审计署
一、检查信息系统相关审计事项的目标和关注重点
审计机关在开展财政财务收支审计、绩效审计项目或者专项审计调查项目时,针对被审计单位信息系统,安排相关审计事项,目标是揭示由于信息系统缺陷而导致的信息安全风险、经济安全风险,促进被审计单位加强信息化条件下的内部管理和控制,提高信息化建设项目的效益,同时保证审计所需数据的可靠性和可用性,降低审计风险,充分发挥审计保障国家经济社会健康运行的“免疫系统”功能。
从被审计单位信息化建设和应用的现实情况出发,结合审计对于国家信息安全的关注,当前检查信息系统相关审计事项要重点关注网络、设备、操作系统、数据库、环境等系统要素的“安全性”,规范管理、提高效率、共享信息、数据准确等功能要素的“有效性”,组织目标实现、投资收益、性价比、利用覆盖率等项目要素的“经济性”。
二、对信息系统相关审计事项进行检查的主要内容
对于多数审计项目来说,对信息系统相关审计事项进行检查是一项新的审计工作内容,要以开拓、创新的精神,在实践中不断探索,总结经验。当前针对被审计单位信息系统,安排相关审计事项,可以根据审计项目目标的需要,有所侧重地检查以下内容:
(一)检查信息系统的安全性。
检查的对象包括:局域网、广域网、因特网接入网等网络;服务器、存储、网络及安全、计算机终端等设备;操作系统、中间件、数据库、应用等软件;机房、电源、空调、安防等条件环境。针对这些系统要素,检查被审计单位是否制定了安全管理制度并得到贯彻执行;信息系统设计是否符合国家等级保护、分级保护要求;对关键的数据信息资源是否采取了适当的保护措施;数据信息物理访问、逻辑访问安全措施是否适当有效;系统安全员、安全审计员履行职责是否到位;防病毒木马、防网络攻击等安全措施是否落实;防火、防雷、防盗等安全设施是否有效。
检查信息系统的安全性要突出重点,讲求实效,根据系统的规模大小、被审计单位业务对信息系统的依赖程度,评估其采取的安全措施,评价安全缺陷可能造成的损害,实事求是地提出审计整改意见。
(二)检查信息系统的有效性。
检查的对象包括:业务流程还原或者再造、关键节点控制等规范管理的功能;避免重复操作、自动批量处理等提高效率的功能;数据同源,消除空间局限、实现远程处理等共享信息的功能;接口及逻辑处理正确、真实记录经济活动等数据准确的功能。针对这些功能要素,检查被审计单位系统软件、关键业务应用软件功能是否能够满足业务开展的需要;信息系统日常操作管理、配置管理、问题管理等是否有效;数据、参数的生成、存储、传输、处理等是否进行适当有效的控制; 不同系统之间是否建立有效控制的数据接口;检查是否存在基础信息混乱,信息无法共享等问题;检查信息系统灾难恢复计划是否能够保证关键业务的持续运行,电子数据备份是否符合相关规定,是否能够保证数据及时、准确地恢复。
检查信息系统的有效性要紧密结合审计目标,突出重点,注意对业务流程和关键控制节点分析,从中查找信息系统有效性可能存在的缺陷,防患于未然,发挥“免疫系统”功能。在数据审计中发现异常时,要注意从信息系统功能中排查原因,揭示信息系统舞弊,打击利用信息系统漏洞的违法犯罪活动。对于信息系统功能存在缺陷,有碍被审计单位管理制度落实,甚至危及信息安全、经济安全的,要提出整改要求。
(三)检查信息系统的经济性。
检查的对象包括:项目建议书、可行性研究报告、初步设计等项目建设文档;实施、验收过程;建设投入;使用状况;满意度等。针对这些项目要素,检查项目建设文档确定的建设目标与被审计单位业务的符合程度,建设目标能否给带来合理的回报或推动业务发展;检查立项、审批、招标、实施、验收等项目建设环节过程是否存在浪费、损失、舞弊现象;交付成果与建设目标的符合程度,如有调整则检查是否有利于建设目标优化;投资是否超预算;交付成果与投资的性价比;投资结构调整是否有利于优化性价比;交付成果的利用率;交付成果对核心业务流程的覆盖率;被审计单位工作人员使用交付成果的比例。
检查信息系统的经济性要以评价性价比为核心,关注项目对提高被审计单位工作效率、加强内部管理控制的作用,相对于投入资金是否物有所值。
三、检查信息系统相关审计事项的分类
参考国外有关机构对于信息系统审计的事项分类,结合中国的实践,当前检查信息系统相关审计事项可以从以下9个方面的26个事项予以重点关注:
(一)安全管理方面。包括:安全管理制度制定情况、安全管理职责履行情况2个审计事项。
(二)物理环境安全方面。包括:机房环境安全合规性、硬件设备安全合规性、网络安全保护措施合规性3个审计事项。
(三)软件安全方面。包括:操作系统安全性、数据库安全性、应用系统访问安全性3个审计事项。
(四)信息系统功能方面。包括:业务处理流程与业务需求吻合性、业务处理流程完备合理性、业务数据处理控制有效性3个审计事项。
(五)信息系统运行方面。包括:系统运行管理制度执行情况、系统运行有效支持业务开展情况、配置变更管理情况3个审计事项。
(六)数据与接口方面。包括:重要数据参数的管理控制情况、相关系统间接口设计合理性、相关系统间数据传递正确性3个审计事项。
(七)灾备方面。包括:应急计划的制定和落实情况、灾难备份恢复有效性2个审计事项。
(八)项目建设管理方面。包括:建设程序的合规性、建设内容与建设文档的符合性2个审计事项。
(九)项目建设效果方面。包括:建成系统与业务需求的符合性、系统的用户满意度、对核心业务流程的覆盖程度、设备利用合理性、性能价格比5个审计事项。
以上事项,审计人员可以根据审计项目或者审计调查项目的需要,结合审计目标和被审计单位实际情况有所侧重地选择实施。
四、检查信息系统相关审计事项的组织管理
审计机关在开展财政财务收支审计、绩效审计项目或者专项审计调查项目时,需要检查信息系统相关审计事项的,应当将其有关内容写入审计工作方案和审计实施方案,由熟悉信息系统构成、具有计算机专业知识技能的人员实施;实施检查时,要审慎地执行信息系统的控制评估与测试操作,检查结果写入审计报告;审计报告要针对信息系统安全性、有效性、经济性方面存在的问题作出实事求是的评价,所提出的建议要中肯、可行。鉴于信息系统存在缺陷的敏感性,需要公开的审计报告中不描述系统漏洞、检查方法等相关细节,需要被审计单位整改的,可另以函件形式告知。
原方案中不包含检查信息系统相关审计事项的审计项目和专项审计调查项目,如果在对业务流程和内部管理控制的分析过程中发现信息系统可能存在安全隐患、在对数据审计的过程中发现有规律性的异常线索而且有理由怀疑错弊源自信息系统、在对建设项目的审计中发现有必要对其经济性进行评估,可履行适当的报批程序,补充审计方案,设计审计事项,调配合适的人员,进行延伸审计。
有条件的审计机关可以根据电子政务建设、信息安全、经济安全的需要,针对单个或者若干信息系统,对其安全性、有效性、经济性进行审计或者审计调查。审计的内容可以是全面检查,也可以将重点限定在某些特定的方面或者领域。
审计机关针对被审计单位信息系统,安排相关审计事项,要因地制宜,采用适合实际情况的审计组织方式,灵活开展工作。要树立数据与信息系统的整体关联意识,拓宽视野,发现线索及时延伸。
五、检查信息系统相关审计事项的主要方法和工具
在检查信息系统相关审计事项时,面谈询问法、调查问卷法、文件审阅法、实地观察法等通常使用的审计方法仍要使用。在使用这些方法时,要注意与检查信息系统相关审计事项的内容紧密结合。此外还要结合检查工作的需要,有所选择地学习、采用检查信息系统相关审计事项所特有的审计方法,主要有:
(一)流程图检查法。即:通过绘制或者检查被审计单位提供的流程图,加深对信息系统结构的理解,分析信息系统的运行过程,关注信息系统控制节点和控制条件,追踪业务样本,从而评估信息系统控制是否存在明显错误或者缺陷。
(二)测试数据法。即:根据审计人员对被审计单位信息系统业务或者管理流程的理解,设计专门的测试数据,在系统中模拟业务的处理全过程,并将测试数据的模拟处理结果与预期处理结果进行比较核对,从而判断信息系统的功能与控制是否存在明显错误或者缺陷。
(三)平行模拟法。即:把被审计单位的真实业务数据分别用被审计单位在用程序、审计人员另行准备的程序进行处理,将二者运行的结果进行比对,从而判断逻辑处理功能是否存在明显错误或者缺陷。
(四)源代码检查法。即:有重点地抽查若干程序源代码的片段,从而判断金额计算、业务授权等关键数据处理是否存在明显错误或者缺陷。
(五)日志分析法。即:运用数据审计技术和软件,对信息系统自动记录的日志进行筛选分析,检查有无未经授权的进入、非法修改删除数据等异常操作,从而判断信息系统的运行管理是否存在明显错误或者缺陷。
在确保安全的条件下,审计人员可以有选择地使用比较成熟而且被业界认为安全的系统漏洞扫描、信息捕获工具和软件。审计人员在检查网络、服务器、防火墙等设备和操作系统、数据库等软件的安全性和可靠性时,也可以直接使用其自带的命令、检测诊断工具进行审计测试。
检查信息系统相关审计事项所使用的方法更多地涉及计算机技术,是目前常用审计方法的扩展和创新。各级审计机关应当采取培训学习、寻求技术人员协助等方式,配置合理的资源,在审计实践中勇于探索,不断总结,逐步形成符合中国国情的、富于实效的审计方法体系。(来源审计署网)
责任编辑:审计局