張 瓊

當(dāng)前，我國(guó)互聯(lián)網(wǎng)、云計(jì)算、大數(shù)據(jù)等信息技術(shù)飛速發(fā)展，信息化水平不斷提高，在產(chǎn)業(yè)規(guī)模、信息化應(yīng)用效益等方面取得長(zhǎng)足進(jìn)步，已經(jīng)位居全球領(lǐng)先位置。伴隨著信息技術(shù)在政治、經(jīng)濟(jì)、文化等領(lǐng)域的廣泛應(yīng)用，注冊(cè)會(huì)計(jì)師的執(zhí)業(yè)環(huán)境也發(fā)生了深刻變化，迫切要求會(huì)計(jì)師事務(wù)所直面信息革命的挑戰(zhàn)和機(jī)遇，融合信息技術(shù)，變革執(zhí)業(yè)理念、方法、技術(shù)與管理，實(shí)現(xiàn)業(yè)務(wù)與管理的信息化。

本文對(duì)我國(guó)事務(wù)所信息化建設(shè)的現(xiàn)狀，存在的主要問(wèn)題、產(chǎn)生問(wèn)題的原因進(jìn)行了研究，并就事務(wù)所信息化建設(shè)的對(duì)策進(jìn)行了探討。

一、現(xiàn)狀概述

我國(guó)事務(wù)所信息化建設(shè)起步較晚。近年來(lái)，在中國(guó)注冊(cè)會(huì)計(jì)師協(xié)會(huì)的大力推動(dòng)下，取得了一定成效，但從總體上看，各事務(wù)所在信息化的廣度和深度上參差不齊，中小型事務(wù)所普遍專注審計(jì)作業(yè)信息化，而大型事務(wù)所在審計(jì)作業(yè)信息化、內(nèi)部管理信息化和信息化服務(wù)方面都進(jìn)行了探索。

（一）審計(jì)作業(yè)信息化

審計(jì)作業(yè)系統(tǒng)（審計(jì)軟件）在事務(wù)所的使用越來(lái)越普遍，除極少數(shù)事務(wù)所自行開(kāi)發(fā)或定制開(kāi)發(fā)審計(jì)作業(yè)系統(tǒng)，大多數(shù)事務(wù)所選擇購(gòu)買市場(chǎng)化的審計(jì)軟件產(chǎn)品，運(yùn)用審計(jì)作業(yè)系統(tǒng)采集和導(dǎo)入財(cái)務(wù)數(shù)據(jù)，使用賬齡分析、憑證綜合查詢和抽樣、生成詢證函、底稿和報(bào)表等模塊，減少數(shù)據(jù)復(fù)制粘貼、計(jì)算匯總、數(shù)據(jù)分析、實(shí)質(zhì)性底稿生成等大量機(jī)械性勞動(dòng),提高審計(jì)效率。

（二）內(nèi)部管理信息化

部分規(guī)模較大、業(yè)務(wù)和流程復(fù)雜的事務(wù)所為強(qiáng)化內(nèi)部管理，通過(guò)自行開(kāi)發(fā)或定制開(kāi)發(fā)等方式，部署和實(shí)施內(nèi)部管理系統(tǒng)（ERP系統(tǒng)），運(yùn)用管理系統(tǒng)的客戶管理、項(xiàng)目管理、風(fēng)險(xiǎn)管理、報(bào)告管理、人事管理等模塊，實(shí)現(xiàn)從項(xiàng)目承接、人員分派和承做到出具報(bào)告的線上流程管理，提升內(nèi)部管理水平。

（三）信息化服務(wù)能力

大型事務(wù)所開(kāi)始注重和提升信息化服務(wù)能力，設(shè)立IT部門，承接承做財(cái)務(wù)審計(jì)項(xiàng)目的信息系統(tǒng)審計(jì)部分、信息化建設(shè)和管理咨詢、信息系統(tǒng)審計(jì)等,通過(guò)IT審計(jì)防范和控制審計(jì)風(fēng)險(xiǎn)，指導(dǎo)客戶提高信息化建設(shè)成效和強(qiáng)化IT管控等。

二、問(wèn)題分析

現(xiàn)階段，我國(guó)事務(wù)所信息化建設(shè)存在的主要問(wèn)題包括：

（一） 對(duì)信息化建設(shè)的認(rèn)識(shí)不到位

事務(wù)所信息化是一項(xiàng)技術(shù)工程，更是一項(xiàng)管理工程，它涉及到事務(wù)所的管理模式、組織結(jié)構(gòu)和業(yè)務(wù)流程等諸多方面的變革。在這一變革中，事務(wù)所不僅要投入大量的人力、物力和財(cái)力，更需要轉(zhuǎn)變觀念、明確目標(biāo)，合理定位，使信息化滿足經(jīng)濟(jì)技術(shù)法律監(jiān)管環(huán)境的要求，與事務(wù)所發(fā)展戰(zhàn)略相匹配。否則會(huì)降低信息化建設(shè)成效，甚至導(dǎo)致項(xiàng)目失敗。如有的事務(wù)所在管理信息化建設(shè)之初，對(duì)信息化建設(shè)的目標(biāo)、必要性、緊迫性、艱巨性等認(rèn)識(shí)不足，盲目上馬，導(dǎo)致信息系統(tǒng)上線后又全部推倒重來(lái)，造成極大浪費(fèi)和損失。

（二）缺乏信息化建設(shè)的制度基礎(chǔ)

從本質(zhì)上說(shuō)，信息化是事務(wù)所管理機(jī)制的一場(chǎng)革命，硬件設(shè)備和技術(shù)不論如何先進(jìn)，如果不與科學(xué)的管理和制度相結(jié)合，就無(wú)法發(fā)揮其應(yīng)用的作用。比如事務(wù)所的管理系統(tǒng)主要針對(duì)業(yè)務(wù)流程的控制，而績(jī)效考評(píng)、財(cái)務(wù)管理、決策管理等功能并未開(kāi)發(fā)或遭到棄用，仍然為手工線下操作，究其原因是管理體制、流程和制度未與之配套。

（三）信息系統(tǒng)管理不規(guī)范

信息系統(tǒng)管理不規(guī)范，主要體現(xiàn)在以下兩個(gè)方面：

1.開(kāi)發(fā)管理缺位

信息系統(tǒng)開(kāi)發(fā)的控制手段主要有事前規(guī)劃、事中監(jiān)理和事后評(píng)估。但目前事務(wù)所在自行開(kāi)發(fā)或定制開(kāi)發(fā)信息系統(tǒng)時(shí)，大多缺乏事前的通盤考慮和整體規(guī)劃，未對(duì)需求進(jìn)行充分調(diào)研；未對(duì)系統(tǒng)設(shè)計(jì)、開(kāi)發(fā)、測(cè)試、驗(yàn)收和上線等過(guò)程進(jìn)行事中監(jiān)控；未開(kāi)展系統(tǒng)實(shí)施后評(píng)價(jià)，即PIR（Post Implementation Review）。國(guó)際信息系統(tǒng)審計(jì)協(xié)會(huì)（ISACA）在《IT Standards, Guidelines,and Tools and Techniques for Audit and Assurance and Control Professionals》（Current as of 1 March 2010）中詳細(xì)解讀了G29 PIR，根據(jù)G29的定義，PIR是指由獨(dú)立的IS審計(jì)人員執(zhí)行的，對(duì)IT解決方案和或?qū)嵤┑倪^(guò)程，和實(shí)施后效果的第一次或后續(xù)審查，以對(duì)以下任何一個(gè)或全部事項(xiàng)進(jìn)行評(píng)價(jià)：

a.是否實(shí)現(xiàn)該方案的預(yù)期目標(biāo)

b.實(shí)際成本和收益是否與預(yù)算進(jìn)行比較

c.實(shí)施過(guò)程的有效性和恰當(dāng)性

d.如有超支的時(shí)間和或成本、質(zhì)量和或性能等問(wèn)題，說(shuō)明原因

e.該方案所帶來(lái)的生產(chǎn)力和績(jī)效的提升

f.是否實(shí)現(xiàn)業(yè)務(wù)流程和內(nèi)部控制

g.實(shí)施的用戶訪問(wèn)控制是否與組織的政策一致

h.用戶是否經(jīng)過(guò)適當(dāng)?shù)呐嘤?xùn)

i.系統(tǒng)是否可維護(hù)，且今后可進(jìn)一步提升效果和效率

j.是否遵守與其相關(guān)的法規(guī)要求和組織的政策

k.是否遵守與其相關(guān)的COBIT控制目標(biāo)和管理指南

l.無(wú)論是該方案還是實(shí)施過(guò)程都有進(jìn)一步改善的機(jī)會(huì)。

開(kāi)發(fā)管理缺位，通常導(dǎo)致系統(tǒng)未滿足功能性需求和非功能性需求、信息資源無(wú)法共享等問(wèn)題，比如審批流程的設(shè)計(jì)靈活性差，不能適應(yīng)業(yè)務(wù)發(fā)展的需要；標(biāo)書(shū)制作、質(zhì)量控制復(fù)核、培訓(xùn)管理、文檔管理等功能存在欠缺或尚待細(xì)化,仍為手工操作，降低信息化效果；系統(tǒng)之間未開(kāi)發(fā)數(shù)據(jù)接口功能，數(shù)據(jù)重復(fù)錄入；系統(tǒng)設(shè)計(jì)時(shí)對(duì)系統(tǒng)用戶和業(yè)務(wù)量估計(jì)不足，影響系統(tǒng)響應(yīng)速度和可用性等。

2.機(jī)房、備份、運(yùn)維和安全管理薄弱

事務(wù)所的機(jī)房、備份、運(yùn)維和安全管理通常外包或由內(nèi)部信息技術(shù)部門承擔(dān)，由于人員、經(jīng)驗(yàn)和技術(shù)欠缺，事務(wù)所在機(jī)房、運(yùn)維和安全管理方面較為薄弱，比如未妥善備份數(shù)據(jù)；未對(duì)機(jī)房環(huán)境、系統(tǒng)和網(wǎng)絡(luò)運(yùn)行進(jìn)行實(shí)時(shí)監(jiān)控；機(jī)房進(jìn)出未登記；防火墻、防病毒、上網(wǎng)行為監(jiān)控、網(wǎng)絡(luò)、系統(tǒng)和數(shù)據(jù)庫(kù)訪問(wèn)控制等安全措施不力；委托外包商承擔(dān)運(yùn)維工作，卻未規(guī)范和監(jiān)督外包行為，對(duì)外包服務(wù)質(zhì)量進(jìn)行考評(píng)等，降低信息系統(tǒng)的可用性、安全性和可靠性。

（四）信息化資源投入不足

信息化資源包括人力、物力、財(cái)力、經(jīng)驗(yàn)等，事務(wù)所受限于資源不足，難以利用信息技術(shù)發(fā)展的先進(jìn)成果,購(gòu)置或開(kāi)發(fā)信息系統(tǒng)往往處于較低水平，以解決當(dāng)前問(wèn)題為主，后續(xù)升級(jí)乏力，信息化效果并不盡如人意。

1.審計(jì)作業(yè)系統(tǒng)尚待智能化

（1）未實(shí)現(xiàn)將風(fēng)險(xiǎn)評(píng)估結(jié)果與審計(jì)策略的自動(dòng)關(guān)聯(lián)

國(guó)內(nèi)審計(jì)軟件比如鼎信諾、中普、e審?fù)ǖ葍H僅是將手工填制的風(fēng)險(xiǎn)評(píng)估底稿錄入系統(tǒng)中，未對(duì)風(fēng)險(xiǎn)評(píng)估結(jié)果進(jìn)行智能判斷，自動(dòng)關(guān)聯(lián)到應(yīng)對(duì)策略，存在風(fēng)險(xiǎn)評(píng)估結(jié)果與進(jìn)一步審計(jì)程序脫節(jié)的情況；用友CPAS審計(jì)信息系統(tǒng)有所改進(jìn)，增加了對(duì)被審計(jì)單位內(nèi)部控制的風(fēng)險(xiǎn)進(jìn)行識(shí)別和歸集功能，但國(guó)內(nèi)審計(jì)軟件整體上還沒(méi)有真正貫徹實(shí)施風(fēng)險(xiǎn)導(dǎo)向?qū)徲?jì)的要求。

而國(guó)際所，以致同的Voyager審計(jì)軟件為例，Voyager審計(jì)軟件內(nèi)嵌8個(gè)工具協(xié)助審計(jì)人員理解企業(yè)及其所處環(huán)境，即:組織架構(gòu)、收入、業(yè)務(wù)概要因素（EPF）、信息技術(shù)概要、綜合性問(wèn)題、企業(yè)層面控制、會(huì)計(jì)系統(tǒng)、重要性。審計(jì)人員在系統(tǒng)指引下執(zhí)行風(fēng)險(xiǎn)評(píng)估程序，根據(jù)執(zhí)行的結(jié)果，勾選系統(tǒng)中預(yù)先設(shè)置的選項(xiàng)和風(fēng)險(xiǎn)指標(biāo)，這些選項(xiàng)和風(fēng)險(xiǎn)指標(biāo)自動(dòng)關(guān)聯(lián)到事項(xiàng)、循環(huán)、風(fēng)險(xiǎn)識(shí)別和應(yīng)對(duì)措施，最終對(duì)應(yīng)到進(jìn)一步審計(jì)程序。

（2）未在系統(tǒng)中建立審計(jì)工作流控制

國(guó)內(nèi)審計(jì)軟件主體上是將底稿模版復(fù)制到系統(tǒng)中，沒(méi)有建立在工作流引擎之上的，對(duì)審計(jì)程序、底稿之間的邏輯性進(jìn)行檢驗(yàn)和線上控制的功能，往往導(dǎo)致選擇和實(shí)施了不恰當(dāng)?shù)膶徲?jì)程序、審計(jì)程序執(zhí)行不到位等問(wèn)題?！八拇蟆钡膶徲?jì)程序是一環(huán)扣一環(huán)的，這個(gè)環(huán)節(jié)程序的評(píng)估結(jié)果，直接影響下個(gè)環(huán)節(jié)執(zhí)行什么程序，不執(zhí)行什么程序，執(zhí)行的簡(jiǎn)繁程度如何等，而這些由審計(jì)軟件的線上控制流程來(lái)實(shí)現(xiàn)，其中包括對(duì)工作底稿復(fù)核的控制。

（3）未在系統(tǒng)中提供強(qiáng)大的知識(shí)庫(kù)和專家指引

強(qiáng)大的知識(shí)庫(kù)和專家指引是提高審計(jì)工作質(zhì)量的重要基礎(chǔ)，這些信息一方面來(lái)源于網(wǎng)站或經(jīng)濟(jì)數(shù)據(jù)庫(kù)，另一方面來(lái)源于事務(wù)所的實(shí)務(wù)經(jīng)驗(yàn)積累。國(guó)際上較為通行的做法是：將知識(shí)庫(kù)和專家指引內(nèi)置到審計(jì)軟件中，并實(shí)時(shí)更新，幫助審計(jì)人員及時(shí)獲取執(zhí)行程序的要領(lǐng)、常見(jiàn)問(wèn)題及解決途徑等，從而規(guī)范審計(jì)程序的執(zhí)行和達(dá)到預(yù)期效果。

（4）未將審計(jì)作業(yè)軟件與事務(wù)所管理系統(tǒng)有機(jī)整合

審計(jì)業(yè)務(wù)系統(tǒng)和管理系統(tǒng)各自為政、孤立存在，削弱了信息系統(tǒng)的協(xié)同效用，事務(wù)部?jī)?nèi)部控制流程被分割，數(shù)據(jù)無(wú)法共享，造成信息孤島問(wèn)題。

2.數(shù)據(jù)采集工具單一和存在局限

目前，一些國(guó)內(nèi)審計(jì)軟件提供的數(shù)據(jù)采集工具，僅限于與常用的國(guó)內(nèi)標(biāo)準(zhǔn)財(cái)務(wù)軟件的對(duì)接，如客戶使用定制化的財(cái)務(wù)軟件或SAP、ORACLE等國(guó)外軟件，則不能采集轉(zhuǎn)換數(shù)據(jù)，無(wú)法使用審計(jì)軟件。另外，國(guó)內(nèi)軟件通常使用了OFFICE組件，受其限制，數(shù)據(jù)量過(guò)大則無(wú)法正常運(yùn)行審計(jì)軟件。而國(guó)外審計(jì)軟件相對(duì)靈活，可以借助數(shù)據(jù)分析工具，比如ACL、IDEA等進(jìn)行數(shù)據(jù)采集和處理。

3.信息化服務(wù)能力不足

在信息化服務(wù)領(lǐng)域以及經(jīng)驗(yàn)積累方面有待提升，總分所信息系統(tǒng)服務(wù)資源未得到有效整合，外部市場(chǎng)競(jìng)爭(zhēng)力不強(qiáng)，目前仍以為事務(wù)所內(nèi)部財(cái)務(wù)審計(jì)提供IT服務(wù)為主。此外，信息化服務(wù)人才匱乏、IT審計(jì)工具投入不夠等造成信息化服務(wù)能力不足。

開(kāi)發(fā)管理缺位，通常導(dǎo)致系統(tǒng)未滿足功能性需求和非功能性需求、信息資源無(wú)法共享等問(wèn)題，比如審批流程的設(shè)計(jì)靈活性差，不能適應(yīng)業(yè)務(wù)發(fā)展的需要；標(biāo)書(shū)制作、質(zhì)量控制復(fù)核、培訓(xùn)管理、文檔管理等功能存在欠缺或尚待細(xì)化,仍為手工操作，降低信息化效果；系統(tǒng)之間未開(kāi)發(fā)數(shù)據(jù)接口功能，數(shù)據(jù)重復(fù)錄入；系統(tǒng)設(shè)計(jì)時(shí)對(duì)系統(tǒng)用戶和業(yè)務(wù)量估計(jì)不足，影響系統(tǒng)響應(yīng)速度和可用性等。

三、對(duì)策研究

（一）目標(biāo)設(shè)定

信息化的目標(biāo)是信息化各項(xiàng)工作的導(dǎo)向。事務(wù)所應(yīng)當(dāng)根據(jù)業(yè)務(wù)發(fā)展的需要和中注協(xié)的要求，因地制宜，制定信息化建設(shè)目標(biāo)。筆者建議，國(guó)內(nèi)大中型所信息化的基本目標(biāo)可設(shè)定為：在未來(lái)5年內(nèi)，以技術(shù)先進(jìn)、擴(kuò)展性強(qiáng)、安全可靠、高速暢通的信息化設(shè)施平臺(tái)和支撐體系為基礎(chǔ)；以互聯(lián)網(wǎng)、大數(shù)據(jù)、云計(jì)算、數(shù)據(jù)挖掘等現(xiàn)代信息技術(shù)為抓手；以形成復(fù)合型人才培養(yǎng)機(jī)制為保障，最終實(shí)現(xiàn)智能化審計(jì)、管理現(xiàn)代化以及信息化服務(wù)能力的提升。

（二）路徑設(shè)計(jì)

信息化建設(shè)有其自身的規(guī)律。關(guān)于企業(yè)信息化發(fā)展規(guī)律研究，具有代表性的是諾蘭（Nolan）教授提出的組織信息系統(tǒng)應(yīng)用的經(jīng)典模型。諾蘭將信息化分成六個(gè)階段，即：初始階段、傳播階段、控制階段、集成階段、數(shù)據(jù)管理階段和成熟階段。諾蘭認(rèn)為，任何組織由手工信息系統(tǒng)向以計(jì)算機(jī)為基礎(chǔ)的信息系統(tǒng)發(fā)展時(shí)，都存在著一條客觀的發(fā)展道路和規(guī)律。數(shù)據(jù)處理的發(fā)展涉及到技術(shù)的進(jìn)步、應(yīng)用的拓展、計(jì)劃和控制策略的變化以及用戶的狀況等四個(gè)方面。諾蘭強(qiáng)調(diào)，任何組織在實(shí)現(xiàn)以計(jì)算機(jī)為基礎(chǔ)的信息系統(tǒng)時(shí)都必須從一個(gè)階段發(fā)展到下一個(gè)階段，不能實(shí)現(xiàn)跳躍式發(fā)展。

根據(jù)諾蘭信息化發(fā)展的階段模型，國(guó)內(nèi)所信息化應(yīng)采取“總體規(guī)劃、統(tǒng)籌資源、分步實(shí)施、重點(diǎn)突破”的實(shí)施路徑。

1.總體規(guī)劃

從發(fā)展戰(zhàn)略的高度，將信息化建設(shè)當(dāng)成事務(wù)所戰(zhàn)略轉(zhuǎn)型的重要抓手。根據(jù)社會(huì)經(jīng)濟(jì)發(fā)展的需要和中注協(xié)的要求，結(jié)合自身的特點(diǎn)對(duì)信息化建設(shè)作出全面規(guī)劃。

2.統(tǒng)籌資源

將信息化作為資源投入的重點(diǎn)，在整合現(xiàn)有資源的基礎(chǔ)上，進(jìn)一步加大對(duì)事務(wù)所信息化的人力、物力、財(cái)力的投入。

3.分步實(shí)施

通過(guò)摸底梳理，分清信息化實(shí)施過(guò)程中相關(guān)事務(wù)的輕重緩急，分步實(shí)施。

4.重點(diǎn)突破

近期應(yīng)在以下五個(gè)方面重點(diǎn)突破：

一是完善信息化基礎(chǔ)平臺(tái)。為滿足日益增長(zhǎng)的系統(tǒng)用戶數(shù)量、24小時(shí)不間斷運(yùn)行以及集中管理、安全管理等需要，對(duì)現(xiàn)有設(shè)施架構(gòu)進(jìn)行全面梳理和改造，比如，除現(xiàn)有VPN（虛擬專用網(wǎng)絡(luò)）外，引入網(wǎng)絡(luò)專線；將辦公網(wǎng)絡(luò)與業(yè)務(wù)網(wǎng)絡(luò)進(jìn)行物理或邏輯分離，安裝防火墻、IDS、企業(yè)版殺毒軟件，開(kāi)啟安全審計(jì)日志、安全基線配置檢查等，加強(qiáng)內(nèi)外部網(wǎng)的安全防護(hù)措施；提高帶寬和網(wǎng)速，合理配置服務(wù)器、網(wǎng)絡(luò)設(shè)備、存儲(chǔ)設(shè)備和安全設(shè)備等，建設(shè)數(shù)據(jù)中心，打造高可靠、高可用、擴(kuò)展性強(qiáng)的信息化基礎(chǔ)平臺(tái)。

二是優(yōu)化支撐體系。一方面加大對(duì)內(nèi)部運(yùn)維技術(shù)和人員的投入，比如購(gòu)置監(jiān)控軟件，對(duì)系統(tǒng)、網(wǎng)絡(luò)、機(jī)房等進(jìn)行實(shí)時(shí)監(jiān)控，提前預(yù)警和防范風(fēng)險(xiǎn)；建立ITLL平臺(tái)，使問(wèn)題或事件的收集及處理更加及時(shí)和規(guī)范，并全面記錄軌跡。另一方面借助外部專業(yè)機(jī)構(gòu)力量，加強(qiáng)外包管理，比如委托外部機(jī)構(gòu)進(jìn)行安全測(cè)評(píng)和漏洞掃描；運(yùn)維服務(wù)外包應(yīng)簽訂SLA（Service-Level Agreement）協(xié)議并考評(píng)外包服務(wù)質(zhì)量等，進(jìn)一步優(yōu)化支撐體系。

三是增強(qiáng)數(shù)據(jù)應(yīng)用能力。首先，應(yīng)當(dāng)摸清事務(wù)所數(shù)據(jù)的類型、來(lái)源、責(zé)任部門、重要程度、保密級(jí)別、數(shù)據(jù)之間的邏輯關(guān)系、數(shù)據(jù)流向等。其次，建立數(shù)據(jù)標(biāo)準(zhǔn)、數(shù)據(jù)交換標(biāo)準(zhǔn)和數(shù)據(jù)字典，比如編碼標(biāo)準(zhǔn)、系統(tǒng)接口標(biāo)準(zhǔn)、數(shù)據(jù)項(xiàng)、數(shù)據(jù)結(jié)構(gòu)、數(shù)據(jù)流、數(shù)據(jù)存儲(chǔ)、處理邏輯、外部實(shí)體等的定義和描述。再次，全面實(shí)現(xiàn)對(duì)總分所人、財(cái)、物數(shù)據(jù)的集中管控，統(tǒng)一部署數(shù)據(jù)庫(kù)，建設(shè)數(shù)據(jù)倉(cāng)庫(kù)，充實(shí)數(shù)據(jù)分析人員，購(gòu)置數(shù)據(jù)分析挖掘工具，提高數(shù)據(jù)的采集、加工和分析能力，并提供知識(shí)檢索和專家支持庫(kù)。最后，規(guī)范數(shù)據(jù)庫(kù)的訪問(wèn)、維護(hù)、備份等操作。

四是提高應(yīng)用系統(tǒng)使用效果。對(duì)新系統(tǒng)的開(kāi)發(fā)或舊系統(tǒng)的改造，進(jìn)行充分調(diào)研和可行性分析，明確需求，加強(qiáng)對(duì)系統(tǒng)立項(xiàng)、設(shè)計(jì)、代碼編寫(xiě)、測(cè)試、上線、驗(yàn)收等流程控制，確保系統(tǒng)功能的完善和系統(tǒng)有效整合，提升提取數(shù)據(jù)的能力，增加審計(jì)流程和管理流程的線上控制、事前、事中和事后控制、智能化判斷、全數(shù)據(jù)測(cè)試、系統(tǒng)之間基礎(chǔ)數(shù)據(jù)的自動(dòng)導(dǎo)入導(dǎo)出等，支持遠(yuǎn)程作業(yè)和辦公、移動(dòng)作業(yè)和辦公，打造內(nèi)部管理和審計(jì)作業(yè)一體化云平臺(tái)，實(shí)現(xiàn)智能化審計(jì)和管理現(xiàn)代化。

五是拓寬信息化服務(wù)領(lǐng)域。內(nèi)部培養(yǎng)和外部引進(jìn)并舉，充實(shí)信息化服務(wù)人才；購(gòu)置WEB安全掃描器、Code auditor、GFI LANguard、日志分析工具、CAATS等信息系統(tǒng)審計(jì)工具，對(duì)信息化服務(wù)經(jīng)驗(yàn)和案例進(jìn)行歸納總結(jié)；在此基礎(chǔ)上，發(fā)現(xiàn)和創(chuàng)造信息化服務(wù)業(yè)務(wù)，為客戶提供IT增值服務(wù)。

（三）機(jī)制安排

事務(wù)所信息化機(jī)制安排應(yīng)著力于以下四個(gè)方面：

1.持續(xù)動(dòng)力機(jī)制

信息化是一個(gè)非常復(fù)雜的系統(tǒng)工程，一項(xiàng)長(zhǎng)期的任務(wù)，不可能一蹴而就，更不可能一勞永逸。因此，事務(wù)所應(yīng)當(dāng)通過(guò)廣泛宣傳，充分認(rèn)識(shí)到信息化建設(shè)的重要性和緊迫性，將信息化工作情況納入績(jī)效考核內(nèi)容，調(diào)動(dòng)各級(jí)員工的主動(dòng)性，為事務(wù)所信息化建設(shè)營(yíng)造濃厚氛圍，提供持續(xù)動(dòng)力。

2.組織保障機(jī)制

在事務(wù)所治理層面，設(shè)置信息化委員會(huì)，對(duì)信息化規(guī)劃和計(jì)劃、信息化項(xiàng)目建設(shè)和投資、信息化風(fēng)險(xiǎn)管理效果等進(jìn)行審議，確保與事務(wù)所發(fā)展戰(zhàn)略相匹配，避免重復(fù)建設(shè)和資金浪費(fèi)，有效識(shí)別和防范信息科技風(fēng)險(xiǎn)等；在事務(wù)所管理層面，設(shè)置專司信息化歸口管理職能的信息化管理機(jī)構(gòu)，明確信息化所涉及部門和人員的責(zé)權(quán)利，確保信息化工作高效有序地落實(shí)和推進(jìn)；構(gòu)建復(fù)合型人才培養(yǎng)機(jī)制，通過(guò)引進(jìn)、內(nèi)部培養(yǎng)、總分所人員整合、外聘專家等多種方式加強(qiáng)信息化服務(wù)隊(duì)伍建設(shè)，著力克服信息化服務(wù)人才短板問(wèn)題。

3.制度保障機(jī)制

為了規(guī)范和指導(dǎo)信息化各項(xiàng)工作，還需要建立和健全信息化管理制度，比如信息科技風(fēng)險(xiǎn)管理制度、信息化委員會(huì)和信息技術(shù)部工作規(guī)則、信息系統(tǒng)項(xiàng)目管理辦法、信息系統(tǒng)外包業(yè)務(wù)管理規(guī)定、系統(tǒng)運(yùn)行維護(hù)管理辦法、信息系統(tǒng)突發(fā)事件應(yīng)急管理辦法、信息系統(tǒng)連續(xù)性管理辦法、備份與災(zāi)備管理規(guī)定、信息安全管理制度、系統(tǒng)參數(shù)和數(shù)據(jù)維護(hù)管理辦法、信息系統(tǒng)用戶及賬號(hào)管理辦法、信息化工作檢查考核辦法等，以保障信息化活動(dòng)有規(guī)可依，違規(guī)必究。

4.檢查評(píng)價(jià)機(jī)制

對(duì)信息系統(tǒng)實(shí)施后的效果進(jìn)行審查（PIR）；定期和不定期對(duì)IT風(fēng)險(xiǎn)管控、制度執(zhí)行、系統(tǒng)自動(dòng)化控制等情況進(jìn)行檢查；對(duì)事務(wù)所信息系統(tǒng)進(jìn)行審計(jì)，包括（1）公司層面控制、備份與恢復(fù)管理、開(kāi)發(fā)/變更管理、機(jī)房管理、運(yùn)維管理、安全管理等一般控制的了解和測(cè)試；（2）參數(shù)與數(shù)據(jù)維護(hù)管理、權(quán)限及訪問(wèn)控制、輸入、處理和輸出控制、數(shù)據(jù)控制以及接口管理等應(yīng)用控制的了解和測(cè)試，通過(guò)評(píng)價(jià)、檢查和審計(jì)，促進(jìn)系統(tǒng)功能的改進(jìn)和完善，保障信息系統(tǒng)的連續(xù)性、可靠性、安全性和合規(guī)性，提高信息化管理水平和建設(shè)效果。