1 信息系统审计与环境信息系统审计
在我国“信息化带动工业化、工业化促进信息化”建设方针指引下,信息系统日益成为企事业、行政单位和部门信息处理的重要手段。信息技术为信息处理能力和水平的提高提供了强大支持的同时,其高度复杂性和自动化处理机制也为业务运行和管理带来了潜在的风险。随着被审计单位对信息系统的依赖性的加强,信息系统审计成为纳入到审计范围的重要组成部分。
信息系统审计最早可以追溯到 20 世纪60 年代,当时主要针对财务软件中的数据进行审计,后来逐渐从电子财务数据审核拓展到整个信息系统本身的风险[1].信息系统审计领域的权威专家 Ron Weber 将信息系统审计定义为:“信息系统审计是一个获取并评价证据,以判断信息系统是否能够保证资产安全、数据完整以及高效地利用组织的资源,有效地实现组织目标的过程”.在我国,信息系统审计是由有客观立场的独立审计师实施,包括政府审计机关、内部审计机构中的工作人员,会计师事务所等组织中的审计师和其他专业人员等;审计的对象是信息系统以及利用组织资源实现的以信息系统为载体的一切活动。
随着环境信息系统逐渐成为环境管理系统不可或缺的组成部分,对环境信息系统开展审计成为环境审计的重要组成部分内容,也是信息系统审计的重要内容。目前,对环境信息系统的研究主要体现在对国内环境信息系统建设情况的现状分析[2],对国内外环境信息系统存在问题的研究[3],以及在环境审计中涉及到的具体环境信息系统的问题[4-5]等,对环境信息系统审计的研究还不多见。本文主要研究环境信息审计的一般目标和内容,以期为环境信息系统审计的理论研究和实践提供参考。
2 环境信息系统审计的目标
环境信息系统是对各种各样环境信息及其相关信息加以系统化和科学化的信息体系。是环境信息采集系统、环境信息检测系统、环境信息处理系统、环境资源信息系统、环境管理信息系统等与环境相关的信息系统的总称[6].一般情况下主要指的是环境管理信息系统和资源环境信息系统。
环境信息系统在环境管理方面的作用主要体现在:(1)为各种环境管理职能提供信息支持;(2)提高管理效率;(3)加强过程监督;(4) 促进有效控制;(5) 有利于各级管理的协调等五个方面。我国的环境信息系统基本结构分为国家、省市、地市三级系统。目前的环境信息系统和网络已具备一定的规模,作为环境管理的有力工具,环境信息系统被广泛应用于各级环境管理机构和部门,在环境管理和环境监督方面发挥着重要的、不可替代的作用。环境信息系统具有分布性和集成性的特点,随着环境信息系统的复杂性和重要性的日益加剧,对环境信息系统本身的审计和监督成为必然。
信息系统审计的目标包括主要包括评价及鉴证资产是否具备安全性,数据及信息是否具备有效性,利用资源是否具备经济性,以及是否与组织目标一致等。
结合环境信息系统的作用以及信息系统审计的一般目标,可以认为环境信息系统审计的目标主要应包括环境环境信息系统的可靠性、安全性和经济性三个方面。
2.1 环境信息系统的可靠性审计
环境信息系统的可靠性是保障信息系统提供有用信息的前提和基础,是对环境信息系统质量的审计。包括系统的可用性和系统的稳定性两方面。
系统的可用性是指系统的功能应该可用,并符合系统设计和开发的要求,满足环境管理工作的需要。环境信息系统的稳定性是指系统的运行应该稳定可靠。
环境信息系统的可靠性是由硬件的可靠性、软件的可靠性、网络的可靠性、数据资源的可靠性等所决定。可靠性是环境信息系统一项重要的性能,特别是一些实时处理的系统如实时监测系统、水环境检测系统、大气检测系统等,对可靠性的要求更高。审查系统的可靠性应审查系统有关控制措施,并对历史运行记录进行检查,对系统是否稳定运行进行综合评价。
2.2 环境信息系统的安全性审计
环境信息系统的安全性是对环境信息系统系统信息质量的审计。环境信息系统在辅助管理的同时,还要考虑收集和管理的环境有关信息的安全性。安全性既包括授权用户的合理访问,也包括对非授权用户的拒绝,防止信息的泄密。
环境信息系统的安全性是指环境信息系统的硬件、软件、网络和数据等资源是否得到妥善保护,不因自然和人为的因素而遭到破坏、更改或者泄露系统中的信息。环境信息系统的资源通常包括硬件、软件、网络、数据文件、系统文档、消耗型材料和其他设施。信息系统的安全性是通过建立相关的控制措施来加以保证的,所以审查环境信息系统的安全性就是审查对相关资源的控制措施是否健全有效,并提出相关的意见建议。
2.3 环境信息系统的经济性审计
环境信息系统的经济性是对环境信息系统效益的审计,包括环境信息系统的效率和效果两个方面。
环境信息系统的效率性是指用最少的系统资源的投入产生最多的用户所需要的信息。环境信息系统运行需要耗费各种资源,包括机时、计算机硬件、软件、人力等,在需要处理的数据量越来越大的情况下,这些资源都是稀缺资源,系统的质量、性价比、使用率等特征是反映信息系统效率的指标。对效率的审计可以通过系统的本身的效率和用户感知的效率进行评价。
环境信息系统的效果性是指系统能否实现既定目标、系统的各项业务的处理过程是否符合国家有关法律法规的要求。环境信息系统的效果性与环境信息系统的业务有关。要评价系统的有效性,需要对系统的业务有深入了解,并结合具体情况加以分析。
3 环境信息系统审计的内容
根据环境信息系统审计的目标,按照环境信息系统的生命周期,可以把环境信息系统审计分为:(1)环境信息系统项目管理;(2)环境信息系统运行管理;(3)环境信息系统绩效评价等三个主要方面。
3.1 环境信息系统项目管理
环境信息系统项目管理包括立项管理和项目建设两个方面。
项目立项方面的审计内容包括:(1)决策情况,如立项依据是否真实、准确,项目需求是否真实反映单位实际管理需求,是否存在与单位管理环境和管理目标相脱节问题;(2)技术可行性情况,如依据系统功能、软硬件性能、环境条件等是否能满足目标要求;(3)投资可能性情况,如资金筹措计划的安排是否合理,来源是否合法,是否能满足建设和运行维护需要等;(4)投资经济性情况,重点审计不同建设单位之间协作以及与市场的软硬件概算投资差异等情况。
项目建设方面的审计内容包括:(1)硬件配置情况,如相关合同及招投标手续是否合理,项目建设进度是否按计划进行,相关软硬件采购计划、采购过程是否规范,所购硬件是否符合硬件系统配置方案的要求;(2)系统软件开发情况,如系统获取和开发过程是否合规,系统的开发与设计方法是否合理,应用系统的各项功能是否符合有关要求;(3) 系统建设的财务收支状况,如建设内容所需资金和已用资金情况等;(4)数据准备情况,如审计建设单位内部信息是否规范,数据结构和编码方式是否统一,历史数据转换方式是否有效等;(5)运行规则制定情况,如系统工作模式、业务工作流程和操作规程是否明确,是否建立网络使用和管理等相关制度,以及在运行规则制定过程中,是否和系统开发人员有效配合,及时发现和解决系统开发中存在的问题等。
3.2 环境信息系统运行管理
项目运行管理方面的审计内容主要包括系统验收、投入使用、运行保障情况以及资料归档情况等四个方面。
系统验收方面的审计内容包括:(1)相关环境信息系统是否办理竣工验收手续;(2)软件开发者是否按照合同规定完成和交付软件产品;(3)软件产品有无经过验收评审和软件产品的测试,有无形成正式的验收评审和测试结果报告等内容。
系统投入使用情况的审计内容包括:(1)系统功能是否达到用户需求;(2)有无因软硬件的配合不协调、操作人员的业务水平低等原因导致系统作用不能完全发挥的情况存在。
系统运行保障情况的审计内容包括根据相关管理制度,审查组织机构、管理方式和环境等是否能满足系统运行管理的要求;管理制度是否健全有效,责任是否明确,是否存在制约系统作用发挥的不利因素。
建设资料归档情况的审计内容包括审查系统竣工后,系统需求分析说明书、系统设计方案、数据库结构设计说明书、布线工程竣工文档等各个阶段的基础性技术文档是否准确完整。
3.3 环境信息系统绩效评价
环境信息系统绩效评价的内容具体包括:(1)环境信息系统的安全性和可靠性、如审计项目网络架构是否安全、内部控制制度是否健全,有无存在软硬件可能被恶意破坏、数据可能被篡改、未经授权可能被违规操作,系统和数据无备份或未及时备份在遭受破坏时无法恢复等问题;(2)系 统 数 据 的 真 实 性 和 完 整性,如 审 计 系 统 数 据 是 否 达 到 相 关 行 业标准,各级数据是否一致,是否存在人为调整等问题;(3)系统数据的及时性和有效性,如审计系统的相关的自动报警机制是否及时、有效,出现报警情况后的应对措施是否畅通有效;系统数据在环境管理方面等方面是否提供有力的技术支撑;不同部门数据一致性以及数据共享的效果等。
4 小 结
国务院《关于加强审计工作的意见》(2014)中指出要加强对污染治理和环境保护情况的审计,并进一步指出要推动对各部门、单位计算机信息系统安全性、可靠性和经济性的审计。随着计算机信息系统从审计工具向审计内容的转变,环境信息系统审计将成为环境审计和信息系统的重要组成部分,对研究环境信息系统存在的风险,以及开展环境信息系统审计的目标和内容,对于审计实务的开展,具有理论价值和现实意义。
主要参考文献
[1] 陈耿。 网络环境下信息系统审计的职能与类型[J]. 南京审计学院学报,2012(1):45-50.
[2]朱琦,徐富春,尚屹。中国环境信息系统的现状和展望[J]. 环境保护,2004(3):47-50.
[3]路月仙,陈振楼,王军,等 .环境信息系统研究[J]. 环境科学与技术,2010(6):52-54.
[4]黄溶冰,赵谦。环境审计在太湖水污染治理中的实现机制与路径创新[J]. 中国软科学,2010(3):66-73.
[5]刘儒昞。 对我国企业环境信息审计的思考[J]. 合作经济与科技,2014(17):115-116.
[6]曾向阳,闫靓,陈克安,等。环境信息系统[M].北京:科学出版社,2012.
