信息系統工程審計范圍、內容及承擔機構等問題的探討

                                                                                                    劉 斌
 
    當前，隨著信息化建設的不斷深入發展，信息系統工程項目數量越來越多，工程建設資金越來越大，工程應用范圍越來越廣，不斷加強信息系統工程審計的研討，明確信息系統工程審計范圍、內容及承擔機構等問題，已成為確保信息系統工程審計順利實施的重要內容。本文擬對信息系統工程審計范圍、內容及承擔機構等問題做些初步研究及探討。
    一、什么是信息系統工程？
    2002年12月原信息產業部關于發布《信息系統工程監理暫行規定》（信部信[2002]570號文件）的通知第三條明確指出：“本規定所稱信息系統工程是指信息化工程建設中的信息網絡系統、信息資源系統、信息應用系統的新建、升級、改造工程。（一）信息網絡系統是指以信息技術為主要手段建立的信息處理、傳輸、交換和分發的計算機網絡系統；（二）信息資源系統是指以信息技術為主要手段建立的信息資源采集、存儲、處理的資源系統；（三）信息應用系統是指以信息技術為主要手段建立的各類業務管理的應用系統”。
    2005年5月中國國家標準化委正式發布國家標準《信息化工程監理規范》（GB/T19668.1-2005），包括：“通用布纜系統工程、電子設備機房系統工程、計算機網絡系統工程、軟件工程、信息化工程安全等”。
    由此可見，信息系統工程是指信息化工程建設中的信息網絡系統、信息資源系統、信息應用系統的新建、升級、改造工程。如:政務網絡工程、天網工程、智慧城市工程、農村中小學現代遠程教育工程、金稅金水金土金保等工程、應急指揮系統工程、安防監控系統工程、及各類應用軟件工程等，這些工程均需按照國家有關規定實施信息系統工程審計。
    二、信息系統工程與建筑（建設）工程的區別
    信息系統工程具有點多、面廣、專業性強、技術要求高等特點，與建筑（建設）工程具有明顯的區別。主要體現在以下方面：
    1、技術濃度
    建筑工程項目屬于勞動密集型；而信息系統工程項目項目屬于技術密集型。
    2、可視性
    建筑工程項目通常為一棟樓或一個建設群，可視性、可檢查性強；信息系統工程項目項目可能分布在全省、市，地域廣泛，可視性差，在度量和檢查方面管控難度較高。
    3、設計獨立性
    建筑工程的設計通常是由專門的設計單位承擔的，或者說，建筑工程的設計單位通常不承擔施工任務，而是由施工單位根據設計單位提供的設計圖紙和說明書進行施工，施工過程中是不能改變原設計；而信息系統工程項目的設計與實施通常是由一個系統集成商(承建單位)承擔，至少需要進行工程深化設計再實施工程施工。
建筑設計行業已存在了多年，有若干單位專門從事這一行當，但到目前為止尚不存在專門從事信息系統工程設計的公司和行業，也不存在不進行系統設計而專門等著別人設計好了而自己去施工以完成信息系統工程的公司和行業。    
4、變更性
    建筑工程一旦施工開始，則投資單位一般不再對該建筑的功能需求、設計等方面提出變更，建筑工程隊只需嚴格按設計圖紙和說明書施工直至完成：而信息系統工程項目則不然，承建單位常常在實施過程中面對“變更”問題，特別是用戶需求變更。
    5、復制成本
    如果由同一套筑建設計生成n套建筑工程，則一般而言，其總投資(設為TI)就應為一套建筑工程投資(設為i)的幾倍(即TI=ni)；而在信息系統建設中，則有TI<ni或TI<<ni。所以，只要花較小甚至很小的代價，就可以將一個信息系統的軟件和集成方案經過再造而成一個新的信息系統去滿足類似用戶需求，從而使該信息系統的知識產權所有者蒙受重大損失。
    6、投資規模
   建筑工程項目的投資規模與信息系統的投資規模不在同一數量級上，后者比前者小得多。所以，在確定審計費用占整個工程項目費的比例上會遇到一定困難。
    7、關于工作周期
    建筑工程審計期一般始于項目驗收以后，不介入工程設計和施工單位招投標。而在信息系統工程項目中，如果等待工程完工后實施審計時則難以掌握工程項目中所使用的高技術設備、材料選型是否準確、數量是否屬實，有可能已為國家造成一定損失或重大損失。因此，為避免信息系統工程審計滯后，更好地避免投資損失，可進行“前審計”，即對工程資金投入較大、項目復雜的信息系統工程從工程設計階段對工程造價概算、工程重要設備選型、工程實施階段計劃等實施項目前審計，從源頭上先預防問題的發生；待項目驗收后再實施工程后審計，以確實達到審計效果。
    8、關于變更
    信息系統工程實施中的設備、材料“變更”問題比較突出，由于其專業性、技術性強，單項資金較大，可能直接影響、有時甚至會嚴重影響到工程質量、進度、成本，而且必然引起合同的修改、補充，這不僅增大了工作量、復雜性，而且增加了風險。
    9、關于方法與手段
    建筑工程可視性強，所以廣泛采用工程驗收后根據工程材料核查等。同樣的手段對信息系統工程項目審計則難以適用，而需要獨辟蹊徑。例如，在設計階段采用參加專家會審，在項目實施過程中對具有里程碑意義的關鍵點上進行會診、把關，在驗收階段則強調定量測試等方法實施。
    由此可見，信息系統工程與一般建筑（建設）工程具有十分明顯的不同專業特性，不能混為一談。正是因為信息系統工程與建筑工程具有較明顯區別，因此在信息系統工程審計中不能簡單依照建筑工程審計的“老經驗”、“老辦法”去實施，而是要根據信息系統工程的“新形式”“新特點”，區別對待，認真組織，才能有針對性地、圓滿地完成信息系統工程審計任務。
    三、信息系統工程審計范圍
    信息系統審計是指審計人員接受委托或授權，收集并評估證據以判斷一個信息系統是否有效做到保護資產、維護數據完整并最有效率地完成組織目標的活動過程。正是由于信息系統工程審計具有專業性強、應用范圍廣等特點，審計部門如果對哪些工程項目需要審計，哪些工程項目不需要審計都不清楚，實施信息系統工程審計就可能陷于盲目，沒有針對性。因此，掌握、了解信息系統工程審計范圍是搞好工程審計的基礎。
    1、中華人民共和國《招標投標法》第3條規定，在中華人民共和國境內進行下列工程建設項目包括項目的勘察、設計、施工、監理以及與工程建設有關的重要設備、材料等的采購，必須進行招標：1、大型基礎設施、公用事業等關系社會公共利益、公眾安全的項目；2、全部或者部分使用國有資金投資或者國家融資的項目；3、使用國際組織或者外國政府貸款、援助資金的項目。
    2、信息產業部關于發布《信息系統工程監理暫行規定》（信部信[2002]570號文件）的通知規定：“下列信息系統工程應當實施監理：（一）國家級、省部級、地市級的信息系統工程；（二）使用國家政策性銀行或者國有商業銀行貸款，規定需要實施監理的信息系統工程；（三）使用國家財政性資金的信息系統工程；（四）涉及國家安全、生產安全的信息系統工程；（五）國家法律、法規規定應當實施監理的其他信息系統工程”。
    由此可見，審計部門應對國家早已明文規定的招投標、信息系統工程監理等范圍的工程項目實施信息系統工程審計。
    四、信息系統工程審計主要內容
    確定了信息系統工程審計范圍后，還需要明確審計什么內容？否則就可能使審計工作產生偏差。因此，明確信息系統工程審計主要內容，是實施信息系統工程審計的重要一環。
我們知道，信息系統工程是一項復雜的、技術含量高、實施周期較長的系統工程，即包括立項、規劃、建設、應用、維護等主要階段，并不僅僅包括工程造價等財務結算內容。
比如：江西省發展改革委下發的關于印發《江西省電子政務建設項目管理暫行辦法》的通知（贛發改高技字[2007]1334號）規定“第十二條電子政務建設項目實行信息工程監理制度。監理費用須納入電子政務建設項目預算。第十三條項目建設單位應嚴格按照批準的建設內容和規模組織實施。項目建設單位變更項目主要建設內容或調整投資概算超過百分之十的，應報發改委審核。第十四條項目完工后，項目建設單位應組織監理單位按照國家有關規定對項目進行初步驗收，初步驗收合格的項目投入試運行，未驗收或驗收不合格的項目不得投入運行。第十五條項目試運行后，項目建設單位可委托專業機構對項目進行質量和安全檢測，檢測通過后，項目建設單位組織項目驗收，并報發改委備案，發改委會同有關部門對項目驗收進行監督。面向全省跨部門的電子政務網絡或應用系統，由省發改委組織相關部門對項目進行竣工驗收”等規定。
    由此可見，對信息系統工程審計，不應只是進行單純的工程造價審計，而應包括：
    --項目是否已經實施信息系統工程監理；
    --業主單位是否嚴格按照批準的實施內容和規模組織實施；
    --工程實施程序是否規范；
    --工程設備器材是否符合合同要求；
    --工程設備材料變更是否確有理由及是否實施變更手續申報；
    --工程決算是否完整；
    --工程是否確實完成招標書及合同要求；
    --工程投資是否合理；
    --工程完工是否進行了檢測及驗收；
    --工程質量是否符合國家相關規范標準；
    --工程是否存在安全隱患等方面內容；
    --工程文檔是否齊全。
    五、信息系統工程審計承擔機構的選擇
    正是由于信息系統工程審計范圍廣泛、內容復雜，已經不是一般的建筑（建設）工程造價評估機構能夠了解及掌握的，應該由國家法定的信息系統工程咨詢、監理及財務、審計等第三方服務機構共同承擔。其理由是：
1、由于目前信息系統工程審計的前提是該工程已經完工后實施，工程造價只是工程尚未開始時申請工程立項、可研編制、方案設計階段其中的一項基本內容。因此，信息系統工程審計內容不僅僅是審計工程造價審核。
2、由于信息系統工程造價確定后已經政府采購招投標法定工作程序，按照國家有關規定已經參與政府采購招投標的機構或個人不能再參與工程審計。且一般情況下審計部門也不應按照工程完成數年后的市場價格來審計數年前的設備、材料價格，這樣既與已經實施完成的政府法定工作程序相沖突，也對已經完成的信息系統工程按照數年后的市場價格來審核當年已經政府采購的設備、材料價格沒有相應審計法律依據。
3、信息系統工程審計應由第三方信息系統工程咨詢、監理機構及財務人員組成審計項目組實施。
第三方通常指合同關系雙方的兩個主體之外相對獨立的，有一定公正性的第三主體，一般引入第三方的目的是為了確保交易的公平、公正，避免糾紛和欺詐。而信息系統工程咨詢、監理機構是由業主單位委托，不與被監理項目的承建單位存在隸屬關系和利益關系的第三方法定機構，所提供的信息系統工程專項審計服務是以公正、權威的非當事人身份，根據有關法律、標準或合同的第三方技術服務機構。
    依據信息產業部關于發布《信息系統工程監理暫行規定》（信部信[2002]570號文件）的通知“第四條本規定所稱信息系統工程監理是指依法設立且具備相應資質的信息系統工程監理單位（以下簡稱監理單位），受業主單位委托，依據國家有關法律法規、技術標準和信息系統工程監理合同，對信息系統工程項目實施的監督管理。第十條 從事信息系統工程監理活動，應當遵循守法、公平、公正、獨立的原則。第十八條 監理單位的權利和義務：（一）應按照“守法、公平、公正、獨立”的原則，開展信息系統工程監理工作，維護業主單位與承建單位的合法權益；（二）按照監理合同取得監理收入；（三）不得承包信息系統工程；（四）不得與被監理項目的承建單位存在隸屬關系和利益關系，不得作為其投資者或合伙經營者；（五）不得以任何形式侵害業主單位和承建單位的知識產權；（六）在監理過程中因違犯國家法律、法規，造成重大質量、安全事故的，應承擔相應的經濟責任和法律責任”及“第九條監理的主要內容是對信息系統工程的質量、進度和投資進行監督”的規定，信息系統工程監理主要方法包括對工程項目進行質量控制、進度控制、投資控制、信息管理、合同管理、協調多方面關系（三控制、二管理、一協調），保障工程項目按預期目標完成，其中投資控制包括：工程立項階段投資概算審核、工程設計階段投資預算審核、招標階段投資控制、施工階段工程計量與付款控制、驗收階段工程決算審核。由此可見，信息系統工程監理機構具有對所承擔的工程監理項目投資進行監督及協助協助政府主管部門（發改、工信、財務、審計等）進行監督的權利、義務及不可推卸的責任。
    因此，在目前沒有法定第三方信息系統工程專門審計機構，而原有建筑、財務審計機構對信息系統工程審計又難以具體組織實施的情況下，可由政府主管部門采用購買服務的方式，委托具有法定資質、熟悉工作程序、業務規范、可承擔法律責任的第三方信息系統工程咨詢或監理公司派出專門人員或行業專家，與財務審計機構派出的人員或財務、審計專家共同組成專項審計組承擔相應信息系統工程項目的審計任務。
當然，根據回避的原則，已經參與某項被審計工程的信息系統工程咨詢、監理及財務、審計機構人員，不得參與此工程項目的信息系統工程審計。
 
 
                                                (作者單位：江西省計算機用戶協會)
 
 
 
 
 
聯系方式：江西南昌市江大南路132-5號，330029，江西省計算機用戶協會
          高級工程師劉斌，電話：0791-88339980  13907916150，電子郵件：jxcua@163.com