国有企业信息系统审计方法及趋势.pdf

《国有企业信息系统审计方法及趋势.pdf》由会员分享，可在线阅读，更多相关《国有企业信息系统审计方法及趋势.pdf（3页珍藏版）》请在咨信网上搜索。

1、王啸 陶宜成随着国有企业数字化建设的不断发展，以及信息系统在企业生产制造、资源管理、流程控制、质量监控、物流贸易等方面的深度融合，使得国有企业的生产经营过程高度依赖信息系统。因此，信息系统安全、稳定和高效地运行已经成为国有企业必须处理好的关键课题，开展信息系统审计逐渐成为国有企业的共识。（一）信息系统建设经济性审查。随着信息化、大数据、云计算、数字化等概念的不断兴起，企业业务管控系统不断更新迭代，这已成为部分企业数字化转型的考核指标。根据审计署制定的信息系统审计指南的要求，信息系统建设经济性是审计目标之一，关注企业信息系统的“建而少用”“建而不用”是信息系统审计的重点。一是通过系统界面审计，审

2、查信息系统业务功能的使用状况；二是通过数据分析方法，对信息系统的用户访问日志进行数据分析，分析用户登录和模块使用情况。（二）信息系统业务能力的审查。信息系统的内部控制是否存在并且有效，直接影响了信息系统的真实、合法和有效性，进而影响了电子数据的真实性、合法性和准确性。主要的技术途径是利用信息系统业务数据逻辑进行审查，通过对业务流程和关键控制节点分析，重点关注业务数据输入、业务数据处理、业务数据输出、数据编辑检查控制等，从中查找信息系统可能存在的缺陷，防患于未然，发挥“免疫系统”功能。（三）企业数据合规能力的审计。随着移动互联网的广泛普及，移动业务成为企业业务增长的一个重要抓手，客户隐私数据也随

3、之剧增。个人信息保护法规定，个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。结合数据安全法和个人信息保护法的要求，审计的重点环节包括数据获取、数据存储、数据传输、数据加工、数据使用、数据交换、数据销毁和通用合规要求等8个环节，聚焦数据备份与恢复、数据处理环境、数据分类分级、合作方管理、数据监控与审计、鉴别与访问、数据合规风险与需求分析、数据合规应急响应等具体检查项。（四）信息系统安全性方面。信息系统在建设和使用过程中会受到大量的风险因素干扰，既有硬件带来的环境风险，也有系统软件带来的技术风险；既有系统建设中隐匿的风险，也有系统使用中凸显的风险；既有高集成度导致的风险

4、，也有网络导致的风险蔓延。因此，开展安全性控制审查应重点关注物理安全控制、身份认证机制、用户访问控制、系统安全管理程序、安全控制政策和程序制定和记录、系统安全风险评估、网络安全和隐私管理、应急响应计划等方面。主要的技术方法包括渗透测试、测试数据法、手工检查法、程序代码检查法、综合测试法、基本案例系统评估等方法。（五）信息系统项目管理审查。围绕审计的目标，信息系统项目管理审计要以严把“立项审批源头”、关注“组织实施过程”、紧盯“价款结算支付”为主线。重点审查信息系统需求调研阶段、规划分析阶段、开发测试阶段、实施运行阶段等建设程序的真实性、合法性；信息系统采购、开发和集成管理；外部供应商的安全管理

5、；信息系统运维费用管理；信息系统运行绩效是否达到立项目标等方面。（六）信息系统运维管理方面。在当前企业一般对服务外包企业依赖性较大的情况下，信息系统建设运维管理工作的职责分离尤其重要，通过检查信息技术部门的程序开发人员、系统管理人员、数据管理人员的构成，是否实行岗位分离，是否可以在不需要他人协助的情况下，独自对信息系统的程序、数据进行修改；业务部门人员是否可以独自修改业务信息，完成相关的违规业务舞弊。（一）从业务流、资金流和信息流着手。信息系统承载的业务流、资金流和信息流是信息系统运行的核心。信息系统审计以信息系统业务流、资金流和信息流为主要审查内容，能实现关注信息系统执行情况，体现审计对象的

6、业务执行效果，揭示信息系统的设计缺陷，防止由于信息系统问题而造成的经济损失等目标。企业信息系统审计需要通过企业业务内控程序测试和评价企业信息系统中的业务流程、资金流和信息流如何相互交织和相互影响，分析出信息系统的工作原理以及这三者之间的交互作用，准确地评估系统的有效性和执行效率。例如，审计人员开展内部控制测试检查业务流程是否适当，资金流动是否符合规定，信息流是否顺畅。在企业经营活动过程中，任何在这三个领域中的问题或疏漏都可能对企业造成不利影响，所以审计检查范围需全面覆盖业务流、资金流和信息流的交互关系。（二）从内控管理角度着手。信息系统内控管理是信息系统的灵魂，信息系统中各个环节都受信息系统内

7、控管理制约限制，信息系统内控管理主要都是围绕信息系统的组成部分及相互关系制定的。首先，企业信息系统审计应关注内部管理和控制体系的健全性和有效性，审计人员需要分析系统内部控制的设计和操作的有效性，检查系统安全，例如身份认证、访问控制、数据备份和恢复等策略是否得当。其次，对违规操作、异常事项和数据的监控和控制机制的审查也是需要考虑的重要方面。另外，关注审查信息系统管理制度中的运行机制、控制机制等，厘清信息系统的服务对象、制度原则、组成部分、管理制度，以及他们之间的管理，能让信息系统审计项目快速摸清总体情况，开展进一步测试。在审计过程中，内控管理缺陷和不足应是审计项目重点揭示的内容，内审人员在发现问

8、题的同时，也应信息系统审计的重点信息系统审计的主要思路2023 052023 052023年第五期2023年第五期王啸 陶宜成随着国有企业数字化建设的不断发展，以及信息系统在企业生产制造、资源管理、流程控制、质量监控、物流贸易等方面的深度融合，使得国有企业的生产经营过程高度依赖信息系统。因此，信息系统安全、稳定和高效地运行已经成为国有企业必须处理好的关键课题，开展信息系统审计逐渐成为国有企业的共识。（一）信息系统建设经济性审查。随着信息化、大数据、云计算、数字化等概念的不断兴起，企业业务管控系统不断更新迭代，这已成为部分企业数字化转型的考核指标。根据审计署制定的信息系统审计指南的要求，信息系统

9、建设经济性是审计目标之一，关注企业信息系统的“建而少用”“建而不用”是信息系统审计的重点。一是通过系统界面审计，审查信息系统业务功能的使用状况；二是通过数据分析方法，对信息系统的用户访问日志进行数据分析，分析用户登录和模块使用情况。（二）信息系统业务能力的审查。信息系统的内部控制是否存在并且有效，直接影响了信息系统的真实、合法和有效性，进而影响了电子数据的真实性、合法性和准确性。主要的技术途径是利用信息系统业务数据逻辑进行审查，通过对业务流程和关键控制节点分析，重点关注业务数据输入、业务数据处理、业务数据输出、数据编辑检查控制等，从中查找信息系统可能存在的缺陷，防患于未然，发挥“免疫系统”功能

10、。（三）企业数据合规能力的审计。随着移动互联网的广泛普及，移动业务成为企业业务增长的一个重要抓手，客户隐私数据也随之剧增。个人信息保护法规定，个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。结合数据安全法和个人信息保护法的要求，审计的重点环节包括数据获取、数据存储、数据传输、数据加工、数据使用、数据交换、数据销毁和通用合规要求等8个环节，聚焦数据备份与恢复、数据处理环境、数据分类分级、合作方管理、数据监控与审计、鉴别与访问、数据合规风险与需求分析、数据合规应急响应等具体检查项。（四）信息系统安全性方面。信息系统在建设和使用过程中会受到大量的风险因素干扰，既有硬件带来

11、的环境风险，也有系统软件带来的技术风险；既有系统建设中隐匿的风险，也有系统使用中凸显的风险；既有高集成度导致的风险，也有网络导致的风险蔓延。因此，开展安全性控制审查应重点关注物理安全控制、身份认证机制、用户访问控制、系统安全管理程序、安全控制政策和程序制定和记录、系统安全风险评估、网络安全和隐私管理、应急响应计划等方面。主要的技术方法包括渗透测试、测试数据法、手工检查法、程序代码检查法、综合测试法、基本案例系统评估等方法。（五）信息系统项目管理审查。围绕审计的目标，信息系统项目管理审计要以严把“立项审批源头”、关注“组织实施过程”、紧盯“价款结算支付”为主线。重点审查信息系统需求调研阶段、规划

12、分析阶段、开发测试阶段、实施运行阶段等建设程序的真实性、合法性；信息系统采购、开发和集成管理；外部供应商的安全管理；信息系统运维费用管理；信息系统运行绩效是否达到立项目标等方面。（六）信息系统运维管理方面。在当前企业一般对服务外包企业依赖性较大的情况下，信息系统建设运维管理工作的职责分离尤其重要，通过检查信息技术部门的程序开发人员、系统管理人员、数据管理人员的构成，是否实行岗位分离，是否可以在不需要他人协助的情况下，独自对信息系统的程序、数据进行修改；业务部门人员是否可以独自修改业务信息，完成相关的违规业务舞弊。（一）从业务流、资金流和信息流着手。信息系统承载的业务流、资金流和信息流是信息系统

13、运行的核心。信息系统审计以信息系统业务流、资金流和信息流为主要审查内容，能实现关注信息系统执行情况，体现审计对象的业务执行效果，揭示信息系统的设计缺陷，防止由于信息系统问题而造成的经济损失等目标。企业信息系统审计需要通过企业业务内控程序测试和评价企业信息系统中的业务流程、资金流和信息流如何相互交织和相互影响，分析出信息系统的工作原理以及这三者之间的交互作用，准确地评估系统的有效性和执行效率。例如，审计人员开展内部控制测试检查业务流程是否适当，资金流动是否符合规定，信息流是否顺畅。在企业经营活动过程中，任何在这三个领域中的问题或疏漏都可能对企业造成不利影响，所以审计检查范围需全面覆盖业务流、资金

14、流和信息流的交互关系。（二）从内控管理角度着手。信息系统内控管理是信息系统的灵魂，信息系统中各个环节都受信息系统内控管理制约限制，信息系统内控管理主要都是围绕信息系统的组成部分及相互关系制定的。首先，企业信息系统审计应关注内部管理和控制体系的健全性和有效性，审计人员需要分析系统内部控制的设计和操作的有效性，检查系统安全，例如身份认证、访问控制、数据备份和恢复等策略是否得当。其次，对违规操作、异常事项和数据的监控和控制机制的审查也是需要考虑的重要方面。另外，关注审查信息系统管理制度中的运行机制、控制机制等，厘清信息系统的服务对象、制度原则、组成部分、管理制度，以及他们之间的管理，能让信息系统审计

15、项目快速摸清总体情况，开展进一步测试。在审计过程中，内控管理缺陷和不足应是审计项目重点揭示的内容，内审人员在发现问题的同时，也应信息系统审计的重点信息系统审计的主要思路2023 052023 052023年第五期2023年第五期结合实际情况，向被审计企业信息系统提出更科学、合理的审计建议。（三）从使用效益角度着手。信息系统使用效益对审计对象的发展影响深远。围绕“为什么建”“建什么”以及建后“怎么用”“用得怎么样”等关键问题进行系统、综合分析，着重关注建设、应用、资源整合等情况，达到评估信息系统在提高单位效果上的成效问题，实现提高审计对象信息化规划和管理水平的目标。协助审计对象完善部门信息化宏观

16、层面的管理机制和体制，发挥信息系统审计的总结、纠偏、完善的功效。审计人员要围绕评估信息系统对企业的价值贡献开展审计工作，包括企业提质增效、降本合规、决策跟踪等方面。从经济效益角度看，审计人员应关注信息系统是否能帮助企业实现经济效益、提高资金使用效率等，评估系统的投入和产出是否得当，杜绝浪费。从管理效益方面看，审计人员应关注信息系统是否可以有效辅助企业合规运行，推动企业经营层的决策落实，联结企业各部门间沟通协作。只有做好效益文章，审计结果才能揭示企业发展的根本问题，助力企业找到提高效益、增强竞争力的方法。（一）加大云空间及大数据应用审查的力度。企业将数据迁移到云平台的信息化建设是不可逆转的趋势，

17、云安全审计变得至关重要。审计人员需要评估云服务提供商的安全措施和合规性，以确保企业数据在云环境中的安全和隐私。同时，随着经济发展的数据化程度不断加深，越来越多的企业依赖大数据分析来支持业务决策，因此企业大数据应用成果审计也逐步纳入信息系统审计范围，审计结论也包含评估企业的大数据处理过程，确保数据的准确性、完整性和安全性。企业信息系统审计项目在制定实施方案时，正在逐步提高在云空间及大数据应用方面的审计范围占比。（二）提高对物联网安全及数据隐私审查的重视。物联网的快速发展为企业带来了许多新的安全挑战。审计人员需要评估企业的物联网设备和传感器的安全性，以防止潜在的风险和攻击，同时为物联设备与网联接入

18、做好生态管理评价。另外，数据隐私保护已成为企业备受关注的问题，近年来国家信息安全建设法规制度不断完善，进一步规范企业对数据隐私的管理和使用，审计人员也要关注和评估企业的数据隐私政策和合规性，确保企业对个人数据的合法收集、使用和保护的能力。企业信息系统审计要尽快将物联网生态和数据隐私等新生业务纳入审计检查，防范企业信息安全风险，提升企业信息建设质量。（三）着眼未来，提前布局人工智能审查。人工智能审计是一个充满机遇和挑战的新领域，随着人工智能技术的不断发展和普及，更多的企业开始引入AI应用以提升业务效能，这在审计领域也产生了深远影响，审计人员需要评估企业的人工智能算法和模型的安全性和可信度，以确保

19、其在业务流程中的有效运行。尤其在AI自动化处理海量数据和执行复杂任务的能力、AI利用机器学习和大数据分析技术提供预测性的分析、AI实时监控管理企业的财务和业务操作、AI深度学习辅助商业交易和识别出潜在经营风险等方面，内审部门要提前做好发展规划，助力企业利用好信息化发展带来的产业红利。（作者单位：广州汽车集团股份有限公司）信息系统审计的主要趋势董萍艳 田颖开展农业农村审计要未雨绸缪，以乡村振兴战略为导向，明确审计工作重点，结合具体的审计要求，着力把握政策、资金和项目三个抓手，致力于解决农业农村相关政策落实不彻底不到位、农业农村资金使用效果不佳、乡村振兴项目管理混乱等体制、机制方面的问题。（一）确

20、保政策有效落实。紧紧围绕农业农村审计监督的政策范围和要求开展审计。通过调查研究准确把握农业农村的实际情况，结合对相关指示批示、政策资料的理解领悟，具体问题具体分析，通过对标对表，梳理排查找出短板，结合政策全面评价实施过程中的政治、社会、经济和环境各方面的效益，深入剖析制度缺陷、机制障碍的根源，有力发挥审计在督促农业农村政策落地见效中的保障作用。（二）确保资金安全高效。随着乡村振兴全面推进，大量财政资金和公共资源投入农村，乡村振兴财政资金呈现面广量大的特点。党和国家对资金使用的关注度很高，审计部门应持续加强对农业农村资金的监督，以有效的监督机制来确保资金安全高效使用。（三）确保项目合规开展。乡村

21、振兴涉及项目众多，如何确保各个项目顺利开展以及执行过程不走偏、不走样，是项目取得成功的前提条件。针对乡村振兴项目种类多、涉面广、周期长等特点，通过多种方式深入研究项目的立项背景、建设周期、验收情况及后期管护等情况，找准项目的薄弱环节，有针对性地加以关注，并提出改进建议是审计的重要职责。新时代背景下，农业农村审计对象数量多、行业涉及领域广，审计环境、审计对象和审计内容随着经济社会发展也在同步发生变化，要以调查研究的思维，开展对审计对象的全面研究，畅通数据归集渠道，强化对权力运行的审计监督，有效发挥审计常态化“经济体检”作用，形成对权力运行的全面制约和监督。（一）以翔实的审前调查为研究型审计“搭桥铺路”。了解被审计单位工作职能的变化，农业农村审计对象职能各不相同，应在审前开展对被审计单位的调查分析，紧扣各单位的历史沿革、发展现状、改革方向，紧扣“政治政策项目资金”主线，找准审计重点；瞄准被农业农村审计的重点内容2023年第五期2023年第五期2023 052023 05农业农村审计的研究思路