李晶

[摘    要] 网络安全风险是信息系统审计关注的重要部分。针对内部审计人员开展信息系统审计存在的问题，提出信息系统的风险主要与业务有关，而不仅仅是技术问题。对信息系统风险进行了分类，并提出了初步的审计思路。

[关键词] 网络安全;信息系统审计;信息系统风险

doi ： 10 . 3969 / j . issn . 1673 - 0194 . 2020. 03. 029

[中图分类号] F239.1    [文献标识码]  A      [文章编号]  1673 - 0194（2020）03- 0067- 02

1      引    言

从2016年美国总统大选候选人希拉里的“邮件门”事件，让全世界对信息安全风险的威力有了新的认识。近年来，由于网络安全导致的严重后果的事件层出不穷。2016年9月23日，雅虎公司宣布有至少5亿用户账户信息被黑客盗取，盗取内容包括用户的姓名、电邮地址、电话号码、生日、密码等，甚至还包括加密或未加密的安全问题及答案。这也打破史上最大单一网站信息遭窃的纪录。信息安全带来的风险成为当今互联网环境下组织和个人都要关注的问题。

“没有网络安全就没有国家安全，没有信息化就没有现代化。”习近平总书记的这一重要论断，把网络安全上升到了国家安全的层面，为推动我国网络安全体系的建立，树立正确的网络安全观指明了方向[1]。近年来，我国网络安全法治建设取得突破性进展。2016年11月，《中华人民共和国网络安全法》高票通过，成为我国网络安全领域的首部专门法律，为依法治网、化解网络风险提供了法律武器;2017年3月，十二届全国人大五次会议通过《民法总则》，明确对个人信息、数据、虚拟财产予以保护;最高法、最高檢出台一系列司法解释，阐明相关法律问题;中央网信办、公安部、工信部、文化部等出台多个部门规章，对互联网信息搜索、移动互联网应用程序等都做出了及时的规范。

2      信息系统审计的现状和难点

网络安全风险，是信息系统风险的一种重要类型，开展信息系统审计，有助于防范和控制信息系统风险。对信息系统审计，目的是揭示由于信息系统缺陷导致的信息安全风险、经济安全风险，促进被审计单位加强内部管理和控制，提高信息化建设项目的效益，是保障信息系统安全的重要手段。

审计署关于“十三五”国家审计工作发展规划中明确指出，要加强信息化建设项目审计。围绕国家大数据战略和“互联网+”行动，以提高财政资金使用效益和维护国家信息安全为重点，加大对政府部门、国有企事业单位信息化建设项目及信息系统审计力度，促进国家大数据战略的顺利实施。

前任审计长刘家义指出，在信息化、数字化环境下，信息系统审计要抓住三个关键点：一是安全性、二是有效性、三是经济性。开展信息系统审计要关注网络、设备、操作系统、数据库、环境等系统要素的安全性，关注规范管理、提高效率、共享信息、数据准确等功能要素的有效性，关注组织目标实现、投资收益、性价比、利用覆盖率等项目要素的经济性[2]。

自从信息系统审计提出以来，学术界和实务都认识到信息安全是信息系统审计的主要内容。但是由于信息系统审计的技术性强，加上从事内部审计工作的人员相对来说计算机技术较为薄弱，导致审计人员对于信息系统的风险的认识不足。在当前信息系统审计开展的过程中，组织一般来说主要关注信息系统的可靠性、安全性等操作层面的风险。由于技术力量不足，把信息系统审计外包给组织外部的专业机构也是常见的做法。但不同的组织应用信息系统的目的和程度不同，信息系统的风险不仅仅在于操作层面;技术人员和管理人员对风险的认识是不同的，外部机构有时候也未必能准确识别组织中管理层真正需要关心的问题。这些做法往往有可能忽视了组织中真正的风险所在。不同的组织即使是使用相同的软硬件设备和应用系统，由于不同的人会有不同的使用方式，设备也会有不同的组合和部署方式，同样的基础设施也有可能出现不同的风险。

当前基于风险的审计模式的关键在于对风险的准确把握，在复杂多变的信息化环境下，这就要求审计人员在不同环境下对新的风险有准确、全面的认识。由于信息系统审计（在国内不同时期被称为计算机审计，IT审计等）发展不平衡、实践中总结经验少等原因，导致审计人员在对信息系统风险的交流方面受到限制和制约，从而影响到信息系统审计工作的开展。部分内部审计人员由于对信息系统风险不了解，把信息系统审计仅仅看作是技术问题和风险，在认识中产生了一定的误区。

3      信息系统风险的分类和审计思路

笔者认为，在内部审计中涉及信息系统的情况下，首先要对真正的需要关注的信息系统的风险有客观的认识和清晰的把握，才能确定问题的重点。信息系统的风险应该是对业务产生的风险而不是自身的技术和设备风险本身。

信息系统专家John Ward在《信息系统战略规划》一书中对IT（信息技术）和IS（信息系统）进行了区别。他指出：IT特指技术，尤指硬件、软件和通信网络，因此IT即可以是有形的（例如服务器、PC机、路由器和网络），也可以是无形的（例如所有类型的软件）。IT的应用方便了信息和其他数字内容的获取、加工、存储、发布和共享。欧盟一般用信息和通信技术“ICT”代替IT，以体现传统信息技术和通信的融合。英国信息系统学会UKAIS将信息系统定义为人们和组织利用技术，收集、加工、存储、使用和传播信息的手段。从这个角度上来讲，信息系统和信息技术的应用相关，但两者并不等同。

信息化环境下信息系统和信息技术的应用有了更加紧密不可分的关系，但这两者也并不能完全替代，有时候两者的目的也未必完全相同。纵然信息技术是信息系统实现目标的基础，也确实有些信息系统通过信息技术的应用实现了完全自动化，如戴尔公司的按订单生产模式：从接受客户订单、发送零件到工厂组装、直到发货给客户都无须人为干预。这里信息技术使信息的功能发挥到了极致。但信息系统并非是缺乏现代信息和通信技术就无法运行。也存在着信息技术先进而信息系统无效的情况，例如，购买的设备很先进，但是信息系统应用效果不佳;另一方面，在信息技术原始的情况下，也有信息系统有效的范例，例如过去手工记录的会计系统、历史上更为古老的邮政系统，也都是有效的信息系统，尽管当时的信息和通信技术并不发达。

从这一点来看，对于信息系统审计的目标，从基于风险的角度来看，重点应该关注的是能否实现组织的业务目标的问题，而不仅仅是软硬件设备（ICT）的问题。笔者认为按照信息系统在组织中应用的情况，可以把信息系统的风险分为三类：信息系统能力风险，信息系统项目风险和信息系统操作风险。

（1）信息系统能力风险和审计。信息系统能力风险是指信息系统的应用到底有没有帮助组织实现业务目标。如果对组织的业务目标没有帮助，就是信息系统能力建设问题。信息系统的投入的最终目的在于增强组织处理信息、帮助实现业务目标的能力，而不在于信息系统本身。如果信息系统的选型和设计对组织的业务目标没有帮助，那就是信息系统决策层面的问题，处理的不恰当可能会出现信息系统不适合组织业务需求的情况，是从对组织长期效果来评估。对此类风险的控制和审计难度最大，可以归为IT治理审计的范畴。

（2）信息系统项目风险和审计。组织的信息系统建设是一个个具体的信息系统项目构成的。每一个具体的信息系统项目的时间、质量、成本是否符合要求，就构成了信息系统项目的风险。信息系统项目建设成功率低的问题一直是学界和业界长期关注的问题。对于项目风险的评价可视为对组织中期的效果评估。对此类风险的控制和审计也涉及较多的方面和因素，但是由于有明确的指标可以选择，可操作性要比IT能力的审计高得多，可以归为信息化建设项目审计的范畴。

（3）信息系统操作风险和审计。在信息系统运行和管理中，无论项目规模的大小，最终还是会落实到一个个具体的人员执行的问题，涉及具体的个人和具体的设备、场所的问题。具体体现为某个具体方面的安全性、可靠性、经济性等问题;对于操作层面的评价是对信息系统局部效果的评估。此类问题最多，但比较分散，而且往往由于是涉及具体的个人微观，不加以深入分析的话，难以引起管理层的重视。

在具体审计工作开展中，不仅要关注信息系统操作层面的风险，更要关注中期的信息系统项目风险，以及长期的信息系统能力风险。

4     结    语

在审计工作中，审计人员常常面临着信息技术的挑战，在数据采集、数据处理和数据分析中，甚至由于技术不足而望而却步，但技术的风险并不是信息系统风险的全部，而信息系统审计首先要正确认识信息系统的风险，特别是从业务角度去理解信息系统。技术，作为审计资源来说，是很容易配置和转移的，而正确认识信息系统的风险才是提出好的审计思路的关键。

主要参考文献

[1]卢佳.“没有网络安全就没有国家安全，没有信息化就没有现代化”——解读习近平關于网络安全和信息化的重要论述[J].党的文献，2016（3）.

[2]刘家义.中国特色社会主义审计理论研究[M].北京：中国时代经济出版社，2015.

[3]赵长明.互联网金融中第三方支付的法律监管[J]. 商场现代化，2019（2）.

[4]成骏雄.我国信息系统审计技术推广的限制因素探讨[J].中国集体经济，2018（3）.

[5]樊沙沙.信息系统审计风险应对策略研究[J]. 对外经贸，2017（8）.

[6]程平，王晓江.基于COBIT标准的云会计AIS审计风险评价指标体系构建[J]. 会计之友，2016（10）.

[7]王会金.高校管理信息系统审计及其风险控制问题研究——以WSR方法论与COBIT理论相结合为视角[J]. 审计与经济研究，2014（5）.