我国政府部门信息系统审计问题研究,本文主要内容关键词为:信息系统论文,政府部门论文,我国论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。
一、信息系统审计及其国际发展
信息系统审计是一个通过收集和评价审计证据,对信息系统是否能够保护资产的安全、维护数据的完整、使被审计单位的目标得以有效实现、使组织的资源得到高效使用等方面做出判断的过程。通过信息系统审计的手段,能有效控制信息化项目潜在风险。
近年来,“信息化带动工业化、工业化促进信息化”的战略国策日益深入人心,信息化应用取得了世人瞩目的成就,同时信息化建设存在的问题和矛盾也日益凸显。例如,如何将信息化战略和业务战略相融合?如何从战略投资、企业管理变革的角度,降低信息化的风险?如何对信息化建设项目经济效益进行评价、鉴证和控制?如何保障信息化建设的巨额投资合理使用?对这些问题的探索与解决构成了我国信息化建设的瓶颈,也是摆在信息化建设的重要知识资本——信息系统审计面前需要迫切解决的问题。
目前在信息系统审计发展领先的国家有美国、日本、加拿大等,他们从制度、战略、规范和标准的高度,以“IT治理”为总框架,涵盖信息系统审计、信息安全管理、信息服务管理及IT项目管理,着重研究和解决信息化发展与企业发展在治理结构、企业战略、企业运营管理、风险与价值、成本与控制、审计与监管、服务标准和规范等方面的新问题。美国2002年通过的《萨班斯——奥克斯利法案》,要求增强业务流程和支持他们的信息系统内部控制水平。国际信息系统组织ISACA专门设立了信息系统审计准则和框架,为信息系统审计工作提供技术指导,每年全球信息系统审计人员正以40%~50%的速度激增。
二、我国信息系统审计发展现状
(一)我国信息系统审计工作开展情况
我国信息化建设起步于20世纪80年代,信息系统审计工作尚处于萌芽阶段,这是由我国的信息化建设起步晚、所占GDP比重小决定的。随着信息化建设投入的增加,信息系统规模日益增大,信息系统应用越来越广泛,政府机构、企业组织对信息技术和信息系统的依赖性在日益加强,信息系统的安全、管理、风险与控制日益突出。信息化已经逐渐成为一个高危领域,但我国目前还没有建立自己的信息化和信息系统审计的专业标准,这也在一定程度上限制了信息系统审计工作在我国的开展。
(二)发展我国信息系统审计工作的急迫性
第一,信息系统项目在政府/企业的投资比重越来越高,相关的监督标准不规范,信息系统审计工作已经到了迫在眉睫的地步。由于信息系统建设投入大、利润高的特点,这将是舞弊生存的温床,没有有力的审计监督,信息系统建设将无法得到保障。30年改革开放的机遇,成就了信息产业,国家信息产业从无到有,从低级到高性能,经历了日新月异的变化,这和国家对信息产业的投入是分不开的。目前信息产品的触角已经延伸到了千家万户,信息系统已经和我们每个人的生活密切联系在一起,信息系统在我们的身边扮演着不可或缺的角色,政府、企业对信息系统的投入比重也越来越高。同时,信息产业是一个相对比较新的产业,目前还处以高速发展期,但从整个行业来看,信息产业的审计监督工作还比较落后。各个厂家随意报价情况普遍,服务水平和内容也缺乏统一规定,信息系统的更新和维护不能得到有效保障。
信息系统建设的发展,要求相应的信息系统审计同步发展,从而评价、监督以保证信息系统的投入用到实处,将信息系统建设工程舞弊行为降到最低。
第二,信息系统已经成为了政府业务系统、办公系统主要支撑平台,没有审计监督,该支撑平台将会存在高危风险。从2000年国家准备实行政府办公无纸化开始,信息系统就已逐渐成为国电子政务支撑平台,信息系统建设的好坏将直接影响到政府有关部门的开展和实际工作成效,审计监督工作在电子政务系统建设过程中将扮演严格把关的角色。
工程审计监督是工程建设的有力保证,没有审计监督职能的存在,信息系统建设的风险将是无可估量的,一方面是信息系统工程建设失败的损失,另一方面是信息系统建设失败而导致业务无法正常开展的损失。
第三,信息系统项目的科技含量高、设备种类多、整体技术体系更新更快、建设风险大,信息系统审计是信息系统建设的必要补充。信息产业是当今社会发展最快的产业之一,信息产品从过去的单一发展到现在的多元化,从过去的单机技术发展到目前集群技术、云技术,而且技术的更新仍在快速的发展,过去新技术的更新需要几年的时间,目前一项新技术的出现,仅仅需要十八个月,甚至更短的时间。信息技术的科技含量高、更新快,对从业人员的技术水平要求也越来越高。因此,信息技术人员的职业生命相对其他行业来说,相对较短,很多曾经的专业人才在信息技术快速发展的今天,也会变得束手束脚,跟不上新技术发展的脚步,在信息系统建设过程中难免会有失误。从项目建设风险考虑,信息系统审计监督工作就更显得更加必要。
三、我国信息系统审计发展中的问题
我国信息系统审计工作经历了多年的挫折与探索,取得了一定的成就,但也发现了一些问题。
(一)信息系统审计工作重视程度不够
据资料显示,目前一些单位对信息系统审计工作理解不够,没有真正认识到信息系统审计工作的战略性和系统性,表现为:片面要求审计效率,审计时间短,审计质量不高;审计意见落实不利,缺乏有效的后续审计措施;审计工作集中于事后审计,不能从系统需求与应用战略的高度进行审计工作;审计工作滞后,“先上车,后补票”现象增加了审计难度和系统建设风险。例如,少数项目由于工期紧等原因,在项目预算或待签合同送审前,已委托外部公司开展部分或全部的实质性业务。这将无法保证项目经费支出的合理性、产品性能和工程质量的可靠性,且容易引起项目建设单位同外部公司之间的纠纷,大大增加了项目建设过程中的风险。
(二)信息系统审计证据获取难度大
获取充分、恰当的审开证据是发表审计意见的前提。信息化建设项目本身具专业性要求高、技术更新变化快、市场情况特殊复杂、项目规划针对性强等特征。各项目建设单位在自身需求的理解和把握上参差不齐,尤其那些缺乏专业技术人员且和市场严重脱节的单位,不能提供具有高标准、高质量的送审材料。送审资料不完整的情况较为普遍,例如硬件采购项目缺少具体参考品牌、型号;软件开发项目缺少技术难点说明;预算核算过程不明确、依据不充分、基本要素不全面。
(三)信息系统审计从业人员能力不高
我国目前没有专门的信息系统审计师认证,从事信息系统审计工作的部分人员就是单位内部审计人员。面对日新月异的新技术,审计人员存在知识储备不足,对新事物认识含糊,在工作中难以保持专业胜任能力和应有关注,面临屈从于建设单位判断的现实压力,审计的独立、客观、公正性不能得到很好执行。
由于信息系统具有投资大、隐蔽、不可见性等特征,同时产品规格复杂,技术参数多,为舞弊行为创造了温床,也对信息系统审计从业人员提出了更高的要求。例如,公开招标是保障政府采购行为公开、公平、公正的重要措施和法律要求,对于预防、监督舞弊具有积极作用,但在信息系统建设方面也具有一定的局限性,信息系统审计招标过程审计参与度低,不能有效发现系统问题。资料表明,一些单位在招标文件中设计的有关技术指标虽然可以满足三家公司来投标,但其中的一家最为合适,产品技术指标具有严重的偏向性;一些单位以不能满足功能需要,不能满足扩容为理由而左右项目招标采购活动;个别单位将用于升级的指定品牌产品(包括技术指标具有唯一性的产品)与可自由竞争的产品打包招标,并且同时要求投标人必须具有设备提供商的授权函,使得拥有指定品牌产品厂商授权的投标单位在投标过程中优势过大。上述这些行为导致招标投标活动无法实现预期的公平、公正和公开,影响了竞争的充分性,增加了舞弊的可能性,也增加了对信息系统审计人员的职业能力要求。
四、针对我国信息系统审计发展的建议
(一)深化对信息系统审计创造价值的系统性认识
通过培训和教育,使有关单位明确信息系统审计工作对于信息系统建设的成效至关重要。信息系统审计工作应随着系统的开展同时展开,应当落实好以事前审计、事中审计和事后审计为线索的全过程审计。针对信息系统建设后期若需更改投入巨大的特征,强化事前审计的预防作用。
信息系统建设从提出需求到交付使用一般分为五个阶段:需求任务提出阶段、政府采购阶段、签订合同阶段、项目实施阶段、验收评估阶段,这五个阶段都潜藏项目建设风险,都需要审计工作的有力开展,通过审计规避风险,创造价值。
第一,需求任务书阶段。项目需求任务书既是项目具体投资的依据,也是制作招标文件的基础和下达建设任务书的前提。审计在该阶段对需求任务进行充分调研,对重大问题提出建设性意见。
第二,政府采购阶段。按照国家规定,采用公开招标采购、邀请招标采购、竞争性谈判采购、单一来源采购、询价采购等五种方式。审计在采购形式上一般建议建设单位采用公开招标,充分达到市场竞争的效果,凡是能公开招标的部分,一律从整体项目中剥离出来。如某维护项目,虽然符合单一来源,但由于有大量硬件设备采购,且该类设备都是非常市场化的产品,如果打包统一采用单一来源的采购方式,将达不到竞争的目的,采购成本可能会成倍增加,舞弊行为也可能随之产生,审计通过风险分析,要求将硬件项目剥离出来进行公开招标。
第三,签订合同阶段。合同签订阶段是非常关键的阶段,审计一般会关注投标文件是否完全响应了招标要求,合同条款是否存在重大失误、付款比例是否合理合规、售后服务是否明确等。审计会根据各个项目的特殊性给出合理的建议,从而降低项目的风险。例如在硬件采购时,高端新产品的首付款比例会比较小,低端成熟产品的首付款的比例会相对较高。再如,审计根据投标文件和招标文件对照,发现投标文件的服务条款未完全响应招标文件的要求,审核组在待签合同审计时提出在合同签订条款中必须增加这部分的内容。
第四,项目实施阶段。项目责任单位要严格督促公司按照合同完成建设任务。审计监理可对项目实施情况进行监督检查,及时汇报项目建设情况。由于国家政策的变化、业务需求的调整或技术升级等原因,需对合同内容进行重大调整或变更的,审计会要求建设单位提供项目需求变更方面的说明来控制项目建设风险。
第五,验收评估阶段。项目竣工后,建设单位和使用单位必须依据合同要求,对项目进行验收,具有终验结果的报告才能做结算审计。审计会根据项目情况进行抽样现场调研,对验收结果进行评估。正式投入运行的项目,审计可组织进行技术性能、使用情况及社会经济效益方面的评估,并公布评估报告。
(二)强化信息系统审计人才建设
信息产业是一个日新月异的产业,技术的革新非常迅速,对前沿技术没有准确的了解,是无法适应目前信息化建设需要的。信息系统审计工作对审计人员的要求非常高,要跟上信息化建设的发展,具有信息系统建设方面的专业知识,为建设单位的信息化建设从整体思路上提供建设性建议。这需要建立相应的信息系统审计人员从业资格认证制度。通过教育、培训和考试保障信息系统审计人员具备并保持相应的职业胜任能力,以为建设单位提供前沿技术的审计和咨询服务。
(三)加紧制定我国信息系统审计专业技术标准体系,促进行业规范发展
审计工作需要有离不开既定的标准,为此国务院、工信部、财政部、审计总署等相关部门正着手研究我国信息化审计工作的相关法律法规。笔者认为,在制定专业技术标准时,应关注以下几点:第一,应结合信息系统国际发展现状和我国实际,鉴于我国政务信息化的大力推动,政府部门信息系统投入大、覆盖面广、影响大等因素,以政府部门信息系统审计工作为先导,从风险战略的角度,研究规范信息系统审计的执业标准。第二,应从信息系统的特征出发,确定信息系统审计的目标、研究有效的审计程序和获取信息系统审计证据的方法,以此作为制定我国信息系统审计专业技术标准体系的基础。第三,制定过程中,考虑项目流程管理因素。项目流程管理是工程项目顺利实施的保证,对项目流程进行有效管理,可以提高项目的实施效益,规范建设单位、承建单位、使用单位、监理单位的责权利,可以有效控制项目风险,找到项目责任人,强化审计监督、控制职能。