內(nèi)部審計信息化框架及審計數(shù)據(jù)安全實踐

內(nèi)部審計信息化框架及審計數(shù)據(jù)安全實踐

作者：張小乖

中國內(nèi)部審計 2015年05期

一、企業(yè)內(nèi)部審計信息化的歷史背景

近年來，審計信息化在我國各行業(yè)的審計工作中得到充分重視與發(fā)展。我國的黨政機(jī)關(guān)、事業(yè)單位、企業(yè)以及各種咨詢與審計鑒證機(jī)構(gòu)對審計工作進(jìn)行了卓有成效的信息化探索和創(chuàng)新。審計信息化是指審計工作中對信息技術(shù)及設(shè)施的運用及處理過程，包括審計手段、審計理念、審計對象、審計成果、審計過程管理等全方位、立體化的監(jiān)督解決方案，其最終是促進(jìn)組織戰(zhàn)略目標(biāo)的實現(xiàn)。審計信息化不同于一般的業(yè)務(wù)信息化建設(shè)，它是指信息技術(shù)在審計監(jiān)督中全方位高效率的應(yīng)用。它的發(fā)展經(jīng)歷了四個階段，即：工具探索階段、審計管理信息化階段、智能監(jiān)測階段、全方位持續(xù)監(jiān)控階段。

自1936年英國科學(xué)家阿蘭·麥席森·圖靈（Alan Mathison Turing）提出“圖靈機(jī)”設(shè)想以來，人類踩著計算機(jī)與人工智能之父圖靈的肩膀走向了前所未有的文明與便利。從大數(shù)據(jù)的計算、作業(yè)過程的信息化處理、管理決策的信息化支持到信息安全防護(hù)等，計算機(jī)迅速進(jìn)入到人類生產(chǎn)和生活的各個重要環(huán)節(jié)。審計——這種誕生于人類文明初期的工種，因各個單位組織運作模式的快速信息化，產(chǎn)生了史無前例的變革。在計算機(jī)參與組織運作的初期，審計師一般采取繞開計算機(jī)的審計模式（Audit Around the Computer），人們形象地稱之為“黑盒法”，即將計算機(jī)系統(tǒng)視為一個不可知曉的黑盒子，通過檢查輸入計算機(jī)的數(shù)據(jù)（通常是紙質(zhì)文件）和打印的輸出結(jié)果，采用人工重復(fù)計算的方式比對處理結(jié)果，得出審計結(jié)論。

隨著我國科技現(xiàn)代化的推進(jìn)和對計算機(jī)科學(xué)及應(yīng)用的不斷探索，尤其是1979年財政部撥款500萬元人民幣在一汽集團(tuán)試點開發(fā)應(yīng)用財務(wù)軟件伊始，信息技術(shù)開始進(jìn)入中國企業(yè)日常辦公及管理的各領(lǐng)域。隨著關(guān)系型數(shù)據(jù)庫和各類應(yīng)用程序?qū)�紙質(zhì)手寫憑證及算盤、計算器等低效率計算工具的代替，審計對象的運作模式、審計標(biāo)的記載方式甚至存在形式隨之發(fā)生了深刻的變化，審計信息化應(yīng)運而生。1990年，山西省審計局開發(fā)出我國第一套通過審計署鑒定的審計軟件——“工業(yè)企業(yè)財務(wù)收支審計軟件”。1998年，審計署提出審計信息化建設(shè)的提議，得到時任國務(wù)院總理朱镕基的充分肯定和重視，審計署開始規(guī)劃和籌備國家審計層面的審計信息化工程。2000年，本土的審計軟件廠商北京鼎信諾科技有限公司、廣東中審軟件技術(shù)有限公司、中軟國際有限公司、煙臺新紀(jì)元軟件有限公司等相繼推出鼎信諾V1.6、審易軟件等實用型初級審計作業(yè)工具。

2001年，審計署要求各審計機(jī)關(guān)著手實現(xiàn)審計信息系統(tǒng)現(xiàn)代化初步建設(shè)。2002年7月28日，國家計委批準(zhǔn)了審計署的申請，并下達(dá)2002年中央預(yù)算內(nèi)基建投資5000萬元，專項用于審計信息化系統(tǒng)一期工程建設(shè)。2004年，加拿大CaseWareIDEA有限公司進(jìn)軍中國市場，提供審計信息化系列產(chǎn)品。隨后，ACL和Wolters Kluwer等歐美一流審計信息化產(chǎn)品提供商紛紛進(jìn)入中國市場。

2008年，審計署發(fā)布《審計署2008至2012年信息化發(fā)展規(guī)劃》，規(guī)劃中提出要探索和完善信息化環(huán)境下的審計方式，推進(jìn)審計信息化建設(shè)，以探索創(chuàng)新信息化環(huán)境下的審計方式為核心，加大適應(yīng)信息化需要的審計人才隊伍建設(shè)力度，努力提高審計工作效率、質(zhì)量和水平，為審計事業(yè)發(fā)展提供信息技術(shù)支持和保障。2011年，中國注冊會計師協(xié)會發(fā)布《中國注冊會計師行業(yè)信息化建設(shè)總體方案》，注冊會計師行業(yè)信息化戰(zhàn)略全面啟動。至此，我國進(jìn)入全面審計信息化時代，審計信息化建設(shè)覆蓋國家、行業(yè)、企業(yè)組織以及審計工作者等不同維度，以及國家審計、社會審計、內(nèi)部審計三大領(lǐng)域。

二、企業(yè)內(nèi)部審計信息化范疇

內(nèi)部審計信息化建設(shè)采用不同的標(biāo)準(zhǔn)，有不同的分類：按照內(nèi)容分類，內(nèi)部審計信息化包括兩方面內(nèi)容：一是以信息技術(shù)為手段開展內(nèi)部審計工作的過程，即計算機(jī)輔助審計技術(shù)（CAATs）；二是指內(nèi)部審計部門以組織的信息系統(tǒng)為對象，以風(fēng)險評估或內(nèi)部控制檢查為手段，對這些系統(tǒng)所產(chǎn)生信息的真實性、合法性以及信息系統(tǒng)相關(guān)控制的遵循性作出確認(rèn)，或通過優(yōu)化企業(yè)信息管理，增強(qiáng)企業(yè)的核心競爭能力，即信息系統(tǒng)審計或EDP審計。

按照實施對象及技術(shù)特點分類，內(nèi)部審計信息化的應(yīng)用系統(tǒng)主要聚焦于三大領(lǐng)域：內(nèi)部審計管理信息化、內(nèi)部審計作業(yè)信息化、內(nèi)部審計及風(fēng)險實時監(jiān)測預(yù)警信息化。審計作業(yè)信息化專注于提高審計作業(yè)的專業(yè)水準(zhǔn)、效率和審計風(fēng)險的控制；審計管理信息化側(cè)重于解決審計管理過程中管理和文件資料的上傳下達(dá)；內(nèi)部審計及風(fēng)險實時監(jiān)測預(yù)警信息化側(cè)重于對被審計對象的實時監(jiān)督，將審計由傳統(tǒng)的事后檢查評價推向更為有價值的事前預(yù)防和事中監(jiān)督。

2010年8月12日，國資委在中央企業(yè)內(nèi)部審計工作會議上對國有企業(yè)內(nèi)部審計工作的改革發(fā)展提出：加強(qiáng)內(nèi)部審計信息化建設(shè)，提高審計工作效率。推動審計信息化建設(shè)，有效提升審計人員在信息化條件下開展審計工作的能力，是提高審計工作效率的重要手段。中央企業(yè)要高度重視內(nèi)部審計的信息化建設(shè)，加強(qiáng)信息化建設(shè)支持力度：一是要加強(qiáng)企業(yè)審計信息集成管理系統(tǒng)的研發(fā)及推廣應(yīng)用，要根據(jù)自身業(yè)務(wù)特點探索建設(shè)涵蓋作業(yè)規(guī)范、管理支撐、知識共享和成果轉(zhuǎn)化等模塊的內(nèi)部審計管理平臺，建立起完善的審計系統(tǒng)領(lǐng)導(dǎo)決策平臺、業(yè)務(wù)管理平臺和業(yè)務(wù)操作平臺，實現(xiàn)審計信息的集中管理和應(yīng)用，實現(xiàn)對審計對象的動態(tài)監(jiān)控和實時分析。二是利用企業(yè)開發(fā)的ERP等信息系統(tǒng)，對其中與審計重點相關(guān)的財務(wù)系統(tǒng)、成本系統(tǒng)、物流系統(tǒng)、采購系統(tǒng)和銷售系統(tǒng)等建立審計接口，運用現(xiàn)代信息系統(tǒng)開展審計工作。三是要進(jìn)一步提升審計監(jiān)督管理的信息化手段，實現(xiàn)審計信息的集中管理和應(yīng)用，利用計算機(jī)數(shù)據(jù)庫等軟件排查審計疑點問題，及時發(fā)現(xiàn)被審計單位存在的問題，提高審計工作效率。不難看出，審計信息化建設(shè)迫切需要解決的問題主要涉及審計管理、審計接口及業(yè)務(wù)開展、信息化適時監(jiān)管等方面。而實現(xiàn)審計信息化的方式，則外購與自主研發(fā)并行，各個組織或各行業(yè)審計部門多依據(jù)自身技術(shù)、資金等因素綜合決策。

三、審計信息化系統(tǒng)產(chǎn)品分類及作用

審計信息化系統(tǒng)產(chǎn)品，是指企業(yè)組織或軟件供應(yīng)商設(shè)計研發(fā)的審計相關(guān)專業(yè)化信息技術(shù)軟件程序。具體分為以下幾類：審計信息化作業(yè)工具、審計管理信息系統(tǒng)、數(shù)據(jù)預(yù)警與監(jiān)控信息系統(tǒng)、網(wǎng)絡(luò)行為監(jiān)控及信息安全審計工具等。審計信息化作業(yè)工具主要用于日常審計作業(yè)工作，主要包括數(shù)據(jù)采集、數(shù)據(jù)分析、審計抽樣、審計測試、審計底稿、審計報告、審計文檔生成管理等一系列內(nèi)容，它以審計作業(yè)人員日常審計工作為重心，兼顧審計管理、監(jiān)督、審計智能便捷分析等。審計管理信息系統(tǒng)主要用于審計部門日常管理工作，主要包括審計OA、人事管理、檔案管理、計劃管理、項目管理、整改管理、績效評優(yōu)等內(nèi)容。數(shù)據(jù)預(yù)警與監(jiān)控信息系統(tǒng)主要用于針對被審計對象數(shù)據(jù)（包括財務(wù)數(shù)據(jù)、業(yè)務(wù)數(shù)據(jù)、決策管理數(shù)據(jù)、庫存供應(yīng)鏈數(shù)據(jù)等）的事前和事中自動化監(jiān)控預(yù)警。網(wǎng)絡(luò)行為監(jiān)控及信息安全審計工具主要用于針對網(wǎng)絡(luò)活動及企業(yè)敏感信息的安全監(jiān)督審計，主要包括日志分析工具、抓包分析工具、密碼監(jiān)測管理工具等。

四、審計信息化整體實施框架

在審計信息化過程中，整體宏觀角度的框架規(guī)劃設(shè)計是最基礎(chǔ)、最為關(guān)鍵的環(huán)節(jié)，它需要根據(jù)企業(yè)整體信息化戰(zhàn)略、審計團(tuán)隊規(guī)模、審計工作管理模式、財務(wù)業(yè)務(wù)系統(tǒng)已經(jīng)達(dá)到的信息化水平、審計人員的信息化技能及未來發(fā)展等綜合考慮。本文的整體框架如下，見下頁圖1。

如下頁圖1所示，整體實施規(guī)劃涉及審計門戶、資源共享平臺、審計作業(yè)層、支撐平臺等，在每一個層面都需要考慮審計作業(yè)與管理的便捷性、審計信息安全與訪問控制管理兩個因素。

為了能有效推進(jìn)內(nèi)部審計信息化發(fā)展，內(nèi)部審計部門應(yīng)結(jié)合實際，制定內(nèi)部審計信息化戰(zhàn)略規(guī)劃，明確目標(biāo)任務(wù)和措施，分階段分步驟實施，以審計作業(yè)信息化為起點，審計管理為重點，審計資源共享及各系統(tǒng)支撐為輔助，與企業(yè)整體信息化戰(zhàn)略相適應(yīng)。同時，還應(yīng)兼顧審計信息安全和審計風(fēng)險管理目標(biāo)。值得一提的是，隨著我國內(nèi)部審計理念向價值增值方向演進(jìn)，內(nèi)部審計領(lǐng)域已經(jīng)由傳統(tǒng)的財務(wù)收支審計、基建項目審計轉(zhuǎn)為以經(jīng)濟(jì)效益審計、內(nèi)部控制審計、信息系統(tǒng)審計、風(fēng)險管理審計為主的增值服務(wù)型業(yè)務(wù)，審計信息化的范疇與施展空間也隨之?dāng)U大�？傮w而言，我們對審計監(jiān)督工作相關(guān)的信息化建設(shè)的探索側(cè)重點發(fā)生了變化，主要體現(xiàn)在內(nèi)部控制體系的監(jiān)督和完善、風(fēng)險審計、管理審計、實時預(yù)警監(jiān)督、信息安全審計等方面。這些具有前瞻性和指導(dǎo)性的領(lǐng)域，在審計信息化整體實施框架的設(shè)計過程中，必須進(jìn)行充分的論證與考量。

關(guān)注內(nèi)部控制的合規(guī)性，為內(nèi)部控制合規(guī)審計提供自動化工具。在2013年實施修訂后的《中國內(nèi)部審計準(zhǔn)則》中，中國內(nèi)部審計協(xié)會明確提出，內(nèi)部審計機(jī)構(gòu)需要“對內(nèi)部控制設(shè)計和運行的有效性進(jìn)行審查和評價，出具客觀、公正的審計報告，促進(jìn)組織改善內(nèi)部控制”。這是現(xiàn)代內(nèi)部審計理念的要求，也是我國企業(yè)遵循內(nèi)部控制規(guī)范的需要。

注重風(fēng)險管理審計，為內(nèi)部審計評價組織整體風(fēng)險提供支持工具，將風(fēng)險識別、梳理、定級、維護(hù)與審計計劃制定、審計實施、審計發(fā)現(xiàn)和問題整改緊密結(jié)合，提高內(nèi)部審計人員識別復(fù)雜風(fēng)險、關(guān)聯(lián)風(fēng)險和綜合風(fēng)險的敏感性，為內(nèi)部審計評價整體風(fēng)險提供信息化支持，體現(xiàn)風(fēng)險導(dǎo)向內(nèi)部審計理念。將風(fēng)險視角從財務(wù)領(lǐng)域擴(kuò)展到更廣泛的經(jīng)營業(yè)務(wù)領(lǐng)域，打破單一的審計項目管理體制，開展風(fēng)險預(yù)警，按一般風(fēng)險和重大風(fēng)險有區(qū)別地配置審計資源。中國內(nèi)部審計協(xié)會自2004年起，大力提倡將風(fēng)險管理納入內(nèi)部審計的工作視野，而2013年修訂的《中國內(nèi)部審計準(zhǔn)則》發(fā)布了對內(nèi)部審計的新定義，增加了對“風(fēng)險管理的適當(dāng)性和有效性”的審查和評價，以體現(xiàn)現(xiàn)代內(nèi)部審計對組織風(fēng)險的關(guān)注。內(nèi)部審計機(jī)構(gòu)只有將整體風(fēng)險納入視野，才能確保審計關(guān)注領(lǐng)域的完整性，才能及時防范風(fēng)險和提供增值服務(wù)。這就要求審計人員站在全局高度對整體風(fēng)險進(jìn)行分析與評價，靠單純項目化的工作模式通常難以實現(xiàn)。而企業(yè)組織經(jīng)營環(huán)境的高度信息化，各業(yè)務(wù)板塊數(shù)據(jù)的高度集中，為內(nèi)部審計實現(xiàn)全面風(fēng)險分析提供了可能。國內(nèi)一些先進(jìn)的大型央企或知名上市公司也開始對內(nèi)部風(fēng)險審計的思路進(jìn)行探索，他們將整個業(yè)務(wù)領(lǐng)域確定為審計對象，構(gòu)建運營收入和支出全流程框架，采用圖表或矢量圖形式直觀展示企業(yè)全面風(fēng)險，對提高內(nèi)部審計工作的整體性和及時性做了有益嘗試。

逐步實現(xiàn)實時預(yù)警監(jiān)督，伴隨風(fēng)險導(dǎo)向?qū)徲嬂砟畹牟粩鄬嵺`，持續(xù)審計預(yù)警系統(tǒng)和風(fēng)險管理審計系統(tǒng)成為內(nèi)部審計信息化的重點領(lǐng)域。通過持續(xù)的審計預(yù)警系統(tǒng)，梳理主要業(yè)務(wù)及重點環(huán)節(jié)的風(fēng)險控制點，建立風(fēng)險監(jiān)測指標(biāo)庫和監(jiān)測模型庫，依據(jù)風(fēng)險預(yù)警規(guī)則實現(xiàn)跟蹤審計，實現(xiàn)內(nèi)部審計從事后審計走向事中、實時審計。

建設(shè)新型審計信息門戶，本框架中審計信息門戶不同于早期的集團(tuán)審計門戶，它側(cè)重于采集和專門構(gòu)建等方式建設(shè)各類審計知識庫，如風(fēng)險事件庫、法律法規(guī)庫、審計成果庫、問題線索庫、審計方法庫、審計案例庫、審計對象庫、審計專業(yè)人才庫等，實現(xiàn)對審計知識發(fā)現(xiàn)、獲取、存儲、維護(hù)、更新、評價、共享和創(chuàng)新應(yīng)用的全方位管理，為提高審計人員能力及審計項目效率提供知識支持。它同時關(guān)注審計與內(nèi)外部人員的互動，扮演著宣講貫徹、交流協(xié)調(diào)、投訴舉報、匯報查詢、公告、新聞、培訓(xùn)等重要角色。

另外，審計信息化建設(shè)中關(guān)于知識、人員、培訓(xùn)及績效評優(yōu)等模塊的信息化，可以大力加強(qiáng)審計隊伍建設(shè)，提高審計人員在信息化環(huán)境下開展審計工作的能力。這是內(nèi)部審計信息化建設(shè)的一項重要的基礎(chǔ)性工作。在企業(yè)的戰(zhàn)略發(fā)展規(guī)劃中，幾乎所有的活動都與人的因素息息相關(guān)。內(nèi)部審計工作是一項以人力資源運用為主的技術(shù)性工作，在審計信息化整體實施框架設(shè)計和實施過程中，相比設(shè)備、管理理念等其他因素，復(fù)合型審計人才的培養(yǎng)和管理始終處于第一位。首先，復(fù)合型內(nèi)部審計人才的定位應(yīng)該是適當(dāng)水平。要適應(yīng)審計信息化的發(fā)展戰(zhàn)略需求，需要的是與企業(yè)發(fā)展戰(zhàn)略、審計信息化水平相匹配的、適當(dāng)?shù)膹?fù)合型審計人員。其次，所謂復(fù)合型人才，是指具有計算機(jī)技能、審計、內(nèi)部控制、預(yù)算等專業(yè)基礎(chǔ)，擁有工作經(jīng)驗和超強(qiáng)學(xué)習(xí)能力的新型審計人員，能夠在未來的審計信息化發(fā)展過程中，不斷適應(yīng)新環(huán)境，不斷學(xué)習(xí)新知識新技能的審計人員。

五、審計數(shù)據(jù)安全實踐

審計數(shù)據(jù)作為企業(yè)最為核心的數(shù)據(jù)之一，其重要性不言而喻。而審計數(shù)據(jù)泄露又與審計信息化產(chǎn)品的設(shè)計缺陷和安裝運營維護(hù)過程有著莫大的關(guān)聯(lián)。因此，在審計信息化實施框架的設(shè)計之初就應(yīng)該充分考慮審計數(shù)據(jù)的安全性問題，需要在審計信息化系統(tǒng)的研發(fā)選用、安裝維護(hù)等環(huán)節(jié)全面貫徹信息安全法則，強(qiáng)化審計數(shù)據(jù)安全意識。

在我國所處的信息技術(shù)環(huán)境和經(jīng)濟(jì)運行背景下，面臨的審計數(shù)據(jù)安全問題尤為突出，我國擁有大量關(guān)乎國計民生和國防安全的國有企業(yè)，但由于數(shù)據(jù)庫、應(yīng)用程序、操作系統(tǒng)、數(shù)據(jù)交換設(shè)備和用戶安全意識等種種原因的限制，我國企業(yè)的數(shù)據(jù)安全管理實踐水平參差不齊，審計數(shù)據(jù)的安全管理以及信息安全審計工作形勢嚴(yán)峻。自斯諾登事件以來，相關(guān)部門及企業(yè)開始大力加強(qiáng)信息安全管理工作，部分審計信息化廠商開始對產(chǎn)品和服務(wù)進(jìn)行升級換代，以策安全。

在審計信息化實踐中，專家們多建議以信息安全鐵三角（CIA）理論為綱，CIA指機(jī)密性（Confidentiality）、完整性（Integrity）、可用性（Availability）。機(jī)密性是指阻止非授權(quán)的主體閱讀審計數(shù)據(jù)信息。即未授權(quán)的用戶不能夠獲取敏感審計數(shù)據(jù)信息。對傳統(tǒng)的紙質(zhì)審計相關(guān)文檔，只需要保護(hù)好文件，不被非授權(quán)者接觸即可。而在審計信息化背景下，不僅要制止非授權(quán)者對審計數(shù)據(jù)信息的閱讀。也要阻止授權(quán)者將其訪問的敏感的審計信息傳遞給非授權(quán)者，以致信息被泄漏。完整性是指防止審計數(shù)據(jù)信息未經(jīng)授權(quán)便被篡改。它是保護(hù)審計數(shù)據(jù)信息保持既定狀態(tài)，使審計數(shù)據(jù)信息真實可靠。如果這些審計數(shù)據(jù)信息被蓄意地修改、插入、刪除等，形成虛假信息，那審計結(jié)論將變得嚴(yán)重失實�？捎眯允侵笇徲嫀熂跋嚓P(guān)被授權(quán)方在需要審計數(shù)據(jù)信息時能及時得到服務(wù)的能力。在權(quán)衡可用性問題時，應(yīng)該遵循最小授權(quán)原則，受保護(hù)的審計敏感數(shù)據(jù)只能由履行審計職責(zé)和職能的安全主體，在法律和相應(yīng)的安全策略允許前提下，為滿足工作需要而使用。它包括知所必須（need to know）和用所必須（need to use）兩個方面，知所必須原則是指授權(quán)過程中對審計相關(guān)人員接觸敏感數(shù)據(jù)時只賦予其必須查看數(shù)據(jù)的瀏覽權(quán)限，用所必須原則即對敏感數(shù)據(jù)的使用權(quán)僅賦予那些必須要使用該數(shù)據(jù)的用戶。這兩項原則的遵循能有效防止任何人以任何理由和方式知悉或使用其不需要知道的審計敏感數(shù)據(jù)信息。

根據(jù)對象分類，審計數(shù)據(jù)安全可以分解為審計數(shù)據(jù)庫安全、審計程序安全和審計系統(tǒng)運行維護(hù)安全三大層次。數(shù)據(jù)庫安全是指采取各種安全措施對數(shù)據(jù)庫及其相關(guān)文件和數(shù)據(jù)進(jìn)行保護(hù)。數(shù)據(jù)庫系統(tǒng)的重要指標(biāo)之一是確保系統(tǒng)安全，以各種防范措施防止非授權(quán)使用數(shù)據(jù)庫，主要通過DBMS實現(xiàn)的。數(shù)據(jù)庫系統(tǒng)中一般采用用戶標(biāo)識和鑒別、存取控制、視圖以及密碼存儲等技術(shù)進(jìn)行安全控制。數(shù)據(jù)庫安全的核心和關(guān)鍵是其數(shù)據(jù)安全，以保護(hù)措施確保數(shù)據(jù)的完整性、保密性、可用性、可控性和可審查性。由于數(shù)據(jù)庫存儲著大量的重要信息和機(jī)密數(shù)據(jù)，而且在數(shù)據(jù)庫系統(tǒng)中大量數(shù)據(jù)集中存放，供多用戶共享，因此，必須加強(qiáng)對數(shù)據(jù)庫訪問的控制和數(shù)據(jù)安全防護(hù)。軟件程序安全是指保護(hù)軟件中的智力成果、知識產(chǎn)權(quán)不被非法接觸、篡改及盜用等。主要包括防止軟件盜版、軟件逆向工程、授權(quán)加密以及非法篡改等。采用的技術(shù)包括軟件水印、代碼混淆、防篡改技術(shù)、授權(quán)加密技術(shù)以及虛擬機(jī)保護(hù)技術(shù)等。軟件程序的安全嚴(yán)重依賴于開發(fā)遵循的安全開發(fā)戰(zhàn)略規(guī)范。目前較為成熟的軟件程序安全規(guī)范是ISO27034，它是國際標(biāo)準(zhǔn)化組織通過的第一個關(guān)注建立安全軟件程序流程和框架的標(biāo)準(zhǔn)。根據(jù)Forrester在2011年的一項調(diào)查，只有37%的軟件開發(fā)團(tuán)隊擁有明確的安全開發(fā)戰(zhàn)略，不少軟件開發(fā)組織沒有在足夠的高度上認(rèn)知開發(fā)安全性，只是把安全性作為一個戰(zhàn)術(shù)層面或者簡單的規(guī)范，沒有實施端到端的戰(zhàn)略方法。在開發(fā)過程缺乏對安全性的控制，很明顯會把風(fēng)險從開發(fā)過程轉(zhuǎn)移到軟件運行階段。

運營維護(hù)行為是審計數(shù)據(jù)安全短板中最常見最重要的內(nèi)容。隨著審計涉及的服務(wù)器、數(shù)據(jù)庫越來越多，服務(wù)器賬號、個人賬號的數(shù)量、種類都在不停地增加。由于各個服務(wù)器所要求的密碼安全策略各不相同，系統(tǒng)用戶就會需要掌握多個賬號的用戶名、密碼，在更新密碼的時候還需要去區(qū)分不同的服務(wù)器對應(yīng)不同的密碼安全要求，在登錄不同的系統(tǒng)時需要多次輸入口令。一旦登錄之后，進(jìn)行非法命令操作，將不能進(jìn)行有效的命令權(quán)限控制。目前，對這些賬號的管理仍然停留在手工操作階段，對整個用戶賬號生命周期的創(chuàng)建、調(diào)整、注銷、密碼的更新等都是由對應(yīng)服務(wù)器管理員、數(shù)據(jù)庫管理員、網(wǎng)絡(luò)管理員手動管理，存在工作量繁重，維護(hù)艱難，安全漏洞多等問題。對于這些日常操作，缺乏有效手段對流程進(jìn)行規(guī)范。同時，審計涉及的電子表格、賬套數(shù)據(jù)庫文件及備份文件、審計項目文件等在保管維護(hù)過程中也存在眾多安全風(fēng)險點。建議通過建立一個審計信息系統(tǒng)運營維護(hù)安全平臺來進(jìn)行統(tǒng)一的管理，以此提高人員的工作效率，保證信息系統(tǒng)的穩(wěn)定、安全和高效運行。通過多種策略和技術(shù)手段實現(xiàn)多種系統(tǒng)賬號的統(tǒng)一管理、實現(xiàn)日�；�的操作流程的規(guī)范化，從而實現(xiàn)賬號資源的自動化管理配置、優(yōu)化，有效提高其安全性、可控性及可用性。積極整合審計資源，實現(xiàn)流程、人員、合規(guī)、審計的有機(jī)結(jié)合，通過提供理論、方法、技術(shù)、應(yīng)用的一整套完整的解決方案，建立一套較為完整的身份管理體系，提高審計信息安全運營維護(hù)管理的整體效能。

企業(yè)內(nèi)部審計信息化建設(shè)是在社會信息化、企業(yè)信息化潮流之下，以解決現(xiàn)實審計實踐瓶頸、提高審計工作效率和效果為目標(biāo)，順應(yīng)國家和行業(yè)監(jiān)管需求，促進(jìn)審計思維與方法變革的有效實踐。但其涉及的審計數(shù)據(jù)安全、審計信息化人才培養(yǎng)、與企業(yè)監(jiān)管實際及被審計對象信息化成熟程度不協(xié)調(diào)等問題，則需要在整個建設(shè)及運營的生命周期中充分考慮。

作者介紹：張小乖，北京鼎信諾科技有限公司

【內(nèi)部審計信息化框架及審計數(shù)據(jù)安全實踐】相關(guān)文章：

風(fēng)險管理框架下的內(nèi)部審計04-28

內(nèi)部審計總結(jié)01-16

內(nèi)部審計論文02-06

內(nèi)部審計培訓(xùn)心得05-08

武鋼內(nèi)部審計創(chuàng)新之路04-28

內(nèi)部審計向誰負(fù)責(zé)05-02

內(nèi)部審計個人總結(jié)范文09-24

我國廢物管理審計實施框架的探討04-25

單位內(nèi)部審計報告范文09-01

銀行內(nèi)部審計個人總結(jié)06-12