ITGov：国家审计信息系统发展评价

来源:ITGov中国IT治理研究中心 作者：孟秀转

为客观反映国家审计信息系统成长的全貌和持续发展的情况，科学定位金审工程三期的发展目标，同时，进一步总结金审工程建设中取得的成效、存在的差距和问题，加强完善国家审计信息系统可持续发展的长效机制，ITGov中国IT治理研究中心暨北京大学数字中国研究院受审计署信息办委托，研制了国家审计信息系统评价指标体系，并组织开展了实施工作。在自查自评的基础上，通过材料评审、现场会及日常监控等方式，对国家审计信息系统进行了综合评价，并编制了《国家审计信息系统发展评价报告》。

评价主要结论如下：

一、系统发展评价

经过2002至20##年金审一期工程的建设和成果推广应用，初步奠定了“六个一”标志的国家审计信息系统体系框架。经过2008至20##年金审二期工程的建设和成果推广应用，国家审计信息系统“六个一”持续发展。 经评价工作组测评分析，金审工程“六个一”的发展速度分别是：应用系统能力发展速度为448.6%，信息资源能力发展速度为877.3%，网络资源能力发展速度为355%，安全保障能力发展速度为312.8%，运维服务能力发展速度为750%，人力资源能力发展速度为430%。金审工程整体发展指数为478%。

金审一期的系统功能在二期中没有一项废除，即金审二期对一期功能的利用率是100%。一期建设的这些功能本身100%均在持续发展完善，且经测评其应用的深度和广度均有不同程度的提升。金审二期比金审一期新增功能比例是57.37%，新增功能的数量在持续增加，经测评新增功能显著增强了对审计业务的支撑力度。评价工作组认为电子政务工程建设理应做到这一点，但实际是有很大难度的，不容易做到的事居然能做到，这正是金审工程难能可贵之处，也是金审工程践行科学发展观的具体体现。

金审工程的建设成果，为提升国家审计在信息化环境下促进和完善国家治理的能力、发挥国家审计保障国家经济社会健康发展的“免疫系统”功能，奠定了坚实的基础。

ITGov评价工作组经综合评议认为，我国的审计信息化已进入可持续发展的良性循环轨道。

二、系统效能评价

国家审计信息系统的“六个一”分别创综合效能或自主创新创同类同期项目的国内记录水平或国际先进水平。其效能体现在一是提升了审计监管能力；二是增强了共享协同能力；三是促进了审计组织方式的转变；四是增强了审计执法能力；五是取得了显著的社会经济效益。其中，针对社会经济效益，本报告从可用金额计量的经济效益和不可用金额计量的隐性收益两方面进行评价。

（一）可用金额计量经济效益明显提高：人均审计成果得到快速提高，20##年为2055.45万元，是20##年的2.638倍，金审一期人均审计成果1369.41万元，与金审工程前的20##年的779.06万元相比增加0.76倍，金审二期人均审计成果2519.65万元，是一期的1.84倍，是金审工程前的20##年的3.23倍。

（二）不可用金额计量的隐性效益提高显著：人均审计资金由原来的2千多万元提高到1.2亿元，审计能力提高4.07倍。金审工程前人均审计资金2千多万元，金审一期人均审计资金4.989千万元，二期则为1.1亿元，随着金审工程的推进，审计人员审计监督能力不断提高。

审计的“免疫功能”和“建设性作用”明显，制度完善提高显著。20##年制度完善情况是20##-20##年间金审一期的近2倍，是金审前20##年的128倍。

金审一期后廉政建设能力提高，金审二期后随着制度完善情况逐渐增加，更可以“免疫”事件发生。

工作报告、建议采纳率也从20##年的58.18%上升到20##年的65%，反映出审计的免疫、咨询功能越来越被接受。

ITGov评价工作组经综合评议认为，金审工程一二期取得了显著地社会经济效益，针对电子政务建设中盲目、低效、重复浪费等严重现象，金审工程是我国电子政务十年来取得显著成绩的代表，也是我国电子政务建设传承与创新发展的最佳实践，更是我国电子政务走可持续科学发展道路的典范。

（三）问题与建议

当前，金审工程走在了全国电子政务建设与发展的前列，因此也遇到前所未有的新情况和新挑战，主要问题和与相关建议如下：

一是国家整体信息化发展阶段的制约。

二是审计机关领导干部的信息技术素养有待进一步提高。

三是审计数据智能分析和应用亟需探索突破。

通过开展国家审计信息系统评价，ITGov评价工作组认为金审工程的示范意义有三点：

一是领导班子尤其是“一把手”具有坚忍不拔、攻克时坚、义无反顾的创新精神。

二是创新了中国特色的电子政务建设机制与发展模式，对我国十二五期间电子政务的发展模式具有重大的示范意义。金审一期工程为我国审计信息化设计了既高瞻远瞩又切合实际的蓝图，并为金审二期工程奠定了良好的基础。金审二期工程规划立足金审一期工程奠定了“六个一”国家审计信息系统体系框架上持续发展，规避了电子政务建设中存在的“推翻重来”或“原地踏步”的局面，成为我国电子政务工程建设可持续发展的典型范例。

三是领导班子有科学的态度，审计信息化的建设与发展机制符合科学规律，是深入落实科学发展观、建设服务型政府的具体体现。其“围绕审计职能，明确系统定位”、“加强组织领导，统一工程规划”、“跟踪业务发展，坚持应用创新”、“加强制度建设，重视人才培养”、“强化推广应用，注重应用实效”等实践经验，为依托电子政务平台，建设服务型政府提供了重要参考，在全国各级政府建设服务型政府、推进电子政务发展工作中具有重要的推广应用价值。

ITGov信息化绩效评估典型案例：

《中国民航业IT治理框架研究》，国家民航局

《工商行政管理信息化效能评估咨询项目》，国家工商总局

《国家审计信息系统评价指标体系研究》，国家审计署

《IT项目评价指标体系库研究》 ，国家审计署

《广州市百件政府服务网上办理工程绩效评价咨询项目》， 广州市科信局

《广州市网上服务公众满意度调查》 ， 广州市科信局

《广州市电子政务绩效评估咨询项目》 ， 广州市科信局

《广州市电子政务绩效评估咨询项目》，北京市信息办

《北京市高级人民法院电子政务运维绩效管理研究》，北京市高级人民法院

《服务型政府电子政务绩效评估研究》（为新基金重点课题），北京大学

《广州市政府部门电子政务绩效评估体系研究》，广州科信局

 

第二篇：信息系统审计标准 概要

《ISACA信息系统审计标准》概要

S1 审计章程(Audit Charter)

?   信息系统审计职能机构或信息系统审计任务的目的、责任、权限及职责，应在审计章程或审计业务约定书中载明。

?   审计章程或审计业务约定书应得到组织中适当的管理层的同意和批准。

S2独立性

职业独立性

?   信息系统审计师在从事审计事项时，应该在实质和形式上独立于被审计方。

组织独立性

?   信息系统审计职能机构应充分独立于被审计单位，以实现审计目标。

S3职业道德及准则

?   信息系统审计师应遵守信息系统审计及控制协会规定的职业道德准则。

?   信息系统审计师应保持应有的职业审慎态度，并坚持以审计准则为执业标准。

S4专业胜任能力

?   担任信息系统审计工作的审计师应当具备审计工作所必须的专门技能与学识。

?   信息系统审计师要通过充分且持续的职业后续教育，以保持和提高其专业胜任能力。

S5计划

?   信息系统审计人员应依据审计目标和相应的法律和审计准则，对信息系统审计工作编制审计计划。

?   信息系统审计人员应编制基于风险的审计方法

?   信息系统审计人员应编制详细的审计计划，包括审计性质、目标、范围和所需的资源。

?   信息系统审计人员应编制审计程序和步骤。

S6审计工作的实施

?   监督——信息系统审计人员应受到适当的监督，以确保实现审计目标，并遵守审计准则。

?   证据——在信息系统审计过程中，信息系统审计人员应当搜集充分的、可靠的、相关的和有用的证据，以有效实现审计目标。审计师的审计发现和审计结论必须以合理的分析、利用审计证据为基础。

?   审计底稿——审计过程应该有书面记录，以表明审计工作和审计证据支持信息系统审计人员的发现和结论。

S7报告

?   信息系统审计人员在完成审计工作后，应向委托者出具按照适当的格式编制的审计报告。审计报告应当标明机构名称、审计报告报送对象以及报告使用限制。

?   审计报告应当说明审计范围、审计目标、审计工作所涵盖的期间及所执行审计工作的性质和内容。

?   审计报告应当说明审计人员执行审计工作中所发现的问题、形成的结论和建议以及审计师关于审计的任何保留意见。

?   信息系统审计人员应该有充分的、适当的审计证据来支持所报告的审计结论。

?   审计报告签发时，信息系统审计人员应该依据审计章程或审计业务约定书中的规定签名、签署日期再对外发放。

S8后续审计

?   信息系统审计人员应当要求并评价被审计单位对审计发现的问题、结论及建议的处理信息，以判断被审计单位是否已及时妥善地处理了相关问题。

S9不合规和非法行为

?   在计划和实施审计工作时，信息系统审计人员应该考虑不合规和非法行为等可能带来的审计风险。

?   无论不合规和非法行为的风险评估结果如何，信息系统审计人员在实施审计作业时都要对由于不合规和非法行为而导致的重大误报的可能性保持职业怀疑的态度。

?   信息系统审计人员应该了解组织及其所处的环境，包括内部控制。

?   信息系统审计人员应该获得充分的、适当的审计证据来确定组织内的管理层或其他人是否了解任何事实上的或可能的不合规和非法行为。

?   在了解组织及其所处的环境时，信息系统审计人员应该注意那些不正常的人员关系，这些人员可能实施不合规和非法行为而导致重大误报。

?   信息系统审计人员应该设计和实施测试程序，测试内部控制的适当性和是否存在管理层超越控制的情况。

?   当信息系统审计人员确认被审计方存在误报事实时，审计人员应该评估该误报是否是因为存在不合规和非法行为而产生的，可以通过审计其他方面相关的问题特别是管理层的 表现来发现不合规和非法行为的迹象。

?   根据审计业务的情况，信息系统审计人员每年至少一次获取管理层书面的声明，声明应该包括有如下信息：

-设计和实施内部控制以避免和检查不合规和非法行为是管理层的责任； -由于不合规和非法行为而产生重大误报的风险评估结果； -涉及管理层和内部控制中关键岗位发生的不合规和非法行为对组织的影响。

?   信息系统审计人员在与现在的员工和以前的员工等人员进行会谈的时候要了解正在影响组织的所谓的不合规和非法行为的断言或疑问。

?   在确定或得到存在重大的不合规和非法行为的信息时，信息系统审计人员应该及时与适 当的管理层沟通该情况。

?   在确定重大的不合规和非法行为牵涉到管理层或和内部控制中关键岗位人员时，信息系统审计人员应该及时与董事会沟通该情况。

?   信息系统审计人员应该将审计过程中所发现的内部控制设计和实施中的重大薄弱环节告知管理层或董事会，并建议其改进相关控制，以避免发生不合规和非法行为并能检杳 出已发生的不合规和非法行为。

?   如果重大的误报或非法行为影响到信息系统审计人员继续实施审计工作时，信息系统审计人员应该考虑该环境下的法律和职业责任。信息系统审计人员可以采取的行动有：向业务主管人员报告、向公司治理机构或司法机构报告、中止审计业务。

?   信息系统审计人员应该将报告给管理层、公司治理机构或司法机构的有关不合规和非法行为的所有沟通活动、计划、结果和结论等事项记录下来。

S10 IT治理

?   信息系统审计人员应该检查和评估IS职能部门的使命、愿景、价值观、目标和战略是否与组织相一致。

?   信息系统审计人员应该检查IS职能部门是否存在书面明确的业绩标准，评价其履行情况。

?   信息系统审计人员应该检查并评价IS资源和业绩管理过程的效果。

?   信息系统审计人员应该检查并评价符合法律、环境和信息质量、委托人和安全等需要。

?   信息系统审计人员应该使用基于风险的审计方法来评价IS部门。

?   信息系统审计人员应该检查和评价组织的控制环境。

?   信息系统审计人员应该检查和评价威胁IS环境的风险。 S11在审计计划中运用风险评估

?   信息系统审计师应该在制定IS审计计划和确定优先分配有效的审计资源时使用适当的风险评估技术或方法。

?   在计划单个审计项目时，信息系统审计师应该识别和评估与被审计范围相关的风险。

ISACA信息系统审计指南索引