如何进行中央部门信息系统审计

作者简介:
王晓生,审计署经济责任审计司;裴晓宁,审计署计算机技术中心;白天山,新疆审计厅

原文出处:
中国审计

内容提要:


期刊代号:V3
分类名称:审计文摘
复印期号:2015 年 09 期

关 键 词:

字号:

      在审计署财政审计工作领导小组统一组织下,结合中央部门2014年度预算执行情况和决算(草案)审计,笔者对某部委信息系统建设、管理、使用等情况进行了结合式审计,出具了《信息系统建设管理情况审计专题报告》。本次审计发现了该部委信息系统建设存在缺少顶层设计和统筹规划、信息系统建设项目管理不到位、信息系统安全等级保护未达标等大量问题,对其震动很大,很多问题在审计过程中得到了迅速整改。部门预算执行审计中做好信息系统结合式审计工作,可有效提高审计效率、实现审计成果最大化。笔者认为应着眼以下方面。

      目标定位要高

      信息系统审计应站在国家治理的角度,注重发现、揭示信息系统管理体制机制方面存在的问题。在审前调查基础上,结合署财政协调小组和审计署电子数据司的要求,确定了某部委信息系统审计目标,即结合部委2014年度预算执行情况和决算(草案)审计,通过对该部委信息系统建设总体、信息化规划及顶层设计、信息化机构设置及履职、信息系统安全管理、信息化资产管理等情况的审计,督促该部委落实中央有关决策,为预算执行情况和决算(草案)审计提供可靠数据和问题线索,揭示国有资产存在的风险。围绕这个目标,针对该部委信息系统建设等方面可能存在的问题,重点聚焦信息化顶层设计、机构履职情况、资产管理和信息系统安全等22个审计事项,就审计重点关注的风险点、所需获取的资料、具体的审计步骤以及注意事项等,编制了详细的审计实施方案。

      组织实施要实

      摸清总体。审前调查阶段,审计人员先与署派驻某部委审计局及时沟通,了解以往预算执行审计中发现的信息系统建设管理存在的漏洞;仔细查阅以往审计档案资料和相关检查报告,利用互联网搜索信息系统可能存在的问题。其次,通过查看三定方案,与办公室信息化处负责人、资产管理部门有关人员,以及负责系统开发、维护的业务人员谈话,深入了解信息化建设管理总体情况。然后,结合实际,设计并要求该部委填写《信息系统建设和应用情况调查表》。最后经查阅该部委有关规划、计划、合同和会议记录等资料,调取审查“无形资产明细台账”和“固定资产明细台账”,进一步查证核实该部委信息系统数量和投资额。

      突出重点。在摸清总体情况基础上,审计人员初步判断出该部委信息系统的关键环节和控制点,对可能存在风险的系统和环节进行重点审计。抽查资金量大的信息系统,对项目立项、审批、建设、运维、资产管理全过程进行审计,按照安全性、可靠性和经济性的要求,从维护国家安全角度,对信息系统安全和执行国家重要设备软件安全可控战略情况进行重点审查。在审计中发现该部委虽建设了许多信息系统,但形成的信息化资产在该局资产明细账中反映得并不全面,主要登记的是提供了发票的软、硬件设备,没有发现以信息系统整体作为资产的记录,自行开发的软件也未进行登记。经过查阅财政部和国家发改委的有关规定发现,没有相关规定明确对以信息系统整体作为资产进行登记的要求。目前我国政务信息化建设已进入全面推进、深化应用的阶段。财政投资产生的资产很少再以单个的软件和孤立的硬件出现,大多以包含软件、硬件、网络、服务和数据等要素的信息系统,实际是以固定资产和无形资产混合的形式出现的,如果按现有规定只登记购置的软件和硬件资产,就会造成国有资产登记的不完整,给国有资产安全带来风险。从维护国有资产管理角度,审计人员对这一问题进行重点剖析,提出了完善国有资产管理制度的建议。

      技术方法要新

      审计中应注重创新,借助“外脑”,充分发挥社会专业机构的作用。信息系统审计涉及的专业工具和技术很多,国家机关信息系统审计人员不可能全部熟悉和掌握,应充分发挥社会专业机构的作用。在本次审计中,在领导的指导和鼓励下,审计人员创新性地与国家信息中心软件测评中心合作,利用专用的信息系统审计工具对某部委政府网站等四个网站系统进行了安全测试,发现其存在33个系统漏洞,揭示了管理过程中存在的薄弱环节,取得了很好的效果。

      监督与服务并重

      信息系统审计不仅要发挥好审计监督职能、查找现有系统存在的重大问题,而且要从服务角度提出操作性强的建议,帮助和督促被审计单位及时整改,促进其提升信息化意识,完善管理制度,加强内部控制,提高管理水平。

      审计中发现,某部委信息化建设没有长远规划,缺乏顶层设计,未建立统筹协调机制,职能部门履行职责不到位,导致信息系统建设小、散、乱情况突出,系统功能重复,数据无法有效共享;信息系统安全等级保护未达标,系统基础软件和核心硬件设备国产化率很低,操作系统、大型数据库管理系统等以采购国外公司产品为主,网络和信息系统存在安全隐患;信息化资产管理存在薄弱环节,形成的无形资产未在资产账上有准确、全面的反应;信息系统项目建设管理水平不高,部分项目未及时办理竣工验收;信息系统应用的深度和广度不足,特别是对管理创新的支撑作用较弱,对科学决策的支持水平有限,对社会公众的服务能力较低等。审计报告交换意见后,该部委对指出的问题非常重视,审计期间,财务司就组织有关单位及时将软件等无形资产入账,同时对类似名称不规范的问题进行了全面清理、整改,对指出的其他问题也提出了具体的整改措施。

      开展结合式审计

      目前,我国政务信息化建设已进入全面推进、深化应用的新阶段,政务工作越来越依赖信息系统。在社会经济领域,信息系统已经成为金融、能源、电信、交通、海关、税务等关系国计民生重要行业的新型生产工具。针对信息系统开展可靠性、安全性和经济性审计,已经成为国家审计必不可少的基础性工作。应认真贯彻落实国务院《关于加强审计工作的意见》,把信息系统审计和预算执行审计以及其他行业审计有机结合起来,在大型项目的审计工作方案中,一方面统一安排、统筹实施;另一方面单独编制方案、单独出具专题报告,发挥好信息系统审计对其他审计的基础性、前导性作用,有效防范数据审计风险。

      准确界定领导干部在信息化建设中的责任

相关文章: