發(fā)電企業(yè)信息化管理專項審計思考

隨著社會經(jīng)濟(jì)和信息技術(shù)的發(fā)展，世界經(jīng)濟(jì)正加速向以網(wǎng)絡(luò)信息技術(shù)產(chǎn)業(yè)為重要內(nèi)容的經(jīng)濟(jì)活動轉(zhuǎn)變，“信息化管理”及“推進(jìn)信息化建設(shè)和應(yīng)用”已深入人心，信息化管理是指以信息化帶動工業(yè)化，實現(xiàn)企業(yè)管理現(xiàn)代化的過程，它是將現(xiàn)代信息技術(shù)與先進(jìn)的管理理念相融合，轉(zhuǎn)變企業(yè)生產(chǎn)方式、經(jīng)營方式、業(yè)務(wù)流程、傳統(tǒng)管理方式和組織方式，重新整合企業(yè)內(nèi)外部資源，提高企業(yè)效率和效益、提升企業(yè)競爭力的過程。作為國有企業(yè)的二級單位、基層企業(yè)，信息化管理中存在哪些問題，如何規(guī)范管理企業(yè)信息化，發(fā)揮信息化對公司發(fā)展的引領(lǐng)作用，更需要進(jìn)行思考和總結(jié)。本文以發(fā)電企業(yè)二級單位企業(yè)信息化管理現(xiàn)狀為例，從審計角度分析了區(qū)域公司、基層發(fā)電企業(yè)信息化管理現(xiàn)狀，對專項審計發(fā)現(xiàn)的問題，以及如何加強管理提出了一些思路。

被審計單位信息化管理現(xiàn)狀

某國有發(fā)電企業(yè)實行三級管理模式，分別為集團(tuán)公司（最高管理層）、區(qū)域公司（中間管理層）、基層企業(yè)（基層管理層），信息化領(lǐng)域堅持集團(tuán)公司“統(tǒng)一規(guī)劃、統(tǒng)一標(biāo)準(zhǔn)、統(tǒng)一建設(shè)、統(tǒng)一管理”的原則，貫徹“需求主導(dǎo)、業(yè)務(wù)驅(qū)動”的理念。被審計單位主要現(xiàn)狀如下：

組織體系管理方面

一是機(jī)構(gòu)設(shè)置，區(qū)域公司“辦公室”部門是信息化工作的歸口管理部門?；鶎悠髽I(yè)中有的在“辦公室”部門內(nèi)設(shè)信息中心，有的“綜合部”是信息化工作的歸口管理部門。區(qū)域公司及所轄企業(yè)均成立了網(wǎng)絡(luò)安全和信息化管理領(lǐng)導(dǎo)小組和工作小組，企業(yè)主要負(fù)責(zé)人擔(dān)任領(lǐng)導(dǎo)小組組長，是企業(yè)網(wǎng)絡(luò)安全和信息化管理的第一責(zé)任人。二是信息化管理人員的配備，設(shè)專職或兼職1～2人，信息化運維以外委方式開展，與外包單位簽訂服務(wù)合同，派2～3人提供駐場服務(wù)。

信息系統(tǒng)資產(chǎn)管理方面

一是應(yīng)用系統(tǒng)資產(chǎn)臺賬，集團(tuán)公司開發(fā)了應(yīng)用系統(tǒng)資產(chǎn)管理平臺對所轄企業(yè)自建的應(yīng)用系統(tǒng)資產(chǎn)進(jìn)行臺賬管理。目前的應(yīng)用系統(tǒng)資產(chǎn)包括企業(yè)門戶網(wǎng)站、電力監(jiān)控系統(tǒng)、移動辦票系統(tǒng)、整改措施管理平臺。二是互聯(lián)網(wǎng)資產(chǎn)管理，被審計單位依托微信應(yīng)用程序設(shè)立了8個官方賬號用于展示企業(yè)風(fēng)貌，宣傳企業(yè)文化，尚未開發(fā)外部網(wǎng)站、APP。三是線路租用情況，被審計單位租用線路共計54條，主要就是內(nèi)外網(wǎng)及各類專線。

信息系統(tǒng)安全方面

被審計單位采用了國產(chǎn)天融信防火墻、綠盟入侵檢測系統(tǒng)（IDS）、網(wǎng)康上網(wǎng)行為管理系統(tǒng)、終端行為管理系統(tǒng)、火絨網(wǎng)絡(luò)防病毒系統(tǒng)等，保護(hù)網(wǎng)絡(luò)免受未經(jīng)授權(quán)訪問，監(jiān)控和記錄網(wǎng)絡(luò)活動。一是網(wǎng)絡(luò)安全應(yīng)急預(yù)案，大部分單位制定了應(yīng)急預(yù)案并開展演練。二是網(wǎng)絡(luò)安全等級保護(hù)，區(qū)域各單位按管理權(quán)限報告等級保護(hù)工作情況，等級保護(hù)對象按要求取得備案。三是數(shù)據(jù)安全，遵循誰所有誰負(fù)責(zé)、誰保管誰負(fù)責(zé)、誰處理誰負(fù)責(zé)的數(shù)據(jù)安全責(zé)任制原則，相關(guān)數(shù)據(jù)庫定期備份。四是信息系統(tǒng)賬號及郵箱安全，信息系統(tǒng)賬號的創(chuàng)建、修改和刪除遵從實名制和流程化管理，系統(tǒng)管理員賬號由基礎(chǔ)設(shè)施主管部門授權(quán)審批，普通用戶賬號由具體使用人員向各系統(tǒng)管理員申請。

信息化預(yù)算及項目管理方面

區(qū)域公司是本企業(yè)及管理各單位預(yù)算責(zé)任單位，負(fù)責(zé)匯總年度信息化預(yù)算方案統(tǒng)一報送集團(tuán)公司，組織開展年度預(yù)算調(diào)整工作，監(jiān)督所轄企業(yè)預(yù)算執(zhí)行情況。一是信息化資本性支出，指以信息技術(shù)為主要手段的信息網(wǎng)絡(luò)建設(shè)、信息應(yīng)用系統(tǒng)開發(fā)、網(wǎng)絡(luò)安全防護(hù)和信息資源部署等具有施工建設(shè)性質(zhì)的項目及成套商用軟件或單體設(shè)備采購項目。二是信息化運維費用，指信息系統(tǒng)維護(hù)、網(wǎng)絡(luò)安全服務(wù)、線路租用等項目。三是信息化領(lǐng)域科技創(chuàng)新，被審計單位目前尚無信息化項目研發(fā)投入歸集列報。

信息化管理專項審計存在的主要問題

組織管理方面。

信息化管理領(lǐng)導(dǎo)小組履行職責(zé)不到位，未審閱項目計劃、系統(tǒng)開發(fā)報告、重大系統(tǒng)變更報告等；未根據(jù)本單位管理實際建立網(wǎng)絡(luò)安全等級保護(hù)工作責(zé)任制。信息管理崗位分配有漏項或者未滿足不相容職責(zé)相互分離。信息系統(tǒng)從業(yè)人員未開展背景調(diào)查。未與信息化外包單位及人員簽訂保密協(xié)議。

制度建設(shè)和規(guī)劃計劃方面

未結(jié)合實際情況制定本單位制度，制度修訂更新不及時。區(qū)域公司未制定信息化規(guī)劃實施方案。

項目管理方面

主要包括需求管理、計劃預(yù)算、立項、采購及合同、建設(shè)管理、驗收、建設(shè)轉(zhuǎn)運維、后評價等環(huán)節(jié)。

一是需求管理、計劃立項階段，概念不清，存在信息化建設(shè)項目與運維項目混同，統(tǒng)籌項目與自建項目歸類不清，重復(fù)批復(fù)項目情況。

二是采購方面，詢價文件編制不嚴(yán)謹(jǐn)，詢價評審不規(guī)范。審計發(fā)現(xiàn)，有的項目詢價文件編制名稱和內(nèi)容與采購項目不符。有的項目詢價文件對業(yè)績要求描述籠統(tǒng)，與采購需求的類似性匹配度不高，某一信息系統(tǒng)安全審計服務(wù)采購項目，報價人提供的業(yè)績合同要么與信息安全無關(guān)，要么為信息設(shè)備采購合同，均不是信息安全技術(shù)服務(wù)類合同。詢價評審衡量是否具備競爭性的理由不充分，多個項目僅考慮最低價因素，未考慮有效報價人數(shù)量。未通過技術(shù)評審的理由與實際不符，有一項目詢價評審僅向最低價報價人發(fā)出《澄清函》，存在“勸退”風(fēng)險。有一項目報價人使用偽造的虛假項目業(yè)績合同書參與詢價且中標(biāo)。

三是合同方面，重要合同條款未約定，履行合同的主體與合同約定或詢價文件約定不符。未嚴(yán)格按合同約定履行。審計發(fā)現(xiàn)，有的項目詢價響應(yīng)文件未注明增值稅稅率，或合同未約定增值稅稅率，或合同約定的增值稅稅率與響應(yīng)文件注明的不一致。有的合同僅約定交貨期未約定延期交貨的處罰條款，導(dǎo)致實際執(zhí)行時對方延期履約我方無法維權(quán)。某一網(wǎng)絡(luò)防火墻審計服務(wù)項目，未按照合同約定按月提交網(wǎng)絡(luò)防火墻審計報告；從報告中發(fā)現(xiàn)合同履行的主體與合同簽訂主體不一致；項目實施人員不符合詢價文件要求的相應(yīng)資質(zhì)。

四是驗收、建設(shè)轉(zhuǎn)運維、后評價未按制度要求執(zhí)行。信息化建設(shè)項目驗收申請時間距投運時間未滿3個月，未成立項目驗收小組，未按要求組織分項驗收、綜合評價，驗收報告未由驗收小組全體成員簽字、驗收小組組長簽署驗收意見。自建項目進(jìn)入運維階段滿一年后未開展后評價工作。

五是信息化建設(shè)項目預(yù)算執(zhí)行統(tǒng)計不準(zhǔn)確、完成率低。審計中發(fā)現(xiàn)，各單位信息管理部門未建立信息化建設(shè)項目執(zhí)行情況的明細(xì)臺賬，依靠SAP系統(tǒng)統(tǒng)計項目執(zhí)行情況。經(jīng)查SAP系統(tǒng)，有的單位建立了項目編碼，但執(zhí)行時未通過項目編碼歸集；有的單位未建立項目編碼，未通過項目編碼歸集，因此目前SAP系統(tǒng)無法準(zhǔn)確統(tǒng)計出單個項目投資完成、項目資金執(zhí)行情況，可能存在項目超投資、重復(fù)付款的風(fēng)險。另外，本次審計發(fā)現(xiàn)，2022年度信息化建設(shè)，投資預(yù)算完成率64.43%；資金預(yù)算完成率63.4%。

六是成本列報和費用歸集不準(zhǔn)確，某一《數(shù)字化倉庫推廣》項目為信息化建設(shè)項目，實際執(zhí)行列入了信息化運維費；某一《SIS運維》為信息化運維項目，實際執(zhí)行列入了計劃檢修費。信息化建設(shè)項目轉(zhuǎn)固不及時，達(dá)到預(yù)定可使用狀態(tài)，未按實際支出或工程概算暫估轉(zhuǎn)固。

系統(tǒng)安全方面

未制定數(shù)據(jù)安全事件應(yīng)急預(yù)案，應(yīng)急預(yù)案演練未編制計劃安排，專項應(yīng)急預(yù)案演練的頻次不符合要求。企業(yè)門戶網(wǎng)站安全保護(hù)等級定級偏低未及時變更。已投運的新能源電站電力監(jiān)控系統(tǒng)、新開發(fā)的第二級網(wǎng)絡(luò)未定級評審，網(wǎng)絡(luò)安全等級測評頻次不滿足制度要求。未按照等級保護(hù)測評報告中發(fā)現(xiàn)的問題制定整改方案組織整改。

應(yīng)用運維方面

未見應(yīng)用系統(tǒng)管理員《操作日志》。未對數(shù)據(jù)進(jìn)行分類管理并形成數(shù)據(jù)分類目錄，分類等級不符合制度要求；未見操作系統(tǒng)管理員記錄日常監(jiān)控日志或記錄內(nèi)容不完整，未依據(jù)監(jiān)控日志編寫監(jiān)控報告；未定期編制機(jī)房運行報告，日巡檢記錄所反映事項不全；未見進(jìn)出機(jī)房的人員、物品按規(guī)定進(jìn)行登記核實的記錄。

資源資產(chǎn)方面

應(yīng)用系統(tǒng)資產(chǎn)管理平臺信息更新不及時，已投運的新能源電站電力監(jiān)控系統(tǒng)未納入登記。租賃公有基礎(chǔ)資源未按規(guī)定登記。機(jī)房內(nèi)設(shè)備及物品登記內(nèi)容不完整。

加強信息化管理的思考

針對區(qū)域公司、基層發(fā)電企業(yè)信息化管理存在的問題，以及這些問題可能帶來的風(fēng)險，要從根本上杜絕管理漏洞，提升企業(yè)管理效率，提出如下審計建議：

抓好基礎(chǔ)

一是進(jìn)一步提高政治站位。深入貫徹黨中央關(guān)于網(wǎng)絡(luò)強國的重要思想，深刻領(lǐng)會習(xí)近平總書記對網(wǎng)絡(luò)安全和信息化工作的重要指示精神，落實集團(tuán)公司信息化工作部署和要求，明確信息化管理的目標(biāo)和方向，合理制定區(qū)域公司信息化規(guī)劃實施方案。二是明確責(zé)任履職于行。網(wǎng)絡(luò)安全和信息化管理領(lǐng)導(dǎo)機(jī)構(gòu)全面加強對信息化工作的監(jiān)督，審閱規(guī)劃、計劃、重要報告，關(guān)注信息技術(shù)的發(fā)展和市場變化，靈活調(diào)整信息化管理策略；工作機(jī)構(gòu)切實履行職責(zé)，持續(xù)跟蹤和借鑒行業(yè)和領(lǐng)域的最佳實踐，不斷優(yōu)化信息化管理的方法和工具。三是持續(xù)完善制度建設(shè)。建立管用好用的制度體系，對現(xiàn)有的信息化管理制度進(jìn)行評估，制度流程和程序簡單易懂、操作性強，盡可能避免冗余和復(fù)雜化，讓制度立得起行得通有實效。

夯實安全

一是筑牢網(wǎng)絡(luò)安全防線。強化落實網(wǎng)絡(luò)安全主體責(zé)任，規(guī)范網(wǎng)絡(luò)安全等級保護(hù)工作的有序開展，對自查和等級測評中發(fā)現(xiàn)的安全風(fēng)險隱患，制定整改方案，并開展安全建設(shè)和安全隱患的整改，保障信息系統(tǒng)安全和數(shù)據(jù)安全，嚴(yán)防重大網(wǎng)絡(luò)安全事件發(fā)生。二是重視資源資產(chǎn)管理。規(guī)范應(yīng)用系統(tǒng)資產(chǎn)臺賬，按照要求填寫應(yīng)用系統(tǒng)資產(chǎn)信息并及時更新維護(hù)，保證信息的準(zhǔn)確性、一致性、完整性、實時性，定期組織信息核對。

管好項目

一是規(guī)范項目全過程管理。加強項目前期、計劃和預(yù)算、建設(shè)與實施、應(yīng)用及運維等全過程管理和監(jiān)督，確保信息化項目按時、按質(zhì)、按量完成，避免項目進(jìn)展延誤、成本超支或質(zhì)量問題，適時開展項目后評價。二是探索開展集中集采。進(jìn)一步加強信息化建設(shè)投資概算管理和預(yù)算資金分配管理。統(tǒng)籌配置各類信息化資源，集約化開展信息化項目建設(shè)工作。線路租用、網(wǎng)絡(luò)安全等級保護(hù)測評等周期性、普遍性信息化管理采購需求，區(qū)域范圍內(nèi)探索開展集中集采，減少采購批次，降低采購成本和運作成本。三是加強信息化科技創(chuàng)新。信息化項目研發(fā)投入歸集工作，是享受研發(fā)費用加計扣除和利潤加回等優(yōu)惠政策的基礎(chǔ)，便于各單位后期申報各類收益或補貼，同時能增強各單位信息化領(lǐng)域研發(fā)投入意識，為企業(yè)帶來更多科技研發(fā)成果。

激勵人員

一是加強信息化隊伍建設(shè)。堅持內(nèi)部培養(yǎng)原則，充實信息化管理團(tuán)隊，提供培訓(xùn)和學(xué)習(xí)機(jī)會，逐步加強自身運維能力建設(shè)，使其適應(yīng)信息化管理需求。在保證信息化運維質(zhì)量前提下，按照最小化原則控制外包人員數(shù)量，加強外包運維人員的資質(zhì)管理。二是用好激勵獎懲機(jī)制。在集團(tuán)公司信息化工作考核框架下，完善符合區(qū)域管理實際的考核機(jī)制和獎懲措施，做好考核的評估反饋，并提供改進(jìn)的機(jī)會，激勵管理人員積極參與信息化工作管理。

在知識經(jīng)濟(jì)時代，企業(yè)面臨更復(fù)雜更加快速多變的開放經(jīng)營環(huán)境，對企業(yè)的應(yīng)變能力、決策能力、創(chuàng)新能力都提出了更高的要求。各種能力的提高又取決于企業(yè)對其信息資源的開發(fā)和利用。因此，加強企業(yè)信息資源的管理，加快企業(yè)信息化的建設(shè)，對于企業(yè)的生存和發(fā)展有深遠(yuǎn)的影響和巨大的作用。在推進(jìn)信息化發(fā)展、企業(yè)加快信息化建設(shè)的大背景下，作為集團(tuán)公司的二級單位，信息化管理不僅要匹配集團(tuán)公司宏觀發(fā)展戰(zhàn)略，全面推動實施集團(tuán)級數(shù)字化轉(zhuǎn)型項目，更要尋找自身定位，圍繞“為業(yè)務(wù)賦能”推進(jìn)區(qū)域公司信息化管理提升，提高“數(shù)字意識”，開發(fā)分公司級統(tǒng)籌項目，推進(jìn)集中集采，提高投入產(chǎn)出效益，加強科技創(chuàng)新，研發(fā)歸集，促進(jìn)信息化支撐服務(wù)再上臺階。

（作者單位：中國華能集團(tuán)有限公司華中分公司）