内部审计信息化框架及审计数据安全实践
作者:张小乖
中国内部审计 2015年05期
一、企业内部审计信息化的历史背景
近年来,审计信息化在我国各行业的审计工作中得到充分重视与发展。我国的党政机关、事业单位、企业以及各种咨询与审计鉴证机构对审计工作进行了卓有成效的信息化探索和创新。审计信息化是指审计工作中对信息技术及设施的运用及处理过程,包括审计手段、审计理念、审计对象、审计成果、审计过程管理等全方位、立体化的监督解决方案,其最终是促进组织战略目标的实现。审计信息化不同于一般的业务信息化建设,它是指信息技术在审计监督中全方位高效率的应用。它的发展经历了四个阶段,即:工具探索阶段、审计管理信息化阶段、智能监测阶段、全方位持续监控阶段。
自1936年英国科学家阿兰·麦席森·图灵(Alan Mathison Turing)提出“图灵机”设想以来,人类踩着计算机与人工智能之父图灵的肩膀走向了前所未有的文明与便利。从大数据的计算、作业过程的信息化处理、管理决策的信息化支持到信息安全防护等,计算机迅速进入到人类生产和生活的各个重要环节。审计——这种诞生于人类文明初期的工种,因各个单位组织运作模式的快速信息化,产生了史无前例的变革。在计算机参与组织运作的初期,审计师一般采取绕开计算机的审计模式(Audit Around the Computer),人们形象地称之为“黑盒法”,即将计算机系统视为一个不可知晓的黑盒子,通过检查输入计算机的数据(通常是纸质文件)和打印的输出结果,采用人工重复计算的方式比对处理结果,得出审计结论。
随着我国科技现代化的推进和对计算机科学及应用的不断探索,尤其是1979年财政部拨款500万元人民币在一汽集团试点开发应用财务软件伊始,信息技术开始进入中国企业日常办公及管理的各领域。随着关系型数据库和各类应用程序对纸质手写凭证及算盘、计算器等低效率计算工具的代替,审计对象的运作模式、审计标的记载方式甚至存在形式随之发生了深刻的变化,审计信息化应运而生。1990年,山西省审计局开发出我国第一套通过审计署鉴定的审计软件——“工业企业财务收支审计软件”。1998年,审计署提出审计信息化建设的提议,得到时任国务院总理朱镕基的充分肯定和重视,审计署开始规划和筹备国家审计层面的审计信息化工程。2000年,本土的审计软件厂商北京鼎信诺科技有限公司、广东中审软件技术有限公司、中软国际有限公司、烟台新纪元软件有限公司等相继推出鼎信诺V1.6、审易软件等实用型初级审计作业工具。
2001年,审计署要求各审计机关着手实现审计信息系统现代化初步建设。2002年7月28日,国家计委批准了审计署的申请,并下达2002年中央预算内基建投资5000万元,专项用于审计信息化系统一期工程建设。2004年,加拿大CaseWareIDEA有限公司进军中国市场,提供审计信息化系列产品。随后,ACL和Wolters Kluwer等欧美一流审计信息化产品提供商纷纷进入中国市场。
2008年,审计署发布《审计署2008至2012年信息化发展规划》,规划中提出要探索和完善信息化环境下的审计方式,推进审计信息化建设,以探索创新信息化环境下的审计方式为核心,加大适应信息化需要的审计人才队伍建设力度,努力提高审计工作效率、质量和水平,为审计事业发展提供信息技术支持和保障。2011年,中国注册会计师协会发布《中国注册会计师行业信息化建设总体方案》,注册会计师行业信息化战略全面启动。至此,我国进入全面审计信息化时代,审计信息化建设覆盖国家、行业、企业组织以及审计工作者等不同维度,以及国家审计、社会审计、内部审计三大领域。
二、企业内部审计信息化范畴
内部审计信息化建设采用不同的标准,有不同的分类:按照内容分类,内部审计信息化包括两方面内容:一是以信息技术为手段开展内部审计工作的过程,即计算机辅助审计技术(CAATs);二是指内部审计部门以组织的信息系统为对象,以风险评估或内部控制检查为手段,对这些系统所产生信息的真实性、合法性以及信息系统相关控制的遵循性作出确认,或通过优化企业信息管理,增强企业的核心竞争能力,即信息系统审计或EDP审计。
按照实施对象及技术特点分类,内部审计信息化的应用系统主要聚焦于三大领域:内部审计管理信息化、内部审计作业信息化、内部审计及风险实时监测预警信息化。审计作业信息化专注于提高审计作业的专业水准、效率和审计风险的控制;审计管理信息化侧重于解决审计管理过程中管理和文件资料的上传下达;内部审计及风险实时监测预警信息化侧重于对被审计对象的实时监督,将审计由传统的事后检查评价推向更为有价值的事前预防和事中监督。
2010年8月12日,国资委在中央企业内部审计工作会议上对国有企业内部审计工作的改革发展提出:加强内部审计信息化建设,提高审计工作效率。推动审计信息化建设,有效提升审计人员在信息化条件下开展审计工作的能力,是提高审计工作效率的重要手段。中央企业要高度重视内部审计的信息化建设,加强信息化建设支持力度:一是要加强企业审计信息集成管理系统的研发及推广应用,要根据自身业务特点探索建设涵盖作业规范、管理支撑、知识共享和成果转化等模块的内部审计管理平台,建立起完善的审计系统领导决策平台、业务管理平台和业务操作平台,实现审计信息的集中管理和应用,实现对审计对象的动态监控和实时分析。二是利用企业开发的ERP等信息系统,对其中与审计重点相关的财务系统、成本系统、物流系统、采购系统和销售系统等建立审计接口,运用现代信息系统开展审计工作。三是要进一步提升审计监督管理的信息化手段,实现审计信息的集中管理和应用,利用计算机数据库等软件排查审计疑点问题,及时发现被审计单位存在的问题,提高审计工作效率。不难看出,审计信息化建设迫切需要解决的问题主要涉及审计管理、审计接口及业务开展、信息化适时监管等方面。而实现审计信息化的方式,则外购与自主研发并行,各个组织或各行业审计部门多依据自身技术、资金等因素综合决策。
三、审计信息化系统产品分类及作用
审计信息化系统产品,是指企业组织或软件供应商设计研发的审计相关专业化信息技术软件程序。具体分为以下几类:审计信息化作业工具、审计管理信息系统、数据预警与监控信息系统、网络行为监控及信息安全审计工具等。审计信息化作业工具主要用于日常审计作业工作,主要包括数据采集、数据分析、审计抽样、审计测试、审计底稿、审计报告、审计文档生成管理等一系列内容,它以审计作业人员日常审计工作为重心,兼顾审计管理、监督、审计智能便捷分析等。审计管理信息系统主要用于审计部门日常管理工作,主要包括审计OA、人事管理、档案管理、计划管理、项目管理、整改管理、绩效评优等内容。数据预警与监控信息系统主要用于针对被审计对象数据(包括财务数据、业务数据、决策管理数据、库存供应链数据等)的事前和事中自动化监控预警。网络行为监控及信息安全审计工具主要用于针对网络活动及企业敏感信息的安全监督审计,主要包括日志分析工具、抓包分析工具、密码监测管理工具等。
四、审计信息化整体实施框架
在审计信息化过程中,整体宏观角度的框架规划设计是最基础、最为关键的环节,它需要根据企业整体信息化战略、审计团队规模、审计工作管理模式、财务业务系统已经达到的信息化水平、审计人员的信息化技能及未来发展等综合考虑。本文的整体框架如下,见下页图1。
如下页图1所示,整体实施规划涉及审计门户、资源共享平台、审计作业层、支撑平台等,在每一个层面都需要考虑审计作业与管理的便捷性、审计信息安全与访问控制管理两个因素。
为了能有效推进内部审计信息化发展,内部审计部门应结合实际,制定内部审计信息化战略规划,明确目标任务和措施,分阶段分步骤实施,以审计作业信息化为起点,审计管理为重点,审计资源共享及各系统支撑为辅助,与企业整体信息化战略相适应。同时,还应兼顾审计信息安全和审计风险管理目标。值得一提的是,随着我国内部审计理念向价值增值方向演进,内部审计领域已经由传统的财务收支审计、基建项目审计转为以经济效益审计、内部控制审计、信息系统审计、风险管理审计为主的增值服务型业务,审计信息化的范畴与施展空间也随之扩大。总体而言,我们对审计监督工作相关的信息化建设的探索侧重点发生了变化,主要体现在内部控制体系的监督和完善、风险审计、管理审计、实时预警监督、信息安全审计等方面。这些具有前瞻性和指导性的领域,在审计信息化整体实施框架的设计过程中,必须进行充分的论证与考量。
关注内部控制的合规性,为内部控制合规审计提供自动化工具。在2013年实施修订后的《中国内部审计准则》中,中国内部审计协会明确提出,内部审计机构需要“对内部控制设计和运行的有效性进行审查和评价,出具客观、公正的审计报告,促进组织改善内部控制”。这是现代内部审计理念的要求,也是我国企业遵循内部控制规范的需要。
注重风险管理审计,为内部审计评价组织整体风险提供支持工具,将风险识别、梳理、定级、维护与审计计划制定、审计实施、审计发现和问题整改紧密结合,提高内部审计人员识别复杂风险、关联风险和综合风险的敏感性,为内部审计评价整体风险提供信息化支持,体现风险导向内部审计理念。将风险视角从财务领域扩展到更广泛的经营业务领域,打破单一的审计项目管理体制,开展风险预警,按一般风险和重大风险有区别地配置审计资源。中国内部审计协会自2004年起,大力提倡将风险管理纳入内部审计的工作视野,而2013年修订的《中国内部审计准则》发布了对内部审计的新定义,增加了对“风险管理的适当性和有效性”的审查和评价,以体现现代内部审计对组织风险的关注。内部审计机构只有将整体风险纳入视野,才能确保审计关注领域的完整性,才能及时防范风险和提供增值服务。这就要求审计人员站在全局高度对整体风险进行分析与评价,靠单纯项目化的工作模式通常难以实现。而企业组织经营环境的.高度信息化,各业务板块数据的高度集中,为内部审计实现全面风险分析提供了可能。国内一些先进的大型央企或知名上市公司也开始对内部风险审计的思路进行探索,他们将整个业务领域确定为审计对象,构建运营收入和支出全流程框架,采用图表或矢量图形式直观展示企业全面风险,对提高内部审计工作的整体性和及时性做了有益尝试。
逐步实现实时预警监督,伴随风险导向审计理念的不断实践,持续审计预警系统和风险管理审计系统成为内部审计信息化的重点领域。通过持续的审计预警系统,梳理主要业务及重点环节的风险控制点,建立风险监测指标库和监测模型库,依据风险预警规则实现跟踪审计,实现内部审计从事后审计走向事中、实时审计。
建设新型审计信息门户,本框架中审计信息门户不同于早期的集团审计门户,它侧重于采集和专门构建等方式建设各类审计知识库,如风险事件库、法律法规库、审计成果库、问题线索库、审计方法库、审计案例库、审计对象库、审计专业人才库等,实现对审计知识发现、获取、存储、维护、更新、评价、共享和创新应用的全方位管理,为提高审计人员能力及审计项目效率提供知识支持。它同时关注审计与内外部人员的互动,扮演着宣讲贯彻、交流协调、投诉举报、汇报查询、公告、新闻、培训等重要角色。
另外,审计信息化建设中关于知识、人员、培训及绩效评优等模块的信息化,可以大力加强审计队伍建设,提高审计人员在信息化环境下开展审计工作的能力。这是内部审计信息化建设的一项重要的基础性工作。在企业的战略发展规划中,几乎所有的活动都与人的因素息息相关。内部审计工作是一项以人力资源运用为主的技术性工作,在审计信息化整体实施框架设计和实施过程中,相比设备、管理理念等其他因素,复合型审计人才的培养和管理始终处于第一位。首先,复合型内部审计人才的定位应该是适当水平。要适应审计信息化的发展战略需求,需要的是与企业发展战略、审计信息化水平相匹配的、适当的复合型审计人员。其次,所谓复合型人才,是指具有计算机技能、审计、内部控制、预算等专业基础,拥有工作经验和超强学习能力的新型审计人员,能够在未来的审计信息化发展过程中,不断适应新环境,不断学习新知识新技能的审计人员。
五、审计数据安全实践
审计数据作为企业最为核心的数据之一,其重要性不言而喻。而审计数据泄露又与审计信息化产品的设计缺陷和安装运营维护过程有着莫大的关联。因此,在审计信息化实施框架的设计之初就应该充分考虑审计数据的安全性问题,需要在审计信息化系统的研发选用、安装维护等环节全面贯彻信息安全法则,强化审计数据安全意识。
在我国所处的信息技术环境和经济运行背景下,面临的审计数据安全问题尤为突出,我国拥有大量关乎国计民生和国防安全的国有企业,但由于数据库、应用程序、操作系统、数据交换设备和用户安全意识等种种原因的限制,我国企业的数据安全管理实践水平参差不齐,审计数据的安全管理以及信息安全审计工作形势严峻。自斯诺登事件以来,相关部门及企业开始大力加强信息安全管理工作,部分审计信息化厂商开始对产品和服务进行升级换代,以策安全。
在审计信息化实践中,专家们多建议以信息安全铁三角(CIA)理论为纲,CIA指机密性(Confidentiality)、完整性(Integrity)、可用性(Availability)。机密性是指阻止非授权的主体阅读审计数据信息。即未授权的用户不能够获取敏感审计数据信息。对传统的纸质审计相关文档,只需要保护好文件,不被非授权者接触即可。而在审计信息化背景下,不仅要制止非授权者对审计数据信息的阅读。也要阻止授权者将其访问的敏感的审计信息传递给非授权者,以致信息被泄漏。完整性是指防止审计数据信息未经授权便被篡改。它是保护审计数据信息保持既定状态,使审计数据信息真实可靠。如果这些审计数据信息被蓄意地修改、插入、删除等,形成虚假信息,那审计结论将变得严重失实。可用性是指审计师及相关被授权方在需要审计数据信息时能及时得到服务的能力。在权衡可用性问题时,应该遵循最小授权原则,受保护的审计敏感数据只能由履行审计职责和职能的安全主体,在法律和相应的安全策略允许前提下,为满足工作需要而使用。它包括知所必须(need to know)和用所必须(need to use)两个方面,知所必须原则是指授权过程中对审计相关人员接触敏感数据时只赋予其必须查看数据的浏览权限,用所必须原则即对敏感数据的使用权仅赋予那些必须要使用该数据的用户。这两项原则的遵循能有效防止任何人以任何理由和方式知悉或使用其不需要知道的审计敏感数据信息。
根据对象分类,审计数据安全可以分解为审计数据库安全、审计程序安全和审计系统运行维护安全三大层次。数据库安全是指采取各种安全措施对数据库及其相关文件和数据进行保护。数据库系统的重要指标之一是确保系统安全,以各种防范措施防止非授权使用数据库,主要通过DBMS实现的。数据库系统中一般采用用户标识和鉴别、存取控制、视图以及密码存储等技术进行安全控制。数据库安全的核心和关键是其数据安全,以保护措施确保数据的完整性、保密性、可用性、可控性和可审查性。由于数据库存储着大量的重要信息和机密数据,而且在数据库系统中大量数据集中存放,供多用户共享,因此,必须加强对数据库访问的控制和数据安全防护。软件程序安全是指保护软件中的智力成果、知识产权不被非法接触、篡改及盗用等。主要包括防止软件盗版、软件逆向工程、授权加密以及非法篡改等。采用的技术包括软件水印、代码混淆、防篡改技术、授权加密技术以及虚拟机保护技术等。软件程序的安全严重依赖于开发遵循的安全开发战略规范。目前较为成熟的软件程序安全规范是ISO27034,它是国际标准化组织通过的第一个关注建立安全软件程序流程和框架的标准。根据Forrester在2011年的一项调查,只有37%的软件开发团队拥有明确的安全开发战略,不少软件开发组织没有在足够的高度上认知开发安全性,只是把安全性作为一个战术层面或者简单的规范,没有实施端到端的战略方法。在开发过程缺乏对安全性的控制,很明显会把风险从开发过程转移到软件运行阶段。
运营维护行为是审计数据安全短板中最常见最重要的内容。随着审计涉及的服务器、数据库越来越多,服务器账号、个人账号的数量、种类都在不停地增加。由于各个服务器所要求的密码安全策略各不相同,系统用户就会需要掌握多个账号的用户名、密码,在更新密码的时候还需要去区分不同的服务器对应不同的密码安全要求,在登录不同的系统时需要多次输入口令。一旦登录之后,进行非法命令操作,将不能进行有效的命令权限控制。目前,对这些账号的管理仍然停留在手工操作阶段,对整个用户账号生命周期的创建、调整、注销、密码的更新等都是由对应服务器管理员、数据库管理员、网络管理员手动管理,存在工作量繁重,维护艰难,安全漏洞多等问题。对于这些日常操作,缺乏有效手段对流程进行规范。同时,审计涉及的电子表格、账套数据库文件及备份文件、审计项目文件等在保管维护过程中也存在众多安全风险点。建议通过建立一个审计信息系统运营维护安全平台来进行统一的管理,以此提高人员的工作效率,保证信息系统的稳定、安全和高效运行。通过多种策略和技术手段实现多种系统账号的统一管理、实现日常化的操作流程的规范化,从而实现账号资源的自动化管理配置、优化,有效提高其安全性、可控性及可用性。积极整合审计资源,实现流程、人员、合规、审计的有机结合,通过提供理论、方法、技术、应用的一整套完整的解决方案,建立一套较为完整的身份管理体系,提高审计信息安全运营维护管理的整体效能。
企业内部审计信息化建设是在社会信息化、企业信息化潮流之下,以解决现实审计实践瓶颈、提高审计工作效率和效果为目标,顺应国家和行业监管需求,促进审计思维与方法变革的有效实践。但其涉及的审计数据安全、审计信息化人才培养、与企业监管实际及被审计对象信息化成熟程度不协调等问题,则需要在整个建设及运营的生命周期中充分考虑。
作者介绍:张小乖,北京鼎信诺科技有限公司
【内部审计信息化框架及审计数据安全实践】相关文章:
风险管理框架下的内部审计07-08
浅谈内部审计信息化06-17
浅议电子数据安全审计01-20
内部控制审计:中国内部审计理论研讨主题06-17
浅析企业内部审计信息化运用09-02
内部审计实习报告02-09
关于内部的审计的论文10-06
内部审计的职能论文10-06
内部审计大学论文10-06