数据视域下信息化项目绩效审计指标探究

李瑾 钱钢

【摘要】随着信息技术革新进程的加快，在数量与日俱增的信息化项目中，数据的适用范围和使用程度达到了一个全新的高度，各行各业都采用基于数据分析的模型进行业务预测、分析和处理等，但是在数据的使用、存储和保存的过程中存在众多的安全风险。出于对信息安全的防护，国家和企业引进绩效审计来作为一种监督手段，以此为数据安全提供基础的保障。文章在对国内外信息化项目绩效审计的评价和指标进行比较分析的基础上，具体剖析我国当前数据视域下的信息化项目绩效审计存在的问题，并从宏观和微观角度对绩效审计的框架和指标进行完善，以期对信息化项目发挥安全保障及监督作用。

【关键词】数据安全；信息化项目；绩效审计；审计指标；审计监督

【中图分类号】F239.4

一、引言

当前全球正加速从工业社会向信息社会过度，信息技术的革新不断改变着社会生产和人类生活的方式。在以计算机技术、网络技术、通信技术为的主要手段开展的信息化项目中，国家和作为社会经济活动主体的企业都高度重视。而在信息化项目中，数据占据着核心地位。数据在为资源配置提供支撑服务的同时，其安全性也面临着严峻的挑战，海量数据管理难、泄露方式复杂多变、手法隐蔽等导致类似于“Facebook数据泄露”“运营商30亿用户数据泄露”等数据安全事件频发。究其根源，是信息化建设和安全保障系统并没有达到同步，换言之，安全保障系统的发展远远落后于信息建设，因此造成了严重的后果。对于信息安全的防护，国家和企业会引进绩效审计1来作为一种监督手段，有效迎合数据传输、存储与使用的安全管控需求，同时提高部门的工作效率。[1]针对数据安全相关活动的经济性、效率性和效果性所进行的绩效审计已成为热点问题。本文在理论回顾的基础上，设计基于数据安全的信息化项目绩效审计架构，明晰进行考察的量化指标，形成具有可行性、科学性的绩效审计监督机制。

二、数据视域下信息化项目绩效审计的现状

在当今信息化技术蓬勃发展的时代，科学技术和经济社会高速且高质量发展。但数据安全管理方面的不健全、操作者的失误、第三方监察机关的遗漏等原因，造成大量数据遗失、被篡改和盗窃等严重后果，数据安全面临的危机日趋严重，再加之数据安全相关信息透明度不高等问题，增加了数据安全的威胁因素。为了使信息化项目的发展无后顾之忧，对于数据的安全及价值性问题等，各国都采取了信息化安全防范手段。[2]而利用绩效审计避免数据安全问题，发达国家有着更早一步的了解和研究。因此，将国外和国内基于数据安全的信息化项目绩效审计的现状进行比较分析，将会有更大的研究和借鉴价值[3]。

（一）国外基于数据安全的信息化项目绩效审计现状

1.澳大利亚

澳大利亚基于数据安全的信息化项目绩效审计具有明确的法律定位与相应的审计评价标准。这种方式不仅支撑着审计对项目的监督，同时一定程度上促进了公共管理事业的发展。澳大利亚高度重视IT安全审计，可能得益于其较早起步的信息技术。其审计的主要目标是对联邦公共部门互联网安全措施的有效性进行评价和提供优化实践指南，类似于我国的信息安全等级保护测评，在做出相关评价之后要针对其中的薄弱环节提出相应的优化建议并记录在案。官方发布的《澳大利亚政府信息技术安全手册》中详细阐明了IT安全管理和IT安全标准两部分内容，为基于数据安全的信息化项目审计的开展提供了主要的审计评价指标和指南，有效促进了信息化项目审计的实质性开展。其审计评价指标主要涉及安全环境、安全管理风险、信息管理和安全工作的监控等，即对安全管理组织和安全管理制度中的相应部分进行审计，并非局限于某一部分或环节，而是立足于组织层面[4]。

2.美国

美国基于数据安全的信息化项目绩效审计强调遵守适用原则，即不能不顾被审计单位实际情况而盲目提出过高的要求，也不能为降低管理成本而提出较低或很容易达到却没有实质性作用的要求。要根据被审计单位的重大错报风险、薄弱点以及管理层的风险偏好等提出恰当的标准，以便达到更好的效果。同时美国还提出建立持续监督制度的方法，在达到一定的标准之后，建立持续监督制度，以便更好地对数据安全进行监督和有效改进，相对于定期审计而言，拥有更低的管理成本却能达到相似的效果。

（二）国内基于数据安全的信息化项目绩效审计现状

1.吉林省长春市

2020年吉林省长春市审计局通过绩效审计手段来完善信息化建设相关制度，为保障信息系统更加安全、可靠、高效地运行，采取了一系列措施。吉林省长春市审计局重点关注在信息系统建设过程中的资金使用情况，需通过审查财务数据及相关资料进行了解和分析，主要针对财务数据的存在性、合理性和合法性，进而提高信息系统的安全性和可靠性。吉林省长春市审计局还提出了全方位的审查，将基于数据安全的信息化项目的审计重点从某些薄弱点上升到整个组织的层面，从整体对数据安全问题进行控制，这将对基于数据安全的信息化项目绩效审计的效率和效果起到提升和保障作用。

2.浙江省宁波市

浙江省宁波市审计局提出长效工作机制和协同监管机制，这两大措施有助于促进基于数据安全的信息化项目审计的长期有效发展。长效工作机制需要明确审计目的、审计范围和审计重点，将基于数据安全的信息化项目绩效审计纳入日常审计范围之内，但前提是将被审计单位中存在的信息系统安全隐患、不到位的数据安全保障措施以及员工不规范的日常操作等问题有效解決。协同监管机制需要加强组织管理，联合各方力量，各司其职，在做到职责清晰和职责分离的前提下，将在低成本的基础上降低审计风险，提高审计质量，推动数据的安全有效运行、传输与存储。

三、数据视域下信息化项目绩效审计的问题剖析

通过对国内基于数据安全的信息化项目绩效审计现状的分析和了解，可以发现我国的信息化项目审计的地位已经被提高到一定的高度，引起了大家广泛的关注，并在为其健全和发展不断付出努力。但是在其中有关数据安全的管理水平仍有待提高[5]，主要不足之处在于当前绩效审计的评价标准和指标未予以明确，导致效率性、效果性和经济性不足而难以保障数据安全。一方面，澳大利亚基于数据安全的信息化项目审计的方法、理念和经验都值得我们借鉴和学习，但需要结合我国审计的法律框架、国情以及我国信息化项目审计的发展现状进行有选择的借鉴。应当进一步提高基于数据安全的信息化项目审计的地位，在提高数据安全的同时展开对数据所依赖的信息系统的审计，给予数据运行和存储等操作更加安全可靠的环境，从而进一步提高数据的安全性和可靠性。另一方面，针对审计监督的效率性和效果性，美国在此方面卓有成效。可以采用美国审计的四个指标，即及时性、品质、数量和效率，通过综合核查协助审计人员进行完整深入的审计工作。我国需要提高审计人员的工作能力和专业素养，从而更好地支持我国审计监督的发展。

四、数据视域下信息化项目绩效审计问题的对策

通过对基于数据安全的信息化项目审计的现状分析，我们可以发现虽然现在的信息化项目审计的地位已得到凸显、发展水平逐步提升且发展趋势良好，但我们仍需要采用一些兼具有效性和现代化的技术手段提高基于数据安全的信息化项目绩效审计的效率[6]，从而进一步促进数据更加安全有效地流通和使用，提高数据信息的安全性、可靠性以及完整性。提高基于数据安全的信息化项目审计的效率，可以从基于数据安全的信息化项目审计的框架这个角度进行宏观和微观角度的研究[7]。

基于数据安全的信息化项目绩效审计框架是指针对信息化项目审计中的数据安全层面所提出的一种审计架构[8]，用于更加高效、规范、便捷地进行信息化项目绩效审计，主要从以下四个方面着手进行调查：安全管理组织、安全管理制度、等级测评落实情况和安全防范意识。

（一）安全管理组织

安全管理组织工作实行统一管理，是一种基于数据安全的信息化项目绩效审计框架，其重点是安全管理组织、职责清晰和职责分离这三个方面。首先，安全管理组织方面主要负责四个方面：一是建立数据安全管理组织架构并检查其运行有效性。二是检查并核实存在于组织以及各个部门层面的数据安全管理目标的合法、合理性。三是检查针对特定数据安全所做出的数据安全管理规划的存在性、可操作性以及有效性。四是核查对基于数据安全的信息化项目审计前及过程中所采取的措施的书面记载，安全管理过程中的标准性文档的编制、保存以及审核机制的完整性和有效性。其次，职责清晰和职责分离是指全体员工掌握组织内部机构设置、岗位职责、业务流程等情况，对自己的工作责任和职责范围清晰。且企业在匹配岗位和职权的时候，要充分考虑舞弊、重大错报风险以及管理成本等因素的影响，在职责分离部分进行充分的考虑。通过安全管理组织、职责清晰和职责分离部分的相关措施对基于数据安全的信息化项目审计做好前期准备，提高其效率性和经济性。

（二）安全管理制度

安全管理制度是一系列为了保障基于数据安全的信息化项目绩效审计高效进行而制定的相关条文。它的设立主要是为了控制信息化项目审计的风险，降低重大错报风险、控制风险、舞弊风险等，将危害降低到最小。其重点是安全管理制度和安全过程控制标准文档这两个部分。一方面，安全管理制度的制定基础是被审计单位信息化项目的数据安全所面临的风险，制定基调是被审计单位管理层的风险偏好。因此，在安全管理制度部分首先要关注其对风险等级的确定是否合理，其次是否根据相应的风险等级制定相对应的安全管理制度。在制定安全管理制度的过程中要关注安全管理制度的设立、变更的评审情况和安全管理制度的遵循情况。与此同时，要对安全管理制度的变更以及所涉及的相关法律、法规、政策和标准要求，收集并整理形成合规文件清单以备后期审查与核对。另一方面，对信息化项目进行审计监督，不可避免要对信息化项目的内部控制进行了解和测试，一般通过穿行测试或是细节测试等方法对涉及数据安全的内部控制进行了解和测试，在了解和测试的过程中将相关步骤、程序、问题及解决过程和结果等记录在安全过程控制标准文档中以备后期核查。安全过程控制标准文档的编制、审核以及保存都应该事先形成统一的标准，如编制内容、模板、审核人员、审核的记录情况、保存的期限和保存的内容等，类似于审计报告的编制、审核和保存，有利于保持控制、减少舞弊等风险的发生。

（三）等级测评落实情况

等级测评即信息安全等级保护测评，是指根据相关管理规范和技术标准，对信息系统安全等级保护状况进行检测评估的活动。在大数据时代对信息化项目进行绩效审计，不可避免要对信息化项目中所涉及的信息系统进行相关审计，其中等级测评就是极其重要又极具说服力的测试活动。等级测评落实情况主要从安全控制测评和系统整体测评两个方面进行测试以查看其落实情况。第一，安全控制测评作为等级测评的基础部分，主要是为了测试评估其中的基本安全控制在信息系统中的实施配置情况以及其是否符合相关制度要求。安全控制测评主要是指对测评执行情况进行了解，主要是看在系统发生变更时安全控制测评是否及时做出相关调整或者安全改造，以及在等保测评结果不理想时，系统是否根据相应的等级保护标准要求，进行整改并做出相关记录。第二，系统整体测评主要是为了测评分析所在信息系统的整体安全性，可以从等保机构情况和等保频率这两个角度进行分析。其中，等保机构的设置和选择应该以优秀的专业技术能力和熟识行业信息系统为基本要求，以此来增强可靠性和说服力。等级测评应该对等保频率有所要求，对以往等级测评结果高和等级测评结果不理想的系统可以区别对待，但为保证其效果，最长不应超过三年。

（四）安全防范意识

数据安全所面临的危机除去固有风险和人为不可控风险等之外，还有由于数据使用者的操作問题所导致的风险，其所带来的危机在某些时候是不可估量的。因此，我们需要增强数据使用者、传输者以及存储者等相关人员的安全操作意识，有效防止由于数据使用者不规范的操作行为或是第三方维护人员的监督监控不足所造成的风险。查看是否具备相关安全防范意识可以从被审计单位的相关年度计划方案及制度、执行情况这两个方面进行审查。查看被审计单位的相关年度计划及制度，主要是为了核实被审计单位是否按期开展相关安全防范意识宣讲和培训、应急演练等。安全防范意识宣讲和培训可以通过网络授课检查、期末考试的形式进行审查并能检测培训结果以便后期重点调整。对于应急演练要关注应急预案的编制、应急演练之前的培训是否规范，以及应急演练过程中出现的问题是否被完整记录在案且得到充分有效的解决。对应急演练中的应急保障资金的审核也应提起足够的重视，应急保障资金的存在、支出等都应该按照相关规定记录在案并且异地备份，准确记录应急保障资金的使用情况，有效防止舞弊等风险的发生。被审计单位的相关年度计划方案及制度、执行情况都应该被完整记录并按照相关规定保存一定的时间，其存储和保存情况也应该有所要求，有助于被审计单位员工安全防范意识的增强，从而进一步提高数据安全的可靠性。

五、结论

信息化时代，信息技术已经和人们的日常生活完美地融合在一起，给人们带来的发展优势和便利是显而易见的。随着大数据的蓬勃发展，数据的大爆炸、数据的有效使用和存储等问题引发了新的数据安全问题，面对许多未知的风险因素，数据的安全传输、存储和使用等问题亟待解决。在新技术和新思维不断被提出，科学技术还在不断革新的情况下，我们应该通过相关政策法规和科学技术手段的良好结合，从根本上保障数据运行环境的安全，维护数据安全，维护数据信息的安全、可靠以及完整，为社会提供更加丰富、全面的数据信息资源，推动数据资源的融合与共享。不断提高数据的安全管理水平，促使形成数据安全和信息化不断发展的“鱼”与“熊掌”兼得的美好局面。

促进基于数据安全的信息化项目绩效审计的优化发展是我国审计发展的必然趋势之一。通过促进其优化发展，可以提高数据的安全性，提高业务单位的工作效率和工作质量，提高绩效审计的效率。当然，在基于数据安全的信息化项目绩效审计的优化建设过程中，相关单位需严格规范自己的行为，严格遵守相关制度，通过开展高水平的基于数据安全的信息化项目审计工作，确保审计服务的可靠性和安全性，减少审计风险发生的可能性，打造属于数据的安全流通环境。

但需要注意的是，基于数据安全的信息化项目绩效审计的框架和指标并不是固化的、详尽的，在后期具體实践中需要依据被审计单位的风险偏好、业务特点等进行相应的调整以形成在该时段适合于该业务的具体详细的审计框架和指标。虽然大多数业务所涉及的框架和指标并不是完全一致的，但其审计目的都是充分衡量被审计单位是否具有经济性、效率性和效果性。总之，构建大数据时代数据安全的绩效审计框架和审计指标，既需要借鉴发达国家的先进经验，又需要考虑我国的具体情况和发展阶段，在借鉴的基础上不断完善，真正构建出一套具有中国特色的基于数据安全的信息化项目绩效审计框架和指标，将我国的数据安全和信息化项目的发展提升到一个全新的高度。

主要参考文献：

[1]赵爽，俞红梅.我国政府绩效审计的法制建设研究[J].经济监督，2018（22）：72-76.

[2]胡东华.数据安全审计过程问题控制研究[J].网络安全技术与应用，2021（3）：55-57.

[3]王翠春，张莉莎.中西方国家绩效审计评价标准比较与启示[J].财会通讯，2010（10）：143-144.

[4]徐嵩舜，范垂青.澳大利亚安全审计及其启示[J].审计月刊，2006（12）：20-21.

[5]刘一帆，叶战备.美国网络安全绩效审计及其对我国的启示[J].辽宁经济，2019（1）：52-53.

[6]陈大峰，陈海勇.大数据环境下信息系统趋势审计分析[J].财会月刊，2019（17）：116-123.

[7]石永.数据安全审计方法与内容的探索[J].中国内部审计，2021（2）：40-42.

[8]闵志刚，赵华.体彩公益金绩效审计框架构建[J].审计月刊，2014（4）：14-16.