政府审计中信息系统经济性审计的实践和几点思考
蒋超博 (审计署昆明办)
【摘 要】在政府信息系统审计中,安全行、可靠性、经济性已经成为审计的主要目标。结合审计实践中实际案例的具体操作,笔者总结了开展信息系统的经济性审计的主要关注点及其实施的步骤与方法。
【关键词】政府审计 信息系统 经济性
1.信息系统的经济性含义
罗恩·韦伯(Ron Weber)在《信息系统控制与审计》一书中,对信息系统审计概念做出了如下描述:“信息系统审计是一个通过收集和评价审计证据,对信息系统是否能够保护资产的安全、维护数据的完整、使被审计单位的目标得以有效实现、使组织的资源得到高效使用等方面做出判断的过程。”在这个定义中,信息系统审计注重安全、数据完整、有效高效三个方面。刘家义审计长在2009年听取审计信息化建设专题汇报会上的讲话中指出,审系统,就是审计信息系统的安全性、可靠性和经济性。
在《信息系统审计实务2012》中,对信息系统系统审计目标做了详细阐述,强调信息系统审计的主要目标是“检查和促进被审计单位信息系统及其内部控制的真实性、正确性、完整性、安全性、可靠性和经济性等各类目标要素”。而经济性是指信息系统软硬件装备的技术性能及实现功能与建设投资的合理程度,包含两层含义:一是信息系统软硬件装备的技术性能及实现功能的合理程度,二是信息系统建设总体投资与利用信息技术替身业务活动效能的合理程度。
从近几年笔者开展信息系统审计的情况看,各大型央企、政府机关都加快了信息化建设,提升了管理水平,同时信息系统的投入都不少。信息系统既成为各行业财政财务收支活动的运行环境,又作为财政财务投资建设的工程主体,信息系统的安全性、可靠性和经济性自然成为政府审计的关注点 [1] 。例如,近两年所审计的两家大型国企,在“十一五”规划中,信息系统建设投入分别是92亿元、4亿元。所以,在近几年的信息系统审计中,经济性一直是作为政府审计的重点目标之一。
2.经济性审计的主要关注点和审计步骤
2.1 主要关注点
对信息系统经济性的审计主要从以下几方面开展:
Ø 信息化规划的科学性。信息化规划发展目标是否和企业、单位的发展目标一致。如果和企业单位目标不一致,会导致信息化建设缺乏科学、长远的考虑,导致信息化建设的盲目性,成为一种短期行为。
Ø 系统建设的合规性。包括系统规划、立项的科学性和合规性,是否通过相应的决策审批程序批准;系统建设招投标的合规性;系统实施和验收的真实性。
Ø 系统建设的效果性。主要关注系统建设是否满足业务发展的要求和功能,建设目标能否推动业务发展,对核心业务流程的覆盖率。
在审计实践中,由于审计资源的有限性,我们一是重点考虑企业在建设信息系统建设的合规性,经济投入的效益性,有没有系统建设的闲置浪费,未发挥效益;二是关注信息系统对业务需求满足或适应程度,评估信息系统建设的经济性。
2.2主要方法和步骤
在进入被审计单位之后,通常我们采用以下步骤开展工作:
步骤一:了解总体情况。通过发放信息系统调查表,了解被审计单位信息系统的总体情况,主要包括内容:系统名称、使用部门、用途、开发单位、系统运行的软、硬件环境,数据库系统、数据量、投入使用日期、系统投入费用等等。
步骤二:选择重点系统。结合被审计单位主要业务和审计实施方案选择重点审计系统。选择的信息系统应该有以下几点原则:
一、信息系统和被审计单位核心业务的相关性
二、和财务信息真实性相关程度。例如在企业审计中,最好能和企业的收入、销售等业务相关,系统的不可靠性可能会影响财务核算数据的准确性
三、不符合国家、企业相关政策法规要求的可能性
四、信息系统的投入较高
五、审计资源有限性
步骤三:了解系统功能。实地检查了解系统各项功能, 掌握系统整体框架、功能构造;和其他信息系统的交互性。
步骤四:资料分析。调阅系统立项、开发、实施、验收等文档材料。检查系统从立项到交付使用后的合规性。
步骤五:数据分析。采集、分析系统数据,重点关注和其它系统有交互接口的数据。系统是数据的载体,数据是信息系统处理的结果,通过数据分析,验证系统审计的疑点;通过系统审计,发现数据的不可靠性,从而避免“假电子数据”真审。
步骤六:落实取证。
在实际操作中,在调查了解阶段或审计进点前期,肯定会最先采集财务系统数据。如果财务核算系统是购买的成熟软件,通常信息系统审计时不会把它作为重点系统。在业务系统选择方面,被审计单位信息系统较多的情况下,步骤二、三、四、五可能交替反复实施。但最好能尽早确定重点审计系统,以免延误资料分析审计和数据采集的时间。
3.典型案例
案例1. A集团企业一体化系统经济性审计——招投标违规
在对某集团企业开展经济责任审计时,实施方案中明确要求检查A集团信息系统的建设和运行情况。审计中要检查集团信息系统建设和运行的安全有效,以及数据的真实性,重点检查集团信息系统的可靠性和效益性,有关设备、软件大量闲置浪费等问题,能否有效保证信息安全和满足信息化需求。
根据实施方案要求,审计人员首先发放了信息系统调查表,被审计单位返回集团本部信息系统调查表如下(单位:万元):
从该调查表可以看出,一体化系统是A集团涵盖财务和业务的主要系统。截至审计日止,A公司一体化系统占投资总额的59.82%,2009年4月至2011年底,A集团完成了一体化系统在集团20家下属企业的推广工作, 2012年在部分单位单轨运行。结合经济责任审计,信息系统审计重点审计以下内容:一是2008年至2011年企业信息化建设的总体情况,二是检查一体化系统的可靠性,三是一体化系统的经济性和安全性。结合A集团一体化系统部署情况,经济性主要检查系统建设情况、招投标情况;一体化系统在软件、硬件建设方面的投入,以及系统的使用效果,系统建设是否合规。
调阅资料:
通过调阅设计、立项、批复文件;招投标、采购、合同签订及履行情况相关文档;项目建设、验收相关文档;系统资金拨入、使用账页凭证;需求说明书、概要设计、详细设计、业务开发、配置等相关文档;访谈项目建设人员,项目实施单位工程师等方式,了解系统建设过程。
审计发现问题:系统硬件招投标违规
2011年5月,A集团公司对一体化系统硬件项目进行邀请招标,甲计算机股份有限公司、乙数码信息系统有限公司、丙科技股份有限公司、丁集团股份有限公司应标。该项目招标书明确采用综合评分法进行评标。2011年5月,A集团召开评标会,评标小组评审结果为乙数码信息系统有限公司第一名,丁集团股份有限公司第二名,并在评审意见中明确推荐乙数码信息系统有限公司为预中标单位。2011年6月,A集团信息中心集体讨论,却推荐丁集团股份有限公司为第一名,乙数码信息系统有限公司为第二名。A集团公司于6月给丁集团股份有限公司发出中标通知书,并于7月和丁集团股份有限公司签订硬件采购合同,合同总价2000余万元。违反了《工程建设项目货物招标投标办法》“招标人应当接受评标委员会推荐的中标候选人,不得在评标委员会推荐的中标候选人之外确定中标人……”和 “使用国有资金投资或者国家融资的项目,招标人应当确定排名第一的中标候选人为中标人……”的相关规定。
案例2.C财政部门非税收入征缴系统审计——系统功能不满足业务需求
非税收入是财政收入的重要组成部分,2012年C省非税收入占公共财政预算收入的20.49%;财政部也提出要按照“金财工程”的要求建立健全本地区政府非税收入收缴系统。
在对C省的财政收支审计中,审计组了解到C省非税收入管理涉及到三个系统,一是财政票据电子化管理系统,记录执收单位电子开票征收非税收入情况;二是财政总预算会计核算管理系统,核算通过财政专户(原预算外专户)归集到财政部门的非税收入;三是财政管理信息系统,核算直接缴入国库归集到财政部门的非税收入。审计组把财政票据电子化管理系统作为此次审计重点,采集了非税收入征缴数据电子开票表、电子开票明细表,并让非税局提供系统分成表、非税收入总额等数据核对。结果非税局无法从系统本身提供非税收入总额,而且提供的项目分成表数据存在明显的数据冗余问题。经进一步调查询问,非税局承认系统本身并不存在项目分成表,给审计人员的项目分成表是从电子开票明细表中提取,提供了虚假数据。
经进一步审计,发现非税局上线的财政票据电子化管理系统功能不完善,一是未实现执收单位、执收行为的全范围覆盖。审计发现,2012年共有十余家单位从C省非税局领用非税收入手工发票5万余本,上述手工开票征收信息均未在财政票据电子化管理系统中反映;同时,相关执收单位网上银行渠道的执收行为,如C省某部门2012年通过网上银行执收的考试报名费收入3000余万元,也未在该系统反映。二是系统功能不健全,导致数据不准确。该系统未设计收费项目分成表,以实现非税收入按级次自动分成,而是依靠执收单位手工计算分成,影响数据的准确性。如系统数据反映,某市工商行政管理局企业注册登记费等非税收入省级分成40余万元、市级分成100余万元,但实际上述非税收入直接缴入省级金库或归集到C省工商行政管理局,不存在市级分成情况,系统数据不准确。
上述问题的存在,导致负责C省非税收入征收监督管理、核算的C省非税局,既无法掌握全省及省本级非税收入金额、种类等总体情况,也不具体掌握各执收单位非税收入征收、缴库情况,难以对C省非税收入征管情况开展有效监督管理。审计抽查发现,各执收单位均不同程度存在滞留非税收入情况,如C省某执收单位2010年12月成立以来的交易服务费等非税收入2000余万元一直未上缴。
4.小结
由于现在信息化的快速发展,被审计单位信息化投入很大。但信息化建设由于专业性较强,在审计监督中长期处于未被监管状态。例如,在对某企业集团的某信息系统审计时,该系统的业务文书中提到“建议UNIX服务器选择综合得分第一名的A公司、第二名的B公司为UNIX服务器中标公司,分别承担ERP硬件系统和ERP灾备系统的建设”,这种做法明显违背常识,但在系统实施的过程中竟然未有人提出异议。而且在其招投标文书中,指定了专业操作系统,而该操作系统就只能安装在B公司生产的产品上。所以,即使A公司投标得第一名,也不可能满足企业需求,招投标就是走过场而已。再者,由于信息化建设目标不科学,很多企业盲目上ERP系统,结果半途而废,或者只用了其中很少一部分功能,造成很大经济损失,也损害了企业、单位、职工对信息化建设的积极性。审计署自2007年开始,鼓励探索、开展信息系统审计,也总结了一些较好的案例和经验做法,但要形成常规有效的做法,还需要在实践中不断总结和提炼。(蒋超博)
参考文献:
1.石爱中等,《信息系统审计实务》,中国时代经济出版社
2.《审计机关企业信息系统审计研究》,《审计机关企业信息系统审计研究》课题组,审计署审计科研所审计研究报告2011年第5期
3.白永新,《信息系统绩效审计实践初探》,
http://www.audit.gov.cn/n1992130/n1992150/n1992576/2805525.html
4.陈 丰,《企业信息系统审计面对的挑战》,《中国金属通报》,2012 年第46 期
【关键词】政府审计 信息系统 经济性
1.信息系统的经济性含义
罗恩·韦伯(Ron Weber)在《信息系统控制与审计》一书中,对信息系统审计概念做出了如下描述:“信息系统审计是一个通过收集和评价审计证据,对信息系统是否能够保护资产的安全、维护数据的完整、使被审计单位的目标得以有效实现、使组织的资源得到高效使用等方面做出判断的过程。”在这个定义中,信息系统审计注重安全、数据完整、有效高效三个方面。刘家义审计长在2009年听取审计信息化建设专题汇报会上的讲话中指出,审系统,就是审计信息系统的安全性、可靠性和经济性。
在《信息系统审计实务2012》中,对信息系统系统审计目标做了详细阐述,强调信息系统审计的主要目标是“检查和促进被审计单位信息系统及其内部控制的真实性、正确性、完整性、安全性、可靠性和经济性等各类目标要素”。而经济性是指信息系统软硬件装备的技术性能及实现功能与建设投资的合理程度,包含两层含义:一是信息系统软硬件装备的技术性能及实现功能的合理程度,二是信息系统建设总体投资与利用信息技术替身业务活动效能的合理程度。
从近几年笔者开展信息系统审计的情况看,各大型央企、政府机关都加快了信息化建设,提升了管理水平,同时信息系统的投入都不少。信息系统既成为各行业财政财务收支活动的运行环境,又作为财政财务投资建设的工程主体,信息系统的安全性、可靠性和经济性自然成为政府审计的关注点 [1] 。例如,近两年所审计的两家大型国企,在“十一五”规划中,信息系统建设投入分别是92亿元、4亿元。所以,在近几年的信息系统审计中,经济性一直是作为政府审计的重点目标之一。
2.经济性审计的主要关注点和审计步骤
2.1 主要关注点
对信息系统经济性的审计主要从以下几方面开展:
Ø 信息化规划的科学性。信息化规划发展目标是否和企业、单位的发展目标一致。如果和企业单位目标不一致,会导致信息化建设缺乏科学、长远的考虑,导致信息化建设的盲目性,成为一种短期行为。
Ø 系统建设的合规性。包括系统规划、立项的科学性和合规性,是否通过相应的决策审批程序批准;系统建设招投标的合规性;系统实施和验收的真实性。
Ø 系统建设的效果性。主要关注系统建设是否满足业务发展的要求和功能,建设目标能否推动业务发展,对核心业务流程的覆盖率。
在审计实践中,由于审计资源的有限性,我们一是重点考虑企业在建设信息系统建设的合规性,经济投入的效益性,有没有系统建设的闲置浪费,未发挥效益;二是关注信息系统对业务需求满足或适应程度,评估信息系统建设的经济性。
2.2主要方法和步骤
在进入被审计单位之后,通常我们采用以下步骤开展工作:
步骤一:了解总体情况。通过发放信息系统调查表,了解被审计单位信息系统的总体情况,主要包括内容:系统名称、使用部门、用途、开发单位、系统运行的软、硬件环境,数据库系统、数据量、投入使用日期、系统投入费用等等。
步骤二:选择重点系统。结合被审计单位主要业务和审计实施方案选择重点审计系统。选择的信息系统应该有以下几点原则:
一、信息系统和被审计单位核心业务的相关性
二、和财务信息真实性相关程度。例如在企业审计中,最好能和企业的收入、销售等业务相关,系统的不可靠性可能会影响财务核算数据的准确性
三、不符合国家、企业相关政策法规要求的可能性
四、信息系统的投入较高
五、审计资源有限性
步骤三:了解系统功能。实地检查了解系统各项功能, 掌握系统整体框架、功能构造;和其他信息系统的交互性。
步骤四:资料分析。调阅系统立项、开发、实施、验收等文档材料。检查系统从立项到交付使用后的合规性。
步骤五:数据分析。采集、分析系统数据,重点关注和其它系统有交互接口的数据。系统是数据的载体,数据是信息系统处理的结果,通过数据分析,验证系统审计的疑点;通过系统审计,发现数据的不可靠性,从而避免“假电子数据”真审。
步骤六:落实取证。
在实际操作中,在调查了解阶段或审计进点前期,肯定会最先采集财务系统数据。如果财务核算系统是购买的成熟软件,通常信息系统审计时不会把它作为重点系统。在业务系统选择方面,被审计单位信息系统较多的情况下,步骤二、三、四、五可能交替反复实施。但最好能尽早确定重点审计系统,以免延误资料分析审计和数据采集的时间。
3.典型案例
案例1. A集团企业一体化系统经济性审计——招投标违规
在对某集团企业开展经济责任审计时,实施方案中明确要求检查A集团信息系统的建设和运行情况。审计中要检查集团信息系统建设和运行的安全有效,以及数据的真实性,重点检查集团信息系统的可靠性和效益性,有关设备、软件大量闲置浪费等问题,能否有效保证信息安全和满足信息化需求。
根据实施方案要求,审计人员首先发放了信息系统调查表,被审计单位返回集团本部信息系统调查表如下(单位:万元):
序号 | 系统名称 | 维护部门 | 用途 | 至审计日系统投入 |
1 | A集团公司办公自动化系统 | 信息中心 | 该系统运行公文的发送接收 | 220 |
2 | A集团公司财务核算系统 | 财务部\信息中心 | 财务系统应用模块包括:总账、固定资产和财务报表 | 390.72 |
3 | A集团公司人力资源管理系统 | 人力资源部/信息中心 | 集团公司本部及下属企业的人力资源信息管理 | 5720 |
4 | A集团预算核定系统 | 预算部 | 年度预算数据采集、分析 | 85.25 |
5 | 综合数据库系统 | 信息中心 | 生产经营、基建投资、节能环保统计,企业信息门户等 | 2336.4 |
6 | A集团公司一体化系统 | 相关业务部门/信息中心 | 集团公司本部及下属企业的财务管理、物资管理、设备管理、项目管理、燃料管理、运行管理 | 22000 |
7 | A集团公司电子商务系统 | A集团公司信息中心 | 目前用于某下属公司及其下属企业的生产及基建物资和项目的招标、直接采购和询价采购业务,同时完成供应商准入管理功能。 | 2119.227 |
8 | 实时监管系统 | 信息中心 | 实时展示集团所属企业中主要设备运行状况、参数以及性能计算 | 2013 |
9 | A集团息安全管理系统 | 信息中心 | 内外网隔离及安全管理 | 1252.9 |
10 | A集团身份认证管理系统 | 信息中心 | 1、证书管理。2、用户管理。3、认证管理.4、访问行为审计 | 635.8 |
合计 |
| 36773.297 |
调阅资料:
通过调阅设计、立项、批复文件;招投标、采购、合同签订及履行情况相关文档;项目建设、验收相关文档;系统资金拨入、使用账页凭证;需求说明书、概要设计、详细设计、业务开发、配置等相关文档;访谈项目建设人员,项目实施单位工程师等方式,了解系统建设过程。
审计发现问题:系统硬件招投标违规
2011年5月,A集团公司对一体化系统硬件项目进行邀请招标,甲计算机股份有限公司、乙数码信息系统有限公司、丙科技股份有限公司、丁集团股份有限公司应标。该项目招标书明确采用综合评分法进行评标。2011年5月,A集团召开评标会,评标小组评审结果为乙数码信息系统有限公司第一名,丁集团股份有限公司第二名,并在评审意见中明确推荐乙数码信息系统有限公司为预中标单位。2011年6月,A集团信息中心集体讨论,却推荐丁集团股份有限公司为第一名,乙数码信息系统有限公司为第二名。A集团公司于6月给丁集团股份有限公司发出中标通知书,并于7月和丁集团股份有限公司签订硬件采购合同,合同总价2000余万元。违反了《工程建设项目货物招标投标办法》“招标人应当接受评标委员会推荐的中标候选人,不得在评标委员会推荐的中标候选人之外确定中标人……”和 “使用国有资金投资或者国家融资的项目,招标人应当确定排名第一的中标候选人为中标人……”的相关规定。
案例2.C财政部门非税收入征缴系统审计——系统功能不满足业务需求
非税收入是财政收入的重要组成部分,2012年C省非税收入占公共财政预算收入的20.49%;财政部也提出要按照“金财工程”的要求建立健全本地区政府非税收入收缴系统。
在对C省的财政收支审计中,审计组了解到C省非税收入管理涉及到三个系统,一是财政票据电子化管理系统,记录执收单位电子开票征收非税收入情况;二是财政总预算会计核算管理系统,核算通过财政专户(原预算外专户)归集到财政部门的非税收入;三是财政管理信息系统,核算直接缴入国库归集到财政部门的非税收入。审计组把财政票据电子化管理系统作为此次审计重点,采集了非税收入征缴数据电子开票表、电子开票明细表,并让非税局提供系统分成表、非税收入总额等数据核对。结果非税局无法从系统本身提供非税收入总额,而且提供的项目分成表数据存在明显的数据冗余问题。经进一步调查询问,非税局承认系统本身并不存在项目分成表,给审计人员的项目分成表是从电子开票明细表中提取,提供了虚假数据。
经进一步审计,发现非税局上线的财政票据电子化管理系统功能不完善,一是未实现执收单位、执收行为的全范围覆盖。审计发现,2012年共有十余家单位从C省非税局领用非税收入手工发票5万余本,上述手工开票征收信息均未在财政票据电子化管理系统中反映;同时,相关执收单位网上银行渠道的执收行为,如C省某部门2012年通过网上银行执收的考试报名费收入3000余万元,也未在该系统反映。二是系统功能不健全,导致数据不准确。该系统未设计收费项目分成表,以实现非税收入按级次自动分成,而是依靠执收单位手工计算分成,影响数据的准确性。如系统数据反映,某市工商行政管理局企业注册登记费等非税收入省级分成40余万元、市级分成100余万元,但实际上述非税收入直接缴入省级金库或归集到C省工商行政管理局,不存在市级分成情况,系统数据不准确。
上述问题的存在,导致负责C省非税收入征收监督管理、核算的C省非税局,既无法掌握全省及省本级非税收入金额、种类等总体情况,也不具体掌握各执收单位非税收入征收、缴库情况,难以对C省非税收入征管情况开展有效监督管理。审计抽查发现,各执收单位均不同程度存在滞留非税收入情况,如C省某执收单位2010年12月成立以来的交易服务费等非税收入2000余万元一直未上缴。
4.小结
由于现在信息化的快速发展,被审计单位信息化投入很大。但信息化建设由于专业性较强,在审计监督中长期处于未被监管状态。例如,在对某企业集团的某信息系统审计时,该系统的业务文书中提到“建议UNIX服务器选择综合得分第一名的A公司、第二名的B公司为UNIX服务器中标公司,分别承担ERP硬件系统和ERP灾备系统的建设”,这种做法明显违背常识,但在系统实施的过程中竟然未有人提出异议。而且在其招投标文书中,指定了专业操作系统,而该操作系统就只能安装在B公司生产的产品上。所以,即使A公司投标得第一名,也不可能满足企业需求,招投标就是走过场而已。再者,由于信息化建设目标不科学,很多企业盲目上ERP系统,结果半途而废,或者只用了其中很少一部分功能,造成很大经济损失,也损害了企业、单位、职工对信息化建设的积极性。审计署自2007年开始,鼓励探索、开展信息系统审计,也总结了一些较好的案例和经验做法,但要形成常规有效的做法,还需要在实践中不断总结和提炼。(蒋超博)
参考文献:
1.石爱中等,《信息系统审计实务》,中国时代经济出版社
2.《审计机关企业信息系统审计研究》,《审计机关企业信息系统审计研究》课题组,审计署审计科研所审计研究报告2011年第5期
3.白永新,《信息系统绩效审计实践初探》,
http://www.audit.gov.cn/n1992130/n1992150/n1992576/2805525.html
4.陈 丰,《企业信息系统审计面对的挑战》,《中国金属通报》,2012 年第46 期
【关闭】 【打印】 |