信息系统风险和审计的探讨

2020年2月第23卷第3期中国管理信息化悦hinaManagementInformationizationFeb.袁2020Vol援23袁No援3信息系统风险和审计的探讨李晶渊自然资源部账务与资金运用司袁北京100812冤摘［］网络安全风险是信息系统审计关注的重要部分遥针对内部审计人员开展信息系统审计存在的问题袁提出信息系统要的风险主要与业务有关袁而不仅仅是技术问题遥对信息系统风险进行了分类袁并提出了初步的审计思路遥［关键词］网络安全曰信息系统审计曰信息系统风险doi:10.3969/j.issn.1673-0194.2020.03.029］F239.1［］A］1673-0194渊2020冤03-0067-02［中图分类号文献标识码［文章编号员引言行动袁以提高财政资金使用效益和维护国家信息安全为重点袁加大对政府部门尧国有企事业单位信息化建设项目及信息系统审计力度袁促进国家大数据战略的顺利实施遥前任审计长刘家义指出袁在信息化尧数字化环境下袁信息系统审计要抓住三个关键点院一是安全性尧二是有效性尧三是经济性遥开展信息系统审计要关注网络尧设备尧操作系统尧数据库尧环境等系统要素的安全性袁关注规范管理尧提高效率尧共享信息尧数据准确等功能要素的有效性袁关注组织目标实现尧投资收益尧性价比尧利用覆盖率等项目要素的经济性咱圆暂遥从圆园员远年美国总统大选候选人希拉里的野邮件门冶事件袁让全世界对信息安全风险的威力有了新的认识遥近年来袁由于网络安全导致的严重后果的事件层出不穷遥圆园员远年怨月圆猿日袁雅虎公司宣布有至少缘亿用户账户信息被黑客盗取袁盗取内容包括用户的姓名尧电邮地址尧电话号码尧生日尧密码等袁甚至还包括加密或未加密的安全问题及答案遥这也打破史上最大单一网站信息遭窃的纪录遥信息安全带来的风险成为当今互联网环境下组织和个人都要关注的问题遥野没有网络安全就没有国家安全袁没有信息化就没有现代自从信息系统审计提出以来袁学术界和实务都认识到信息化遥冶*总书记的这一重要论断袁把网络安全上升到了国家安全是信息系统审计的主要内容遥但是由于信息系统审计的技术性强袁加上从事内部审计工作的人员相对来说计算机技术较为薄弱袁导致审计人员对于信息系统的风险的认识不足遥在当前信息系统审计开展的过程中袁组织一般来说主要关注信息系统的可靠性尧安全性等操作层面的风险遥由于技术力量不足袁把信息系统审计外包给组织外部的专业机构也是常见的做法遥但不同的组织应用信息系统的目的和程度不同袁信息系统的风险不仅仅在于操作层面曰技术人员和管理人员对风险的认识是不同的袁外部机构有时候也未必能准确识别组织中管理层真正需要关心的问题遥这些做法往往有可能忽视了组织中真正的风险所在遥不同的组织即使是使用相同的软硬件设备和应用系统袁由于不同的人会有不同的使用方式袁设备也会有不同的组合和部署方式袁同样的基础设施也有可能出现不同的风险遥当前基于风险的审计模式的关键在于对风险的准确把握袁在复杂多变的信息化环境下袁这就要求审计人员在不同环境下对新的风险有准确尧全面的认识遥由于信息系统审计渊在国内不同时期被称为计算机审计袁陨栽审计等冤发展不平衡尧实践中总结经验少等原因袁导致审计人员在对信息系统风险的交流方面受到限制和制约袁从而影响到信息系统审计工作的开展遥部分内部安全的层面袁为推动我国网络安全体系的建立袁树立正确的网络安全观指明了方向咱员暂遥近年来袁我国网络安全法治建设取得突破性进展遥圆园员远年员员月袁叶中华人民共和国网络安全法曳高票通过袁成为我国网络安全领域的首部专门法律袁为依法治网尧化解网络风险提供了法律武器曰圆园员苑年猿月袁十二届全国人大五次会议通过叶民法总则曳袁明确对个人信息尧数据尧虚拟财产予以保护曰最高法尧最高检出台一系列司法解释袁阐明相关法律问题曰中央网信办尧公安部尧工信部尧文化部等出台多个部门规章袁对互联网信息搜索尧移动互联网应用程序等都做出了及时的规范遥圆信息系统审计的现状和难点网络安全风险袁是信息系统风险的一种重要类型袁开展信息系统审计袁有助于防范和控制信息系统风险遥对信息系统审计袁目的是揭示由于信息系统缺陷导致的信息安全风险尧经济安全风险袁促进被审计单位加强内部管理和控制袁提高信息化建设项目的效益袁是保障信息系统安全的重要手段遥审计署关于野十三五冶国家审计工作发展规划中明确指出袁要加强信息化建设项目审计遥围绕国家大数据战略和野互联网垣冶［收稿日期］2019-06-24审计人员由于对信息系统风险不了解袁把信息系统审计仅仅看CHINAMANAGEMENTINFORMATIONIZATION/67会计信息化作是技术问题和风险袁在认识中产生了一定的误区遥猿信息系统风险的分类和审计思路笔者认为袁在内部审计中涉及信息系统的情况下袁首先要对真正的需要关注的信息系统的风险有客观的认识和清晰的把握袁才能确定问题的重点遥信息系统的风险应该是对业务产生的风险而不是自身的技术和设备风险本身遥信息系统专家允燥澡灶宰葬则凿在叶信息系统战略规划曳一书中对陨栽渊信息技术冤和陨杂渊信息系统冤进行了区别遥他指出院陨栽特指技服务器尧孕悦机尧路由器和网络冤袁也可以是无形的渊例如所有类型的软件冤遥陨栽的应用方便了信息和其他数字内容的获取尧加工尧存储尧发布和共享遥欧盟一般用信息和通信技术野陨悦栽冶代替陨栽袁以体现传统信息技术和通信的融合遥英国信息系统学会哉运粤陨杂将信息系统定义为人们和组织利用技术袁收集尧加工尧存储尧使用和传播信息的手段遥从这个角度上来讲袁信息系统和信息技术的应用相关袁但两者并不等同遥信息化环境下信息系统和信息技术的应用有了更加紧密不可分的关系袁但这两者也并不能完全替代袁有时候两者的目的也未必完全相同遥纵然信息技术是信息系统实现目标的基础袁也确实有些信息系统通过信息技术的应用实现了完全自动化袁如戴尔公司的按订单生产模式院从接受客户订单尧发送零件到工厂组装尧直到发货给客户都无须人为干预遥这里信息技术使信息的功能发挥到了极致遥但信息系统并非是缺乏现代信息和通信技术就无法运行遥也存在着信息技术先进而信息系统无效的情况袁例如袁购买的设备很先进袁但是信息系统应用效果不佳曰另一方面袁在信息技术原始的情况下袁也有信息系统有效的范例袁例如过去手工记录的会计系统尧历史上更为古老的邮政系统袁也都是有效的信息系统袁尽管当时的信息和通信技术并不发达遥从这一点来看袁对于信息系统审计的目标袁从基于风险的角度来看袁重点应该关注的是能否实现组织的业务目标的问题袁而不仅仅是软硬件设备渊陨悦栽冤的问题遥笔者认为按照信息系统在组织中应用的情况袁可以把信息系统的风险分为三类院信息系统能力风险袁信息系统项目风险和信息系统操作风险遥渊员冤信息系统能力风险和审计遥信息系统能力风险是指信息咱员暂卢佳援野没有网络安全就没有国家安全袁没有信息化就没有现代化冶要解读*关于网络安全和信息化的重要论述咱允暂援党的文献袁要要圆园员远渊猿冤援个具体的信息系统项目构成的遥每一个具体的信息系统项目的渊圆冤信息系统项目风险和审计遥组织的信息系统建设是一个时间尧质量尧成本是否符合要求袁就构成了信息系统项目的风险遥信息系统项目建设成功率低的问题一直是学界和业界长期关注的问题遥对于项目风险的评价可视为对组织中期的效果评估遥对此类风险的控制和审计也涉及较多的方面和因素袁但是由于有明确的指标可以选择袁可操作性要比陨栽能力的审计高得多袁可以归为信息化建设项目审计的范畴遥渊猿冤信息系统操作风险和审计遥在信息系统运行和管理中袁术袁尤指硬件尧软件和通信网络袁因此陨栽即可以是有形的渊例如无论项目规模的大小袁最终还是会落实到一个个具体的人员执行的问题袁涉及具体的个人和具体的设备尧场所的问题遥具体体现为某个具体方面的安全性尧可靠性尧经济性等问题曰对于操作层面的评价是对信息系统局部效果的评估遥此类问题最多袁但比较分散袁而且往往由于是涉及具体的个人微观袁不加以深入分析的话袁难以引起管理层的重视遥在具体审计工作开展中袁不仅要关注信息系统操作层面的风险袁更要关注中期的信息系统项目风险袁以及长期的信息系统能力风险遥源结语在审计工作中袁审计人员常常面临着信息技术的挑战袁在数据采集尧数据处理和数据分析中袁甚至由于技术不足而望而却步袁但技术的风险并不是信息系统风险的全部袁而信息系统审计首先要正确认识信息系统的风险袁特别是从业务角度去理解信息系统遥技术袁作为审计资源来说袁是很容易配置和转移的袁而正确认识信息系统的风险才是提出好的审计思路的关键遥主要参考文献咱圆暂刘家义援中国特色社会主义审计理论研究咱酝暂援北京院中国时代经济出版社袁圆园员缘援咱猿暂赵长明援互联网金融中第三方支付的法律监管咱允暂援商场现代化袁圆园员怨咱源暂成骏雄援我国信息系统审计技术推广的限制因素探讨咱允暂援中国集体经济袁圆园员愿渊猿冤援咱缘暂樊沙沙援信息系统审计风险应对策略研究咱允暂援对外经贸袁圆园员苑渊愿冤援构建咱允暂援会计之友袁圆园员远渊员园冤援咱苑暂王会金援高校管理信息系统审计及其风险控制问题研究要要要以宰杂砸方法论与悦韵月陨栽理论相结合为视角咱允暂援审计与经济研究袁圆园员源渊缘冤援咱远暂程平袁王晓江援基于悦韵月陨栽标准的云会计粤陨杂审计风险评价指标体系渊圆冤援系统的应用到底有没有帮助组织实现业务目标遥如果对组织的业务目标没有帮助袁就是信息系统能力建设问题遥信息系统的投入的最终目的在于增强组织处理信息尧帮助实现业务目标的能力袁而不在于信息系统本身遥如果信息系统的选型和设计对组织的业务目标没有帮助袁那就是信息系统决策层面的问题袁处理的不恰当可能会出现信息系统不适合组织业务需求的情况袁是从对组织长期效果来评估遥对此类风险的控制和审计难度最大袁可以归为陨栽治理审计的范畴遥68/CHINAMANAGEMENTINFORMATIONIZATION