1、信息系统审计初探信息系统审计是一项较新的审计领域,也是计算机审计的一项重要审计内容,它通过关注信息系统的可靠性和安全性,促进被审计单位的信息安全和数据真实。日前,笔者从一般控制、应用控制、绩效等事项,对某单位开展信息系统审计,并从真实性、安全性、有效性、经济性等方面进行了审计评价,揭示被审计单位信息系统存在的漏洞和安全隐患,积极摸索了信息系统绩效审计的方式方法,积累了一定经验,笔者从以下几个方面浅谈一些看法。 一般控制审计,全面评估系统及环境安全性,揭示系统安全隐患 在一般控制审计中,审计人员通过日志分析法,分析财务软件的操作记录,发现被审计单位的财务软件存在反记账、反结账功能,其中部分反记反
2、结账操作为修改之前的凭证信息,且时间跨度超过 180 天,导致之前被修改月份已形成的会计报表数字不真实。 通过实地观察法和面谈询问法,对信息系统的部署环境(包括机房和设备)进行检查和测评,发现机房未建设电子门禁系统;未安装水浸、监控探头等监控设备;部分服务器主机设备已过质保服务期,且未进行硬件维护服务外包;未制定机房出入登记管理制度;未制定针对信息系统及其机房硬件设备出现重大问题时的应急管理制度等,信息系统的环境存在安全隐患。 利用漏洞扫描工具和网络检测诊断工具,对信息系统的网络环境进行了检查和评估。发现被审计单位的三个网络(业务内网、业务外网、外网申报网络)部分服务器主机存在操作系统、后台数
3、据库弱口令以及重要漏洞未修补等问题;三个网络均缺少监控篡改、误改数据库的安全审计系统,缺少防止非法用户入侵网络的入侵检测系统,缺少提升网络管理性能和安全性的网络管理系统,缺少对日常上网行为进行规范和记录的上网行为管理系统,网络安全存在隐患。 通过问卷调查法,对被审计单位的信息系统安全进行了评估。发现被审计单位的四套信息系统均未进行安全等级测评,未制定风险评估计划和方案,系统安全存在隐患。 应用控制审计,深入分析信息系统的有效性,查找系统功能漏洞 利用测试数据法和流程图检查法,通过构建数据验证分析模型,对信息系统的业务流程控制、数据接口、数据输入、处理、输出控制、数据库应用控制、数据逻辑控制的有
4、效性和可靠性进行了测试,同时结合数据审计和财务收支审计发现的问题,从信息系统的层面分析问题产生的深层次原因。 经过审计,发现业务信息系统与财务信息系统不衔接,且未设计对账功能,导致业务信息系统无法全面、真实反映收入情况,如某单位在审计年度两大系统收入差额数百万元;业务信息系统功能不完善,导致不能重现历史滞后补缴计划,无法准确核算历史征缴计划和单位欠费情况;业务信息系统未设计检测关键标志信息功能,导致未足额缴纳费用;未设计检测数据合理性功能,导致系统基础信息不真实、不合理,个别人重复享受待遇或多享受待遇;未设计检测数据合规性功能,导致不符合条件人员享受待遇;未设计多支应收回计划功能,导致无法自动
5、生成多支应收回计划,多支付的待遇金额未及时追回;新老系统数据转换错误,导致部分字段数据不合理、数据逻辑错误。 绩效审计,综合评价信息系统的经济性,拷问管理决策失误 由于信息系统绩效审计尚没有成熟的评价指标体系,审计人员在实践中摸索了利用资金使用情况检查法、对比分析法、问卷调查法进行审计评价的方法。 利用资金使用情况检查法,通过调取财务资料、项目招投标手续、会议纪要等,对信息系统建设资金来源的合法性、资金支出的合规性、招投标手续的完备性、合法性等事项进行检查,发现项目运行及维护经费支出中,公务经费支出比例占一半以上,不利于发挥专项资金的使用效益;机房上百万元的基础设施闲置,未能发挥工程建设资金的
6、使用效益。通过审计还发现,项目建设周期过长,信息化的效益未能得到充分发挥。发改委批复项目建设周期为 2 年,截至审计之日,已历经 7 年时间,项目建设仍未完成,且资金到位率为 88%,实际完成投资额仅为49%。 利用对比分析法和问卷调查法,选择使用该系统的 10 家单位 13 个部门,对信息系统设计了 6 大项指标 18 个问题,使用加权平均法对问卷结果进行量化评分,问卷结果显示,信息系统的技术指标、技术经济效益(即性价比) 、社会效益的得分均在及格线以下,信息系统建设效益较差,应用情况不理想,用户满意度低。用户反映的问题主要集中在系统运行速度慢、稳定性差、功能不完善、数据不准确、需求不能及时
7、满足等方面。由于系统问题,有 2 个省辖市曾被投诉至市政府或效能办,2 个省辖市部分业务现在暂停办理。 由于该系统的不完善、数据不准确等原因,导致该系统的网上申报查询系统的利用率同样很低,企业投入资金未能发挥应有的效益。 深入细致探究原因,客观谨慎提出建议 我们所审计的重点单位,多是投入的资金量较大,与人民群众利益息息相关的单位,而这些单位信息系统存在较多的安全隐患和功能缺陷,建设效益不佳,将直接导致国家政策的执行力、人民群众的利益受到影响,因此,不仅要查出问题,还应深刻剖析原因。我们今年对某单位开展的信息系统审计中就发现,该单位建设开发的信息系统除了其本身功能缺陷外,本地化开发工作不足,开发
8、与实际应用脱节造成系统功能滞后于业务需求。一是导致系统功能改进中间环节多、周期长,不同程度上影响了各级系统使用部门正常业务的办理。二是导致系统功能不能和国家、当地政策有效结合,使国家和各地政府制定的政策不能得到及时的贯彻执行,无法有效堵塞国家资金征缴、管理和使用中的漏洞。 信息系统审计查出的问题有着十分复杂的背景和原因,处理时应十分谨慎和客观,对此,我们在审计报告中并未提出处理意见,而是提出了十二项审计整改建议,如督促规范专项资金的使用和管理,提高资金使用效益;加强系统使用部门、开发部门以及上级机关的沟通协商,切实做好需求调研,加快本地化开发进程,完善系统功能;加快建设进度,及时组织验收工作;加强系统安全管理,建立、健全安全管理制度和手段,消除安全隐患等。该项目的审计结果得到了主管副省长的批示。 结语 从查错纠弊到防微杜渐,从冰山一角到溯本求源,信息系统审计正在以其独特的优势冲击着审计人员的思维,以其创新的视角引领着国家审计发展的新趋势,在拓宽审计领域、深化审计内涵、提升审计质量、降低审计风险上,发挥着前所未有的作用和魅力。 (作者单位:河南省审 计厅计算机审计中心)