我国电子政务审计研究,本文主要内容关键词为:电子政务论文,我国论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。
2006年,国家信息化领导小组正式颁布的《2006~2020国家信息化发展战略》指出要“加强电子政务建设资金投入的审计和监督”。2011年,《审计署“十二五”工作发展规划》明确要求积极开展对国家信息化政策执行、规划实施和工程建设的审计监督。2012年,《审计署关于进一步推进审计信息化建设的指导意见》详细提出,要建立电子政务绩效审计内容体系,揭示电子政务建设的信息不安全、系统不可靠、信息不共享、投资不经济等问题和风险。电子政务审计是信息化环境下深化我国财政审计,促进国家电子政务健康发展的需要,是国家审计在完善国家治理中发挥更大作用的需要,也是目前审计机关急需攻坚的紧迫任务之一。
一、国内外文献综述
电子政务审计是以电子政务项目、信息系统资产和相关管理活动为对象的信息系统审计。目前国内外学者们围绕电子政务审计的作用、概念和内容开展了不少研讨与论证。如Reinhard(2006)、Muniaín(2005)、胡克瑾(2006)和张鹏等(2007)阐述了电子政务审计的概念,并指出开展电子政务审计的重要性;欧洲最高审计组织(EUROSAI,2006)指出电子政务的规划、开发、实施和运行都存在风险,需要从财务审计、系统审计和绩效审计三个方面开展电子政务审计;郑伟(2007)和史达等(2005)探讨了财务合规、项目管理和效益等电子政务审计内容。
实务方面,美国审计署自2002年《电子政务法案》颁布后,每年都开展2~3个电子政务审计项目,2012年还对该法案的全面执行落实情况进行了审查。日本政府发布了《系统审计标准》,强调对政府投资信息系统项目进行全过程审计。英国审计署也发布信息系统审计控制和应用控制评审手册,较为关注政府IT项目的绩效审计。澳大利亚审计署也多次对政府信息技术安全控制进行全面审计。世界最高审计组织(INTO-SAI)在2004年连续两年召开工作会议,讨论如何对电子政务开展效益审计。我国审计署在2012年发布了《信息系统审计指南——计算机审计实务公告第34号》,首次对我国审计机关如何开展信息系统审计作出了规范。李青春(2007)、李庭燎(2010)等根据项目经验提出若干电子政务审计策略与方法。
总体来看,电子政务审计已得到各国审计机关的高度重视,国外审计机关的经验相对丰富,国内电子政务尚处于初期发展阶段,政治经济、法律法规环境与国外有较大差异,我国尚未开展深入规范的电子政务审计实践,各界人士对电子政务审计概念内涵理解不一,需要进一步从理论上进行提炼总结。如何辩证地借鉴国外经验,系统地构建电子政务审计基础理论和内容框架,是信息化环境下国家审计理论研究的新问题。
二、电子政务审计概念内涵
电子政务是指公共管理部门应用现代信息技术、通信技术和传播技术等,将管理和服务进行集成,在互联网上实现政府组织结构和工作流程的优化重组,超越时间、超越空间与部门分隔的限制,全方位地向社会提供优质、规范、透明的管理和服务(汪玉凯,2002)。《2006~2020年国家信息化发展战略》指出我国推行电子政务应着眼四个目标:改善公共服务、加强社会管理、强化综合监管和完善宏观调控。《国家电子政务总体框架》进一步明确我国电子政务有五个部分构成:服务与应用系统、信息资源、基础设施、法律法规与标准化体系以及管理体制。
由此可见,我国电子政务的建设主体是各级公共管理部门;电子政务的目标是提供四个方面的优质管理和服务;电子政务包括应用系统、信息资源和基础设施等五个方面的建设内容。
电子政务建设普遍使用财政资金,是一种政府投资项目,因此电子政务审计既是信息系统审计,也是一种政府投资项目审计。同其他投资审计相比,电子政务审计还具有如下明显特征:
(一)审计对象不同
一般投资审计的对象是基建/技改项目的建设过程、固定资产形成及其管理活动等。电子政务审计的对象是电子政务建设项目、信息系统资产和管理活动等。审计对象的不同体现在以下三点:第一,基建/技改项目在建设时主要采购设备、物资和材料,电子政务工程则主要采购软件、硬件和网络设施,目前软件成本普遍没有定额标准,不利于工程价款核算。第二,基建/技改项目形成固定资产,而电子政务工程主要形成信息系统软件等无形资产,无形资产的验收和事后监督评价都相对困难。第三,固定资产的绩效多与资产本身质量有关,而软件类无形资产的绩效取决于开发阶段对软件需求的理解,以及应用阶段软件与业务的融合程度,并不完全取决于技术产品本身。
(二)审计方法不同
一般政府投资建设项目审计,通常采取财务审计与工程造价审计相结合的方式进行。电子政务审计采取财务审计、业务数据审计和信息系统审计相结合的方式,除财务审计方法,通常还采取数据分析法、平行模拟法、测试数据法、安全测试等信息系统审计特殊方法,来检查评估信息系统的安全、可靠与经济性。
(三)审计知识技能不同
投资审计需要审计人员熟悉工程量计算规则、概预算定额,熟悉施工规范、设计规范、基本建设程序,以及投资融资体制和工程建设管理体制等多方面的法律法规等。电子政务审计需要审计人员掌握电子政务工程标准、软件成本构成、电子政务项目管理规范以及服务器、网络设备、软件开发、信息安全、系统集成等相关知识,这样才能保证审计项目顺利进行。
本文从国家审计的立场出发,综合国内外相关理论和实务经验,提出如下定义:电子政务审计是指审计机关遵循一定标准规范,对使用财政资金开展信息化建设、形成的信息系统资产及相关管理活动进行独立监督,收集和评估证据判断被审单位的信息化规划、建设、运行维护和应用的安全性、可靠性和经济性,以促进电子政务在行政管理体制改革和政府管理创新中发挥重要支撑作用的活动。
由此定义可知,电子政务审计范围包括电子政务项目建设过程、信息系统资产及相关管理活动;电子政务审计对象包括:计算机硬件、软件、网络基础设施、数据、人和管理制度;电子政务审计有三大目标:安全性、可靠性和绩效性。
其中,安全性是指计算机硬件、软件、网络和数据等信息系统组成要素是否受到妥善保护,不因自然和人为的因素而遭到破坏、更改或者泄露系统中的信息,安全性包括信息系统的机密性、完整性和可用性。
可靠性包括三个方面的内涵:硬件、软件和数据的可靠性。硬件的可靠性是指在一个指定的时间周期内,在给定的控制条件下,硬件系统执行所需功能的成功概率(稳定性)。软件的可靠性是指在运行环境中,在规定的运行时间内或规定的运行次数下,程序和所有数据元素运行不同测试用例的无差错概率。数据的可靠性包括数据的真实性、准确性和完整性,它取决于系统业务处理过程是否符合国家法律和有关规章制度的要求(合规性),系统数据处理功能是否准确无误,以及确保数据可靠的控制措施是否有效。
绩效性有两方面的内涵:一是指电子政务系统是否能够实现既定目标(效益性);二是指系统利用各种资源输出用户所需要信息的及时程度和运行速度(效率性)。
三、构建我国电子政务审计内容框架
(一)构建电子政务审计内容框架的原则
由于电子政务审计的具体内容指标在不同级别政务部门、不同类型的电子政务系统间存在较大差异,本文将着重于构建一般性电子政务审计内容框架体系。
受国内电子政务所处发展阶段的影响,目前我国电子政务审计实践相对较少,而西方信息化发达国家已积累了多年的经验。美国审计署(GAO)、国际内部审计师协会(IIA)和国际信息系统审计与控制协会(ISACA)分别制定了一系列准则指南来规范电子政务审计,有的还在全球进行推广。在该国际背景下,本文认为应遵循如下四个原则来设计构建我国电子政务审计内容框架。
1.与国际接轨
GAO在联邦信息系统控制审计手册(FISCAM)中概括的信息系统审计包括一般控制和应用控制审计两大内容,IIA的全球技术审计指南(GTAG)基于内部审计的视角,进一步将一般控制与应用控制审计划分成三个层次——治理控制、管理控制和技术控制审计。ISACA是信息系统审计与控制的专业协会,更关注一般控制审计、关注信息技术本身风险,该机构发布了基于信息技术控制目标体系(COBIT)的审计指南,详细分解了信息技术各关键领域的主要风险点,并开发相应指南说明如何实现信息系统风险鉴证。
随着国外信息系统审计理念在我国的多年引进,上述观点也获得了我国审计师的理解与认同。电子政务审计也是一种信息系统审计,因此本着与国际接轨的原则,本文认为一般控制和应用控制审计可以作为我国电子政务审计内容框架的基本分类。
2.立足本国国情
我国的电子政务发展水平与西方国家存在差距,大部分被审单位的IT控制体系尚在建立之中,电子政务的法律法规还不完善,故不能照搬国外要求开展电子政务审计工作。目前,我国只在信息安全方面颁布了安全保护条例和强制性标准,电子政务项目管理方面有明确的规章制度。其他诸如电子政务财政预算、运维外包、公共服务、信息共享与业务协同、信息资源开发利用等方面尚缺乏充分的审计定性依据。不过,我国《国家电子政务“十二五”规划》明确指出,要着力改变“我国电子政务应用发展水平不高”等共性问题,要强化应用推广,坚持把整合协同、深化应用和突出成效作为电子政务发展的根本要求,以提高电子政务的经济和社会效益。
在这样的背景下,根据我国电子政务现状与发展方针,本文特将应用绩效审计也列为我国电子政务审计的主要内容之一;同时,在构建一般控制与应用控制大类下的具体审计事项时,将充分考虑我国审计对象与审计环境特点。
3.体现国家审计特征
我国审计法实施条例第2条规定,“国家审计是监督财政、财务收支真实、合法和效益的行为”。构建国家审计领域的电子政务审计内容框架,就必须落脚于对财政、财务收支及相关经济业务活动的监督。应用系统是经济业务活动的工具载体,而应用控制就是作用于具体应用系统、保障系统业务真实性和合法性的控制。理所当然,应用控制审计应在我国电子政务审计整体内容框架中具有首要地位。这是我国电子政务审计与IIA和ISACA等审计定位的显著区别所在。
4.可操作实用性原则
电子政务审计内容事项的可操作性,是其生命力的源泉。本文紧紧围绕我国电子政务建设现状与发展方针,归纳了2009-2012年期间的中、美等国相关审计报告中的典型问题,加以分类提炼,力求所设计的审计内容事项便于实践操作。
根据上述原则,本文综合借鉴国内外信息系统审计经验,试图构建出既符合国际主流,又能为我国审计人员接受、操作实用性较强的电子政务审计内容框架(如下页表1),共包含三大类、十二小类的审计内容事项。其中,应用控制审计、项目建设审计、安全审计和应用绩效审计是我国电子政务审计的重点内容。
(二)我国电子政务审计的三大内容
1.应用控制审计
《国家审计准则》指出,应用控制是保障信息系统产生数据的真实性、完整性、可靠性等方面的控制。应用控制审计关系到财政、财务收支及相关经济业务活动的真实性和合规性,应用控制审计是体现国家审计立场、实现电子政务审计可靠性目标的重要内容。
本文的电子政务应用控制审计主要包括:业务流程总体控制审计,输入、处理和输出控制审计,主数据及参数审计和接口控制审计。
业务流程总体控制审计主要检查业务流程设计是否遵循国家法律法规政策规定,业务流程执行的关键节点是否考虑潜在舞弊和误操作等风险,系统操作人员是否根据岗位职责授权访问相应功能模块和数据。
输入控制审计检查系统事务是否能够被正确完整地接受、编辑和记录;处理控制审计检查应用程序处理的合法性、准确性和完整性;输出控制审计检查系统数据的输出内容、形式和授权是否符合用户要求。
主数据及参数审计主要关注参数设置是否符合国家、行业政策文件等的规定;参数修改是否提出书面申请,并得到相关主管的审批和授权;参数调整是否有可追溯轨迹等。
接口控制审计主要关注接口规划、设计与执行是否能有效防范人为篡改、数据泄露等风险。其中,人工接口程序审计,通常关注源数据输出格式和内容是否符合目标数据的要求:是否有合适的保密、授权和防篡改措施;是否有合适的机制检验源数据与目标数据的一致性。自动接口程序审计,通常关注源数据的提取、转换是否准确,数据自动传输时是否经过加密,是否存在数据遗漏或者重复问题,是否能及时发现数据传输的错误;错误是否得到及时纠正,处理的频率和措施是否恰当等。
2.一般控制审计
《国家审计准则》指出,一般控制是保障信息系统正常运行的稳定性、有效性、安全性等方面的控制。本文的电子政务一般控制审计主要包括:组织规划审计、项目建设审计、运行维护审计和安全审计。
组织规划审计主要检查信息化机构岗位、信息化规划、管理制度和内部监督等组织层面制度与措施的有效性,分析被审单位的信息化管理体制机制存在的风险点和薄弱环节,促进其提升IT管理水平。
项目建设审计是我国电子政务审计的重要内容。我国现有制度规范也相对成熟,比如《国家电子政务工程建设项目管理暂行办法》、招投标法、政府采购法和合同法等等。在审计项目中,可依据这些规范重点检查被审计系统或工程的投资决策、工程建设、资金使用和验收管理等内容,揭示系统建设管理存在的问题与风险,提高系统开发质量,促进管理规范和建设经济性。
电子政务运维方面,国际标准ISO20000从11个方面规范了IT服务管理活动,但目前我国的电子政务尚处于大规模建设阶段,重视运维服务的意识较弱,相关法规制度也比较少。目前运行维护审计,可以重点关注电子政务的问题管理、变更管理、日志管理和基础设施的可靠性等。
安全性是电子政务审计的三大目标之一,安全审计是我国电子政务审计的重要内容。而且,安全等级保护制度是我国信息安全领域的一项基本制度,我国信息安全法规制度环境也相对成熟,可为电子政务安全审计提供坚实的法规基础。在审计项目中,审计师可依据我国《信息系统安全等级保护基本要求》等规范标准,从物理安全、网络安全、主机安全、数据安全及备份恢复、机构岗位、安全制度、人力资源安全、建设安全和运维安全共九个方面开展事计。
3.应用绩效审计
应用绩效审计是实现电子政务审计“经济性”目标的着力点之一。《国家电子政务“十二五”规划》指出,要着力改变电子政务应用水平不高、信息资源利用不足、信息共享与业务协同难以推进的现状。本文面向电子政务目标,立足当前突出问题,从系统应用水平、信息公开与公共服务、信息资源开发利用和信息共享与业务协同四个方面提出电子政务应用绩效审计的内容。
应用水平较低是我国电子政务建设的共性问题之一,国家发改委2007年55号令指出电子政务项目建设应以提高应用水平、发挥系统效能为重点。因此,系统应用水平审计主要审查硬件基础设施的利用率、软件功能的应用广度与深度、用户满意度等情况。
《国家电子政务总体框架》指出“服务是电子政务建设的出发点与落脚点”。然而,目前我国电子政务存在信息公开内容不全面、重形式轻内容、行政审批和服务事项在线办理不能满足群众需求等问题。因此,信息公开与公共服务审计主要审查被审单位是否落实执行信息公开条例;政府网站的信息公开、网上办事和政民互动效能;政务服务中心、呼叫中心、公共信息亭、农村综合信息服务站等的建设情况。
信息资源开发利用不足也是我国目前电子政务建设的突出问题。审计师可根据《关于加强信息资源开发利用工作的若干意见》等规定,审查被审单位是否制定政务信息资源分级分类管理办法,是否建立健全采集、登记、备案、保管、共享、发布、安全、保密等方面的规章制度;审查被审信息资源系统数据采集的真实、准确、完整和及时性,数据的冗余程度,数据采集的覆盖面,数据采集渠道是否自动;审查信息资源系统数据利用程度,关注是否利用采集的数据资源开展深度分析等工作。
《国民经济和社会发展“十二五”规划纲要》明确提出,“实现重要政务信息系统互联互通、信息共享和业务协同”的要求。《国家电子政务“十二五”规划》指出,“要积极推进跨地区、跨部门、跨层级信息共享,丰富信息共享内容,扩大信息共享覆盖面,提高信息共享使用成效”。2013年,国家发改委、工信部、审计署和财政部等联合发文《关于进一步加强政务部门信息共享建设管理的指导意见》,对促进电子政务信息共享提出一系列要求。另外,国家信息化标准委员会发布《政务信息资源目录体系》、《政务信息资源交换体系》等技术标准。因此,审计师可根据上述规定开展信息共享与业务协同审计,通常主要检查被审计单位信息系统内外部信息共享与资源整合状况,揭示是否有效整合内外信息资源,实现信息共享,减少信息孤岛现象。
四、电子政务审计工作思路
(一)不同主线的实施思路
电子政务的建设过程,同时是资金流转的过程,也是实物流和业务流实现的过程。因此,在具体审计项目中,审计师可根据项目情境,从资金使用、系统建设和业务流程三个角度,有侧重选择相关审计内容开展工作。
以资金使用为主线的思路,是指沿着电子政务项目预算申报、预算执行和项目验收的资金使用过程开展审计。该思路适用于结合部门预算执行审计项目开展某部门的电子政务审计,可重点关注电子政务规划、预算申报、预算执行、预算验收和应用绩效等内容。
以系统建设为主线的思路,是指沿着电子政务工程申报审批、项目建设、资金管理、验收评价和运行管理的系统生命周期线开展审计。该思路适用于结合经济责任审计项目开展某部门的电子政务审计,也适用于揭示某省市整体电子政务建设存在的问题,还适用于针对电子政务建设工程开展独立的竣工决算审计。可重点关注:项目建议书、可行性报告、初步设计方案与投资概算、项目调整报批、项目招投标、项目合同、工程监理、政府采购、资金使用、竣工验收、运行管理和应用绩效等审计内容。
以业务流程为主线的思路,是指依据系统设计文档,分析被审电子政务系统业务流程的关键风险控制点,重在反映系统数据的真实性和合规性,并揭示是否存在“信息系统设计缺陷”问题。该思路适用于针对被审单位的关键业务系统开展独立式审计,也适应于依托社保基金、公积金、医院审计等各种项目开展结合式电子政务审计。可重点关注:业务流程总体控制,输入、处理和输出控制审计、主数据及参数审计和接口控制等内容。
(二)不同层面的审计项目
审计机关可从微观、中观和宏观三个层面开展电子政务审计以促进电子政务价值目标的实现,服务于国家治理的需要。
1.微观层面
微观层面的电子政务审计通常是指针对某个电子政务工程项目或具体系统开展的信息系统审计。
针对某个项目开展电子政务审计,通常对电子政务项目资金投入使用情况、项目建设管理情况、项目产出和应用情况进行检查和评估,判断项目建设的资金使用是否存在问题,项目建设是否实现预期目标,项目管理是否符合国家规范,目标是否促进信息化建设项目的绩效提升。
针对某个电子政务系统实施电子政务审计,通常可对某个电子政务系统的战略规划、资金投入使用、系统建设、系统安全、系统运维管理、业务持续性、应用控制和系统应用绩效等进行审计,目标是揭示电子政务资金使用的合规性、经济性,关注电子政务系统的安全性、可靠性和经济性,促进电子政务的价值实现。
2.中观层面
审计是经济发展的产物,中观审计打破了传统宏观微观审计界域不能完全覆盖社会经济审计的整体界域这一局限性。中观层面的电子政务审计主要包括行业、部门和区域的信息化投资、建设及应用情况。
针对行业开展电子政务审计,如开展金税工程系统审计,金关工程系统审计等等,可以分析这些系统的总体资金投入、使用和管理情况;还可以关注这些行业信息系统的规划、建设与应用状况;关注行业信息系统的一般控制,如安全、信息化治理/管理、运维服务管理和外包等;还需重点关注行业信息系统的可靠性,如行业业务处理的合规性,系统的稳定性等等;关注行业信息系统在提高内部工作效率、外部公共服务水平中发挥的作用,最终为该行业信息系统的健康发展提出改进建议。
针对部门开展电子政务审计,除可以关注信息化总体资金的使用和管理情况、信息化管理制度的建设健全状况外,还需要重点关注该部门信息化建设的统筹规划,信息资源共享整合状况;信息化建设治理机构、人力资源配置;与同行业相比,分析该部门信息化应用现状与问题,并提出促进部门信息化建设的审计建议。
针对一定区域范围开展电子政务审计,可以分析评价某省、市和区县的政府信息化总体资金的投入、使用和管理情况,分析该地区国家信息化政策的规划、实施效果,揭露该区域内重点电子政务工程建设、应用管理存在的问题,关注电子政务建设在提高信息公开、公民参与程度、改善民生、公共服务、部门间信息共享与业务协同中发挥的作用,促进电子政务的健康可持续发展,为制订宏观政策提供参考意见,推动政府信息化发挥对行政管理体制改革的促进作用。在具体的审计实务中,还需要结合特定区域的行政生态环境来对电子政务绩效做出审计判断。
3.宏观层面
国家层面的电子政务审计目标是为国家信息化健康发展提供政策建议。通常关注电子政务管理体制,如电子政务管理机构的设置情况及合理性分析;电子政务投资规划、财政预算、审批和评估机制的健全性分析;检查评估国家政府信息化规划、行动计划、指导意见等的落实执行情况;检查评估重点电子政务工程系统在提供公共服务、信息共享、安全保障、业务信息化方面的贡献度;关注重点电子政务工程的资金管理、项目建设和应用水平;关注重点电子政务系统的资源共享与业务协同能力等;此外,国家层面的电子政务审计还可以关注新兴信息技术给国家电子政务建设带来的新风险,如云计算、移动政务、WEB2.0技术等等。
标签:电子政务论文; 国家信息化发展战略纲要论文; 信息化规划论文; 安全审计论文; 信息化管理论文; 审计软件论文; 审计质量论文; 业务管理论文; 审计准则论文; 项目目标论文; 审计目标论文; 信息安全论文; 管理审计论文; 控制活动论文; 信息系统规划论文; 资金业务论文; 国家部门论文; 信息发展论文;