2023年2月,党中央、国务院印发《数字中国建设整体布局规划》,明白准确地提出发展高效协同的数字政务,提高数字化服务水平。2024年5月,国家发展改革委等四部门联合印发《关于深化智慧城市发展,推进城市全域数字化转型的指导意见》,对推进城市精细治理、丰富数字公共服务、完善数字基础设施等提出指导意见。当前,各地区大力推进城市数字化转型和智慧城市建设,取得很明显的成效的同时,仍存在一些不足。本文基于审计实践,梳理总结信息系统领域审计在资金管理使用、信息系统建设运行管理、数据汇聚共享、网络安全等4个方面要关注的重点事项,以期为开展同类型审计工作提供参考。
《国家政务信息化项目建设管理办法》规定,对于未按要求共享数据资源或者重复采集数据的政务信息系统,不安排运行维护经费,项目建筑设计企业不得新建、改建、扩建政务信息系统。审计可经过审查信息化项目资金决策、拨付、使用、绩效评价全过程,从资金流向查明项目真相,揭示信息化项目资金在管理使用方面存在的问题。
关注资金管理使用合规性。审查行业主管部门是否制定信息化项目专项资金管理办法,重大信息化项目是否履行重大经济事项决策程序,防止主管部门和财政部门履责不清、相互推诿。审查财政资金拨付分配是否及时合理、业主单位是否拖欠企业账款、是否挤占挪用信息化专项资金或以信息化项目名义虚假申报资金搞土建开发、是否违规举借政府债务开展信息化项目建设等,防范资金使用风险。
关注资金管理使用效益性。审查信息化项目是不是达到技术方案目标、可不可靠稳定运行、是不是真的存在建成后整体或部分功能模块停用闲置,以及项目业主单位是否开展绩效评价、行业主管部门或财政部门是否开展绩效评价监督,特别是地方政府债券资金信息化项目收益测算是否真实合理、项目收益是不是达到申报标准等情况。重点审查政务系统是不是真的存在使用频率低、用户注册量和访问量小、信息发布版块不更新等情况。
《国家政务信息化项目建设管理办法》规定,项目建筑设计企业应当加强对项目全过程的统筹协调,严格执行招标投标、政府采购、工程监理、合同管理等制度。审计可经过审查信息化项目前置程序、建设过程、验收管理、资产管理情况和关键基础设施电子政务云、智慧中心(城市大脑)运作情况,揭示信息化项目建设运行方面存在的问题。
关注信息化项目建设管理办法落实情况。审查信息化项目是否实行计划管理、是否经主管部门前置技术审查,是不是真的存在未批先建问题;审查第三方信息化项目论证评估机构是否按合同履约,行业主管部门(卫健、教体、国资)是否制定信息化集约建设等规划、是否对行业内信息化项目进行归口管理。
关注信息化项目建设情况。审查信息化项目是否执行政府采购程序,是否引入工程监理机制,是否实行合同管理,进度是否严重滞后,项目涉及土建部分是否履行相关审批手续;审查业主单位修改技术方案或调整投资概算是否履行决策程序并备案,是不是真的存在擅自修改履约验收标准或条件等。
关注信息化项目验收情况。审查项目业主单位是否申请验收以及主管部门是否开展初步验收,测试运行是不是达到规定日期、验收专家是不是具备相关资质、行业主管部门是否对竣工验收做监督管理。重点审查是不是真的存在未经验收或验收不通过的信息系统投入到正常的使用中,信息系统功能未达合同约定而通过验收的情况。
关注信息化项目资产管理情况。审查项目业主单位是否在合同中明确软件著作权以及数据资产归属;是不是真的存在信息系统资产权属不清、损失浪费等情况。审查信息化项目固定资产和非货币性资产是否按要求做登记管理、信息系统资产报废处置是否合规、政务云使用单位闲置信息设备资产要不要进行清理处置。
关注电子政务云管护运作情况。审查是否制定电子政务云管理办法或使用规范,是否制定云服务商考核管理办法;审查新建非涉密信息系统是否部署至政务云,是否新建数据机房,是否购买政务云可提供基础硬件等。重点审查主管部门是否督促云服务商对政务云运作情况进行监测,云硬盘资源是否按实际使用量测算,云硬盘资源分配量是否合理。
关注智慧中心(城市大脑)建设运作情况。审查相关子系统和功能模块是不是达到合同约定功能,是否有使用记录、算力能否满足数据分析需要,基础数据库是否建成(数据量是否充分),是否产出数据分析成果。重点审查市县是否重复建设城市大脑、云平台等统建共用基础设施。
《政务信息资源共享管理暂行办法》规定,各政务部门形成的政务信息资源原则上应予共享,应加强基于信息共享的业务流程再造和优化,提高信息化条件下社会治理能力和公共服务水平。审计可通过审查数据汇聚共享落实情况,着力解决“数据孤岛”、“数据烟囱”、数据壁垒问题,助力电子政务能力提升。
关注数据汇聚共享相关制度建设及落实情况。审查是否制定政务数据分类分级规则、本地政务数据资源管理区域标准规范和政务数据资源脱密脱敏等制度办法等或明确沿用上级文件。
关注数据汇聚共享情况。审查是否编制政务信息数据资源目录,非涉密信息系统是否接入共享交换平台,未接入共享交换平台的信息系统是否提供有效佐证资料,省市统建信息系统数据是不是回流,是否将应当共享的数据向特定企业和组织开放,已投入运行的信息系统是否整合推进共享,已共享数据是不是按期限更新等。着重关注政务数据共享应用情况,审查是不是真的存在政务部门能够最终靠共享交换平台获取数据而重复采集数据,以及未利用共享交换平台数据开展关联对比分析等情况。此外,还需关注一网通办、免证办等事项落实情况。
《信息安全等级保护管理办法》规定,已运行信息系统的运营、使用单位自本办法施行之日起180日内确定信息系统的安全保护等级;新建信息系统在设计、规划阶段确定安全保护等级;第三级信息系统应当每年至少进行一次等级测评等。审计可经过审查网络安全制度落实、资金保障、日常管理情况,揭示网络安全管理方面存在的短板弱项,助力筑牢数据安全防线。
关注网络安全责任制落实情况。审查有关部门是否按规定制定网络安全责任制细则,是否制定网络安全事件应急预案并开展演练,主要领导是否专题研究网络安全工作、对发生的安全事件是否采取紧急措施和上报等。
关注网络安全资金保障情况。审查网络安全专项预算和实际支出、新建信息化项目网络安全预算占项目总预算的比例情况,揭示网络安全保障资金不足等问题。
关注网络安全防护情况。审查信息系统是否按要求开展网络安全定级、备案和测评,信息系统是否按要求做容灾备份、异地灾备、留存网络日志等;审查信息系统数据库操作系统和终端操作系统等最高管理员权限是否委托企业人员管理使用、是否与参与信息化建设的企业和运维人员签订安全保密协议等。重点审查“一卡通”等关键系统通过拷贝、库表推送方式共享数据的跟踪管理是否严格,是否使用后销毁等。