美国实行三权分立,最高审计机关美国审计署隶属于国会,直接受国会委托调查、监督联邦政府的财政支出,并根据国会听证需求制订绩效审计年度计划。其中,信息系统绩效审计主要分四类:一是信息系统项目建设投资和实际运行情况;二是专项公共资金投入信息系统的使用情况;三是公众关注的行业类信息系统管理情况;四是公共部门信息系统日常管理情况。 本文以2015年美国审计署出具的《国防部业务系统现代化:实现预期目标仍需加大整改力度》审计报告为例,阐述美国审计署进行上述第四类公共部门信息系统审计的主要做法,探讨我国提升同类型信息系统绩效审计水平的实践路径。 一、美国审计署主要做法及建议 (一)主要做法 1.审计依据和目标 目前,美国未制定专门的信息系统绩效审计标准和指南,美国审计署主要依据其制定的《一般公认政府审计准则》《联邦政府内部控制标准》《联邦信息系统控制审计手册》,美国政府出台的《联邦信息安全管理法案》《国防授权法案》等法律法规和指导性文件,国际信息系统审计与控制协会制定的《信息及相关技术的控制目标》,以及《国际计算机学会通讯》等行业权威杂志研究结论,作为信息系统审计和绩效评价标准。 本次审计目标是评估国防部业务系统整改的恰当性和充分性,以及对系统架构和业务流程优化的有效性进行绩效评价。 2.审计方法 访谈。美国审计署采访了国防部副首席管理官办公室、首席信息官办公室和军事管理办公室的官员,与关键业务负责人、系统架构师和运营官员等资深官员进行了会谈,听取了他们对改善系统架构和业务流程优化工作的看法及改进措施,观看综合业务框架数据对齐门户工具的演示,并通过审查计划经理提供的文档,以证实访谈内容的真实性。 问卷调查。美国审计署对相关官员进行了问卷预测试,以确保问卷问题具有相关性、问题明确且易于理解,最终将军事管理办公室的24名资产管理官员确定为问卷调查对象,因其管理整个国防业务系统,拥有宏观视角。受访者通过网络直接在电子问卷中作答,美国审计署对调查结果进行了分析和总结,获得有关国防部实现预期业务流程优化和系统架构成果,以及产生绩效、面临挑战等信息,评估相关工作的有用性、有效性和预期目标实现程度,并提出改进建议。 聘请第三方专家。美国审计署审计人员知识背景包括会计、法律、工程、公共管理、经济学等,同时也雇用计算机、建筑、机械、通信、电子和信息技术等领域的专家、工程师以及中介机构人员。美国审计署聘请社会科学调查、机械、计算机、军事等专家参与设计了本次调查问卷,开发了结构化的问卷数据收集分析工具,审核了系统结构和业务流程文档。 建立绩效评价体系。COBIT体系(信息及相关技术的控制目标,最新为2019版)是国际信息系统审计与控制协会制定的,国际公认最先进、最权威的信息技术管理和控制框架,以及信息系统审计标准。COBIT是建立信息化治理内部控制体系、有效利用信息资源、管理与信息相关风险的重要基础,主要由执行概要、总体控制目标框架、管理指南、详细控制目标、执行工具集和审计指南6部分组成,按照信息系统生命周期划分为评价和监控、规划和组织、构建和实施、交付和支持、监控和评价5个域,设计了40个管理和控制目标。COBIT为实施信息系统审计提供全面可靠与有效的评价指标体系。 美国审计署主要根据COBIT的管理指南和审计指南、国防行业特点和第三方专家的专业意见,结合成熟度、关键成功因素、关键目标、关键绩效四个维度,制定了10个总体评价指标以及80个具体评价指标,分为很好、好、一般、较差、差五档评分标准,主要对国防部系统架构和业务流程优化六个方面进行绩效评价: 一是系统架构功能评价。包括各项业务合法合规性;业务系统运作情况;管理业务和财务信息的及时性、准确性和可靠性;生成预算、会计、计划等信息情况;公众所关注涉及国防公共数据的采集、存储和运用等过程,是否合法、安全和完善。 二是系统架构优势评价。包括可简化点到点的业务流程;减少业务申请数量;促使业务和信息系统协调一致;提高工作效率;节省成本;整合数据中心,扩大信息共享比例;提高系统操作易用性。 三是系统架构缺陷评价。包括系统合规性检查工具的可用性;人员培训情况及操作熟练程度;系统架构创新发展所遇到的阻力;各业务系统合规性审查的规范性等。 四是业务流程优化情况评价。包括业务流程尽可能地简化和高效;避免建设需要特殊接口的子系统;整合、减少有特殊需求的定制化子系统。 五是业务流程优化优势评价。包括精简业务流程和子系统接口,减少故障点;精简人员配备;精简业务文档;提高业务质量和工作效率;减少预算费用。 六是业务流程优化缺陷评价。包括业务创新发展所遇到的阻力;人员培训情况及操作熟练程度;业务流程变更的合规性审查;业务流程优化的计划安排合理性。 审查相关文档资料并做出风险评估。美国审计署研究了立法、行政部门关于国防的政策和程序,审查分析国防部的文档。文档包括:提交国会的年度报告;系统架构和业务流程优化指南、投资管理指南、业务案例、部门战略计划和财年计划;业务认证和批准,有关部门的问题陈述;国防部为落实以前年度审计报告16条建议和国防授权法案要求而采取的措施,已完成整改的书面答复和相关材料。