網絡強國建設中的信息系統審計機制研究

□ 裴曉寧 王新杰

網絡強國戰略是我國在習近平新時代中國特色社會主義思想指引下的治國理政新戰略的重要組成部分，是當前以數字網絡為代表的高新技術迅猛發展條件下的馬克思主義基本原理與社會數字化變革實踐相結合的產物。本文以新時代中國特色社會主義思想和網絡強國戰略為指導，以審計機關、社會審計機構如何在推進網絡強國建設中更好地發揮審計監督作用為出發點和立足點，通過對已有信息系統審計經驗的總結和被審計對象風險與問題的分析，在分析國內外信息系統審計現狀與發展趨勢的基礎上，通過調查研究，指出我國開展信息系統審計工作的必要性和緊迫性，以及目前存在的國家層面要求不明確、法規和準則不健全；重要性認識不到位，實踐水平低；涉及國家安全的關鍵信息基礎設施尚未有效開展信息系統審計，存在重大隱患等方面的主要問題，以此為基礎，提出建立健全我國信息系統審計機制的4點建議。

以因特網（Internet）為代表的數字化網絡，是20世紀人類最偉大的發明。目前，我國已經成為名副其實的網絡大國。根據中國互聯網絡信息中心發布的第41次《中國互聯網絡發展狀況統計報告》，截至2017年12月，我國網民規模達7.72億，互聯網普及率為55.8%，手機網民規模達7.53億，各種網絡應用更是以“大爆炸”的速度發展，民眾的網絡生活也是越來越豐富。馬克思曾經指出：“任何真正的哲學都是自己時代精神的精華?！倍鞲袼怪赋觯骸半S著自然科學領域中每一個劃時代的發現，唯物主義也必然要改變自己的形式?！被趯ヂ摼W絡發展規律的深刻認知和準確把握，習近平總書記指出：“互聯網時代對人類的生活、生產、生產力的發展都具有很大的進步推動作用?！盵1]黨的十八屆五中全會站在未來發展的戰略高度，建議將網絡強國戰略納入“十三五”規劃的戰略體系之中，充分體現建設網絡強國的重要性和緊迫性。但是，我們現在僅僅是網絡大國，還不是網絡強國。伴隨著互聯網絡的快速發展，網絡安全風險和隱患逐漸顯現。大規模用戶數據泄露、木馬和僵尸網絡、移動應用惡意程序、拒絕服務攻擊、各類安全漏洞、網頁仿冒、網頁篡改等網絡安全事件多有發生，以及虛假新聞、惡意輿論等內容充斥著人們每時每刻都在使用的互聯網絡，基礎網絡設備、域名系統、工業互聯網絡等我國基礎網絡和關鍵基礎設施同樣面臨著更大的安全風險。建立健全信息系統審計機制應當成為加強網絡強國建設的一項有力保障手段。

推進網絡強國建設勢在必行

習近平總書記指出：“世界經濟加速向以網絡信息技術產業為重要內容的經濟活動轉變。我們要把握這一歷史契機，以信息化培育新動能，用新動能推動新發展?！盵2]從社會發展史看，人類經歷了農業革命、工業革命，目前，正在經歷數字化網絡革命。農業革命增強了人類生存能力，使人類從采食捕獵走向栽種畜養，從野蠻時代走向文明社會。工業革命拓展了人類體力，以機器取代了人力，以大規模工廠化生產取代了個體工場手工生產。而數字化網絡革命則增強了人類腦力，帶來生產力又一次質的飛躍，對國際政治、經濟、文化、社會、生態、軍事等領域的發展產生了深刻影響。

目前，大國之間的網絡博弈，不僅是技術博弈，還是理念博弈、話語權博弈和輿論博弈。黨中央提出了全球網絡發展治理的“尊重網絡主權，維護和平安全，促進開放合作和構建良好秩序”的4項原則和“加快全球網絡基礎設施建設，促進互聯互通；打造網上文化交流共享平臺，促進交流互鑒；推動網絡經濟創新發展，促進共同繁榮；保障網絡安全，促進有序發展；構建互聯網治理體系，促進公平正義”的5點主張，特別是倡導尊重網絡主權、構建網絡空間命運共同體，贏得了世界各國贊同。

建設網絡強國，離不開網絡安全，網絡安全和信息化是相輔相成的。安全是發展的前提，發展是安全的保障，安全和發展要同步推進。古往今來，很多技術都是“雙刃劍”，一方面可以造福社會、造福人民，另一方面也可以被一些人用來損害社會公共利益和民眾個人利益。網絡強國猶如時代之“列車”[3]，網絡安全和信息化便是其“驅動之雙輪”。建設網絡強國，既要解決網絡安全問題，也要加快發展信息化，讓這“雙輪”協調一致，同步前進，為“網絡強國”這輛列車保駕護航。

信息系統審計是保障網絡強國建設的重要手段

2014年10月，國務院在《國務院關于加強審計工作的意見》（國發〔2014〕48號）文件中明確提出了“推進對各部門、單位計算機信息系統安全性、可靠性和經濟性的審計”的要求。2017年，黨中央也要求對網絡安全建設和績效開展審計。各級審計機關和各類審計機構應該擔此重任，更好地發揮在網絡強國建設過程中的重要監督作用。審計法規定“真實性、合法性、效益性”是審計工作的基本目標，信息系統審計則在真實性、合法性、效益性的基礎上，還要關注信息系統和信息化建設的安全性、可靠性和經濟性，現階段應重點加強對安全性的關注。

國家審計機關開展信息系統審計應充分發揮審計監督作用，從體制機制層面分析原因，及時反映制約網絡強國戰略實施的各類風險，提出相應審計建議，推動網絡安全和信息化管理體制機制的改進和完善。主要內容應包括下面幾個方面：一是國家信息化重大政策措施落實情況的審計，推動網絡強國戰略和相關政策措施的貫徹落實；二是重點關注信息系統項目規劃目標實現、應用效果、系統功能和數據可靠性等方面內容，促進提高政府效能和財政資金使用效益；三是加強網絡安全審計，圍繞安全管理和安全技術2方面，重點關注國家數據資產的安全及信息化裝備自主可控情況，切實維護國家網絡和信息安全；四是重點關注信息化投資審批、軟硬件及服務采購和招標投標等關鍵環節，揭示項目建設運維中的重大違法違紀問題，促進廉政建設；五是重點關注信息化建設的頂層設計、統籌規劃、數據資源的共享利用程度和信息系統間業務協同能力等，揭示項目建設中存在的“小、散、亂”和信息孤島等突出問題，推動財政資金的合理配置和統籌使用。

另外，內部審計部門和社會審計機構作為一個相對獨立的、專業的第三方，就信息系統的有效性、可靠性、安全性以及信息化建設的經濟性，作出一個客觀、公正的判斷，評價信息系統控制措施的設計和執行的效果是否能夠保障信息系統高效、有序和安全地運行，是對國家審計機關信息系統審計工作有益補充。

信息系統審計國內外現狀及存在的問題

1）國外信息系統審計情況

從美國、加拿大、英國、澳大利亞和韓國等網絡發達國家的信息系統審計發展歷程看，這些國家的信息系統審計工作起步早，如美國早在1960年代就開始了計算機系統審計工作。從審計內容上看信息系統的經濟性和安全性作為審計重點，一直備受關注。近年來，伴隨著信息化的快速發展，信息化建設大力開展，如何促進信息化投資的有效性和建設的經濟性，保證建設資金的安全和效率至關重要。與此同時，各種信息安全隱患不斷出現、破壞手段不斷升級，信息系統的安全防護迫在眉睫，各國審計機關高度重視被審計機構信息系統的安全性能，積極行使督察職責，妥善保護信息資產，進而保障國家信息安全。

國外信息系統審計的主要特點是：信息系統審計政策和法規健全，信息系統審計在政府審計中發揮越來越大的作用。審計方式上，越來越多地開展獨立式信息系統審計。審計內容上，越來越重視安全性審計；社會信息系統審計的認證和培訓機制較為健全[4]。

2）我國已開展的信息系統審計工作

（1）審計署開展信息系統審計工作

1993年9月，《審計署關于計算機審計的暫行規定》（審計署第9號令）提出，凡使用計算機管理財政、財務收支及其有關經濟活動的被審計單位，審計機關有權采用計算機技術，依法獨立對其計算機財務系統進行審計監督。2001 年11月，國務院辦公廳下發了《關于利用計算機信息系統開展審計工作有關問題的通知》（國辦發〔2001〕88號），規定審計機關有權檢查被審計單位運用計算機管理財政收支、財務收支的信息系統。2006年6月，《中華人民共和國審計法》（修正）第32條規定，審計機關進行審計時，有權檢查被審計單位的會計憑證、會計賬簿、財務會計報告和運用電子計算機管理財政收支、財務收支電子數據的系統。2007年，審計署組織開展了信息系統審計試點工作。2010年審計署頒布了《關于檢查信息系統相關審計事項的指導意見》，提出了需重點關注的九大類信息系統相關審計事項，并對信息系統審計的對象、內容及方法進行了明確。2012年，審計署頒布了《信息系統審計指南》（計算機審計實務公告第34號），各級審計機關參照指南相繼開展了信息系統審計工作。

（2）內部審計中的信息系統審計開展情況

在2000年前后，人民銀行在其內審司設置信息科技審計處，專司信息系統審計，一些商業銀行如工、農、中、建、交，以及國家開發銀行等紛紛設置信息系統審計職能部門開展內部信息系統審計。銀監會成立以后，自2006年開始頒布相關信息科技風險管理指引，至今已頒布相關信息科技監管指引超過5項。2008年，財政部聯合國資委等5部委，頒布了《企業內部控制基本規范》（財會［2008］7號），2010年發布了《企業內部控制審計指引》（財會[2010]11號），要求企業應當加強信息系統控制，保證信息系統安全穩定運行。證監會也積極開展信息系統審計工作。2014年發布了我國證券期貨行業第1個信息系統審計標準《證券期貨業信息系統審計規范》（JR/T0112—2014）。2016年，證監會又組織制定和發布了7項《信息系統審計指南》。

（3）社會機構開展信息系統審計的情況

我國信息系統審計中的社會審計機構，主要以傳統會計師事務所為主，其中尤以國際“四大”會計師事務所為主，占據了國內信息系統審計大部分市場份額。國內會計事務所也逐步涉足信息系統審計業務，但由于起步較晚，信息系統審計力量不足，所能占據的份額十分有限。除會計師事務所以外，國內一部分以信息安全咨詢服務為主營業務的IT企業，近年來也參與到信息系統審計工作中。

3）我國信息系統審計目前存在的主要問題

雖然信息系統審計得到了越來越多的關注，但是還處于探索、起步階段，在發展過程中還存在諸多令人擔憂的問題。

（1）信息系統審計的職責尚未明確要求，科學的管理運行機制尚未建立，信息系統審計有關的國家層面的法規和準則尚不健全。

與信息技術發達國家比較，我國信息系統審計起步較晚。美國等西方發達國家已經建立了比較完善的信息系統審計管理運作機制，而我國信息系統審計管理運作機制尚不健全，尚未建立起全國統一的信息系統審計法規、制度和規范體系，也沒有成立全國性的行業自律組織，信息系統審計行業還處在無序的自發發展階段。

我國有關部門對計算機網絡環境下的審計工作做過有關規定：2009年，中國內部審計協會出臺了《內部審計具體準則第 28 號——信息系統審計》，這是我國第1個有關信息系統審計方面的準則；2012年審計署印發了信息系統審計指南。這些規定雖然為信息系統審計提供了制度上的初步規范，但只是對信息系統審計的某個方面的規定，比較籠統和零散，沒有相應的實施細則，遠遠不能滿足我國信息系統審計事業發展的要求。目前我國急需建立一套權威的體系完整、結構合理、內容全面的信息系統審計法規和準則。

（2）對信息系統審計重要性認識不足，實踐水平低。

我國開展信息系統審計雖然已有十幾年的時間，但是，無論是國家審計機關、內部審計機構和社會審計組織，還是被審計單位和部門，對信息系統審計并沒有足夠的認識和重視。這其中一個重要的原因就是對信息系統審計存在誤解，人們已經習慣了傳統的財務審計，認為信息系統審計并非必需。在信息技術高速發展的今天，人們更多關注了計算機信息系統的應用，對計算機信息系統存在的風險還沒有充分的認識，更沒有認識到審計是揭示和預防信息系統風險的重要手段。例如大型電子政務工程和大型央企動輒幾十億元的信息系統建設投資，每年巨額的運行維護費都存在審計監督缺失的情況。

目前，除部分對信息系統安全性要求較高的金融機構和大型企業比較重視信息系統審計外，其他機構和部門，均未對信息系統審計引起應有的重視。相當數量的地方審計機關并未開展信息系統審計工作。

（3）四大會計師事務所和國外信息系統審計行業協會的活動給信息安全和行業發展安全帶來潛在風險。

由于我國信息系統審計缺少自身的理論研究和工程實踐，長期以來，以“四大”為代表的國外會計事務所通過審計手段，包括傳統財務審計和信息系統審計，不僅占領了我國信息系統審計的市場，還掌握了我國大量重要領域經濟數據，包括金融、電信、能源等行業數據,給國家網絡和信息安全帶來了嚴重隱患[5]。

目前，我國信息系統審計人員在實際工作中大多采用美國信息系統控制審計協會（ISACA）頒布的信息系統審計鑒證準則，但是這些類似機構頒布的信息系統審計準則并不完全適合我國國情，一味照搬他們的信息系統審計準則，可能會導致一個行業的標準和市場受制于人的悲劇重演。

（4）涉及國家安全的關鍵行業沒有開展信息系統審計，存在重大隱患。

習近平總書記在2016年4月19日召開的網絡安全和信息化工作座談會上的講話時強調，要依法加強對大數據的管理。2017年6月1日正式實施的《中華人民共和國網絡安全法》明確了關鍵信息基礎設施的保護要求。除金融、電信、社保等行業外，一些涉及國家利益、國家安全的數據，還掌握在互聯網企業手里，企業需要保證這些數據安全。如果企業在數據保護和安全上出了問題，不僅對自己的信譽產生不利影響，對國家安全同樣會帶來風險。在互聯網絡高速發展的今天，大型企業，尤其是互聯網企業掌握的數據，已經達到可以危及國家安全的地步。目前大型互聯網公司在國內網民的生活、工作中的融入度非常高，他們擁有十分龐大的數據庫，不僅存儲著各類涉及人們購物、社交和金融等方面的數據，同時也存儲著我國公民的住址、聯絡方式、身份信息等公民個人基礎數據，這些數據如果綜合起來采用先進的大數據技術進行分析，具有十分重要的戰略意義。建議將這些公司和數據納入國家安全審計監督范圍內。

（5）適應信息系統審計事業發展的人才培養機制尚未建立。

信息系統審計是建立在傳統審計、信息系統管理和計算機等學科基礎之上的交叉學科。信息系統審計工作是一項復雜的系統過程，要求信息系統審計人員具有復合型的知識結構，不僅要掌握審計知識，具有一定的職業判斷能力、分析能力和表達能力，還應掌握計算機、信息系統管理和網絡技術等綜合知識。目前在我國信息系統審計行業，普遍采用國外信息系統審計協會（如ISACA）授權的注冊信息系統審計師資格。近年來，雖然國內相關機構嘗試開展了市場化的信息系統審計師考試認證工作，但由于起步晚，參加考試認證的人員數量少，還沒有形成我國自己的、公認的信息系統審計從業人員有關的資質考試和認證體系，導致從業人員專業水平參差不齊，給信息系統審計事業的發展造成極大的阻礙。

建立健全我國信息系統審計機制的建議

如果信息系統的安全性、可靠性得不到保障，就會給國家和企業帶來巨大的經濟損失和安全風險,最終影響國家安全，給網絡強國戰略的實施帶來風險。因此應及早采取積極有效的措施，加強對信息系統審計理論研究，建立健全我國的信息系統審計機制，無論從微觀到宏觀，都是我國網絡強國戰略和網絡空間安全發展的戰略要求，是我國網絡空間安全保障和網絡主權維護工作中的重要一環，是網絡強國戰略中不可或缺的內容。根據對國內外現狀的分析，結合筆者實踐經驗，提出如下建議。

1）進一步明確我國信息系統審計職能的主管部門和責任部門

建議由主管部門明確提出我國信息系統審計要求。由審計署組織制定有關信息系統審計法律法規、發展規劃、國家標準和審計指南，以及協調各專業領域信息系統審計指引或操作手冊，對國家審計機關、內部審計機構和社會審計組織開展信息系統審計工作進行指導，引導其向規范化、標準化方向發展，推動網絡強國戰略和信息化建設政策貫徹落實。信息系統審計在美國等西方國家已有近 50 年的歷史，發展得比較成熟，已經建立了比較完善的信息系統審計管理運作機制，我國可以借鑒他們的經驗，結合我國實際情況，建議成立一個專門的行業協會——中國信息系統審計協會，在主管部門的指導下，專門負責信息系統審計的相關標準、指南、指引和操作手冊制修訂，對信息系統審計行業進行政府指導下的自律式管理。

2）建立健全我國信息系統審計制度

信息系統審計必須依法開展。在我國有關信息系統審計方面的法律法規幾近空白，有關電子商務、電子政務、網絡經濟方面的法規還很不完善。建議結合《審計法》的修訂，健全與信息系統審計相配套的法律法規，在《審計法》中明確信息系統審計的法律地位。主管部門再依據審計法和其他相關法規，制定、完善相應的規章制度和準則、指南體系。制定信息系統審計準則是一項系統的工程，需要政府部門、信息系統審計理論界、信息系統審計實務界以及各有關方面團結協作，為制定適應我國國情、具有前瞻性的信息系統審計準則體系而努力。

3）強化重點領域、重點部門、重點人員對信息系統審計重要性的認識

在之前的審計中，發現很多被審計單位，尤其是政府部門的主管領導甚至信息化建設主管部門有關人員，不了解信息系統審計，對信息系統的安全性、可靠性和經濟性沒有整體概念，以致信息系統安全等級保護未達標仍在運行，系統基礎軟件和核心硬件設備不能安全可控，信息系統建設小、散、亂情況仍然突出，系統功能重復，數據無法有效共享，造成大量資金浪費等問題依然存在。建議加大對信息系統審計理論和技術的研究以及對信息系統審計的宣傳力度，引起各單位、各部門對信息系統審計的重視，促進信息系統審計事業的發展。并對重要信息系統行業和用戶單位定期開展信息系統審計，從“國家治理”的角度，解決信息系統審計體制機制方面存在的問題。

4）制定信息系統審計相關標準，提高信息系統審計機構、隊伍和人員的專業水平

要推動信息系統審計事業的發展, 必須依靠一大批高素質的信息系統審計專業人才隊伍。信息系統審計人員必須具有復合型的知識結構，既對經營管理有深刻的理解，又具備全面的會計、審計、信息技術知識，并且可以為信息系統的可靠性、有效性、安全性提供合理保證。目前，我國的注冊信息系統審計師資格認證和考試制度尚未建立，建議將信息系統審計納入學歷教育，與職稱評定、職業培訓和資格認證考試協調配合，形成完整的人才培養體系，為信息系統審計培養一支技術能力強、專業素質高的人才隊伍。

結 論

隨著數字化網絡時代的到來，以網絡為代表的信息技術迅速滲透到世界的每一個角落。信息系統審計是一個嶄新的領域，它必將伴隨著信息系統的發展而不斷發展。信息系統審計在國外已經發展得很成熟，信息系統審計的理念也深入人心，但是我國的信息系統審計還處于探索、起步階段。面對國內、國外嚴峻的網絡和信息安全形勢，我們必須抓住機遇，加快發展信息系統審計事業，為網絡強國戰略的實施保駕護航！

[1] 習近平.在網絡安全和信息化工作座談會上的講話[OL].2016[2018-05-25]. http://www.xinhuanet.com/ politics/2016-04/25/c_1118731175.htm

[2] 習近平.在中共中央政治局第三十六次集體學習時的講話[OL].2016[2018-05-25]. http://dangjian.people.com. cn/n1/2016/1011/c117092-28768107.html?from=tim eline&isappinstalled=0

[3] 習近平.在第二屆世界互聯網大會開幕式上的講話[OL].[2018-05-25]. http://www.xinhuanet.com/ politics/2015-12/16/c_1117481089.h

[4]裴曉寧,王姝蓉.國外信息系統審計發展動態及啟示[J].電子政務,2016(10):114-120

[5]王新杰.利用信息系統審計建立我國網絡安全的第三道防線[OL].2014[2018-05-25]. http://news.cntv.cn/2014/ 11/28/ARTI1417157956968806.shtml