摘要：随着科技发展，信息系统在各行各业飞速发展，信息系统变得越来越庞大、复杂，数据和网络安全也变得更加重要，国家也越来越重视信息化建设。信息系统审计也随之成为审计的一个重点内容。本文阐述了信息系统审计的内容和特点，以及审计中遇到的问题和困难，并针对性的给出建议。

关键词： 信息系统  审计   建议

党的十八大以来，以习近平同志为核心的党中央从进行具有许多新的历史特点的伟大斗争出发，高度重视互联网、发展互联网、治理互联网，统筹协调涉及政治、经济、文化、社会、军事等领域网络安全和信息化重大问题，作出一系列重大决策、实施一系列重大举措，推动我国网信事业取得历史性成就，走出一条中国特色治网之道。特别是2021年1月，《习近平关于网络强国论述摘编》出版发行，集中反映了习近平总书记对于网络强国建设所进行的深入思考、提出的明确要求、作出的重大部署。“没有网络安全就没有国家安全，没有信息化就没有现代化”是对网络安全重要性、对信息化建设重大意义的高度概括和精炼总结。

一、信息系统审计概述

近年来，随着科学技术的发展，信息系统在各行各业中得到广泛应用，各行业的数据量也呈爆炸式增长，尤其在大型企业、行政事业单位中，信息系统的数量和种类也越来越多，数据量也逐年增长，信息系统的安全性、可靠性和效益性如何？亟须第三方予以验证，信息系统审计由此产生。信息系统审计的对象是存储和处理电子数据的计算机信息系统。信息系统审计是指审计人员对被审计单位的信息系统的安全性、可靠性和效益性进行分析和检查，对相应的信息系统做出综合性评价，并给出对应的审计建议。

目前信息系统审计的组织形式主要表现为：一是审计机关以独立立项的方式对被审计单位的信息系统进行全面的检查，指出审计发现的问题后提出针对性建议，单独出具审计报告；二是信息系统嵌入其他审计项目中，比如信息系统审计作为预算执行审计或者经济责任审计的一部分内容，作为预算执行或经济责任审计报告的一部分，不出具单独的审计报告。

二、信息系统审计内容与特点

通过近几年的实践，笔者认为：审计机关目前信息系统审计的主要有三个方面的内容。

一是资金管理。跟一般审计项目相似，信息系统的建设以及运行维护都需要资金支持，所以理所当然的信息系统资金的使用情况也是审计的一个重要内容。包括项目前期的立项审批和资金的下达，查看信息系统年初预算情况和在项目库储备情况；中期的资金使用检查，检查预算执行情况，资金支付范围和支付进度；后期的项目绩效情况，检查项目的验收，运维情况，有无使用频率低或者建成未用、停用的造成资金浪费的情况。

二是建设管理。与一般的项目建设管理审计一样，包括项目统筹规划情况，报批立项情况、可行性研究、项目设计、施工、项目推进情况，以及是否按照程序执行项目和项目验收情况。

三是网络和数据安全。包括网络安全制度的制定和执行，采购云服务的网络安全责任的界定及系统的安全等级及关键设备的保护等。

根据信息系统审计的内容，可以总结出信息信息审计的以下几个特点：一是独立性，该特点也是审计固有的特点。为了确保信息系统审计的有效性和公正性，信息系统审计师必须以第三方的客观立场对以硬件为核心的、软件为重点的信息系统进行综合的检查与分析，给出最中肯的评价和建议；二是综合性，信息系统审计不仅包括所组成的信息系统的软件、硬件及网络，还包括运行环境以及内部控制、安全控制等内容，它是一个综合性的审计；三是管理性，信息系统审计通过对软硬件及网络、系统的安全性、可靠性和效率效果性进行审查，促使企业利用现有资源更有效的实现管理目标。

与传统的审计项目相比，信息系统审计主要有以下特点：

一是审计方法上，信息系统审计在准备阶段和报告阶段所运用的方法区别不大，而实施阶段所涉及的技术方法则具有信息技术的特点。在实施阶段，主要对信息系统进行了解和描述，对信息系统进行控制测试：包括测试数据法、平行模拟法、在线连续审计法、综合测试法、受控处理法和受控在处理法。

二是审计内容上，信息系统审计更加关注项目建设管理方面的问题，主要关注信息系统项目如何管理的，包括数据管理和运行维护管理情况；更加关注系统的应用绩效情况，主要关注信息系统上线以后，是否真正达到简化流程，集中存储数据，节约人力物力，实现当初既定绩效目标的情况；更加关注网络和数据安全。主要关注网络是否有规定的防护措施，数据在互联网或者局域网上的安全性。

三、信息系统审计中发现的主要问题

一是缺乏成熟完备的规范体系和法律、规章制度。我国信息系统审计起步较晚，缺乏成熟完备的法律体系和规章制度支撑，信息系统审计的规范体系也并未建立。目前信息系统审计规范主要依据有2021年中国内部审计协会发布的《第3305号内部审计实务指南-信息系统审计》、2019年国务院办公厅发布的《关于利用计算机信息系统开展审计工作的有关问题的通知》、2014年实施的《内部审计准则》（第22203号内部审计具体准则-信息系统审计）等，审计过程得不到有效规范，发现的被审计单位的责任没有相应的法律法规体系来定性，更无从处理，致使审计质量和效果大打折扣。

二是缺乏信息系统审计复合型人才。信息系统审计本身就是对审计人员个人综合能力的考验，审计人员除了具备传统财务知识、审计业务知识外，还需要掌握过硬的计算机硬件、软件及网络安全等方面的知识，除了专业知识外，还需要跟被审计单位的职责职能相结合，综合评价信息系统。目前这种复合型人才在审计机关较为匮乏，普遍存在专业敏感性差，缺乏审计经验，导致审计风险相对较大，也制约着信息系统审计的可持续发展。

三是信息系统审计内容未得到充分拓展，目前，信息系统审计主要针对应用系统的开发、运行维护及安全性进行审计，只是评判了是否满足被审计单位的业务需求，审查是否应用在业务工作中，对基础设施的安全性上，包括机房系统、机器设备等物理安全性和操作系统的安全控制、网络接口模块的安全控制、网络互连设备的安全控制等逻辑安全性上有所缺失；灾备恢复情况与系统开发与事业发展结合程度未有效进行评估。在绩效性审计上也仅仅是看是否有损失浪费的情况，而对于系统运行结果的有效性、可行性资源利用率以及提供信息的质量方面审计的还不够深入。审计查出的问题也大多与资金使用和项目管理的相关，没有完全体现信息系统审计的独特性。

四是信息系统审计组织方式较为单一。目前，信息系统审计的组织方式多是采用嵌入式的审计方式，把信息系统审计作为其他审计项目如预算执行审计或者经济责任审计的一部分内容进行审计，受人员素质、审计时间的限制，信息系统审计的范围较窄、深度和广度都不够。

五是审计工具软件与信息系统审计不匹配。目前，审计人员使用的审计工具软件只能对相关财务数据导入并进行相应的分析，对信息系统的审计没有开发相应的审计模块，远远不能满足审计人员对信息系统审计的需求，导致在信息系统审计中，审计工具软件功能不能发挥其作用，极大的影响了审计效率和审计的准确性。

四、信息系统审计建议

一是完善信息系统审计规范体系。随着信息化的发展，人们已经认识到大数据环境下信息系统审计的必要性和重要性，必将成为审计的一个重点组成部分。为了更好的促进信息系统审计，发挥审计监督作用，需要尽快完善相应的规范体系，规范审计过程，降低审计风险，使审计结果质量得到有效保证。

二是培养高质量的信息系统审计人才。审计机关要不断通过招聘复合型人才充实审计队伍，并对现有的审计人员因材施教，不断提高实际操作能力。要通过引进外力，借助高校或科研单位，建立信息系统审计专家库，借力专业人才参与审计项目的经验和思路，培养一批信息系统审计人才。

三是不断拓展信息系统审计的内容。目前，信息系统审计内容还只是停留在信息系统的开发、运行维护及进行审计，侧重点还是在资金使用和项目管理上。对于信息系统审计，应该体现其特点，应该加大信息系统审计中对电子数据的准确性与真实性、完整性上未进行有效审核；加强对于信息系统的安全性，包括硬件安全性和软件安全性的审计以及信息系统漏洞防御、病毒入侵、授权访问等内容；由于信息系统审核绩效中，具有一定的复杂性，所以对信息系统建成以后的绩效审计也需要专业的技术人员进行全面审计。

四是不断改善信息系统审计的组织方式。制定信息系统审计项目计划的时，要提前对被审计单位的信息系统的资金量、项目数量等进行审前调查，充分了解被审计单位信息系统的基础上，再结合实际情况分不同的组织方式。一是对于信息系统资金投入量和数量较少的单位，可以作为常规审计项目如预算执行、经济责任审计的一个审计内容，采取融合式、嵌入式的组织方式进行。二是对于信息系统主管部门，或者资金量较大、系统数量较多并且安全指数要求较高的部门，进行信息系统专项审计或者审计调查，全面分析信息系统的安全性、兼容性、效益性后给出审计整改要求及审计建议。三是对于重大的、重点的信息系统项目采取跟踪审计方式。从项目的可行性分析、功能需求以及开发、测试等都参与其中，还要跟踪审计问题的整改。

五是不断研究开发信息系统审计工具。目前审计机关运用的现场审计工具或者数据分析处理工具都是单独对财务数据进行处理和分析，对财务数据的勾稽关系或者记录进行审查，而对于信息系统审计需要的数据或者系统的安全性、可靠性测试，以及信息系统在数据传输和运算上的错误检查，内部控制的有效性和合理性上都是比较缺乏的，所以为了提高信息系统审计的效率，避免审计风险，需要研究开发信息系统的审计工具，以便更有效，更简便的对信息系统的数据准确性、内部控制环节和财务信息系统和业务信息系统之间数据传输转移进行审计。

随着科技发展和信息系统的广泛应用，信息系统审计也将是审计工作的重点，由于我国信息系统审计起步较晚，缺少适合我国国情的标准和规范，因此，信息系统审计研究需要政府相关部门和审计人员的共同努力，在规范落实和软件功能更新上进行更深层次的研究和探索。

参考文献：

[1]李晶《信息系统风险和审计的探讨》，中国管理信息化，2020年2月第23卷第3期

[2]陈洋 张陈丹华《智慧医疗信息系统审计的探索》，审计与理财，2022年2月

[3] 申亚君 《浅谈信息系统设计的工作经验》，信息系统工程，2020.2.20

[4] 秦睿星 《现代风险导向审计与信息系统审计的关系》，经济观察，2022年3月（下）

[5] 周新宇 耿畅 《现代信息系统审计风险研究》， 合作经济与科技， 2021 No.6x

[6] 王红 《浅议新时代基层审计机关如何加强信息系统审计》，中国管理信息化，2021年9月第24卷第17期

作者信息：

姓名：巩宁

性别：女

民族：汉

出生年月：1981.1

籍贯：山东省平原县

学历：硕士研究生计算机应用技术专业

毕业学校：云南大学

职称：计算机中级、审计中级

现就职于：云南省审计厅

研究方向：行政事业单位审计、信息系统审计