浅谈如何从工程审计的角度开展信息系统审计
王翠霞 (审计署沈阳办)
【发布时间:2013年07月17日】
字号:【大】 【中】 【小】
    信息系统审计是审计人员对以计算机为核心的信息系统进行综合检查与评价的过程,主要目标是验证信息系统的安全性、可靠性与有效性。信息系统审计所关注的内容不仅仅是财务信息与电子数据的处理过程,而是涵盖整个信息系统的全过程,即通过审查与评价信息系统的规划、开发、实施、运行和维护等一系列活动,以确定信息系统运行是否安全、可靠、有效,信息系统输出的数据是否真实、准确。
    笔者认为,信息系统其实也是一项耗用资金的建设项目,其在建设过程前期和中期都有着工程建设项目的特点。因此,可以尝试从工程项目审计的角度开展信息系统审计。
    
    一、从信息系统投资建设必要性和应用性的角度开展信息系统审计
    
    对于大型的信息系统,可以从工程项目建设的角度通过考察期投资的必要性来论证是否属于投资浪费,通过考察项目建成后的推广应用性来评价项目绩效。如,笔者在对一项投资1200万元的地理定位信息系统进行审计时发现,其建设过程中存在诸多疑点:从项目建议书,到可行性研究论证,再到立项审批的时间不合逻辑;合同在项目接近尾声之后才补充签订;合同内容与项目本身完成的内容基本不符;最终批复的概算中列示的建设内容根本没有完成,没有实现可行性研究报告中提出的建设目标;系统建成后形成的局域网本应覆盖公司总部及全国其他20个省市,但在实际使用过程中,仅有总部一台机器安装了该系统,且几乎没有使用过,更不用提进行数据更新。根据工程建设的有关法律法规,可以对上述疑点进行核实定性,即违反了基本建设程序,形成了投资浪费。
    具体来讲,审计人员应着重检查信息系统的项目建议书和可行性研究论证书的内容是否真实,编制依据是否充分,需求分析是否恰当,总体建设方案及项目预期方案是否可行,是否经过相应资质的专业机构进行评估,评估机构是否与开发单位、建设单位有关联。此外,审计人员还须了解批准概算情况,从中了解实际批复的建设内容,经与信息系统建成后的文档对比后了解建设资金的使用情况。
    
    二、从工程项目招投标审计的角度开展信息系统审计
    
    国家相关法律法规规定,全部由国家财政投资或国家资金投入,或国家资金占主体的项目,其设备采购合同价值超过100万元,或施工合同价值超过200万元,或勘察设计服务类合同价值超过50万元的,都要进行招投标。信息系统的建设一般属于勘察设计服务类合同,价值超过50万元,就应该进行招投标。但是笔者在审计中发现,由于信息系统要求具有兼容性等原因,往往第一期信息系统由某公司开发后,第二期开发也直接被委托给相应的开发公司,并未进行招投标;由于扩容等需要,有些大型信息系统的硬件设施在第一期建成之后,今后再购买设备,即使价值超过应该进行招投标的范畴,也直接与相关公司再签合同;甚至有的信息系统,在开发早期,签订合同的购买设备金额就远远超过了招投标的数额,即合同实质内容与招投标文件相背离,形成了事实上的虚假招标。
    具体来讲,审计人员应着重检查是否有设备采购未经过招投标,合同内容是否严重背离了招投标文件内容,评标是否符合相关规定;必要时,检查相关供货商,了解其中的关联关系,查找是否存在舞弊行为。
    
    三、从工程监理审计的角度开展信息系统审计
    
    《信息系统工程监理暂行规定》、《信息系统工程监理单位资质管理办法》、《信息系统工程监理工程师资格管理办法》等有关信息系统监理的法规已颁布数年。信息系统工程监理是指依法设立且具备相应资质的信息系统工程监理单位,受业主单位委托,依据国家有关法律法规、技术标准和信息系统工程监理合同,对信息系统工程项目实施的监督管理。
    
    具体来讲,审计人员应着重检查信息系统监理合同及日志,监理公司的监理资质是否符合相关规定,从业人员的资质是否满足相关要求,查看日常监理日志,了解监理的履职程度,从侧面判断信息系统建设的可靠性和安全性。(王翠霞)
    
【关闭】    【打印】