發電企業信息化管理專項審計思考

隨著社會經濟和信息技術的發展，世界經濟正加速向以網絡信息技術產業為重要內容的經濟活動轉變，“信息化管理”及“推進信息化建設和應用”已深入人心，信息化管理是指以信息化帶動工業化，實現企業管理現代化的過程，它是將現代信息技術與先進的管理理念相融合，轉變企業生產方式、經營方式、業務流程、傳統管理方式和組織方式，重新整合企業內外部資源，提高企業效率和效益、提升企業競爭力的過程。作為國有企業的二級單位、基層企業，信息化管理中存在哪些問題，如何規范管理企業信息化，發揮信息化對公司發展的引領作用，更需要進行思考和總結。本文以發電企業二級單位企業信息化管理現狀為例，從審計角度分析了區域公司、基層發電企業信息化管理現狀，對專項審計發現的問題，以及如何加強管理提出了一些思路。

被審計單位信息化管理現狀

某國有發電企業實行三級管理模式，分別為集團公司（最高管理層）、區域公司（中間管理層）、基層企業（基層管理層），信息化領域堅持集團公司“統一規劃、統一標準、統一建設、統一管理”的原則，貫徹“需求主導、業務驅動”的理念。被審計單位主要現狀如下：

組織體系管理方面

一是機構設置，區域公司“辦公室”部門是信息化工作的歸口管理部門。基層企業中有的在“辦公室”部門內設信息中心，有的“綜合部”是信息化工作的歸口管理部門。區域公司及所轄企業均成立了網絡安全和信息化管理領導小組和工作小組，企業主要負責人擔任領導小組組長，是企業網絡安全和信息化管理的第一責任人。二是信息化管理人員的配備，設專職或兼職1～2人，信息化運維以外委方式開展，與外包單位簽訂服務合同，派2～3人提供駐場服務。

信息系統資產管理方面

一是應用系統資產臺賬，集團公司開發了應用系統資產管理平臺對所轄企業自建的應用系統資產進行臺賬管理。目前的應用系統資產包括企業門戶網站、電力監控系統、移動辦票系統、整改措施管理平臺。二是互聯網資產管理，被審計單位依托微信應用程序設立了8個官方賬號用于展示企業風貌，宣傳企業文化，尚未開發外部網站、APP。三是線路租用情況，被審計單位租用線路共計54條，主要就是內外網及各類專線。

信息系統安全方面

被審計單位采用了國產天融信防火墻、綠盟入侵檢測系統（IDS）、網康上網行為管理系統、終端行為管理系統、火絨網絡防病毒系統等，保護網絡免受未經授權訪問，監控和記錄網絡活動。一是網絡安全應急預案，大部分單位制定了應急預案并開展演練。二是網絡安全等級保護，區域各單位按管理權限報告等級保護工作情況，等級保護對象按要求取得備案。三是數據安全，遵循誰所有誰負責、誰保管誰負責、誰處理誰負責的數據安全責任制原則，相關數據庫定期備份。四是信息系統賬號及郵箱安全，信息系統賬號的創建、修改和刪除遵從實名制和流程化管理，系統管理員賬號由基礎設施主管部門授權審批，普通用戶賬號由具體使用人員向各系統管理員申請。

信息化預算及項目管理方面

區域公司是本企業及管理各單位預算責任單位，負責匯總年度信息化預算方案統一報送集團公司，組織開展年度預算調整工作，監督所轄企業預算執行情況。一是信息化資本性支出，指以信息技術為主要手段的信息網絡建設、信息應用系統開發、網絡安全防護和信息資源部署等具有施工建設性質的項目及成套商用軟件或單體設備采購項目。二是信息化運維費用，指信息系統維護、網絡安全服務、線路租用等項目。三是信息化領域科技創新，被審計單位目前尚無信息化項目研發投入歸集列報。

信息化管理專項審計存在的主要問題

組織管理方面。

信息化管理領導小組履行職責不到位，未審閱項目計劃、系統開發報告、重大系統變更報告等；未根據本單位管理實際建立網絡安全等級保護工作責任制。信息管理崗位分配有漏項或者未滿足不相容職責相互分離。信息系統從業人員未開展背景調查。未與信息化外包單位及人員簽訂保密協議。

制度建設和規劃計劃方面

未結合實際情況制定本單位制度，制度修訂更新不及時。區域公司未制定信息化規劃實施方案。

項目管理方面

主要包括需求管理、計劃預算、立項、采購及合同、建設管理、驗收、建設轉運維、后評價等環節。

一是需求管理、計劃立項階段，概念不清，存在信息化建設項目與運維項目混同，統籌項目與自建項目歸類不清，重復批復項目情況。

二是采購方面，詢價文件編制不嚴謹，詢價評審不規范。審計發現，有的項目詢價文件編制名稱和內容與采購項目不符。有的項目詢價文件對業績要求描述籠統，與采購需求的類似性匹配度不高，某一信息系統安全審計服務采購項目，報價人提供的業績合同要么與信息安全無關，要么為信息設備采購合同，均不是信息安全技術服務類合同。詢價評審衡量是否具備競爭性的理由不充分，多個項目僅考慮最低價因素，未考慮有效報價人數量。未通過技術評審的理由與實際不符，有一項目詢價評審僅向最低價報價人發出《澄清函》，存在“勸退”風險。有一項目報價人使用偽造的虛假項目業績合同書參與詢價且中標。

三是合同方面，重要合同條款未約定，履行合同的主體與合同約定或詢價文件約定不符。未嚴格按合同約定履行。審計發現，有的項目詢價響應文件未注明增值稅稅率，或合同未約定增值稅稅率，或合同約定的增值稅稅率與響應文件注明的不一致。有的合同僅約定交貨期未約定延期交貨的處罰條款，導致實際執行時對方延期履約我方無法維權。某一網絡防火墻審計服務項目，未按照合同約定按月提交網絡防火墻審計報告；從報告中發現合同履行的主體與合同簽訂主體不一致；項目實施人員不符合詢價文件要求的相應資質。

四是驗收、建設轉運維、后評價未按制度要求執行。信息化建設項目驗收申請時間距投運時間未滿3個月，未成立項目驗收小組，未按要求組織分項驗收、綜合評價，驗收報告未由驗收小組全體成員簽字、驗收小組組長簽署驗收意見。自建項目進入運維階段滿一年后未開展后評價工作。

五是信息化建設項目預算執行統計不準確、完成率低。審計中發現，各單位信息管理部門未建立信息化建設項目執行情況的明細臺賬，依靠SAP系統統計項目執行情況。經查SAP系統，有的單位建立了項目編碼，但執行時未通過項目編碼歸集；有的單位未建立項目編碼，未通過項目編碼歸集，因此目前SAP系統無法準確統計出單個項目投資完成、項目資金執行情況，可能存在項目超投資、重復付款的風險。另外，本次審計發現，2022年度信息化建設，投資預算完成率64.43%；資金預算完成率63.4%。

六是成本列報和費用歸集不準確，某一《數字化倉庫推廣》項目為信息化建設項目，實際執行列入了信息化運維費；某一《SIS運維》為信息化運維項目，實際執行列入了計劃檢修費。信息化建設項目轉固不及時，達到預定可使用狀態，未按實際支出或工程概算暫估轉固。

系統安全方面

未制定數據安全事件應急預案，應急預案演練未編制計劃安排，專項應急預案演練的頻次不符合要求。企業門戶網站安全保護等級定級偏低未及時變更。已投運的新能源電站電力監控系統、新開發的第二級網絡未定級評審，網絡安全等級測評頻次不滿足制度要求。未按照等級保護測評報告中發現的問題制定整改方案組織整改。

應用運維方面

未見應用系統管理員《操作日志》。未對數據進行分類管理并形成數據分類目錄，分類等級不符合制度要求；未見操作系統管理員記錄日常監控日志或記錄內容不完整，未依據監控日志編寫監控報告；未定期編制機房運行報告，日巡檢記錄所反映事項不全；未見進出機房的人員、物品按規定進行登記核實的記錄。

資源資產方面

應用系統資產管理平臺信息更新不及時，已投運的新能源電站電力監控系統未納入登記。租賃公有基礎資源未按規定登記。機房內設備及物品登記內容不完整。

加強信息化管理的思考

針對區域公司、基層發電企業信息化管理存在的問題，以及這些問題可能帶來的風險，要從根本上杜絕管理漏洞，提升企業管理效率，提出如下審計建議：

抓好基礎

一是進一步提高政治站位。深入貫徹黨中央關于網絡強國的重要思想，深刻領會習近平總書記對網絡安全和信息化工作的重要指示精神，落實集團公司信息化工作部署和要求，明確信息化管理的目標和方向，合理制定區域公司信息化規劃實施方案。二是明確責任履職于行。網絡安全和信息化管理領導機構全面加強對信息化工作的監督，審閱規劃、計劃、重要報告，關注信息技術的發展和市場變化，靈活調整信息化管理策略；工作機構切實履行職責，持續跟蹤和借鑒行業和領域的最佳實踐，不斷優化信息化管理的方法和工具。三是持續完善制度建設。建立管用好用的制度體系，對現有的信息化管理制度進行評估，制度流程和程序簡單易懂、操作性強，盡可能避免冗余和復雜化，讓制度立得起行得通有實效。

夯實安全

一是筑牢網絡安全防線。強化落實網絡安全主體責任，規范網絡安全等級保護工作的有序開展，對自查和等級測評中發現的安全風險隱患，制定整改方案，并開展安全建設和安全隱患的整改，保障信息系統安全和數據安全，嚴防重大網絡安全事件發生。二是重視資源資產管理。規范應用系統資產臺賬，按照要求填寫應用系統資產信息并及時更新維護，保證信息的準確性、一致性、完整性、實時性，定期組織信息核對。

管好項目

一是規范項目全過程管理。加強項目前期、計劃和預算、建設與實施、應用及運維等全過程管理和監督，確保信息化項目按時、按質、按量完成，避免項目進展延誤、成本超支或質量問題，適時開展項目后評價。二是探索開展集中集采。進一步加強信息化建設投資概算管理和預算資金分配管理。統籌配置各類信息化資源，集約化開展信息化項目建設工作。線路租用、網絡安全等級保護測評等周期性、普遍性信息化管理采購需求，區域范圍內探索開展集中集采，減少采購批次，降低采購成本和運作成本。三是加強信息化科技創新。信息化項目研發投入歸集工作，是享受研發費用加計扣除和利潤加回等優惠政策的基礎，便于各單位后期申報各類收益或補貼，同時能增強各單位信息化領域研發投入意識，為企業帶來更多科技研發成果。

激勵人員

一是加強信息化隊伍建設。堅持內部培養原則，充實信息化管理團隊，提供培訓和學習機會，逐步加強自身運維能力建設，使其適應信息化管理需求。在保證信息化運維質量前提下，按照最小化原則控制外包人員數量，加強外包運維人員的資質管理。二是用好激勵獎懲機制。在集團公司信息化工作考核框架下，完善符合區域管理實際的考核機制和獎懲措施，做好考核的評估反饋，并提供改進的機會，激勵管理人員積極參與信息化工作管理。

在知識經濟時代，企業面臨更復雜更加快速多變的開放經營環境，對企業的應變能力、決策能力、創新能力都提出了更高的要求。各種能力的提高又取決于企業對其信息資源的開發和利用。因此，加強企業信息資源的管理，加快企業信息化的建設，對于企業的生存和發展有深遠的影響和巨大的作用。在推進信息化發展、企業加快信息化建設的大背景下，作為集團公司的二級單位，信息化管理不僅要匹配集團公司宏觀發展戰略，全面推動實施集團級數字化轉型項目，更要尋找自身定位，圍繞“為業務賦能”推進區域公司信息化管理提升，提高“數字意識”，開發分公司級統籌項目，推進集中集采，提高投入產出效益，加強科技創新，研發歸集，促進信息化支撐服務再上臺階。

（作者單位：中國華能集團有限公司華中分公司）