信息系统测评与信息系统审计
2019-12-03张子良
张子良
(广东省科技基础条件平台中心,广州510033)
0 引言
根据工业和信息化部统计,2018 年我国软件和信息技术服务业规模以上企业3.78 万家,累计完成软件业务收入63061 亿元,同比增长14.2%;实现利润总额8079 亿元,同比增长9.7%;行业人均创造业务收入98.06 万元,同比增长9.6%。全国软件和信息技术服务业从业人数643 万人,比上年增加25 万人,同比增长4.2%。数据显示,我国软件和信息技术服务业运行态势良好,收入和效益保持较快增长,吸纳就业人数稳步增加,行业处于持续高质量发展状态。
1 信息系统测评与信息系统审计
行业的持续发展,云计算、大数据、人工智能等新技术的涌现和普及也给我国电子政务建设带来巨大影响,数字政府建设成为数字经济重要的组成部分,软件和信息技术服务业逐渐成为驱动数字经济发展、构建智慧社会的重要力量。一般来讲,电子政务生命周期包括立项、可研、需求、设计、实施、测试、试运行、验收等若干阶段。随着行业的不断细分,按照不同阶段的工作成果及相应技术要求,逐步延伸出针对电子政务的不同专业技术服务方,如咨询设计单位、开发实施单位、监理单位、第三方测评机构、信息系统审计机构等。服务于电子政务的信息系统测评及信息系统审计等第三方服务力量不断增强,持续为我国电子政务建设补充专业技术力量,推动电子政务建设持续向高质量、高效率、高水平方向发展。
1.1 信息系统测评与信息系统审计在电子政务领域开展情况简述
目前,国内的第三方信息系统测评机构大部分为独立的第三方实验室,正规的测评机构具备国家或地方市场监督管理局(原质量技术监督局)颁发的CMA资质或中国合格评定国家认可委员会(CNAS)的认可资质,这些实验室建立了较为规范的测评流程,并配备一定数量的专业技术人员及必备的检测设备。信息系统测试一般分为单元测试、集成测试、系统测试、验收测试、回归测试等。通常来讲,单元测试、集成测试由项目承担单位内部进行。系统测试通常由用户组织,参与单位由承建单位、监理等机构联合派出代表,形成测试团队依据系统验收方案实施测试。独立的第三方测评机构一般从事的是信息系统测试的最后一个环节:验收测试。据国家认证认可监督管理委员会发布的信息,截至2018 年底,全国共有检验检测机构3.9 万余家,获得认可资格的检验检测机构10439 家,我国累计颁发认证认可检验检测证书、获证组织数量连续多年位居世界第一,检验检测认证服务产值超过2700 亿元,成为全球增长最快、最具潜力的检验检测认证市场。以信息系统检测最为常见的软件领域为例,截止2019 年4 月底,通过中国合格评定国家认可委员会(CNAS)网站查询,获得认可的实验室中,检测对象包含软件领域的机构有291 家。信息系统测评的在广东电子政务建设中有比较高的普及度,尤其在珠三角经济发达地区,财政投资管理单位对此比较重视。广州在2007 年就出台了财政投资信息化项目验收的管理办法和实施规范,规定投资金额大于等于100 万元的大型及重大财政投资信息化建设项目在验收前需经政府采购程序确定的专业第三方测评机构进行相应的测评,测评结果作为验收的依据。近年来,广州的信息系统测评主要包含两大部分内容:一是验收测评;二是符合性检查。验收测评是依据相关规范、标准,结合项目招标文件及合同等事先编制测评方案,然后依据测评方案对指定测评对象(包括软硬件)实施检测,并在检测后出具第三方测评报告评判测评对象是否达到验收要求,如发现质量问题的,及时要求项目承担单位予以整改。符合性检查,主要是对电子政务项目建设内容完成情况、项目实施情况、项目文档等配置项等内容进行审计及检查,从整体层面如实反映电子政务项目建设及管理状况。专业第三方测评机构的介入,对提升电子政务建设质量起到了积极良好的促进作用,同时为后续的验收工作提供了准确、规范、专业的测评报告,为验收工作提供了强有力的数据及技术支撑。深圳、佛山等地也陆续出台相应的政策,规范验收测评工作,促进了当地电子政务水平的持续提升。
信息理论认为,之所以需要审计,是由于审计的结果可以使信息更加可靠,减少出现于电子政务管理当局和投资者之间潜在的信息不对称,使市场更具效率。审计的本质在于增进财务信息的价值,也即提高财务信息对信息使用者决策的正确程度。实施信息系统审计的目标是在有限的时间内,依靠有限的信息资源,采用必要的技术手段解决与被审计方的信息不对称,保证信息系统建设财政财务收支的真实性、合法性、效益性。党的十八大以来,党中央高度重视审计工作,对加强审计工作作出了一系列重要部署。在新常态下,各级政府审计机关为推进审计全覆盖,探索推行数字化审计、大数据审计等有创新性的审计方式。在此背景下,开展信息系统审计成为数字化审计的重要内容。然而,开展电子政务系统信息系统审计在我国处于较初级阶段。以广东政府审计为例,2012 年,广州市审计局结合市本级财政审计项目首次探索开展了信息系统审计,指出被审计单位信息系统存在安全隐患,信息系统未有效整合,数据共享和数据同步机制不完善等问题,得到被审计单位的高度重视并积极整改。调查发现,在开展信息化审计过程中,各级审计机关普遍面临信息化审计人才缺乏的问题,缺少信息化专业审计方法成为制约信息系统审计发展的瓶颈之一。2017 年,广东省审计厅采用公开招标的方式,确定了10 家第三方服务机构参与审计数据技术服务工作,这10 家机构不是以往的会计事务所,而是信息化服务机构。这些机构将参与到审计数据资源的梳理、规划、整合、综合利用,相关信息系统的建设、管理、使用等情况的调查以及相应的检查、测评、评估等工作。广州等地审计机关也陆续开展引入第三方技术力量,这些第三方服务机构为信息系统审计提供了必要的技术支撑,在一定程度上解决了信息系统审计人才缺乏的情况。
1.2 信息系统测评与信息系统审计的异同点分析
无论是信息系统测评还是信息系统审计,都是属于知识密集型的较为高端第三方信息化技术服务,二者都把提升信息系统质量水平作为目标之一。通常来讲,二者都发生在信息系统建设完成之后,信息系统测评所采用的方法及技术手段在信息系统审计中依然适用。
二者的不同点主要体现在以下几个方面:
第一,依据不同。信息系统测评主要依据信息化国家、地方、行业技术及验收标准,以及具体项目的招标文件、合同、技术方案等;而审计的依据更为广泛,除了测评依据的文件外,还可包括国家法律法规,地方及行业政策、以及被审计主体内部规定。
第二,范围不同。测评主要以建设结果是否满足技术要求及用户需求为判定准则,主要立足于被测评的项目本身,注重本测评项目的最终结果。审计范围更广,除了关注项目建设的成果外,还覆盖项目建设全流程及运行维护状况。审计在关注技术成果的同时,更关注项目实际绩效,以及建设过程、资金使用的合法性、规范性。必要时,还可对其他信息化项目情况进行延伸审计。
第三,实施主体不同。信息系统测评的实施主体包括信息系统承建单位设立的质量保证或测试团队、建设单位,以及第三方检测机构。而审计实施主体分类可以分为:国家政府审计、社会审计和内部审计三种,相应的承担审计工作的主体包括政府审计机关、第三方审计机构(以会计事务所为主),以及机构组织内部设立的内审机构。
1.3 信息系统测评与信息系统审计所需技术能力分析
信息系统是一个精密、复杂、综合性的人机交互系统。对一个复杂的系统进行测评,并出具令人信服的专业测评报告,对信息系统测评从业人员而言,需要大量的专业技术知识。除了最基本的软件测试理论及技能外,还要根据信息系统自身的特点,掌握其所涉及的具体计算机技术,更需要相应的业务领域背景,理解用户业务逻辑。一般而言,这些计算机专业知识包括服务器、存储硬件技术、操作系统技术、信息通信技术、网络集成技术、数据库技术、信息安全技术等其他计算机专业技术。还需要对自动化测试、性能测试、安全扫描、网络测试等测试工具熟练掌握。同时,测评的依据主要是计算机相关国家及行业技术标准,以及电子政务项目自身的招标文件及合同约定,测评人员必须对这些充分理解并掌握。另外,还应掌握项目管理,尤其是质量管理相关理论知识及方法论。还需要具备良好的沟通及书面表达能力,并拥有耐心、细致、专业的职业素养。最后,还要对大数据、云计算、物联网等新技术,并对电子政务所在领域知识持续开展追踪与学习,把握最新测试技术。
信息系统审计,依据中华人民共和国审计署《信息系统审计指南——计算机审计实务公告第34 号》的定义,是指国家审计机关依法对被审计单位信息系统的真实性、合法性、效益性和安全性进行检查监督的活动。在审计的内容上,包括应用控制、一般控制和项目管理三个方面的审计。对应每个方面又有具体的审计内容,应用控制包括:信息系统业务流程,数据输入、处理和输出的控制,信息共享和业务协同。一般控制包括:信息系统总体控制,信息安全技术控制,信息安全管理控制。项目管理包括:信息系统建设的经济性,信息系统建设管理,信息系统绩效。综合分析,应用控制、一般控制和项目管理三个方面的审计要求,从事信息系统审计的人员除应具备信息系统测评基本要求能力外,还要求较强的信息系统综合管理能力。特别的,在一般控制方面中的总体控制方面,《指南》要求的内容有:信息系统总体控制审计的目的是通过检查被审计单位信息系统总体控制的战略规划、组织架构、制度机制、岗位职责、内部监督等,分析信息系统在内部环境、风险评估、控制活动、信息与沟通、内部监督方面的有效性及其风险,形成信息系统总体控制的审计评价和结论,提出审计意见和建议,促进信息系统总体控制的完善,并为审计项目对信息系统总体控制的审计评价提供支持。从中我们可以看出,信息系统总体控制对审计人员提出了更高层次的能力要求,即要具有宏观意识和整体战略视野,能够从宏观着眼,从微观入手,能够从战略规划、组织架构、制度机制、体制制度上发现问题、分析问题、提出意见和建议。以审计一所高校的信息化建设整体工作来看,担任该信息化专题的主审人员,需要具备被审计高校信息中心主任,甚至是主管信息化建设副校长的业务能力,否则提出的审计建议只能停留在较低层次,难以令人真正信服。
综合而言,信息系统审计对于从业人员的技能提出了更高的要求。除了传统审计的沟通表达技能,丰富的财务技能外,还要求具备信息化测评等信息化从业人员需具备的信息化专业技能,还需要具备更高层次的整体全局战略分析技能。对于主审人员还应具有良好的组织协调能力,高超的沟通谈判技巧,以及敏锐的洞察力和坚定的意志力。
2 二者存在的主要问题及未来展望
国内从事检测行业的第三方测评机构一般规模都比较小。据统计,人数规模为100 人以下的检验检测机构数量占比达到96%,绝大多数检验检测机构属于小微型企业,“小散弱”现象较为突出。作为高速发展的信息技术行业,技术创新日新月异,检测机构的检测能力难以全部覆盖信息化检测技术所需。服务能力有限,相应的技术创新能力、抗风险能力都受到相应的制约。其次,在委托检测方式上,由电子政务建设单位或承建单位直接委托第三方测评机构开展检测服务,并支付检测费用的情况较为普遍,在一定程度上会影响测评结果的公正性。
信息系统审计发展处于较初级阶段,电子政务的审计主要由政府审计机关承担,尚未充分形成规范、技术服务实力强的第三方信息系统审计服务机构,信息系统审计市场还处于萌芽及培育阶段,市场活力有待激发。其次,信息系统审计国家及行业标准发展相对滞后,对于电子政务审计缺乏标准的规范与指引。同时,信息系统审计人才较为缺乏,在一定程度上限制了信息系统审计向更高层次发展。
针对检测机构存在的普遍问题,2014 年2 月国务院办公厅转发中央编办国家质检总局《关于整合检验检测认证机构的实施意见的通知》,持续推进检验检测认证机构整合做强做大,提升核心竞争力。同时,为了保证认证检测市场的健康发展,由国家市场监督管理总局牵头,不断组织开展行业整治行动,保障认证检测市场监管长期处于高压态势。在信息系统审计领域,一方面,各级审计机关着手引入大数据审计等创新性审计新方法,另一方面尝试引入第三方服务机构,不断充实信息系统审计服务技术力量,在各领域开展信息系统审计的持续探索。
随着我国市场经济的持续发展,“放管服”改革的不断深化,以及我国政府管理方式由直接管理向间接管理转变,由管理型政府向服务型政府的职能转变,为服务于政府行政管理的电子政务建设提出了更丰富的建设内涵以及更高标准的建设要求。如何推进电子政务向高质量、高效益方面发展,持续提升政府运行效率,不断增强公众信任度和满意度是电子政务建设者必须解决的问题。信息系统测评及信息系统审计必将在其中发挥愈来愈重要的作用。
