信息系統風險和審計的探討

李晶

[摘? ? 要] 網絡安全風險是信息系統審計關注的重要部分。針對內部審計人員開展信息系統審計存在的問題，提出信息系統的風險主要與業務有關，而不僅僅是技術問題。對信息系統風險進行了分類，并提出了初步的審計思路。

[關鍵詞] 網絡安全;信息系統審計;信息系統風險

doi ： 10 . 3969 / j . issn . 1673 - 0194 . 2020. 03. 029

[中圖分類號] F239.1? ? [文獻標識碼]? A? ? ? [文章編號]? 1673 - 0194（2020）03- 0067- 02

1? ? ? 引? ? 言

從2016年美國總統大選候選人希拉里的“郵件門”事件，讓全世界對信息安全風險的威力有了新的認識。近年來，由于網絡安全導致的嚴重后果的事件層出不窮。2016年9月23日，雅虎公司宣布有至少5億用戶賬戶信息被黑客盜取，盜取內容包括用戶的姓名、電郵地址、電話號碼、生日、密碼等，甚至還包括加密或未加密的安全問題及答案。這也打破史上最大單一網站信息遭竊的紀錄。信息安全帶來的風險成為當今互聯網環境下組織和個人都要關注的問題。

“沒有網絡安全就沒有國家安全，沒有信息化就沒有現代化。”習近平總書記的這一重要論斷，把網絡安全上升到了國家安全的層面，為推動我國網絡安全體系的建立，樹立正確的網絡安全觀指明了方向[1]。近年來，我國網絡安全法治建設取得突破性進展。2016年11月，《中華人民共和國網絡安全法》高票通過，成為我國網絡安全領域的首部專門法律，為依法治網、化解網絡風險提供了法律武器;2017年3月，十二屆全國人大五次會議通過《民法總則》，明確對個人信息、數據、虛擬財產予以保護;最高法、最高檢出臺一系列司法解釋，闡明相關法律問題;中央網信辦、公安部、工信部、文化部等出臺多個部門規章，對互聯網信息搜索、移動互聯網應用程序等都做出了及時的規范。

2? ? ? 信息系統審計的現狀和難點

網絡安全風險，是信息系統風險的一種重要類型，開展信息系統審計，有助于防范和控制信息系統風險。對信息系統審計，目的是揭示由于信息系統缺陷導致的信息安全風險、經濟安全風險，促進被審計單位加強內部管理和控制，提高信息化建設項目的效益，是保障信息系統安全的重要手段。

審計署關于“十三五”國家審計工作發展規劃中明確指出，要加強信息化建設項目審計。圍繞國家大數據戰略和“互聯網+”行動，以提高財政資金使用效益和維護國家信息安全為重點，加大對政府部門、國有企事業單位信息化建設項目及信息系統審計力度，促進國家大數據戰略的順利實施。

前任審計長劉家義指出，在信息化、數字化環境下，信息系統審計要抓住三個關鍵點：一是安全性、二是有效性、三是經濟性。開展信息系統審計要關注網絡、設備、操作系統、數據庫、環境等系統要素的安全性，關注規范管理、提高效率、共享信息、數據準確等功能要素的有效性，關注組織目標實現、投資收益、性價比、利用覆蓋率等項目要素的經濟性[2]。

自從信息系統審計提出以來，學術界和實務都認識到信息安全是信息系統審計的主要內容。但是由于信息系統審計的技術性強，加上從事內部審計工作的人員相對來說計算機技術較為薄弱，導致審計人員對于信息系統的風險的認識不足。在當前信息系統審計開展的過程中，組織一般來說主要關注信息系統的可靠性、安全性等操作層面的風險。由于技術力量不足，把信息系統審計外包給組織外部的專業機構也是常見的做法。但不同的組織應用信息系統的目的和程度不同，信息系統的風險不僅僅在于操作層面;技術人員和管理人員對風險的認識是不同的，外部機構有時候也未必能準確識別組織中管理層真正需要關心的問題。這些做法往往有可能忽視了組織中真正的風險所在。不同的組織即使是使用相同的軟硬件設備和應用系統，由于不同的人會有不同的使用方式，設備也會有不同的組合和部署方式，同樣的基礎設施也有可能出現不同的風險。

當前基于風險的審計模式的關鍵在于對風險的準確把握，在復雜多變的信息化環境下，這就要求審計人員在不同環境下對新的風險有準確、全面的認識。由于信息系統審計（在國內不同時期被稱為計算機審計，IT審計等）發展不平衡、實踐中總結經驗少等原因，導致審計人員在對信息系統風險的交流方面受到限制和制約，從而影響到信息系統審計工作的開展。部分內部審計人員由于對信息系統風險不了解，把信息系統審計僅僅看作是技術問題和風險，在認識中產生了一定的誤區。

3? ? ? 信息系統風險的分類和審計思路

筆者認為，在內部審計中涉及信息系統的情況下，首先要對真正的需要關注的信息系統的風險有客觀的認識和清晰的把握，才能確定問題的重點。信息系統的風險應該是對業務產生的風險而不是自身的技術和設備風險本身。

信息系統專家John Ward在《信息系統戰略規劃》一書中對IT（信息技術）和IS（信息系統）進行了區別。他指出：IT特指技術，尤指硬件、軟件和通信網絡，因此IT即可以是有形的（例如服務器、PC機、路由器和網絡），也可以是無形的（例如所有類型的軟件）。IT的應用方便了信息和其他數字內容的獲取、加工、存儲、發布和共享。歐盟一般用信息和通信技術“ICT”代替IT，以體現傳統信息技術和通信的融合。英國信息系統學會UKAIS將信息系統定義為人們和組織利用技術，收集、加工、存儲、使用和傳播信息的手段。從這個角度上來講，信息系統和信息技術的應用相關，但兩者并不等同。

信息化環境下信息系統和信息技術的應用有了更加緊密不可分的關系，但這兩者也并不能完全替代，有時候兩者的目的也未必完全相同。縱然信息技術是信息系統實現目標的基礎，也確實有些信息系統通過信息技術的應用實現了完全自動化，如戴爾公司的按訂單生產模式：從接受客戶訂單、發送零件到工廠組裝、直到發貨給客戶都無須人為干預。這里信息技術使信息的功能發揮到了極致。但信息系統并非是缺乏現代信息和通信技術就無法運行。也存在著信息技術先進而信息系統無效的情況，例如，購買的設備很先進，但是信息系統應用效果不佳;另一方面，在信息技術原始的情況下，也有信息系統有效的范例，例如過去手工記錄的會計系統、歷史上更為古老的郵政系統，也都是有效的信息系統，盡管當時的信息和通信技術并不發達。

從這一點來看，對于信息系統審計的目標，從基于風險的角度來看，重點應該關注的是能否實現組織的業務目標的問題，而不僅僅是軟硬件設備（ICT）的問題。筆者認為按照信息系統在組織中應用的情況，可以把信息系統的風險分為三類：信息系統能力風險，信息系統項目風險和信息系統操作風險。

（1）信息系統能力風險和審計。信息系統能力風險是指信息系統的應用到底有沒有幫助組織實現業務目標。如果對組織的業務目標沒有幫助，就是信息系統能力建設問題。信息系統的投入的最終目的在于增強組織處理信息、幫助實現業務目標的能力，而不在于信息系統本身。如果信息系統的選型和設計對組織的業務目標沒有幫助，那就是信息系統決策層面的問題，處理的不恰當可能會出現信息系統不適合組織業務需求的情況，是從對組織長期效果來評估。對此類風險的控制和審計難度最大，可以歸為IT治理審計的范疇。

（2）信息系統項目風險和審計。組織的信息系統建設是一個個具體的信息系統項目構成的。每一個具體的信息系統項目的時間、質量、成本是否符合要求，就構成了信息系統項目的風險。信息系統項目建設成功率低的問題一直是學界和業界長期關注的問題。對于項目風險的評價可視為對組織中期的效果評估。對此類風險的控制和審計也涉及較多的方面和因素，但是由于有明確的指標可以選擇，可操作性要比IT能力的審計高得多，可以歸為信息化建設項目審計的范疇。

（3）信息系統操作風險和審計。在信息系統運行和管理中，無論項目規模的大小，最終還是會落實到一個個具體的人員執行的問題，涉及具體的個人和具體的設備、場所的問題。具體體現為某個具體方面的安全性、可靠性、經濟性等問題;對于操作層面的評價是對信息系統局部效果的評估。此類問題最多，但比較分散，而且往往由于是涉及具體的個人微觀，不加以深入分析的話，難以引起管理層的重視。

在具體審計工作開展中，不僅要關注信息系統操作層面的風險，更要關注中期的信息系統項目風險，以及長期的信息系統能力風險。

4? ? ?結? ? 語

在審計工作中，審計人員常常面臨著信息技術的挑戰，在數據采集、數據處理和數據分析中，甚至由于技術不足而望而卻步，但技術的風險并不是信息系統風險的全部，而信息系統審計首先要正確認識信息系統的風險，特別是從業務角度去理解信息系統。技術，作為審計資源來說，是很容易配置和轉移的，而正確認識信息系統的風險才是提出好的審計思路的關鍵。

主要參考文獻

[1]盧佳.“沒有網絡安全就沒有國家安全，沒有信息化就沒有現代化”——解讀習近平關于網絡安全和信息化的重要論述[J].黨的文獻，2016（3）.

[2]劉家義.中國特色社會主義審計理論研究[M].北京：中國時代經濟出版社，2015.

[3]趙長明.互聯網金融中第三方支付的法律監管[J]. 商場現代化，2019（2）.

[4]成駿雄.我國信息系統審計技術推廣的限制因素探討[J].中國集體經濟，2018（3）.

[5]樊沙沙.信息系統審計風險應對策略研究[J]. 對外經貿，2017（8）.

[6]程平，王曉江.基于COBIT標準的云會計AIS審計風險評價指標體系構建[J]. 會計之友，2016（10）.

[7]王會金.高校管理信息系統審計及其風險控制問題研究——以WSR方法論與COBIT理論相結合為視角[J]. 審計與經濟研究，2014（5）.