国有企业信息系统审计发展与关注点分析
刘建勋(审计署武汉办)
摘要:国有企业的信息系统审计成为中国特色社会主义审计的不可或缺的重要组成部分,本文对国有企业信息化的发展动因与对审计影响进行了分析,提出从国有企业信息系统建设、应用、资源整合、安全防护、制度建设等方面关注信息系统审计,提出通过理论研究、人才培养、技术创新、组织方式改进来推动国有企业信息系统审计发展。
关键词:国有企业审计、信息系统审计、关注点
一、国有企业信息系统审计的必要性
国有企业在国民经济社会发展中占据重要地位,中国特色社会主义审计需要关注国有企业是否依据市场环境和国家宏观政策的需要,从国有资产的经济价值和社会价值、制度价值最大化出发,进行着国有资产的投资活动,符合国有经济布局与战略调整。
近年来,信息传输数字化、信息交流全球化、信息技术应用普及化持续推动了国有企业信息化水平的提升,为国有企业的创新、转型升级和可持续发展都起到明显而积极的作用,因此国有企业的信息系统审计成为中国特色社会主义审计的不可或缺的重要组成部分。我国审计署制订了《审计署“十二五”信息化发展规划》,勾画了今后五年国有企业信息系统审计的蓝图,关注国有企业通过信息系统提高自身竞争力和创新能力、促进有效治理和内部控制将成为今后国家审计服务国家治理的基础工作之一。
二、国有企业信息化的发展动因与对审计影响
目前,国有企业信息化持续发展主要受内部因素和外部因素驱动。
国有企业信息化的内部因素是通过信息化改变企业落后的管理模式与业务流程,带动管理现代化,促使管理水平和生产力水平实现跨越式发展。国有企业信息化的外部因素则是中国市场经济改革、股东对投资回报的要求、转型升级和可持续发展带来的各种挑战和压力。
近年来,国有企业在信息化方面的投入取得了巨大的成就,对审计机关开展新系统审计而言,国有企业信息化发展所带来的影响主要体现在以下三个方面。
第一、国有企业信息化发展不平衡对信息系统审计提出挑战。随着工业化和信息化融合趋势的日益深入,国务院国资委对国有企业信息化的重要性和必要性摆到了更高的层次,2008年国务院国资委对中央企业信息化评级中,评级中A级企业17家,不达标的D、E级企业仍有18家,国有企业信息化在技术标准规范体系基础、信息化管理和技术队伍、工作管理体制和保障机制等方面差异明显,所在行业的市场特点、法律法规、文化管理对信息化基础设施、核心业务、综合管理的影响不尽相同,如何对行业差别、发展水平差别巨大的国有企业开展信息系统测评、数据采集与分析是信息系统审计面临的首要挑战。
第二、国有企业产业环境的变化对信息系统审计提出挑战。当前行业之间的竞合态势此起彼伏。以国务院常务会议通过的促进“三网融合”政策实施为例,该政策实施的目的是要打破电信网、有线电视网和计算机通信网之间的传统界限,破除广电在内容输送、电信在宽带运营领域各自的垄断。要对政策涉及行业及企业实施信息系统审计,必须跨越行业之间的鸿沟,克服传统行业审计方法难以高层把握的缺点。但是国有企业分业经营的过去、混业经营的未来,融合产业后崭新的商业形态、盈利模式,都是信息系统审计亟待求解的命题。
第三、国有企业信息化水平的提升对信息系统审计提出挑战。随着多年以来信息化的积累与推进,国有企业信息化的主动性在加强,金融行业作为信息化排头兵,一直走在国有企业信息化进程的前列。2008年中国支付行业互联网支付交易规模为2743亿元,而2011年则已经达到22038亿元,支撑了电子支付行业高速发展的是各银行的网上银行、手机银行等快捷服务,其后台是各银行纷纷建立起B2B、B2C、B2G等领域的商务支付服务体系,缺口信息分析系统、资产质量监控系统、授信审批系统、本外币清算平台的建立与优化实现了数据大集中。如果审计机关只停留在已有的信息系统审计水平上,将难以从全局的高度对金融业的发展现状和风险隐患进行审计。要对信息化水平不断提升的国有企业进行信息系统审计,不能指望一劳永逸的解决现有和未来的所有问题,如何有效评估信息化提升带来的管理创新和业务创新,是信息系统审计现实而长远的挑战。
三、国有企业信息系统审计的关注点
国有企业信息系统审计需要紧密联系国有企业信息化的现状和问题。根据国内部分研究机构的报告,当前国有企业实施信息化在建设、应用、资源整合、安全防护、制度建设等方面存在诸多问题,国有企业信息系统审计应当将此类问题纳入审计的重点,关注其对企业发展的影响。
第一、国有企业信息系统审计应关注国有企业信息系统建设情况。国有企业信息系统建设中存在同类业务多套软件应用、同类软件多版本运行、下属企业信单独选型、独立运行、分散管理等情况,审计应关注信息系统项目立项是否符合项目发展目标;是否存在与类似项目内容重复和功能交叉的情况;是否存在为了获取资金支持,忽视实际需求,盲目立项的情况;项目验收程序是否规范;项目建设目标是否完成等。
第二、国有企业信息系统审计应关注国有企业信息系统应用情况。国有企业信息系统应用中存在重建设和技术、轻应用和运维的情况,审计应关注信息系统是否进行了业务流程的重组和优化;是否建立了与业务流程有关的管理流程;业务流程和管理流程是否有利于提高决策执行效率;业务人员对于业务流程的满意程度;是否有专门部门或人员负责;运行维护过程中是否反映立项和建设过程中存在的问题;运行和维护成本是否超出预计水平;是否存在建设之前缺乏严格论证,导致后期维护运行所需的资金、技术和人才都跟不上,最终使得项目难以持续的情况。
第三、国有企业信息系统审计应关注国有企业信息系统资源整合情况。国有企业信息系统存在纵向联系紧密、横向信息不畅的信息孤岛情况,审计应该关注软硬件和网络基础设施建设规划是否统一;数据库标准和接口协议是否一致;业务系统配置是否协调;跨部门业务流程是否整合;跨部门信息传递是否准确、及时与完整等情况;是否因采取物理隔离措施将信息系统分割成信息孤岛。
第四、国有企业信息系统审计应关注国有企业信息系统安全防护情况。我国是黑客攻击的最大受害国,国有企业信息系统存在设计之初未考虑安全防护、信息安全措施落实不到位的情况,审计应关注是否缺乏全局性安全管理规划;是否建立信息安全管理的制度;信息系统设计是否考虑安全防护;安全防护手段是否有效;基础软件与工具软件是否实现了正版化;信息安全是否缺乏专业的管理人才;安全防护措施执行力度与监督力度是否充足;是否预制了安全防护紧急情况处理预案。
第五、国有企业信息系统审计应关注国有企业信息系统制度建设情况。国有企业信息系统存在制度制定不完善、培训不充分的情况,审计应关注是否制定了统一的、全局性的规章制度;是否制订了特定信息系统的运维、配置、使用制度;是否设置了信息化的办事机构;相关人员是否或得定期、不定期的信息系统培训;业务人员、技术人员是否熟知规章制度;业务开展是否严格遵循业务流程;制度落实情况是否有及时反馈。
四、推进国有企业信息系统审计的建议
国有企业信息系统建设应用是一项长期的、复杂的、动态的、跨领域的系统工程,要进一步保障、规范和存进国有企业信息化的发展,必须全面提高信息系统审计的力度和广度,增强信息系统审计的专业能力。本文认为,在当前阶段推进国有企业信息系统审计应当从以下四个方面着手。
(一)深化企业信息化理论和应用研究。
一是预先研究审计对象内外部环境变化对信息系统审计的影响。国家当前正处于加快转变经济发展方式、完善社会主义市场经济体制的关键阶段,企业不断提高自主创新能力、增强国际竞争力,信息系统审计既需要在宏观层面上对重大政策执行效果、宏观调控绩效、产业振兴规划实施情况等进行分析、评估,又要在微观层面上分析企业发展现状进行,防范可能存在的风险隐患。特别是国有企业实施信息化涉及到企业内部资源的重新配置,单纯技术上的修修补补,没有观念上的更新和配套政策的建立,就不具备可持续发展性。只有在信息系统审计政策、理论上将事中、事后审计和事前研究结合起来,才能指导信息系统审计在实践中发挥“免疫系统”功能。
二是总结归纳带有普遍性的信息系统审计方法,提炼适用特定领域的特殊性信息系统审计方法。不同类型、行业、层次的审计项目为信息系统审计提供了大量的经验,这些审计实践是是信息系统审计理论研究的宝贵财富。信息系统审计理论研究需要总结归纳出具有普遍指导意义的审计方法,使其能够在更大范围、更长期限内复用;同时信息系统审计论研究又需要对特定行业、特定对象的审计经验进行提炼,找出其特殊性所在,抓住要点,突出重点,增强实用。
(二)完善信息系统审计人才培养。
一是利用过往典型项目开展案例评讲。信息系统审计人员应当是知识面广、专业精通、经验丰富、善于分析的业务能手,通过典型案例评讲可以将个人经验升华成集体智慧,以点带面,将审计理论与审计实务有效结合,多层次、多角度、多方式的提高信息系统审计人员的业务水平和综合审计能力。
二是利用信息系统审计实验室开展探索研究。通过将企业(资源、能源、交通、制造、服务等)、金融(银行、保险、证券等)等多部门的信息资源需要整合成信息系统审计实验室,为审计人员搭建基础的信息系统审计平台。信息系统审计实验室既可以用于审计人员推演、完善审计思路,又可以用于多系统、多部门的综合分析探索,支撑信息系统审计宏观分析,定位信息系统审计违规线索,探索信息系统审计方法创新。
(三)促进信息系统审计技术创新。
一是完善信息系统审计模型体系和数据标准。信息系统审计模型体系和数据标准是从审计经验到审计知识的升华,有助于提升信息系统审计获取数据、利用数据的能力,明确抽象数据与真实业务的相关性,确定特定条件、具体特征审计事项的重点,不断产生新的新的技术方法、新的思维等,从而促成跨产品、跨机构、跨行业、跨地域的信息系统审计。
二是跟踪审计前沿技术,丰富信息系统审计手段。虚拟化、云计算、物联网、移动互联、智能计算等新兴技术代表了生产力发展的前沿,从技术角度,信息系统审计的实施实际上是与被审计单位技术上的博弈,如同地理信息系统改变土地审计方式、及时通讯技术实现互联互通一样,在可以预见的未来,审计人员将利用先进技术变革审计手段与方法降低获取、加工信息的成本,从更广阔的领域、更深层次的内涵推动信息系统审计能力提升。
(四)改进信息系统审计组织方式。
一是建立多专业融合的信息系统审计团队。多专业融合的信息系统审计团队利于发挥不同专业的优势,围绕审计目标,不同专业的人员可以从多侧面、多角度剖析审计对象和审计事项,有助于加大的数据分析力度,提高数据分析的准确度,拓展数据分析的空间,提升数据分析的效率,依靠技能互补、素质优良的集体开拓信息系统审计的新天地。
二是组建特定领域信息系统审计研究小组。信息系统审计研究小组目标是对特定领域的信息系统审计目标、方式、重点等进行研究,研究范围应涵盖资源、能源、制造、金融等诸领域,利用各种基础平台和技术手段,对特定领域亟待解决的或者有重大实用价值的课题进行研究,最大限度的发挥创新潜力为信息系统审计业务提供有价值的理论和方法,为国家审计提供数量充足、结构合理、素质优良的信息系统审计研究团队。(刘建勋)
参考文献:
[1] 刘家义.国家审计与国家治理.2011年7月8日在中国审计学会第三次理事论坛上的讲话.审计署《审计情况通报》2011年第14号.
[2] 周德铭, 熊宛皎.国家治理与国家审计信息化能力.中国审计学会计算机审计分会2011年12月07.
[3] 李俊.电子政务审计中的评估方法.审计研究动态,2007(9).
关键词:国有企业审计、信息系统审计、关注点
一、国有企业信息系统审计的必要性
国有企业在国民经济社会发展中占据重要地位,中国特色社会主义审计需要关注国有企业是否依据市场环境和国家宏观政策的需要,从国有资产的经济价值和社会价值、制度价值最大化出发,进行着国有资产的投资活动,符合国有经济布局与战略调整。
近年来,信息传输数字化、信息交流全球化、信息技术应用普及化持续推动了国有企业信息化水平的提升,为国有企业的创新、转型升级和可持续发展都起到明显而积极的作用,因此国有企业的信息系统审计成为中国特色社会主义审计的不可或缺的重要组成部分。我国审计署制订了《审计署“十二五”信息化发展规划》,勾画了今后五年国有企业信息系统审计的蓝图,关注国有企业通过信息系统提高自身竞争力和创新能力、促进有效治理和内部控制将成为今后国家审计服务国家治理的基础工作之一。
二、国有企业信息化的发展动因与对审计影响
目前,国有企业信息化持续发展主要受内部因素和外部因素驱动。
国有企业信息化的内部因素是通过信息化改变企业落后的管理模式与业务流程,带动管理现代化,促使管理水平和生产力水平实现跨越式发展。国有企业信息化的外部因素则是中国市场经济改革、股东对投资回报的要求、转型升级和可持续发展带来的各种挑战和压力。
近年来,国有企业在信息化方面的投入取得了巨大的成就,对审计机关开展新系统审计而言,国有企业信息化发展所带来的影响主要体现在以下三个方面。
第一、国有企业信息化发展不平衡对信息系统审计提出挑战。随着工业化和信息化融合趋势的日益深入,国务院国资委对国有企业信息化的重要性和必要性摆到了更高的层次,2008年国务院国资委对中央企业信息化评级中,评级中A级企业17家,不达标的D、E级企业仍有18家,国有企业信息化在技术标准规范体系基础、信息化管理和技术队伍、工作管理体制和保障机制等方面差异明显,所在行业的市场特点、法律法规、文化管理对信息化基础设施、核心业务、综合管理的影响不尽相同,如何对行业差别、发展水平差别巨大的国有企业开展信息系统测评、数据采集与分析是信息系统审计面临的首要挑战。
第二、国有企业产业环境的变化对信息系统审计提出挑战。当前行业之间的竞合态势此起彼伏。以国务院常务会议通过的促进“三网融合”政策实施为例,该政策实施的目的是要打破电信网、有线电视网和计算机通信网之间的传统界限,破除广电在内容输送、电信在宽带运营领域各自的垄断。要对政策涉及行业及企业实施信息系统审计,必须跨越行业之间的鸿沟,克服传统行业审计方法难以高层把握的缺点。但是国有企业分业经营的过去、混业经营的未来,融合产业后崭新的商业形态、盈利模式,都是信息系统审计亟待求解的命题。
第三、国有企业信息化水平的提升对信息系统审计提出挑战。随着多年以来信息化的积累与推进,国有企业信息化的主动性在加强,金融行业作为信息化排头兵,一直走在国有企业信息化进程的前列。2008年中国支付行业互联网支付交易规模为2743亿元,而2011年则已经达到22038亿元,支撑了电子支付行业高速发展的是各银行的网上银行、手机银行等快捷服务,其后台是各银行纷纷建立起B2B、B2C、B2G等领域的商务支付服务体系,缺口信息分析系统、资产质量监控系统、授信审批系统、本外币清算平台的建立与优化实现了数据大集中。如果审计机关只停留在已有的信息系统审计水平上,将难以从全局的高度对金融业的发展现状和风险隐患进行审计。要对信息化水平不断提升的国有企业进行信息系统审计,不能指望一劳永逸的解决现有和未来的所有问题,如何有效评估信息化提升带来的管理创新和业务创新,是信息系统审计现实而长远的挑战。
三、国有企业信息系统审计的关注点
国有企业信息系统审计需要紧密联系国有企业信息化的现状和问题。根据国内部分研究机构的报告,当前国有企业实施信息化在建设、应用、资源整合、安全防护、制度建设等方面存在诸多问题,国有企业信息系统审计应当将此类问题纳入审计的重点,关注其对企业发展的影响。
第一、国有企业信息系统审计应关注国有企业信息系统建设情况。国有企业信息系统建设中存在同类业务多套软件应用、同类软件多版本运行、下属企业信单独选型、独立运行、分散管理等情况,审计应关注信息系统项目立项是否符合项目发展目标;是否存在与类似项目内容重复和功能交叉的情况;是否存在为了获取资金支持,忽视实际需求,盲目立项的情况;项目验收程序是否规范;项目建设目标是否完成等。
第二、国有企业信息系统审计应关注国有企业信息系统应用情况。国有企业信息系统应用中存在重建设和技术、轻应用和运维的情况,审计应关注信息系统是否进行了业务流程的重组和优化;是否建立了与业务流程有关的管理流程;业务流程和管理流程是否有利于提高决策执行效率;业务人员对于业务流程的满意程度;是否有专门部门或人员负责;运行维护过程中是否反映立项和建设过程中存在的问题;运行和维护成本是否超出预计水平;是否存在建设之前缺乏严格论证,导致后期维护运行所需的资金、技术和人才都跟不上,最终使得项目难以持续的情况。
第三、国有企业信息系统审计应关注国有企业信息系统资源整合情况。国有企业信息系统存在纵向联系紧密、横向信息不畅的信息孤岛情况,审计应该关注软硬件和网络基础设施建设规划是否统一;数据库标准和接口协议是否一致;业务系统配置是否协调;跨部门业务流程是否整合;跨部门信息传递是否准确、及时与完整等情况;是否因采取物理隔离措施将信息系统分割成信息孤岛。
第四、国有企业信息系统审计应关注国有企业信息系统安全防护情况。我国是黑客攻击的最大受害国,国有企业信息系统存在设计之初未考虑安全防护、信息安全措施落实不到位的情况,审计应关注是否缺乏全局性安全管理规划;是否建立信息安全管理的制度;信息系统设计是否考虑安全防护;安全防护手段是否有效;基础软件与工具软件是否实现了正版化;信息安全是否缺乏专业的管理人才;安全防护措施执行力度与监督力度是否充足;是否预制了安全防护紧急情况处理预案。
第五、国有企业信息系统审计应关注国有企业信息系统制度建设情况。国有企业信息系统存在制度制定不完善、培训不充分的情况,审计应关注是否制定了统一的、全局性的规章制度;是否制订了特定信息系统的运维、配置、使用制度;是否设置了信息化的办事机构;相关人员是否或得定期、不定期的信息系统培训;业务人员、技术人员是否熟知规章制度;业务开展是否严格遵循业务流程;制度落实情况是否有及时反馈。
四、推进国有企业信息系统审计的建议
国有企业信息系统建设应用是一项长期的、复杂的、动态的、跨领域的系统工程,要进一步保障、规范和存进国有企业信息化的发展,必须全面提高信息系统审计的力度和广度,增强信息系统审计的专业能力。本文认为,在当前阶段推进国有企业信息系统审计应当从以下四个方面着手。
(一)深化企业信息化理论和应用研究。
一是预先研究审计对象内外部环境变化对信息系统审计的影响。国家当前正处于加快转变经济发展方式、完善社会主义市场经济体制的关键阶段,企业不断提高自主创新能力、增强国际竞争力,信息系统审计既需要在宏观层面上对重大政策执行效果、宏观调控绩效、产业振兴规划实施情况等进行分析、评估,又要在微观层面上分析企业发展现状进行,防范可能存在的风险隐患。特别是国有企业实施信息化涉及到企业内部资源的重新配置,单纯技术上的修修补补,没有观念上的更新和配套政策的建立,就不具备可持续发展性。只有在信息系统审计政策、理论上将事中、事后审计和事前研究结合起来,才能指导信息系统审计在实践中发挥“免疫系统”功能。
二是总结归纳带有普遍性的信息系统审计方法,提炼适用特定领域的特殊性信息系统审计方法。不同类型、行业、层次的审计项目为信息系统审计提供了大量的经验,这些审计实践是是信息系统审计理论研究的宝贵财富。信息系统审计理论研究需要总结归纳出具有普遍指导意义的审计方法,使其能够在更大范围、更长期限内复用;同时信息系统审计论研究又需要对特定行业、特定对象的审计经验进行提炼,找出其特殊性所在,抓住要点,突出重点,增强实用。
(二)完善信息系统审计人才培养。
一是利用过往典型项目开展案例评讲。信息系统审计人员应当是知识面广、专业精通、经验丰富、善于分析的业务能手,通过典型案例评讲可以将个人经验升华成集体智慧,以点带面,将审计理论与审计实务有效结合,多层次、多角度、多方式的提高信息系统审计人员的业务水平和综合审计能力。
二是利用信息系统审计实验室开展探索研究。通过将企业(资源、能源、交通、制造、服务等)、金融(银行、保险、证券等)等多部门的信息资源需要整合成信息系统审计实验室,为审计人员搭建基础的信息系统审计平台。信息系统审计实验室既可以用于审计人员推演、完善审计思路,又可以用于多系统、多部门的综合分析探索,支撑信息系统审计宏观分析,定位信息系统审计违规线索,探索信息系统审计方法创新。
(三)促进信息系统审计技术创新。
一是完善信息系统审计模型体系和数据标准。信息系统审计模型体系和数据标准是从审计经验到审计知识的升华,有助于提升信息系统审计获取数据、利用数据的能力,明确抽象数据与真实业务的相关性,确定特定条件、具体特征审计事项的重点,不断产生新的新的技术方法、新的思维等,从而促成跨产品、跨机构、跨行业、跨地域的信息系统审计。
二是跟踪审计前沿技术,丰富信息系统审计手段。虚拟化、云计算、物联网、移动互联、智能计算等新兴技术代表了生产力发展的前沿,从技术角度,信息系统审计的实施实际上是与被审计单位技术上的博弈,如同地理信息系统改变土地审计方式、及时通讯技术实现互联互通一样,在可以预见的未来,审计人员将利用先进技术变革审计手段与方法降低获取、加工信息的成本,从更广阔的领域、更深层次的内涵推动信息系统审计能力提升。
(四)改进信息系统审计组织方式。
一是建立多专业融合的信息系统审计团队。多专业融合的信息系统审计团队利于发挥不同专业的优势,围绕审计目标,不同专业的人员可以从多侧面、多角度剖析审计对象和审计事项,有助于加大的数据分析力度,提高数据分析的准确度,拓展数据分析的空间,提升数据分析的效率,依靠技能互补、素质优良的集体开拓信息系统审计的新天地。
二是组建特定领域信息系统审计研究小组。信息系统审计研究小组目标是对特定领域的信息系统审计目标、方式、重点等进行研究,研究范围应涵盖资源、能源、制造、金融等诸领域,利用各种基础平台和技术手段,对特定领域亟待解决的或者有重大实用价值的课题进行研究,最大限度的发挥创新潜力为信息系统审计业务提供有价值的理论和方法,为国家审计提供数量充足、结构合理、素质优良的信息系统审计研究团队。(刘建勋)
参考文献:
[1] 刘家义.国家审计与国家治理.2011年7月8日在中国审计学会第三次理事论坛上的讲话.审计署《审计情况通报》2011年第14号.
[2] 周德铭, 熊宛皎.国家治理与国家审计信息化能力.中国审计学会计算机审计分会2011年12月07.
[3] 李俊.电子政务审计中的评估方法.审计研究动态,2007(9).
| 【关闭】 【打印】 |
