当前开展信息系统审计面临的难点和建议
2012-04-29唐剑
唐剑
笔者有幸参加了2008年12月份审计部门在南京审计学院举办的“第二届信息系统审计班”,在学习和探讨的过程中,对信息系统审计的内涵和外延,由一个模糊的概念逐步走向清晰。现结合近几年来的审计实践,就当前形势下信息系统审计的难点和建议做一个探讨,希望对各位审计同仁起到一个“抛砖引玉”的作用。
21世纪是信息化的社会,计算机技术不断进步,并在生产领域得到深入应用。特别是会计电算化的推广,把以电子计算机为代表的现代化数据处理工具及以信息论、系统论、数据库、计算机网络等新兴理论和技术应用于会计核算、财务管理工作中以提高财务管理水平和经济效益,实现会计工作的现代化。目前,越来越多的企业开始全业务的采用信息系统,形成了一个网络经济时代,各个企业、事业单位的信息化情况表现出了前所未有的综合性和开放性。这种信息化的高度集中带来了高效益,但同时,也带来了高度的风险,信息系统审计也就在这种历史背景下应运而生。
一、信息系统审计的内涵和外延难以把握
随着信息技术的发展,信息系统在财务、管理领域的应用程度不断提高,功能日趋完善,其软硬件结构的复杂性和涉及领域的广泛性以及信息处理技术更新的频繁性使得审计人员难以同步把握信息系统审计的内涵和外延。从外延上看,信息系统审计主要包括两个部分,一是对信息系统主体的审计,二是对信息系统应用环境的审计,包括网络环境、使用环境、管理使用情况等。一般说来,审计信息系统本身相对容易,但审计信息系统的应用环境却存在较多不确定因素,比如某公司的信息系统通过防火墙连接到互联网,而在防火墙内还存在其它系统,其它系统是不是也在审计范围之内?
从內涵上看,信息系统审计主要是对信息系统的安全性和可靠性进行评估、评价。安全性、可靠性是一个比较广泛的概念,以系统安全性为例,它包括:ISO开放系统互连安全体系结构、TCP/IP安全体系、开放系统互连的安全管理、安全服务和功能配置;系统安全涉及的信息安全技术包括:密码技术、访问控制技术、机密性和完整性保护技术、数字签名技术、抗抵赖技术、预(报)警机制、公证技术、防火墙技术、漏洞检测技术、网络隔离技术、计算机病毒防范等。由于信息技术本身的限制性,绝大部分信息系统本身均存在安全性问题(如防护级别最高、防护技术最好的美国国防部也常有被攻击的情况)。
把握不准信息系统审计的外延和内涵,就难以解决以下三个问题:一是难以解决审计力量与审计任务之间的矛盾,难以控制审计风险,即不该审的审了,该审的却未审;二是由于绝大部分信息系统本身均存在安全性问题,信息系统审计很容易演变成“信息系统是否存在问题源自于审计人员的技术水平,而不是系统本身的安全性和可靠性”,即,绝大部分信息系统均存在不安全、不可靠因素,就看审计人员能否发现由于信息系统的安全性问题是绝对的,而审计人员的视角和技术水平是相对的,信息系统审计的成果部分取决于审计人员对信息系统审计内容的把握程度;三是由于审计需要大量的证据支撑,对于未造成损失但信息系统存在不安全隐患的问题难以定性,即便是造成了损失,也难以界定这些损失与信息系统不安全、不可靠因素之间联系。
因此,审计部门应根据“全面审计、突出重点”及“先易后难”、“先系统本身后系统环境”的原则,参照国家信息技术部的有关标准,界定信息系统工作的外延和内涵,将信息系统审计的主要方向定在:被审计单位的信息系统的安全性、可靠性是否达到应有的水平或标准,而不是系统是否有安全性和可靠性问题。
二、信息系统审计评价标准很难确定
信息系统安全审计,涉及会计信息处理自动化、表示代码化、信息处理与存储集中化、内部控制程序化等诸多广泛、复杂的计算机专业技术环节,其技术性较高。而我国信息系统审计正处于起步阶段,对审计机关如何开展信息系统审计尚在积极探索中,因此,目前尚没有一个完整的、成熟的具有示范作用的审计案例,也缺少具备实际指导意义的相关信息系统审计准则和操作指南。
近年来,国家安全部门相继出台了多个安全标准,例如公安部出台的《计算机信息系统安全保护等级划分准则》(GB17859-1999)、《信息安全等级保护管理办法》,还有相应的安全技术规范《信息安全技术 信息系统通用安全技术要求》(GB/T20271-2006)、《信息安全技术 网络基础安全技术要求》(GB/T20270-2006)、《信息安全技术 操作系统安全技术要求》(GB/T20272-2006)、《信息安全技术 数据库管理系统安全技术要求》(GB/T20273-2006)、《信息安全技术 服务器技术要求》、《信息安全技术 终端计算机系统安全等级技术要求》(GA/T671-2006)等技术标准。但在实际操作中,这些标准在可操作性上还有待提高,一是信息系统安全等级的确定,缺乏一个等级认定的部门,目前是由各个单位自己定级报送,会存在低报等级风险;二是等级要求没有量化和详细解释,等级认定存在困难。这些都给具体的审计实务工作带来极大的困难。
因此建议审计部门及时组织总结实践经验,规范信息系统安全审计的有关概念、审计内容、工作流程和技术方法、形成信息系统安全审计准则、操作指南或实务公告的准则体系,这是信息系统安全审计得以健康发展的基础。
三、信息系统审计缺乏相应的人才
我国目前尚缺乏既熟悉审计业务又掌握计算机技术同时了解国内标准信息系统流程的复合型人才,进行信息系统审计所涉及的知识面非常广,涉及会计、审计、管理和计算机等知识,而进行信息系统安全性审计主要从系统总体安全、系统运行安全、数据中心安全、硬件设备安全和网络安全情况五个方面来进行,每个方面都涉及不同的知识点。当对系统总体安全进行审计时,则要求审计人员具有系统总体分析、系统设计和系统安全分析的知识;当对系统运行进行审计时,则要求审计人员具有系统运行管理、系统维护和系统安全管理的知识;当对数据中心安全进行审计时,则要求审计人员具有工程建设、数据中心安全维护和灾备等知识;当对硬件设备安全进行审计时,则要求审计人员具有设备采购、设备维护和设备安全分析等知识;当对网络安全情况进行审计时,则要求审计人员具有网络安全分析和网络防范等知识。但在当前情况下,审计人员能够掌握上述某一方面的知识都已经难能可贵,更不用说要掌握所有的知识面。
建议审计部门加强对审计人员理论培训,并组织审计人员进行实践,通过实践经验来巩固理论知识,培养出更多的信息系统审计复合型人才和相应的专业性人才。
四、信息系统审计需要相应的法规支持和成果考核标准
我们通常依据《中华人民共和国审计法》、《中华人民共和国审计法实施条例》及《国务院办公厅关于利用计算机信息系统开展审计工作有关问题的通知》(国办发〔2001〕88号)的规定:“被审计单位应当按照审计机关的要求,提供与财政收支、财务收支有关的电子数据和必要的计算机技术文档等资料”,要求被审计单位提供电子数据,开展电子数据式审计工作。但开展信息系统安全审计的方法、步骤要求我们必须获取被审计单位信息系统底层数据库的数据字典、程序开发文档、甚至程序源代码等核心文档已经高级管理用户的权限。但事实上大多数被审计单位也不掌握这些核心文档,软件开发公司又以知识产权应收保护为由拒绝提供文档。特别是要求SAP、Oracle等国外软件开发商提供开发文档非常困难。因此,应出台更为明确的法规以支持信息系统安全审计工作。其次,信息系统审计的实施需要耗费大量的人力物力,在目前审计机关工作繁重的背景下,开展此项工作需要审计工作方案以及考评指标的支撑。因此,审计相关部门应该考虑把信息系统审计纳入年初审计工作计划,并出台相应的考评标准。
五、信息系统审计自身风险较大
数据分析式计算机辅助审计是要求被审计单位按照审计的需求提供电子数据,审计人员将数据转换后导入计算机进行分析。这种过程避免了直接操作被审计单位信息系统所带来的风险。然而,信息系统安全性审计的很多步骤必须要在被审计单位信息系统上直接执行,这种在真实系统上的操作必然存在安全风险。如对电信公司计费系统的审计,如果测试时间不当或测试用例不完善都可能影响计费系统的正常运行。
因此,审计部门在对被审计单位信息系统进行真实操作前,一定要经过细致的培训,以免误操作引起的安全风险;尽量选择凌晨等非业务高峰期对系统进行测试;测试用例要尽可能简单、完善,对正常的业务数据不产生影响且易删除;操作时必须要有2名以上审计人员,2名以上被审计单位技术专家同时在场。同时,开展计算机信息系统审计难以避免被审计单位服务器与审计人员服务器以及计算机的数据传导和交流,与目前审计部门关于计算机保密的相关规定矛盾,基予海量数据的备份和传输无法通过光盘刻录的方法完成,移动硬盘的交叉使用有泄密风险。需要对信息系统审计的风险和操作手段出台政策。
(作者单位:江西省审计厅)