審計(jì)機(jī)關(guān)如何加強(qiáng)信息系統(tǒng)審計(jì)范文
本站小編為你精心準(zhǔn)備了審計(jì)機(jī)關(guān)如何加強(qiáng)信息系統(tǒng)審計(jì)參考范文,愿這些范文能點(diǎn)燃您思維的火花,激發(fā)您的寫作靈感。歡迎深入閱讀并收藏。
[摘要]信息系統(tǒng)審計(jì)作為信息化環(huán)境下的一種嶄新審計(jì)模式,在信息化大力發(fā)展的今天,順應(yīng)新時(shí)代要求,必將成為國(guó)家審計(jì)的重要組成部分。結(jié)合當(dāng)前形勢(shì)及工作實(shí)踐,文章闡述了積極推進(jìn)基層審計(jì)機(jī)關(guān)信息系統(tǒng)審計(jì)工作的必要性,提出當(dāng)前基層審計(jì)機(jī)關(guān)信息系統(tǒng)審計(jì)存在的問題以及加強(qiáng)信息系統(tǒng)審計(jì)的建議。
[關(guān)鍵詞]信息系統(tǒng);審計(jì);基層
黨的十八大以來,以同志為核心的黨中央從發(fā)展中國(guó)特色社會(huì)主義,實(shí)現(xiàn)中華民族偉大復(fù)興中國(guó)夢(mèng)的戰(zhàn)略高度,全面部署和推進(jìn)網(wǎng)絡(luò)安全和信息化工作。總書記指出抓住信息化發(fā)展歷史機(jī)遇,自主創(chuàng)新推進(jìn)網(wǎng)絡(luò)強(qiáng)國(guó)建設(shè)。信息系統(tǒng)審計(jì)作為信息化環(huán)境下的一種嶄新審計(jì)模式,在信息化大力發(fā)展的今天,順應(yīng)新時(shí)代要求,必將成為國(guó)家審計(jì)的重要組成部分。本文結(jié)合當(dāng)前形勢(shì)及工作實(shí)踐,對(duì)基層審計(jì)機(jī)關(guān)加強(qiáng)信息系統(tǒng)審計(jì)提出以下幾點(diǎn)思考和建議。
1積極推進(jìn)基層審計(jì)機(jī)關(guān)信息系統(tǒng)審計(jì)工作的必要性
1.1信息系統(tǒng)審計(jì)是智慧城市建設(shè)的基本保障
智慧城市是以物理設(shè)備、電腦網(wǎng)絡(luò)、人腦智慧為基本框架,智能政府、智能經(jīng)濟(jì)、智能社會(huì)為基本內(nèi)容的經(jīng)濟(jì)結(jié)構(gòu)、增長(zhǎng)方式和城市形態(tài),其由智能城市管理系統(tǒng)輔助管理城市。從信息化到智能化,再到智慧化,是建設(shè)智慧城市的必由之路,不斷擴(kuò)大的信息系統(tǒng)是其核心載體。如果進(jìn)一步全面開展智慧城市建設(shè),政府部門的信息化水平將飛速提升,信息系統(tǒng)建設(shè)數(shù)量也必將呈現(xiàn)新高。一旦缺乏信息系統(tǒng)審計(jì)監(jiān)督,信息系統(tǒng)的安全性、可靠性和效益性無法充分得到保障,即信息系統(tǒng)審計(jì)的開展將推動(dòng)政府部門信息化建設(shè),是城市治理現(xiàn)代化向智慧城市發(fā)展的基本保障。
1.2信息系統(tǒng)審計(jì)是大數(shù)據(jù)審計(jì)質(zhì)量的根本保障
信息系統(tǒng)審計(jì)是一個(gè)通過收集和評(píng)價(jià)審計(jì)證據(jù),獨(dú)立于信息系統(tǒng)本身,并對(duì)信息系統(tǒng)保護(hù)資產(chǎn)的安全,維護(hù)數(shù)據(jù)的完整,使被審計(jì)單位的目標(biāo)得以有效實(shí)現(xiàn),組織的資源得到高效使用等方面做出判斷的過程。總書記在中央審計(jì)委員會(huì)第一次會(huì)議上強(qiáng)調(diào),要堅(jiān)持科技強(qiáng)審,加強(qiáng)審計(jì)信息化建設(shè),實(shí)現(xiàn)審計(jì)全覆蓋。要加強(qiáng)審計(jì)大數(shù)據(jù)建設(shè),開展聯(lián)網(wǎng)監(jiān)督,充分利用大數(shù)據(jù)查找問題、宏觀分析。審計(jì)人員開展大數(shù)據(jù)審計(jì)的業(yè)務(wù)數(shù)據(jù)和財(cái)務(wù)數(shù)據(jù)等基本資料均來源于被審計(jì)單位提供的信息系統(tǒng)備份數(shù)據(jù)。因此,數(shù)據(jù)的真實(shí)性和完整性直接影響到審計(jì)結(jié)果,也影響到一個(gè)審計(jì)項(xiàng)目的最終審計(jì)質(zhì)量。
1.3信息系統(tǒng)審計(jì)是防范數(shù)據(jù)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)重要手段
隨著云平臺(tái)和數(shù)據(jù)中心的興起,數(shù)據(jù)的物理邊界越來越模糊,數(shù)據(jù)的高度集中讓數(shù)據(jù)安全防護(hù)壓力越來越大。網(wǎng)絡(luò)安全領(lǐng)域顯示出新轉(zhuǎn)變。一是信息安全向業(yè)務(wù)安全轉(zhuǎn)變。現(xiàn)在不光要關(guān)注信息安全,更要關(guān)注保障信息基礎(chǔ)設(shè)施和眾多物聯(lián)網(wǎng)設(shè)備的運(yùn)行安全。二是個(gè)人安全向機(jī)構(gòu)安全轉(zhuǎn)變。政府和企業(yè)的信息安全是要解決的重中之重。三是安全防護(hù)從外向內(nèi)進(jìn)化。網(wǎng)絡(luò)安全已由外網(wǎng)防護(hù)向內(nèi)網(wǎng)轉(zhuǎn)移,網(wǎng)絡(luò)攻擊的目標(biāo)更多是內(nèi)網(wǎng)。近年來,基層政府內(nèi)網(wǎng)被植入“后門”,個(gè)人信息集中泄露,網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)竊密頻頻出現(xiàn)。因此,加強(qiáng)信息系統(tǒng)審計(jì),執(zhí)行信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估就顯得極其重要。
2當(dāng)前基層審計(jì)機(jī)關(guān)信息系統(tǒng)審計(jì)存在的問題
2.1審計(jì)內(nèi)容組織方式單一
目前開展的信息系統(tǒng)審計(jì)主要針對(duì)應(yīng)用系統(tǒng)的開發(fā)、獲得、實(shí)施與維護(hù)方面所采用的方法和流程進(jìn)行了評(píng)價(jià),評(píng)判是否滿足了被審計(jì)單位的業(yè)務(wù)目標(biāo)。對(duì)評(píng)價(jià)信息系統(tǒng)的管理計(jì)劃與組織的策略政策標(biāo)準(zhǔn)程序、信息系統(tǒng)技術(shù)基礎(chǔ)設(shè)施與操作實(shí)務(wù)、基礎(chǔ)設(shè)施的安全性、災(zāi)難恢復(fù)與業(yè)務(wù)持續(xù)計(jì)劃、業(yè)務(wù)流程評(píng)價(jià)與風(fēng)險(xiǎn)管理等其他五個(gè)方面未進(jìn)行有效評(píng)估。目前信息系統(tǒng)審計(jì)主要采取專項(xiàng)調(diào)查等方式,未與其他審計(jì)類型有效結(jié)合。
2.2審計(jì)主體缺乏復(fù)合型人才
一是基層審計(jì)機(jī)關(guān)的專業(yè)水平和信息系統(tǒng)審計(jì)要求差距較大。信息系統(tǒng)審計(jì)執(zhí)行主體除了需要掌握計(jì)算機(jī)硬件和軟件技術(shù)知識(shí)外,還需要對(duì)其控制措施和實(shí)際的內(nèi)部控制措施相結(jié)合,同時(shí)還要熟悉審計(jì)業(yè)務(wù)本身。但是目前基層審計(jì)機(jī)關(guān)同時(shí)具備會(huì)計(jì)、審計(jì)、管理和計(jì)算機(jī)等方面專業(yè)知識(shí)的人才較為缺乏,對(duì)信息系統(tǒng)審計(jì)工作有心無力,專業(yè)敏感性差,經(jīng)驗(yàn)缺乏。二是基層審計(jì)機(jī)關(guān)信息系統(tǒng)審計(jì)理念與時(shí)代要求差距較大。部分老審計(jì)人員思維固化,沒有融入信息化高速發(fā)展的大潮中,具體審計(jì)工作局限于“一畝三分地”,缺乏學(xué)習(xí)的動(dòng)力。
2.3審計(jì)風(fēng)險(xiǎn)相對(duì)較大
在信息系統(tǒng)的應(yīng)用過程中,信息系統(tǒng)在被審計(jì)單位管理活動(dòng)中已經(jīng)是必不可少的工具,如果系統(tǒng)停止工作,就會(huì)影響被審計(jì)單位的管理活動(dòng),甚至帶來損失。因此在進(jìn)行信息系統(tǒng)審計(jì)時(shí),尤其是在系統(tǒng)取證過程中,存在被審計(jì)單位事后不承認(rèn)的風(fēng)險(xiǎn)。信息系統(tǒng)審計(jì)的測(cè)試必須要在被審計(jì)單位信息系統(tǒng)上直接執(zhí)行,一旦測(cè)試時(shí)間不當(dāng)或測(cè)試設(shè)計(jì)不完善都可能影響到信息系統(tǒng)的正常運(yùn)行。
3新時(shí)代基層審計(jì)機(jī)關(guān)加強(qiáng)信息系統(tǒng)審計(jì)的幾點(diǎn)建議
3.1強(qiáng)化審計(jì)項(xiàng)目計(jì)劃,突出審計(jì)重點(diǎn)
一是加強(qiáng)年度計(jì)劃的制定。審計(jì)信息系統(tǒng)的應(yīng)用環(huán)境存在較多不確定因素,要在制定審計(jì)項(xiàng)目計(jì)劃時(shí)考慮到。同時(shí),充分考慮審計(jì)技術(shù)力量,避免出現(xiàn)審計(jì)資源浪費(fèi)等情況。充分了解本地信息系統(tǒng)分布實(shí)施情況,結(jié)合當(dāng)?shù)刂行墓ぷ鳎龊媚甓扔?jì)劃,包括短期計(jì)劃和長(zhǎng)期計(jì)劃,確保審計(jì)結(jié)果能有效發(fā)揮作用。二是強(qiáng)化審計(jì)調(diào)查,確定好審計(jì)目標(biāo)和重點(diǎn)。根據(jù)年度計(jì)劃,確定被審計(jì)領(lǐng)域,明確審計(jì)目標(biāo)。全面熟悉相關(guān)法規(guī)及執(zhí)行標(biāo)準(zhǔn),了解信息系統(tǒng)網(wǎng)絡(luò)基礎(chǔ)設(shè)施、當(dāng)前計(jì)算機(jī)犯罪與攻擊方法,熟悉被審計(jì)單位信息系統(tǒng)的邏輯訪問控制等,確定要檢查的具體系統(tǒng)、職能或單元,以確定審計(jì)重點(diǎn)。三是學(xué)習(xí)相關(guān)標(biāo)準(zhǔn)、準(zhǔn)則,找準(zhǔn)適宜的工具和技術(shù)。審計(jì)人員在信息系統(tǒng)審計(jì)項(xiàng)目計(jì)劃制定時(shí),就應(yīng)熟悉該準(zhǔn)則,確保在項(xiàng)目實(shí)施中,能有章可依、有據(jù)可循。目前,中內(nèi)協(xié)了《第3205號(hào)內(nèi)部審計(jì)實(shí)務(wù)指南———信息系統(tǒng)審計(jì)》,自2021年3月1日施行,其中包括概述、組織層面信息管理控制審計(jì)、信息系統(tǒng)一般控制審計(jì)、信息系統(tǒng)應(yīng)用控制審計(jì)、信息系統(tǒng)專項(xiàng)審計(jì)、信息系統(tǒng)審計(jì)質(zhì)量控制及信息系統(tǒng)審計(jì)文檔和示例。
3.2改進(jìn)組織方式,實(shí)現(xiàn)提質(zhì)增效
一是信息系統(tǒng)的購置、開發(fā)與實(shí)施的審計(jì)采用“預(yù)決算+信息系統(tǒng)審計(jì)”“經(jīng)責(zé)+信息系統(tǒng)審計(jì)”“投資+信息系統(tǒng)審計(jì)資”等融合式、嵌入式審計(jì)組織方式。每個(gè)項(xiàng)目將信息系統(tǒng)的購置、開發(fā)與實(shí)施納入重點(diǎn)審計(jì)內(nèi)容版塊,作為常規(guī)審計(jì)內(nèi)容與其他審計(jì)類型相結(jié)合,既充分調(diào)動(dòng)審計(jì)力量,節(jié)約審計(jì)資源,又確保每個(gè)信息系統(tǒng)都能納入審計(jì)監(jiān)督。二是對(duì)行業(yè)主管部門或信息系統(tǒng)較多、安全指數(shù)較高的重要部門,進(jìn)行信息系統(tǒng)專項(xiàng)審計(jì)調(diào)查。根據(jù)信息系統(tǒng)審計(jì)內(nèi)容的6個(gè)方面,結(jié)合被審計(jì)單位的業(yè)務(wù)特點(diǎn)及安全防范要求,重點(diǎn)評(píng)估被審計(jì)單位信息系統(tǒng)資產(chǎn)的安全性、信息系統(tǒng)的效率效益性。三是對(duì)重大信息系統(tǒng)獲取、開發(fā)實(shí)施的審計(jì),采取跟蹤審計(jì)方式。信息系統(tǒng)審計(jì)可以參照工程審計(jì)組織方式,從項(xiàng)目可行性分析、功能性要求、設(shè)計(jì)到測(cè)試,審計(jì)都參與其中。從最初設(shè)計(jì)方案開發(fā),到模塊和組件的確定等,還要詳細(xì)考慮面臨的密碼控制不足、應(yīng)用程序總體安全等風(fēng)險(xiǎn)。在開發(fā)應(yīng)用中,審計(jì)應(yīng)跟蹤評(píng)估該系統(tǒng)是否滿足被審計(jì)單位需求,是否符合預(yù)期的成本效益,能否實(shí)現(xiàn)建設(shè)目標(biāo),系統(tǒng)的安全性和穩(wěn)定性是否達(dá)標(biāo),系統(tǒng)的可擴(kuò)展性和互操作性是否科學(xué)等。最后,審計(jì)還要跟蹤其審計(jì)問題整改是否及時(shí)、是否合理、是否存在缺失浪費(fèi)的現(xiàn)象。
3.3加大人才培養(yǎng),組建高素質(zhì)復(fù)合型審計(jì)隊(duì)伍
一是強(qiáng)化教育培訓(xùn),多措并舉,提升干部綜合能力。分基礎(chǔ)班、提升班,積極開展網(wǎng)絡(luò)安全、計(jì)算機(jī)基礎(chǔ)知識(shí)、信息系統(tǒng)審計(jì)等講壇,結(jié)合審計(jì)案例,把理論講透、措施講細(xì),便于基層審計(jì)干部對(duì)標(biāo)落實(shí)。其次,鼓勵(lì)年輕審計(jì)人員參加國(guó)際注冊(cè)信息系統(tǒng)審計(jì)師考試,掌握相應(yīng)的技術(shù)能力。同時(shí)信息系統(tǒng)審計(jì)師必須接受有關(guān)新審計(jì)技術(shù)和技術(shù)領(lǐng)域的定向培訓(xùn),積極提升自我能力和技術(shù)。二是加強(qiáng)實(shí)戰(zhàn)交流,強(qiáng)化上掛下派的良性流動(dòng)機(jī)制,加快轉(zhuǎn)崗交流頻次,真正達(dá)到上下互動(dòng)互聯(lián)、一體化發(fā)展。如選派部分基層審計(jì)干部參與上級(jí)的信息系統(tǒng)審計(jì)項(xiàng)目,鍛煉信息系統(tǒng)審計(jì)專業(yè)能力;推動(dòng)上級(jí)信息系統(tǒng)審計(jì)骨干到基層任信息系統(tǒng)審計(jì)項(xiàng)目的審計(jì)組長(zhǎng),把先進(jìn)的審計(jì)模式、嚴(yán)謹(jǐn)?shù)陌踩庾R(shí)傳遞到基層審計(jì)機(jī)關(guān)。三是建立專家?guī)欤檎{(diào)各行業(yè)主管部門業(yè)務(wù)能手、計(jì)算機(jī)專家等到專家?guī)欤鋵?shí)審計(jì)隊(duì)伍。
3.4加強(qiáng)系統(tǒng)管控,防范化解審計(jì)風(fēng)險(xiǎn)
一是在對(duì)被審計(jì)單位信息系統(tǒng)開展實(shí)質(zhì)性測(cè)試時(shí),審計(jì)人員全程監(jiān)督檢查被審計(jì)單位技術(shù)人員當(dāng)場(chǎng)完成相應(yīng)測(cè)試工作,避免誤操作引起安全風(fēng)險(xiǎn)。二是實(shí)質(zhì)性測(cè)試時(shí)現(xiàn)場(chǎng)必須要有2名以上被審計(jì)單位技術(shù)專家,2名以上審計(jì)人員同時(shí)在場(chǎng)。三是盡量選擇非業(yè)務(wù)高峰期對(duì)系統(tǒng)進(jìn)行實(shí)質(zhì)性測(cè)試,測(cè)試數(shù)據(jù)要盡可能簡(jiǎn)單、完善,對(duì)正常的業(yè)務(wù)數(shù)據(jù)不能產(chǎn)生影響。四是開展計(jì)算機(jī)信息系統(tǒng)審計(jì)時(shí),要了解政府或其他相關(guān)外部單位對(duì)被審計(jì)單位電子數(shù)據(jù)、計(jì)算機(jī)系統(tǒng)操作和控制、信息技術(shù)服務(wù)等的相關(guān)要求,了解被審計(jì)單位與IT服務(wù)提供商之間的合同或協(xié)議,確保提取數(shù)據(jù)流程合法合規(guī)。同時(shí)服務(wù)器與審計(jì)人員計(jì)算機(jī)以及計(jì)算機(jī)的數(shù)據(jù)進(jìn)行傳導(dǎo)時(shí),要使用注冊(cè)登記的U盤。對(duì)使用的數(shù)據(jù)要注意保密,項(xiàng)目完成后要對(duì)數(shù)據(jù)及時(shí)進(jìn)行處理。五是強(qiáng)化取證記錄質(zhì)量。在發(fā)現(xiàn)信息系統(tǒng)薄弱環(huán)節(jié)和舞弊跡象時(shí)要及時(shí)取證,同時(shí)與在場(chǎng)的被審計(jì)單位技術(shù)人員充分溝通,當(dāng)場(chǎng)取得他們簽字認(rèn)可,避免事后對(duì)方不認(rèn)賬,嚴(yán)格秉承謹(jǐn)慎的態(tài)度,審慎地履行職責(zé)。
主要參考文獻(xiàn)
[1]樊娟玲.政府部門信息化建設(shè)現(xiàn)存問題及對(duì)策分析[J].人力資源管理,2015(4):194.
[2]萬鵬遠(yuǎn).推進(jìn)網(wǎng)絡(luò)安全與信息化協(xié)同發(fā)展努力建設(shè)網(wǎng)絡(luò)強(qiáng)國(guó)[J/OL].人民論壇網(wǎng),2016(9).
[3]張大雷.企業(yè)實(shí)施信息系統(tǒng)審計(jì)的途徑與方法[J].信息安全與技術(shù),2010(10):54-56.
作者:王紅 單位:重慶市永川區(qū)審計(jì)局
