国信息系统审计要求。由审计署组织制定有关信息系统审计法律法规、发展规划、国家标准和审计指南，以及协调各专业领域信息系统审计指引或操作手册，对国家审计机关、内部审计机构和社会审计组织开展信息系统审计工作进行指导，引导其向规范化、标准化方向发展，推动网络强国战略和信息化建设政策贯彻落实。信息系统审计在美国等西方国家已有近 50 年的历史，发展得比较成熟，已经建立了比较完善的信息系统审计管理运作机制，我国可以借鉴他们的经验，结合我国实际情况，建议成立一个专门的行业协会——中国信息系统审计协会，在主管部门的指导下，专门负责信息系统审计的相关标准、指南、指引和操作手册制修订，对信息系统审计行业进行政府指导下的自律式管理。

2）建立健全我国信息系统审计制度

信息系统审计必须依法开展。在我国有关信息系统审计方面的法律法规几近空白，有关电子商务、电子政务、网络经济方面的法规还很不完善。建议结合《审计法》的修订，健全与信息系统审计相配套的法律法规，在《审计法》中明确信息系统审计的法律地位。主管部门再依据审计法和其他相关法规，制定、完善相应的规章制度和准则、指南体系。制定信息系统审计准则是一项系统的工程，需要政府部门、信息系统审计理论界、信息系统审计实务界以及各有关方面团结协作，为制定适应我国国情、具有前瞻性的信息系统审计准则体系而努力。

3）强化重点领域、重点部门、重点人员对信息系统审计重要性的认识

在之前的审计中，发现很多被审计单位，尤其是政府部门的主管领导甚至信息化建设主管部门有关人员，不了解信息系统审计，对信息系统的安全性、可靠性和经济性没有整体概念，以致信息系统安全等级保护未达标仍在运行，系统基础软件和核心硬件设备不能安全可控，信息系统建设小、散、乱情况仍然突出，系统功能重复，数据无法有效共享，造成大量资金浪费等问题依然存在。建议加大对信息系统审计理论和技术的研究以及对信息系统审计的宣传力度，引起各单位、各部门对信息系统审计的重视，促进信息系统审计事业的发展。并对重要信息系统行业和用户单位定期开展信息系统审计，从“国家治理”的角度，解决信息系统审计体制机制方面存在的问题。

4）制定信息系统审计相关标准，提高信息系统审计机构、队伍和人员的专业水平

要推动信息系统审计事业的发展, 必须依靠一大批高素质的信息系统审计专业人才队伍。信息系统审计人员必须具有复合型的知识结构，既对经营管理有深刻的理解，又具备全面的会计、审计、信息技术知识，并且可以为信息系统的可靠性、有效性、安全性提供合理保证。目前，我国的注册信息系统审计师资格认证和考试制度尚未建立，建议将信息系统审计纳入学历教育，与职称评定、职业培训和资格认证考试协调配合，形成完整的人才培养体系，为信息系统审计培养一支技术能力强、专业素质高的人才队伍。

结 论

随着数字化网络时代的到来，以网络为代表的信息技术迅速渗透到世界的每一个角落。信息系统审计是一个崭新的领域，它必将伴随着信息系统的发展而不断发展。信息系统审计在国外已经发展得很成熟，信息系统审计的理念也深入人心，但是我国的信息系统审计还处于探索、起步阶段。面对国内、国外严峻的网络和信息安全形势，我们必须抓住机遇，加快发展信息系统审计事业，为网络强国战略的实施保驾护航！

[1] 习近平.在网络安全和信息化工作座谈会上的讲话[OL].2016[2018-05-25]. http://www.xinhuanet.com/ politics/2016-04/25/c_1118731175.htm

[2] 习近平.在中共中央政治局第三十六次集体学习时的讲话[OL].2016[2018-05-25]. http://dangjian.people.com. cn/n1/2016/1011/c117092-28768107.html?from=tim eline&isappinstalled=0

[3] 习近平.在第二届世界互联网大会开幕式上的讲话[OL].[2018-05-25]. http://www.xinhuanet.com/ politics/2015-12/16/c_1117481089.h

[4]裴晓宁,王姝蓉.国外信息系统审计发展动态及启示[J].电子政务,2016(10):114-120

[5]王新杰.利用信息系统审计建立我国网络安全的第三道防线[OL].2014[2018-05-25]. http://news.cntv.cn/2014/ 11/28/ARTI1417157956968806.shtml