信息系統(tǒng)風(fēng)險(xiǎn)和審計(jì)的探討

李晶

[摘? ? 要] 網(wǎng)絡(luò)安全風(fēng)險(xiǎn)是信息系統(tǒng)審計(jì)關(guān)注的重要部分。針對(duì)內(nèi)部審計(jì)人員開展信息系統(tǒng)審計(jì)存在的問題，提出信息系統(tǒng)的風(fēng)險(xiǎn)主要與業(yè)務(wù)有關(guān)，而不僅僅是技術(shù)問題。對(duì)信息系統(tǒng)風(fēng)險(xiǎn)進(jìn)行了分類，并提出了初步的審計(jì)思路。

[關(guān)鍵詞] 網(wǎng)絡(luò)安全;信息系統(tǒng)審計(jì);信息系統(tǒng)風(fēng)險(xiǎn)

doi ： 10 . 3969 / j . issn . 1673 - 0194 . 2020. 03. 029

[中圖分類號(hào)] F239.1? ? [文獻(xiàn)標(biāo)識(shí)碼]? A? ? ? [文章編號(hào)]? 1673 - 0194（2020）03- 0067- 02

1? ? ? 引? ? 言

從2016年美國總統(tǒng)大選候選人希拉里的“郵件門”事件，讓全世界對(duì)信息安全風(fēng)險(xiǎn)的威力有了新的認(rèn)識(shí)。近年來，由于網(wǎng)絡(luò)安全導(dǎo)致的嚴(yán)重后果的事件層出不窮。2016年9月23日，雅虎公司宣布有至少5億用戶賬戶信息被黑客盜取，盜取內(nèi)容包括用戶的姓名、電郵地址、電話號(hào)碼、生日、密碼等，甚至還包括加密或未加密的安全問題及答案。這也打破史上最大單一網(wǎng)站信息遭竊的紀(jì)錄。信息安全帶來的風(fēng)險(xiǎn)成為當(dāng)今互聯(lián)網(wǎng)環(huán)境下組織和個(gè)人都要關(guān)注的問題。

“沒有網(wǎng)絡(luò)安全就沒有國家安全，沒有信息化就沒有現(xiàn)代化?！绷?xí)近平總書記的這一重要論斷，把網(wǎng)絡(luò)安全上升到了國家安全的層面，為推動(dòng)我國網(wǎng)絡(luò)安全體系的建立，樹立正確的網(wǎng)絡(luò)安全觀指明了方向[1]。近年來，我國網(wǎng)絡(luò)安全法治建設(shè)取得突破性進(jìn)展。2016年11月，《中華人民共和國網(wǎng)絡(luò)安全法》高票通過，成為我國網(wǎng)絡(luò)安全領(lǐng)域的首部專門法律，為依法治網(wǎng)、化解網(wǎng)絡(luò)風(fēng)險(xiǎn)提供了法律武器;2017年3月，十二屆全國人大五次會(huì)議通過《民法總則》，明確對(duì)個(gè)人信息、數(shù)據(jù)、虛擬財(cái)產(chǎn)予以保護(hù);最高法、最高檢出臺(tái)一系列司法解釋，闡明相關(guān)法律問題;中央網(wǎng)信辦、公安部、工信部、文化部等出臺(tái)多個(gè)部門規(guī)章，對(duì)互聯(lián)網(wǎng)信息搜索、移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序等都做出了及時(shí)的規(guī)范。

2? ? ? 信息系統(tǒng)審計(jì)的現(xiàn)狀和難點(diǎn)

網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，是信息系統(tǒng)風(fēng)險(xiǎn)的一種重要類型，開展信息系統(tǒng)審計(jì)，有助于防范和控制信息系統(tǒng)風(fēng)險(xiǎn)。對(duì)信息系統(tǒng)審計(jì)，目的是揭示由于信息系統(tǒng)缺陷導(dǎo)致的信息安全風(fēng)險(xiǎn)、經(jīng)濟(jì)安全風(fēng)險(xiǎn)，促進(jìn)被審計(jì)單位加強(qiáng)內(nèi)部管理和控制，提高信息化建設(shè)項(xiàng)目的效益，是保障信息系統(tǒng)安全的重要手段。

審計(jì)署關(guān)于“十三五”國家審計(jì)工作發(fā)展規(guī)劃中明確指出，要加強(qiáng)信息化建設(shè)項(xiàng)目審計(jì)。圍繞國家大數(shù)據(jù)戰(zhàn)略和“互聯(lián)網(wǎng)+”行動(dòng)，以提高財(cái)政資金使用效益和維護(hù)國家信息安全為重點(diǎn)，加大對(duì)政府部門、國有企事業(yè)單位信息化建設(shè)項(xiàng)目及信息系統(tǒng)審計(jì)力度，促進(jìn)國家大數(shù)據(jù)戰(zhàn)略的順利實(shí)施。

前任審計(jì)長(zhǎng)劉家義指出，在信息化、數(shù)字化環(huán)境下，信息系統(tǒng)審計(jì)要抓住三個(gè)關(guān)鍵點(diǎn)：一是安全性、二是有效性、三是經(jīng)濟(jì)性。開展信息系統(tǒng)審計(jì)要關(guān)注網(wǎng)絡(luò)、設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫、環(huán)境等系統(tǒng)要素的安全性，關(guān)注規(guī)范管理、提高效率、共享信息、數(shù)據(jù)準(zhǔn)確等功能要素的有效性，關(guān)注組織目標(biāo)實(shí)現(xiàn)、投資收益、性價(jià)比、利用覆蓋率等項(xiàng)目要素的經(jīng)濟(jì)性[2]。

自從信息系統(tǒng)審計(jì)提出以來，學(xué)術(shù)界和實(shí)務(wù)都認(rèn)識(shí)到信息安全是信息系統(tǒng)審計(jì)的主要內(nèi)容。但是由于信息系統(tǒng)審計(jì)的技術(shù)性強(qiáng)，加上從事內(nèi)部審計(jì)工作的人員相對(duì)來說計(jì)算機(jī)技術(shù)較為薄弱，導(dǎo)致審計(jì)人員對(duì)于信息系統(tǒng)的風(fēng)險(xiǎn)的認(rèn)識(shí)不足。在當(dāng)前信息系統(tǒng)審計(jì)開展的過程中，組織一般來說主要關(guān)注信息系統(tǒng)的可靠性、安全性等操作層面的風(fēng)險(xiǎn)。由于技術(shù)力量不足，把信息系統(tǒng)審計(jì)外包給組織外部的專業(yè)機(jī)構(gòu)也是常見的做法。但不同的組織應(yīng)用信息系統(tǒng)的目的和程度不同，信息系統(tǒng)的風(fēng)險(xiǎn)不僅僅在于操作層面;技術(shù)人員和管理人員對(duì)風(fēng)險(xiǎn)的認(rèn)識(shí)是不同的，外部機(jī)構(gòu)有時(shí)候也未必能準(zhǔn)確識(shí)別組織中管理層真正需要關(guān)心的問題。這些做法往往有可能忽視了組織中真正的風(fēng)險(xiǎn)所在。不同的組織即使是使用相同的軟硬件設(shè)備和應(yīng)用系統(tǒng)，由于不同的人會(huì)有不同的使用方式，設(shè)備也會(huì)有不同的組合和部署方式，同樣的基礎(chǔ)設(shè)施也有可能出現(xiàn)不同的風(fēng)險(xiǎn)。

當(dāng)前基于風(fēng)險(xiǎn)的審計(jì)模式的關(guān)鍵在于對(duì)風(fēng)險(xiǎn)的準(zhǔn)確把握，在復(fù)雜多變的信息化環(huán)境下，這就要求審計(jì)人員在不同環(huán)境下對(duì)新的風(fēng)險(xiǎn)有準(zhǔn)確、全面的認(rèn)識(shí)。由于信息系統(tǒng)審計(jì)（在國內(nèi)不同時(shí)期被稱為計(jì)算機(jī)審計(jì)，IT審計(jì)等）發(fā)展不平衡、實(shí)踐中總結(jié)經(jīng)驗(yàn)少等原因，導(dǎo)致審計(jì)人員在對(duì)信息系統(tǒng)風(fēng)險(xiǎn)的交流方面受到限制和制約，從而影響到信息系統(tǒng)審計(jì)工作的開展。部分內(nèi)部審計(jì)人員由于對(duì)信息系統(tǒng)風(fēng)險(xiǎn)不了解，把信息系統(tǒng)審計(jì)僅僅看作是技術(shù)問題和風(fēng)險(xiǎn)，在認(rèn)識(shí)中產(chǎn)生了一定的誤區(qū)。

3? ? ? 信息系統(tǒng)風(fēng)險(xiǎn)的分類和審計(jì)思路

筆者認(rèn)為，在內(nèi)部審計(jì)中涉及信息系統(tǒng)的情況下，首先要對(duì)真正的需要關(guān)注的信息系統(tǒng)的風(fēng)險(xiǎn)有客觀的認(rèn)識(shí)和清晰的把握，才能確定問題的重點(diǎn)。信息系統(tǒng)的風(fēng)險(xiǎn)應(yīng)該是對(duì)業(yè)務(wù)產(chǎn)生的風(fēng)險(xiǎn)而不是自身的技術(shù)和設(shè)備風(fēng)險(xiǎn)本身。

信息系統(tǒng)專家John Ward在《信息系統(tǒng)戰(zhàn)略規(guī)劃》一書中對(duì)IT（信息技術(shù)）和IS（信息系統(tǒng)）進(jìn)行了區(qū)別。他指出：IT特指技術(shù)，尤指硬件、軟件和通信網(wǎng)絡(luò)，因此IT即可以是有形的（例如服務(wù)器、PC機(jī)、路由器和網(wǎng)絡(luò)），也可以是無形的（例如所有類型的軟件）。IT的應(yīng)用方便了信息和其他數(shù)字內(nèi)容的獲取、加工、存儲(chǔ)、發(fā)布和共享。歐盟一般用信息和通信技術(shù)“ICT”代替IT，以體現(xiàn)傳統(tǒng)信息技術(shù)和通信的融合。英國信息系統(tǒng)學(xué)會(huì)UKAIS將信息系統(tǒng)定義為人們和組織利用技術(shù)，收集、加工、存儲(chǔ)、使用和傳播信息的手段。從這個(gè)角度上來講，信息系統(tǒng)和信息技術(shù)的應(yīng)用相關(guān)，但兩者并不等同。

信息化環(huán)境下信息系統(tǒng)和信息技術(shù)的應(yīng)用有了更加緊密不可分的關(guān)系，但這兩者也并不能完全替代，有時(shí)候兩者的目的也未必完全相同?？v然信息技術(shù)是信息系統(tǒng)實(shí)現(xiàn)目標(biāo)的基礎(chǔ)，也確實(shí)有些信息系統(tǒng)通過信息技術(shù)的應(yīng)用實(shí)現(xiàn)了完全自動(dòng)化，如戴爾公司的按訂單生產(chǎn)模式：從接受客戶訂單、發(fā)送零件到工廠組裝、直到發(fā)貨給客戶都無須人為干預(yù)。這里信息技術(shù)使信息的功能發(fā)揮到了極致。但信息系統(tǒng)并非是缺乏現(xiàn)代信息和通信技術(shù)就無法運(yùn)行。也存在著信息技術(shù)先進(jìn)而信息系統(tǒng)無效的情況，例如，購買的設(shè)備很先進(jìn)，但是信息系統(tǒng)應(yīng)用效果不佳;另一方面，在信息技術(shù)原始的情況下，也有信息系統(tǒng)有效的范例，例如過去手工記錄的會(huì)計(jì)系統(tǒng)、歷史上更為古老的郵政系統(tǒng)，也都是有效的信息系統(tǒng)，盡管當(dāng)時(shí)的信息和通信技術(shù)并不發(fā)達(dá)。

從這一點(diǎn)來看，對(duì)于信息系統(tǒng)審計(jì)的目標(biāo)，從基于風(fēng)險(xiǎn)的角度來看，重點(diǎn)應(yīng)該關(guān)注的是能否實(shí)現(xiàn)組織的業(yè)務(wù)目標(biāo)的問題，而不僅僅是軟硬件設(shè)備（ICT）的問題。筆者認(rèn)為按照信息系統(tǒng)在組織中應(yīng)用的情況，可以把信息系統(tǒng)的風(fēng)險(xiǎn)分為三類：信息系統(tǒng)能力風(fēng)險(xiǎn)，信息系統(tǒng)項(xiàng)目風(fēng)險(xiǎn)和信息系統(tǒng)操作風(fēng)險(xiǎn)。

（1）信息系統(tǒng)能力風(fēng)險(xiǎn)和審計(jì)。信息系統(tǒng)能力風(fēng)險(xiǎn)是指信息系統(tǒng)的應(yīng)用到底有沒有幫助組織實(shí)現(xiàn)業(yè)務(wù)目標(biāo)。如果對(duì)組織的業(yè)務(wù)目標(biāo)沒有幫助，就是信息系統(tǒng)能力建設(shè)問題。信息系統(tǒng)的投入的最終目的在于增強(qiáng)組織處理信息、幫助實(shí)現(xiàn)業(yè)務(wù)目標(biāo)的能力，而不在于信息系統(tǒng)本身。如果信息系統(tǒng)的選型和設(shè)計(jì)對(duì)組織的業(yè)務(wù)目標(biāo)沒有幫助，那就是信息系統(tǒng)決策層面的問題，處理的不恰當(dāng)可能會(huì)出現(xiàn)信息系統(tǒng)不適合組織業(yè)務(wù)需求的情況，是從對(duì)組織長(zhǎng)期效果來評(píng)估。對(duì)此類風(fēng)險(xiǎn)的控制和審計(jì)難度最大，可以歸為IT治理審計(jì)的范疇。

（2）信息系統(tǒng)項(xiàng)目風(fēng)險(xiǎn)和審計(jì)。組織的信息系統(tǒng)建設(shè)是一個(gè)個(gè)具體的信息系統(tǒng)項(xiàng)目構(gòu)成的。每一個(gè)具體的信息系統(tǒng)項(xiàng)目的時(shí)間、質(zhì)量、成本是否符合要求，就構(gòu)成了信息系統(tǒng)項(xiàng)目的風(fēng)險(xiǎn)。信息系統(tǒng)項(xiàng)目建設(shè)成功率低的問題一直是學(xué)界和業(yè)界長(zhǎng)期關(guān)注的問題。對(duì)于項(xiàng)目風(fēng)險(xiǎn)的評(píng)價(jià)可視為對(duì)組織中期的效果評(píng)估。對(duì)此類風(fēng)險(xiǎn)的控制和審計(jì)也涉及較多的方面和因素，但是由于有明確的指標(biāo)可以選擇，可操作性要比IT能力的審計(jì)高得多，可以歸為信息化建設(shè)項(xiàng)目審計(jì)的范疇。

（3）信息系統(tǒng)操作風(fēng)險(xiǎn)和審計(jì)。在信息系統(tǒng)運(yùn)行和管理中，無論項(xiàng)目規(guī)模的大小，最終還是會(huì)落實(shí)到一個(gè)個(gè)具體的人員執(zhí)行的問題，涉及具體的個(gè)人和具體的設(shè)備、場(chǎng)所的問題。具體體現(xiàn)為某個(gè)具體方面的安全性、可靠性、經(jīng)濟(jì)性等問題;對(duì)于操作層面的評(píng)價(jià)是對(duì)信息系統(tǒng)局部效果的評(píng)估。此類問題最多，但比較分散，而且往往由于是涉及具體的個(gè)人微觀，不加以深入分析的話，難以引起管理層的重視。

在具體審計(jì)工作開展中，不僅要關(guān)注信息系統(tǒng)操作層面的風(fēng)險(xiǎn)，更要關(guān)注中期的信息系統(tǒng)項(xiàng)目風(fēng)險(xiǎn)，以及長(zhǎng)期的信息系統(tǒng)能力風(fēng)險(xiǎn)。

4? ? ?結(jié)? ? 語

在審計(jì)工作中，審計(jì)人員常常面臨著信息技術(shù)的挑戰(zhàn)，在數(shù)據(jù)采集、數(shù)據(jù)處理和數(shù)據(jù)分析中，甚至由于技術(shù)不足而望而卻步，但技術(shù)的風(fēng)險(xiǎn)并不是信息系統(tǒng)風(fēng)險(xiǎn)的全部，而信息系統(tǒng)審計(jì)首先要正確認(rèn)識(shí)信息系統(tǒng)的風(fēng)險(xiǎn)，特別是從業(yè)務(wù)角度去理解信息系統(tǒng)。技術(shù)，作為審計(jì)資源來說，是很容易配置和轉(zhuǎn)移的，而正確認(rèn)識(shí)信息系統(tǒng)的風(fēng)險(xiǎn)才是提出好的審計(jì)思路的關(guān)鍵。

主要參考文獻(xiàn)

[1]盧佳.“沒有網(wǎng)絡(luò)安全就沒有國家安全，沒有信息化就沒有現(xiàn)代化”——解讀習(xí)近平關(guān)于網(wǎng)絡(luò)安全和信息化的重要論述[J].黨的文獻(xiàn)，2016（3）.

[2]劉家義.中國特色社會(huì)主義審計(jì)理論研究[M].北京：中國時(shí)代經(jīng)濟(jì)出版社，2015.

[3]趙長(zhǎng)明.互聯(lián)網(wǎng)金融中第三方支付的法律監(jiān)管[J]. 商場(chǎng)現(xiàn)代化，2019（2）.

[4]成駿雄.我國信息系統(tǒng)審計(jì)技術(shù)推廣的限制因素探討[J].中國集體經(jīng)濟(jì)，2018（3）.

[5]樊沙沙.信息系統(tǒng)審計(jì)風(fēng)險(xiǎn)應(yīng)對(duì)策略研究[J]. 對(duì)外經(jīng)貿(mào)，2017（8）.

[6]程平，王曉江.基于COBIT標(biāo)準(zhǔn)的云會(huì)計(jì)AIS審計(jì)風(fēng)險(xiǎn)評(píng)價(jià)指標(biāo)體系構(gòu)建[J]. 會(huì)計(jì)之友，2016（10）.

[7]王會(huì)金.高校管理信息系統(tǒng)審計(jì)及其風(fēng)險(xiǎn)控制問題研究——以WSR方法論與COBIT理論相結(jié)合為視角[J]. 審計(jì)與經(jīng)濟(jì)研究，2014（5）.