联网审计系统的四个要素 联网审计系统包括安全网络、应用系统、信任连接、审计策略四个要素。安全网络是指在审计机关与联网审计对象之间,建立起涉密分级、安全等级相对等,数据受到有效保护的网络连接通道,支持审计机关对审计数据的远程安全访问。应用系统包括具备定时、定项、只读功能的数据采集软件,支持分析和管理的数据库管理工具,具有自动过滤筛选功能、界面友好适应联网审计需求的计算机审计软件,有足够处理能力和数据安全保障的服务器、存储硬件设备等。信任连接包括两个方面,一是依法办事下权利义务关系,即被审计单位以联网的方式,按照审计法的规定,提供“运用电子计算机储存、处理的财政收支、财务收支电子数据和必要的电子计算机技术文档”并“对本单位提供的财务会计资料的真实性和完整性负责”;审计机关依法保守被审计单位的商业秘密,不将数据用于审计之外的用途。二是获取数据的技术能够保障双方应用系统的安全,审计机关不影响被审计单位信息系统的正常运行。审计策略是指审计机关基于联网条件下的审计组织方式、审计成果运用方式的设计,如果没有与前三个要素相适应的审计策略,联网审计无法发挥应有的作用。 近十多年来,审计机关按照国务院办公厅文件的要求,进行了联网审计的试点,“金审工程”二期中各地建设了联网审计项目,从实践的情况看,当前被审计单位与审计机关之间的安全网络基本不成问题,随着预算公开程度的加大,被审计单位的经营管理资料越来越趋于工作秘密和商业秘密的属性,而不再被夸大为“国家秘密”,网络应用的选择范围更加宽泛,无网可联的年代已经成为过去式;“金审工程”开发的联网审计软件,已经投入实际应用,其开放式框架已经为审计内容的扩展留有充分的余地,各地开发的联网审计软件也各有所长,应用系统能够有效地支撑联网审计工作,联网审计无软件可用的年代也成为过去式。审计署计算机技术中心曾经对联网审计的态势进行过分析,认为:“联网审计在联不在网,联网审计在审不在联。”前半句是说,相对于网络,连接更重要,是主要矛盾;后半句是说,相对于联网,审计更重要,是工作中心。至今在四个要素中,建立信任连接和制定审计策略即“连”和“审”仍然是下步开展联网审计的着力点。 建立信任连接需要把握的要点 能否与被审计单位建立起信任连接,是联网审计能否实时或者亚实时获取被审计单位数据资料的第一步。不少审计机关反映,被审计单位提出种种理由,拒绝联网。审计机关要有针对性地着力做好下述工作,实现与被审计单位信息系统的连接,扩大联网审计的覆盖面。 一是阐明权力责任关系。有的审计机关对提出联网审计的要求底气不足,有的被审计单位直接指责联网审计没有法律根据,这些都是对审计机关职权的误读。联网审计是信息化条件下的一种审计方式,是审计机关履行职责的一种手段。被审计单位提供资料是本质,以什么方式提供是形式。被审计单位提供资料的义务和审计机关获取资料的权力已经由审计法确立,而且明示包括“运用电子计算机储存、处理的财政收支、财务收支电子数据和必要的电子计算机技术文档”,被审计单位“不得拒绝、拖延、谎报”。国务院《关于加强审计工作的意见》中提出有关部门、金融机构和国有企事业单位要“协助审计机关开展联网审计”,是对审计法相关规定提出的贯彻性要求,不能理解为审计机关权力的扩大。在依法治国的大环境下,审计机关开展联网审计在法律关系层面不应当有任何阻力。 二是做好说服解释工作。被审计单位拒绝联网,有的是顾虑审计机关监控全部信息而失去操作“空间”,有的是顾虑信息安全,怕被不恰当使用。对前者,审计机关要明确指出政府信息公开的趋势,权力在阳光下运行的必然性;对后者,要宣传审计法对审计机关和审计人员的保密要求,明确告知若将数据用于审计工作之外的用途属于违法行为,欢迎被审计单位监督。还有的被审计单位找技术借口,如市级地税局称省级大集中之后,数据在地税局取不到;省地税局则继续向上推脱,称系统由国家税务总局开发,地方无能为力。其实,即使是在数据大集中的架构下,涉及本地的数据也会回传,有权在本地采集。审计机关要认真研究被审计单位系统结构,在说服解释时掌握技术话语权。 三是遴选适当的联网对象。联网审计通过加大审计监督的频率,加强了被审计单位的经常性监督。按照效益和效率原则,并不是所有的审计项目都适合以联网的方式进行审计,比如:某一次性专项资金的审计,一般情况下多年才轮审一次的非重点单位等。对于多数审计机关来说,联网审计的重点应当是教育、科技、农业等财政资金量较大而且有二次分配权的单位,社保、医保、住房公积金管理等一旦发生问题影响范围较大的单位,财政、发改等社会关注的热点单位。这些单位值得审计机关投入财力、精力重点突破,率先实行联网审计,对它们加强经常性的监督,领导支持,群众拥护,社会效果好。 四是技术透明确保安全。联网审计将审计机关和被审计单位双方的信息系统连在一起,联网审计的技术方案关乎双方的信息安全,了解技术保障措施、明确责任是双方的共同愿望。审计署印发的《联网审计系统规格说明书》已就信息安全提出了明确的技术要求,审计机关无论采用哪家厂商开发的软件,都必须符合审计署的规定。前一时期,个别地方由于双方对信息安全的忽视或者无知,有的在数据传输中未采用任何加密措施,造成“裸联”;有的在数据采集中未采用“只读”,授权过大给被审计单位信息系统运行带来风险。凡此种种,都必须采用更改配置、设计或者系统升级的办法加以解决。技术安全得不到保证,连接得不到信任,是被审计单位拒绝联网的最充分理由,无论如何不能授人以柄。