论文部分内容阅读
[摘 要] 电子政务是政府管理方式的革命,加快电子政务建设是深化行政管理体制改革的重要内容,也是实现政府管理现代化的必由之路。当前,我国电子政务建设尚处在起步阶段,还存在一些问题。本文通过对我国电子政务现状的分析和对信息系统审计的介绍,进一步论述了信息系统审计在电子政务中应用的必要性和紧迫性,提出了一种电子政务中信息系统审计框架,以控制电子政务信息系统建设和改造项目的建设风险,并为改善和健全对电子政务信息系统的控制提出详细建议。
[关键词] 电子政务;信息系统审计;风险
[中图分类号] F239.1
[文献标识码]A
[文章编号]1673-0194(2006)10-0047-03
电子政务的直接含义就是政府机构运用现代网络通讯与计算机技术,将其内部和外部的管理和服务职能通过精简、优化、整合、重组后到网上实现,打破时间、空间以及部门分隔的制约,为社会公众以及自身提供一体化的高效、优质、廉洁的管理和服务。20世纪90年代信息技术的迅猛发展,特别是互联网技术的普及应用,使电子政务的发展成为当代信息化的最重要的领域之一,电子政务已经迅速地列入了所有工业化国家的政治日程。但是,电子政务的建设并不是一种轻易可以取得成功的事。无论从数量上还是从意义上看,电子政务信息系统建设都将是近几年我国各级政府工作的重中之重。众所周知,作为一项庞大复杂和长期的系统工程,电子政务在建设和运营维护等阶段均会面临巨大的风险。据Standish Group的报告,美国2000年所有的政府和企业的信息技术项目中,就预算、功能及按时完成3个指标衡量,大约只有28%算是成功的,23%的项目被撤消,其余的项目只能说是部分成功,不能完全按上述3个指标完成。高额的投入往往得不到预期的回报,甚至反而变成“资金黑洞”或者“IT黑洞”。可见,是否能够对这些风险进行有效的控制,将直接决定电子政务的成败。
IS审计体系是由IT和审计相关的学科为理论基础,以传统审计为实践基础,以审计指南为指导,以审计工具为辅助,以审计业务为核心的有机整体。IS审计体系以提高信息系统资产的安全性,保证数据的完整性,提高系统效率,充分利用各种系统资源,提高系统的合法性、合规性为目标。因此,将信息系统审计的相关理论和方法应用于电子政务将会大大降低电子政务建设中的风险。
1我国电子政务建设现状以及存在的主要问题
我国电子政务的发展可以追溯到20世纪70年代,发展过程经历了办公自动化、“三金工程”、政府上网和电子政务4个阶段。最近两年来,电子政务开始向更高层次发展。自2001年12月国家信息化领导小组召开第一次会议以来,特别是随着《数字签章法》、《政府采购法》、《行政许可法》等电子政务政策法规的颁布与实施,以及以“十二金工程”为核心的电子政务项目从规划逐步发展到应用,我国的电子政务建设如火如荼,到2004年底,中央国家机关基本上网,建成门户网站90多个。全国各级地方政府建立的公众网站总数量已突破2万个。上海、深圳、广州、天津等沿海城市也早已提出建设数字化城市或数码港的计划,其中电子政务的建设是数字城市建设的核心内容之一。
在取得巨大成就的同时,我国电子政务出现了一些不成功的建设模式,如:将资金全部用于自身政务建设,与外界无便捷信息交换的“孤岛型”电子政务;照搬国内外经验和先进技术,却无法应用的“克隆型”电子政务;不顾自身实际,盲目超前的“冒进型”电子政务。具体建设过程中暴露出的问题更多,如:电子政务只是政府为了方便办公和内部管理而进行的改造,不是为了群众更好利用政府服务而进行的改革;电子政务建设过程中无绩效分析及评估,巨大的投入没有带来合理的产出,造成有限社会资源的浪费,甚至引起贪污和腐败;社会公众不能充分参与和使用,失去电子政务成功的基础;信息采集和处理以及信息资源的开发和利用不当,使电子政务成为摆设,失去建设电子政务的意义等等。
以上不正常的電子政务模式的主要原因可归结如下:
(1)电子政务缺乏统一规划,战略目标不明朗,重大项目的需求边界不清晰,建设内容追求“大而全”,且效益目标不明确。很多信息系统项目建议书提出的应用需求普遍“大而全”,需求边界不清晰,重点不突出,而且提出建设目标不明确,多数在描述社会效益,无法量化评估。因此导致的结果是:投资过大,使得有限的财力“没有用在刀刃上”;模糊目标给“豆腐渣”工程带来可乘之机,无法有效地对项目进行验收,投资“黑洞”风险大。
(2)部门自成体系现象严重,跨部门应用系统设计成了部门内系统,完整的电子政务体系被隔离成一个个独立的“烟囱”和“孤岛”。大多数跨部门的重点业务系统被牵头部门设计成了部门内系统,资源共建、共享模式没有达成共识,自建、自用和自成体系的电子政务建设模式明显,一个完整的电子政务体系被人为地割裂成了一个个“烟囱”,潜在的“信息孤岛”风险突出,政府协同能力受到极大牵制。
(3)缺乏有效的绩效评估体系和评估制度,重建设轻应用、重电子轻政务,电子政务投资存在很大风险。据统计,我国政府2003年电子政务建设政府投资总额达332.1亿元,2004年投资额为412亿元,占全国所有行业IT投资的10%左右。作为政府信息化工作重心的电子政务建设,如此巨大的政府投入,必须要有合理的产出,应坚决避免建设中乱铺摊子、搞“政绩工程”,这样才能对人民有所交代,因此建立一个规范的风险管理机制迫在眉睫。
针对这些问题,是否存在完善的系统风险治理与审计活动将直接决定电子政务建设项目的成败。因此,需要引入一种新的管理机制来对电子政务项目的安全性、投资效果、实施进程和实施效果等进行评估、指导和改进。结合国外的实践经验和我国的具体情况,认为可以通过在电子政务领域中开展信息系统审计加以解决。
2信息系统审计
信息系统审计(Information System Audit,ISA)又称IT审计,是指根据公认的标准和指导规范对信息系统及其业务应用的效能、效率、安全性进行监测、评估和控制的过程,以确认预定的业务目标得以实现。具体而言,信息系统审计以企业或政府等组织的信息系统为审计对象,通过现代审计理论和IT管理理论,从信息资源的安全性、数据的完整性以及系统的有效性等方面出发,对其是否能够有效可靠地达到组织的战略目标进行全面监测和评估,并为改善和健全组织对信息系统的控制提出详细建议。
根据国外信息系统审计实践,IS审计包含以下基本业务。
(1)信息系统的管理、规划与组织 评价信息系统的管理、计划与组织方面的策略、政策、标准、程序和相关实务。
(2)信息技术基础设施与操作实务 评价组织在技术与操作基础设施的管理和实施方面的有效性及效率,以确保其充分支持组织的商业目标。
(3)资产的保护 对逻辑、环境与信息技术基础设施的安全性进行评价,确保其能支持组织保护信息资产的需要,防止信息资产在未经授权的情况下被使用、披露、修改、损坏或丢失。
(4)灾难恢复与业务持续计划 这些计划是在发生灾难时,能够使组织持续进行业务,对这种计划的建立和维护流程需要进行评价。
(5)应用系统开发、获得、实施与维护 对应用系统的开发、获得、实施与维护方面所采用的方法和流程进行评价,以确保其满足组织的业务目标。
(6)业务流程评价与风险管理 评估业务系统与处理流程,确保根据组织的业务目标对相应风险实施管理。
从这些概念及内容上看,作为一种已经得到实践证明的信息系统风险控制方法,信息系统审计具有全面性、综合性、实用性和可操作性的特点,这套体系和相关专家能保证在实施自身信息化进程时实现有效的控制,同时提高实施效率,降低信息化的实施风险以及未来的升级风险。因此如果能够将其引入我国的电子政务体系,将完全可以满足电子政务管理和控制的要求。
3信息系统审计在电子政务中的应用
电子政务中信息系统审计是以政府组织的信息系统为审计对象,通过现代审计理论和IT管理理论,从信息资源的安全性、数据的完整性以及系统的有效性和效率性等方面出发,对其是否能够有效可靠地达到组织的战略目标进行全面监测和评估,并为改善和健全组织对电子政务的控制提出详细建议。
从目前的情况看,我国绝大多数电子政务系统的建设还缺乏完善的风险治理与审计活动,而只是通过组织专家鉴定会等形式对系统的某些方而进行评价和建议。这种模式对于单个信息系统建设项目尚能适用,但是对于电子政务这一复杂庞大的系统工程却无法应对。因此,建立一个完善、统一的电子政务信息系统建设风险治理与审计体制和一套科学、系统的审计办法,从而在全局中控制电子政务信息系统建设和改造项目的建设风险,对于保证电子政务信息系统的顺利运行将具有至关重要的意义。
根据笔者在电子政务系统开发实践中的经验和对信息系统审计的理解,提出了一种电子政务中信息系统审计框架(如图1 所示),下面对框架所涉及的内容进行简要的介绍。
(1) 战略规划与组织。具体的审计活動主要表现在根据政务的特性对政府部门软件、硬件、责任、资源配置、信息系统的战略、规划、预算以及组织结构和职责划分进行审计。
(2) 技术基础支撑平台。具体的审计活动主要表现在评估各级党政机关技术基础平台建设的有效性和效率,主要体现在评估软件、硬件的开发、获取、安装和实施,保证硬件能够有效支持系统的处理过程,满足业务的需要。
(3) 应用系统建设。通过对系统开发方法的选择,系统开发工具和效率目标,系统开发的过程控制,项目管理的有效性,软件开发的过程改进等几个方面进行审计,针对政务信息系统的特点,以保证开发完成的系统与政府部门的战略和标准一致。
(4) 管理与运营。对信息系统的物理环境和信息处理设施操作人员提供控制,以保证政府部门中的IT部门(如信息中心等)可以有效地运营与管理,使信息系统软硬件可以正常工作。
(5) 风险管理与应用控制。对政务中软件系统的软件过程(主要包括需求、设计、实施、维护等阶段)、项目管理、应用等各方面的风险进行审计,并加强应用的控制,从输入、处理、输出、数据库等各个方面实施审计,通过测试、对比、识别、报告不正确的、丢失的或异常数据等手段,结合自动控制与手工控制,来评估应用中的控制质量,以保证产生信息的可靠性。
(6) 灾难恢复与业务持续计划。为了保证政务系统的业务操作持续运行,保持在任何情形下都可以持续运行的能力,对业务持续计划、异地存储设施及其内容、安全和环境控制以及应急措施、人员培训、测试结果等进行审查,评估在紧急情况下,信息系统及其所有用户的有效反应能力。
(7) 信息安全。对信息系统的逻辑安全、环境安全以及网络基础架构等进行安全评估,以确保组织能够有效地保护信息资产,避免遭受未经授权的使用、篡改、蓄意或意外损毁。
4结 论
在信息化带动工业化,工业化促进现代化,全面建设小康社会和构建社会主义和谐社会的关键时期,加强电子政务建设是政务信息化和提高政府工作效率的必然选择。信息化建设项目的高风险和高失败率,与政府和企业在信息化建设决策之前,没有进行充分的技术经济论证,没有综合论证项目技术上的先进性和可行性、财务上的实施可能性、经济上的合理性和有效性密切相关;与信息化项目建设进行中没有很好地对项目进行合理的监理和审计密切相关;与信息化项目实施中没有进行很好的风险管理、应用控制和信息安全的审计和管理有关。因此,只有将信息系统审计切实应用到电子政务当中,形成有序规范的管理组织体制,制订、颁布与电子政务相关的各项管理条例,及时指导电子政务建设的各种行为,从立项、招标、采购、设计、实施、运行、监理、服务、培训、管理等环节进行控制和监督,保障电子政务系统建设全程工作的程序化和制度化,才能确保电子政务系统全面、高效地运作。
主要参考文献
[1]许光建,阿甘. 我国电子政务市场离1750亿还有多远?[EB/OL].http://tech.sina.com.cn/e2/1021156263.shtml,2002-12-17.
[2] 袁仕福. 当前电子政务建设的问题与对策[EB/OL]. http://www.echinagov.com/dzzw/ReadNews.asp?NewsID=10789,2005-08-02.
[3] 孙强.信息系统审计安全、风险管理与控制[M].北京:机械工业出版社,2003.
[4] 史达,朱荣,杨洋. 电于政务信息系统审计的基本特征研究[J].财经问题研究.2005,257(4):91-95.
[5] 薛伟,史达.网络安全[M].大连:东北财经大学出版社,2002.
[关键词] 电子政务;信息系统审计;风险
[中图分类号] F239.1
[文献标识码]A
[文章编号]1673-0194(2006)10-0047-03
电子政务的直接含义就是政府机构运用现代网络通讯与计算机技术,将其内部和外部的管理和服务职能通过精简、优化、整合、重组后到网上实现,打破时间、空间以及部门分隔的制约,为社会公众以及自身提供一体化的高效、优质、廉洁的管理和服务。20世纪90年代信息技术的迅猛发展,特别是互联网技术的普及应用,使电子政务的发展成为当代信息化的最重要的领域之一,电子政务已经迅速地列入了所有工业化国家的政治日程。但是,电子政务的建设并不是一种轻易可以取得成功的事。无论从数量上还是从意义上看,电子政务信息系统建设都将是近几年我国各级政府工作的重中之重。众所周知,作为一项庞大复杂和长期的系统工程,电子政务在建设和运营维护等阶段均会面临巨大的风险。据Standish Group的报告,美国2000年所有的政府和企业的信息技术项目中,就预算、功能及按时完成3个指标衡量,大约只有28%算是成功的,23%的项目被撤消,其余的项目只能说是部分成功,不能完全按上述3个指标完成。高额的投入往往得不到预期的回报,甚至反而变成“资金黑洞”或者“IT黑洞”。可见,是否能够对这些风险进行有效的控制,将直接决定电子政务的成败。
IS审计体系是由IT和审计相关的学科为理论基础,以传统审计为实践基础,以审计指南为指导,以审计工具为辅助,以审计业务为核心的有机整体。IS审计体系以提高信息系统资产的安全性,保证数据的完整性,提高系统效率,充分利用各种系统资源,提高系统的合法性、合规性为目标。因此,将信息系统审计的相关理论和方法应用于电子政务将会大大降低电子政务建设中的风险。
1我国电子政务建设现状以及存在的主要问题
我国电子政务的发展可以追溯到20世纪70年代,发展过程经历了办公自动化、“三金工程”、政府上网和电子政务4个阶段。最近两年来,电子政务开始向更高层次发展。自2001年12月国家信息化领导小组召开第一次会议以来,特别是随着《数字签章法》、《政府采购法》、《行政许可法》等电子政务政策法规的颁布与实施,以及以“十二金工程”为核心的电子政务项目从规划逐步发展到应用,我国的电子政务建设如火如荼,到2004年底,中央国家机关基本上网,建成门户网站90多个。全国各级地方政府建立的公众网站总数量已突破2万个。上海、深圳、广州、天津等沿海城市也早已提出建设数字化城市或数码港的计划,其中电子政务的建设是数字城市建设的核心内容之一。
在取得巨大成就的同时,我国电子政务出现了一些不成功的建设模式,如:将资金全部用于自身政务建设,与外界无便捷信息交换的“孤岛型”电子政务;照搬国内外经验和先进技术,却无法应用的“克隆型”电子政务;不顾自身实际,盲目超前的“冒进型”电子政务。具体建设过程中暴露出的问题更多,如:电子政务只是政府为了方便办公和内部管理而进行的改造,不是为了群众更好利用政府服务而进行的改革;电子政务建设过程中无绩效分析及评估,巨大的投入没有带来合理的产出,造成有限社会资源的浪费,甚至引起贪污和腐败;社会公众不能充分参与和使用,失去电子政务成功的基础;信息采集和处理以及信息资源的开发和利用不当,使电子政务成为摆设,失去建设电子政务的意义等等。
以上不正常的電子政务模式的主要原因可归结如下:
(1)电子政务缺乏统一规划,战略目标不明朗,重大项目的需求边界不清晰,建设内容追求“大而全”,且效益目标不明确。很多信息系统项目建议书提出的应用需求普遍“大而全”,需求边界不清晰,重点不突出,而且提出建设目标不明确,多数在描述社会效益,无法量化评估。因此导致的结果是:投资过大,使得有限的财力“没有用在刀刃上”;模糊目标给“豆腐渣”工程带来可乘之机,无法有效地对项目进行验收,投资“黑洞”风险大。
(2)部门自成体系现象严重,跨部门应用系统设计成了部门内系统,完整的电子政务体系被隔离成一个个独立的“烟囱”和“孤岛”。大多数跨部门的重点业务系统被牵头部门设计成了部门内系统,资源共建、共享模式没有达成共识,自建、自用和自成体系的电子政务建设模式明显,一个完整的电子政务体系被人为地割裂成了一个个“烟囱”,潜在的“信息孤岛”风险突出,政府协同能力受到极大牵制。
(3)缺乏有效的绩效评估体系和评估制度,重建设轻应用、重电子轻政务,电子政务投资存在很大风险。据统计,我国政府2003年电子政务建设政府投资总额达332.1亿元,2004年投资额为412亿元,占全国所有行业IT投资的10%左右。作为政府信息化工作重心的电子政务建设,如此巨大的政府投入,必须要有合理的产出,应坚决避免建设中乱铺摊子、搞“政绩工程”,这样才能对人民有所交代,因此建立一个规范的风险管理机制迫在眉睫。
针对这些问题,是否存在完善的系统风险治理与审计活动将直接决定电子政务建设项目的成败。因此,需要引入一种新的管理机制来对电子政务项目的安全性、投资效果、实施进程和实施效果等进行评估、指导和改进。结合国外的实践经验和我国的具体情况,认为可以通过在电子政务领域中开展信息系统审计加以解决。
2信息系统审计
信息系统审计(Information System Audit,ISA)又称IT审计,是指根据公认的标准和指导规范对信息系统及其业务应用的效能、效率、安全性进行监测、评估和控制的过程,以确认预定的业务目标得以实现。具体而言,信息系统审计以企业或政府等组织的信息系统为审计对象,通过现代审计理论和IT管理理论,从信息资源的安全性、数据的完整性以及系统的有效性等方面出发,对其是否能够有效可靠地达到组织的战略目标进行全面监测和评估,并为改善和健全组织对信息系统的控制提出详细建议。
根据国外信息系统审计实践,IS审计包含以下基本业务。
(1)信息系统的管理、规划与组织 评价信息系统的管理、计划与组织方面的策略、政策、标准、程序和相关实务。
(2)信息技术基础设施与操作实务 评价组织在技术与操作基础设施的管理和实施方面的有效性及效率,以确保其充分支持组织的商业目标。
(3)资产的保护 对逻辑、环境与信息技术基础设施的安全性进行评价,确保其能支持组织保护信息资产的需要,防止信息资产在未经授权的情况下被使用、披露、修改、损坏或丢失。
(4)灾难恢复与业务持续计划 这些计划是在发生灾难时,能够使组织持续进行业务,对这种计划的建立和维护流程需要进行评价。
(5)应用系统开发、获得、实施与维护 对应用系统的开发、获得、实施与维护方面所采用的方法和流程进行评价,以确保其满足组织的业务目标。
(6)业务流程评价与风险管理 评估业务系统与处理流程,确保根据组织的业务目标对相应风险实施管理。
从这些概念及内容上看,作为一种已经得到实践证明的信息系统风险控制方法,信息系统审计具有全面性、综合性、实用性和可操作性的特点,这套体系和相关专家能保证在实施自身信息化进程时实现有效的控制,同时提高实施效率,降低信息化的实施风险以及未来的升级风险。因此如果能够将其引入我国的电子政务体系,将完全可以满足电子政务管理和控制的要求。
3信息系统审计在电子政务中的应用
电子政务中信息系统审计是以政府组织的信息系统为审计对象,通过现代审计理论和IT管理理论,从信息资源的安全性、数据的完整性以及系统的有效性和效率性等方面出发,对其是否能够有效可靠地达到组织的战略目标进行全面监测和评估,并为改善和健全组织对电子政务的控制提出详细建议。
从目前的情况看,我国绝大多数电子政务系统的建设还缺乏完善的风险治理与审计活动,而只是通过组织专家鉴定会等形式对系统的某些方而进行评价和建议。这种模式对于单个信息系统建设项目尚能适用,但是对于电子政务这一复杂庞大的系统工程却无法应对。因此,建立一个完善、统一的电子政务信息系统建设风险治理与审计体制和一套科学、系统的审计办法,从而在全局中控制电子政务信息系统建设和改造项目的建设风险,对于保证电子政务信息系统的顺利运行将具有至关重要的意义。
根据笔者在电子政务系统开发实践中的经验和对信息系统审计的理解,提出了一种电子政务中信息系统审计框架(如图1 所示),下面对框架所涉及的内容进行简要的介绍。
(1) 战略规划与组织。具体的审计活動主要表现在根据政务的特性对政府部门软件、硬件、责任、资源配置、信息系统的战略、规划、预算以及组织结构和职责划分进行审计。
(2) 技术基础支撑平台。具体的审计活动主要表现在评估各级党政机关技术基础平台建设的有效性和效率,主要体现在评估软件、硬件的开发、获取、安装和实施,保证硬件能够有效支持系统的处理过程,满足业务的需要。
(3) 应用系统建设。通过对系统开发方法的选择,系统开发工具和效率目标,系统开发的过程控制,项目管理的有效性,软件开发的过程改进等几个方面进行审计,针对政务信息系统的特点,以保证开发完成的系统与政府部门的战略和标准一致。
(4) 管理与运营。对信息系统的物理环境和信息处理设施操作人员提供控制,以保证政府部门中的IT部门(如信息中心等)可以有效地运营与管理,使信息系统软硬件可以正常工作。
(5) 风险管理与应用控制。对政务中软件系统的软件过程(主要包括需求、设计、实施、维护等阶段)、项目管理、应用等各方面的风险进行审计,并加强应用的控制,从输入、处理、输出、数据库等各个方面实施审计,通过测试、对比、识别、报告不正确的、丢失的或异常数据等手段,结合自动控制与手工控制,来评估应用中的控制质量,以保证产生信息的可靠性。
(6) 灾难恢复与业务持续计划。为了保证政务系统的业务操作持续运行,保持在任何情形下都可以持续运行的能力,对业务持续计划、异地存储设施及其内容、安全和环境控制以及应急措施、人员培训、测试结果等进行审查,评估在紧急情况下,信息系统及其所有用户的有效反应能力。
(7) 信息安全。对信息系统的逻辑安全、环境安全以及网络基础架构等进行安全评估,以确保组织能够有效地保护信息资产,避免遭受未经授权的使用、篡改、蓄意或意外损毁。
4结 论
在信息化带动工业化,工业化促进现代化,全面建设小康社会和构建社会主义和谐社会的关键时期,加强电子政务建设是政务信息化和提高政府工作效率的必然选择。信息化建设项目的高风险和高失败率,与政府和企业在信息化建设决策之前,没有进行充分的技术经济论证,没有综合论证项目技术上的先进性和可行性、财务上的实施可能性、经济上的合理性和有效性密切相关;与信息化项目建设进行中没有很好地对项目进行合理的监理和审计密切相关;与信息化项目实施中没有进行很好的风险管理、应用控制和信息安全的审计和管理有关。因此,只有将信息系统审计切实应用到电子政务当中,形成有序规范的管理组织体制,制订、颁布与电子政务相关的各项管理条例,及时指导电子政务建设的各种行为,从立项、招标、采购、设计、实施、运行、监理、服务、培训、管理等环节进行控制和监督,保障电子政务系统建设全程工作的程序化和制度化,才能确保电子政务系统全面、高效地运作。
主要参考文献
[1]许光建,阿甘. 我国电子政务市场离1750亿还有多远?[EB/OL].http://tech.sina.com.cn/e2/1021156263.shtml,2002-12-17.
[2] 袁仕福. 当前电子政务建设的问题与对策[EB/OL]. http://www.echinagov.com/dzzw/ReadNews.asp?NewsID=10789,2005-08-02.
[3] 孙强.信息系统审计安全、风险管理与控制[M].北京:机械工业出版社,2003.
[4] 史达,朱荣,杨洋. 电于政务信息系统审计的基本特征研究[J].财经问题研究.2005,257(4):91-95.
[5] 薛伟,史达.网络安全[M].大连:东北财经大学出版社,2002.