关于开展政府信息系统审计的几点思考

随着信息技术的不断发展，社会信息化的不断推进，信息系统对人们日常生活的影响越来越深，尤其是政府机关建设的信息系统，更是关系到群众生活的方方面面，因此，开展信息系统审计，保障信息系统安全、高效运行显得尤为重要。笔者在查阅和学习信息系统审计概念、内容、发展历程等理论知识的基础上，结合政府信息系统审计实践，对信息系统审计中存在的问题和困难，提出一些思考和建议。

一、政府信息系统审计的内涵和目标

政府信息系统审计是一个对被审单位信息系统的安全性、可靠性和经济性进行监督检查，揭示信息系统规划是否科学；建设是否合规；运行是否安全、有效；资源利用是否高效；资金使用是否真实合法等问题，并提出审计建议的过程。

政府信息系统审计的目标是揭示信息系统规划、建设和运行管理中存在的突出问题和重大风险隐患，提出审计意见建议，推动完善相关制度，促进提高资金使用绩效，保障信息系统安全、可靠和高效运行。

二、政府信息系统审计存在的问题

（一）政府信息系统审计专业型较强

一是对审计人员来说，面对一个陌生的业务系统，要很好的揭示该系统存在的问题，必须充分熟悉系统的运行流程，了解核心业务数据生产流转轨迹，而这一过程往往要耗费审计人员大量的时间和精力，且属于前期准备工作，很难得出审计成果。

二是信息系统缺乏统一的审计接口，获取系统业务数据需借助维保单位技术人员，若出现数据丢失或业务数据采集不完整的情况，审计人员很难核查、发现。系统后台数据库中原始表以及原始表中字段繁多，且表与表之间钩稽关系复杂，要想获取想要的业务数据，必须通过查看数据字典和开发技术文档，厘清表与表之间的关系，才能获得。审计人员为了节约时间和精力，在采集业务数据时，往往直接将需求告知技术人员，请技术人员将数据导出，此方法虽然省时省力，但是一旦出现数据采集不完整的情况，就有可能存在一定的审计风险。

三是被审单位重建设轻应用，对信息系统功能不熟悉，建设流程不了解，存在系统与系统之间功能重叠；新旧系统之间数据孤岛等问题，部分单位甚至未完整取得可行性研究报告、概要设计说明书、详细设计说明书等系统开发技术文档，对审计工作的开展造成一定困扰，且此类问题经审计报告反应后，被审单位往往难以整改。

（二）政府信息系统使用绩效难以衡量

系统建成后，审计人员难以衡量其所产生的经济效益，只能从系统的登录情况、使用情况以及资源利用率等方面进行分析，而使用人员虽然按规定每天登录系统，但可能并未真正使用系统开展工作；虽然使用系统开展工作，但系统是否切实为工作带来便利也不得而知，这样分析出的结果往往不够客观、真实。

（三）政府信息系统审计缺乏有效“抓手”

一是由于我国信息系统审计起步较晚，信息系统相关的法律体系和规章制度还不够成熟和完善，在信息系统审计中，审计人员只能借助于一些国标文件，而这些国标文件大多为行业标准，没有强制力，且被审单位的责任缺乏相应的法律法规进行定性，审计效果大打折扣。

二是信息系统审计准则和程序还不够完善，审计署虽然于2012年颁布过《信息系统审计指南》，但《中华人民共和国审计法》及《中华人民共和国审计法实施条例》中未对信息系统审计做出相关规定，且审计署2011年1月1日起施行的《中华人民共和国国家审计准则》，主要以财务审计为主线，在信息化时代，信息系统审计将不再仅以财务审计或财务系统审计作为主要审计内容，更广义的信息系统审计将成为审计目标，仍依附于财务审计的审计准则，将难以指导更广义的信息系统审计。而我国内部审计协会发布的《第2203号内部审计具体准则——信息系统审计》只适用于各类组织的内部审计机构、内部审计人员及其从事的信息系统审计活动，对政府信息系统审计虽有指导意义，却也不能完全适用。

三、加强政府信息系统审计的思路和建议

一是加强对信息系统审计的教育和培训，一方面是加强对信息系统审计人才的培养，有计划地对现有审计人员进行信息技术培训，吸收有经验的信息技术专业人才加入审计队伍，提升对信息系统审计的综合实力；另一方面是加强对相关被审单位的宣传、培训，使相关单位明确信息系统审计对于单位揭示管理风险，增强规避风险能力的重要性。

二是开展融合审计，在本级预算执行审计、部门预算执行情况专项审计调查、领导干部经济责任审计等审计项目中融合开展信息系统审计，扩大信息系统审计的覆盖面，推动被审计单位加强对信息系统审计的重视。

三是促进审计整改，对于审计过程中发现的能够即审即改的问题，要求被审计单位立即整改，及时消除信息系统漏洞隐患。对部分既成事实，无法整改的问题，在后期审计中进行重点关注，若出现屡审屡犯的情况，可以启动约谈机制，问题严重的，要追究相关负责人的责任。

四是在信息系统建设前期，建设单位要按照建设流程开展可行性研究，组织专业人员进行充分讨论，确保信息系统建设符合当前需求，系统建设流程合法合规。立项审批部门也要加强监管，严格审批程序，避免出现重复建设、信息孤岛等问题。

五是相关权力部门和主管单位要抓紧完善信息系统审计法律体系，建立信息系统审计管理运行机制。只有制定信息系统审计相配套法律法规和规章制度，构建完整、全面、合理的信息系统审计法律体系，审计人员才能够有的放矢。而统一的管理运行机制也能够让审计人员，在政府或者行业协会的监管下开展信息系统审计工作，同时有助于解决审计接口不统一、行业准则不完善、绩效指标难衡量等问题。