目录 |
电子政务审计工作函盖了与电子政务审计有关的领域,而不仅仅是泛泛的IT审计。电子政务审计的重点在于与电子政务服务和解决方案有关的服务、管理、法律和审计风险等。
这里所指的电子政务是指政府与公民、企业,以及政府其他机构所进行的在线政府信息交换并提供相关服务。
电子政务的出现能够改变传统的政府运行模式。一些国家的政府还没有开展电子政务,另外一些国家则根据其需要和能力开展了电子政务,甚至有一些国家在发展电子政务方面走得更远。虽然如此,要建立一个无缝连接的电子政务并不是一件容易的事情,存在许多风险。到了一定程度,这些风险金对电子政务投资的经济、效率、效果产生负面影响。这些风险包括以下三个大的方面:(1) 与电子政务投资提案的准备和支持有关的风险;(2)与电子政务服务的实施(建立、运行、服务和维护)有关的风险;(3)与电子政务服务结果(效益、效果)有关的风险。
认识到建立电子政务服务所面临的风险并采取相应的管理策略对于各国政府来说都是相当重要的。
电子政务系统与一般的内含的、封闭的信息系统有所不同。与传统的系统相比,电子政务系统是一个开放的系统,更容易暴露在外界更多的风险之下。技术的广泛运用给了政府、组织和审计人员更多的挑战,需要提供更多的安全、控制和保密措施。在这方面,无论是公共部门还是私人部门都存在很多失败的教训。
电子政务审计在很多方面与其他IT 系统或工程审计类似。研究小组成员国在电子政务审计方面的经验是:与其说提供相关领域审计方陆的情单,还不如把重点放在建立电子政务服务所应考虑的事项和风险上。研究小组应该提供一个具体指南,使得各国政府能够根据指南建立自己的风险事项清单,从而能够在本国的电子政务审计中运用,检查这些风险是否得到控制。
电子政务审计的内容取决于电子政务审计的对象,包含电子政务建设周期的不同过程。被审计单位的电子政务由审批立项、招标采购、系统部署、软硬件系统、组织管理等内容组成,这些组成部分都是电子政务审计的内容。
(1)《中华人民共和国审计法》、《中华人民共和国政府采购法》、《中华人民共和国招投标法》、《中华人民共和国预算法实施条例》、《中华人民共和国合同法》、《中华人民共和国知识产权法》等;(2)《计算机软件保护条例》、《汁算机信息系统安全保护条例》、《计算机信息网络国际联网安全保护管理办法》等;(3)国家信息化领导小组《关于我国电子政务建设的指导意见》、《电子政务标准体系》、《电子政务标准化指南》、“十二金”等行业信息化指导意见等;(4)2001年11月16日国务院办公厅《关于利用计算机信息系统开展审计工作有关问题的通知(国办发[2001]88号)》、审计署《审计机关计算机辅助审计办法》、财政部《关于开展中央政府投资项目预算绩效评价工作的指导意见》等。
有学者认为,标准化的电子政务法规体系,应包括6个方面内容:基础设施建设规范、政务系统设计规范、信息资源公开规范、公众服务流程规范、政务资源管理规范、系统运行安全规范。
电子政务审计的过程中,审计人员通过收集证据来判断电子政务项目是否达到项目的真实、合法和效益,以及信息系统是否达到资源安全、数据完整、系统有效的目标。有可能出现审计人员发现不了电子政务已存在或现在缺陷和错误的情况,这就说明对电子政务的审计可能出现判断错误的情况,这种情况出现的可能性就是审计风险。审计风险包括固有风险、控制风险和检测风险。
电子政务审计的风险主要有电子政务项目本身存在的信息安全风险、项目复杂和涉及面广带来的风险、法律依据不一致可能造成的操作风险、被审计单位潜在的审计风险以及审计人员的业务素质不足和欠缺责任心等风险。
电子政务审计的风险控制,需要加强被审计单位的内部控制,加强对人员职责分离的检查,还要规范审计程序和审计方法。电子政务信息系统审计风险的控制可分为一般控制和应用控制。
电子政务审计的方法,既包括手工环境下传统的审计技术方法,也包括应用计算机的方法。一般方法包括:访谈法、文档审阅法、观察法、文字描述法、表格描述法、图形描述法、分析和质量控制法、启发式评估和界面测试法、问卷调查法等。一般方法如:(1)访谈法。访谈法能够通过由项目管理人员、技术主管和相关业务人员共同参与访谈,了解电子政务项目及其对公众服务的背景,用来收集定量的数据。
(2)文档审阅法。文档检查法除了能够了解项目和电子公共服务的相关背景之外,还能按照所选择的效率、质量和制度性联系等指标来对电子政务项目进行评估。
(3)分析和质量控制法。一些传统的项目评估中所采用的分析和质量控制方法可用于了解项目背景以及评估电子政务项目和所选择的服务。这些控制方法包括利益相关人分析、SWOT分析、风险表、计划和发现矩阵。利益相关人分析在审计中确定作为信息来源的主要参与者的时候发挥作用。SWOT分析和风险表能够分别确定项目的优势和弱势,以及项目的风险,从而确定评估的重点。计划和发现矩阵能够组织项目和所选择的公共服务的评估计划的有关信息和结果。
(4)启发式评估和界面测试法。对电子政务门户网站的启发式评估和界面测试能了解这些服务的相关背景。审计中对电子政务服务网站进行启发式评估,能够验证电子政务项目提供的服务是否符合设计文档提出的要求。
(5)问卷调查法。问卷调查方法既适用于提供网络门户和电子政务服务的管理者,又适用于用户,能够搜集不同方面的观点。
应用计算机的方法包括:测试数据法、平行模拟法、综合测试法、受控处理法等。应用计算机的方法在使用计算机处理被审计单位相关财务的电子数据和对电子政务项目建成的信息系统进行评价时尤为有效。
(1)电子政务项目财务收支和投资的真实、合法;(2)电子政务项目的效益;(3)信息系统的合法与合规、信息资产的安全与完整、电子数据的安全与完整。
电子政务审计的目标视具体的审计任务不同而不同,既可以是对电子政务项目的全面审计,也可以是对电子政务某个项目的专项审计。
介绍开展电子政务审计可以考虑关注的若干事项。
电子政务审计财务审计,某种程度上也是一种投资审计。不仅涉及到电子政务项目的财务收支,还涉及到电子政务项目的决策、规划、设计、采购、招投标、施工、监理、预决算等与项目建设有关的管理活动。财务审计需要检查和控制以上各个环节,防止出现舞弊和滥用。
设计环节的审计。通过对设计环节的审计,可以正确有效地核实实施电子政务项目的工作量与造价,有效地评价电子政务投资的合理性。
对采购环节的审计。通过对采购环节的审计,可以检查采购环节是否合乎有关规定,采购环节是否公平有效,采购数量与采购金额是否真实合理等问题。
招标投标环节的审计。通过对招标投标环节的审计,即可以查明建设单位是否严格按招标投标法实行招标,施工单位是否严格按招标投标法实行投标;也可以通过招投标书和合同书与工程结算书相互核对,查明工程量、套用定额、工程造价是否正确。
合同签订环节的审计。通过对工程合同签订环节的审计,可以了解双方的责任、权利、义务,熟悉工程承包的内容、方式、材料供应、材料价差调整、施工期限等有关条款,检查合同的履行情况。
工程施工环节的审计。对工程施工环节的审计应着重于几个方面:①审查工程材料价格真实性、合理性、合规性;②审查工程施工进度是否符合合同约定的工期要求,施工进度是否真实合理;③审查工程施工是否按照设计进行施工,有无偷工减料的现象。
工程验收环节的审计。对工程验收环节的审计主要审查工程验收环节的真实性合理性,进而核实工程造价的真实性与正确性。
工程预算环节的审计。对工程预算环节的审计有利于进一步深入实施工程决算审计,正确核实工程量与工程造价。
工程结算环节的审计。工程竣工决算结算环节的审计直接影响工程造价与建设资金。在此环节应注重:一是工程量的审计;二是取费标准的审计;三是材料差价的审计。
通过对电子政务财务审计,不仅可以发现建设资金是否及时足额到位、是否按工程进度付款、有无挤占成本挪用建设资金、有无超付工程款、有无少缴国家有关税费、甚至行贿受贿等问题,而且可以由此着手开展对电子政务投资效益的评估。
电子政务效益审计目的在于促进和改善电子政务项目的运行管理和避免浪费。
电子政务建设具有多重效益,既有经济效益,也有社会效益,还会产生综合效益。而电子政务效益审计,需着重对具体的电子政务建设项目的经济效益、社会效益进行评价。电子政务的经济效益又可分为管理效益、建设效益和服务效益等方面。管理效益,针对提高政府的公共管理效率和降低政府管理成本,电子政务应该可以通过提高政府的办公效率来削减公共行政成本,进而降低各项费用;建设效益,电子政务的建设必然有其针对性,有其项目需求和建设目标,其建设效益应充分实现预定要求;服务效益,政府通过电子政务高效率地为企业和公众服务,不仅可以提高自身的服务能力,而且还可以提高企业的竞争力和增强公众的知情权,从而潜在的发挥经济效益。电子政务建设的社会效益涉及改善政府自身发展状况和企业和居民的接受电子政务应用成果等方面。电子政务建设可以促进政府机关自身的行政运作改革,改进行政管理方法,提高行政运作效率,加快信息传递速度,简化行政运作环节和和程序,提高政府决策水平,各政府部门行业应用的信息化应该还可以显著提高行业的发展和推动技术的进步;电子政务建设除了提升自身办公效率、加强行业计算机应用以外,还应该积极推进企业和居民广泛享受电子政务带来的成果,从而带动全面提升全社会的信息化应用水平。
电子政务效益审计和其他类型的效益审计一样,在建立效益评价指标体系时可能面临一定的困难,到目前为止,还没有现成的和完善的指标体系可以利用。其经济性评价、效率性评价和效果性评价还需要审计人员在实际工作中不断摸索。在审计实务中,被审计单位在开展电子政务项目建设立项时所提交的项目建议书和可行性研究报告等前期设计文件就可以作为评价电子政务完成效果(即效果性)的很好的依据。
我们知道,信息系统审计源自于信息化环境下的被审计单位对信息系统的高度依赖,信息系统作为被审计单位业务运转的核心基础设施,其真实、完整和安全需要得到保障和验证。审计机关有必要对电子政务建设的成果,即信息系统进行相关的检查和评价。
国际上,信息系统审计发展十分迅速,也有很多成熟的经验可以借鉴。中国的电子政务信息系统审计需要为特定的目标服务。近期看,可以通过收集证据和评价被审计单位信息系统、事务和运营的整个过程,确认信息系统是否保护了资产、是否能够保证数据的完整性、运营是否有效,可以间接为财务审计和效益审计服务。远期看,还可以检查电子政务项目建成信息系统的法律遵从情况,关注IT治理、对系统开发生命周期和信息安全和业务连续性等方面进行审计。
电子政务信息系统审计,可以:①设定范围和目标;②初步检查;③确定重要性水平和评估风险;④调查内部控制:控制环境、控制活动、信息与通讯、监控等。⑤根据工作方案,完成审计程序。