王 红
(重庆市永川区审计局,重庆 402160)
党的十八大以来,以习近平同志为核心的党中央从发展中国特色社会主义,实现中华民族伟大复兴中国梦的战略高度,全面部署和推进网络安全和信息化工作。总书记指出抓住信息化发展历史机遇,自主创新推进网络强国建设。信息系统审计作为信息化环境下的一种崭新审计模式,在信息化大力发展的今天,顺应新时代要求,必将成为国家审计的重要组成部分。本文结合当前形势及工作实践,对基层审计机关加强信息系统审计提出以下几点思考和建议。
智慧城市是以物理设备、电脑网络、人脑智慧为基本框架,智能政府、智能经济、智能社会为基本内容的经济结构、增长方式和城市形态,其由智能城市管理系统辅助管理城市。从信息化到智能化,再到智慧化,是建设智慧城市的必由之路,不断扩大的信息系统是其核心载体。如果进一步全面开展智慧城市建设,政府部门的信息化水平将飞速提升,信息系统建设数量也必将呈现新高。一旦缺乏信息系统审计监督,信息系统的安全性、可靠性和效益性无法充分得到保障,即信息系统审计的开展将推动政府部门信息化建设,是城市治理现代化向智慧城市发展的基本保障。
信息系统审计是一个通过收集和评价审计证据,独立于信息系统本身,并对信息系统保护资产的安全,维护数据的完整,使被审计单位的目标得以有效实现,组织的资源得到高效使用等方面做出判断的过程。习近平总书记在中央审计委员会第一次会议上强调,要坚持科技强审,加强审计信息化建设,实现审计全覆盖。要加强审计大数据建设,开展联网监督,充分利用大数据查找问题、宏观分析。审计人员开展大数据审计的业务数据和财务数据等基本资料均来源于被审计单位提供的信息系统备份数据。因此,数据的真实性和完整性直接影响到审计结果,也影响到一个审计项目的最终审计质量。
随着云平台和数据中心的兴起,数据的物理边界越来越模糊,数据的高度集中让数据安全防护压力越来越大。网络安全领域显示出新转变。一是信息安全向业务安全转变。现在不光要关注信息安全,更要关注保障信息基础设施和众多物联网设备的运行安全。二是个人安全向机构安全转变。政府和企业的信息安全是要解决的重中之重。三是安全防护从外向内进化。网络安全已由外网防护向内网转移,网络攻击的目标更多是内网。近年来,基层政府内网被植入“后门”,个人信息集中泄露,网络攻击、网络窃密频频出现。因此,加强信息系统审计,执行信息系统风险评估就显得极其重要。
目前开展的信息系统审计主要针对应用系统的开发、获得、实施与维护方面所采用的方法和流程进行了评价,评判是否满足了被审计单位的业务目标。对评价信息系统的管理计划与组织的策略政策标准程序、信息系统技术基础设施与操作实务、基础设施的安全性、灾难恢复与业务持续计划、业务流程评价与风险管理等其他五个方面未进行有效评估。目前信息系统审计主要采取专项调查等方式,未与其他审计类型有效结合。
一是基层审计机关的专业水平和信息系统审计要求差距较大。信息系统审计执行主体除了需要掌握计算机硬件和软件技术知识外,还需要对其控制措施和实际的内部控制措施相结合,同时还要熟悉审计业务本身。但是目前基层审计机关同时具备会计、审计、管理和计算机等方面专业知识的人才较为缺乏,对信息系统审计工作有心无力,专业敏感性差,经验缺乏。二是基层审计机关信息系统审计理念与时代要求差距较大。部分老审计人员思维固化,没有融入信息化高速发展的大潮中,具体审计工作局限于“一亩三分地”,缺乏学习的动力。
在信息系统的应用过程中,信息系统在被审计单位管理活动中已经是必不可少的工具,如果系统停止工作,就会影响被审计单位的管理活动,甚至带来损失。因此在进行信息系统审计时,尤其是在系统取证过程中,存在被审计单位事后不承认的风险。信息系统审计的测试必须要在被审计单位信息系统上直接执行,一旦测试时间不当或测试设计不完善都可能影响到信息系统的正常运行。
一是加强年度计划的制定。审计信息系统的应用环境存在较多不确定因素,要在制定审计项目计划时考虑到。同时,充分考虑审计技术力量,避免出现审计资源浪费等情况。充分了解本地信息系统分布实施情况,结合当地中心工作,做好年度计划,包括短期计划和长期计划,确保审计结果能有效发挥作用。二是强化审计调查,确定好审计目标和重点。根据年度计划,确定被审计领域,明确审计目标。全面熟悉相关法规及执行标准,了解信息系统网络基础设施、当前计算机犯罪与攻击方法,熟悉被审计单位信息系统的逻辑访问控制等,确定要检查的具体系统、职能或单元,以确定审计重点。三是学习相关标准、准则,找准适宜的工具和技术。审计人员在信息系统审计项目计划制定时,就应熟悉该准则,确保在项目实施中,能有章可依、有据可循。目前,中内协发布了《第3205 号内部审计实务指南——信息系统审计》,自2021 年3 月1 日施行,其中包括概述、组织层面信息管理控制审计、信息系统一般控制审计、信息系统应用控制审计、信息系统专项审计、信息系统审计质量控制及信息系统审计文档和示例。
一是信息系统的购置、开发与实施的审计采用“预决算+信息系统审计”“经责+信息系统审计”“投资+信息系统审计资”等融合式、嵌入式审计组织方式。每个项目将信息系统的购置、开发与实施纳入重点审计内容版块,作为常规审计内容与其他审计类型相结合,既充分调动审计力量,节约审计资源,又确保每个信息系统都能纳入审计监督。二是对行业主管部门或信息系统较多、安全指数较高的重要部门,进行信息系统专项审计调查。根据信息系统审计内容的6 个方面,结合被审计单位的业务特点及安全防范要求,重点评估被审计单位信息系统资产的安全性、信息系统的效率效益性。三是对重大信息系统获取、开发实施的审计,采取跟踪审计方式。信息系统审计可以参照工程审计组织方式,从项目可行性分析、功能性要求、设计到测试,审计都参与其中。从最初设计方案开发,到模块和组件的确定等,还要详细考虑面临的密码控制不足、应用程序总体安全等风险。在开发应用中,审计应跟踪评估该系统是否满足被审计单位需求,是否符合预期的成本效益,能否实现建设目标,系统的安全性和稳定性是否达标,系统的可扩展性和互操作性是否科学等。最后,审计还要跟踪其审计问题整改是否及时、是否合理、是否存在缺失浪费的现象。
一是强化教育培训,多措并举,提升干部综合能力。分基础班、提升班,积极开展网络安全、计算机基础知识、信息系统审计等讲坛,结合审计案例,把理论讲透、措施讲细,便于基层审计干部对标落实。其次,鼓励年轻审计人员参加国际注册信息系统审计师考试,掌握相应的技术能力。同时信息系统审计师必须接受有关新审计技术和技术领域的定向培训,积极提升自我能力和技术。二是加强实战交流,强化上挂下派的良性流动机制,加快转岗交流频次,真正达到上下互动互联、一体化发展。如选派部分基层审计干部参与上级的信息系统审计项目,锻炼信息系统审计专业能力;推动上级信息系统审计骨干到基层任信息系统审计项目的审计组长,把先进的审计模式、严谨的安全意识传递到基层审计机关。三是建立专家库,抽调各行业主管部门业务能手、计算机专家等到专家库,充实审计队伍。
一是在对被审计单位信息系统开展实质性测试时,审计人员全程监督检查被审计单位技术人员当场完成相应测试工作,避免误操作引起安全风险。二是实质性测试时现场必须要有2名以上被审计单位技术专家,2 名以上审计人员同时在场。三是尽量选择非业务高峰期对系统进行实质性测试,测试数据要尽可能简单、完善,对正常的业务数据不能产生影响。四是开展计算机信息系统审计时,要了解政府或其他相关外部单位对被审计单位电子数据、计算机系统操作和控制、信息技术服务等的相关要求,了解被审计单位与IT 服务提供商之间的合同或协议,确保提取数据流程合法合规。同时服务器与审计人员计算机以及计算机的数据进行传导时,要使用注册登记的U 盘。对使用的数据要注意保密,项目完成后要对数据及时进行处理。五是强化取证记录质量。在发现信息系统薄弱环节和舞弊迹象时要及时取证,同时与在场的被审计单位技术人员充分沟通,当场取得他们签字认可,避免事后对方不认账,严格秉承谨慎的态度,审慎地履行职责。