內(nèi)部審計(jì)信息化框架及審計(jì)數(shù)據(jù)安全實(shí)踐

作者：張小乖

中國(guó)內(nèi)部審計(jì) 2015年05期

一、企業(yè)內(nèi)部審計(jì)信息化的歷史背景

近年來(lái)，審計(jì)信息化在我國(guó)各行業(yè)的審計(jì)工作中得到充分重視與發(fā)展。我國(guó)的黨政機(jī)關(guān)、事業(yè)單位、企業(yè)以及各種咨詢(xún)與審計(jì)鑒證機(jī)構(gòu)對(duì)審計(jì)工作進(jìn)行了卓有成效的信息化探索和創(chuàng)新。審計(jì)信息化是指審計(jì)工作中對(duì)信息技術(shù)及設(shè)施的運(yùn)用及處理過(guò)程，包括審計(jì)手段、審計(jì)理念、審計(jì)對(duì)象、審計(jì)成果、審計(jì)過(guò)程管理等全方位、立體化的監(jiān)督解決方案，其最終是促進(jìn)組織戰(zhàn)略目標(biāo)的實(shí)現(xiàn)。審計(jì)信息化不同于一般的業(yè)務(wù)信息化建設(shè)，它是指信息技術(shù)在審計(jì)監(jiān)督中全方位高效率的應(yīng)用。它的發(fā)展經(jīng)歷了四個(gè)階段，即：工具探索階段、審計(jì)管理信息化階段、智能監(jiān)測(cè)階段、全方位持續(xù)監(jiān)控階段。

自1936年英國(guó)科學(xué)家阿蘭·麥席森·圖靈（Alan Mathison Turing）提出“圖靈機(jī)”設(shè)想以來(lái)，人類(lèi)踩著計(jì)算機(jī)與人工智能之父圖靈的肩膀走向了前所未有的文明與便利。從大數(shù)據(jù)的計(jì)算、作業(yè)過(guò)程的信息化處理、管理決策的信息化支持到信息安全防護(hù)等，計(jì)算機(jī)迅速進(jìn)入到人類(lèi)生產(chǎn)和生活的各個(gè)重要環(huán)節(jié)。審計(jì)——這種誕生于人類(lèi)文明初期的工種，因各個(gè)單位組織運(yùn)作模式的快速信息化，產(chǎn)生了史無(wú)前例的變革。在計(jì)算機(jī)參與組織運(yùn)作的初期，審計(jì)師一般采取繞開(kāi)計(jì)算機(jī)的審計(jì)模式（Audit Around the Computer），人們形象地稱(chēng)之為“黑盒法”，即將計(jì)算機(jī)系統(tǒng)視為一個(gè)不可知曉的黑盒子，通過(guò)檢查輸入計(jì)算機(jī)的數(shù)據(jù)（通常是紙質(zhì)文件）和打印的輸出結(jié)果，采用人工重復(fù)計(jì)算的方式比對(duì)處理結(jié)果，得出審計(jì)結(jié)論。

隨著我國(guó)科技現(xiàn)代化的推進(jìn)和對(duì)計(jì)算機(jī)科學(xué)及應(yīng)用的不斷探索，尤其是1979年財(cái)政部撥款500萬(wàn)元人民幣在一汽集團(tuán)試點(diǎn)開(kāi)發(fā)應(yīng)用財(cái)務(wù)軟件伊始，信息技術(shù)開(kāi)始進(jìn)入中國(guó)企業(yè)日常辦公及管理的各領(lǐng)域。隨著關(guān)系型數(shù)據(jù)庫(kù)和各類(lèi)應(yīng)用程序?qū)�紙質(zhì)手寫(xiě)憑證及算盤(pán)、計(jì)算器等低效率計(jì)算工具的代替，審計(jì)對(duì)象的運(yùn)作模式、審計(jì)標(biāo)的記載方式甚至存在形式隨之發(fā)生了深刻的變化，審計(jì)信息化應(yīng)運(yùn)而生。1990年，山西省審計(jì)局開(kāi)發(fā)出我國(guó)第一套通過(guò)審計(jì)署鑒定的審計(jì)軟件——“工業(yè)企業(yè)財(cái)務(wù)收支審計(jì)軟件”。1998年，審計(jì)署提出審計(jì)信息化建設(shè)的提議，得到時(shí)任國(guó)務(wù)院總理朱镕基的充分肯定和重視，審計(jì)署開(kāi)始規(guī)劃和籌備國(guó)家審計(jì)層面的審計(jì)信息化工程。2000年，本土的審計(jì)軟件廠商北京鼎信諾科技有限公司、廣東中審軟件技術(shù)有限公司、中軟國(guó)際有限公司、煙臺(tái)新紀(jì)元軟件有限公司等相繼推出鼎信諾V1.6、審易軟件等實(shí)用型初級(jí)審計(jì)作業(yè)工具。

2001年，審計(jì)署要求各審計(jì)機(jī)關(guān)著手實(shí)現(xiàn)審計(jì)信息系統(tǒng)現(xiàn)代化初步建設(shè)。2002年7月28日，國(guó)家計(jì)委批準(zhǔn)了審計(jì)署的申請(qǐng)，并下達(dá)2002年中央預(yù)算內(nèi)基建投資5000萬(wàn)元，專(zhuān)項(xiàng)用于審計(jì)信息化系統(tǒng)一期工程建設(shè)。2004年，加拿大CaseWareIDEA有限公司進(jìn)軍中國(guó)市場(chǎng)，提供審計(jì)信息化系列產(chǎn)品。隨后，ACL和Wolters Kluwer等歐美一流審計(jì)信息化產(chǎn)品提供商紛紛進(jìn)入中國(guó)市場(chǎng)。

2008年，審計(jì)署發(fā)布《審計(jì)署2008至2012年信息化發(fā)展規(guī)劃》，規(guī)劃中提出要探索和完善信息化環(huán)境下的審計(jì)方式，推進(jìn)審計(jì)信息化建設(shè)，以探索創(chuàng)新信息化環(huán)境下的審計(jì)方式為核心，加大適應(yīng)信息化需要的審計(jì)人才隊(duì)伍建設(shè)力度，努力提高審計(jì)工作效率、質(zhì)量和水平，為審計(jì)事業(yè)發(fā)展提供信息技術(shù)支持和保障。2011年，中國(guó)注冊(cè)會(huì)計(jì)師協(xié)會(huì)發(fā)布《中國(guó)注冊(cè)會(huì)計(jì)師行業(yè)信息化建設(shè)總體方案》，注冊(cè)會(huì)計(jì)師行業(yè)信息化戰(zhàn)略全面啟動(dòng)。至此，我國(guó)進(jìn)入全面審計(jì)信息化時(shí)代，審計(jì)信息化建設(shè)覆蓋國(guó)家、行業(yè)、企業(yè)組織以及審計(jì)工作者等不同維度，以及國(guó)家審計(jì)、社會(huì)審計(jì)、內(nèi)部審計(jì)三大領(lǐng)域。

二、企業(yè)內(nèi)部審計(jì)信息化范疇

內(nèi)部審計(jì)信息化建設(shè)采用不同的標(biāo)準(zhǔn)，有不同的分類(lèi)：按照內(nèi)容分類(lèi)，內(nèi)部審計(jì)信息化包括兩方面內(nèi)容：一是以信息技術(shù)為手段開(kāi)展內(nèi)部審計(jì)工作的過(guò)程，即計(jì)算機(jī)輔助審計(jì)技術(shù)（CAATs）；二是指內(nèi)部審計(jì)部門(mén)以組織的信息系統(tǒng)為對(duì)象，以風(fēng)險(xiǎn)評(píng)估或內(nèi)部控制檢查為手段，對(duì)這些系統(tǒng)所產(chǎn)生信息的真實(shí)性、合法性以及信息系統(tǒng)相關(guān)控制的遵循性作出確認(rèn)，或通過(guò)優(yōu)化企業(yè)信息管理，增強(qiáng)企業(yè)的核心競(jìng)爭(zhēng)能力，即信息系統(tǒng)審計(jì)或EDP審計(jì)。

按照實(shí)施對(duì)象及技術(shù)特點(diǎn)分類(lèi)，內(nèi)部審計(jì)信息化的應(yīng)用系統(tǒng)主要聚焦于三大領(lǐng)域：內(nèi)部審計(jì)管理信息化、內(nèi)部審計(jì)作業(yè)信息化、內(nèi)部審計(jì)及風(fēng)險(xiǎn)實(shí)時(shí)監(jiān)測(cè)預(yù)警信息化。審計(jì)作業(yè)信息化專(zhuān)注于提高審計(jì)作業(yè)的專(zhuān)業(yè)水準(zhǔn)、效率和審計(jì)風(fēng)險(xiǎn)的控制；審計(jì)管理信息化側(cè)重于解決審計(jì)管理過(guò)程中管理和文件資料的上傳下達(dá)；內(nèi)部審計(jì)及風(fēng)險(xiǎn)實(shí)時(shí)監(jiān)測(cè)預(yù)警信息化側(cè)重于對(duì)被審計(jì)對(duì)象的實(shí)時(shí)監(jiān)督，將審計(jì)由傳統(tǒng)的事后檢查評(píng)價(jià)推向更為有價(jià)值的事前預(yù)防和事中監(jiān)督。

2010年8月12日，國(guó)資委在中央企業(yè)內(nèi)部審計(jì)工作會(huì)議上對(duì)國(guó)有企業(yè)內(nèi)部審計(jì)工作的改革發(fā)展提出：加強(qiáng)內(nèi)部審計(jì)信息化建設(shè)，提高審計(jì)工作效率。推動(dòng)審計(jì)信息化建設(shè)，有效提升審計(jì)人員在信息化條件下開(kāi)展審計(jì)工作的能力，是提高審計(jì)工作效率的重要手段。中央企業(yè)要高度重視內(nèi)部審計(jì)的信息化建設(shè)，加強(qiáng)信息化建設(shè)支持力度：一是要加強(qiáng)企業(yè)審計(jì)信息集成管理系統(tǒng)的研發(fā)及推廣應(yīng)用，要根據(jù)自身業(yè)務(wù)特點(diǎn)探索建設(shè)涵蓋作業(yè)規(guī)范、管理支撐、知識(shí)共享和成果轉(zhuǎn)化等模塊的內(nèi)部審計(jì)管理平臺(tái)，建立起完善的審計(jì)系統(tǒng)領(lǐng)導(dǎo)決策平臺(tái)、業(yè)務(wù)管理平臺(tái)和業(yè)務(wù)操作平臺(tái)，實(shí)現(xiàn)審計(jì)信息的集中管理和應(yīng)用，實(shí)現(xiàn)對(duì)審計(jì)對(duì)象的動(dòng)態(tài)監(jiān)控和實(shí)時(shí)分析。二是利用企業(yè)開(kāi)發(fā)的ERP等信息系統(tǒng)，對(duì)其中與審計(jì)重點(diǎn)相關(guān)的財(cái)務(wù)系統(tǒng)、成本系統(tǒng)、物流系統(tǒng)、采購(gòu)系統(tǒng)和銷(xiāo)售系統(tǒng)等建立審計(jì)接口，運(yùn)用現(xiàn)代信息系統(tǒng)開(kāi)展審計(jì)工作。三是要進(jìn)一步提升審計(jì)監(jiān)督管理的信息化手段，實(shí)現(xiàn)審計(jì)信息的集中管理和應(yīng)用，利用計(jì)算機(jī)數(shù)據(jù)庫(kù)等軟件排查審計(jì)疑點(diǎn)問(wèn)題，及時(shí)發(fā)現(xiàn)被審計(jì)單位存在的問(wèn)題，提高審計(jì)工作效率。不難看出，審計(jì)信息化建設(shè)迫切需要解決的問(wèn)題主要涉及審計(jì)管理、審計(jì)接口及業(yè)務(wù)開(kāi)展、信息化適時(shí)監(jiān)管等方面。而實(shí)現(xiàn)審計(jì)信息化的方式，則外購(gòu)與自主研發(fā)并行，各個(gè)組織或各行業(yè)審計(jì)部門(mén)多依據(jù)自身技術(shù)、資金等因素綜合決策。

三、審計(jì)信息化系統(tǒng)產(chǎn)品分類(lèi)及作用

審計(jì)信息化系統(tǒng)產(chǎn)品，是指企業(yè)組織或軟件供應(yīng)商設(shè)計(jì)研發(fā)的審計(jì)相關(guān)專(zhuān)業(yè)化信息技術(shù)軟件程序。具體分為以下幾類(lèi)：審計(jì)信息化作業(yè)工具、審計(jì)管理信息系統(tǒng)、數(shù)據(jù)預(yù)警與監(jiān)控信息系統(tǒng)、網(wǎng)絡(luò)行為監(jiān)控及信息安全審計(jì)工具等。審計(jì)信息化作業(yè)工具主要用于日常審計(jì)作業(yè)工作，主要包括數(shù)據(jù)采集、數(shù)據(jù)分析、審計(jì)抽樣、審計(jì)測(cè)試、審計(jì)底稿、審計(jì)報(bào)告、審計(jì)文檔生成管理等一系列內(nèi)容，它以審計(jì)作業(yè)人員日常審計(jì)工作為重心，兼顧審計(jì)管理、監(jiān)督、審計(jì)智能便捷分析等。審計(jì)管理信息系統(tǒng)主要用于審計(jì)部門(mén)日常管理工作，主要包括審計(jì)OA、人事管理、檔案管理、計(jì)劃管理、項(xiàng)目管理、整改管理、績(jī)效評(píng)優(yōu)等內(nèi)容。數(shù)據(jù)預(yù)警與監(jiān)控信息系統(tǒng)主要用于針對(duì)被審計(jì)對(duì)象數(shù)據(jù)（包括財(cái)務(wù)數(shù)據(jù)、業(yè)務(wù)數(shù)據(jù)、決策管理數(shù)據(jù)、庫(kù)存供應(yīng)鏈數(shù)據(jù)等）的事前和事中自動(dòng)化監(jiān)控預(yù)警。網(wǎng)絡(luò)行為監(jiān)控及信息安全審計(jì)工具主要用于針對(duì)網(wǎng)絡(luò)活動(dòng)及企業(yè)敏感信息的安全監(jiān)督審計(jì)，主要包括日志分析工具、抓包分析工具、密碼監(jiān)測(cè)管理工具等。

四、審計(jì)信息化整體實(shí)施框架

在審計(jì)信息化過(guò)程中，整體宏觀角度的框架規(guī)劃設(shè)計(jì)是最基礎(chǔ)、最為關(guān)鍵的環(huán)節(jié)，它需要根據(jù)企業(yè)整體信息化戰(zhàn)略、審計(jì)團(tuán)隊(duì)規(guī)模、審計(jì)工作管理模式、財(cái)務(wù)業(yè)務(wù)系統(tǒng)已經(jīng)達(dá)到的信息化水平、審計(jì)人員的信息化技能及未來(lái)發(fā)展等綜合考慮。本文的整體框架如下，見(jiàn)下頁(yè)圖1。

如下頁(yè)圖1所示，整體實(shí)施規(guī)劃涉及審計(jì)門(mén)戶(hù)、資源共享平臺(tái)、審計(jì)作業(yè)層、支撐平臺(tái)等，在每一個(gè)層面都需要考慮審計(jì)作業(yè)與管理的便捷性、審計(jì)信息安全與訪問(wèn)控制管理兩個(gè)因素。

為了能有效推進(jìn)內(nèi)部審計(jì)信息化發(fā)展，內(nèi)部審計(jì)部門(mén)應(yīng)結(jié)合實(shí)際，制定內(nèi)部審計(jì)信息化戰(zhàn)略規(guī)劃，明確目標(biāo)任務(wù)和措施，分階段分步驟實(shí)施，以審計(jì)作業(yè)信息化為起點(diǎn)，審計(jì)管理為重點(diǎn)，審計(jì)資源共享及各系統(tǒng)支撐為輔助，與企業(yè)整體信息化戰(zhàn)略相適應(yīng)。同時(shí)，還應(yīng)兼顧審計(jì)信息安全和審計(jì)風(fēng)險(xiǎn)管理目標(biāo)。值得一提的是，隨著我國(guó)內(nèi)部審計(jì)理念向價(jià)值增值方向演進(jìn)，內(nèi)部審計(jì)領(lǐng)域已經(jīng)由傳統(tǒng)的財(cái)務(wù)收支審計(jì)、基建項(xiàng)目審計(jì)轉(zhuǎn)為以經(jīng)濟(jì)效益審計(jì)、內(nèi)部控制審計(jì)、信息系統(tǒng)審計(jì)、風(fēng)險(xiǎn)管理審計(jì)為主的增值服務(wù)型業(yè)務(wù)，審計(jì)信息化的范疇與施展空間也隨之?dāng)U大。總體而言，我們對(duì)審計(jì)監(jiān)督工作相關(guān)的信息化建設(shè)的探索側(cè)重點(diǎn)發(fā)生了變化，主要體現(xiàn)在內(nèi)部控制體系的監(jiān)督和完善、風(fēng)險(xiǎn)審計(jì)、管理審計(jì)、實(shí)時(shí)預(yù)警監(jiān)督、信息安全審計(jì)等方面。這些具有前瞻性和指導(dǎo)性的領(lǐng)域，在審計(jì)信息化整體實(shí)施框架的設(shè)計(jì)過(guò)程中，必須進(jìn)行充分的論證與考量。

關(guān)注內(nèi)部控制的合規(guī)性，為內(nèi)部控制合規(guī)審計(jì)提供自動(dòng)化工具。在2013年實(shí)施修訂后的《中國(guó)內(nèi)部審計(jì)準(zhǔn)則》中，中國(guó)內(nèi)部審計(jì)協(xié)會(huì)明確提出，內(nèi)部審計(jì)機(jī)構(gòu)需要“對(duì)內(nèi)部控制設(shè)計(jì)和運(yùn)行的有效性進(jìn)行審查和評(píng)價(jià)，出具客觀、公正的審計(jì)報(bào)告，促進(jìn)組織改善內(nèi)部控制”。這是現(xiàn)代內(nèi)部審計(jì)理念的要求，也是我國(guó)企業(yè)遵循內(nèi)部控制規(guī)范的需要。

注重風(fēng)險(xiǎn)管理審計(jì)，為內(nèi)部審計(jì)評(píng)價(jià)組織整體風(fēng)險(xiǎn)提供支持工具，將風(fēng)險(xiǎn)識(shí)別、梳理、定級(jí)、維護(hù)與審計(jì)計(jì)劃制定、審計(jì)實(shí)施、審計(jì)發(fā)現(xiàn)和問(wèn)題整改緊密結(jié)合，提高內(nèi)部審計(jì)人員識(shí)別復(fù)雜風(fēng)險(xiǎn)、關(guān)聯(lián)風(fēng)險(xiǎn)和綜合風(fēng)險(xiǎn)的敏感性，為內(nèi)部審計(jì)評(píng)價(jià)整體風(fēng)險(xiǎn)提供信息化支持，體現(xiàn)風(fēng)險(xiǎn)導(dǎo)向內(nèi)部審計(jì)理念。將風(fēng)險(xiǎn)視角從財(cái)務(wù)領(lǐng)域擴(kuò)展到更廣泛的經(jīng)營(yíng)業(yè)務(wù)領(lǐng)域，打破單一的審計(jì)項(xiàng)目管理體制，開(kāi)展風(fēng)險(xiǎn)預(yù)警，按一般風(fēng)險(xiǎn)和重大風(fēng)險(xiǎn)有區(qū)別地配置審計(jì)資源。中國(guó)內(nèi)部審計(jì)協(xié)會(huì)自2004年起，大力提倡將風(fēng)險(xiǎn)管理納入內(nèi)部審計(jì)的工作視野，而2013年修訂的《中國(guó)內(nèi)部審計(jì)準(zhǔn)則》發(fā)布了對(duì)內(nèi)部審計(jì)的新定義，增加了對(duì)“風(fēng)險(xiǎn)管理的適當(dāng)性和有效性”的審查和評(píng)價(jià)，以體現(xiàn)現(xiàn)代內(nèi)部審計(jì)對(duì)組織風(fēng)險(xiǎn)的關(guān)注。內(nèi)部審計(jì)機(jī)構(gòu)只有將整體風(fēng)險(xiǎn)納入視野，才能確保審計(jì)關(guān)注領(lǐng)域的完整性，才能及時(shí)防范風(fēng)險(xiǎn)和提供增值服務(wù)。這就要求審計(jì)人員站在全局高度對(duì)整體風(fēng)險(xiǎn)進(jìn)行分析與評(píng)價(jià)，靠單純項(xiàng)目化的工作模式通常難以實(shí)現(xiàn)。而企業(yè)組織經(jīng)營(yíng)環(huán)境的高度信息化，各業(yè)務(wù)板塊數(shù)據(jù)的高度集中，為內(nèi)部審計(jì)實(shí)現(xiàn)全面風(fēng)險(xiǎn)分析提供了可能。國(guó)內(nèi)一些先進(jìn)的大型央企或知名上市公司也開(kāi)始對(duì)內(nèi)部風(fēng)險(xiǎn)審計(jì)的思路進(jìn)行探索，他們將整個(gè)業(yè)務(wù)領(lǐng)域確定為審計(jì)對(duì)象，構(gòu)建運(yùn)營(yíng)收入和支出全流程框架，采用圖表或矢量圖形式直觀展示企業(yè)全面風(fēng)險(xiǎn)，對(duì)提高內(nèi)部審計(jì)工作的整體性和及時(shí)性做了有益嘗試。

逐步實(shí)現(xiàn)實(shí)時(shí)預(yù)警監(jiān)督，伴隨風(fēng)險(xiǎn)導(dǎo)向?qū)徲?jì)理念的不斷實(shí)踐，持續(xù)審計(jì)預(yù)警系統(tǒng)和風(fēng)險(xiǎn)管理審計(jì)系統(tǒng)成為內(nèi)部審計(jì)信息化的重點(diǎn)領(lǐng)域。通過(guò)持續(xù)的審計(jì)預(yù)警系統(tǒng)，梳理主要業(yè)務(wù)及重點(diǎn)環(huán)節(jié)的風(fēng)險(xiǎn)控制點(diǎn)，建立風(fēng)險(xiǎn)監(jiān)測(cè)指標(biāo)庫(kù)和監(jiān)測(cè)模型庫(kù)，依據(jù)風(fēng)險(xiǎn)預(yù)警規(guī)則實(shí)現(xiàn)跟蹤審計(jì)，實(shí)現(xiàn)內(nèi)部審計(jì)從事后審計(jì)走向事中、實(shí)時(shí)審計(jì)。

建設(shè)新型審計(jì)信息門(mén)戶(hù)，本框架中審計(jì)信息門(mén)戶(hù)不同于早期的集團(tuán)審計(jì)門(mén)戶(hù)，它側(cè)重于采集和專(zhuān)門(mén)構(gòu)建等方式建設(shè)各類(lèi)審計(jì)知識(shí)庫(kù)，如風(fēng)險(xiǎn)事件庫(kù)、法律法規(guī)庫(kù)、審計(jì)成果庫(kù)、問(wèn)題線索庫(kù)、審計(jì)方法庫(kù)、審計(jì)案例庫(kù)、審計(jì)對(duì)象庫(kù)、審計(jì)專(zhuān)業(yè)人才庫(kù)等，實(shí)現(xiàn)對(duì)審計(jì)知識(shí)發(fā)現(xiàn)、獲取、存儲(chǔ)、維護(hù)、更新、評(píng)價(jià)、共享和創(chuàng)新應(yīng)用的全方位管理，為提高審計(jì)人員能力及審計(jì)項(xiàng)目效率提供知識(shí)支持。它同時(shí)關(guān)注審計(jì)與內(nèi)外部人員的互動(dòng)，扮演著宣講貫徹、交流協(xié)調(diào)、投訴舉報(bào)、匯報(bào)查詢(xún)、公告、新聞、培訓(xùn)等重要角色。

另外，審計(jì)信息化建設(shè)中關(guān)于知識(shí)、人員、培訓(xùn)及績(jī)效評(píng)優(yōu)等模塊的信息化，可以大力加強(qiáng)審計(jì)隊(duì)伍建設(shè)，提高審計(jì)人員在信息化環(huán)境下開(kāi)展審計(jì)工作的能力。這是內(nèi)部審計(jì)信息化建設(shè)的一項(xiàng)重要的基礎(chǔ)性工作。在企業(yè)的戰(zhàn)略發(fā)展規(guī)劃中，幾乎所有的活動(dòng)都與人的因素息息相關(guān)。內(nèi)部審計(jì)工作是一項(xiàng)以人力資源運(yùn)用為主的技術(shù)性工作，在審計(jì)信息化整體實(shí)施框架設(shè)計(jì)和實(shí)施過(guò)程中，相比設(shè)備、管理理念等其他因素，復(fù)合型審計(jì)人才的培養(yǎng)和管理始終處于第一位。首先，復(fù)合型內(nèi)部審計(jì)人才的定位應(yīng)該是適當(dāng)水平。要適應(yīng)審計(jì)信息化的發(fā)展戰(zhàn)略需求，需要的是與企業(yè)發(fā)展戰(zhàn)略、審計(jì)信息化水平相匹配的、適當(dāng)?shù)膹?fù)合型審計(jì)人員。其次，所謂復(fù)合型人才，是指具有計(jì)算機(jī)技能、審計(jì)、內(nèi)部控制、預(yù)算等專(zhuān)業(yè)基礎(chǔ)，擁有工作經(jīng)驗(yàn)和超強(qiáng)學(xué)習(xí)能力的新型審計(jì)人員，能夠在未來(lái)的審計(jì)信息化發(fā)展過(guò)程中，不斷適應(yīng)新環(huán)境，不斷學(xué)習(xí)新知識(shí)新技能的審計(jì)人員。

五、審計(jì)數(shù)據(jù)安全實(shí)踐

審計(jì)數(shù)據(jù)作為企業(yè)最為核心的數(shù)據(jù)之一，其重要性不言而喻。而審計(jì)數(shù)據(jù)泄露又與審計(jì)信息化產(chǎn)品的設(shè)計(jì)缺陷和安裝運(yùn)營(yíng)維護(hù)過(guò)程有著莫大的關(guān)聯(lián)。因此，在審計(jì)信息化實(shí)施框架的設(shè)計(jì)之初就應(yīng)該充分考慮審計(jì)數(shù)據(jù)的安全性問(wèn)題，需要在審計(jì)信息化系統(tǒng)的研發(fā)選用、安裝維護(hù)等環(huán)節(jié)全面貫徹信息安全法則，強(qiáng)化審計(jì)數(shù)據(jù)安全意識(shí)。

在我國(guó)所處的信息技術(shù)環(huán)境和經(jīng)濟(jì)運(yùn)行背景下，面臨的審計(jì)數(shù)據(jù)安全問(wèn)題尤為突出，我國(guó)擁有大量關(guān)乎國(guó)計(jì)民生和國(guó)防安全的國(guó)有企業(yè)，但由于數(shù)據(jù)庫(kù)、應(yīng)用程序、操作系統(tǒng)、數(shù)據(jù)交換設(shè)備和用戶(hù)安全意識(shí)等種種原因的限制，我國(guó)企業(yè)的數(shù)據(jù)安全管理實(shí)踐水平參差不齊，審計(jì)數(shù)據(jù)的安全管理以及信息安全審計(jì)工作形勢(shì)嚴(yán)峻。自斯諾登事件以來(lái)，相關(guān)部門(mén)及企業(yè)開(kāi)始大力加強(qiáng)信息安全管理工作，部分審計(jì)信息化廠商開(kāi)始對(duì)產(chǎn)品和服務(wù)進(jìn)行升級(jí)換代，以策安全。

在審計(jì)信息化實(shí)踐中，專(zhuān)家們多建議以信息安全鐵三角（CIA）理論為綱，CIA指機(jī)密性（Confidentiality）、完整性（Integrity）、可用性（Availability）。機(jī)密性是指阻止非授權(quán)的主體閱讀審計(jì)數(shù)據(jù)信息。即未授權(quán)的用戶(hù)不能夠獲取敏感審計(jì)數(shù)據(jù)信息。對(duì)傳統(tǒng)的紙質(zhì)審計(jì)相關(guān)文檔，只需要保護(hù)好文件，不被非授權(quán)者接觸即可。而在審計(jì)信息化背景下，不僅要制止非授權(quán)者對(duì)審計(jì)數(shù)據(jù)信息的閱讀。也要阻止授權(quán)者將其訪問(wèn)的敏感的審計(jì)信息傳遞給非授權(quán)者，以致信息被泄漏。完整性是指防止審計(jì)數(shù)據(jù)信息未經(jīng)授權(quán)便被篡改。它是保護(hù)審計(jì)數(shù)據(jù)信息保持既定狀態(tài)，使審計(jì)數(shù)據(jù)信息真實(shí)可靠。如果這些審計(jì)數(shù)據(jù)信息被蓄意地修改、插入、刪除等，形成虛假信息，那審計(jì)結(jié)論將變得嚴(yán)重失實(shí)�？捎眯允侵笇徲�(jì)師及相關(guān)被授權(quán)方在需要審計(jì)數(shù)據(jù)信息時(shí)能及時(shí)得到服務(wù)的能力。在權(quán)衡可用性問(wèn)題時(shí)，應(yīng)該遵循最小授權(quán)原則，受保護(hù)的審計(jì)敏感數(shù)據(jù)只能由履行審計(jì)職責(zé)和職能的安全主體，在法律和相應(yīng)的安全策略允許前提下，為滿足工作需要而使用。它包括知所必須（need to know）和用所必須（need to use）兩個(gè)方面，知所必須原則是指授權(quán)過(guò)程中對(duì)審計(jì)相關(guān)人員接觸敏感數(shù)據(jù)時(shí)只賦予其必須查看數(shù)據(jù)的瀏覽權(quán)限，用所必須原則即對(duì)敏感數(shù)據(jù)的使用權(quán)僅賦予那些必須要使用該數(shù)據(jù)的用戶(hù)。這兩項(xiàng)原則的遵循能有效防止任何人以任何理由和方式知悉或使用其不需要知道的審計(jì)敏感數(shù)據(jù)信息。

根據(jù)對(duì)象分類(lèi)，審計(jì)數(shù)據(jù)安全可以分解為審計(jì)數(shù)據(jù)庫(kù)安全、審計(jì)程序安全和審計(jì)系統(tǒng)運(yùn)行維護(hù)安全三大層次。數(shù)據(jù)庫(kù)安全是指采取各種安全措施對(duì)數(shù)據(jù)庫(kù)及其相關(guān)文件和數(shù)據(jù)進(jìn)行保護(hù)。數(shù)據(jù)庫(kù)系統(tǒng)的重要指標(biāo)之一是確保系統(tǒng)安全，以各種防范措施防止非授權(quán)使用數(shù)據(jù)庫(kù)，主要通過(guò)DBMS實(shí)現(xiàn)的。數(shù)據(jù)庫(kù)系統(tǒng)中一般采用用戶(hù)標(biāo)識(shí)和鑒別、存取控制、視圖以及密碼存儲(chǔ)等技術(shù)進(jìn)行安全控制。數(shù)據(jù)庫(kù)安全的核心和關(guān)鍵是其數(shù)據(jù)安全，以保護(hù)措施確保數(shù)據(jù)的完整性、保密性、可用性、可控性和可審查性。由于數(shù)據(jù)庫(kù)存儲(chǔ)著大量的重要信息和機(jī)密數(shù)據(jù)，而且在數(shù)據(jù)庫(kù)系統(tǒng)中大量數(shù)據(jù)集中存放，供多用戶(hù)共享，因此，必須加強(qiáng)對(duì)數(shù)據(jù)庫(kù)訪問(wèn)的控制和數(shù)據(jù)安全防護(hù)。軟件程序安全是指保護(hù)軟件中的智力成果、知識(shí)產(chǎn)權(quán)不被非法接觸、篡改及盜用等。主要包括防止軟件盜版、軟件逆向工程、授權(quán)加密以及非法篡改等。采用的技術(shù)包括軟件水印、代碼混淆、防篡改技術(shù)、授權(quán)加密技術(shù)以及虛擬機(jī)保護(hù)技術(shù)等。軟件程序的安全嚴(yán)重依賴(lài)于開(kāi)發(fā)遵循的安全開(kāi)發(fā)戰(zhàn)略規(guī)范。目前較為成熟的軟件程序安全規(guī)范是ISO27034，它是國(guó)際標(biāo)準(zhǔn)化組織通過(guò)的第一個(gè)關(guān)注建立安全軟件程序流程和框架的標(biāo)準(zhǔn)。根據(jù)Forrester在2011年的一項(xiàng)調(diào)查，只有37%的軟件開(kāi)發(fā)團(tuán)隊(duì)擁有明確的安全開(kāi)發(fā)戰(zhàn)略，不少軟件開(kāi)發(fā)組織沒(méi)有在足夠的高度上認(rèn)知開(kāi)發(fā)安全性，只是把安全性作為一個(gè)戰(zhàn)術(shù)層面或者簡(jiǎn)單的規(guī)范，沒(méi)有實(shí)施端到端的戰(zhàn)略方法。在開(kāi)發(fā)過(guò)程缺乏對(duì)安全性的控制，很明顯會(huì)把風(fēng)險(xiǎn)從開(kāi)發(fā)過(guò)程轉(zhuǎn)移到軟件運(yùn)行階段。

運(yùn)營(yíng)維護(hù)行為是審計(jì)數(shù)據(jù)安全短板中最常見(jiàn)最重要的內(nèi)容。隨著審計(jì)涉及的服務(wù)器、數(shù)據(jù)庫(kù)越來(lái)越多，服務(wù)器賬號(hào)、個(gè)人賬號(hào)的數(shù)量、種類(lèi)都在不停地增加。由于各個(gè)服務(wù)器所要求的密碼安全策略各不相同，系統(tǒng)用戶(hù)就會(huì)需要掌握多個(gè)賬號(hào)的用戶(hù)名、密碼，在更新密碼的時(shí)候還需要去區(qū)分不同的服務(wù)器對(duì)應(yīng)不同的密碼安全要求，在登錄不同的系統(tǒng)時(shí)需要多次輸入口令。一旦登錄之后，進(jìn)行非法命令操作，將不能進(jìn)行有效的命令權(quán)限控制。目前，對(duì)這些賬號(hào)的管理仍然停留在手工操作階段，對(duì)整個(gè)用戶(hù)賬號(hào)生命周期的創(chuàng)建、調(diào)整、注銷(xiāo)、密碼的更新等都是由對(duì)應(yīng)服務(wù)器管理員、數(shù)據(jù)庫(kù)管理員、網(wǎng)絡(luò)管理員手動(dòng)管理，存在工作量繁重，維護(hù)艱難，安全漏洞多等問(wèn)題。對(duì)于這些日常操作，缺乏有效手段對(duì)流程進(jìn)行規(guī)范。同時(shí)，審計(jì)涉及的電子表格、賬套數(shù)據(jù)庫(kù)文件及備份文件、審計(jì)項(xiàng)目文件等在保管維護(hù)過(guò)程中也存在眾多安全風(fēng)險(xiǎn)點(diǎn)。建議通過(guò)建立一個(gè)審計(jì)信息系統(tǒng)運(yùn)營(yíng)維護(hù)安全平臺(tái)來(lái)進(jìn)行統(tǒng)一的管理，以此提高人員的工作效率，保證信息系統(tǒng)的穩(wěn)定、安全和高效運(yùn)行。通過(guò)多種策略和技術(shù)手段實(shí)現(xiàn)多種系統(tǒng)賬號(hào)的統(tǒng)一管理、實(shí)現(xiàn)日常化的操作流程的規(guī)范化，從而實(shí)現(xiàn)賬號(hào)資源的自動(dòng)化管理配置、優(yōu)化，有效提高其安全性、可控性及可用性。積極整合審計(jì)資源，實(shí)現(xiàn)流程、人員、合規(guī)、審計(jì)的有機(jī)結(jié)合，通過(guò)提供理論、方法、技術(shù)、應(yīng)用的一整套完整的解決方案，建立一套較為完整的身份管理體系，提高審計(jì)信息安全運(yùn)營(yíng)維護(hù)管理的整體效能。

企業(yè)內(nèi)部審計(jì)信息化建設(shè)是在社會(huì)信息化、企業(yè)信息化潮流之下，以解決現(xiàn)實(shí)審計(jì)實(shí)踐瓶頸、提高審計(jì)工作效率和效果為目標(biāo)，順應(yīng)國(guó)家和行業(yè)監(jiān)管需求，促進(jìn)審計(jì)思維與方法變革的有效實(shí)踐。但其涉及的審計(jì)數(shù)據(jù)安全、審計(jì)信息化人才培養(yǎng)、與企業(yè)監(jiān)管實(shí)際及被審計(jì)對(duì)象信息化成熟程度不協(xié)調(diào)等問(wèn)題，則需要在整個(gè)建設(shè)及運(yùn)營(yíng)的生命周期中充分考慮。

作者介紹：張小乖，北京鼎信諾科技有限公司

【內(nèi)部審計(jì)信息化框架及審計(jì)數(shù)據(jù)安全實(shí)踐】相關(guān)文章：

風(fēng)險(xiǎn)管理框架下的內(nèi)部審計(jì)04-28

內(nèi)部審計(jì)總結(jié)01-16

內(nèi)部審計(jì)論文02-06

內(nèi)部審計(jì)培訓(xùn)心得05-08

武鋼內(nèi)部審計(jì)創(chuàng)新之路04-28

內(nèi)部審計(jì)向誰(shuí)負(fù)責(zé)05-02

內(nèi)部審計(jì)個(gè)人總結(jié)范文09-24

我國(guó)廢物管理審計(jì)實(shí)施框架的探討04-25

單位內(nèi)部審計(jì)報(bào)告范文09-01

銀行內(nèi)部審計(jì)個(gè)人總結(jié)06-12