随着信息化时代的到来，我国国民经济各领域的信息化建设步伐正加速推进，信息化水平不断提高。随着信息技术的普及，各行各业的运行和管理对信息系统的依赖度越来越高，信息化深刻影响着经济和社会的发展模式。在这样的大背景下，信息系统的安全性、可靠性和效益性直接关系到各单位、各行业甚至整个国民经济是否健康、稳定和可持续发展。
    为更好地发挥审计“免疫系统”功能，审计署在2010年制订的《审计署“十二五”信息化发展规划》指出，要积极探索和推广符合中国国情的信息系统审计。逐步加大对信息系统审计的力度，关注信息系统的可靠性和安全性，促进被审计单位和国家的信息安全。各行业各单位的信息系统都有其各自的特点，信息系统审计要有针对性地把握重点，寻找突破口。在信息系统审计实践中如果面面俱到，不突出重点，就很容易抓不住要领，既浪费时间和人力又达不到预期的效果。笔者认为，要把握信息系统审计的重点，需从如下几个方面考虑：
    一、抓住被审计单位的行业特点，重视研究信息系统对所在单位和行业产生的影响。行业特点决定了被审计单位的业务特点，业务特点又决定其信息系统本身的特点，对于行业特点的把握需要根据不同行业进行具体分析。笔者在对某行航空企业的信息系统进行审计时，分析了航空运输业的特点与信息系统之间的管理。航空运输业关系到旅客生命财产安全、国民经济安全甚至国家安全，其信息系统的特点是对安全性要求高、对信息系统依赖性高、信息系统投资额大。在开展信息系统审计时，要高度关注航空企业的信息系统安全性、可靠性和效益性，选择与航空运输安全关系密切的信息系统开展重点检查，紧紧围绕影响飞行安全的系统因素，揭露隐患，发现问题。要选取投入资金量大、建设效果差、使用效益低的系统开展检查，要从决策、建设、运行和管理等多方面揭示问题存在的原因，提出切实可行的政策建议。又如，建筑施工企业的特点是信息化应用水平相对较低、对信息系统依赖度低、信息系统较为零散、缺少较为统一完整的业务管理系统。在开展信息系统时，就要重点关注信息系统的效益性问题，检查是否存在系统相互割裂，信息传递不畅等信息孤岛问题影响企业的竞争力。
    二、掌握被审计单位适用的法规和标准，重点检查执行情况及其产生的影响。被审计单位适用的法规和标准明确了单位在信息化建设过程中需要遵守的准则，针对性较强。例如，在信息安全等级保护方面，公安部等四部委于2007年联合下发了《关于〈印发信息安全保护等级管理办法〉的通知》、《关于开展全国重要信息系统安全等级保护定级工作的通知》和配套的规范性文件，要求在全国范围内组织开展信息安全分等级保护工作，重点对电信、广电行业的公用通信网、广播电视传输网等信息基础设施，铁路、银行、海关、税务、民航、电力、证券、保险、外交、科技、发展改革、国防科技、公安、人事劳动和社会保障、财政等行业、部门的生产、调度、管理、办公等重要信息系统，市（地）级以上党政机关的重要网站和办公信息系统以及涉及国家秘密的信息系统开展信息系统安全等级保护定级工作。在检查被审计单位信息系统时，就要判断该单位是否属于重点行业重点单位，其信息系统遭到破坏是否对公共利益甚至国家安全造成影响，如果该单位信息系统属于等级保护级别较高的重要系统，就要严格检查单位等级保护定级工作落实情况，判断定级是否合理，依据是否充分，并按照相应的级别标准对信息系统的安全性和可靠性开展重点审计。
    三、把握被审计单位的自身特点，重点研究规划、决策和管控上存在的问题。即使处在同一行业中的单位，由于发展理念和管理水平的差异，其信息化建设水平同样会产生较大的差异。针对各单位信息化建设呈现的特点，在开展信息系统审计的审前调查阶段，审计人员就要对被审计单位信息化发展环境做全面客观的调查分析。一是关注信息化规划是否符合单位的整体发展规划，能否解决单位发展过程中存在的问题，是否为单位的长远发展提供有力地支持。二是关注信息化建设的决策过程是否符合程序，是否科学合理。三是关注信息化建设的管控水平是否能保证信息化规划和决策的落实。四是关注重要信息系统的安全是否得到有效保障，系统运行能否有效地保证单位日常业务的开展，是否存在信息系统安全隐患。五是关注信息化建设是否实现了既定的总体目标，是否存在闲置和损失浪费行为，信息化建设是否发挥了应有的经济和社会效益等。通过对以上几个方面的实地调查和评估分析，抓住被审计单位信息化建设的重点和薄弱环节，明确审计思路，在审计实施阶段才能有针对性地开展审计，取得较好的审计成果。（高杰）

【关闭】    【打印】