当前全球正加速从工业社会向信息社会过度,信息技术的革新不断改变着社会生产和人类生活的方式。在以计算机技术、网络技术、通信技术为的主要手段开展的信息化项目中,国家和作为社会经济活动主体的企业都高度重视。而在信息化项目中,数据占据着核心地位。数据在为资源配置提供支撑服务的同时,其安全性也面临着严峻的挑战,海量数据管理难、泄露方式复杂多变、手法隐蔽等导致类似于“Facebook数据泄露”“运营商30亿用户数据泄露”等数据安全事件频发。究其根源,是信息化建设和安全保障系统并没有达到同步,换言之,安全保障系统的发展远远落后于信息建设,因此造成了严重的后果。对于信息安全的防护,国家和企业会引进绩效审计①来作为一种监督手段,有效迎合数据传输、存储与使用的安全管控需求,同时提高部门的工作效率。针对数据安全相关活动的经济性、效率性和效果性所进行的绩效审计已成为热点问题。本文在理论回顾的基础上,设计基于数据安全的信息化项目绩效审计架构,明晰进行考察的量化指标,形成具有可行性、科学性的绩效审计监督机制。 二、数据视域下信息化项目绩效审计的现状 在当今信息化技术蓬勃发展的时代,科学技术和经济社会高速且高质量发展。但数据安全管理方面的不健全、操作者的失误、第三方监察机关的遗漏等原因,造成大量数据遗失、被篡改和盗窃等严重后果,数据安全面临的危机日趋严重,再加之数据安全相关信息透明度不高等问题,增加了数据安全的威胁因素。为了使信息化项目的发展无后顾之忧,对于数据的安全及价值性问题等,各国都采取了信息化安全防范手段。而利用绩效审计避免数据安全问题,发达国家有着更早一步的了解和研究。因此,将国外和国内基于数据安全的信息化项目绩效审计的现状进行比较分析,将会有更大的研究和借鉴价值。 (一)国外基于数据安全的信息化项目绩效审计现状 1.澳大利亚 澳大利亚基于数据安全的信息化项目绩效审计具有明确的法律定位与相应的审计评价标准。这种方式不仅支撑着审计对项目的监督,同时一定程度上促进了公共管理事业的发展。澳大利亚高度重视IT安全审计,可能得益于其较早起步的信息技术。其审计的主要目标是对联邦公共部门互联网安全措施的有效性进行评价和提供优化实践指南,类似于我国的信息安全等级保护测评,在做出相关评价之后要针对其中的薄弱环节提出相应的优化建议并记录在案。官方发布的《澳大利亚政府信息技术安全手册》中详细阐明了IT安全管理和IT安全标准两部分内容,为基于数据安全的信息化项目审计的开展提供了主要的审计评价指标和指南,有效促进了信息化项目审计的实质性开展。其审计评价指标主要涉及安全环境、安全管理风险、信息管理和安全工作的监控等,即对安全管理组织和安全管理制度中的相应部分进行审计,并非局限于某一部分或环节,而是立足于组织层面。 美国基于数据安全的信息化项目绩效审计强调遵守适用原则,即不能不顾被审计单位实际情况而盲目提出过高的要求,也不能为降低管理成本而提出较低或很容易达到却没有实质性作用的要求。要根据被审计单位的重大错报风险、薄弱点以及管理层的风险偏好等提出恰当的标准,以便达到更好的效果。同时美国还提出建立持续监督制度的方法,在达到一定的标准之后,建立持续监督制度,以便更好地对数据安全进行监督和有效改进,相对于定期审计而言,拥有更低的管理成本却能达到相似的效果。 (二)国内基于数据安全的信息化项目绩效审计现状 1.吉林省长春市 2020年吉林省长春市审计局通过绩效审计手段来完善信息化建设相关制度,为保障信息系统更加安全、可靠、高效地运行,采取了一系列措施。吉林省长春市审计局重点关注在信息系统建设过程中的资金使用情况,需通过审查财务数据及相关资料进行了解和分析,主要针对财务数据的存在性、合理性和合法性,进而提高信息系统的安全性和可靠性。吉林省长春市审计局还提出了全方位的审查,将基于数据安全的信息化项目的审计重点从某些薄弱点上升到整个组织的层面,从整体对数据安全问题进行控制,这将对基于数据安全的信息化项目绩效审计的效率和效果起到提升和保障作用。 2.浙江省宁波市 浙江省宁波市审计局提出长效工作机制和协同监管机制,这两大措施有助于促进基于数据安全的信息化项目审计的长期有效发展。长效工作机制需要明确审计目的、审计范围和审计重点,将基于数据安全的信息化项目绩效审计纳入日常审计范围之内,但前提是将被审计单位中存在的信息系统安全隐患、不到位的数据安全保障措施以及员工不规范的日常操作等问题有效解决。协同监管机制需要加强组织管理,联合各方力量,各司其职,在做到职责清晰和职责分离的前提下,将在低成本的基础上降低审计风险,提高审计质量,推动数据的安全有效运行、传输与存储。 三、数据视域下信息化项目绩效审计的问题剖析 通过对国内基于数据安全的信息化项目绩效审计现状的分析和了解,可以发现我国的信息化项目审计的地位已经被提高到一定的高度,引起了大家广泛的关注,并在为其健全和发展不断付出努力。但是在其中有关数据安全的管理水平仍有待提高,主要不足之处在于当前绩效审计的评价标准和指标未予以明确,导致效率性、效果性和经济性不足而难以保障数据安全。一方面,澳大利亚基于数据安全的信息化项目审计的方法、理念和经验都值得我们借鉴和学习,但需要结合我国审计的法律框架、国情以及我国信息化项目审计的发展现状进行有选择的借鉴。应当进一步提高基于数据安全的信息化项目审计的地位,在提高数据安全的同时展开对数据所依赖的信息系统的审计,给予数据运行和存储等操作更加安全可靠的环境,从而进一步提高数据的安全性和可靠性。另一方面,针对审计监督的效率性和效果性,美国在此方面卓有成效。可以采用美国审计的四个指标,即及时性、品质、数量和效率,通过综合核查协助审计人员进行完整深入的审计工作。我国需要提高审计人员的工作能力和专业素养,从而更好地支持我国审计监督的发展。