常州市审计局

地方政府投资信息化项目审计初探

发布日期：2015-05-25 来源：常州市审计局

    【摘要】随着工业时代政府向信息时代政府不断过渡的今天，我国的政府信息化项目也如雨后春笋般遍地开花。作为政府经济行为的监督者，面对日益增长的政府信息化项目监管需求，审计应当发挥其查错纠弊、引导服务的功能。本文以笔者所在市为例，从地方审计机关角度出发，结合信息系统审计工作经验以及地方工作实际，探索地方政府投资信息化项目审计。
【关键词】地方政府投资信息化项目信息化项目审计信息系统审计
   一、地方政府投资信息化项目审计背景
（一）日益增长的监管需求
   2012年，常州市经国家工信部批准成为全国“智慧城市”试点城市。根据2013年地方审计机关对常州市市级信息化项目的调查发现：两年来，该市市委、市政府高度重视“智慧城市”建设，不断扩大政府信息化建设资金规模。10年至12年三年间，仅在市发改委立项的较大信息化建设项目就有36个，总计投资总额4.80亿元，且存在逐年递增趋势。当前随着三公经费规模的缩减及财政政策引导等多方面原因，国内政府信息化项目投资规模普遍扩大，与之相伴的在报批手续、项目绩效、项目管理等方面普遍存在共性问题和不足，而针对个体的、有自身特点的政府信息化项目的监管需求正在不断扩大。
   （二）新常态下的政策指导
   当前，各级政府部门高度重视审计工作。2014年10月19日，国务院发文的《关于加强审计工作的意见》指出：审计要“推进对各部门、单位计算机信息系统安全性、可靠性和经济性的审计。” 在中央政府对审计工作日益重视的今天，加强审计监督力度的地方政府文件也相继出台。随着审计工作重要性的不断提升，地方政府也高度重视审计部门对风险的控制作用。如2013年9月1日起施行的《常州市市级政府投资信息化工程项目管理办法》指出：“市审计部门负责对政府投资信息化工程项目依法进行审计监督管理。”
   二、组织形式探索及审计成果增值性
   （一）过程跟踪审计模式探索
   当前地方政府投资信息化项目审计的现状主要有两大特点：一是非独立性。对政府投资信息化项目审计一般是贯穿于经济责任审计、专项资金审计等综合性审计项目，作为其他审计项目的一个审计事项，通常存在审计周期相对较短，难以实施到位的问题。二是滞后性。由于该审计项目非独立性的特点，造成了信息化项目审计的主要方式为事后审计，无法在信息化项目实施开始介入，使得审计成果滞后、整体经济效益降低。根据这两个特点，贯彻李克强总理对审计“全覆盖”的要求，笔者认为地方政府投资信息化项目审计应当在传统审计模式下探索过程跟踪审计方式，从源头规范项目投资、决策、实施流程，提高财政资金使用的质量和效益。
   （二）上下联动及内外结合审计模式探索
   在市级政府投资信息化项目中，有相当一部分的比例项目含有区县对应的子平台项目，其中部分项目子平台资金是由区县配套资金实施。因此在含有子平台的信息化项目审计中，联动辖市区机关共同开展审计，符合当前财政体系架构，并能够在互相比对的情况下，对母子各平台的技术规范性、经济效益性做出更加科学、公平的评价，最终扩大审计效果。
此外，针对如公共卫生平台等医疗、教育、环保等特殊专业的信息化项目审计，还应当探索建立外部专家团队，或与高等院校、科研机构建立合作等机制，引入外部力量，将审计实践和科研力量、计算机手段和专业业务知识有效整合起来，从而达到1+1大于2的审计实效。
   （三）审计项目与数据中心建设相结合
   开展政府信息化项目审计的审计中，一是在审计过程中审计人员能够熟悉对被审计单位信息化项目架构，二是可以在有较大审计成果的前提下，提高将被审计单位数据纳入联网审计平台的可能性，并推进数据中心建设，为将来可能的数据集中打下基础，最终实现“总体分析、系统研究、发现疑点、分散核实”的数字化审计方式。
三、政府投资信息化项目审计内容
笔者认为信息化项目审计与信息系统审计具有很大的相关性，信息系统审计作为信息化项目审计的一部分，在其中占有较大的比例。信息化项目审计在内容上应当至少包括三个方面：
   （一）项目建设过程审计
   参照工程审计的有关内容，该项审计事项重点关注项目建设过程中关键控制点的有无和实际效果。在实际审计过程中，审计人员可以结合政策要求及当地信息化项目建设实际情况，探索并编制信息化项目审计基本程序流程控制表，以方便审计人员操作，如表1。

序号	文档名称	描述说明	重要性说明
一	项目基本文档
1	方案建议书、立项批复
2	可行性研究报告、可研批复
3	实施方案、实施方案确认书
4	招标文件
5	实施方案、实施方案论证意见	含深化设计、实施计划、评审意见
6	开工报审文件		有监理必须
7	配置文档	网络、安全、服务器、数据库、中间件等的详细配置参数
	…
二	软件开发补充文档
1	需求规格说明书
2	概要设计
3	详细设计
4	模块开发卷宗
	…
三	财务补充文档
1	信息化项目内控制度
2	信息化项目资金支付账目
3	相关经费支出	招标文件编制费、评审费、科研报告编制费
	…

   表1、杭州信息化项目审计基本程序流程控制表（部分）
   结合本单位实践，笔者认为在项目建设过程中的主要关注点为：
   1.项目建设程序方面：项目建设的各项审批手续是否完备、合法，有无可行性研究报告以及专家论证意见，是否经过批准立项。项目相关技术文档是否齐全合规。是否执行项目监理制度，评价监理履职情况。项目验收手续资料是否齐全有效等。
   2.招标采购方面：项目招标范围、程序和方式是否符合规定，招标文件是否齐全，手续是否完备合法，投标企业资质是否符合信息化项目建设的要求，是否存在违规转包情况。项目的设备，材料等物资是否进行政府采购。
   3.项目合同及项目变更：关注信息化项目的知识产权、数据所有权归属，关注公共资源效益的私人化；项目变更方面，关注变更程序和手续是否符合规定，变更方案是否合理，变更价款的确定是否合规，有无擅自扩大项目规模。
   4.资金管理使用方面：项目的预算编制依据是否符合规定，资金是否落实到位，资金使用是否按项目进度计划以及规定的支付程序进行。财务核算是否合规，及资金是否存在被挤占，挪用等问题。
   （二）信息系统审计
   和一般信息系统审计一样，该审计事项包括了一般控制审计、应用控制审计以及数据审计等内容，而针对政府部门分配公共资源、接受公众监督的特点，应当重点关注项目合规性及安全性。以公共卫生平台信息化项目为例，在该项目审计过程中可以围绕以下两个方面展开：
   1、合规性审计。根据卫生部《医院信息系统基本功能规范》、《区域卫生信息平台技术规范》以及项目需求分析报告等内外部审计标准，分析系统开发是否符合项目需求，各项业务的处理过程是否符合相关规范要求。重点是审查系统的关键控制点：
其中针对区域卫生平台控制点主要包括：健康档案与诊疗信息的实时交互调阅、与财务、医保、新农合系统的对接、重点疾病监测预警等，针对基层卫生信息系统的重点审查的控制点有：安全用药管理、医院药品加价控制、药占比控制、医疗服务项目收费标准控制等。
   2、安全性审计。关注信息系统的硬件、软件、网络和数据资源是否得到妥善保护，不因自然和人为的因素而遭到破坏、更改或者泄露系统中的信息。通过检查系统机房物理位置选择、物理访问控制、防破坏、防水、防静电、温湿度控制等方面的安全策略和防护措施。结合漏洞扫描等技术方法，对系统软件进行扫描，评价其技术安全控制水平。
   （三）、应用绩效评价方面
   针对项目本身绩效评价，审计应当关注评价指标选取的权威性与客观性，针对不同的业务性质的信息化项目，应当咨询有关专家，根据实际情况，选择符合实际的审计方法。
   1、根据项目本身的需求分析报告及高级政府出台的有关系统准则等内外部审计标准，分析系统开发是否符合预期需求及规范，评价项目实施的完整性。
   2、结合各功能的使用频率、效果及投资金额，选取合适的绩效指标，评价项目建设最终成果的经济性。如针对网站广告投放类型项目，绩效指标可以包括CPC（每点击成本）、CPM （每千人成本）等投放成本效益分析，针对APP客户端的制作及运营，则可以选取装机量、活跃度等作为绩效评价指标。
   3、综合其他城市同类项目或区县子项目建设情况，评估本级项目的投入产出效益。
信息化项目审计其实并不是一个新生事物，新世纪以来随着政府投资信息化项目的规模不断扩大，受到各级政府的日益重视。在这样的进程中，地方审计机关应当在实践中不断的积累经验和探索更加完善的策略和方法，在该项领域做好做精，为审计“全覆盖”不留死角而添砖加瓦。(朱瑜亮)

参考文献
【1】沈应仙，《试论政府投资信息化建设项目绩效审计》，2012.3
【2】王小利，《信息系统审计评价模式分析》，2011.8
【3】国务院，《关于加强审计工作的意见》，2014.10
【4】常州市政府，《常州市市级政府投资信息化工程项目管理办法》，2013.9
【5】杭州市审计局，《信息化项目审计基本文档清单》，2011.12