国有企业信息系统审计方法及趋势

王啸 陶宜成

信息系统审计的重点

（一）信息系统建设经济性审查。随着信息化、大数据、云计算、数字化等概念的不断兴起，企业业务管控系统不断更新迭代，这已成为部分企业数字化转型的考核指标。根据审计署制定的《信息系统审计指南》的要求，信息系统建设经济性是审计目标之一，关注企业信息系统的“建而少用”“建而不用”是信息系统审计的重点。一是通过系统界面审计，审查信息系统业务功能的使用状况；二是通过数据分析方法，对信息系统的用户访问日志进行数据分析，分析用户登录和模块使用情况。

（二）信息系统业务能力的审查。信息系统的内部控制是否存在并且有效，直接影响了信息系统的真实、合法和有效性，进而影响了电子数据的真实性、合法性和准确性。主要的技术途径是利用信息系统业务数据逻辑进行审查，通过对业务流程和关键控制节点分析，重点关注业务数据输入、业务数据处理、业务数据输出、数据编辑检查控制等，从中查找信息系统可能存在的缺陷，防患于未然，发挥“免疫系统”功能。

（三）企业数据合规能力的审计。随着移动互联网的广泛普及，移动业务成为企业业务增长的一个重要抓手，客户隐私数据也随之剧增。《个人信息保护法》规定，个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。结合《数据安全法》和《个人信息保护法》的要求，审计的重点环节包括数据获取、数据存储、数据传输、数据加工、数据使用、数据交换、数据销毁和通用合规要求等8个环节，聚焦数据备份与恢复、数据处理环境、数据分类分级、合作方管理、数据监控与审计、鉴别与访问、数据合规风险与需求分析、数据合规应急响应等具体检查项。

（四）信息系统安全性方面。信息系统在建设和使用过程中会受到大量的风险因素干扰，既有硬件带来的环境风险，也有系统软件带来的技术风险；既有系统建设中隐匿的风险，也有系统使用中凸显的风险；既有高集成度导致的风险，也有网络导致的风险蔓延。因此，开展安全性控制审查应重点关注物理安全控制、身份认证机制、用户访问控制、系统安全管理程序、安全控制政策和程序制定和记录、系统安全风险评估、网络安全和隐私管理、应急响应计划等方面。主要的技术方法包括渗透测试、测试数据法、手工检查法、程序代码检查法、综合测试法、基本案例系统评估等方法。

（五）信息系统项目管理审查。围绕审计的目标，信息系统项目管理审计要以严把“立项审批源头”、关注“组织实施过程”、紧盯“价款结算支付”为主线。重点审查信息系统需求调研阶段、规划分析阶段、开发测试阶段、实施运行阶段等建设程序的真实性、合法性；信息系统采购、开发和集成管理；外部供应商的安全管理；信息系统运维费用管理；信息系统运行绩效是否达到立项目标等方面。

（六）信息系统运维管理方面。在当前企业一般对服务外包企业依赖性较大的情况下，信息系统建设运维管理工作的职责分离尤其重要，通过检查信息技术部门的程序开发人员、系统管理人员、数据管理人员的构成，是否实行岗位分离，是否可以在不需要他人协助的情况下，独自对信息系统的程序、数据进行修改；业务部门人员是否可以独自修改业务信息，完成相关的违规业务舞弊。

信息系统审计的主要思路

（一）从业务流、资金流和信息流着手。信息系统承载的业务流、资金流和信息流是信息系统运行的核心。信息系统审计以信息系统业务流、资金流和信息流为主要审查内容，能实现关注信息系统执行情况，体现审计对象的业务执行效果，揭示信息系统的设计缺陷，防止由于信息系统问题而造成的经济损失等目标。企业信息系统审计需要通过企业业务内控程序测试和评价企业信息系统中的业务流程、资金流和信息流如何相互交织和相互影响，分析出信息系统的工作原理以及这三者之间的交互作用，准确地评估系统的有效性和执行效率。例如，审计人员开展内部控制测试检查业务流程是否适当，资金流动是否符合规定，信息流是否顺畅。在企业经营活动过程中，任何在这三个领域中的问题或疏漏都可能对企业造成不利影响，所以审计检查范围需全面覆盖业务流、资金流和信息流的交互关系。

（二）从内控管理角度着手。信息系统内控管理是信息系统的灵魂，信息系统中各个环节都受信息系统内控管理制约限制，信息系统内控管理主要都是围绕信息系统的组成部分及相互关系制定的。首先，企业信息系统审计应关注内部管理和控制体系的健全性和有效性，审计人员需要分析系统内部控制的设计和操作的有效性，检查系统安全，例如身份认证、访问控制、数据备份和恢复等策略是否得当。其次，对违规操作、异常事项和数据的监控和控制机制的审查也是需要考虑的重要方面。另外，关注审查信息系统管理制度中的运行机制、控制机制等，厘清信息系统的服务对象、制度原则、组成部分、管理制度，以及他们之间的管理，能让信息系统审计项目快速摸清总体情况，开展进一步测试。在审计过程中，内控管理缺陷和不足应是审计项目重点揭示的内容，内审人员在发现问题的同时，也应结合实际情况，向被审计企业信息系统提出更科学、合理的审计建议。

（三）从使用效益角度着手。信息系统使用效益对审计对象的发展影响深远。围绕“为什么建”“建什么”以及建后“怎么用”“用得怎么样”等关键问题进行系统、综合分析，着重关注建设、应用、资源整合等情况，达到评估信息系统在提高单位效果上的成效问题，实现提高审计对象信息化规划和管理水平的目标。协助审计对象完善部门信息化宏观层面的管理机制和体制，发挥信息系统审计的总结、纠偏、完善的功效。审计人员要围绕评估信息系统对企业的价值贡献开展审计工作，包括企业提质增效、降本合规、决策跟踪等方面。从经济效益角度看，审计人员应关注信息系统是否能帮助企业实现经济效益、提高资金使用效率等，评估系统的投入和产出是否得当，杜绝浪费。从管理效益方面看，审计人员应关注信息系统是否可以有效辅助企业合规运行，推动企业经营层的决策落实，联结企业各部门间沟通协作。只有做好效益文章，审计结果才能揭示企业发展的根本问题，助力企业找到提高效益、增强竞争力的方法。

信息系統审计的主要趋势

（一）加大云空间及大数据应用审查的力度。企业将数据迁移到云平台的信息化建设是不可逆转的趋势，云安全审计变得至关重要。审计人员需要评估云服务提供商的安全措施和合规性，以确保企业数据在云环境中的安全和隐私。同时，随着经济发展的数据化程度不断加深，越来越多的企业依赖大数据分析来支持业务决策，因此企业大数据应用成果审计也逐步纳入信息系统审计范围，审计结论也包含评估企业的大数据处理过程，确保数据的准确性、完整性和安全性。企业信息系统审计项目在制定实施方案时，正在逐步提高在云空间及大数据应用方面的审计范围占比。

（二）提高对物联网安全及数据隐私审查的重视。物联网的快速发展为企业带来了许多新的安全挑战。审计人员需要评估企业的物联网设备和传感器的安全性，以防止潜在的风险和攻击，同时为物联设备与网联接入做好生态管理评价。另外，数据隐私保护已成为企业备受关注的问题，近年来国家信息安全建设法规制度不断完善，进一步规范企业对数据隐私的管理和使用，审计人员也要关注和评估企业的数据隐私政策和合规性，确保企业对个人数据的合法收集、使用和保护的能力。企业信息系统审计要尽快将物联网生态和数据隐私等新生业务纳入审计检查，防范企业信息安全风险，提升企业信息建设质量。

（三）着眼未来，提前布局人工智能审查。人工智能审计是一个充满机遇和挑战的新领域，随着人工智能技术的不断发展和普及，更多的企业开始引入AI应用以提升业务效能，这在审计领域也产生了深远影响，审计人员需要评估企业的人工智能算法和模型的安全性和可信度，以确保其在业务流程中的有效运行。尤其在AI自动化处理海量数据和执行复杂任务的能力、AI利用机器学习和大数据分析技术提供预测性的分析、AI实时监控管理企业的财务和业务操作、AI深度学习辅助商业交易和识别出潜在经营风险等方面，内审部门要提前做好发展规划，助力企业利用好信息化发展带来的产业红利。

（作者单位：广州汽车集团股份有限公司）