习近平总书记在中央审计委员会第一次会议上部署审计信息化建设。审计信息化在审计对象层面，可区分为应对电子数据和应对管理电子数据的信息系统两大类别。政务信息系统审计通过确保电子政务系统的安全性、稳定性、效益性，来保障数据审计以及他形式审计有效开展，是审计监督全覆盖在政务信息环境下的职能体现。

十八大以来，国务院颁布《关于实行审计全覆盖的实施意见》等多项重要文件推进大数据审计发展。各级、各地审计部门偏向大数据、云计算等技术在数据审计方面的应用，有关信息系统审计在电子政务云计算环境下创新发展涉及甚少。鉴于此，本文从分析信息系统审计在“数字”战略布局下的时代使命入手，基于政务云审计环境，拓展信息系统审计模式，并对该模式下的审计要点进行了深入的阐述。

一、“数字中国”战略下信息系统审计职能的新发展

十九大报告延续信息化建设十三五规划提出的“数字中国”战略。在政府治理层面，基于云计算的政务信息化建设，成为深化国家治理现代化的重要手段和必然趋势。为此，作为保障政务信息建设的重要措施，国家和地方相继出台一系列规范性文件，对信息系统审计提出适时要求。

（一）信息战略视角下的信息系统审计站位

国务院2014年颁布《关于加强审计工作的意见》，重申了信息系统审计的目标为安全性、可靠性和经济性。目前全国有超过90%的省级、70%的地市级行政区布局或建设政务云平台，我国政务云市场规模已接近300 亿元[1]。另一方面政务云平台安全问题频发。据统计2017年我国政府机构、关键信息基础设施以及行业安全漏洞事件 26892 起，政府网站被篡改618个，数据泄露事件高发[2]。政务云平台作为各级政府关键政务处理和核心数据的载体，无法正常运行、信息泄露、篡改等事故，将对公众利益、政府公信力，乃至国家安全造成严重影响。确保政务云等信息基础设施平稳运行，成为信息系统审计的首要职责。

（二）促进政府信息化机制体制改革到位

十九大报告将“善于运用互联网技术和信息化手段开展工作”作为“全面增强执政本领”的重要手段。信息化与政府治理深度融合，成为转变职能、创建服务型政府的关键实现路径。行政体制改革和效能建设目前在信息化方面的主要任务之一是推动共享整合。国务院在2014年发布《促进电子政务协调发展的指导意见》，要求审计参与项目评估。2016年至2017年颁布《政务信息资源共享管理暂行办法》、《政务信息系统整合共享实施方案》，以促共享整合作为现阶段信息系统审计的主要目标，以及要求信息系统审计应实现常态化。

（三）信息系统审计规范的地方探索

电子政务建设走在全国前列的S市，十八大以来布局“政务云”优化提升政务信息系统。近期该市发布《电子政务架构治理指南》，要求审计部门全程参与跟踪治理；制定《政务信息系统整合共享工作实施方案》，要求对整合共享成效加强审计监督，并要求审计部门探索政务信息系统审计的方式方法。

二、地方政务信息系统审计环境变迁

根据审计部门近期对S市政府工作部门开展的信息系统审计情况，从技术形态角度，该市电子政务正处于信息应用系统分散建设为典型的传统架构，过渡至以政务云建设、大数据治理、人工智能为代表的“数字政府”时代。

（一）传统电子政务架构下的信息系统审计发现

1.信息化覆盖率、“互联网+”程度较高

2016年末，S市政府部门信息化覆盖率达100%，主要业务信息化覆盖率达90.24%。政府门户网站112个，提供信息公开、网上办事等政务服务，2016年度访问量2.38亿次，按当年常住人口估算，人均年访问22.32次[3]。

2.数据资源海量，共享性较差，信息系统较为分散。

政务数据存储总量约为2970TB，记录数为3789千亿条。主要采用数据库存储架构，并以各部门部署独立机房为主。56%的数据库不予共享。仅有22%的部门采用托管方式，实现服务器集中部署。

3.信息系统清理整合需推进，安全保护不充分

“僵尸”系统、拟清理整合系统占比达22.76%，另有24.6%的系统需待进一步核实后提出清理方案。34.34%的信息系统无容灾备份手段，正常运行的信息系统中有26.9%启用三年以上未评定安全等级，29.72%的部门无应急预案，致使信息系统缺乏相应的安全防护。

（二）传统电子政务向“政府云”模式转变

S市构建“云平台”，推动“数字政府”创新发展。根据该市电子政务“十三五”发展规划，通过顶层设计部署云基础环境下的电子政务架构体系，实现电子政务向“云”平台模式转变。部署核心包括基于云计算三层架构，构建政务云计算中心（IaaS）、政务云服务中心（PaaS）和政务SaaS平台，逐步推动应用上云、数据上云和服务上云。

三、基于云架构的政务信息系统审计关键点探讨

信息系统审计主要审查系统控制情况。传统电子政务模式下，政府部门完全控制物理硬件、存储、网络通讯等环节的安全性、可靠性。“政务云”架构的基本原理在于第三方以服务方式提供软硬件设施及计算、存储、运维等。政府部门从直接控制，转为对“服务”的控制。传统信息系统审计理论与实务，基于政府部门为主导的、政府与公众的二元控制关系，无法有效适应面向政府、“云服务”、公众的三元控制关系。在云架构环境下，信息系统审计应延续控制审计为核心的方法，拓展云服务和项目资金的审计要点，并借助审计落实中央审计委员会第一次会议精神，实现信息系统审计全覆盖。

（一）基于“政务云”的控制审计

按照相关规划，S市在逐步撤销部门自建机房后，将构建市级电子政务云计算数据中心，提供三层服务：底层的政务云计算中心（IaaS）可按部门需求提供计算、存储、网络等IT基础设施服务；中间层的政务云服务中心（PaaS）可提供统一的软件系统架构和应用开发支撑平台，如云数据库、数据交换平台、政务信息资源目录等；上层的市政务SaaS平台提供应用托管，各部门可通过网络设备自由选取所需的各类应用。基于安全性，该市将成立一家国有大数据公司作为“政务云”服务供应商，各部门通过政府购买方式取得所需的云服务。

控制的核心为应用控制和一般控制。审计部门对平台使用单位和服务供应商在各自层级的控制情况分别审计，组成完整的基于“政务云”框架的控制审计。

1.对于平台用户的控制审计

平台用户有限控制虚拟基础架构（IaaS层）、基于角色访问权限（PaaS层）、政务应用程序的授权和访问（SaaS层）等。审计部门对于政务应用使用部门，可参照传统的总体控制审计（如信息化战略规划实现机制、岗位职责控制等）和访问安全控制审计（如访问权限控制、安全手册执行等）方法。

2.对云服务供应商的控制审计

国内有学者提出云服务的可信性能够确保信息系统中的政府权益[4]，即云环境可控性、服务质量的可保障性、数据安全性等方面是否可靠。参考中国通信标准化协会关于“可信云服务评估”相关标准，可对云服务在安全性、可靠性、可用性、可测试性、可计量性等控制要点实施审计。

（1）云服务安全性控制审计。主要审计IaaS层实现不同用户虚拟主机、物理设备等隔离控制；PaaS层实现不同用户的数据库网络隔离等控制；SaaS层实现应用托管网络隔离、云服务协议的隔离或加密技术约束等控制；以及大数据公司在用户授权下获取数据并处理数据等控制。

（2）云服务可靠性控制审计。主要审计三层平台的用户数据备份、灾难恢复控制、故障监控控制等；用户终止服务或提出需求时，三层平台删除数据或提供清零服务控制；数据迁移时如IaaS层虚拟镜像，以及IaaS层和PaaS层导入导出接口、SaaS层导入导出代码控制等；三层平台对用户数据进行操作的授权控制，以及日志留存控制；三层服务出现故障后恢复至正常的相关控制以及提供完整故障报告的控制等。

（3）云服务可用性控制审计。主要包括大数据公司提供的实际服务与协议条款一致性控制；协议约定服务的实际可用程度控制；按照服务协议按需进行服务调配、更改的相关控制；对外包服务（如网络服务商）的相关控制等。

（4）云服务可测试性控制审计。主要包括平台应实现可由监管部门、第三方机构或审计部门进行审查的相应功能与管理制度等。

（5）云服务可计量性控制审计。即为用户提供服务的计量单位和计量单价控制、以及计量日志控制等。

鉴于大数据公司的国企性质，审计部门可在审计法规授权下，对其运行和维护云基础设施情况进行审计。对大数据公司及相关单位定期实施完整的、独立的信息系统审计，应成为基于政务云架构的信息系统审计常规模式。

（二）项目资金全覆盖审计

该“全覆盖”是指对使用大额财政资金的信息系统项目，遵循资金在信息系统生命周期分布情况，基于风险实施审计。传统信息系统审计理论中，项目资金审计重要性位于控制类审计之后。信息系统审计的本质是信息化背景下审计监督活动。维护国家财政经济秩序、提高财政资金使用效益、促进廉政建设始终是审计的首要目的。电子政务信息系统建设基本来源于财政资金，投资金额显著增长是资金审计重要性激增的主要促因。

据统计，2018年S市市级部门电子政务项目建设预算达6.11亿元，15家单位预算超过500万元，最高达3.71亿元。其中设计费、开发费等难以具体计量的支出占比极高。巨量的财政资金属于高风险领域，信息系统“无形化”特征限制了审计有效监督，导致项目资金在整个信息系统审计环节存在较高的错弊风险，主要包括资金舞弊或违规使用，造成财政资金流失等重大风险；系统缺乏效用，或生命周期过短等导致财政资金浪费风险；可行性研究、招投标、监理、验收等环节控制失效，导致信息系统交付使用的实际能力未达到付出资金的等量价值；资金统筹缺乏管理导致资金短缺或闲置，影响项目进度等效益方面风险。

项目资金审计与预算管理审计、招标购买审计、合同执行审计等互有交叉、同步开展。当其他环节被审计认定为存在较高风险时，该环节所对应的资金情况也需要重点审查。

（三）落实中央精神的其他路径

中央审计委员会第一次会议强调要加大对党中央重大政策措施贯彻落实情况跟踪审计力度。要加强对内部审计工作的指导和监督，增强审计监督合力。

1.信息化政策执行监督

国务院明确要求通过政策执行监督检查，推动完善政务信息系统相关政策制度建设。以S市为例，该市近期相继颁布《电子政务“十三五”规划》、《政务信息系统整合共享工作实施方案》、《电子政务架构治理工作方案及指南》等文件，明确了信息化建设主要目标、重大任务、重点举措分解以及落实时间表、路线图。审计部门开展信息系统审计时，应将信息系统政策执行列为审计重点。审计关键控制点主要包括各项措施分解、细化和量化，任务承接部门各类配套措施、管理办法、年度计划等政策落实具体措施与总体架构治理的一致性和协调性，目标任务的进展和完成情况等，客观反映各部门政策执行实际情况，减少执行偏差，必要时追责问责，推动政策制度落实到位。

2.内部信息系统审计业务指导

内部审计机构对本单位信息系统及其相关信息技术的内部控制和流程进行常规性审查，可有效弥补审计部门开展信息系统监督检查在审计周期间隔、审查范围等限制。审计署要求指导和监督被审计单位内部审计工作。对于开展信息系统内部审计，或是具备开展信息系统内部审计条件的被审计单位，审计部门可通过业务指导方式，协助内审部门和内审人员编制信息系统审计方案，评估信息系统风险，对关键控制点实施审查，督促单位主要负责人重视审计发现问题，积极整改，并可有效利用内部信息系统审计结果作为审计部门开展外部审计的重要参考。

四、结束

本文从提高信息系统审计站位、贯彻十九大精神角度，基于S市“政务云”架构对政务信息系统审计的发展趋势进行分析和探讨，以控制审计为核心，以及将项目资金、政策执行和内部审计指导作为信息系统审计发展的重要内容，为审计人员展开信息系统审计提供实践指导。（苏州市审计局 严黎佳）