信息系統(tǒng)審計在電子政務中的應用

[摘 要] 電子政務是政府管理方式的革命，加快電子政務建設是深化行政管理體制改革的重要內(nèi)容，也是實現(xiàn)政府管理現(xiàn)代化的必由之路。當前，我國電子政務建設尚處在起步階段，還存在一些問題。本文通過對我國電子政務現(xiàn)狀的分析和對信息系統(tǒng)審計的介紹，進一步論述了信息系統(tǒng)審計在電子政務中應用的必要性和緊迫性，提出了一種電子政務中信息系統(tǒng)審計框架，以控制電子政務信息系統(tǒng)建設和改造項目的建設風險，并為改善和健全對電子政務信息系統(tǒng)的控制提出詳細建議。

[關鍵詞] 電子政務；信息系統(tǒng)審計；風險

[中圖分類號] F239.1

[文獻標識碼]A

[文章編號]1673-0194(2006)10-0047-03

電子政務的直接含義就是政府機構運用現(xiàn)代網(wǎng)絡通訊與計算機技術，將其內(nèi)部和外部的管理和服務職能通過精簡、優(yōu)化、整合、重組后到網(wǎng)上實現(xiàn)，打破時間、空間以及部門分隔的制約，為社會公眾以及自身提供一體化的高效、優(yōu)質(zhì)、廉潔的管理和服務。20世紀90年代信息技術的迅猛發(fā)展，特別是互聯(lián)網(wǎng)技術的普及應用，使電子政務的發(fā)展成為當代信息化的最重要的領域之一，電子政務已經(jīng)迅速地列入了所有工業(yè)化國家的政治日程。但是，電子政務的建設并不是一種輕易可以取得成功的事。無論從數(shù)量上還是從意義上看，電子政務信息系統(tǒng)建設都將是近幾年我國各級政府工作的重中之重。眾所周知，作為一項龐大復雜和長期的系統(tǒng)工程，電子政務在建設和運營維護等階段均會面臨巨大的風險。據(jù)Standish Group的報告，美國2000年所有的政府和企業(yè)的信息技術項目中，就預算、功能及按時完成3個指標衡量，大約只有28%算是成功的，23%的項目被撤消，其余的項目只能說是部分成功，不能完全按上述3個指標完成。高額的投入往往得不到預期的回報，甚至反而變成“資金黑洞”或者“IT黑洞”。可見，是否能夠?qū)@些風險進行有效的控制，將直接決定電子政務的成敗。

IS審計體系是由IT和審計相關的學科為理論基礎，以傳統(tǒng)審計為實踐基礎，以審計指南為指導，以審計工具為輔助，以審計業(yè)務為核心的有機整體。IS審計體系以提高信息系統(tǒng)資產(chǎn)的安全性，保證數(shù)據(jù)的完整性，提高系統(tǒng)效率，充分利用各種系統(tǒng)資源，提高系統(tǒng)的合法性、合規(guī)性為目標。因此，將信息系統(tǒng)審計的相關理論和方法應用于電子政務將會大大降低電子政務建設中的風險。

1我國電子政務建設現(xiàn)狀以及存在的主要問題

我國電子政務的發(fā)展可以追溯到20世紀70年代，發(fā)展過程經(jīng)歷了辦公自動化、“三金工程”、政府上網(wǎng)和電子政務4個階段。最近兩年來，電子政務開始向更高層次發(fā)展。自2001年12月國家信息化領導小組召開第一次會議以來，特別是隨著《數(shù)字簽章法》、《政府采購法》、《行政許可法》等電子政務政策法規(guī)的頒布與實施，以及以“十二金工程”為核心的電子政務項目從規(guī)劃逐步發(fā)展到應用，我國的電子政務建設如火如荼，到2004年底，中央國家機關基本上網(wǎng)，建成門戶網(wǎng)站90多個。全國各級地方政府建立的公眾網(wǎng)站總數(shù)量已突破2萬個。上海、深圳、廣州、天津等沿海城市也早已提出建設數(shù)字化城市或數(shù)碼港的計劃，其中電子政務的建設是數(shù)字城市建設的核心內(nèi)容之一。

在取得巨大成就的同時，我國電子政務出現(xiàn)了一些不成功的建設模式，如：將資金全部用于自身政務建設，與外界無便捷信息交換的“孤島型”電子政務；照搬國內(nèi)外經(jīng)驗和先進技術，卻無法應用的“克隆型”電子政務；不顧自身實際，盲目超前的“冒進型”電子政務。具體建設過程中暴露出的問題更多，如：電子政務只是政府為了方便辦公和內(nèi)部管理而進行的改造，不是為了群眾更好利用政府服務而進行的改革；電子政務建設過程中無績效分析及評估，巨大的投入沒有帶來合理的產(chǎn)出，造成有限社會資源的浪費，甚至引起貪污和腐敗；社會公眾不能充分參與和使用，失去電子政務成功的基礎；信息采集和處理以及信息資源的開發(fā)和利用不當，使電子政務成為擺設，失去建設電子政務的意義等等。

以上不正常的電子政務模式的主要原因可歸結如下：

（1）電子政務缺乏統(tǒng)一規(guī)劃，戰(zhàn)略目標不明朗，重大項目的需求邊界不清晰，建設內(nèi)容追求“大而全”，且效益目標不明確。很多信息系統(tǒng)項目建議書提出的應用需求普遍“大而全”，需求邊界不清晰，重點不突出，而且提出建設目標不明確，多數(shù)在描述社會效益，無法量化評估。因此導致的結果是：投資過大，使得有限的財力“沒有用在刀刃上”；模糊目標給“豆腐渣”工程帶來可乘之機，無法有效地對項目進行驗收，投資“黑洞”風險大。

（2）部門自成體系現(xiàn)象嚴重，跨部門應用系統(tǒng)設計成了部門內(nèi)系統(tǒng)，完整的電子政務體系被隔離成一個個獨立的“煙囪”和“孤島”。大多數(shù)跨部門的重點業(yè)務系統(tǒng)被牽頭部門設計成了部門內(nèi)系統(tǒng)，資源共建、共享模式?jīng)]有達成共識，自建、自用和自成體系的電子政務建設模式明顯，一個完整的電子政務體系被人為地割裂成了一個個“煙囪”，潛在的“信息孤島”風險突出，政府協(xié)同能力受到極大牽制。

（3）缺乏有效的績效評估體系和評估制度，重建設輕應用、重電子輕政務，電子政務投資存在很大風險。據(jù)統(tǒng)計，我國政府2003年電子政務建設政府投資總額達332.1億元，2004年投資額為412億元，占全國所有行業(yè)ＩＴ投資的10％左右。作為政府信息化工作重心的電子政務建設，如此巨大的政府投入，必須要有合理的產(chǎn)出，應堅決避免建設中亂鋪攤子、搞“政績工程”，這樣才能對人民有所交代，因此建立一個規(guī)范的風險管理機制迫在眉睫。

針對這些問題，是否存在完善的系統(tǒng)風險治理與審計活動將直接決定電子政務建設項目的成敗。因此，需要引入一種新的管理機制來對電子政務項目的安全性、投資效果、實施進程和實施效果等進行評估、指導和改進。結合國外的實踐經(jīng)驗和我國的具體情況，認為可以通過在電子政務領域中開展信息系統(tǒng)審計加以解決。

2信息系統(tǒng)審計

信息系統(tǒng)審計（Information System Audit，ISA）又稱IT審計，是指根據(jù)公認的標準和指導規(guī)范對信息系統(tǒng)及其業(yè)務應用的效能、效率、安全性進行監(jiān)測、評估和控制的過程，以確認預定的業(yè)務目標得以實現(xiàn)。具體而言，信息系統(tǒng)審計以企業(yè)或政府等組織的信息系統(tǒng)為審計對象，通過現(xiàn)代審計理論和IT管理理論，從信息資源的安全性、數(shù)據(jù)的完整性以及系統(tǒng)的有效性等方面出發(fā)，對其是否能夠有效可靠地達到組織的戰(zhàn)略目標進行全面監(jiān)測和評估，并為改善和健全組織對信息系統(tǒng)的控制提出詳細建議。

根據(jù)國外信息系統(tǒng)審計實踐，IS審計包含以下基本業(yè)務。

（1）信息系統(tǒng)的管理、規(guī)劃與組織 評價信息系統(tǒng)的管理、計劃與組織方面的策略、政策、標準、程序和相關實務。

（2）信息技術基礎設施與操作實務 評價組織在技術與操作基礎設施的管理和實施方面的有效性及效率，以確保其充分支持組織的商業(yè)目標。

（3）資產(chǎn)的保護 對邏輯、環(huán)境與信息技術基礎設施的安全性進行評價，確保其能支持組織保護信息資產(chǎn)的需要，防止信息資產(chǎn)在未經(jīng)授權的情況下被使用、披露、修改、損壞或丟失。

（4）災難恢復與業(yè)務持續(xù)計劃 這些計劃是在發(fā)生災難時，能夠使組織持續(xù)進行業(yè)務，對這種計劃的建立和維護流程需要進行評價。

（5）應用系統(tǒng)開發(fā)、獲得、實施與維護 對應用系統(tǒng)的開發(fā)、獲得、實施與維護方面所采用的方法和流程進行評價，以確保其滿足組織的業(yè)務目標。

（6）業(yè)務流程評價與風險管理 評估業(yè)務系統(tǒng)與處理流程，確保根據(jù)組織的業(yè)務目標對相應風險實施管理。

從這些概念及內(nèi)容上看，作為一種已經(jīng)得到實踐證明的信息系統(tǒng)風險控制方法，信息系統(tǒng)審計具有全面性、綜合性、實用性和可操作性的特點，這套體系和相關專家能保證在實施自身信息化進程時實現(xiàn)有效的控制，同時提高實施效率，降低信息化的實施風險以及未來的升級風險。因此如果能夠?qū)⑵湟胛覈碾娮诱阵w系，將完全可以滿足電子政務管理和控制的要求。

3信息系統(tǒng)審計在電子政務中的應用

電子政務中信息系統(tǒng)審計是以政府組織的信息系統(tǒng)為審計對象，通過現(xiàn)代審計理論和IT管理理論，從信息資源的安全性、數(shù)據(jù)的完整性以及系統(tǒng)的有效性和效率性等方面出發(fā)，對其是否能夠有效可靠地達到組織的戰(zhàn)略目標進行全面監(jiān)測和評估，并為改善和健全組織對電子政務的控制提出詳細建議。

從目前的情況看，我國絕大多數(shù)電子政務系統(tǒng)的建設還缺乏完善的風險治理與審計活動，而只是通過組織專家鑒定會等形式對系統(tǒng)的某些方而進行評價和建議。這種模式對于單個信息系統(tǒng)建設項目尚能適用，但是對于電子政務這一復雜龐大的系統(tǒng)工程卻無法應對。因此，建立一個完善、統(tǒng)一的電子政務信息系統(tǒng)建設風險治理與審計體制和一套科學、系統(tǒng)的審計辦法，從而在全局中控制電子政務信息系統(tǒng)建設和改造項目的建設風險，對于保證電子政務信息系統(tǒng)的順利運行將具有至關重要的意義。

根據(jù)筆者在電子政務系統(tǒng)開發(fā)實踐中的經(jīng)驗和對信息系統(tǒng)審計的理解，提出了一種電子政務中信息系統(tǒng)審計框架（如圖1 所示），下面對框架所涉及的內(nèi)容進行簡要的介紹。

（1） 戰(zhàn)略規(guī)劃與組織。具體的審計活動主要表現(xiàn)在根據(jù)政務的特性對政府部門軟件、硬件、責任、資源配置、信息系統(tǒng)的戰(zhàn)略、規(guī)劃、預算以及組織結構和職責劃分進行審計。

（2） 技術基礎支撐平臺。具體的審計活動主要表現(xiàn)在評估各級黨政機關技術基礎平臺建設的有效性和效率，主要體現(xiàn)在評估軟件、硬件的開發(fā)、獲取、安裝和實施，保證硬件能夠有效支持系統(tǒng)的處理過程，滿足業(yè)務的需要。

（3） 應用系統(tǒng)建設。通過對系統(tǒng)開發(fā)方法的選擇，系統(tǒng)開發(fā)工具和效率目標，系統(tǒng)開發(fā)的過程控制，項目管理的有效性，軟件開發(fā)的過程改進等幾個方面進行審計，針對政務信息系統(tǒng)的特點，以保證開發(fā)完成的系統(tǒng)與政府部門的戰(zhàn)略和標準一致。

（4） 管理與運營。對信息系統(tǒng)的物理環(huán)境和信息處理設施操作人員提供控制，以保證政府部門中的IT部門（如信息中心等）可以有效地運營與管理，使信息系統(tǒng)軟硬件可以正常工作。

（5） 風險管理與應用控制。對政務中軟件系統(tǒng)的軟件過程（主要包括需求、設計、實施、維護等階段）、項目管理、應用等各方面的風險進行審計，并加強應用的控制，從輸入、處理、輸出、數(shù)據(jù)庫等各個方面實施審計，通過測試、對比、識別、報告不正確的、丟失的或異常數(shù)據(jù)等手段，結合自動控制與手工控制，來評估應用中的控制質(zhì)量，以保證產(chǎn)生信息的可靠性。

（6） 災難恢復與業(yè)務持續(xù)計劃。為了保證政務系統(tǒng)的業(yè)務操作持續(xù)運行，保持在任何情形下都可以持續(xù)運行的能力，對業(yè)務持續(xù)計劃、異地存儲設施及其內(nèi)容、安全和環(huán)境控制以及應急措施、人員培訓、測試結果等進行審查，評估在緊急情況下，信息系統(tǒng)及其所有用戶的有效反應能力。

（7） 信息安全。對信息系統(tǒng)的邏輯安全、環(huán)境安全以及網(wǎng)絡基礎架構等進行安全評估，以確保組織能夠有效地保護信息資產(chǎn)，避免遭受未經(jīng)授權的使用、篡改、蓄意或意外損毀。

4結 論

在信息化帶動工業(yè)化，工業(yè)化促進現(xiàn)代化，全面建設小康社會和構建社會主義和諧社會的關鍵時期，加強電子政務建設是政務信息化和提高政府工作效率的必然選擇。信息化建設項目的高風險和高失敗率，與政府和企業(yè)在信息化建設決策之前，沒有進行充分的技術經(jīng)濟論證，沒有綜合論證項目技術上的先進性和可行性、財務上的實施可能性、經(jīng)濟上的合理性和有效性密切相關；與信息化項目建設進行中沒有很好地對項目進行合理的監(jiān)理和審計密切相關；與信息化項目實施中沒有進行很好的風險管理、應用控制和信息安全的審計和管理有關。因此，只有將信息系統(tǒng)審計切實應用到電子政務當中，形成有序規(guī)范的管理組織體制，制訂、頒布與電子政務相關的各項管理條例，及時指導電子政務建設的各種行為，從立項、招標、采購、設計、實施、運行、監(jiān)理、服務、培訓、管理等環(huán)節(jié)進行控制和監(jiān)督，保障電子政務系統(tǒng)建設全程工作的程序化和制度化，才能確保電子政務系統(tǒng)全面、高效地運作。

主要參考文獻

[1]許光建，阿甘. 我國電子政務市場離1750億還有多遠？[EB/OL].http://tech.sina.com.cn/e2/1021156263.shtml，2002-12-17.

[2] 袁仕福. 當前電子政務建設的問題與對策[EB/OL]. http://www.echinagov.com/dzzw/ReadNews.asp?NewsID=10789，2005-08-02.

[3] 孫強.信息系統(tǒng)審計安全、風險管理與控制[M].北京：機械工業(yè)出版社，2003.

[4] 史達，朱榮，楊洋. 電于政務信息系統(tǒng)審計的基本特征研究[J].財經(jīng)問題研究.2005，257(4):91-95.

[5] 薛偉，史達.網(wǎng)絡安全[M].大連：東北財經(jīng)大學出版社，2002.