王 晴，杨利霞，王 双

(1.内蒙古工业大学 经济管理学院，内蒙古 呼和浩特 010051；2.上海建桥学院，上海 201306)

中华人民共和国审计署《“十四五”国家审计工作发展规划》中对科技强审提出了进一步要求，即“加强审计技术方法创新，充分运用现代信息技术开展审计，提高审计质量和效率。”电网企业作为管理信息化的领头力量，近年来信息系统建设投入不断提高，智能电网、大数据平台的逐步实施，使企业对信息系统的依赖程度不断加强，但同时信息系统遭受内外部威胁，例如计算机舞弊、非法访问、数据泄露的可能性也越来越大。同时，企业数据海量增长，给审计全覆盖增加了难度。为有效应对信息系统各项风险，企业需要高度重视IT治理，信息系统审计作为提升企业IT治理水平的有效手段之一，在企业治理中显得愈发重要。

1 信息系统审计思路

现代风险导向的审计要求预先识别重要的风险领域，确认审计范围和重点。按照通用的审计风险分类，刘国城等(2016)将信息系统审计风险分为固有风险、控制风险与检查风险，并增加了战略运营风险，构架了信息系统审计风险的递阶层次结构模型[1]。另外一些学者基于COBIT框架构建我国信息系统审计思路，王会金(2014)融合COBIT理念，从“物理层”“事理层”“人理层”3个维度构架高校管理信息系统审计风险控制模型[2]。杨佩毅(2021)结合COBIT 5.0，从信息系统安全、信息科技治理、运行和操作管理、业务持续性规划方面对银行信息系统开展审计评价[3]。还有学者针对行业特点选取关键风险领域进行探究，陈嘉琳等(2021)借鉴DSMM模型建立电力企业信息安全管理审计框架，从数据安全、环境安全、组织和人员安全、系统管理安全等方面制定审计策略[4]。在国外信息系统审计实践方面，裴晓宁等(2016)对美国、加拿大、英国、澳大利亚、韩国等国外信息系统审计发展历程的梳理，信息系统的安全性、完整性、有效性是各国审计机构关注的重点[5]。

从近年来的研究可以看出，不同学者对信息系统审计风险的侧重不一样，加之不同企业经营管理模式不同，使得信息系统审计策略多样化。综合国内外信息系统审计的理论和实践以及电网企业自身特点，参考陈耿等(2019)提出的ISACM现代信息系统审计模型中真实、安全、绩效三项类别构建电网企业信息系统审计实施策略[6]，笔者将信息系统风险归纳为真实性风险、安全性风险、有效性风险，审计人员易于识别且覆盖面广，在实务中应用性更强。在实际操作中，审计人员可以参照中华人民共和国审计署发布的《信息系统审计指南》或国际信息系统审计协会(ISACA)颁布的信息系统审计准则，从以上3个维度对信息系统程序逻辑、内部管理控制和数据处理传输等方面进行审计。力求更好地满足现代信息系统审计的需求，为大数据以及未来智能电网环境下的现代信息系统审计实务提供借鉴。

2 电网企业信息系统风险识别及审计内容

2.1 真实性审计

2.1.1 信息系统真实性风险。 随着企业信息化建设的不断深入，大量信息处理的流程实现了电子化、程序化、虚拟化，但企业数据来源不一、数据标准体系尚未建立，信息系统的处理方式和信息系统舞弊为企业数据的真实性带来了一定风险。财务数据同样存在很大风险，财政部《会计信息化发展规划(2021-2025年)》提到，会计数据在单位内部、各单位之间共享和使用，在传输、存储的环节可能发生篡改风险。因此，信息系统真实性审计的目标即是对信息系统和电子数据的真实性或者可靠性进行鉴证。

2.1.2 真实性风险导向审计。 电网企业大部分信息系统处理方式灵活性较小，人为篡改风险较低，且标准化的实施对业务处理流程、财务处理流程、电子交易流程进行了优化和进一步规范，因此信息系统中数据的真实性风险相对较低。审计人员可以根据不同系统数据来源的可靠程度有针对性地关注信息系统中信息的真实性，通过比对财务、业务数据之间的逻辑关系，对这些信息的真实性进行复核，必要时对信息系统数据输入、处理和输出控制后台的程序设计进行审计。

例如，在对财务系统中报表子系统的审计中，审计人员通过获取财务软件操作手册和维护手册中的数据类型表、科目编码表，依据财务准则的要求，复核系统内置公式、数据来源和取数方法的合理合规性，用复核过的软件系统重新生产全部或部分报表，以确认被审计单位所提供财务报表的真实性，防止系统入侵或计算机舞弊导致的“假账真审”现象。

2.2 安全性审计

2.2.1 信息系统安全性风险。 信息安全问题不仅仅影响商业机密的保护，对企业的生存和未来发展至关重要。根据国际权威数据泄露调查报告(DBIR)2018年的数据显示，大数据、物联网和云的加速应用正逐渐超越企业的安全管理能力，但89%的企业只依赖一个安全措施来保障其移动网络安全。32%的企业为了权宜之计和业务性能牺牲了安全性，使企业处于高风险环境下。更危险的是，企业发现安全事件的时间往往滞后于事件发生[7]。

针对严峻的安全形势，信息系统的安全性审计在美国、加拿大、澳大利亚等国家的信息系统审计中占据重要地位，主要目标是审查企业信息系统和电子数据的安全隐患。中华人民共和国审计署《“十四五”国家审计工作发展规划》中要求，完善审计业务网络，开展网络安全常态化检查，持续提升网络安全防御和应急处置能力。电网企业在服务民生的同时，发挥着保障国家能源安全的重要任务，信息安全风险不容忽视。这些风险可能来自企业外部，如黑客攻击、数据外泄、系统瘫痪等；也可能来自企业内部，如系统中断、非法更改、不恰当的访问等，使企业丢失宝贵的信息资产，甚至影响对用户的正常供电。因此，加强电网企业信息系统的安全性审计是企业可持续、高质量发展的新型保障。

2.2.2 安全性风险导向审计。 安全性审计内容主要包括数据安全审计、操作系统安全审计、数据库系统安全审计、网络安全审计、设备安全审计、环境安全审计等方面，如图1所示。

图1 安全性审计的内容

操作系统是所有软件运行的基础，决定整个软件系统的安全状况；环境安全、设备安全属于硬件安全；数据库系统是管理信息系统最重要的支撑软件，直接影响企业数据的安全性。针对电网企业安全性风险，审计人员应重点关注和评价企业安全管理制度的完善程度、是否设有相关机构、相关人员安全措施、安全建设和安全运维管理、计算机系统防错控制、网络传输的保密性等内部控制的设计和实施，还要关注企业是否制定了预防数据被盗和被销毁的应对方案等。

为此，审计人员需要进行一系列符合性检查，主要包括：信息安全方针政策、计划、规程、要求文件，系统设计和接口规格文件，系统操作、使用、管理及各类日志管理的相关规定，备份操作、安全应急及复审和意外防范计划演练的相关文件，安全配置设定的有关文件，技术手册和用户/管理员指南及其他需要进行符合性检查的内容。除了检查企业安全管理规范的完善性，审计人员还要验证安全管理规范的实施效果，具体包括：针对访问控制策略、制度、安全配置设定、物理访问控制、信息系统备份操作、事件响应和意外防范等措施采用验证工具进行功能性验证。

2.3 有效性审计

2.3.1 信息系统有效性风险。中华人民共和国审计署《“十四五”国家审计工作发展规划》要求，重点关注科技、网络安全和信息化等专项资金分配、管理和使用情况，促进重点专项资金提质增效。近年来，电网企业信息化建设力度加大，软件平台的运维和升级费用不断追加，但信息系统建设作为投资项目的风险也在增加，为避免可能出现的投资额追加但应用效果不如预期的风险，审计人员对信息系统建设的有效性进行评价成为监督信息系统建设的一种有效手段。信息系统有效性审计即绩效审计，其核心问题是客观、公正、准确、科学地评价IT项目的经济性、效率性和效果性，有利于优化IT项目费用管理和资源分配，让IT项目投资更加聚焦于企业发展战略的要求，为决策者提供改进或新建信息化项目的依据。

2.3.2 有效性风险导向审计。 在绩效审计过程中，评价指标的选择至关重要，随着绩效审计实践的发展，构建指标体系时需要在定量与定性指标、财务与非财务指标、评价过程与评价结果指标之间取得平衡。平衡计分卡模型能很好地满足上述要求，且使组织在行动过程中紧紧围绕战略目标，评价企业IT项目的IT平衡计分卡可以分为4个维度：①IT价值贡献维度主要用于评价IT投资对企业的整体影响，具体来讲，与企业的预期相比，不仅要评价IT项目是否达到预期的财务收益，还要评价其是否满足企业的战略需要；②IT用户满意度维度主要是站在使用者角度衡量IT产品和服务的优劣，或者说IT项目在多大程度上满足了内部、外部使用者；③IT内部过程维度主要用于评价IT项目内部流程的效率，主要包括IT功能设计的合理性以及在实务过程中发挥作用的程度；④IT学习与革新维度主要用于评价企业在面临技术快速更新迭代的挑战面前，IT组织的学识水平及其持续创新、不断变革以适应挑战的潜力。

上述审计评价的4个方面需通过具体的指标体系来实现，指标设计可以参考表1。在实践中，针对项目特点和实际情况，可以增删、重设或扩展指标层级。这些指标权重的确定可以采取层次分析法或专家调查法，通过计算得出综合评价结果。分项和综合指标评价结果可以用于两个层面的对标分析：与企业设计开发时对该信息系统的预期对比，分析该项目是否达到了原有的投资目的，是否需要二次开发等。也可以与行业内相似信息系统的各项指标对比，找到差距和不足并分析原因，以期改进信息化项目内部管理，提升IT治理。

表1 IT平衡计分卡指标体系参考

3 结束语

本文介绍了电网企业信息系统审计的开展策略，企业应根据不同时点对自身信息系统风险点评估，选择相应的审计重点有针对性地开展专项审计项目。例如，网络安全管理审计、特定信息系统绩效审计、数据安全审计、通信设备运维审计等。且信息系统审计工作大多涉及计算机知识和操作，内部审计人员应与IT人员配合进行，由审计部门牵头，借调信息化部门及业务部门人员进行操作或委托具备技术力量的第三方协助实现。随着国家大数据战略的实施和智能电网的发展，信息系统审计将在完善IT治理，促进信息系统风险防控，实现企业高质量发展方面发挥越来越重要的作用。