浅析如何有效开展信息系统审计

首页 > 审计之窗 > 综合论坛 > 正文

浅析如何有效开展信息系统审计

马春光（审计署驻哈尔滨特派办）

【发布时间：2011年11月23日】

    审计署在《2008-2012年审计工作发展规划》中提出，要“全面提高计算机技术应用水平，积极探索联网审计和信息系统审计”。近年来，各级审计机关根据规划要求，高度重视信息系统审计，在税务、医保、金融、企业等领域积极尝试开展了信息系统审计，在完善信息系统管理制度，提高信息系统运行效率，加强信息系统安全性等方面提出了针对性建议，积累了信息系统审计的思路和方法。但同时，我们也清醒地认识到，信息系统审计进入我国的时间尚短，还没有一套完整的审计理论去指导审计实践，审计实践还处于“摸着石头过河”的阶段，工作中还存在很多困惑。下面，笔者结合参与相关项目审计的工作实际，对如何开展信息系统审计谈一些个人看法。
    一、从国家政策的角度开展信息系统审计
    国家政策规范了审计对象所从事业务的行为及内容，而信息系统是反映审计对象所从事业务的具体行为及内容的重要载体，所以，从政策的角度开展信息系统审计，一方面可以检查被审计单位是否严格按照国家政策开展业务；另一方面，也可以检查国家政策在具体执行过程中是否存在漏洞，有利于完善国家政策。按照上述审计思路，在对某商业银行个人贷款信息系统审计过程中，审计人员根据《汽车贷款管理办法》中第二十二条 “贷款人发放自用车贷款的金额不得超过借款人所购汽车价格的80%；发放商用车贷款的金额不得超过借款人所购汽车价格的70%”的规定，检查个人自用车贷款功能及个人商用车贷款功能时，发现该行人为将贷款利率在80%的个人商用车贷款客户信息记录到个人自用车贷款功能中，规避《汽车贷款管理办法》中的有关规定，为银行谋取单位利益的同时，国家政策的执行也流于形式，政策效果难以实现。
    二、从信息系统管理制度的角度开展信息系统审计
        完善信息系统管理制度是保证系统安全有效运行的重要前提，对信息系统管理制度审计是完善信息系统管理制度的重要手段，而信息系统管理制度主要围绕信息系统的组成部分及相互关系制定，因此，要开展信息系统管理制度审计应首先弄清信息系统的组成部分，以及它们之间的关系。信息系统由系统硬件、系统软件，系统人员三部分组成，这三个部分通过信息交互、人工交互等方式构成一个完整的信息系统。因此，我们可以按照上述三个方面开展信息系统审计，首先审计系统硬件相关的管理制度，主要包括：系统硬件安全运行机制、系统应急机制，系统硬件更新淘汰机制，主要检查系统硬件运行环境是否配备防水、防火、防电，防磁等安全设备；是否配置UPS电源等系统应急设备；是否制订系统应急预案，并进行相关演练；是否按照硬件使用寿命有计划的淘汰硬件设备引进新硬件设备等方面；然后，审计系统软件运行的管理制度，包括系统软件运行的安全机制、系统灾备机制、系统软件开发文档管理，操作口令管理等方面，主要检查系统运行环境是否安装了防火墙、杀毒软件等防护软件；系统开发文档是否健全；是否制订灾备计划等;最后，审计系统人员管理制度，包括系统身份认证管理、操作口令管理、角色权限分配管理等方面，主要检查进入系统硬件运行环境是否经过身份认证；操作口令是否过于简单；不同职能的人员是否具备不同的角色权限等。如在某省新农合信息系统审计过程中，审计人员按照上述审计思路对该省新农合信息系统的硬件、软件，人员管理制度进行审计，发现该省新农合信息系统硬件运行环境恶劣，无防潮、防火、防磁设施，未配置UPS电源，地面未铺设防静电地板；系统服务器机房为共用机房，多人配有机房钥匙，无法防止无关人员进入机房接触服务器；未实施备份机定期备份且未实现数据异地备份存储；系统登录口令过于简单等管理问题。这些问题导致系统的信息安全难以得到保证，有关内容一旦外泄，个人信息有被不法分子利用的可能。
    三、从信息系统主要业务流程开展信息系统审计
    主要业务流程是信息系统的运行核心，它的好坏将直接影响整个信息系统运行质量。加强对主要业务流程审计，完善主要业务流程控制，对于提高信息系统运行效率，保证系统运行安全性具有十分重要的意义。对信息系统主要业务流程审计应着重关注系统输入、系统处理、系统输出，参数设置这四个环节，其中，系统输入环节，主要审计系统是否建立必要的输入控制，能否保证进入系统的信息符合系统要求，达到正确有效。如，输入到系统的身份证号码要符合18位、15位的特征；在系统处理环节，主要审计系统是否建立必要的逻辑控制，能否保证处理过程的正确性。在系统输出环节，主要审计系统是否建立必要的输出控制，对于反映同一内容的不同系统功能模块，能否保证输出结果的一致性；最后要关注系统运行参数设置是否合理，能否满足系统的运行要求。按照上述审计思路，审计人员在对某省新农合信息系统审计中，发现该省新农合信息系统系统输入控制、系统处理控制、系统输出控制方面存在多个问题，如身份证号码大于18位或小于15位或为空的信息共有39236条，参合管理模块和统计查询模块汇总出的参合家庭数和参合人员总数不一致等情况。这些问题反映了被审计信息系统的信息质量不高，也存在安全漏洞和隐患。
    总之，开展信息系统审计要从多个角度入手，从不同的侧面反映信息系统潜在的风险，逐步完善系统的各项管理制度，提高信息系统运行的安全性、效率性，充分发挥审计“免疫系统”功能。同时，多角度入手，也是现阶段信息系统审计立足于国家治理，从探索阶段不断积累规范逐步发展成成熟审计模式的可行路径。（马春光）

【关闭】【打印】