随着信息化的快速发展,大数据、人工智能、区块链等技术的广泛应用,我国各相关组织都非常重视信息化的建设和应用。以计算机、网络、通信、数据应用等技术为手段,包括咨询服务、软件产品采购、软件研发、系统实施、硬件设备采购、系统集成、系统运行维护等信息系统项目建设和应用越来越多。但是,信息系统盲目建设、重复建设、信息孤岛、信息安全事件等层出不穷,很多单位都在尝试开展信息系统投资建设和应用审计事项,但均反映缺乏有针对性、操作性的审计标准和审计方法。从今天开始将推出信息系统审计系列辅导文章。
第一篇:
信息系统建设
是为了追求时髦吗?
01
问题的提出
问题之一:信息系统建设能否支撑组织战略实施,提高组织决策、管理、经营的效率、效果和效益?
问题之二:信息系统是不是越多越好?
问题之三:信息系统是不是越先进越好?
02
信息系统项目立项管理
信息系统项目立项及批复是指信息化项目的可行性研究报告上报、论证、检查、办理批复和项目备案管理的过程。
(一)审计目标和内容
审计目标:促进组织信息系统建设符合国家有关法律法规和组织内部制度。保证信息系统建设方案充分体现组织的战略目标,合理地保证项目的立项流程遵循了组织的规章制度,并得到了正式的审批。
审计内容:检查信息系统立项与年度计划的一致性,检查项目的可行性研究报告,重点关注需求提报、上报、技术经济论证、办理批复和项目备案管理的过程。
(二)常见的问题和风险
1.信息化建设背景、必要性尽职调查不到位,导致系统建设与规划、计划的目标偏离等风险。
2.系统需求分析不当,不符合业务处理和控制的需要,导致开发建设失败或应用价值低等风险。
3.在技术上、经济上不可行,导致系统开发失败或应用价值不符合立项目标的风险。
4.可行性研究报告或者需求说明书未经业务需求主管单位确认,需求及方案的合理性缺乏保障,后期由于需求的不断变更会导致项目成本增加或延期完成的风险。
(三)审计主要方法和程序
1.了解信息系统建设和应用现状
综合分析是否存在重复建设、信息系统相互割裂造成信息孤岛等问题和困难。
(1)信息系统规划:信息系统发展规划的制定以及规划、年度计划落实情况。
(2)信息系统建设和投入:信息系统建设程序、投入、管理,了解已完成系统和在建系统。
(3)信息系统架构和分布情况,包括信息系统主要类型、系统数量、规模和分布,绘制信息系统分布图,并了解信息系统建设覆盖面、应用覆盖率等。
(4)各信息系统的基本情况和系统之间的关联关系,以及与组织业务之间的关系。
(5)存在的困难和问题:应用中存在的主要问题、困难和矛盾。
2.收集整理立项资料
按照各单位自身的信息化分类或分级管理的规定,收集项目立项上报、审批和批复全流程涉及的文件,包括但不限于可行性研究报告、年度信息化投资计划、评审资料、批复等纸质文件或电子资料等。
3.审阅、对比分析立项主要资料
(1)分析项目建设背景:属于新建或新购项目,检查是否依据组织发展战略、规划、计划、文件、纪要及上级组织的批文、批件、业务部门提出的需求;
属于完善提升类项目,检查是否详细陈述了项目前期实施和应用的总体情况,包括基础条件、总体目标、实施范围和内容、完成的工作、取得的经验、应用效果和存在的问题。
通过上述分析,检查项目的立项是否符合信息化发展的战略、项目建设规划和年度计划,检查重复建设或信息化建设出现孤岛的风险和问题。
(2)抽查审批流程文件,从分析比对立项报告中对国内外同类信息化项目建设和应用的现状,以及本组织业务发展对信息化的需求,检查信息化立项的必要性,避免技术上的落后造成开发失败或应用价值不高等问题。
(3)检查业务需求说明、技术方案,查看业务需求描述是否清晰明确,是否包括业务功能需要、技术方向、性能指标、成本、可靠性、兼容性、可审计性、有效性、可持续性、经济性、可用性、安全性和合规性等方面。
4.检查信息化项目立项审批流程
(1)根据组织的信息化项目规章制度,收集组织现有信息化项目内控管理体系资料。
(2)依据组织的信息化项目内部控制管理体系,检查信息化项目投资立项上报审批流程;检查信息化项目立项报批流程是否按信息化内部控制和规章制度及细则执行,立项报告、投资计划、立项材料等资料是否齐全。
(3)检查立项报告,项目立项投资计划,项目背景资料文件及相关审批文件的领导签字、日期签署是否完整,时间逻辑是否一致。
通过上述内容的审计,检查项目的上报、审批流程的合规性,以及无计划立项、拆分项目躲避立项审批程序等问题和风险。
- 未完待续 -
