国家政务信息化绩效审计研究,本文主要内容关键词为:绩效论文,政务论文,国家论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。
自1999年1月,40多个部委的信息主管部门共同倡议发起“政府上网工程”以来,随着国家政务信息化工作的不断深入,国家各级政府机构都相应的建立了本系统或本部门的电子政务平台或对内对外信息化办公和服务系统。这些平台和系统的建立,不仅大大节约了行政办公成本,提高了行政办公效率,也极大地提高了政府工作的透明度,扩大了政府服务的人群,为人民群众参政议政提供了良好的平台和途径。本文拟从信息化项目的立项到使用、管理、维护等各个环节分析政务信息化的绩效,提出审计的重点和评价的指标,全面分析我国政务信息化的实际效果。
一、信息化项目立项绩效审计
信息化建设是一项长期的工程,建设项目的确立要建立在充分的项目可行性研究的基础上,并严格建设项目的审批手续和流程,确保项目能够达到其预定的目标。通过对信息化建设项目的可行性研究报告和建设项目立项审批过程的审计,分析信息化建设项目的合理性和合规性,确保政府资金的使用效益。
(一)项目可行性研究审计。可行性研究大体可分为三个大的方面:工艺技术、市场需求、财务经济状况。从现实情况来看,项目可行性研究应主要包括建设项目是否是工作需要的,建设技术和建设方案是否可行,是否满足工作及应用对象的需求,建设资金的筹集,经济与预期使用效果分析等方面所进行的科学分析和论证。项目可行性研究要经过几个主要的阶段:项目建设用途、服务人群及建设目标,资料的收集、备选方案的制定、方案的论证与评估、项目建设可行性研究的结论等,这也是审计分析和评价的重点内容。通过对信息系统项目可行性研究报告的分析,审查评价信息化建设项目的合理性,建设内容的适当性,建设方案的可行性,建设目标的符合性等方面,确定是否存在不合理建设项目的问题。
(二)项目立项审批审计。项目立项审批是政府对利用财政资金进行项目建设所实施的必要的事前管理监督手段,是所有建设项目必然要经历的过程,是对建设项目的建设目的、建设意义、建设内容、建设目标、建设执行方案、预算投资、经济和社会效益等方面的重新审定,是通过对项目可行性研究报告的分析,结合建设单位实际工作需求及建设项目的经济和社会效益作出是否批准立项以及确定财政投入资金的规模。审计部门通过对项目立项资料的审查,除了审查项目立项手续是否完备外,还要重点审查项目立项依据是否充分,硬件设备是否适当,软件产品或软件开发技术是否合理,投资预算项目是否合规、资金规模是否恰当,揭露违规立项、重复建设、形象工程、政绩工程、套取财政资金等方面的问题。
二、信息化项目建设规范绩效审计
如果说信息化建设项目建设目标的最终确定是在建设项目的立项审批阶段,那么,建设目标的实现则是在工程的实际建设阶段。影响实现预期建设目标的因素包括项目的招标、中标、建设合同的签订以及建设工程的具体实施过程。
(一)项目招投标过程审计。一是审计项目招标单位招标文件中有关项目建设描述是否准确无误,投标企业资质是否恰当、硬件产品参数是否完备、软件产品或软件开发技术是否合理、除政府另有规定外是否存在排他性指标等;二是审查投标文件是否符合规定,投标企业资质是否符合,投标产品或内容是否符合招标文件的要求等;三是审查招投标程序和方式是否合法,招标专家组的选择是否合规。通过审查以上方面,可以揭露是否存在违规招投标现象,是否存在人为内定投标单位等问题。
(二)中标文档审计。中标文档审计主要是审查投标单位的投标文书是否符合招投标的要求,投标产品是否满足招标文件的要求,施工技术方案是否合理,售后服务是否列示清晰,对专家或用户有质疑的是否解释清楚并作出相应的承诺等。通过对中标文件的审查,审查是否存在降低招标要求,是否存在描述不清的细节等问题。
(三)项目建设合同审计。项目建设合同是根据招投标的结果由招标单位与中标单位签订的项目实施和产品供给的法定文书,是确定双方权利和义务的重要依据文件。对项目建设和合同的审计主要是审查合同签订双方是否是法定的合同签订人,合同内容是否符合招投标的结果,各项技术参数和产品是否准确并符合中标文件的规定,合同细节是否清晰,合同签订双方的权利和义务是否明确,违约责任及处理方式是否符合法定方式并可以实现,是否存在补充合同条款及补充合同是否符合政策规定等内容。通过对项目建设合同的审查,审查是否存在合同签订内容与招投标内容不一致,增加或调整建设内容,违规追加建设项目投资,人为降低建设标准,建设合同明显存在责任与权力不对等或刻意模糊责任与权力等问题。
(四)项目验收审计。项目验收审计主要是审查合同签订双方是否按照合同规定的时限和内容进行施工,施工技术及提供产品是否符合合同要求并满足用户的需求,是否按照相关规定聘请有资质的第三方监理机构,监理机构是否尽职尽责,工程完工验收是否进行过充分的必要的测试,验收过程和人员是否符合规定并具备相应的能力和资格等。通过项目验收审计,判断项目建设的实际效果,审查项目是否按要求完全实施完毕,并达到设计要求;验收方式是否符合相关规定,参加验收人员是否具备相应的能力或资质,是否存在走过程验收的行为;验收过程中双方存在异议的内容是否影响合同的执行,同时,在不影响项目质量和效果的前提下,验收文件中是否存在对双方存在异议的内容的详细描述并做出相应处理的措施和时限。
三、信息化项目使用效果绩效审计
任何信息化建设项目的最终目标都是为了更好地服务于工作,满足单位内部的日常办公需要,节约行政成本,提高行政效率,更好地服务于广大民群众。项目建设的实际效果要通过项目的实际应用来体现,因此,评价一个信息化建设项目的成败的关键不仅在于其建设内容和技术是否达到设计的要求,更重要的是其使用的效果是否达到了预期的目标,能够有效地促进廉洁政府、阳光政务,切实提高政府的工作效率和服务质量。
(一)项目使用效果调查。一般情况下,根据信息化建设项目的应用和服务对象,信息化建设项目可分为两类。一类是服务于政府机关的内部办公系统,这包括本单位内部办公系统和本系统内部办公系统,以及本单位或本系统与其他政府机关之间的正常办公往来。另一类是服务于社会大众的信息发布、业务指导及网上办事等。调查信息化应用项目的实际应用效果的方法可以利用以下两种方式:1.问卷调查。问卷调查法是快速获取相关信息的一种便捷的方式,它通过被调查者对调查者设计一系列问题的回答来收集调查者感兴趣的内容,调查者对收集到的信息按照一定的科学方法进行整理、汇总和分析,从而推断出相应的结论,为理论研究和工作设计提供一定的数据支持。影响调查问卷质量的因素很多,调查问卷设计质量的高低是决定问卷调查效果的关键因素,问卷调查的内容是否吸引被调查者,问题是否描述清晰、容易理解并让被调查者作出恰当的回答等。通过对调查问卷的分析,重点分析信息化建设项目的实际使用效果,项目建设内容与工作实际需要之间的差异,项目建设系统的实际操作人性化程度等方面。审查是否存在建成的在实际工作中用不到而实际工作中使用的却没有建设的问题;建成项目的实际使用方式繁杂,导致工作效率低下的问题;建成系统因为种种原因使用率低,甚至没有投入使用的问题等。2.面谈法。面谈法是指审计人员与被审计单位的有关人员进行面对面的交谈,以了解有关情况、收集审计证据的一种方法。面谈法是审计工作中经常用到的一种重要的审查方法,在审计的各个阶段都可以运用,目的是为审计人员收集相关充分的审计证据,为最终作出审计结论服务。同时,面谈也可以促进审计双方进行信息交流与沟通,是对审计人员列示问题达成一定程度共识的主要手段,是审计工作的一项重要工作步骤。使用面谈法时,要根据审计人员需要了解的内容,充分做好谈话前的准备工作,做到有的放矢。包括:根据谈话的目的设计好谈话的纲要;预先了解谈话涉及的系统或功能,确定谈话的重点;根据谈话的内容审计人员要了解涉及领域相关的足够的知识;根据谈话涉及的问题选择好合适的约谈人员;谈话过程中要做好书面记录,必要时请被谈话人员签字确认等。
(二)项目使用效果测试。项目使用效果测试是指由审计人员会同被审计单位相关人员通过现场查看或测试数据法、平行模拟法等信息系统审计的方法和手段对被审计单位的信息系统进行测试,以分析判断其信息系统的实际使用状况和应用效果。对项目使用效果的测试可以分为两个步骤进行:1.查看信息系统使用情况。在这一步骤中,审计人员要通过前期对被审计单位信息系统主要功能的了解,确定好要审查的主要环节,与被审计单位人员一起查看被审计单位信息系统的操作流程、文档记录等内容,然后根据被审计单位对信息系统的相关文件的规定,初步分析和评价被审计单位信息系统的使用效果。2.实地检测。实地检测是进行信息化工程项目效果评价的必要手段,没有实地检测不能完全保证了解信息的准确性。实地检测是指审计人员会同被审计单位相关人员选取被审计信息系统的重点环节进行实际测试,审查其是否达到了实际工作的需要。通过以上两个环节的审查后,结合座谈结果,审计人员对被审计单位的信息系统的实际使用效果就有了全面细致的了解,可以对被审计单位信息系统的使用效果作出最终的审计评价意见。
四、信息化项目管理维护绩效审计
建设信息化项目的目标是为了更好地为工作服务,而信息化项目的管理维护则是保证信息系统正常运转的必要手段,因此,有必要对被审计单位对信息系统的管理维护情况进行审查。
(一)项目管理维护制度文档审计。制度是要求大家共同遵守的办事规程或行动准则,是判断行为正确与否的基本标准,是评价工作效果优劣的准绳,也体现了本单位对系统的重视程度。没有制度规范和约束的行为是无序的和盲目的,建立一套切实可行的项目管理维护制度规范对于实现既定的工作目标显得尤为重要。对项目管理维护文档的审查,主要是审查是否被审计单位是否对应相应的信息系统建立了管理和维护的规定;规定中是否明确了管理和维护人员的相应权利与职责及相应的奖惩机制,是否明确了管理维护的内容及时间限制;规定中确定的管理和维护人员是否具备相应的技术能力;是否有对管理和维护过程进行记录的内容及报告制度等。通过审查相应的管理维护制度文档,可以摸清被审计单位对信息系统管理的基本情况,确定被审计单位信息系统管理和维护的薄弱环节,有助于审计人员初步判断审查的重点。
(二)项目管理维护过程记录文档审计。制度是约束,执行是关键。制定再完善的制度如果执行力不够也不能达到预期的目标。对项目管理维护过程记录的审查,主要是确认制度的落实情况,同时也能够判断被审计单位信息系统的实际运行情况。
(三)项目管理维护实际情况调查。经过对项目管理维护文档和管理维护过程记录的审查我们已经对被审计单位信息系统的管理维护情况有了比较深入的了解,我们还要通过实地查看管理维护的实际内容来验证以上内容是否真实、准确。这包括查看被审计单位的机房、信息系统日志、管理维护软件日志等标记管理维护内容的相关电子信息。
五、信息化项目安全性绩效审计
信息系统安全在各个国家已经被作为一个重要的问题来对待。我国在1994年颁布施行《中华人民共和国计算机信息系统安全保护条例》,这使我国的计算机信息系统安全保护工作纳入法制的轨道,其意义是重大而深远的。信息系统安全应该包含以下内容:一是系统设备和相关设施运行正常;二是网络软件、应用软件和相关的软件运行正常;三是系统拥有的或产生的数据信息完整、有效;四是系统资源和信息资源的使用是合法的,信息系统的正常运行不会侵害其他单位或个人的正当权益。对信息系统安全性的审查可以从以下两方面进行。
(一)项目安全性制度文档审计。与信息系统安全有关的文档有以下几部分:重要信息系统风险评估报告,信息系统安全等级保护备案文档,信息系统安全应急预案,信息系统安全管理的相关规定等。1.信息系统风险评估是一项系统性工程,它通过对当前保护措施下信息系统的薄弱点受到安全攻击而造成的损失,及其可能导致的一系列后果的分析和判断,可以帮助我们提高信息系统的安全防护等级。审查被审计单位重点信息系统是否进行了信息系统风险评估,信息系统风险评估报告出具单位及参与评估人员是否具备相应的信息系统风险评估资质,信息系统风险评估程序及评估内容是否准确,被审计单位对风险评估报告中的薄弱环节是否进行了必要的整改等。2.信息系统安全等级保护是我国对信息系统安全进行审核的一项制度,它可以帮助我们合理确定信息系统的安全等级,确保信息系统信息资料的合法性和信息系统的安全运行。审查被审计单位是否有信息系统安全等级保护报告,是否有国家相关部门颁发的信息系统安全等级保护备案证明,信息系统安全等级保护等级是否与现实情况相一致,有无人为降低保护等级的现象等。3.信息系统安全应急预案是在信息系统受到攻击后,如何保护系统信息资料不泄露并快速恢复系统运行的制度,是关键信息系统不可缺少的内容。审查被审计单位是否根据信息系统的数量、特点和等级制定了相应的信息系统安全应急预案,是否具备安全应急报告制度,安全应急预案措施及工作流程是否具备可操作性,安全应急处置机构和人员是否明确,是否进行过相应的安全应急培训及演练,是否对重要的数据进行容灾备份等。4.信息系统安全管理的相关规定是指涉及安全设备采购和使用的相关规定、信息安全经费保障的相关文件、对信息系统管理维护人员和使用人员制定的相关安全控制措施和要求,如XXX互联网站管理办法、XXX系统用户管理办法等。对信息系统安全管理的相关规定文档的审查,主要是安全设备采购及使用是否合规,信息安全经费是否有保障,对相应系统的不同用户是否规定设置了相应的使用权限,是否规定了用户密码的设置规则,是否要求用户不定时修改密码等。
(二)项目安全性测试审计。项目的安全性测试主要分为两部分:1.实地查看被审计单位机房防火、防水、防雷电等基础设施是否完备,信息系统是否根据安全等级部署了防火墙、入侵检测、漏洞扫描、防病毒软件、抗拒绝服务攻击、网页防篡改、安全审计等必备的硬件和软件安全防护设备和产品,安全防护产品运行是否正常,维护是否及时。2.检查对信息系统的不同用户是否设置了相应的访问和审批权限并得到了有效的执行,检查有无一人控制多个账号的问题,用户密码设置过于简单的问题。在有条件的情况下,审计人员可以要求被审计单位相关人员根据相关文件的规定走一遍业务流程,或要求被审计单位建立测试人员账号由审计人员模拟一遍业务流程,以确定其业务流程控制的实际效果。
标签:项目分析论文; 项目目标论文; 安全审计论文; 审计软件论文; 合同管理论文; 信息化管理论文; 审计质量论文; 流程管理论文; 企业信息化建设论文; 相关性分析论文; 审计准则论文; 管理审计论文; 审计流程论文; 审计目标论文; 信息安全论文; 工作管理论文; 合同管理办法论文;