当前,随着信息化建设的不断深入发展,信息系统工程项目数量越来越多,工程建设资金越来越大,工程应用范围越来越广,不断加强信息系统工程审计的研讨,明确信息系统工程审计范围、内容及承担机构等问题,已成为确保信息系统工程审计顺利实施的重要内容。本文拟对信息系统工程审计范围、内容及承担机构等问题做些初步研究及探讨。
一、什么是信息系统工程
2002年12月原信息产业部关于《信息系统工程监理暂行规定》(信部信〔2002〕570号文件)的通知第三条明确指出:“本规定所称信息系统工程是指信息化工程建设中的信息网络系统、信息资源系统、信息应用系统的新建、升级、改造工程。(一)信息网络系统是指以信息技术为主要手段建立的信息处理、传输、交换和分发的计算机网络系统;(二)信息资源系统是指以信息技术为主要手段建立的信息资源采集、存储、处理的资源系统;(三)信息应用系统是指以信息技术为主要手段建立的各类业务管理的应用系统”。2005年5月中国国家标准化委正式国家标准《信息化工程监理规范》(GB/T19668.1-2005),包括:“通用布缆系统工程、电子设备机房系统工程、计算机网络系统工程、软件工程、信息化工程安全等”。由此可见,信息系统工程是指信息化工程建设中的信息网络系统、信息资源系统、信息应用系统的新建、升级、改造工程。如:政务网络工程、天网工程、智慧城市工程、农村中小学现代远程教育工程、金税金水金土金保等工程、应急指挥系统工程、安防监控系统工程及各类应用软件工程等,这些工程均需按照国家有关规定实施信息系统工程审计。
二、信息系统工程与建筑(建设)工程的区别
信息系统工程具有点多、面广、专业性强、技术要求高等特点,与建筑(建设)工程具有明显的区别。主要体现在以下方面:
1.技术浓度
建筑工程项目属于劳动密集型;而信息系统工程项目属于技术密集型。
2.可视性
建筑工程项目通常为一栋楼或一个建设群,可视性、可检查性强;信息系统工程项目可能分布在全省、市,地域广泛,可视性差,在度量和检查方面管控难度较高。
3.设计独立性
建筑工程的设计通常是由专门的设计单位承担的,或者说,建筑工程的设计单位通常不承担施工任务,而是由施工单位根据设计单位提供的设计图纸和说明书进行施工,施工过程中是不能改变原设计;而信息系统工程项目的设计与实施通常是由一个系统集成商(承建单位)承担,至少需要进行工程深化设计再实施工程施工。建筑设计行业已存在了多年,有若干单位专门从事这一行当,但到目前为止尚不存在专门从事信息系统工程设计的公司和行业,也不存在不进行系统设计而专门等着别人设计好了而自己去施工以完成信息系统工程的公司和行业。
4.变更性
建筑工程一旦施工开始,则投资单位一般不再对该建筑的功能需求、设计等方面提出变更,建筑工程队只需严格按设计图纸和说明书施工直至完成;而信息系统工程项目则不然,承建单位常常在实施过程中面对“变更”问题,特别是用户需求变更。
5.复制成本
如果由同一套筑建设计生成N套建筑工程,则一般而言,其总投资(设为TI)就应为一套建筑工程投资(设为i)的几倍(即TI=ni);而在信息系统建设中,则有TI?ni或TI??ni。所以,只要花较小甚至很小的代价,就可以将一个信息系统的软件和集成方案经过再造而成一个新的信息系统去满足类似用户需求,从而使该信息系统的知识产权所有者蒙受重大损失。
6.投资规模
建筑工程项目的投资规模与信息系统的投资规模不在同一数量级上,后者比前者小得多。所以,在确定审计费用占整个工程项目费的比例上会遇到一定困难。
7.关于工作周期
建筑工程审计期一般始于项目验收以后,不介入工程设计和施工单位招投标。而在信息系统工程项目中,如果等待工程完工后实施审计时则难以掌握工程项目中所使用的高技术设备、材料选型是否准确、数量是否属实,有可能已为国家造成一定损失或重大损失。因此,为避免信息系统工程审计滞后,更好地避免投资损失,可进行“前审计”,即对工程资金投入较大、项目复杂的信息系统工程从工程设计阶段对工程造价概算、工程重要设备选型、工程实施阶段计划等实施项目前审计,从源头上先预防问题的发生;待项目验收后再实施工程后审计,以确实达到审计效果。
8.关于变更
信息系统工程实施中的设备、材料“变更”问题比较突出,由于其专业性、技术性强,单项资金较大,可能直接影响、有时甚至会严重影响到工程质量、进度、成本,而且必然引起合同的修改、补充,这不仅增大了工作量、复杂性,而且增加了风险。
9.关于方法与手段
建筑工程可视性强,所以广泛采用工程验收后根据工程材料核查等。同样的手段对信息系统工程项目审计则难以适用,而需要独辟蹊径。例如,在设计阶段采用参加专家会审,在项目实施过程中对具有里程碑意义的关键点上进行会诊、把关,在验收阶段则强调定量测试等方法实施。由此可见,信息系统工程与一般建筑(建设)工程具有十分明显的不同专业特性,不能混为一谈。正是因为信息系统工程与建筑工程具有较明显区别,因此在信息系统工程审计中不能简单依照建筑工程审计的“老经验”、“老办法”去实施,而是要根据信息系统工程的“新形式”、“新特点”,区别对待,认真组织,才能有针对性地、圆满地完成信息系统工程审计任务。
三、信息系统工程审计范围
信息系统审计是指审计人员接受委托或授权,收集并评估证据以判断一个信息系统是否有效做到保护资产、维护数据完整并最有效率地完成组织目标的活动过程。正是由于信息系统工程审计具有专业性强、应用范围广等特点,审计部门如果对哪些工程项目需要审计,哪些工程项目不需要审计都不清楚,实施信息系统工程审计就可能陷于盲目,没有针对性。因此,掌握、了解信息系统工程审计范围是搞好工程审计的基础。
1.中华人民共和国《招标投标法》第3条规定,在中华人民共和国境内进行下列工程建设项目包括项目的勘察、设计、施工、监理以及与工程建设有关的重要设备、材料等的采购,必须进行招标:(1)大型基础设施、公用事业等关系社会公共利益、公众安全的项目;(2)全部或者部分使用国有资金投资或者国家融资的项目;(3)使用国际组织或者外国政府贷款、援助资金的项目。
2.信息产业部关于《信息系统工程监理暂行规定》(信部信〔2002〕570号文件)的通知规定:“下列信息系统工程应当实施监理:(一)部级、省部级、地市级的信息系统工程;(二)使用国家政策性银行或者国有商业银行贷款,规定需要实施监理的信息系统工程;(三)使用国家财政性资金的信息系统工程;(四)涉及国家安全、生产安全的信息系统工程;(五)国家法律、法规规定应当实施监理的其他信息系统工程”。由此可见,审计部门应对国家早已明文规定的招投标、信息系统工程监理等范围的工程项目实施信息系统工程审计。
四、信息系统工程审计主要内容
确定了信息系统工程审计范围后,还需要明确审计什么内容?否则就可能使审计工作产生偏差。因此,明确信息系统工程审计主要内容,是实施信息系统工程审计的重要一环。我们知道,信息系统工程是一项复杂的、技术含量高、实施周期较长的系统工程,即包括立项、规划、建设、应用、维护等主要阶段,并不仅仅包括工程造价等财务结算内容。比如:江西省发展改革委下发的关于印发《江西省电子政务建设项目管理暂行办法》的通知(赣发改高技 字〔2007〕1334号)规定“第十二条电子政务建设项目实行信息工程监理制度。监理费用须纳入电子政务建设项目预算。第十三条项目建设单位应严格按照批准的建设内容和规模组织实施。项目建设单位变更项目主要建设内容或调整投资概算超过百分之十的,应报发改委审核。第十四条项目完工后,项目建设单位应组织监理单位按照国家有关规定对项目进行初步验收,初步验收合格的项目投入试运行,未验收或验收不合格的项目不得投入运行。第十五条项目试运行后,项目建设单位可委托专业机构对项目进行质量和安全检测,检测通过后,项目建设单位组织项目验收,并报发改委备案,发改委会同有关部门对项目验收进行监督。面向全省跨部门的电子政务网络或应用系统,由省发改委组织相关部门对项目进行竣工验收”等规定。由此可见,对信息系统工程审计,不应只是进行单纯的工程造价审计,而应包括:
——项目是否已经实施信息系统工程监理;
———业主单位是否严格按照批准的实施内容和规模组织实施;
———工程实施程序是否规范;
———工程设备器材是否符合合同要求;
———工程设备材料变更是否确有理由及是否实施变更手续申报;
———工程决算是否完整;
———工程是否确实完成招标书及合同要求;
———工程投资是否合理;
———工程完工是否进行了检测及验收;
———工程质量是否符合国家相关规范标准;
———工程是否存在安全隐患等方面内容;
———工程文档是否齐全。
五、信息系统工程审计承担机构的选择
正是由于信息系统工程审计范围广泛、内容复杂,已经不是一般的建筑(建设)工程造价评估机构能够了解及掌握的,应该由国家法定的信息系统工程咨询、监理及财务、审计等第三方服务机构共同承担。其理由是:
1.由于目前信息系统工程审计的前提是该工程已经完工后实施,工程造价只是工程尚未开始时申请工程立项、可研编制、方案设计阶段其中的一项基本内容。因此,信息系统工程审计内容不仅仅是审计工程造价审核。
2.由于信息系统工程造价确定后已经政府采购招投标法定工作程序,按照国家有关规定已经参与政府采购招投标的机构或个人不能再参与工程审计。且一般情况下审计部门也不应按照工程完成数年后的市场价格来审计数年前的设备、材料价格。这样既与已经实施完成的政府法定工作程序相冲突,也对已经完成的信息系统工程按照数年后的市场价格来审核当年已经政府采购的设备、材料价格没有相应审计法律依据。
3.信息系统工程审计应由第三方信息系统工程咨询、监理机构及财务人员组成审计项目组实施。第三方通常指合同关系双方的两个主体之外相对独立的,有一定公正性的第三主体,一般引入第三方的目的是为了确保交易的公平、公正,避免纠纷和欺诈。而信息系统工程咨询、监理机构是由业主单位委托,不与被监理项目的承建单位存在隶属关系和利益关系的第三方法定机构,所提供的信息系统工程专项审计服务是以公正、权威的非当事人身份,根据有关法律、标准或合同的第三方技术服务机构。依据信息产业部关于《信息系统工程监理暂行规定》(信部信〔2002〕570号文件)的通知“第四条本规定所称信息系统工程监理是指依法设立且具备相应资质的信息系统工程监理单位(以下简称监理单位),受业主单位委托,依据国家有关法律法规、技术标准和信息系统工程监理合同,对信息系统工程项目实施的监督管理。第十条从事信息系统工程监理活动,应当遵循守法、公平、公正、独立的原则。第十八条监理单位的权利和义务:(一)应按照“守法、公平、公正、独立”的原则,开展信息系统工程监理工作,维护业主单位与承建单位的合法权益;(二)按照监理合同取得监理收入;(三)不得承包信息系统工程;(四)不得与被监理项目的承建单位存在隶属关系和利益关系,不得作为其投资者或合伙经营者;(五)不得以任何形式侵害业主单位和承建单位的知识产权;(六)在监理过程中因违反国家法律、法规,造成重大质量、安全事故的,应承担相应的经济责任和法律责任”及“第九条监理的主要内容是对信息系统工程的质量、进度和投资进行监督”的规定,信息系统工程监理主要方法包括对工程项目进行质量控制、进度控制、投资控制、信息管理、合同管理、协调多方面关系(三控制、二管理、一协调),保障工程项目按预期目标完成。其中投资控制包括:工程立项阶段投资概算审核、工程设计阶段投资预算审核、招标阶段投资控制、施工阶段工程计量与付款控制、验收阶段工程决算审核。由此可见,信息系统工程监理机构具有对所承担的工程监理项目投资进行监督及协助政府主管部门(发改、工信、财务、审计等)进行监督的权利、义务及不可推卸的责任。因此,在目前没有法定第三方信息系统工程专门审计机构,而原有建筑、财务审计机构对信息系统工程审计又难以具体组织实施的情况下,可由政府主管部门采用购买服务的方式,委托具有法定资质、熟悉工作程序、业务规范、可承担法律责任的第三方信息系统工程咨询或监理公司派出专门人员或行业专家,与财务审计机构派出的人员或财务、审计专家共同组成专项审计组承担相应信息系统工程项目的审计任务。当然,根据回避的原则,已经参与某项被审计工程的信息系统工程咨询、监理及财务、审计机构人员,不得参与此工程项目的信息系统工程审计。
作者:刘斌 单位:江西省计算机用户协会
