崔瑞瑞 韓強(qiáng) 付紅亮 王昕

信息系統(tǒng)審計(jì)是一項(xiàng)較新的審計(jì)領(lǐng)域，也是計(jì)算機(jī)審計(jì)的一項(xiàng)重要審計(jì)內(nèi)容，它通過(guò)關(guān)注信息系統(tǒng)的可靠性和安全性，促進(jìn)被審計(jì)單位的信息安全和數(shù)據(jù)真實(shí)。日前，筆者從一般控制、應(yīng)用控制、績(jī)效等事項(xiàng)，對(duì)某單位開(kāi)展信息系統(tǒng)審計(jì)，并從真實(shí)性、安全性、有效性、經(jīng)濟(jì)性等方面進(jìn)行了審計(jì)評(píng)價(jià)，揭示被審計(jì)單位信息系統(tǒng)存在的漏洞和安全隱患，積極摸索了信息系統(tǒng)績(jī)效審計(jì)的方式方法，積累了一定經(jīng)驗(yàn)，筆者從以下幾個(gè)方面淺談一些看法。

一般控制審計(jì)，全面評(píng)估系統(tǒng)及環(huán)境安全性，揭示系統(tǒng)安全隱患

在一般控制審計(jì)中，審計(jì)人員通過(guò)日志分析法，分析財(cái)務(wù)軟件的操作記錄，發(fā)現(xiàn)被審計(jì)單位的財(cái)務(wù)軟件存在反記賬、反結(jié)賬功能，其中部分反記反結(jié)賬操作為修改之前的憑證信息，且時(shí)間跨度超過(guò)180天，導(dǎo)致之前被修改月份已形成的會(huì)計(jì)報(bào)表數(shù)字不真實(shí)。

通過(guò)實(shí)地觀察法和面談詢問(wèn)法，對(duì)信息系統(tǒng)的部署環(huán)境（包括機(jī)房和設(shè)備）進(jìn)行檢查和測(cè)評(píng)，發(fā)現(xiàn)機(jī)房未建設(shè)電子門(mén)禁系統(tǒng)；未安裝水浸、監(jiān)控探頭等監(jiān)控設(shè)備；部分服務(wù)器主機(jī)設(shè)備已過(guò)質(zhì)保服務(wù)期，且未進(jìn)行硬件維護(hù)服務(wù)外包；未制定機(jī)房出入登記管理制度；未制定針對(duì)信息系統(tǒng)及其機(jī)房硬件設(shè)備出現(xiàn)重大問(wèn)題時(shí)的應(yīng)急管理制度等，信息系統(tǒng)的環(huán)境存在安全隱患。

利用漏洞掃描工具和網(wǎng)絡(luò)檢測(cè)診斷工具，對(duì)信息系統(tǒng)的網(wǎng)絡(luò)環(huán)境進(jìn)行了檢查和評(píng)估。發(fā)現(xiàn)被審計(jì)單位的三個(gè)網(wǎng)絡(luò)（業(yè)務(wù)內(nèi)網(wǎng)、業(yè)務(wù)外網(wǎng)、外網(wǎng)申報(bào)網(wǎng)絡(luò)）部分服務(wù)器主機(jī)存在操作系統(tǒng)、后臺(tái)數(shù)據(jù)庫(kù)弱口令以及重要漏洞未修補(bǔ)等問(wèn)題；三個(gè)網(wǎng)絡(luò)均缺少監(jiān)控篡改、誤改數(shù)據(jù)庫(kù)的安全審計(jì)系統(tǒng)，缺少防止非法用戶入侵網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)，缺少提升網(wǎng)絡(luò)管理性能和安全性的網(wǎng)絡(luò)管理系統(tǒng)，缺少對(duì)日常上網(wǎng)行為進(jìn)行規(guī)范和記錄的上網(wǎng)行為管理系統(tǒng)，網(wǎng)絡(luò)安全存在隱患。

通過(guò)問(wèn)卷調(diào)查法，對(duì)被審計(jì)單位的信息系統(tǒng)安全進(jìn)行了評(píng)估。發(fā)現(xiàn)被審計(jì)單位的四套信息系統(tǒng)均未進(jìn)行安全等級(jí)測(cè)評(píng)，未制定風(fēng)險(xiǎn)評(píng)估計(jì)劃和方案，系統(tǒng)安全存在隱患。

應(yīng)用控制審計(jì)，深入分析信息系統(tǒng)的有效性，查找系統(tǒng)功能漏洞

利用測(cè)試數(shù)據(jù)法和流程圖檢查法，通過(guò)構(gòu)建數(shù)據(jù)驗(yàn)證分析模型，對(duì)信息系統(tǒng)的業(yè)務(wù)流程控制、數(shù)據(jù)接口、數(shù)據(jù)輸入、處理、輸出控制、數(shù)據(jù)庫(kù)應(yīng)用控制、數(shù)據(jù)邏輯控制的有效性和可靠性進(jìn)行了測(cè)試，同時(shí)結(jié)合數(shù)據(jù)審計(jì)和財(cái)務(wù)收支審計(jì)發(fā)現(xiàn)的問(wèn)題，從信息系統(tǒng)的層面分析問(wèn)題產(chǎn)生的深層次原因。

經(jīng)過(guò)審計(jì)，發(fā)現(xiàn)業(yè)務(wù)信息系統(tǒng)與財(cái)務(wù)信息系統(tǒng)不銜接，且未設(shè)計(jì)對(duì)賬功能，導(dǎo)致業(yè)務(wù)信息系統(tǒng)無(wú)法全面、真實(shí)反映收入情況，如某單位在審計(jì)年度兩大系統(tǒng)收入差額數(shù)百萬(wàn)元；業(yè)務(wù)信息系統(tǒng)功能不完善，導(dǎo)致不能重現(xiàn)歷史滯后補(bǔ)繳計(jì)劃，無(wú)法準(zhǔn)確核算歷史征繳計(jì)劃和單位欠費(fèi)情況；業(yè)務(wù)信息系統(tǒng)未設(shè)計(jì)檢測(cè)關(guān)鍵標(biāo)志信息功能，導(dǎo)致未足額繳納費(fèi)用；未設(shè)計(jì)檢測(cè)數(shù)據(jù)合理性功能，導(dǎo)致系統(tǒng)基礎(chǔ)信息不真實(shí)、不合理，個(gè)別人重復(fù)享受待遇或多享受待遇；未設(shè)計(jì)檢測(cè)數(shù)據(jù)合規(guī)性功能，導(dǎo)致不符合條件人員享受待遇；未設(shè)計(jì)多支應(yīng)收回計(jì)劃功能，導(dǎo)致無(wú)法自動(dòng)生成多支應(yīng)收回計(jì)劃，多支付的待遇金額未及時(shí)追回；新老系統(tǒng)數(shù)據(jù)轉(zhuǎn)換錯(cuò)誤，導(dǎo)致部分字段數(shù)據(jù)不合理、數(shù)據(jù)邏輯錯(cuò)誤。

績(jī)效審計(jì)，綜合評(píng)價(jià)信息系統(tǒng)的經(jīng)濟(jì)性，拷問(wèn)管理決策失誤

由于信息系統(tǒng)績(jī)效審計(jì)尚沒(méi)有成熟的評(píng)價(jià)指標(biāo)體系，審計(jì)人員在實(shí)踐中摸索了利用資金使用情況檢查法、對(duì)比分析法、問(wèn)卷調(diào)查法進(jìn)行審計(jì)評(píng)價(jià)的方法。

利用資金使用情況檢查法，通過(guò)調(diào)取財(cái)務(wù)資料、項(xiàng)目招投標(biāo)手續(xù)、會(huì)議紀(jì)要等，對(duì)信息系統(tǒng)建設(shè)資金來(lái)源的合法性、資金支出的合規(guī)性、招投標(biāo)手續(xù)的完備性、合法性等事項(xiàng)進(jìn)行檢查，發(fā)現(xiàn)項(xiàng)目運(yùn)行及維護(hù)經(jīng)費(fèi)支出中，公務(wù)經(jīng)費(fèi)支出比例占一半以上，不利于發(fā)揮專項(xiàng)資金的使用效益；機(jī)房上百萬(wàn)元的基礎(chǔ)設(shè)施閑置，未能發(fā)揮工程建設(shè)資金的使用效益。通過(guò)審計(jì)還發(fā)現(xiàn)，項(xiàng)目建設(shè)周期過(guò)長(zhǎng)，信息化的效益未能得到充分發(fā)揮。發(fā)改委批復(fù)項(xiàng)目建設(shè)周期為2年，截至審計(jì)之日，已歷經(jīng)7年時(shí)間，項(xiàng)目建設(shè)仍未完成，且資金到位率為88%，實(shí)際完成投資額僅為49%。

利用對(duì)比分析法和問(wèn)卷調(diào)查法，選擇使用該系統(tǒng)的10家單位13個(gè)部門(mén)，對(duì)信息系統(tǒng)設(shè)計(jì)了6大項(xiàng)指標(biāo)18個(gè)問(wèn)題，使用加權(quán)平均法對(duì)問(wèn)卷結(jié)果進(jìn)行量化評(píng)分，問(wèn)卷結(jié)果顯示，信息系統(tǒng)的技術(shù)指標(biāo)、技術(shù)經(jīng)濟(jì)效益（即性價(jià)比）、社會(huì)效益的得分均在及格線以下，信息系統(tǒng)建設(shè)效益較差，應(yīng)用情況不理想，用戶滿意度低。用戶反映的問(wèn)題主要集中在系統(tǒng)運(yùn)行速度慢、穩(wěn)定性差、功能不完善、數(shù)據(jù)不準(zhǔn)確、需求不能及時(shí)滿足等方面。由于系統(tǒng)問(wèn)題，有2個(gè)省轄市曾被投訴至市政府或效能辦，2個(gè)省轄市部分業(yè)務(wù)現(xiàn)在暫停辦理。

由于該系統(tǒng)的不完善、數(shù)據(jù)不準(zhǔn)確等原因，導(dǎo)致該系統(tǒng)的網(wǎng)上申報(bào)查詢系統(tǒng)的利用率同樣很低，企業(yè)投入資金未能發(fā)揮應(yīng)有的效益。

深入細(xì)致探究原因，客觀謹(jǐn)慎提出建議

我們所審計(jì)的重點(diǎn)單位，多是投入的資金量較大，與人民群眾利益息息相關(guān)的單位，而這些單位信息系統(tǒng)存在較多的安全隱患和功能缺陷，建設(shè)效益不佳，將直接導(dǎo)致國(guó)家政策的執(zhí)行力、人民群眾的利益受到影響，因此，不僅要查出問(wèn)題，還應(yīng)深刻剖析原因。我們今年對(duì)某單位開(kāi)展的信息系統(tǒng)審計(jì)中就發(fā)現(xiàn)，該單位建設(shè)開(kāi)發(fā)的信息系統(tǒng)除了其本身功能缺陷外，本地化開(kāi)發(fā)工作不足，開(kāi)發(fā)與實(shí)際應(yīng)用脫節(jié)造成系統(tǒng)功能滯后于業(yè)務(wù)需求。一是導(dǎo)致系統(tǒng)功能改進(jìn)中間環(huán)節(jié)多、周期長(zhǎng)，不同程度上影響了各級(jí)系統(tǒng)使用部門(mén)正常業(yè)務(wù)的辦理。二是導(dǎo)致系統(tǒng)功能不能和國(guó)家、當(dāng)?shù)卣哂行ЫY(jié)合，使國(guó)家和各地政府制定的政策不能得到及時(shí)的貫徹執(zhí)行，無(wú)法有效堵塞國(guó)家資金征繳、管理和使用中的漏洞。

信息系統(tǒng)審計(jì)查出的問(wèn)題有著十分復(fù)雜的背景和原因，處理時(shí)應(yīng)十分謹(jǐn)慎和客觀，對(duì)此，我們?cè)趯徲?jì)報(bào)告中并未提出處理意見(jiàn)，而是提出了十二項(xiàng)審計(jì)整改建議，如督促規(guī)范專項(xiàng)資金的使用和管理，提高資金使用效益；加強(qiáng)系統(tǒng)使用部門(mén)、開(kāi)發(fā)部門(mén)以及上級(jí)機(jī)關(guān)的溝通協(xié)商，切實(shí)做好需求調(diào)研，加快本地化開(kāi)發(fā)進(jìn)程，完善系統(tǒng)功能；加快建設(shè)進(jìn)度，及時(shí)組織驗(yàn)收工作；加強(qiáng)系統(tǒng)安全管理，建立、健全安全管理制度和手段，消除安全隱患等。該項(xiàng)目的審計(jì)結(jié)果得到了主管副省長(zhǎng)的批示。

結(jié)語(yǔ)

從查錯(cuò)糾弊到防微杜漸，從冰山一角到溯本求源，信息系統(tǒng)審計(jì)正在以其獨(dú)特的優(yōu)勢(shì)沖擊著審計(jì)人員的思維，以其創(chuàng)新的視角引領(lǐng)著國(guó)家審計(jì)發(fā)展的新趨勢(shì)，在拓寬審計(jì)領(lǐng)域、深化審計(jì)內(nèi)涵、提升審計(jì)質(zhì)量、降低審計(jì)風(fēng)險(xiǎn)上，發(fā)揮著前所未有的作用和魅力。

（作者單位：河南省審

計(jì)廳計(jì)算機(jī)審計(jì)中心）