电子政务信息系统审计的基本特征研究,本文主要内容关键词为:信息系统论文,电子政务论文,基本特征论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。
信息系统审计、信息系统风险管理、信息技术治理以及信息系统安全有很强的关联关系,如图1所示:
图1 信息系统审计及其相关概念关系图
一、电子政务信息系统审计的总体目标
电子政务信息系统审计是以信息系统相关概念、理论和方法为基础的,是信息系统审计在电子政务领域的具体应用。
(一)背景:信息系统审计与电子政务的结合
1.信息系统对电子政务的潜在风险
无论从数量上还是从意义上看,电子政务信息系统建设都将是近几年各级政府工作的重中之重。众所周知,作为一项庞大复杂和长期的系统工程,电子政务在建设和运营维护等阶段均会面临巨大的风险。根据国外的经验,电子政务项目的成功率仅在40%左右。高额的投入往往得不到预期的回报,甚至反而变成“资金黑洞”。可见,是否能够对这些风险进行有效的控制,将直接决定电子政务的成败。就我国的情况而言,电子政务建设中的风险问题尤为突出。主要表现在以下六个方面:
(1)信息系统设计目标与政务活动不能吻合的风险。政务活动流程重组失败,导致电子政务信息系统无法有效实施。
(2)软硬件获取计划不合理,导致大量无谓支出的风险。不少未经过投资风险评估便匆匆上马,导致极大的社会资源浪费,对信息系统投资的信心造成了极其恶劣的影响。
(3)错误评价各竞标单位资质的风险。
(4)开发进度与成本失控的风险。
(5)技术风险。在开展电子政务活动时,电子政务信息系统自身的结构、功能复杂度越来越高,使得信息系统本身由于复杂度增大导致的系统脆弱性隐患变得越发严重。
(6)管理结构与政府公务人员素质无法适应新系统的风险。
以上每一条风险都会给电子政务信息系统建设项目带来巨大的影响,甚至导致最终失败。
我国电子政务信息系统风险产生的原因主要有以下两点:
其一,电子政务的推动者和实际建设者相分离。与其他大多数国家不同,我国的电子政务建设是自上而下进行的。电子政务建设的推动者是中央政府,而大部分的建设和运营工作则落在基层各级政府肩上。由于各级基层政府对电子政务建设认识不一,由此导致电子政务建设的定位、投资、实施、运营和维护等各个阶段均缺乏科学的指导和规划,这必将给建设一个全国范围的系统有效的电子政务体系带来巨大的风险。
其二,相对快速的发展和相对滞后的管理控制体制。经过近几年的建设,我国已经完成了电子政务第一阶段的建设,所有市县基本上建立了自己的政府网站。国家计划在今后几年内将持续投入大量资金继续进行电子政务建设。但是,与这种高速、集中的投资相对应的是,各级政府的电子政务建设和运营大多数是“各自为战”,电子政务建设没有一个规范的风险管理机制。随着电子政务建设的深入,尤其是进入运营、维护和扩充阶段后,这种混乱的局面将造成巨大的损失和浪费。
中国电子政务建设的市场规模大约在1800-2000亿元之间,如此巨大的投资,一旦由于缺乏绩效审计。缺乏对权利的有效制约,将不可避免地出现投资盲目、轻率决策等问题,因此,在电子政务信息系统风险客观存在的情况下,进行风险审计和控制就显得尤为重要。
2.信息系统审计与电子政务的结合
针对上述风险,是否存在完善的系统风险治理与审计活动将直接决定电子政务信息系统建设项目的成败。因此我们需要引入一种新的管理机制来对电子政务信息系统的安全性、投资效果、实施进程和实施效果等进行评估、指导和改进。这种机制就是电子政务信息系统审计。从目前的情况看,我国绝大多数电子政务信息系统的建设尚缺乏完善的风险治理与审计活动,而只是通过组织专家鉴定会等形式对系统的某些方面进行评价和建议。这种模式对于单个信息系统建设项目尚能适用,但是对于电子政务建设中大量信息系统同时上马的情况却无法应对。因此,建立一个完善、统一的电子政务信息系统建设风险治理与审计体制和一套科学、系统的审计办法,从而在全局上控制所有电子政务信息系统建设和改造项目的建设风险,对于保证电子政务信息系统的顺利运行将具有至关重要的意义。
建立电子政务信息系统审计制度,发展电子政务信息系统审计是政府信息化过程中必不可少的制度保证和手段。作为一种已经得到实践证明的信息系统风险控制办法,信息系统审计具有全面性、综合性、实用性和可操作性的特点,将完全可以满足电子政务管理和控制的要求。当然,在具体应用的过程中,需要将信息系统审计的理论和方法与我国政府的实际情况,尤其是我国电子政务标准相结合,从而制订出一套适合我国电子政务体系的、能够直接应用于实践中的电子政务信息系统审计框架和操作指南。
3.电子政务信息系统审计现状综述
政府信息系统审计的研究和应用在国外起步很早。美国、日本等国家在20世纪70-80年代就建立了信息系统审计体系,其中就包括了与政府部门信息系统相关的内容。
美国是世界上最早开展信息系统审计的国家。从电子政务角度看,美国政府的大部分信息系统在立项、招标、建设和运行中,往往聘请民间的信息系统审计公司进行审计和评价,并将其报告作为重要的参考和依据提交给议会,以便议会对相关部门进行考核和制订下一步的投资计划。但是专门论述电子政务信息系统审计的著作目前还比较少见。
日本政府于20世纪70年代中期先后派员到美国考察,并在回国后制定了大量的信息系统审计标准和指南等文件。1984年,日本通产省发表了《IT审计标准》,并设定了专门的机构对日本政府信息系统以及政府投资的信息系统项目进行全过程的审计,以保证这些系统的顺利建设和运行。
国际组织对电子政务信息系统项目的审计是由INTOSAI的IT审计执行委员会于2002年11月在其第11次会议上发起的。SAI的一些成员,比如英国、瑞典、美国、加拿大和俄罗斯等,都纷纷开展了相关的研究。目前,SAI的一个工作组专门从事电子政务项目审计方面的研究和基础框架制定工作。
电子政务信息系统的风险和控制问题也引起了我国实务界的高度关注。相对于地方审计机构而言,我国审计总署开展了更多的电子政务项目审计工作。审计总署以我国的电子政务门户网站为基础,对一些重要单位进行了在线审计。审计署对电子政务项目进行绩效审计的目的,在于防止错误的管理和决策导致重大的浪费和国家资产的损失。审计署对电子政务项目的审计通常与预算实施的审计相结合。比如,对金关工程、金税工程的审计等。其对电子政务投资进行评价的主要目的在于判断:该投资是否能改进政府的监管能力;电子政务项目的设计能够是否合理;电子政务项目是否真正发挥了其功能。除了审计部门实际开展的工作外,很多学者也针对电子政务信息系统审计中的问题进行了深入的探讨。但从目前的情况看,这些研究大多存在以下问题:
其一,研究对象过于具体化,缺乏全面性和系统性。电子政务是一个复杂的信息系统工程,其风险问题包括系统的可用性、效率性、安全性、完整性、复合性等多个方面,涵盖规划、实施、运营、维护等所有阶段。而目前的研究大多局限于具体的某几个问题或阶段,很少提出针对整个电子政务体系提出整体性的风险控制办法。这对改变我国电子政务在管理控制方面的混乱状态十分不利。
其二,技术与管理相脱节。电子政务的风险和控制是一个融合了IT技术、管理控制理论和公共管理理论等多种学科的领域。而现有的研究大多数只能局限在其中的一个层面上,很难将技术与管理结合起来,因此提出的方案往往缺乏实际的可操作性。
其三,注重标准问题,缺少对具体执行方法的研究。要解决电子政务建设和运营中的风险控制问题,首先需要制订一套科学、完善的控制标准,然后需要一套与其相匹配的具体执行办法加以落实。对于前者,我国理论界和实务界都已经进行了广泛深入的研究,并获得了显著的成果。在这些研究的基础上,我国电子政务指导委员会提出了六项试行标准,作为电子政务建设的指导。但是对于这些标准的具体执行方法,目前尚少有人进行探讨。如果不能及时为这些标准找到具有可操作性的实施方案,那么在接下来的电子政务建设高峰期内,这些标准很可能只会流于形式,无法起到实际作用。
(二)电子政务信息系统审计的总体目标
电子政务信息系统审计以政府组织的信息系统为审计对象,通过现代审计理论和IT管理理论,从信息资源的安全性、数据的完整性以及系统的有效性和效率性等方面出发,对其是否能够有效可靠地达到组织的战略目标进行全面监测和评估,并为改善和健全组织对电子政务信息系统的控制提出详细建议。
因此,电子政务信息系统审计的总体目标,就是对支持电子政务运作的信息系统的有效性进行评价并得出结论,是对电子政务信息系统开发、运行及维护等有关各项内容进行检查、评价并提交报告。具体而言,电子政务信息系统审计的目标有以下几点:
1.转变政府职能
电子政务信息系统建设的核心目的,是借助信息技术转变政府职能,树立以“公共服务为核心,以顾客需求为主导”的新理念。电子政务信息系统审计有利于政府部门加强其内部控制,标准化管理、增加政府的透明度、减少欺诈和腐败,转变政府职能,配合公共管理体制改革的进行。
2.保证电子政务信息系统审计准则的实施
审计准则的实施和执行是国际审计界面临的最大难题之一。信息系统审计准则目前在国际上已经有比较成熟的规定,但是在电子政务领域的遵守和实施却不容乐观。其原因在于,信息系统审计准则是一个通用性的原则,对于电子政务的特点涉及不多,在重要性、职业谨慎、审计风险评估等方面缺乏可操作性。因此,在具体操作中,理论和实践的结合尚有空隙,难免出现理论成果与实际工作相脱节的情况。此外,信息系统审计准则的要求与我国电子政务发展的自身完善程度不相符合,审计执法环境与现行审计管理体制也不相适应。
因此,信息系统审计准则在电子政务领域的执行需要有所变通。电子政务信息系统审计需要贯彻审计准则的基本精神,要执行信息系统审计准则中原则性、程序性的规定。在这个前提下,应根据电子政务信息系统审计业务的特点和需求,在具体操作中做些变通处理,以增强电子政务信息系统审计准则的可操作性。
3.确定电子政务信息系统的安全与应急对策
由于我国目前的电子政务系统只是在一般Web站点的基础上增加了简单的信息和公告,这种比较初级的电子政务系统因为还没有与内部网连接,也就没有涉及太多安全问题。然而,随着信息化进程的深入,它们即将被真正意义上的电子政务系统取代:即Web站点与政府的后端数据库系统相连接。这种充分集成的完整的电子政务系统将内部网与互联网连接,使政府的政务活动的正常运转面临严峻考验。因此,确定信息系统的安全与应急对策就成了电子政务系统的重要问题。
4.满足用户的需求
电子政务信息系统的目的在于为其用户(企业、个人以及其他机构)提供一个良好的服务。在电子政务早期阶段,各个政府部门的网站都是“以政府为中心”,按照政府的组织结构和业务过程来设计的。实践表明,这并不能提高政府的服务水平。目前,在电子政务的发展过程中,许多政府组织在管理方式上正大量引人市场机制,推行公共管理社会化和公共服务市场化,并把“客户关系管理”理念引入政府管理中来。从世界各国开展电子政务建设的经验和发展趋势来看,信息时代建立“以客户为中心”的电子政务信息系统来提供“一站式”服务的政府管理模式,已经成为世界各国政府的共识。所以,用户需求的满足程度是考察电子政务信息系统是否成功的一个重要指标。
5.有效利用计算机资源
电子政务信息系统一般由核心政务系统与业务系统两个部分组成。前者主要是为政府进行科学决策、应急指挥、实施对政府内部的管理提供服务,后者则主要是承担各种管理服务职责的部门、机构,面向社会、企业和公众提供“一站式”在线服务。按照国家的政策,核心政务系统由政府统一建设,而业务系统则由各业务部门自行建设。这中间的问题是,由于各个部门之间所承担的具体管理与服务的业务相差较大,很容易形成信息孤岛,或者重复建设。比如,在CA的认证方面,如果各个部门都强调自己的业务,各建一套,不愿意联合建设,就会形成各自为战的混乱局面。因此,对电子政务信息系统进行审计,避免出现计算机资源浪费的现象十分必要。
二、电子政务信息系统审计的分析框架
电子政务信息系统审计的分析框架包括以下四个方面:
1.电子政务活动
电子政务信息系统必须与政务活动相结合,以保证电子政务活动的效率性、经济性和有效性。就信息系统的角度而言,这一活动主要涉及到:数据的输入、处理和输出;维护安全性;保护数据完整。
2.信息系统开发
由于信息系统需要不断升级这一属性,对电子政务信息系统开发中风险的控制也十分重要。当应用一个新的信息系统或者在对原有的信息系统进行升级的时候,就会涉及到这方面的问题。
3.电子政务服务的传递
目的在于保证政府能够利用网络提供高质量的政务服务。由于互联网的广泛应用,用户可以通过多种手段接入政府网站使用电子政务服务。所以,对电子政务服务传递的控制是十分重要的。
4.日常运行
用户可能会在一天24小时之内随时访问政府网站,使用其中的政府资源(比如政府资源库、查询工作机会等等),所以需要保证电子政务信息系统每天的正常运行。
具体的审计范围见表1。
三、电子政务信息系统审计的特点
1.关联性
电子政务信息系统审计并非一个完全独立和分离的审计原则,它必须与其他审计活动相配合,同时也必须遵循其他政府审计工作的标准和要求。
2.独立性
表1 电子政务信息系统审计范围表
审计范围 具体的审计活动
信息系统战略;在建系统(部分);系统
应用;系统安装(部分);系统软件;银
电子政务活动行自动清算系统;电子资金传递;信息
系统网络;EDI
信息系统开发系统开发;在建系统(部分)
电子政务服务系统安装(部分);合同外包;设施管
的传递 理;办公自动化;个人计算机系统;意外
事故计划
日常运行系统安装(部分);数据管理;安全管理
不论采取何种组织结构来对电子政务信息系统进行审计,都必须保证电子政务信息系统审计的独立性。独立性是审计工作的灵魂。坚持电子政务信息系统审计的独立性,可以保证审计师为公众的利益,而不是为政府部门的利益而工作。这是保证电子政务审计有效进行的基本原则。
3.综合性
电子政务信息系统审计是以电子政务信息系统的整体为对象的。随着网络的普及,与电子政务信息系统有关的业务范围也越来越广泛。电子政务信息系统审计不仅仅是对硬件与软件的审计,而是针对整体的信息系统进行的,因此必须采用综合的方法对信息系统进行检查与评价。
4.风险范围较大
一般而言,一个信息系统可能面临三个层次的威胁:(1)国家性质的威胁:敌对外国政府、恐怖主义组织;(2)有组织的威胁:机构黑客、工业间谍;(3)局部的威胁:黑客、不满的雇员。电子政务信息系统面对的是所有这三个层次的威胁。
电子政务所涵盖的信息系统是政府机构用于执行政府职能的信息系统。政府机构从事的行业性质跟国家紧密联系,电子政务系统平台上有相当多的政府公文在流转,所涉及的众多信息都带有保密性,其中不乏重要情报,有的甚至涉及国家安全。所以电子政务信息系统审计的风险范围较之一般的企业风险而言显得更加重要。
5.需要特殊的审计技能和知识
电子政务的形式很多,有G2G、G2B以及G2C。所以,电子政务已经不仅仅是一个电子办公自动化的问题了,而是发展到联合政府的理念(joined-up government)和电子化服务的应用。因此,尽管应用于企业或者政府的IT技术本身没有太大的区别,但是,由于各国政府体制的不同和一国内各地区政府信用程度的差异,信息系统审计的基本方法和理论在电子政务信息系统审计中存在着很多变数。比如,由于各国各地区的电子政务发展阶段不同,由于公众对电子政务服务信心的不同,当涉及到网上支付和电子签名的时候,审计结果将会有很大的变化。
具体而言,在电子政务信息系统审计中需要考虑下述特定问题:
(1)电子政务信息系统的前端。电子政务信息系统前端面对的是其客户(公众)。所以,建设电子政务项目时,非常有必要确定该系统是否确实满足了终端客户(公众)的需要。日本在对电子政务进行审计时,就采用了一些新的方法,比如顾客满意度调查等。这就需要审计人员具备一些相关的专业知识,比如设计调查问卷,分析统计数据等。
(2)越来越多的发展中国家采用企业与政府共同建设电子政务项目的方式。这也对电子政务信息审计提出了挑战。比如,随着越来越多的公众通过电子政务的网站进行在线支付。那么如何保证其私人信息的安全呢?因为企业在替政府进行电子政务信息系统部分项目运行和管理的时候,会牵涉到许多公众的个人数据。
(3)电子政务服务的收费问题也需要考虑。电子政务信息系统审计人员通常会面临两难境地:是由政府来承担建设成本呢,还是通过对服务定价来收回成本。如果定价,多少合适?
(4)很多企业信息系统评价中的方法不适用于电子政务信息系统。比如,电子政务信息系统审计人员无法根据每项服务的使用率来判断电子政务的好坏。打个比方,如果失业率很低,那么,失业金支付服务的使用率就会很低。
所以,尽管信息系统审计的标准和手册已经发展很多年了,但是在电子政务领域仍未得到很好的应用。人们不能就电子政务信息系统审计的方法、审计技术和信息技术评价指数达成共识。因此,需要对电子政务信息系统审计作进一步的研究。
标签:电子政务论文; 审计准则论文; 审计计划论文; 审计软件论文; 政府审计论文; 项目风险论文; 政府服务论文; 审计流程论文; 审计目标论文; 控制活动论文; 信息系统规划论文; 审计职业论文;