政务信息系统审计并不是一个新鲜的概念,国内外均有相对长期的实践探索。早在1994年美国审计署(GAO)就开始对电子政务实施审计,2002年《电子政务法案》颁布后,GAO更是依据相关法律规范,开展年度例行审计。国内,杭州市自2005年就通过市政府发文形式规定电子政务建设项目必须接受审计机关监督。2018年,CZ市出台的《政务信息系统审计工作方案》为该市依托经济责任审计等项目开展政务信息系统审计提供了法律依据及基本操作规范。
一、依托经济责任审计全面开展政务信息系统审计必要性分析
1.政务信息系统建设规模扩大而产生的审计需求不断增加
十多年来,我国电子政务累计财政投入超过6000亿,平均年投资增长率超过12%。近年来,尤其是十九大以来,受大数据创新发展,提高政府服务水平等内外部因素驱动,CZ市各部门不断加大政务信息系统投入力度。以2018年CZ市审计局实施经济责任审计的6部门为例,2014-2016年,6部门累计政务信息系统支出3912.3万元。国家审计是独立、专业和综合的监督手段,财政资金运用到哪里,审计就应当跟踪到哪里,因而政务信息系统审计是国家审计的法定职责。
2.政务信息系统建设内部风险点不断凸显
(1)项目建设单位人才短缺
政务信息系统投入资金的井喷式增长,与相关单位专业人才短缺,政务信息系统建设经验缺乏的现状产生矛盾。人才的短缺所带来的风险,一是体现在对信息系统生命周期中关键要素的把握上。如在需求分析阶段不能根据现有技术框架选择最优解决方案,在可行性分析上没有做好调研,盲目开展项目,从而导致项目实施效果较差;在实施阶段未执行试运行策略导致业务数据丢失等。二是体现在对电子政务项目建设程序熟悉程度上。如违反规定对电子政务项目未批先建。三是信息系统安全意识不足。CZ市部分单位近四年来存在无安全投入情况,对外部攻击的防御不足。
(2)尚未建立成熟的软件造价与绩效评价体系
不同于基建工程项目,对开发型的政务信息系统项目国内尚未有统一的造价标准。当前针对电子政务项目国内出台了相关绩效评价制度,如门户网站绩效评估,财政支出预算绩效评价,信息系统安全等级测评等。CZ市财政也积极探索与高校合作开发电子政务项目绩效评价体系,通过绩效评价方式对电子政务项目资金支付进行一定程度约束。但总体还很不健全,无法实现对电子政务规划落实情况、项目建设、系统可靠性、安全性和应用水平等的综合绩效评估。
相关标准的缺失所带来的主要风险一是存在部分单位将其他支出违规混入电子政务项目整体支出,二是项目承建方利润率过大,三是在造价资金层面的事后监督缺乏落脚点。
3.立项审批制度存在监管死角
目前,很多地方政府已经出台电子政务项目管理办法,建立电子政务项目立项审批制度,要求新建设的项目必须经电子政务相关主管部门审批及验收,一定程度上起到了规范电子政务项目建设,提高项目建设效益的作用。
然而立项审批制度并不包治百病,本身依然存在监管死角,一是对非财政资金或其他部门奖励资金建设且未申报的电子政务项目无法限制,二是对电子政务项目后续配套资金,如低于政府采购最低限额标准的更新费用、信息系统后续维护等费用一般不设在立项审批监管范围。
4.依托经济责任审计实施信息系统审计的优势
(1)信息系统审计效率提高。CZ市审计局过去5年内均有实施信息系统审计项目,项目的主要承接处室的为该局计算机审计处,审计对象一般为单一审计单位的一个或有业务关联的多个信息系统。根据2017年的CZ市审计调查结果显示,截至2017年12月,全市59家部门及所属单位共有354个政务信息系统,其中业务系统267个、办公系统39个、未进站群的门户网站24个。显然传统的单一立项的信息系统审计模式无法与全市不断增长的政务信息系统建设规模相适应。2018年CZ市在经济责任审计中部署信息系统审计全覆盖为该市政务信息系统审计全覆盖提供了行之有效的解决方案。
(2)信息系统审计站位提升。从一到多,审计对象的增加,带来信息数据的数量、质量、维度等多方面的相应提升,为审计人员跳开原有视角提供了新的站位。站在顶层设计的角度看待数据,容易发现深层次问题,从而提出行之有效的审计建议。如针对学校、医院等具有相同性质的事业单位,或不同区县的同条线部门,一次性的获取相应的信息系统数据,使审计人员能够发现系统应用范围窄、重复建设等传统单一信息系统审计项目难以发现的问题。
(3)经济责任审计内容深化。在政务信息化逐渐普及的今天,在经济责任审计项目中强化信息系统审计内容对审计人员了解被审计单位账务展示之外的业务运行情况提供更加直接的手段,从而发现非信息系统审计手段发现不了的问题。
二、CZ市审计局依托经济责任审计全面开展政务信息系统审计的实践探索
2018年CZ市审计局结合经济责任审计开展政务信息系统审计采用的是“小组审计+综合报告”模式:
1.围绕项目安排,制定审计目标。
年初根据当年项目安排,结合政策热点,提出审计重点。如:审计对象中对外服务部门较多,则将信息系统在放管服改革中发挥的效果作为重点之一。根据审计对象制定年度政务信息系统实施方案,设计相关调查问卷及表格。
2.集中分析、分散核查,实施现场审计
各经济责任审计组在审计项目进点前,学习政务信息系统审计年度方案,在审计过程中收集回收调查问卷,并反馈给计算机审计处,由计算机处集中分析,并将疑点反馈给各审计组核查。各审计组除核查集中分析发现的疑点外,还要根据年初制定的信息系统审计方案实施信息系统审计内容。
3.整理形成综合报告,强化成果转化
各审计组发现政务信息系统方面的问题在经济责任报告中反映外,由计算机审计处整理汇总形成当年度政务信息系统综合审计报告。综合报告侧重宏观角度出发,揭示共性问题、分析原因及发展趋势,为市领导相关决策提供可行的审计建议。
三、当前开展依托经济责任审计全面开展政务信息系统审计的几点困难
1.政务信息系统审计人员力量不足
以CZ市审计局为例,截至2018年5月,该局在岗在编71人,通过计算机中级28人,通过CISA考试21人,整体计算机审计理论水平较好。但由于过去几年信息系统审计项目主要集中在计算机审计处及人员调整等方面因素,目前该局实际有信息系统审计经验者较少。此外经济责任审计组所配置的人员结构中,计算机审计能力分配不是主要考虑因素,部分审计组存在相关能力薄弱情况。
2.部分行业信息系统专业性过大
过去政务信息信息系统审计的主要审计对象一般较为固定,如医院、税务、社保、公积金等,审计人员从项目中也积累了一定的审计经验,形成了一套相对固定的审计模式。随着审计对象范围扩大,除类似网站、OA、财务系统、类ERP业务系统等常规信息系统外,一些更加专业的政务信息系统对审计人员来说,学习成本较大。
3.现场审计实施时限要求
各级审计机关根据审计署加强内部管理精神,制定相应的审计现场管理办法,对审计现场提出时限要求,在原本经济责任审计项目中,额外增加政务信息系统审计内容,尤其开展对信息系统业务数据的实质性审计,对审计组合理分配审计时间,保证审计项目质量方面提出较高的要求。
四、关于全面开展政务信息系统审计的思考和展望
1.联动审计信息化,建立行业数据中心
今年以来,审计署、各省审计厅积极推进“金审工程”三期项目建设,预计“云计算”、“大数据分析”等新技术将运用于项目中。但不管技术如何更迭,审计业务信息化的基础依然是数据的归集。全面开展政务信息系统审计,使审计部门有机会对各单位、各行业的信息系统、系统业务数据价值有最全面的了解。“金审工程”三期建设,省级以上数据中心建设不可能将所有行业数据进行归集,各市级审计机关往往有自己的审计业务诉求,可以根据全面开展政务信息系统审计所获得信息,主动建立行业数据中心。如对医院审计中,建立全市医院行业数据收集机制,要求定期报送,根据实际情况,选择标准表报送模式或全库报送模式,建立全市医院行业审计数据中心。行业数据的统一归集好处,一是审计效率提高,建立标准审计中间表后,一条语句能够查询行业内所有单位相关情况;二是打破审计项目束缚,问题发现不再依赖审计现场,使先发现问题后立项成为可能;三是发现单一信息系统审计无法发现的问题,如单一医院信息系统中,某人对某控制类药品购买在剂量许可范围内,但如果扩大到全市医院,则严重超标情况。
2.建立操作性更强的政务信息系统审计规范
一是对信息系统建设程序审计建立规范。收集本地政务信息系统建设制度,建立政务信息系统法规库和审计操作指引,重点关注项目审批监管盲点内容。
二是对行业信息系统的业务数据审计建立操作规范。如对医疗、教育等数据结构类似行业,根据过往审计经验,组织编写数据审计操作规范,建立数据审计通用模型。重点审计策略应考虑相关关系取代因果关系,即关注数据关联的结果,而不关注数据生成过程,提高审计效率。
三是对量级较小信息系统建立简易审计程序。对项目建设投入资金较小(如小于5万元),数据与审计内容关联不大的信息系统,采取简易审计程序,统计基本情况。
3.合理人员调配,探索专业服务购买
针对部分政务信息系统专业性强,不同处室计算机审计力量不一情况,有效整合审计资源,打破处室界限,统一调配。同时在信息系统审计、自然资源资产审计等项目中,探索专业服务购买,对类似Arcgis、MapInfo等专业软件的使用、nosql数据库的查询等审计业务需要提供外部支持。(常州市审计局 朱瑜亮)
|
