互联网技术信息化视角下政府审计问题研究

●张启明 陈赛红

一、引言

近年来我国互联网的高速发展促进了高新技术产业的发展，大数据、AI等技术的发展日渐趋于成熟。随着互联网信息化水平的提高，很多行业固有的传统模式发生改变，开始拓展新的发展路径，同样传统的政府审计模式也在发生改变。针对互联网背景下政府审计信息化发展我国出台了不少相关文件，主要是为了适应互联网信息化的发展，并且希望能够在互联网高速发展的大背景下提升审计领域运用信息化手段来进行政府审计业务的能力。目前，我国利用互联网信息化的政府审计还处于初级阶段，对于利用大数据进行政府审计的布局刚刚开始。信息化给政府审计带来便利的同时也带来了更大的数据安全风险，如何利用互联网信息化背景下政府审计新模式的优势，同时，还要规避互联网信息化所带来的风险，是目前政府审计中需要解决的问题。

二、互联网信息化背景下政府审计研究和发展现状

政府审计一直以来都发挥着重要作用。国内外的很多研究都表明政府审计是打击腐败的非常有效的政策手段。巴西市政当局曾做过调查，过去接受过审计的地方的腐败率比未经过审计的地方低8%。通过政府审计可以有助于促进法律的制裁，Bobonis等人（2015）利用数据模型证明了政府审计可持续减少腐败的可能性，与此同时，还可以提高国家的侦察和起诉腐败政客的能力。由此可见，政府审计在国内外对政府相关工作和体系的健康发展都起着非常重要的作用。我国的政府审计不仅对宏观经济政策实施和微观主体的行为具有监管功能，也有利于维护正常的市场经济秩序。

随着互联网信息化的发展，审计方式也发生了改变。同时，因为信息数据的快速增长以及大量便捷软件的出现，互联网信息化扩大了审计的范围。蒋红兰（2019）认为，未来通过互联网进行审计和因互联网而产生的连续、实时审计将是政府审计的必经之路。因为互联网信息化，未来审计很可能会向着全覆盖和实时审计的方向而发展。传统的审计方式在时间上存在着很大的滞后性，并且抽样统计的方法也很容易出现疏漏，增加了审计风险，而互联网审计能够将这些风险尽可能地规避。互联网信息化背景下的政府审计，可以利用大量的数据对审计内容进行多角度分析，通过多种数据模型让审计数据达到最大化利用的目标。

互联网信息化背景下审计程序简化，可以有效节约政府审计的成本。同时，互联网获取的大量相关数据加强了审计证据的范围，政府审计不需要再片面性地依赖于审计证据，还可以通过数据之间复杂的关系来加强证据有效性，得到更加精准的审计结果。同时，也可以对现有的审计证据进行佐证，大大地提高了审计的效率和准确性。

值得注意的是，一方面，互联网信息化给政府审计提供了方便快捷的手段；另一方面，也会产生传统政府审计模式所不具备的风险。互联网技术允许用户快速且低成本去访问网站、数字图书馆或者是其他可以提供大量信息的数据源；没有时间和地域限制的审计方式是互联网信息化所带来的好处。但是如果控制不当，就很有可能会使信息系统受到欺诈、攻击或者是恶意的一些负面影响。因此，在互联网信息化环境下，必须根据这些潜在的风险去选择或是开发一种或是一系列的安全技术。在提供安全技术的同时，还需要识别风险。因此，在互联网信息化背景下政府审计需要注意基于数据安全的审计风险。

三、互联网信息化背景下政府审计目前存在的问题

（一）信息安全风险

一般而言，信息系统面临着两种风险：物理风险和逻辑风险。物理风险关系着信息系统自身，包括地震、飓风、洪水等自然灾害，爆炸、火灾、电涌、盗窃等其他危险、破坏以及未经授权的信息篡改。国外学者Champlain（2012）确定了一系列控制措施，以保护信息系统免受这些物理威胁，具体包括：各种类型的锁、硬件保险和恢复数据的成本、执行信息系统和数据的日常备份的过程、异地存储、将备份介质轮换到安全位置以及当前经过测试的灾难恢复计划。逻辑风险是指未经授权的访问以及对信息系统和数据的意外或故意破坏及更改。这些威胁可以通过逻辑安全控制来缓解，这些控制会限制系统用户的访问权限，并防止未经授权的用户访问系统。在关键信息系统中，所有这些措施都更为重要。Apata（2010）认为，目前的政府审计组织必须解决四种主要类型的IT风险：安全风险、可用性风险、性能风险和合规风险。安全风险表示未经授权的信息访问：数据泄露、数据隐私、欺诈和端点安全。安全风险还包括广泛的外部威胁，如病毒和针对特定应用程序、特定用户和特定信息的更具针对性的攻击。据安永会计师事务所的一项调查显示，每次事件发生的安全事故可能会使公司承受一定的经济损失。安永用时13年进行了另一次调查：美国522名计算机安全从业人员表示，病毒事件频繁发生（49%的受访者组织都发生过病毒事件），内部滥用网络占比44%，因笔记本电脑和其他移动设备被盗导致审计数据丢失发生的概率为42%。在安永这次对于信息化背景下审计安全风险的调查中发现，大部分公司对于安全风险的防范通常只关注外部威胁的防范。但是，在安永所调查的信息化的审计舞弊案例中有50%的信息泄露是来自于内部合法的网络使用用户。由此可见安全风险是互联网信息化背景下政府审计可能面临的重要问题，信息的安全性不仅是对被审计主体的保护，也是提高政府审计准确性的前提。

(二)缺乏统一的互联网信息化下的政府审计标准

互联网的发展造成了信息量的指数型增长，与此同时，政府审计的技术手段、制度改革虽然都在积极推进，但其推进速度跟不上互联网信息化的发展速度，相对还较为落后。因此，目前信息化审计还没有一个完善系统的标准。在实际审计中，很容易因使用互联网信息化技术进行审计而出现新的审计风险。

不仅是在政府审计的标准上需要统一，并且审计的相关法律法规也亟须完善和修订。在互联网信息化的环境下，政府审计需要更加完善的法律法规。例如数据安全的问题，大数据环境下的审计方法、保密原则、互联网信息化背景下的内部审计系统、权限问题等。互联网信息化带来时效性和便捷的同时，也会相应产生新的舞弊手段，而要防止新的舞弊手段只能通过更加完善的法律法规制度来控制和防范。

(三)审计人员的能力缺乏

目前互联网信息化的建设步伐存在明显差异，主要表现在各个地区的经济发展和现代化发展的步伐和程度不同，各级政府领导的互联网信息化的意识以及对其重视程度和态度都有所不同，因此对于审计人才在信息化的培养上就有着很大的差别。尤其在政府审计的部门中，一些年龄偏大的审计人员缺乏熟练运用信息化技术的能力。

互联网信息化为审计工作带来众多证据的同时，大量的数据需要审计人员能够快速地辨别出其中的有用数据和审计重点。这不仅仅要求审计人员有着专业审计能力，还需要同时具备筛选数据的能力，整理、分析和处理复杂数据的能力。互联网信息化背景下的政府审计需要复合型人才，因此新的信息环境对政府审计人员的能力要求更加严格。

在兼具信息处理能力的同时，互联网信息化背景下的政府审计工作还需要熟悉软件和数据系统维护的人才。互联网环境下的大数据大多存储在云端，数据安全就显得至关重要。云端审计数据的安全性需要专业的人才进行管理和维护，避免在审计的过程中发生风险。

互联网信息化背景下的政府审计工作要依赖很多的数据，这些数据有被审计对象的固有数据、审计过程中产生的审计数据，还有很多外来数据。这些外部数据可能还涉及外部机构的数据机密，这就需要政府审计人员进行有效的协调，并和其他外部机构进行有效的协作。因此，互联网信息化的环境除了需要政府审计人员具有良好的审计专业能力，还需要加强与众多机构协作沟通的能力。

四、互联网信息化背景下政府审计风险的应对措施

（一）为安全审计制定相关策略

互联网信息化背景下政府安全审计的目标是：一是具有数据安全的策略、指南和程序；二是能够定期检测系统的现有缺陷，定期进行更新迭代；三是注重防范现有信息化环境的脆弱性和安全风险；四是审查有关主体运营和处理问题的现有安全控制措施，并确保审计目标是否符合行业规定的最低安全标准。为了确保安全策略的合规性并确定将风险降低到可接受水平所需的最小控制集，应定期进行安全审计，因为漏洞和信息数据威胁是随着时间和环境而变化的，并不是一成不变的。

互联网信息化背景下安全审计过程可能包括：一是漏洞扫描。主要是扫描工具软件的基础设施。二是报告审计。主要包括电子版的审计日志、系统入侵检测报告等。三是安全架构审计。定期审计现有的数据安全架构。四是基线审计。审计工具软件的安全设置，以验证是否符合行业规定的安全基线。五是内部控制和工作流程审计。内部审计的一部分，主要审计现有审计工作的流程。六是政策审计。审计安全政策，以确保审计行为符合业务目标和审计目标。七是威胁/风险评估。评估工具软件的信息系统是否面临安全风险和威胁。

在审计过程期间和审计结束时，可以制定相关的审计报告。如一份包含组织信息系统中发现漏洞的报告，其中列出了由于包括故障在内的现有漏洞而面临的威胁和风险政策、架构等，以及提供安全概述和所有审计结果的审计报告。系统的审计报告便于事后的查验，也是对审计过程的备份。

Aruoba(2015)等提供了关于安全审计过程的另一种观点，他们将安全审计分为六个步骤：一是计划。审计工作准备时期需要确定和选择所需要的数据信息，以确保审计工作高效地进行。二是收集审计数据。确定所需要的数据数量以及审计所需要的信息类型，以及如何过滤、存储、访问和查看审计数据和审计日志。三是执行审计测试。根据现有的审计安全策略或标准，对审计工作需要用到的安全配置和相关技术做一般性的审计检查。四是报告审计结果。根据安全检查的结果报告目前审计的环境是否安全。五是保护审计数据和工具。保护审计数据和工具，供下次审计使用。六是进行改进。如果有需要，及时采取改进和纠正措施。

随着信息系统日益复杂，安全审计过程变得越来越困难。有效的自动化的工具软件，可以减少操作的复杂性，使政府审计变得简洁而高效。因此，互联网信息化背景下的政府审计可以应用许多不同的安全技术，必须根据潜在风险选择一套安全技术。但为了对组织资产提供适当和有效的保护，必须对安全系统进行评估。国家颁布的安全审计标准规定了相应的程序，以确保数据资源得到充分保护，不论是内部安全评估或是外部安全评估，安全审计是确定安全效率的最佳方法之一，也是互联网信息化背景下有效审计的基本前提。如果在互联网信息化背景下的政府审计无法做到安全，那么审计结果的可信度将大大降低。

(二)完善互联网信息化背景下的审计标准

以目前互联网发展的速度，建立一个完善的互联网信息化背景下的政府审计标准是非常迫切的需求。相关组织应该尽快完善互联网信息化下的政府审计制度，制定统一的标准，并且应该成立相关的监管机构，尽量规避因互联网信息化而产生的政府审计风险。对于政府审计而言也同样需要相关法律法规的完善，可以对相关法律进行修订和补充，以此来适应互联网信息化背景下政府审计的新环境。

政府审计标准的制定不仅仅是规范政府审计行为，也是对政府审计质量的一种有效衡量标准。这不仅仅是要适应快速发展下的互联网信息化环境，同时也是为适应快速发展的经济水平，以提升现有的政府审计质量。

(三)增加对审计人员的培训

目前我国很多县级以下地区对于互联网知识的普及还是相当贫乏的，主要表现在审计人员的知识水平无法匹配快速发展的外部环境。政府审计工作需要依赖专业的审计人员，互联网信息化这一与以前相比更加复杂的环境下，对政府审计人员的专业能力和综合素质的要求会更加严格，因此应加强对政府审计人员的培训，比如邀请行业内在互联网信息化做得较好的资深同行来进行培训，同时也可以邀请高校资深的教授或者专家进行培训和讲座，还可以利用互联网对审计人员进行线上的培训。此外，在开展培训时，可以设计相关考试并颁发证书，一方面是对审计人员学习成果的检验，同时，也可以激励审计人员多接收学习新的知识，提高自身的业务水平，更好地适应互联网信息化的发展。

由于各地区、各个部门审计人员的业务水平参差不齐，因此应该对不同业务水平的审计人员设计不同的培训课程，进行具有针对性的培训，才能将培训的效果最大化。在培训业务的同时，也要注意培养审计人员应具备的互联网信息化的业务思维模式，只有熟练掌握和习惯运用这种互联网信息化的思维模式，才能真正地适应目前数据化的环境，真正地将互联网和政府审计联系起来。

人才的培养是一个长期的计划，不仅应对在职的政府审计工作人员进行互联网信息化的培训，还可以将互联网信息化的相关影响和专业改变渗透到审计专业的大学课堂中，将数字信息化渗透到高校教育中，这样未来的审计工作人员才会从思维上有着根本的改变，来适应互联网信息化的发展。

（四）开发适用性较强的政府审计软件

互联网信息化时代也是软件信息化的时代，随着互联网的快速发展，各种软件程序也得到了迅猛发展。与其他行业相同，审计工作也需要专业软件开展日常的审计工作。互联网技术的发展，给审计工作带来了更多的挑战，专业审计软件可以有效地提升审计工作的效率。

在审计软件的设计方面可以结合专业人员的审计经验，更新审计技术，加强内部控制系统建设。适当分离职能责任，提供会计授权、记录和程序系统，建立每个组织应履行的职责和文件化的程序，以确保审计人员了解所有流程和信息化的要求，并具有与责任相称的能力。

在互联网信息化的环境下，政府审计机关应不断加强对信息技术的投入力度，将云计算、大数据和政府审计充分结合起来，提高审计数据的利用率，推进政府审计信息化的进程，帮助审计人员提高自身信息化审计的能力。同时，还要注重政府审计软件安全，加大监控的技术投入用以保障信息的安全，在提高政府审计工作效率的同时，保证政府审计的工作质量。■