內部審計信息化框架及審計數據安全實踐

作者：張小乖

中國內部審計 2015年05期

一、企業內部審計信息化的歷史背景

近年來，審計信息化在我國各行業的審計工作中得到充分重視與發展。我國的黨政機關、事業單位、企業以及各種咨詢與審計鑒證機構對審計工作進行了卓有成效的信息化探索和創新。審計信息化是指審計工作中對信息技術及設施的運用及處理過程，包括審計手段、審計理念、審計對象、審計成果、審計過程管理等全方位、立體化的監督解決方案，其最終是促進組織戰略目標的實現。審計信息化不同于一般的業務信息化建設，它是指信息技術在審計監督中全方位高效率的應用。它的發展經歷了四個階段，即：工具探索階段、審計管理信息化階段、智能監測階段、全方位持續監控階段。

自1936年英國科學家阿蘭·麥席森·圖靈（Alan Mathison Turing）提出“圖靈機”設想以來，人類踩著計算機與人工智能之父圖靈的肩膀走向了前所未有的文明與便利。從大數據的計算、作業過程的信息化處理、管理決策的信息化支持到信息安全防護等，計算機迅速進入到人類生產和生活的各個重要環節。審計——這種誕生于人類文明初期的工種，因各個單位組織運作模式的快速信息化，產生了史無前例的變革。在計算機參與組織運作的初期，審計師一般采取繞開計算機的審計模式（Audit Around the Computer），人們形象地稱之為“黑盒法”，即將計算機系統視為一個不可知曉的黑盒子，通過檢查輸入計算機的數據（通常是紙質文件）和打印的輸出結果，采用人工重復計算的方式比對處理結果，得出審計結論。

隨著我國科技現代化的推進和對計算機科學及應用的不斷探索，尤其是1979年財政部撥款500萬元人民幣在一汽集團試點開發應用財務軟件伊始，信息技術開始進入中國企業日常辦公及管理的各領域。隨著關系型數據庫和各類應用程序對紙質手寫憑證及算盤、計算器等低效率計算工具的代替，審計對象的運作模式、審計標的記載方式甚至存在形式隨之發生了深刻的變化，審計信息化應運而生。1990年，山西省審計局開發出我國第一套通過審計署鑒定的審計軟件——“工業企業財務收支審計軟件”。1998年，審計署提出審計信息化建設的提議，得到時任國務院總理朱镕基的充分肯定和重視，審計署開始規劃和籌備國家審計層面的審計信息化工程。2000年，本土的審計軟件廠商北京鼎信諾科技有限公司、廣東中審軟件技術有限公司、中軟國際有限公司、煙臺新紀元軟件有限公司等相繼推出鼎信諾V1.6、審易軟件等實用型初級審計作業工具。

2001年，審計署要求各審計機關著手實現審計信息系統現代化初步建設。2002年7月28日，國家計委批準了審計署的申請，并下達2002年中央預算內基建投資5000萬元，專項用于審計信息化系統一期工程建設。2004年，加拿大CaseWareIDEA有限公司進軍中國市場，提供審計信息化系列產品。隨后，ACL和Wolters Kluwer等歐美一流審計信息化產品提供商紛紛進入中國市場。

2008年，審計署發布《審計署2008至2012年信息化發展規劃》，規劃中提出要探索和完善信息化環境下的審計方式，推進審計信息化建設，以探索創新信息化環境下的審計方式為核心，加大適應信息化需要的審計人才隊伍建設力度，努力提高審計工作效率、質量和水平，為審計事業發展提供信息技術支持和保障。2011年，中國注冊會計師協會發布《中國注冊會計師行業信息化建設總體方案》，注冊會計師行業信息化戰略全面啟動。至此，我國進入全面審計信息化時代，審計信息化建設覆蓋國家、行業、企業組織以及審計工作者等不同維度，以及國家審計、社會審計、內部審計三大領域。

二、企業內部審計信息化范疇

內部審計信息化建設采用不同的標準，有不同的分類：按照內容分類，內部審計信息化包括兩方面內容：一是以信息技術為手段開展內部審計工作的過程，即計算機輔助審計技術（CAATs）；二是指內部審計部門以組織的信息系統為對象，以風險評估或內部控制檢查為手段，對這些系統所產生信息的真實性、合法性以及信息系統相關控制的遵循性作出確認，或通過優化企業信息管理，增強企業的核心競爭能力，即信息系統審計或EDP審計。

按照實施對象及技術特點分類，內部審計信息化的應用系統主要聚焦于三大領域：內部審計管理信息化、內部審計作業信息化、內部審計及風險實時監測預警信息化。審計作業信息化專注于提高審計作業的專業水準、效率和審計風險的控制；審計管理信息化側重于解決審計管理過程中管理和文件資料的上傳下達；內部審計及風險實時監測預警信息化側重于對被審計對象的實時監督，將審計由傳統的事后檢查評價推向更為有價值的事前預防和事中監督。

2010年8月12日，國資委在中央企業內部審計工作會議上對國有企業內部審計工作的改革發展提出：加強內部審計信息化建設，提高審計工作效率。推動審計信息化建設，有效提升審計人員在信息化條件下開展審計工作的能力，是提高審計工作效率的重要手段。中央企業要高度重視內部審計的信息化建設，加強信息化建設支持力度：一是要加強企業審計信息集成管理系統的研發及推廣應用，要根據自身業務特點探索建設涵蓋作業規范、管理支撐、知識共享和成果轉化等模塊的內部審計管理平臺，建立起完善的審計系統領導決策平臺、業務管理平臺和業務操作平臺，實現審計信息的集中管理和應用，實現對審計對象的動態監控和實時分析。二是利用企業開發的ERP等信息系統，對其中與審計重點相關的財務系統、成本系統、物流系統、采購系統和銷售系統等建立審計接口，運用現代信息系統開展審計工作。三是要進一步提升審計監督管理的信息化手段，實現審計信息的集中管理和應用，利用計算機數據庫等軟件排查審計疑點問題，及時發現被審計單位存在的問題，提高審計工作效率。不難看出，審計信息化建設迫切需要解決的問題主要涉及審計管理、審計接口及業務開展、信息化適時監管等方面。而實現審計信息化的方式，則外購與自主研發并行，各個組織或各行業審計部門多依據自身技術、資金等因素綜合決策。

三、審計信息化系統產品分類及作用

審計信息化系統產品，是指企業組織或軟件供應商設計研發的審計相關專業化信息技術軟件程序。具體分為以下幾類：審計信息化作業工具、審計管理信息系統、數據預警與監控信息系統、網絡行為監控及信息安全審計工具等。審計信息化作業工具主要用于日常審計作業工作，主要包括數據采集、數據分析、審計抽樣、審計測試、審計底稿、審計報告、審計文檔生成管理等一系列內容，它以審計作業人員日常審計工作為重心，兼顧審計管理、監督、審計智能便捷分析等。審計管理信息系統主要用于審計部門日常管理工作，主要包括審計OA、人事管理、檔案管理、計劃管理、項目管理、整改管理、績效評優等內容。數據預警與監控信息系統主要用于針對被審計對象數據（包括財務數據、業務數據、決策管理數據、庫存供應鏈數據等）的事前和事中自動化監控預警。網絡行為監控及信息安全審計工具主要用于針對網絡活動及企業敏感信息的安全監督審計，主要包括日志分析工具、抓包分析工具、密碼監測管理工具等。

四、審計信息化整體實施框架

在審計信息化過程中，整體宏觀角度的框架規劃設計是最基礎、最為關鍵的環節，它需要根據企業整體信息化戰略、審計團隊規模、審計工作管理模式、財務業務系統已經達到的信息化水平、審計人員的信息化技能及未來發展等綜合考慮。本文的整體框架如下，見下頁圖1。

如下頁圖1所示，整體實施規劃涉及審計門戶、資源共享平臺、審計作業層、支撐平臺等，在每一個層面都需要考慮審計作業與管理的便捷性、審計信息安全與訪問控制管理兩個因素。

為了能有效推進內部審計信息化發展，內部審計部門應結合實際，制定內部審計信息化戰略規劃，明確目標任務和措施，分階段分步驟實施，以審計作業信息化為起點，審計管理為重點，審計資源共享及各系統支撐為輔助，與企業整體信息化戰略相適應。同時，還應兼顧審計信息安全和審計風險管理目標。值得一提的是，隨著我國內部審計理念向價值增值方向演進，內部審計領域已經由傳統的財務收支審計、基建項目審計轉為以經濟效益審計、內部控制審計、信息系統審計、風險管理審計為主的增值服務型業務，審計信息化的范疇與施展空間也隨之擴大。總體而言，我們對審計監督工作相關的信息化建設的探索側重點發生了變化，主要體現在內部控制體系的監督和完善、風險審計、管理審計、實時預警監督、信息安全審計等方面。這些具有前瞻性和指導性的領域，在審計信息化整體實施框架的設計過程中，必須進行充分的論證與考量。

關注內部控制的合規性，為內部控制合規審計提供自動化工具。在2013年實施修訂后的《中國內部審計準則》中，中國內部審計協會明確提出，內部審計機構需要“對內部控制設計和運行的有效性進行審查和評價，出具客觀、公正的審計報告，促進組織改善內部控制”。這是現代內部審計理念的要求，也是我國企業遵循內部控制規范的需要。

注重風險管理審計，為內部審計評價組織整體風險提供支持工具，將風險識別、梳理、定級、維護與審計計劃制定、審計實施、審計發現和問題整改緊密結合，提高內部審計人員識別復雜風險、關聯風險和綜合風險的敏感性，為內部審計評價整體風險提供信息化支持，體現風險導向內部審計理念。將風險視角從財務領域擴展到更廣泛的經營業務領域，打破單一的審計項目管理體制，開展風險預警，按一般風險和重大風險有區別地配置審計資源。中國內部審計協會自2004年起，大力提倡將風險管理納入內部審計的工作視野，而2013年修訂的《中國內部審計準則》發布了對內部審計的新定義，增加了對“風險管理的適當性和有效性”的審查和評價，以體現現代內部審計對組織風險的關注。內部審計機構只有將整體風險納入視野，才能確保審計關注領域的完整性，才能及時防范風險和提供增值服務。這就要求審計人員站在全局高度對整體風險進行分析與評價，靠單純項目化的工作模式通常難以實現。而企業組織經營環境的高度信息化，各業務板塊數據的高度集中，為內部審計實現全面風險分析提供了可能。國內一些先進的大型央企或知名上市公司也開始對內部風險審計的思路進行探索，他們將整個業務領域確定為審計對象，構建運營收入和支出全流程框架，采用圖表或矢量圖形式直觀展示企業全面風險，對提高內部審計工作的整體性和及時性做了有益嘗試。

逐步實現實時預警監督，伴隨風險導向審計理念的不斷實踐，持續審計預警系統和風險管理審計系統成為內部審計信息化的重點領域。通過持續的審計預警系統，梳理主要業務及重點環節的風險控制點，建立風險監測指標庫和監測模型庫，依據風險預警規則實現跟蹤審計，實現內部審計從事后審計走向事中、實時審計。

建設新型審計信息門戶，本框架中審計信息門戶不同于早期的集團審計門戶，它側重于采集和專門構建等方式建設各類審計知識庫，如風險事件庫、法律法規庫、審計成果庫、問題線索庫、審計方法庫、審計案例庫、審計對象庫、審計專業人才庫等，實現對審計知識發現、獲取、存儲、維護、更新、評價、共享和創新應用的全方位管理，為提高審計人員能力及審計項目效率提供知識支持。它同時關注審計與內外部人員的互動，扮演著宣講貫徹、交流協調、投訴舉報、匯報查詢、公告、新聞、培訓等重要角色。

另外，審計信息化建設中關于知識、人員、培訓及績效評優等模塊的信息化，可以大力加強審計隊伍建設，提高審計人員在信息化環境下開展審計工作的能力。這是內部審計信息化建設的一項重要的基礎性工作。在企業的戰略發展規劃中，幾乎所有的活動都與人的因素息息相關。內部審計工作是一項以人力資源運用為主的技術性工作，在審計信息化整體實施框架設計和實施過程中，相比設備、管理理念等其他因素，復合型審計人才的培養和管理始終處于第一位。首先，復合型內部審計人才的定位應該是適當水平。要適應審計信息化的發展戰略需求，需要的是與企業發展戰略、審計信息化水平相匹配的、適當的復合型審計人員。其次，所謂復合型人才，是指具有計算機技能、審計、內部控制、預算等專業基礎，擁有工作經驗和超強學習能力的新型審計人員，能夠在未來的審計信息化發展過程中，不斷適應新環境，不斷學習新知識新技能的審計人員。

五、審計數據安全實踐

審計數據作為企業最為核心的數據之一，其重要性不言而喻。而審計數據泄露又與審計信息化產品的設計缺陷和安裝運營維護過程有著莫大的關聯。因此，在審計信息化實施框架的設計之初就應該充分考慮審計數據的安全性問題，需要在審計信息化系統的研發選用、安裝維護等環節全面貫徹信息安全法則，強化審計數據安全意識。

在我國所處的信息技術環境和經濟運行背景下，面臨的審計數據安全問題尤為突出，我國擁有大量關乎國計民生和國防安全的國有企業，但由于數據庫、應用程序、操作系統、數據交換設備和用戶安全意識等種種原因的限制，我國企業的數據安全管理實踐水平參差不齊，審計數據的安全管理以及信息安全審計工作形勢嚴峻。自斯諾登事件以來，相關部門及企業開始大力加強信息安全管理工作，部分審計信息化廠商開始對產品和服務進行升級換代，以策安全。

在審計信息化實踐中，專家們多建議以信息安全鐵三角（CIA）理論為綱，CIA指機密性（Confidentiality）、完整性（Integrity）、可用性（Availability）。機密性是指阻止非授權的主體閱讀審計數據信息。即未授權的用戶不能夠獲取敏感審計數據信息。對傳統的紙質審計相關文檔，只需要保護好文件，不被非授權者接觸即可。而在審計信息化背景下，不僅要制止非授權者對審計數據信息的閱讀。也要阻止授權者將其訪問的敏感的審計信息傳遞給非授權者，以致信息被泄漏。完整性是指防止審計數據信息未經授權便被篡改。它是保護審計數據信息保持既定狀態，使審計數據信息真實可靠。如果這些審計數據信息被蓄意地修改、插入、刪除等，形成虛假信息，那審計結論將變得嚴重失實。可用性是指審計師及相關被授權方在需要審計數據信息時能及時得到服務的能力。在權衡可用性問題時，應該遵循最小授權原則，受保護的審計敏感數據只能由履行審計職責和職能的安全主體，在法律和相應的安全策略允許前提下，為滿足工作需要而使用。它包括知所必須（need to know）和用所必須（need to use）兩個方面，知所必須原則是指授權過程中對審計相關人員接觸敏感數據時只賦予其必須查看數據的瀏覽權限，用所必須原則即對敏感數據的使用權僅賦予那些必須要使用該數據的用戶。這兩項原則的遵循能有效防止任何人以任何理由和方式知悉或使用其不需要知道的審計敏感數據信息。

根據對象分類，審計數據安全可以分解為審計數據庫安全、審計程序安全和審計系統運行維護安全三大層次。數據庫安全是指采取各種安全措施對數據庫及其相關文件和數據進行保護。數據庫系統的重要指標之一是確保系統安全，以各種防范措施防止非授權使用數據庫，主要通過DBMS實現的。數據庫系統中一般采用用戶標識和鑒別、存取控制、視圖以及密碼存儲等技術進行安全控制。數據庫安全的核心和關鍵是其數據安全，以保護措施確保數據的完整性、保密性、可用性、可控性和可審查性。由于數據庫存儲著大量的重要信息和機密數據，而且在數據庫系統中大量數據集中存放，供多用戶共享，因此，必須加強對數據庫訪問的控制和數據安全防護。軟件程序安全是指保護軟件中的智力成果、知識產權不被非法接觸、篡改及盜用等。主要包括防止軟件盜版、軟件逆向工程、授權加密以及非法篡改等。采用的技術包括軟件水印、代碼混淆、防篡改技術、授權加密技術以及虛擬機保護技術等。軟件程序的安全嚴重依賴于開發遵循的安全開發戰略規范。目前較為成熟的軟件程序安全規范是ISO27034，它是國際標準化組織通過的第一個關注建立安全軟件程序流程和框架的標準。根據Forrester在2011年的一項調查，只有37%的軟件開發團隊擁有明確的安全開發戰略，不少軟件開發組織沒有在足夠的高度上認知開發安全性，只是把安全性作為一個戰術層面或者簡單的規范，沒有實施端到端的戰略方法。在開發過程缺乏對安全性的控制，很明顯會把風險從開發過程轉移到軟件運行階段。

運營維護行為是審計數據安全短板中最常見最重要的內容。隨著審計涉及的服務器、數據庫越來越多，服務器賬號、個人賬號的數量、種類都在不停地增加。由于各個服務器所要求的密碼安全策略各不相同，系統用戶就會需要掌握多個賬號的用戶名、密碼，在更新密碼的時候還需要去區分不同的服務器對應不同的密碼安全要求，在登錄不同的系統時需要多次輸入口令。一旦登錄之后，進行非法命令操作，將不能進行有效的命令權限控制。目前，對這些賬號的管理仍然停留在手工操作階段，對整個用戶賬號生命周期的創建、調整、注銷、密碼的更新等都是由對應服務器管理員、數據庫管理員、網絡管理員手動管理，存在工作量繁重，維護艱難，安全漏洞多等問題。對于這些日常操作，缺乏有效手段對流程進行規范。同時，審計涉及的電子表格、賬套數據庫文件及備份文件、審計項目文件等在保管維護過程中也存在眾多安全風險點。建議通過建立一個審計信息系統運營維護安全平臺來進行統一的管理，以此提高人員的工作效率，保證信息系統的穩定、安全和高效運行。通過多種策略和技術手段實現多種系統賬號的統一管理、實現日常化的操作流程的規范化，從而實現賬號資源的自動化管理配置、優化，有效提高其安全性、可控性及可用性。積極整合審計資源，實現流程、人員、合規、審計的有機結合，通過提供理論、方法、技術、應用的一整套完整的解決方案，建立一套較為完整的身份管理體系，提高審計信息安全運營維護管理的整體效能。

企業內部審計信息化建設是在社會信息化、企業信息化潮流之下，以解決現實審計實踐瓶頸、提高審計工作效率和效果為目標，順應國家和行業監管需求，促進審計思維與方法變革的有效實踐。但其涉及的審計數據安全、審計信息化人才培養、與企業監管實際及被審計對象信息化成熟程度不協調等問題，則需要在整個建設及運營的生命周期中充分考慮。

作者介紹：張小乖，北京鼎信諾科技有限公司

【內部審計信息化框架及審計數據安全實踐】相關文章：

風險管理框架下的內部審計04-28

內部審計總結01-16

內部審計論文02-06

內部審計培訓心得05-08

武鋼內部審計創新之路04-28

內部審計向誰負責05-02

內部審計個人總結范文09-24

我國廢物管理審計實施框架的探討04-25

單位內部審計報告范文09-01

銀行內部審計個人總結06-12