张铨稳 赵雅洁 王玉 贾文萱 王雪纯
摘要:21世纪是信息化时代,随着企业信息化趋势不断增强,信息系统绩效审计越发重要,通用的审计指标体系也逐渐难以适应企业需求。文章梳理了信息系统绩效审计研究必要性,归纳总结了现有信息系统绩效审计体系在指标设置和实施过程中存在的问题,通过层次分析法在原有审计体系基础上进行创新改良,构建具备多元指标的新指标体系,为构建集中统一、全面覆盖、权威高效的审计监督体系提供参考蓝本。
关键词:信息系统绩效审计;指标;层次分析
一、信息系统绩效审计概述
信息系统绩效审计是绩效审计与信息系统审计的交叉,是对信息系统的经济性、效率性和效果性所作的评价与监督。通过对信息系统投资及绩效的评价,向管理层提供信息系统投资立项、决策、实施、监督、考核过程的合规性、合理性、合法性、经济性以及对业务目标影响的评估,以促进组织持续改善信息系统投资过程管理、提升信息系统投资价值。信息系统绩效审计评价指标通常包括量化与非量化指标,财务与非财务指标,衡量过程与衡量结果的指标。现有审计体系构建时,审计人员大多重视财务指标、量化指标与结果指标,却容易忽视其他指标,审计目标过于偏向项目经济性。但在进行信息系统审计实际操作时,必须结合每一个层次的系统使用特点,选取适合的评价指标。
二、信息系统绩效审计研究必要性
(一)企业需求
随着信息技术的发展和信息化程度的提高,信息已经成为了当代最重要的资源之一,信息技术也在各个领域的企业中广泛应用。一方面各种流程及相关控制实现线上化、自动化,数据完全电子化,改变了原有企业的经营模式,提高了企业的经营与管理效率;另一方面,盲目建设、重复投资、高配低用、信息孤岛、损失浪费,系统使用率低、信息资源不能共享等问题还较严重。因此,开展信息系统绩效审计就显得非常必要。
(二)政策需求
审计署在《“十四五”国家审计工作发展规划》中提出:“十四五”时期,加快構建集中统一、全面覆盖、权威高效的审计监督体系。“十四五”时期是我国全面建成小康社会,开启新征程的新阶段。在此国家正经历着百年未有之大变局的时期,新时代赋予了我们审计工作新职责与新使命,同时国际国内环境也对我们的审计工作提出了新的挑战。目前审计工作还存在一定短板,十四五要求我们要结合审计工作实质,确定健全集中统一的审计工作体制机制,着力构建全面覆盖的审计工作格局与推动形成权威高效的审计工作运行机制的主要目标。围绕国家经济社会发展主要目标,将党的领导落实到审计工作全过程各环节,并依法全面履行审计监督职责,发挥好审计机关的监督作用。
同时为了实现科技强国,需要同时兼顾上层建筑与基础建设,切实为经济社会发展和增进民生福祉提供高质量科技供给,完善快速立项机制,形成稳定支持机制。为规范科研多元投入,创新人才培养,深化科研项目和资金管理改革等大型项目经济资金流通情况,趋近投资效益最大化,完善高效的审计工作的展开是保障基础,保障科技强国战略的顺利高效进行。
三、信息系统绩效审计体系存在问题
就信息系统审计发展而言,存在缺乏系统完备的信息系统审计操作指南,信息系统审计法规体系尚不完善,审计技术方法工具不具有适用性与审计专业人士匮乏等问题,此文单从审计标准角度出发,分析我国现有审计体系不足之处。
(一)缺乏审计标准制定单位
从国际范围而言,信息系统审计的标准制定主要由国际信息系统审计协会指定,而对比我国,虽然目前也已经有部分学者构建了管理系统审计绩效评价体系,但并不统一,审计标准制定单位大多是各企业为满足自身发展按照3E标准自行设计,整体趋于混乱,且存在直接挪用西方现有体系但与我国国情难以兼容的情况,难以取得突破性发展。
(二)审计体系单一
我国现有审计体系大多为3E审计(经济效益审计),围绕经济性,即审查信息化项目实施过程中达到项目要求的前提下损耗最少资源;效率性,即信息化建设与所投入的资源直接实现等成本最大收益或等收益最小成本的关系;效果性,即投入既定资源后如何更完美实现既定目标。该审计体系简单易操作,但却在信息系统绩效审计中处于垄断地位,单一的审计体系对于行业发展存在着阻碍。
(三) 指标设定呈现泛经济化趋向
绝大多数指标是以追求经济效益最大化为立足点,但是实践中很多项目主要目标是获取或者保持相对的竞争优势,而经济效益并不应该总是最重要的指标。指标设定缺乏客观因素的思考。指标设定导致投机行为。绩效指标的设定合格要求需要合理,具备一定的挑战性,促进项目向高效可持续发展。但目标实现难度的频繁提高,使项目难以通过正常手段完成目标,反而会迫使企业做假账。绩效评估过于表面化。
四、信息系统绩效审计的评价指标设计
(一)指标设计方法
按照时间逻辑,将绩效审计分割为事前事中与事后审计,对原有3E审计体系进行重新分类归纳,通过文献研究法,对于部分无需更改的指标压缩权重后留用,对于新增指标,利用层次分析法,赋予新的指标权重。
(二)指标设计原则
1.战略导向性,对企业将信息技术与各项业务的有效结合,为企业追求最小成本最大效益提供战略方向指导作用。
2.可操作性,审计指标必须要有可操作的操作指南做支撑,每项指标具有可衡量性与易操作性。
3.成本效益性,绩效审计所带来的综合效益要大于成本。
4.可接受性,指标的制定符合法律法规规定,顺应市场发展与企业需求,受审单位对于指标具有一定接受程度。
(三)指标设计成果
根据财政部《关于印发<预算绩效评价共性指标体系框架>的通知》(财预〔2013〕53号)、财政部《关于印发<项目支出绩效评价管理办法>的通知》(财预〔2020〕10号)等文件要求,结合项目特点、项目实施单位填报的绩效目标等,充分考虑定量与定性指标结合,并经过多轮修改完善,设计了本次绩效评价指标体系及评价标准。
1.决策
本项属于事前审计,对于项目成立之前的流程是否规范,计划是否合理,资金投入是否正常进行初步审计,对于项目进行第一轮筛选,减少审计项目数量减少后期审计工作量,同时事前审计可以留下材料作为后期审计的参考。主要通过询问管理层获取项目情况与实地考察相结合进行评价,满足要求得分,不满足要求不得分,无法通过决策审计的项目不具有继续开展的必要。
(1)项目立项
项目立项主要围绕立项依据充分性与立项程序规范性,其中立项依据充分性重点考察立项是否符合国家相关信息化建设政策要求和发展规划;是否属于项目实施单位履职所需;以及项目本身或者实施单位内部是否存在交叉重复项目。规范性考察需要项目是否通过财政部和社国家规定的程序申请设立且审批文件、材料符合项目管理要求。
(2)绩效目标
绩效目标需要合理性且指标明确。询问管理层,判断项目是否设立绩效目标;调研项目相关工作人员,了解绩效目标是否通知到位。结合相关执行文件和问卷调研,判断绩效目标与实际工作内容是否具有相关性;根据绩效目标估算项目投入需求资金量,与预算的项目投资额进行对比,判断其是否与预算确定的项目投资额或资金量相匹配;研究绩效目标中预期产出效益部分,咨询公司人员并估算大概水平,对比类似项目或相关项目在当前市场中大概业绩水平情况,判断该项目的预期产出效益和效果是否符合正常的业绩水平。
获取绩效目标相关文件,检查是否细化分解到具体指标;获取文案并结合项目要求检查其内容是否清晰,指标值设定是否完善;通过咨询工作人员,了解项目阶段性的任务与计划数量,通过调研,判断绩效指标的设定是否能对应,是否能满足项目需求,在不同情况下有具体对应的指标可以解决问题。
(3)资金投入
资金投入需要审查预算编制科学性。获取该项目的预算编制及其过程的记录留档,并检查留档是否完整清晰,根据企业所提供的文件,结合预算法规定,核查预算编制是否经过科学论证。根据预算法规定和项目需求,检查文件按是否有经过市场比价,有明确的支出标准和工作量明细判断其是否按标准编制,与类似项目进行外部对比,同时内部对比,结合问卷调研,核查预算确定的项目投资额或资金量是否与工作任务相匹配。
根据是否按委托服务合同,往年资金使用情况进行判断,核查预算资金分配依据是否充分,是否与项目单位实际相适应
2.过程
属于事中审计,区别于事前审计,更多的是利用更为清晰的数据来体现价值,主要考察项目过程中资金管理,项目组织与安全保障情况。
(1)资金管理
通过计算比例审查实际到位资金数额,预算资金数额与实际支出资金数额是否准确。需要统计实际到位资金、预算资金、实际支出资金与实际到位资金等数值。
资金到位率=(实际到位资金/预算资金)×100%。
预算执行率=(实际支出资金/实际到位资金)×100%。
资金使用合规性:根据国家财经法规与企业对应项目,抽样调查资金使用情况,判断是否符合制度要求;通过抽样调查,获得资金拨付审批程序与手续过程中的纸质文件证明;抽样调查企业资金运用是否在规定范围内;问卷调研,调查是否存在截留、挤占、挪用、虚列支出等情况。
(2)组织实施
管理制度健全性:获取执行项目过程的记录文件相关档案,根据公司制度与国家法律判断其是否遵守相关法律法规和管理规定。获取项目资料档案,根据项目运行情况,判断项目合同书、验收报告、技术鉴定等材料是否齐全,检查企业是否具有专门部门,负责材料保存,判断材料是否及时归档。根据文件档案记载与实地考察结合,判断项目实施的人员条件、场地设备、信息支撑等是否落实到位。
(3)安全保障
系统运行安全性:根据相关法律规定,结合项目需求的安全等级,以及调研制度运行过程中是否存在大型故障判断网络安全管理制度制度建立是否完善。了解项目网络安全评测与风险评估情况,结合政策要求,与评估部门核实,判断是否定期开展网络安全检测与风险评估。
数据处理安全性:业务数据安全处理;日常数据安全管理及保障。
3.产出
属于事中审计,利用更为清晰的数据来体现价值,主要围绕项目的经济成功展开考察,分为数量、质量、时效与成本四方面考察项目收益。
(1)产出数量
系统及设备运维数量实际完成率;基础设施建设实际完成率;关联产业项目一体化建设实际完成率;项目开工实际完成率;功能技术平台实际完成率。
系统及设备运维数量实际完成率=(∑实际设备(系统)运维数量/计划完成设备(系统)运维数量*设备(系统)运维权值)*100%。设备(系统)运维权值=该设备(系统)支出金额/全部设备(系统)支出金额。
实际完成率=(实际完成数量/计划完成数量)×100%。
(2)产出质量
工作验收合格率=(∑验收合格的工作权值)*100%。权值=该部分工作支出金额/全部涉及验收的工作支出金额。
系统信息安全等级保护测评达标情况,根据项目实际并结合设定的绩效目标,通过社科网平台及邮件系统的系统信息安全等级保护测评情况考核该指标。
网络平稳运行度=(平稳运行时间/运行总时间)×100%。
信息化系统故障解决率=(解决的故障数量/发生的故障数量)×100%。
(3)产出时效
完成及时率=实际进度/计划进度×100%。实际进度:实际达到项目目标或阶段性目标的进度。计划进度:计划达到项目目標或阶段性目标的进度。
(4)产出成本
预算控制情况,项目实际成本额是否超出总预算金额。
4.效果
属于事后审计,本项主要作用在于丰富信息系统绩效审计维度,将客户维度,社会效益以及业务支撑与共享协同等无形经济收益纳入审计范围。
(1)项目情况
项目应用服务性能,项目资源利用是否合理高效,成果是否达到预期目标。
项目业务支撑情况,项目对于相关领域其他行业是否具有积极的外部效应。
项目共享协同集中情况:项目是否坚持共建共享、业务协同原则,实现信息共享;项目是否建立建立信息共享长效机制和共享信息使用情况反馈机制。
项目社会效益,项目对于经济发展在经济,生活水平方面带来的积极效用。
(2)服务对象满意度
自评满意度指标值的真实性、合理性、科學性,满意度是否经过客观调查;满意度调查是否存档、留痕;满意度指标值是否科学、合理、完整。
绩效评价工作组满意度调查结果,被调查人员对项目工作开展满意度。
(四)指标体系价值
1.学术价值
此文所搭建的指标体系是从信息化建设实际需求出发,以信息系统绩效审计“3E”标准(经济性、效率性、效益性)为理论基础,以时间逻辑为设计框架,梳理相应的已有信息系统绩效审计相关指标权重体系,之后又在案例分析的基础上,从指标设定是否符合客观需求且职责履行情况接轨,绩效评估能否与部门使命和战略目标有机结合,以及绩效评估是否导致投机行为等多方面进行针对性剖析,以此为参考因素,而后针对信息系统绩效审计指标体系难以落地的实践困境构建的,一套符合企业或政府部门需求的相对客观的信息系统绩效审计指标权重体系。本指标体系不仅在理论上对已有体系进行归纳总结,而且能够丰富和拓展我国信息系统绩效审计体系,为我国信息系统审计相关工作提供了参考蓝本。
2.应用价值
指标体系的建立,不仅能够有效促进企业更好地进行公司治理,适应企业现代化信息化建设的发展,而且能够客观真实的对企业进行绩效评估审计,在企业的应用方便具有重要的促进作用。信息系统审计作为内部审计的一部分,通过实施信息系统审计工作,能够对组织是否实现信息技术管理目标进行审查和评价。由于信息系统审计的特殊性,在信息系统的绩效评估方面,有着很大的改进空间,而此信息系统指标体系的建立,能够适用于多数企业,使得信息系统审计更加客观,从而相应地提高了信息系统审计的地位,有利于达成企业的信息化战略目标。
3.创新价值
指标体系的主题新颖,紧随现代审计发展潮流。国内大部分企业迄今未形成有效的,客观的,实用的针对信息系统审计的绩效评价体系,而信息系统审计是当今世界审计发展的一个方向它已经逐渐成为一种新兴的审计分支。
指标体系的搭建与时俱进,适应当前环境,响应国家疫情下推行的“新基建”政策。疫情的发生更显现出线上办公的重要性,提高了对线上信息系统的要求。基于国家推行新基建的大背景,建立更加高效有用的信息系统绩效审计体系更加适应当前环境,具备实用性,有利于充分利用资源与时间。
五、结论与展望
该绩效评价指标体系构建主要是通过分析整合前期收集得到的指标权重系数,结合企业、审计人员、政府等多方面的指导意见与实际需求,充分考虑定量与定性指标,构建的指标体系理论上能够切实可行,客观公正地审计评价信息系统。所得新指标体系按照时间逻辑,将审计分割为事前、事中与事后审计,着重于补充非财务指标与非财务指标,为规范绩效审计评价指标体系,构建集中统一、全面覆盖、权威高效的审计监督体系提供参考蓝本。
但受新冠肺炎疫情等主客观条件限制,该体系没有投入实地检验,未得到最终实践方对其的分析、评价和反馈意见,进而导致该信息系统绩效评价指标体系在工作流程、应用技术、数据管理、信息安全、企业个性化需求等方面可能存在问题。对此我们仍需进行实践和探索,规范绩效审计评价指标体系,从而降低信息系统风险,支持企业信息化战略目标的最终实现。
信息系统绩效审计是一个尚且存在许多问题但具有极大潜力的研究课题,除了审计体系的创新完善,绩效考核缺乏规范性、公开性和透明性,相关人员素质不能满足要求,绩效审计问责力度较弱,只能发现问题难以解决问题等都是尚需解决的问题,需要持续的研究与实践来完善,为实现科技强国目标添砖加瓦。
参考文献
[1]舒玉春.浅议信息系统审计[J]. 财讯,2017 :168.
[2]裴东霞.大数据环境下信息系统审计规范制定与实施研究[J]. 全国流通经济,2020:186-188.
[3]付玥,左晓亮.企业内部信息系统审计工作绩效的评价指标设计[J]. 市场研究,2018:49-50.
[4]郭健.信息系统审计[J]. 中小企业管理与科技(下旬刊),2011:219-220.
[5]吴伶伶.层次分析法在企业内部审计评价中的应用[J]. 科技展望,2016:213.
[6] Mohamed Elfadil A.; Elshareif Elgilani El.; Eldai Mohamed Omer Ishag . Designing a Generic Information Systems Audit Framework to Improve the Quality of Audit in Higher Education[J]. JOURNAL OF COMPUTER SCIENCEVolume 15, Issue 5 , 2019 : 664-672
【作者简介】:
张铨稳(1998-),男,汉族,江苏镇江人,南京审计大学本科在读,研究方向:金融数学