國有企業(yè)信息系統(tǒng)審計方法及趨勢

王嘯 陶宜成

信息系統(tǒng)審計的重點

（一）信息系統(tǒng)建設(shè)經(jīng)濟性審查。隨著信息化、大數(shù)據(jù)、云計算、數(shù)字化等概念的不斷興起，企業(yè)業(yè)務(wù)管控系統(tǒng)不斷更新迭代，這已成為部分企業(yè)數(shù)字化轉(zhuǎn)型的考核指標。根據(jù)審計署制定的《信息系統(tǒng)審計指南》的要求，信息系統(tǒng)建設(shè)經(jīng)濟性是審計目標之一，關(guān)注企業(yè)信息系統(tǒng)的“建而少用”“建而不用”是信息系統(tǒng)審計的重點。一是通過系統(tǒng)界面審計，審查信息系統(tǒng)業(yè)務(wù)功能的使用狀況；二是通過數(shù)據(jù)分析方法，對信息系統(tǒng)的用戶訪問日志進行數(shù)據(jù)分析，分析用戶登錄和模塊使用情況。

（二）信息系統(tǒng)業(yè)務(wù)能力的審查。信息系統(tǒng)的內(nèi)部控制是否存在并且有效，直接影響了信息系統(tǒng)的真實、合法和有效性，進而影響了電子數(shù)據(jù)的真實性、合法性和準確性。主要的技術(shù)途徑是利用信息系統(tǒng)業(yè)務(wù)數(shù)據(jù)邏輯進行審查，通過對業(yè)務(wù)流程和關(guān)鍵控制節(jié)點分析，重點關(guān)注業(yè)務(wù)數(shù)據(jù)輸入、業(yè)務(wù)數(shù)據(jù)處理、業(yè)務(wù)數(shù)據(jù)輸出、數(shù)據(jù)編輯檢查控制等，從中查找信息系統(tǒng)可能存在的缺陷，防患于未然，發(fā)揮“免疫系統(tǒng)”功能。

（三）企業(yè)數(shù)據(jù)合規(guī)能力的審計。隨著移動互聯(lián)網(wǎng)的廣泛普及，移動業(yè)務(wù)成為企業(yè)業(yè)務(wù)增長的一個重要抓手，客戶隱私數(shù)據(jù)也隨之劇增?！秱€人信息保護法》規(guī)定，個人信息處理者應(yīng)當(dāng)定期對其處理個人信息遵守法律、行政法規(guī)的情況進行合規(guī)審計。結(jié)合《數(shù)據(jù)安全法》和《個人信息保護法》的要求，審計的重點環(huán)節(jié)包括數(shù)據(jù)獲取、數(shù)據(jù)存儲、數(shù)據(jù)傳輸、數(shù)據(jù)加工、數(shù)據(jù)使用、數(shù)據(jù)交換、數(shù)據(jù)銷毀和通用合規(guī)要求等8個環(huán)節(jié)，聚焦數(shù)據(jù)備份與恢復(fù)、數(shù)據(jù)處理環(huán)境、數(shù)據(jù)分類分級、合作方管理、數(shù)據(jù)監(jiān)控與審計、鑒別與訪問、數(shù)據(jù)合規(guī)風(fēng)險與需求分析、數(shù)據(jù)合規(guī)應(yīng)急響應(yīng)等具體檢查項。

（四）信息系統(tǒng)安全性方面。信息系統(tǒng)在建設(shè)和使用過程中會受到大量的風(fēng)險因素干擾，既有硬件帶來的環(huán)境風(fēng)險，也有系統(tǒng)軟件帶來的技術(shù)風(fēng)險；既有系統(tǒng)建設(shè)中隱匿的風(fēng)險，也有系統(tǒng)使用中凸顯的風(fēng)險；既有高集成度導(dǎo)致的風(fēng)險，也有網(wǎng)絡(luò)導(dǎo)致的風(fēng)險蔓延。因此，開展安全性控制審查應(yīng)重點關(guān)注物理安全控制、身份認證機制、用戶訪問控制、系統(tǒng)安全管理程序、安全控制政策和程序制定和記錄、系統(tǒng)安全風(fēng)險評估、網(wǎng)絡(luò)安全和隱私管理、應(yīng)急響應(yīng)計劃等方面。主要的技術(shù)方法包括滲透測試、測試數(shù)據(jù)法、手工檢查法、程序代碼檢查法、綜合測試法、基本案例系統(tǒng)評估等方法。

（五）信息系統(tǒng)項目管理審查。圍繞審計的目標，信息系統(tǒng)項目管理審計要以嚴把“立項審批源頭”、關(guān)注“組織實施過程”、緊盯“價款結(jié)算支付”為主線。重點審查信息系統(tǒng)需求調(diào)研階段、規(guī)劃分析階段、開發(fā)測試階段、實施運行階段等建設(shè)程序的真實性、合法性；信息系統(tǒng)采購、開發(fā)和集成管理；外部供應(yīng)商的安全管理；信息系統(tǒng)運維費用管理；信息系統(tǒng)運行績效是否達到立項目標等方面。

（六）信息系統(tǒng)運維管理方面。在當(dāng)前企業(yè)一般對服務(wù)外包企業(yè)依賴性較大的情況下，信息系統(tǒng)建設(shè)運維管理工作的職責(zé)分離尤其重要，通過檢查信息技術(shù)部門的程序開發(fā)人員、系統(tǒng)管理人員、數(shù)據(jù)管理人員的構(gòu)成，是否實行崗位分離，是否可以在不需要他人協(xié)助的情況下，獨自對信息系統(tǒng)的程序、數(shù)據(jù)進行修改；業(yè)務(wù)部門人員是否可以獨自修改業(yè)務(wù)信息，完成相關(guān)的違規(guī)業(yè)務(wù)舞弊。

信息系統(tǒng)審計的主要思路

（一）從業(yè)務(wù)流、資金流和信息流著手。信息系統(tǒng)承載的業(yè)務(wù)流、資金流和信息流是信息系統(tǒng)運行的核心。信息系統(tǒng)審計以信息系統(tǒng)業(yè)務(wù)流、資金流和信息流為主要審查內(nèi)容，能實現(xiàn)關(guān)注信息系統(tǒng)執(zhí)行情況，體現(xiàn)審計對象的業(yè)務(wù)執(zhí)行效果，揭示信息系統(tǒng)的設(shè)計缺陷，防止由于信息系統(tǒng)問題而造成的經(jīng)濟損失等目標。企業(yè)信息系統(tǒng)審計需要通過企業(yè)業(yè)務(wù)內(nèi)控程序測試和評價企業(yè)信息系統(tǒng)中的業(yè)務(wù)流程、資金流和信息流如何相互交織和相互影響，分析出信息系統(tǒng)的工作原理以及這三者之間的交互作用，準確地評估系統(tǒng)的有效性和執(zhí)行效率。例如，審計人員開展內(nèi)部控制測試檢查業(yè)務(wù)流程是否適當(dāng)，資金流動是否符合規(guī)定，信息流是否順暢。在企業(yè)經(jīng)營活動過程中，任何在這三個領(lǐng)域中的問題或疏漏都可能對企業(yè)造成不利影響，所以審計檢查范圍需全面覆蓋業(yè)務(wù)流、資金流和信息流的交互關(guān)系。

（二）從內(nèi)控管理角度著手。信息系統(tǒng)內(nèi)控管理是信息系統(tǒng)的靈魂，信息系統(tǒng)中各個環(huán)節(jié)都受信息系統(tǒng)內(nèi)控管理制約限制，信息系統(tǒng)內(nèi)控管理主要都是圍繞信息系統(tǒng)的組成部分及相互關(guān)系制定的。首先，企業(yè)信息系統(tǒng)審計應(yīng)關(guān)注內(nèi)部管理和控制體系的健全性和有效性，審計人員需要分析系統(tǒng)內(nèi)部控制的設(shè)計和操作的有效性，檢查系統(tǒng)安全，例如身份認證、訪問控制、數(shù)據(jù)備份和恢復(fù)等策略是否得當(dāng)。其次，對違規(guī)操作、異常事項和數(shù)據(jù)的監(jiān)控和控制機制的審查也是需要考慮的重要方面。另外，關(guān)注審查信息系統(tǒng)管理制度中的運行機制、控制機制等，厘清信息系統(tǒng)的服務(wù)對象、制度原則、組成部分、管理制度，以及他們之間的管理，能讓信息系統(tǒng)審計項目快速摸清總體情況，開展進一步測試。在審計過程中，內(nèi)控管理缺陷和不足應(yīng)是審計項目重點揭示的內(nèi)容，內(nèi)審人員在發(fā)現(xiàn)問題的同時，也應(yīng)結(jié)合實際情況，向被審計企業(yè)信息系統(tǒng)提出更科學(xué)、合理的審計建議。

（三）從使用效益角度著手。信息系統(tǒng)使用效益對審計對象的發(fā)展影響深遠。圍繞“為什么建”“建什么”以及建后“怎么用”“用得怎么樣”等關(guān)鍵問題進行系統(tǒng)、綜合分析，著重關(guān)注建設(shè)、應(yīng)用、資源整合等情況，達到評估信息系統(tǒng)在提高單位效果上的成效問題，實現(xiàn)提高審計對象信息化規(guī)劃和管理水平的目標。協(xié)助審計對象完善部門信息化宏觀層面的管理機制和體制，發(fā)揮信息系統(tǒng)審計的總結(jié)、糾偏、完善的功效。審計人員要圍繞評估信息系統(tǒng)對企業(yè)的價值貢獻開展審計工作，包括企業(yè)提質(zhì)增效、降本合規(guī)、決策跟蹤等方面。從經(jīng)濟效益角度看，審計人員應(yīng)關(guān)注信息系統(tǒng)是否能幫助企業(yè)實現(xiàn)經(jīng)濟效益、提高資金使用效率等，評估系統(tǒng)的投入和產(chǎn)出是否得當(dāng)，杜絕浪費。從管理效益方面看，審計人員應(yīng)關(guān)注信息系統(tǒng)是否可以有效輔助企業(yè)合規(guī)運行，推動企業(yè)經(jīng)營層的決策落實，聯(lián)結(jié)企業(yè)各部門間溝通協(xié)作。只有做好效益文章，審計結(jié)果才能揭示企業(yè)發(fā)展的根本問題，助力企業(yè)找到提高效益、增強競爭力的方法。

信息系統(tǒng)審計的主要趨勢

（一）加大云空間及大數(shù)據(jù)應(yīng)用審查的力度。企業(yè)將數(shù)據(jù)遷移到云平臺的信息化建設(shè)是不可逆轉(zhuǎn)的趨勢，云安全審計變得至關(guān)重要。審計人員需要評估云服務(wù)提供商的安全措施和合規(guī)性，以確保企業(yè)數(shù)據(jù)在云環(huán)境中的安全和隱私。同時，隨著經(jīng)濟發(fā)展的數(shù)據(jù)化程度不斷加深，越來越多的企業(yè)依賴大數(shù)據(jù)分析來支持業(yè)務(wù)決策，因此企業(yè)大數(shù)據(jù)應(yīng)用成果審計也逐步納入信息系統(tǒng)審計范圍，審計結(jié)論也包含評估企業(yè)的大數(shù)據(jù)處理過程，確保數(shù)據(jù)的準確性、完整性和安全性。企業(yè)信息系統(tǒng)審計項目在制定實施方案時，正在逐步提高在云空間及大數(shù)據(jù)應(yīng)用方面的審計范圍占比。

（二）提高對物聯(lián)網(wǎng)安全及數(shù)據(jù)隱私審查的重視。物聯(lián)網(wǎng)的快速發(fā)展為企業(yè)帶來了許多新的安全挑戰(zhàn)。審計人員需要評估企業(yè)的物聯(lián)網(wǎng)設(shè)備和傳感器的安全性，以防止?jié)撛诘娘L(fēng)險和攻擊，同時為物聯(lián)設(shè)備與網(wǎng)聯(lián)接入做好生態(tài)管理評價。另外，數(shù)據(jù)隱私保護已成為企業(yè)備受關(guān)注的問題，近年來國家信息安全建設(shè)法規(guī)制度不斷完善，進一步規(guī)范企業(yè)對數(shù)據(jù)隱私的管理和使用，審計人員也要關(guān)注和評估企業(yè)的數(shù)據(jù)隱私政策和合規(guī)性，確保企業(yè)對個人數(shù)據(jù)的合法收集、使用和保護的能力。企業(yè)信息系統(tǒng)審計要盡快將物聯(lián)網(wǎng)生態(tài)和數(shù)據(jù)隱私等新生業(yè)務(wù)納入審計檢查，防范企業(yè)信息安全風(fēng)險，提升企業(yè)信息建設(shè)質(zhì)量。

（三）著眼未來，提前布局人工智能審查。人工智能審計是一個充滿機遇和挑戰(zhàn)的新領(lǐng)域，隨著人工智能技術(shù)的不斷發(fā)展和普及，更多的企業(yè)開始引入AI應(yīng)用以提升業(yè)務(wù)效能，這在審計領(lǐng)域也產(chǎn)生了深遠影響，審計人員需要評估企業(yè)的人工智能算法和模型的安全性和可信度，以確保其在業(yè)務(wù)流程中的有效運行。尤其在AI自動化處理海量數(shù)據(jù)和執(zhí)行復(fù)雜任務(wù)的能力、AI利用機器學(xué)習(xí)和大數(shù)據(jù)分析技術(shù)提供預(yù)測性的分析、AI實時監(jiān)控管理企業(yè)的財務(wù)和業(yè)務(wù)操作、AI深度學(xué)習(xí)輔助商業(yè)交易和識別出潛在經(jīng)營風(fēng)險等方面，內(nèi)審部門要提前做好發(fā)展規(guī)劃，助力企業(yè)利用好信息化發(fā)展帶來的產(chǎn)業(yè)紅利。

（作者單位：廣州汽車集團股份有限公司）