數據視域下信息化項目績效審計指標探究

李瑾 錢鋼

【摘要】隨著信息技術革新進程的加快，在數量與日俱增的信息化項目中，數據的適用范圍和使用程度達到了一個全新的高度，各行各業都采用基于數據分析的模型進行業務預測、分析和處理等，但是在數據的使用、存儲和保存的過程中存在眾多的安全風險。出于對信息安全的防護，國家和企業引進績效審計來作為一種監督手段，以此為數據安全提供基礎的保障。文章在對國內外信息化項目績效審計的評價和指標進行比較分析的基礎上，具體剖析我國當前數據視域下的信息化項目績效審計存在的問題，并從宏觀和微觀角度對績效審計的框架和指標進行完善，以期對信息化項目發揮安全保障及監督作用。

【關鍵詞】數據安全；信息化項目；績效審計；審計指標；審計監督

【中圖分類號】F239.4

一、引言

當前全球正加速從工業社會向信息社會過度，信息技術的革新不斷改變著社會生產和人類生活的方式。在以計算機技術、網絡技術、通信技術為的主要手段開展的信息化項目中，國家和作為社會經濟活動主體的企業都高度重視。而在信息化項目中，數據占據著核心地位。數據在為資源配置提供支撐服務的同時，其安全性也面臨著嚴峻的挑戰，海量數據管理難、泄露方式復雜多變、手法隱蔽等導致類似于“Facebook數據泄露”“運營商30億用戶數據泄露”等數據安全事件頻發。究其根源，是信息化建設和安全保障系統并沒有達到同步，換言之，安全保障系統的發展遠遠落后于信息建設，因此造成了嚴重的后果。對于信息安全的防護，國家和企業會引進績效審計1來作為一種監督手段，有效迎合數據傳輸、存儲與使用的安全管控需求，同時提高部門的工作效率。[1]針對數據安全相關活動的經濟性、效率性和效果性所進行的績效審計已成為熱點問題。本文在理論回顧的基礎上，設計基于數據安全的信息化項目績效審計架構，明晰進行考察的量化指標，形成具有可行性、科學性的績效審計監督機制。

二、數據視域下信息化項目績效審計的現狀

在當今信息化技術蓬勃發展的時代，科學技術和經濟社會高速且高質量發展。但數據安全管理方面的不健全、操作者的失誤、第三方監察機關的遺漏等原因，造成大量數據遺失、被篡改和盜竊等嚴重后果，數據安全面臨的危機日趨嚴重，再加之數據安全相關信息透明度不高等問題，增加了數據安全的威脅因素。為了使信息化項目的發展無后顧之憂，對于數據的安全及價值性問題等，各國都采取了信息化安全防范手段。[2]而利用績效審計避免數據安全問題，發達國家有著更早一步的了解和研究。因此，將國外和國內基于數據安全的信息化項目績效審計的現狀進行比較分析，將會有更大的研究和借鑒價值[3]。

（一）國外基于數據安全的信息化項目績效審計現狀

1.澳大利亞

澳大利亞基于數據安全的信息化項目績效審計具有明確的法律定位與相應的審計評價標準。這種方式不僅支撐著審計對項目的監督，同時一定程度上促進了公共管理事業的發展。澳大利亞高度重視IT安全審計，可能得益于其較早起步的信息技術。其審計的主要目標是對聯邦公共部門互聯網安全措施的有效性進行評價和提供優化實踐指南，類似于我國的信息安全等級保護測評，在做出相關評價之后要針對其中的薄弱環節提出相應的優化建議并記錄在案。官方發布的《澳大利亞政府信息技術安全手冊》中詳細闡明了IT安全管理和IT安全標準兩部分內容，為基于數據安全的信息化項目審計的開展提供了主要的審計評價指標和指南，有效促進了信息化項目審計的實質性開展。其審計評價指標主要涉及安全環境、安全管理風險、信息管理和安全工作的監控等，即對安全管理組織和安全管理制度中的相應部分進行審計，并非局限于某一部分或環節，而是立足于組織層面[4]。

2.美國

美國基于數據安全的信息化項目績效審計強調遵守適用原則，即不能不顧被審計單位實際情況而盲目提出過高的要求，也不能為降低管理成本而提出較低或很容易達到卻沒有實質性作用的要求。要根據被審計單位的重大錯報風險、薄弱點以及管理層的風險偏好等提出恰當的標準，以便達到更好的效果。同時美國還提出建立持續監督制度的方法，在達到一定的標準之后，建立持續監督制度，以便更好地對數據安全進行監督和有效改進，相對于定期審計而言，擁有更低的管理成本卻能達到相似的效果。

（二）國內基于數據安全的信息化項目績效審計現狀

1.吉林省長春市

2020年吉林省長春市審計局通過績效審計手段來完善信息化建設相關制度，為保障信息系統更加安全、可靠、高效地運行，采取了一系列措施。吉林省長春市審計局重點關注在信息系統建設過程中的資金使用情況，需通過審查財務數據及相關資料進行了解和分析，主要針對財務數據的存在性、合理性和合法性，進而提高信息系統的安全性和可靠性。吉林省長春市審計局還提出了全方位的審查，將基于數據安全的信息化項目的審計重點從某些薄弱點上升到整個組織的層面，從整體對數據安全問題進行控制，這將對基于數據安全的信息化項目績效審計的效率和效果起到提升和保障作用。

2.浙江省寧波市

浙江省寧波市審計局提出長效工作機制和協同監管機制，這兩大措施有助于促進基于數據安全的信息化項目審計的長期有效發展。長效工作機制需要明確審計目的、審計范圍和審計重點，將基于數據安全的信息化項目績效審計納入日常審計范圍之內，但前提是將被審計單位中存在的信息系統安全隱患、不到位的數據安全保障措施以及員工不規范的日常操作等問題有效解決。協同監管機制需要加強組織管理，聯合各方力量，各司其職，在做到職責清晰和職責分離的前提下，將在低成本的基礎上降低審計風險，提高審計質量，推動數據的安全有效運行、傳輸與存儲。

三、數據視域下信息化項目績效審計的問題剖析

通過對國內基于數據安全的信息化項目績效審計現狀的分析和了解，可以發現我國的信息化項目審計的地位已經被提高到一定的高度，引起了大家廣泛的關注，并在為其健全和發展不斷付出努力。但是在其中有關數據安全的管理水平仍有待提高[5]，主要不足之處在于當前績效審計的評價標準和指標未予以明確，導致效率性、效果性和經濟性不足而難以保障數據安全。一方面，澳大利亞基于數據安全的信息化項目審計的方法、理念和經驗都值得我們借鑒和學習，但需要結合我國審計的法律框架、國情以及我國信息化項目審計的發展現狀進行有選擇的借鑒。應當進一步提高基于數據安全的信息化項目審計的地位，在提高數據安全的同時展開對數據所依賴的信息系統的審計，給予數據運行和存儲等操作更加安全可靠的環境，從而進一步提高數據的安全性和可靠性。另一方面，針對審計監督的效率性和效果性，美國在此方面卓有成效。可以采用美國審計的四個指標，即及時性、品質、數量和效率，通過綜合核查協助審計人員進行完整深入的審計工作。我國需要提高審計人員的工作能力和專業素養，從而更好地支持我國審計監督的發展。

四、數據視域下信息化項目績效審計問題的對策

通過對基于數據安全的信息化項目審計的現狀分析，我們可以發現雖然現在的信息化項目審計的地位已得到凸顯、發展水平逐步提升且發展趨勢良好，但我們仍需要采用一些兼具有效性和現代化的技術手段提高基于數據安全的信息化項目績效審計的效率[6]，從而進一步促進數據更加安全有效地流通和使用，提高數據信息的安全性、可靠性以及完整性。提高基于數據安全的信息化項目審計的效率，可以從基于數據安全的信息化項目審計的框架這個角度進行宏觀和微觀角度的研究[7]。

基于數據安全的信息化項目績效審計框架是指針對信息化項目審計中的數據安全層面所提出的一種審計架構[8]，用于更加高效、規范、便捷地進行信息化項目績效審計，主要從以下四個方面著手進行調查：安全管理組織、安全管理制度、等級測評落實情況和安全防范意識。

（一）安全管理組織

安全管理組織工作實行統一管理，是一種基于數據安全的信息化項目績效審計框架，其重點是安全管理組織、職責清晰和職責分離這三個方面。首先，安全管理組織方面主要負責四個方面：一是建立數據安全管理組織架構并檢查其運行有效性。二是檢查并核實存在于組織以及各個部門層面的數據安全管理目標的合法、合理性。三是檢查針對特定數據安全所做出的數據安全管理規劃的存在性、可操作性以及有效性。四是核查對基于數據安全的信息化項目審計前及過程中所采取的措施的書面記載，安全管理過程中的標準性文檔的編制、保存以及審核機制的完整性和有效性。其次，職責清晰和職責分離是指全體員工掌握組織內部機構設置、崗位職責、業務流程等情況，對自己的工作責任和職責范圍清晰。且企業在匹配崗位和職權的時候，要充分考慮舞弊、重大錯報風險以及管理成本等因素的影響，在職責分離部分進行充分的考慮。通過安全管理組織、職責清晰和職責分離部分的相關措施對基于數據安全的信息化項目審計做好前期準備，提高其效率性和經濟性。

（二）安全管理制度

安全管理制度是一系列為了保障基于數據安全的信息化項目績效審計高效進行而制定的相關條文。它的設立主要是為了控制信息化項目審計的風險，降低重大錯報風險、控制風險、舞弊風險等，將危害降低到最小。其重點是安全管理制度和安全過程控制標準文檔這兩個部分。一方面，安全管理制度的制定基礎是被審計單位信息化項目的數據安全所面臨的風險，制定基調是被審計單位管理層的風險偏好。因此，在安全管理制度部分首先要關注其對風險等級的確定是否合理，其次是否根據相應的風險等級制定相對應的安全管理制度。在制定安全管理制度的過程中要關注安全管理制度的設立、變更的評審情況和安全管理制度的遵循情況。與此同時，要對安全管理制度的變更以及所涉及的相關法律、法規、政策和標準要求，收集并整理形成合規文件清單以備后期審查與核對。另一方面，對信息化項目進行審計監督，不可避免要對信息化項目的內部控制進行了解和測試，一般通過穿行測試或是細節測試等方法對涉及數據安全的內部控制進行了解和測試，在了解和測試的過程中將相關步驟、程序、問題及解決過程和結果等記錄在安全過程控制標準文檔中以備后期核查。安全過程控制標準文檔的編制、審核以及保存都應該事先形成統一的標準，如編制內容、模板、審核人員、審核的記錄情況、保存的期限和保存的內容等，類似于審計報告的編制、審核和保存，有利于保持控制、減少舞弊等風險的發生。

（三）等級測評落實情況

等級測評即信息安全等級保護測評，是指根據相關管理規范和技術標準，對信息系統安全等級保護狀況進行檢測評估的活動。在大數據時代對信息化項目進行績效審計，不可避免要對信息化項目中所涉及的信息系統進行相關審計，其中等級測評就是極其重要又極具說服力的測試活動。等級測評落實情況主要從安全控制測評和系統整體測評兩個方面進行測試以查看其落實情況。第一，安全控制測評作為等級測評的基礎部分，主要是為了測試評估其中的基本安全控制在信息系統中的實施配置情況以及其是否符合相關制度要求。安全控制測評主要是指對測評執行情況進行了解，主要是看在系統發生變更時安全控制測評是否及時做出相關調整或者安全改造，以及在等保測評結果不理想時，系統是否根據相應的等級保護標準要求，進行整改并做出相關記錄。第二，系統整體測評主要是為了測評分析所在信息系統的整體安全性，可以從等保機構情況和等保頻率這兩個角度進行分析。其中，等保機構的設置和選擇應該以優秀的專業技術能力和熟識行業信息系統為基本要求，以此來增強可靠性和說服力。等級測評應該對等保頻率有所要求，對以往等級測評結果高和等級測評結果不理想的系統可以區別對待，但為保證其效果，最長不應超過三年。

（四）安全防范意識

數據安全所面臨的危機除去固有風險和人為不可控風險等之外，還有由于數據使用者的操作問題所導致的風險，其所帶來的危機在某些時候是不可估量的。因此，我們需要增強數據使用者、傳輸者以及存儲者等相關人員的安全操作意識，有效防止由于數據使用者不規范的操作行為或是第三方維護人員的監督監控不足所造成的風險。查看是否具備相關安全防范意識可以從被審計單位的相關年度計劃方案及制度、執行情況這兩個方面進行審查。查看被審計單位的相關年度計劃及制度，主要是為了核實被審計單位是否按期開展相關安全防范意識宣講和培訓、應急演練等。安全防范意識宣講和培訓可以通過網絡授課檢查、期末考試的形式進行審查并能檢測培訓結果以便后期重點調整。對于應急演練要關注應急預案的編制、應急演練之前的培訓是否規范，以及應急演練過程中出現的問題是否被完整記錄在案且得到充分有效的解決。對應急演練中的應急保障資金的審核也應提起足夠的重視，應急保障資金的存在、支出等都應該按照相關規定記錄在案并且異地備份，準確記錄應急保障資金的使用情況，有效防止舞弊等風險的發生。被審計單位的相關年度計劃方案及制度、執行情況都應該被完整記錄并按照相關規定保存一定的時間，其存儲和保存情況也應該有所要求，有助于被審計單位員工安全防范意識的增強，從而進一步提高數據安全的可靠性。

五、結論

信息化時代，信息技術已經和人們的日常生活完美地融合在一起，給人們帶來的發展優勢和便利是顯而易見的。隨著大數據的蓬勃發展，數據的大爆炸、數據的有效使用和存儲等問題引發了新的數據安全問題，面對許多未知的風險因素，數據的安全傳輸、存儲和使用等問題亟待解決。在新技術和新思維不斷被提出，科學技術還在不斷革新的情況下，我們應該通過相關政策法規和科學技術手段的良好結合，從根本上保障數據運行環境的安全，維護數據安全，維護數據信息的安全、可靠以及完整，為社會提供更加豐富、全面的數據信息資源，推動數據資源的融合與共享。不斷提高數據的安全管理水平，促使形成數據安全和信息化不斷發展的“魚”與“熊掌”兼得的美好局面。

促進基于數據安全的信息化項目績效審計的優化發展是我國審計發展的必然趨勢之一。通過促進其優化發展，可以提高數據的安全性，提高業務單位的工作效率和工作質量，提高績效審計的效率。當然，在基于數據安全的信息化項目績效審計的優化建設過程中，相關單位需嚴格規范自己的行為，嚴格遵守相關制度，通過開展高水平的基于數據安全的信息化項目審計工作，確保審計服務的可靠性和安全性，減少審計風險發生的可能性，打造屬于數據的安全流通環境。

但需要注意的是，基于數據安全的信息化項目績效審計的框架和指標并不是固化的、詳盡的，在后期具體實踐中需要依據被審計單位的風險偏好、業務特點等進行相應的調整以形成在該時段適合于該業務的具體詳細的審計框架和指標。雖然大多數業務所涉及的框架和指標并不是完全一致的，但其審計目的都是充分衡量被審計單位是否具有經濟性、效率性和效果性。總之，構建大數據時代數據安全的績效審計框架和審計指標，既需要借鑒發達國家的先進經驗，又需要考慮我國的具體情況和發展階段，在借鑒的基礎上不斷完善，真正構建出一套具有中國特色的基于數據安全的信息化項目績效審計框架和指標，將我國的數據安全和信息化項目的發展提升到一個全新的高度。

主要參考文獻：

[1]趙爽，俞紅梅.我國政府績效審計的法制建設研究[J].經濟監督，2018（22）：72-76.

[2]胡東華.數據安全審計過程問題控制研究[J].網絡安全技術與應用，2021（3）：55-57.

[3]王翠春，張莉莎.中西方國家績效審計評價標準比較與啟示[J].財會通訊，2010（10）：143-144.

[4]徐嵩舜，范垂青.澳大利亞安全審計及其啟示[J].審計月刊，2006（12）：20-21.

[5]劉一帆，葉戰備.美國網絡安全績效審計及其對我國的啟示[J].遼寧經濟，2019（1）：52-53.

[6]陳大峰，陳海勇.大數據環境下信息系統趨勢審計分析[J].財會月刊，2019（17）：116-123.

[7]石永.數據安全審計方法與內容的探索[J].中國內部審計，2021（2）：40-42.

[8]閔志剛，趙華.體彩公益金績效審計框架構建[J].審計月刊，2014（4）：14-16.