數(shù)據(jù)視域下信息化項目績效審計指標探究

李瑾 錢鋼

【摘要】隨著信息技術(shù)革新進程的加快，在數(shù)量與日俱增的信息化項目中，數(shù)據(jù)的適用范圍和使用程度達到了一個全新的高度，各行各業(yè)都采用基于數(shù)據(jù)分析的模型進行業(yè)務(wù)預(yù)測、分析和處理等，但是在數(shù)據(jù)的使用、存儲和保存的過程中存在眾多的安全風(fēng)險。出于對信息安全的防護，國家和企業(yè)引進績效審計來作為一種監(jiān)督手段，以此為數(shù)據(jù)安全提供基礎(chǔ)的保障。文章在對國內(nèi)外信息化項目績效審計的評價和指標進行比較分析的基礎(chǔ)上，具體剖析我國當前數(shù)據(jù)視域下的信息化項目績效審計存在的問題，并從宏觀和微觀角度對績效審計的框架和指標進行完善，以期對信息化項目發(fā)揮安全保障及監(jiān)督作用。

【關(guān)鍵詞】數(shù)據(jù)安全；信息化項目；績效審計；審計指標；審計監(jiān)督

【中圖分類號】F239.4

一、引言

當前全球正加速從工業(yè)社會向信息社會過度，信息技術(shù)的革新不斷改變著社會生產(chǎn)和人類生活的方式。在以計算機技術(shù)、網(wǎng)絡(luò)技術(shù)、通信技術(shù)為的主要手段開展的信息化項目中，國家和作為社會經(jīng)濟活動主體的企業(yè)都高度重視。而在信息化項目中，數(shù)據(jù)占據(jù)著核心地位。數(shù)據(jù)在為資源配置提供支撐服務(wù)的同時，其安全性也面臨著嚴峻的挑戰(zhàn)，海量數(shù)據(jù)管理難、泄露方式復(fù)雜多變、手法隱蔽等導(dǎo)致類似于“Facebook數(shù)據(jù)泄露”“運營商30億用戶數(shù)據(jù)泄露”等數(shù)據(jù)安全事件頻發(fā)。究其根源，是信息化建設(shè)和安全保障系統(tǒng)并沒有達到同步，換言之，安全保障系統(tǒng)的發(fā)展遠遠落后于信息建設(shè)，因此造成了嚴重的后果。對于信息安全的防護，國家和企業(yè)會引進績效審計1來作為一種監(jiān)督手段，有效迎合數(shù)據(jù)傳輸、存儲與使用的安全管控需求，同時提高部門的工作效率。[1]針對數(shù)據(jù)安全相關(guān)活動的經(jīng)濟性、效率性和效果性所進行的績效審計已成為熱點問題。本文在理論回顧的基礎(chǔ)上，設(shè)計基于數(shù)據(jù)安全的信息化項目績效審計架構(gòu)，明晰進行考察的量化指標，形成具有可行性、科學(xué)性的績效審計監(jiān)督機制。

二、數(shù)據(jù)視域下信息化項目績效審計的現(xiàn)狀

在當今信息化技術(shù)蓬勃發(fā)展的時代，科學(xué)技術(shù)和經(jīng)濟社會高速且高質(zhì)量發(fā)展。但數(shù)據(jù)安全管理方面的不健全、操作者的失誤、第三方監(jiān)察機關(guān)的遺漏等原因，造成大量數(shù)據(jù)遺失、被篡改和盜竊等嚴重后果，數(shù)據(jù)安全面臨的危機日趨嚴重，再加之數(shù)據(jù)安全相關(guān)信息透明度不高等問題，增加了數(shù)據(jù)安全的威脅因素。為了使信息化項目的發(fā)展無后顧之憂，對于數(shù)據(jù)的安全及價值性問題等，各國都采取了信息化安全防范手段。[2]而利用績效審計避免數(shù)據(jù)安全問題，發(fā)達國家有著更早一步的了解和研究。因此，將國外和國內(nèi)基于數(shù)據(jù)安全的信息化項目績效審計的現(xiàn)狀進行比較分析，將會有更大的研究和借鑒價值[3]。

（一）國外基于數(shù)據(jù)安全的信息化項目績效審計現(xiàn)狀

1.澳大利亞

澳大利亞基于數(shù)據(jù)安全的信息化項目績效審計具有明確的法律定位與相應(yīng)的審計評價標準。這種方式不僅支撐著審計對項目的監(jiān)督，同時一定程度上促進了公共管理事業(yè)的發(fā)展。澳大利亞高度重視IT安全審計，可能得益于其較早起步的信息技術(shù)。其審計的主要目標是對聯(lián)邦公共部門互聯(lián)網(wǎng)安全措施的有效性進行評價和提供優(yōu)化實踐指南，類似于我國的信息安全等級保護測評，在做出相關(guān)評價之后要針對其中的薄弱環(huán)節(jié)提出相應(yīng)的優(yōu)化建議并記錄在案。官方發(fā)布的《澳大利亞政府信息技術(shù)安全手冊》中詳細闡明了IT安全管理和IT安全標準兩部分內(nèi)容，為基于數(shù)據(jù)安全的信息化項目審計的開展提供了主要的審計評價指標和指南，有效促進了信息化項目審計的實質(zhì)性開展。其審計評價指標主要涉及安全環(huán)境、安全管理風(fēng)險、信息管理和安全工作的監(jiān)控等，即對安全管理組織和安全管理制度中的相應(yīng)部分進行審計，并非局限于某一部分或環(huán)節(jié)，而是立足于組織層面[4]。

2.美國

美國基于數(shù)據(jù)安全的信息化項目績效審計強調(diào)遵守適用原則，即不能不顧被審計單位實際情況而盲目提出過高的要求，也不能為降低管理成本而提出較低或很容易達到卻沒有實質(zhì)性作用的要求。要根據(jù)被審計單位的重大錯報風(fēng)險、薄弱點以及管理層的風(fēng)險偏好等提出恰當?shù)臉藴?，以便達到更好的效果。同時美國還提出建立持續(xù)監(jiān)督制度的方法，在達到一定的標準之后，建立持續(xù)監(jiān)督制度，以便更好地對數(shù)據(jù)安全進行監(jiān)督和有效改進，相對于定期審計而言，擁有更低的管理成本卻能達到相似的效果。

（二）國內(nèi)基于數(shù)據(jù)安全的信息化項目績效審計現(xiàn)狀

1.吉林省長春市

2020年吉林省長春市審計局通過績效審計手段來完善信息化建設(shè)相關(guān)制度，為保障信息系統(tǒng)更加安全、可靠、高效地運行，采取了一系列措施。吉林省長春市審計局重點關(guān)注在信息系統(tǒng)建設(shè)過程中的資金使用情況，需通過審查財務(wù)數(shù)據(jù)及相關(guān)資料進行了解和分析，主要針對財務(wù)數(shù)據(jù)的存在性、合理性和合法性，進而提高信息系統(tǒng)的安全性和可靠性。吉林省長春市審計局還提出了全方位的審查，將基于數(shù)據(jù)安全的信息化項目的審計重點從某些薄弱點上升到整個組織的層面，從整體對數(shù)據(jù)安全問題進行控制，這將對基于數(shù)據(jù)安全的信息化項目績效審計的效率和效果起到提升和保障作用。

2.浙江省寧波市

浙江省寧波市審計局提出長效工作機制和協(xié)同監(jiān)管機制，這兩大措施有助于促進基于數(shù)據(jù)安全的信息化項目審計的長期有效發(fā)展。長效工作機制需要明確審計目的、審計范圍和審計重點，將基于數(shù)據(jù)安全的信息化項目績效審計納入日常審計范圍之內(nèi)，但前提是將被審計單位中存在的信息系統(tǒng)安全隱患、不到位的數(shù)據(jù)安全保障措施以及員工不規(guī)范的日常操作等問題有效解決。協(xié)同監(jiān)管機制需要加強組織管理，聯(lián)合各方力量，各司其職，在做到職責清晰和職責分離的前提下，將在低成本的基礎(chǔ)上降低審計風(fēng)險，提高審計質(zhì)量，推動數(shù)據(jù)的安全有效運行、傳輸與存儲。

三、數(shù)據(jù)視域下信息化項目績效審計的問題剖析

通過對國內(nèi)基于數(shù)據(jù)安全的信息化項目績效審計現(xiàn)狀的分析和了解，可以發(fā)現(xiàn)我國的信息化項目審計的地位已經(jīng)被提高到一定的高度，引起了大家廣泛的關(guān)注，并在為其健全和發(fā)展不斷付出努力。但是在其中有關(guān)數(shù)據(jù)安全的管理水平仍有待提高[5]，主要不足之處在于當前績效審計的評價標準和指標未予以明確，導(dǎo)致效率性、效果性和經(jīng)濟性不足而難以保障數(shù)據(jù)安全。一方面，澳大利亞基于數(shù)據(jù)安全的信息化項目審計的方法、理念和經(jīng)驗都值得我們借鑒和學(xué)習(xí)，但需要結(jié)合我國審計的法律框架、國情以及我國信息化項目審計的發(fā)展現(xiàn)狀進行有選擇的借鑒。應(yīng)當進一步提高基于數(shù)據(jù)安全的信息化項目審計的地位，在提高數(shù)據(jù)安全的同時展開對數(shù)據(jù)所依賴的信息系統(tǒng)的審計，給予數(shù)據(jù)運行和存儲等操作更加安全可靠的環(huán)境，從而進一步提高數(shù)據(jù)的安全性和可靠性。另一方面，針對審計監(jiān)督的效率性和效果性，美國在此方面卓有成效?？梢圆捎妹绹鴮徲嫷乃膫€指標，即及時性、品質(zhì)、數(shù)量和效率，通過綜合核查協(xié)助審計人員進行完整深入的審計工作。我國需要提高審計人員的工作能力和專業(yè)素養(yǎng)，從而更好地支持我國審計監(jiān)督的發(fā)展。

四、數(shù)據(jù)視域下信息化項目績效審計問題的對策

通過對基于數(shù)據(jù)安全的信息化項目審計的現(xiàn)狀分析，我們可以發(fā)現(xiàn)雖然現(xiàn)在的信息化項目審計的地位已得到凸顯、發(fā)展水平逐步提升且發(fā)展趨勢良好，但我們?nèi)孕枰捎靡恍┘婢哂行院同F(xiàn)代化的技術(shù)手段提高基于數(shù)據(jù)安全的信息化項目績效審計的效率[6]，從而進一步促進數(shù)據(jù)更加安全有效地流通和使用，提高數(shù)據(jù)信息的安全性、可靠性以及完整性。提高基于數(shù)據(jù)安全的信息化項目審計的效率，可以從基于數(shù)據(jù)安全的信息化項目審計的框架這個角度進行宏觀和微觀角度的研究[7]。

基于數(shù)據(jù)安全的信息化項目績效審計框架是指針對信息化項目審計中的數(shù)據(jù)安全層面所提出的一種審計架構(gòu)[8]，用于更加高效、規(guī)范、便捷地進行信息化項目績效審計，主要從以下四個方面著手進行調(diào)查：安全管理組織、安全管理制度、等級測評落實情況和安全防范意識。

（一）安全管理組織

安全管理組織工作實行統(tǒng)一管理，是一種基于數(shù)據(jù)安全的信息化項目績效審計框架，其重點是安全管理組織、職責清晰和職責分離這三個方面。首先，安全管理組織方面主要負責四個方面：一是建立數(shù)據(jù)安全管理組織架構(gòu)并檢查其運行有效性。二是檢查并核實存在于組織以及各個部門層面的數(shù)據(jù)安全管理目標的合法、合理性。三是檢查針對特定數(shù)據(jù)安全所做出的數(shù)據(jù)安全管理規(guī)劃的存在性、可操作性以及有效性。四是核查對基于數(shù)據(jù)安全的信息化項目審計前及過程中所采取的措施的書面記載，安全管理過程中的標準性文檔的編制、保存以及審核機制的完整性和有效性。其次，職責清晰和職責分離是指全體員工掌握組織內(nèi)部機構(gòu)設(shè)置、崗位職責、業(yè)務(wù)流程等情況，對自己的工作責任和職責范圍清晰。且企業(yè)在匹配崗位和職權(quán)的時候，要充分考慮舞弊、重大錯報風(fēng)險以及管理成本等因素的影響，在職責分離部分進行充分的考慮。通過安全管理組織、職責清晰和職責分離部分的相關(guān)措施對基于數(shù)據(jù)安全的信息化項目審計做好前期準備，提高其效率性和經(jīng)濟性。

（二）安全管理制度

安全管理制度是一系列為了保障基于數(shù)據(jù)安全的信息化項目績效審計高效進行而制定的相關(guān)條文。它的設(shè)立主要是為了控制信息化項目審計的風(fēng)險，降低重大錯報風(fēng)險、控制風(fēng)險、舞弊風(fēng)險等，將危害降低到最小。其重點是安全管理制度和安全過程控制標準文檔這兩個部分。一方面，安全管理制度的制定基礎(chǔ)是被審計單位信息化項目的數(shù)據(jù)安全所面臨的風(fēng)險，制定基調(diào)是被審計單位管理層的風(fēng)險偏好。因此，在安全管理制度部分首先要關(guān)注其對風(fēng)險等級的確定是否合理，其次是否根據(jù)相應(yīng)的風(fēng)險等級制定相對應(yīng)的安全管理制度。在制定安全管理制度的過程中要關(guān)注安全管理制度的設(shè)立、變更的評審情況和安全管理制度的遵循情況。與此同時，要對安全管理制度的變更以及所涉及的相關(guān)法律、法規(guī)、政策和標準要求，收集并整理形成合規(guī)文件清單以備后期審查與核對。另一方面，對信息化項目進行審計監(jiān)督，不可避免要對信息化項目的內(nèi)部控制進行了解和測試，一般通過穿行測試或是細節(jié)測試等方法對涉及數(shù)據(jù)安全的內(nèi)部控制進行了解和測試，在了解和測試的過程中將相關(guān)步驟、程序、問題及解決過程和結(jié)果等記錄在安全過程控制標準文檔中以備后期核查。安全過程控制標準文檔的編制、審核以及保存都應(yīng)該事先形成統(tǒng)一的標準，如編制內(nèi)容、模板、審核人員、審核的記錄情況、保存的期限和保存的內(nèi)容等，類似于審計報告的編制、審核和保存，有利于保持控制、減少舞弊等風(fēng)險的發(fā)生。

（三）等級測評落實情況

等級測評即信息安全等級保護測評，是指根據(jù)相關(guān)管理規(guī)范和技術(shù)標準，對信息系統(tǒng)安全等級保護狀況進行檢測評估的活動。在大數(shù)據(jù)時代對信息化項目進行績效審計，不可避免要對信息化項目中所涉及的信息系統(tǒng)進行相關(guān)審計，其中等級測評就是極其重要又極具說服力的測試活動。等級測評落實情況主要從安全控制測評和系統(tǒng)整體測評兩個方面進行測試以查看其落實情況。第一，安全控制測評作為等級測評的基礎(chǔ)部分，主要是為了測試評估其中的基本安全控制在信息系統(tǒng)中的實施配置情況以及其是否符合相關(guān)制度要求。安全控制測評主要是指對測評執(zhí)行情況進行了解，主要是看在系統(tǒng)發(fā)生變更時安全控制測評是否及時做出相關(guān)調(diào)整或者安全改造，以及在等保測評結(jié)果不理想時，系統(tǒng)是否根據(jù)相應(yīng)的等級保護標準要求，進行整改并做出相關(guān)記錄。第二，系統(tǒng)整體測評主要是為了測評分析所在信息系統(tǒng)的整體安全性，可以從等保機構(gòu)情況和等保頻率這兩個角度進行分析。其中，等保機構(gòu)的設(shè)置和選擇應(yīng)該以優(yōu)秀的專業(yè)技術(shù)能力和熟識行業(yè)信息系統(tǒng)為基本要求，以此來增強可靠性和說服力。等級測評應(yīng)該對等保頻率有所要求，對以往等級測評結(jié)果高和等級測評結(jié)果不理想的系統(tǒng)可以區(qū)別對待，但為保證其效果，最長不應(yīng)超過三年。

（四）安全防范意識

數(shù)據(jù)安全所面臨的危機除去固有風(fēng)險和人為不可控風(fēng)險等之外，還有由于數(shù)據(jù)使用者的操作問題所導(dǎo)致的風(fēng)險，其所帶來的危機在某些時候是不可估量的。因此，我們需要增強數(shù)據(jù)使用者、傳輸者以及存儲者等相關(guān)人員的安全操作意識，有效防止由于數(shù)據(jù)使用者不規(guī)范的操作行為或是第三方維護人員的監(jiān)督監(jiān)控不足所造成的風(fēng)險。查看是否具備相關(guān)安全防范意識可以從被審計單位的相關(guān)年度計劃方案及制度、執(zhí)行情況這兩個方面進行審查。查看被審計單位的相關(guān)年度計劃及制度，主要是為了核實被審計單位是否按期開展相關(guān)安全防范意識宣講和培訓(xùn)、應(yīng)急演練等。安全防范意識宣講和培訓(xùn)可以通過網(wǎng)絡(luò)授課檢查、期末考試的形式進行審查并能檢測培訓(xùn)結(jié)果以便后期重點調(diào)整。對于應(yīng)急演練要關(guān)注應(yīng)急預(yù)案的編制、應(yīng)急演練之前的培訓(xùn)是否規(guī)范，以及應(yīng)急演練過程中出現(xiàn)的問題是否被完整記錄在案且得到充分有效的解決。對應(yīng)急演練中的應(yīng)急保障資金的審核也應(yīng)提起足夠的重視，應(yīng)急保障資金的存在、支出等都應(yīng)該按照相關(guān)規(guī)定記錄在案并且異地備份，準確記錄應(yīng)急保障資金的使用情況，有效防止舞弊等風(fēng)險的發(fā)生。被審計單位的相關(guān)年度計劃方案及制度、執(zhí)行情況都應(yīng)該被完整記錄并按照相關(guān)規(guī)定保存一定的時間，其存儲和保存情況也應(yīng)該有所要求，有助于被審計單位員工安全防范意識的增強，從而進一步提高數(shù)據(jù)安全的可靠性。

五、結(jié)論

信息化時代，信息技術(shù)已經(jīng)和人們的日常生活完美地融合在一起，給人們帶來的發(fā)展優(yōu)勢和便利是顯而易見的。隨著大數(shù)據(jù)的蓬勃發(fā)展，數(shù)據(jù)的大爆炸、數(shù)據(jù)的有效使用和存儲等問題引發(fā)了新的數(shù)據(jù)安全問題，面對許多未知的風(fēng)險因素，數(shù)據(jù)的安全傳輸、存儲和使用等問題亟待解決。在新技術(shù)和新思維不斷被提出，科學(xué)技術(shù)還在不斷革新的情況下，我們應(yīng)該通過相關(guān)政策法規(guī)和科學(xué)技術(shù)手段的良好結(jié)合，從根本上保障數(shù)據(jù)運行環(huán)境的安全，維護數(shù)據(jù)安全，維護數(shù)據(jù)信息的安全、可靠以及完整，為社會提供更加豐富、全面的數(shù)據(jù)信息資源，推動數(shù)據(jù)資源的融合與共享。不斷提高數(shù)據(jù)的安全管理水平，促使形成數(shù)據(jù)安全和信息化不斷發(fā)展的“魚”與“熊掌”兼得的美好局面。

促進基于數(shù)據(jù)安全的信息化項目績效審計的優(yōu)化發(fā)展是我國審計發(fā)展的必然趨勢之一。通過促進其優(yōu)化發(fā)展，可以提高數(shù)據(jù)的安全性，提高業(yè)務(wù)單位的工作效率和工作質(zhì)量，提高績效審計的效率。當然，在基于數(shù)據(jù)安全的信息化項目績效審計的優(yōu)化建設(shè)過程中，相關(guān)單位需嚴格規(guī)范自己的行為，嚴格遵守相關(guān)制度，通過開展高水平的基于數(shù)據(jù)安全的信息化項目審計工作，確保審計服務(wù)的可靠性和安全性，減少審計風(fēng)險發(fā)生的可能性，打造屬于數(shù)據(jù)的安全流通環(huán)境。

但需要注意的是，基于數(shù)據(jù)安全的信息化項目績效審計的框架和指標并不是固化的、詳盡的，在后期具體實踐中需要依據(jù)被審計單位的風(fēng)險偏好、業(yè)務(wù)特點等進行相應(yīng)的調(diào)整以形成在該時段適合于該業(yè)務(wù)的具體詳細的審計框架和指標。雖然大多數(shù)業(yè)務(wù)所涉及的框架和指標并不是完全一致的，但其審計目的都是充分衡量被審計單位是否具有經(jīng)濟性、效率性和效果性?？傊?，構(gòu)建大數(shù)據(jù)時代數(shù)據(jù)安全的績效審計框架和審計指標，既需要借鑒發(fā)達國家的先進經(jīng)驗，又需要考慮我國的具體情況和發(fā)展階段，在借鑒的基礎(chǔ)上不斷完善，真正構(gòu)建出一套具有中國特色的基于數(shù)據(jù)安全的信息化項目績效審計框架和指標，將我國的數(shù)據(jù)安全和信息化項目的發(fā)展提升到一個全新的高度。

主要參考文獻：

[1]趙爽，俞紅梅.我國政府績效審計的法制建設(shè)研究[J].經(jīng)濟監(jiān)督，2018（22）：72-76.

[2]胡東華.數(shù)據(jù)安全審計過程問題控制研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2021（3）：55-57.

[3]王翠春，張莉莎.中西方國家績效審計評價標準比較與啟示[J].財會通訊，2010（10）：143-144.

[4]徐嵩舜，范垂青.澳大利亞安全審計及其啟示[J].審計月刊，2006（12）：20-21.

[5]劉一帆，葉戰(zhàn)備.美國網(wǎng)絡(luò)安全績效審計及其對我國的啟示[J].遼寧經(jīng)濟，2019（1）：52-53.

[6]陳大峰，陳海勇.大數(shù)據(jù)環(huán)境下信息系統(tǒng)趨勢審計分析[J].財會月刊，2019（17）：116-123.

[7]石永.數(shù)據(jù)安全審計方法與內(nèi)容的探索[J].中國內(nèi)部審計，2021（2）：40-42.

[8]閔志剛，趙華.體彩公益金績效審計框架構(gòu)建[J].審計月刊，2014（4）：14-16.