信息體系審計(jì)難題及建議

1、信息體系審計(jì)難題及建議本文作者：唐劍作者單位：江西省審計(jì)廳21世紀(jì)是信息化的社會(huì)，計(jì)算機(jī)技術(shù)不斷進(jìn)步，并在生產(chǎn)領(lǐng)域得到深入應(yīng)用。特別是會(huì)計(jì)電算化的推廣，把以電子計(jì)算機(jī)為代表的現(xiàn)代化數(shù)據(jù)處理工具及以信息論、系統(tǒng)論、數(shù)據(jù)庫、計(jì)算機(jī)網(wǎng)絡(luò)等新興理論和技術(shù)應(yīng)用于會(huì)計(jì)核算、財(cái)務(wù)管理工作中以提高財(cái)務(wù)管理水平和經(jīng)濟(jì)效益，實(shí)現(xiàn)會(huì)計(jì)工作的現(xiàn)代化。目前，越來越多的企業(yè)開始全業(yè)務(wù)的采用信息系統(tǒng)，形成了一個(gè)網(wǎng)絡(luò)經(jīng)濟(jì)時(shí)代，各個(gè)企業(yè)、事業(yè)單位的信息化情況表現(xiàn)出了前所未有的綜合性和開放性。這種信息化的高度集中帶來了高效益，但同時(shí)，也帶來了高度的風(fēng)險(xiǎn)，信息系統(tǒng)審計(jì)也就在這種歷史背景下應(yīng)運(yùn)而生。一、信息系統(tǒng)審計(jì)的內(nèi)涵和外延難以把

2、握隨著信息技術(shù)的發(fā)展，信息系統(tǒng)在財(cái)務(wù)、管理領(lǐng)域的應(yīng)用程度不斷提高，功能日趨完善，其軟硬件結(jié)構(gòu)的復(fù)雜性和涉及領(lǐng)域的廣泛性以及信息處理技術(shù)更新的頻繁性使得審計(jì)人員難以同步把握信息系統(tǒng)審計(jì)的內(nèi)涵和外延。從外延上看，信息系統(tǒng)審計(jì)主要包括兩個(gè)部分，一是對(duì)信息系統(tǒng)主體的審計(jì)，二是對(duì)信息系統(tǒng)應(yīng)用環(huán)境的審計(jì)，包括網(wǎng)絡(luò)環(huán)境、使用環(huán)境、管理使用情況等。一般說來，審計(jì)信息系統(tǒng)本身相對(duì)容易，但審計(jì)信息系統(tǒng)的應(yīng)用環(huán)境卻存在較多不確定因素，比如某公司的信息系統(tǒng)通過防火墻連接到互聯(lián)網(wǎng)，而在防火墻內(nèi)還存在其它系統(tǒng)，其它系統(tǒng)是不是也在審計(jì)范圍之內(nèi)？從內(nèi)涵上看，信息系統(tǒng)審計(jì)主要是對(duì)信息系統(tǒng)的安全性和可靠性進(jìn)行評(píng)估、評(píng)價(jià)。安全性、

3、可靠性是一個(gè)比較廣泛的概念，以系統(tǒng)安全性為例，它包括：iso開放系統(tǒng)互連安全體系結(jié)構(gòu)、tcpip安全體系、開放系統(tǒng)互連的安全管理、安全服務(wù)和功能配置；系統(tǒng)安全涉及的信息安全技術(shù)包括：密碼技術(shù)、訪問控制技術(shù)、機(jī)密性和完整性保護(hù)技術(shù)、數(shù)字簽名技術(shù)、抗抵賴技術(shù)、預(yù)（報(bào)）警機(jī)制、公證技術(shù)、防火墻技術(shù)、漏洞檢測(cè)技術(shù)、網(wǎng)絡(luò)隔離技術(shù)、計(jì)算機(jī)病毒防范等。由于信息技術(shù)本身的限制性，絕大部分信息系統(tǒng)本身均存在安全性問題（如防護(hù)級(jí)別最高、防護(hù)技術(shù)最好的美國(guó)國(guó)防部也常有被攻擊的情況）。把握不準(zhǔn)信息系統(tǒng)審計(jì)的外延和內(nèi)涵，就難以解決以下三個(gè)問題：一是難以解決審計(jì)力量與審計(jì)任務(wù)之間的矛盾，難以控制審計(jì)風(fēng)險(xiǎn)，即不該審的審了，

4、該審的卻未審；二是由于絕大部分信息系統(tǒng)本身均存在安全性問題，信息系統(tǒng)審計(jì)很容易演變成“信息系統(tǒng)是否存在問題源自于審計(jì)人員的技術(shù)水平，而不是系統(tǒng)本身的安全性和可靠性”，即，絕大部分信息系統(tǒng)均存在不安全、不可靠因素，就看審計(jì)人員能否發(fā)現(xiàn)由于信息系統(tǒng)的安全性問題是絕對(duì)的，而審計(jì)人員的視角和技術(shù)水平是相對(duì)的，信息系統(tǒng)審計(jì)的成果部分取決于審計(jì)人員對(duì)信息系統(tǒng)審計(jì)內(nèi)容的把握程度；三是由于審計(jì)需要大量的證據(jù)支撐，對(duì)于未造成損失但信息系統(tǒng)存在不安全隱患的問題難以定性,即便是造成了損失，也難以界定這些損失與信息系統(tǒng)不安全、不可靠因素之間聯(lián)系。因此，審計(jì)部門應(yīng)根據(jù)“全面審計(jì)、突出重點(diǎn)”及“先易后難”、“先系統(tǒng)本身后

5、系統(tǒng)環(huán)境”的原則，參照國(guó)家信息技術(shù)部的有關(guān)標(biāo)準(zhǔn)，界定信息系統(tǒng)工作的外延和內(nèi)涵，將信息系統(tǒng)審計(jì)的主要方向定在：被審計(jì)單位的信息系統(tǒng)的安全性、可靠性是否達(dá)到應(yīng)有的水平或標(biāo)準(zhǔn)，而不是系統(tǒng)是否有安全性和可靠性問題。二、信息系統(tǒng)審計(jì)評(píng)價(jià)標(biāo)準(zhǔn)很難確定信息系統(tǒng)安全審計(jì)，涉及會(huì)計(jì)信息處理自動(dòng)化、表示代碼化、信息處理與存儲(chǔ)集中化、內(nèi)部控制程序化等諸多廣泛、復(fù)雜的計(jì)算機(jī)專業(yè)技術(shù)環(huán)節(jié)，其技術(shù)性較高。而我國(guó)信息系統(tǒng)審計(jì)正處于起步階段，對(duì)審計(jì)機(jī)關(guān)如何開展信息系統(tǒng)審計(jì)尚在積極探索中，因此，目前尚沒有一個(gè)完整的、成熟的具有示范作用的審計(jì)案例，也缺少具備實(shí)際指導(dǎo)意義的相關(guān)信息系統(tǒng)審計(jì)準(zhǔn)則和操作指南。近年來，國(guó)家安全部門相繼出

6、臺(tái)了多個(gè)安全標(biāo)準(zhǔn)，例如公安部出臺(tái)的計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則（gb178591999）、信息安全等級(jí)保護(hù)管理辦法，還有相應(yīng)的安全技術(shù)規(guī)范信息安全技術(shù)信息系統(tǒng)通用安全技術(shù)要求（gbt202712006）、信息安全技術(shù)網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求（gbt202702006）、信息安全技術(shù)操作系統(tǒng)安全技術(shù)要求（gbt202722006）、信息安全技術(shù)數(shù)據(jù)庫管理系統(tǒng)安全技術(shù)要求（gbt202732006）、信息安全技術(shù)服務(wù)器技術(shù)要求、信息安全技術(shù)終端計(jì)算機(jī)系統(tǒng)安全等級(jí)技術(shù)要求（gat6712006）等技術(shù)標(biāo)準(zhǔn)。但在實(shí)際操作中，這些標(biāo)準(zhǔn)在可操作性上還有待提高，一是信息系統(tǒng)安全等級(jí)的確定，缺乏一個(gè)等級(jí)認(rèn)定

7、的部門，目前是由各個(gè)單位自己定級(jí)報(bào)送，會(huì)存在低報(bào)等級(jí)風(fēng)險(xiǎn)；二是等級(jí)要求沒有量化和詳細(xì)解釋，等級(jí)認(rèn)定存在困難。這些都給具體的審計(jì)實(shí)務(wù)工作帶來極大的困難。因此建議審計(jì)部門及時(shí)組織總結(jié)實(shí)踐經(jīng)驗(yàn)，規(guī)范信息系統(tǒng)安全審計(jì)的有關(guān)概念、審計(jì)內(nèi)容、工作流程和技術(shù)方法、形成信息系統(tǒng)安全審計(jì)準(zhǔn)則、操作指南或?qū)崉?wù)公告的準(zhǔn)則體系，這是信息系統(tǒng)安全審計(jì)得以健康發(fā)展的基礎(chǔ)。三、信息系統(tǒng)審計(jì)缺乏相應(yīng)的人才我國(guó)目前尚缺乏既熟悉審計(jì)業(yè)務(wù)又掌握計(jì)算機(jī)技術(shù)同時(shí)了解國(guó)內(nèi)標(biāo)準(zhǔn)信息系統(tǒng)流程的復(fù)合型人才，進(jìn)行信息系統(tǒng)審計(jì)所涉及的知識(shí)面非常廣，涉及會(huì)計(jì)、審計(jì)、管理和計(jì)算機(jī)等知識(shí)，而進(jìn)行信息系統(tǒng)安全性審計(jì)主要從系統(tǒng)總體安全、系統(tǒng)運(yùn)行安全、數(shù)據(jù)中

8、心安全、硬件設(shè)備安全和網(wǎng)絡(luò)安全情況五個(gè)方面來進(jìn)行，每個(gè)方面都涉及不同的知識(shí)點(diǎn)。當(dāng)對(duì)系統(tǒng)總體安全進(jìn)行審計(jì)時(shí)，則要求審計(jì)人員具有系統(tǒng)總體分析、系統(tǒng)設(shè)計(jì)和系統(tǒng)安全分析的知識(shí)；當(dāng)對(duì)系統(tǒng)運(yùn)行進(jìn)行審計(jì)時(shí)，則要求審計(jì)人員具有系統(tǒng)運(yùn)行管理、系統(tǒng)維護(hù)和系統(tǒng)安全管理的知識(shí)；當(dāng)對(duì)數(shù)據(jù)中心安全進(jìn)行審計(jì)時(shí)，則要求審計(jì)人員具有工程建設(shè)、數(shù)據(jù)中心安全維護(hù)和災(zāi)備等知識(shí)；當(dāng)對(duì)硬件設(shè)備安全進(jìn)行審計(jì)時(shí)，則要求審計(jì)人員具有設(shè)備采購、設(shè)備維護(hù)和設(shè)備安全分析等知識(shí)；當(dāng)對(duì)網(wǎng)絡(luò)安全情況進(jìn)行審計(jì)時(shí)，則要求審計(jì)人員具有網(wǎng)絡(luò)安全分析和網(wǎng)絡(luò)防范等知識(shí)。但在當(dāng)前情況下，審計(jì)人員能夠掌握上述某一方面的知識(shí)都已經(jīng)難能可貴，更不用說要掌握所有的知識(shí)面。建議

9、審計(jì)部門加強(qiáng)對(duì)審計(jì)人員理論培訓(xùn)，并組織審計(jì)人員進(jìn)行實(shí)踐，通過實(shí)踐經(jīng)驗(yàn)來鞏固理論知識(shí)，培養(yǎng)出更多的信息系統(tǒng)審計(jì)復(fù)合型人才和相應(yīng)的專業(yè)性人才。四、信息系統(tǒng)審計(jì)需要相應(yīng)的法規(guī)支持和成果考核標(biāo)準(zhǔn)我們通常依據(jù)中華人民共和國(guó)審計(jì)法、中華人民共和國(guó)審計(jì)法實(shí)施條例及國(guó)務(wù)院辦公廳關(guān)于利用計(jì)算機(jī)信息系統(tǒng)開展審計(jì)工作有關(guān)問題的通知（國(guó)辦發(fā)200188號(hào)）的規(guī)定：“被審計(jì)單位應(yīng)當(dāng)按照審計(jì)機(jī)關(guān)的要求，提供與財(cái)政收支、財(cái)務(wù)收支有關(guān)的電子數(shù)據(jù)和必要的計(jì)算機(jī)技術(shù)文檔等資料”，要求被審計(jì)單位提供電子數(shù)據(jù)，開展電子數(shù)據(jù)式審計(jì)工作。但開展信息系統(tǒng)安全審計(jì)的方法、步驟要求我們必須獲取被審計(jì)單位信息系統(tǒng)底層數(shù)據(jù)庫的數(shù)據(jù)字典、程序開發(fā)文

10、檔、甚至程序源代碼等核心文檔已經(jīng)高級(jí)管理用戶的權(quán)限。但事實(shí)上大多數(shù)被審計(jì)單位也不掌握這些核心文檔，軟件開發(fā)公司又以知識(shí)產(chǎn)權(quán)應(yīng)收保護(hù)為由拒絕提供文檔。特別是要求sap、oracle等國(guó)外軟件開發(fā)商提供開發(fā)文檔非常困難。因此，應(yīng)出臺(tái)更為明確的法規(guī)以支持信息系統(tǒng)安全審計(jì)工作。其次，信息系統(tǒng)審計(jì)的實(shí)施需要耗費(fèi)大量的人力物力，在目前審計(jì)機(jī)關(guān)工作繁重的背景下，開展此項(xiàng)工作需要審計(jì)工作方案以及考評(píng)指標(biāo)的支撐。因此，審計(jì)相關(guān)部門應(yīng)該考慮把信息系統(tǒng)審計(jì)納入年初審計(jì)工作計(jì)劃，并出臺(tái)相應(yīng)的考評(píng)標(biāo)準(zhǔn)。五、信息系統(tǒng)審計(jì)自身風(fēng)險(xiǎn)較大數(shù)據(jù)分析式計(jì)算機(jī)輔助審計(jì)是要求被審計(jì)單位按照審計(jì)的需求提供電子數(shù)據(jù)，審計(jì)人員將數(shù)據(jù)轉(zhuǎn)換后導(dǎo)入計(jì)算機(jī)進(jìn)行分析。這種過程避免了直接操作被審計(jì)單位信息系統(tǒng)所帶來的風(fēng)險(xiǎn)。然而，信息系統(tǒng)安全性審計(jì)的很多步驟必須要在被審計(jì)單位信息系統(tǒng)上直接執(zhí)行，這種在真實(shí)系統(tǒng)上的操作必然存在安全風(fēng)險(xiǎn)。如對(duì)電信公司計(jì)費(fèi)系統(tǒng)的審計(jì)，如果測(cè)試時(shí)間不當(dāng)或測(cè)試用例不完善都可能影響計(jì)費(fèi)系統(tǒng)的正常運(yùn)行。因此，審計(jì)部門在對(duì)被審計(jì)單位信息系統(tǒng)進(jìn)行真實(shí)操作前，一定要經(jīng)過細(xì)致的培訓(xùn)，以免誤操作引起的安全風(fēng)險(xiǎn)；盡量選擇凌晨等非業(yè)務(wù)高峰期對(duì)系統(tǒng)進(jìn)行測(cè)試；測(cè)試用例要盡可能簡(jiǎn)單、完善，對(duì)正常的業(yè)務(wù)數(shù)據(jù)不產(chǎn)生影響且易