□ 楊延峰

信息化建設(shè)是推動企業(yè)技術(shù)創(chuàng)新和管理創(chuàng)新的有效手段，是企業(yè)轉(zhuǎn)型升級的必由之路。集團企業(yè)規(guī)模龐大、產(chǎn)業(yè)集群多、業(yè)務(wù)鏈條長、專業(yè)領(lǐng)域廣，信息化項目涉及上中下游不同業(yè)務(wù)板塊，以及科研、生產(chǎn)、管理等不同專業(yè)領(lǐng)域，具有隱蔽性、關(guān)聯(lián)性、復(fù)雜性等特點。由于項目投入成本高、范圍具有可變性、整體技術(shù)體系更新快、工程價值標準不統(tǒng)一，為有效促進信息化項目建設(shè)質(zhì)量、控制重要風險、提高建設(shè)資金使用效率，迫切需要加強以防范風險為導(dǎo)向，以項目造價控制為核心的信息化建設(shè)全過程審計。

信息化項目建設(shè)中存在的主要問題

集團企業(yè)信息化項目建設(shè)中，受各種主客觀因素影響，主要存在以下問題：

1.信息系統(tǒng)重復(fù)建設(shè)，造成投資損失。集團總部層面統(tǒng)建的信息化系統(tǒng)，由于統(tǒng)籌協(xié)調(diào)機制不健全，各專業(yè)條塊管理相互獨立，致使信息系統(tǒng)建設(shè)中存在功能重疊。企業(yè)層面自建的信息化系統(tǒng)，由于缺乏統(tǒng)一管控，內(nèi)部溝通不暢、資源配置不合理、信息化項目重復(fù)建設(shè)，造成投資損失浪費。

2.缺乏統(tǒng)一規(guī)劃，形成信息孤島。由于未形成“事前規(guī)劃—事中監(jiān)控—事后評估”的機制，有的單位本著“先上項目、再做調(diào)整”的思想開展信息化建設(shè)，從而導(dǎo)致了信息系統(tǒng)種類繁多、互不兼容，形成企業(yè)內(nèi)部數(shù)據(jù)壁壘和信息孤島，存在資源浪費風險。

3.信息系統(tǒng)低效、長期閑置。集團總部層面統(tǒng)一建設(shè)的系統(tǒng)不能滿足企業(yè)個性化、精細化管理需要，系統(tǒng)落地困難、用戶體驗差，部分新建模塊功能不完善，使用效果較差。企業(yè)層面自建系統(tǒng)前期可研論證不充分，系統(tǒng)設(shè)計存在缺陷，部分系統(tǒng)對瀏覽器、插件不兼容，信息系統(tǒng)長期閑置停用。

4.在開發(fā)商選用環(huán)節(jié)，未引入競爭機制。信息化項目招標或競爭性談判流于形式，人為拆分項目規(guī)避招標，以長期合作名義指定獨家信息化開發(fā)商，缺乏有序競爭。部分開發(fā)商無準入資質(zhì)或超資質(zhì)范圍，定額取費標準缺失，以及信息化項目違規(guī)業(yè)務(wù)轉(zhuǎn)包等。

5.系統(tǒng)運維缺乏穩(wěn)定性和及時性。信息化項目運維能力不足，運維人員流動性大、運維不及時，系統(tǒng)故障不能及時排除，存在系統(tǒng)安全隱患，影響系統(tǒng)平穩(wěn)運行。運維成本偏高，定價依據(jù)不充分，存在利益輸送風險等。

信息化項目投資審計關(guān)注重點及查證路徑

集團企業(yè)信息化項目投資審計，根據(jù)需要可抽調(diào)信息化管理、物資采購、工程造價等相關(guān)專家組成聯(lián)合審計組，必要時可選聘第三方IT中介參與審計，主要審計重點及路徑如下：

1.項目立項方面。通過查證項目可研報告、技術(shù)方案、驗收文檔等資料，并實際登錄系統(tǒng)測試驗證，檢查項目立項程序的合規(guī)性和科學(xué)性。重點關(guān)注建設(shè)項目未履行審批程序、先建設(shè)后立項，以及可研論證不充分導(dǎo)致系統(tǒng)重復(fù)建設(shè)、功能大量重疊等。

2.項目設(shè)計方面。通過查證項目批復(fù)計劃、初步設(shè)計、詳細設(shè)計方案，檢查項目設(shè)計方案的完整性、合規(guī)性、合理性。重點關(guān)注初步設(shè)計方案或詳細設(shè)計方案不全面、路線不清晰，以及初步設(shè)計未經(jīng)評審提前實施軟硬件采購造成損失等。

3.項目開發(fā)方面。通過查證項目開發(fā)商選聘內(nèi)控制度、選商文件、系統(tǒng)開發(fā)文檔并訪談系統(tǒng)關(guān)鍵用戶，檢查項目開發(fā)商選用合規(guī)性，以及開發(fā)技術(shù)水平、開發(fā)進度、招投標、詢比價等情況。重點關(guān)注進度嚴重滯后、開發(fā)未能滿足業(yè)務(wù)需求、采用技術(shù)和平臺不先進、不成熟，以及存在重大缺陷或技術(shù)落后難以升級等方面。

4.項目投資控制方面。通過查證項目建設(shè)報價單和建設(shè)合同，檢查項目建設(shè)內(nèi)容、建設(shè)周期、取費標準等，檢查取費標準的合理性及項目建設(shè)投資造價的真實性。重點關(guān)注建設(shè)工期是否嚴重超期、開發(fā)商收費超標，導(dǎo)致多列投資及擠占生產(chǎn)費用等。

5.上線應(yīng)用方面。通過上線實操測試相關(guān)系統(tǒng)，檢查功能的完備性和有效性，調(diào)取系統(tǒng)后臺登錄訪問數(shù)據(jù)和運行日志，檢查相關(guān)系統(tǒng)上線應(yīng)用深度情況。重點關(guān)注由于關(guān)鍵功能缺失、操作不方便、未達到預(yù)期效果造成系統(tǒng)閑置浪費等。

6.系統(tǒng)運維方面。通過查證信息系統(tǒng)運維單、運維勞務(wù)合同、運維商考核統(tǒng)計等相關(guān)資料，檢查選擇運維商程序合規(guī)性、運維服務(wù)及時性和運維質(zhì)量高效性。重點關(guān)注運維能力不足、系統(tǒng)故障解決不及時影響系統(tǒng)運行，運維人員變動頻繁影響運維質(zhì)量，以及對運維商考核監(jiān)管不到位等。

7.集成與共享方面。通過查證信息系統(tǒng)管理臺賬，調(diào)取相關(guān)系統(tǒng)訪問地址認證賬號，登錄驗證系統(tǒng)集成共享情況，檢查系統(tǒng)數(shù)據(jù)接口共享業(yè)務(wù)關(guān)聯(lián)情況。重點關(guān)注多頭開發(fā)、重復(fù)錄入數(shù)據(jù)、信息孤島治理，以及業(yè)審融合關(guān)鍵數(shù)據(jù)不共享等。

8.系統(tǒng)安全管理方面。通過查證信息系統(tǒng)權(quán)限矩陣、相關(guān)系統(tǒng)用戶清單、信息系統(tǒng)日常巡檢機制等基礎(chǔ)信息，檢查權(quán)限分配、維護和外部人員訪問權(quán)限控制情況，以及安全防護措施落實情況。重點關(guān)注重要權(quán)限授權(quán)范圍過大、不相容權(quán)限未有效分離、對離職員工未及時取消權(quán)限，以及未及時進行數(shù)據(jù)備份、重要數(shù)據(jù)源丟失、商業(yè)機密信息泄露等。

隨著大數(shù)據(jù)、云計算、人工智能的廣泛應(yīng)用和大量投入，加強信息化項目投資審計勢在必行，要切實突破傳統(tǒng)思維定式，通過科學(xué)有效的審計途徑，提升審計質(zhì)效，助推高質(zhì)量發(fā)展。