信息系统项目管理审计—第3205号内部审计实务指南第二章第6节
2021-01-24
一、年度信息化项目计划
(一)业务概述
信息化项目:是指支撑组织战略实施,提高组织管理、决策的效率、效果,以计算机、网络、通信等技术为手段建设和服务的项目,包括咨询服务、软件产品采购、软件研发、系统实施、硬件设备采购、系统集成、系统运行维护等。
项目年度计划:是指信息化项目年度计划的编制、上报、汇总、审批、发布等。
项目计划编制一般应包括但不限于以下事项:项目建设背景、必要性、项目的目标、范围和主要内容、初步业务需求分析、实施周期、投资估算以及系统所需要软硬件环境等内容。
信息化项目年度计划应遵循组织相关内部控制制度以及投资、计划和信息化规章制度进行上报和审批。为了确保有效地满足业务需求,在立项前应进行需求分析。
分析过程包括:定义需求、考虑替代资源,初步确定“开发”、“购买”、“外包”等方案。
(二)审计目标和内容
审计目标:
合理地保证年度信息化项目计划与组织的发展战略、年度计划一致,并得到正式的审批。
审计内容:
对信息化项目年度计划的编制、上报、汇总、审批、发布等环节进行审计。审计项目建设背景、必要性、项目的目标、范围和主要内容、初步业务需求分析、实施周期、投资估算以及系统所需要软硬件环境等内容。
(三)常见的问题和风险
1、年度信息化项目计划与中长期规划不一致,可能导致信息系统缺乏可扩展性、形成信息孤岛或重复建设。
2、在制定年度计划时,没有对项目进行必要的可行性分析,可能导致年度信息化项目计划与组织战略、管理等规划偏离。
3、年度信息化项目计划没有得到组织管理层的正式审批,可能导致项目计划不能实施。
(四)审计的主要方法和程序
1、审阅规章制度,访谈管理层,合理确定年度信息化项目计划的制定和审批管理的设计有效性。获取并审阅年度信息化项目计划制定和审批的规章制度;访谈相关管理层,了解组织制定和审批年度信息化项目计划的流程和方法,评估合理性。
2、审阅年度信息化项目计划相关文档和资料,合理确定年度信息化项目计划的制定和审批管理的执行有效性。获取并审阅组织的中长期规划或信息化建设规划、年度信息化项目计划、年度信息化项目计划审批文件等,确认年度信息化项目计划的制定和组织中长期规划的一致性。
二、信息系统项目立项管理
(一)业务概述
项目立项管理:
依据年度计划和有关规定,对信息化项目的可行性研究报告上报、论证、检查、办理批复和项目备案管理的过程。
(二)审计目标和内容
审计目标:
合理地保证项目的立项流程遵循了组织的规章制度,并得到了正式的审批。
审计内容:
检查信息系统立项与年度计划的一致性,检查项目的可行性研究报告,重点关注需求提报、上报、技术经济论证、办理批复和项目备案管理的过程。
(三)常见问题和风险
1、信息化建设背景、必要性尽职调查不到位,导致系统建设与规划、计划的目标偏离等风险。
2、系统需求分析不当,不符合业务处理和控制的需要,导致开发建设失败或应用价值不高等风险。
3、在技术上、经济上不可行,导致系统开发失败或应用价值不符合立项目标的风险。
4、可行性研究报告或者需求说明书未经业务需求主管单位负责人签字确认,需求及方案的合理性缺乏保障,后期由于需求的不断变更会导致项目成本增加或延期完成的风险。
5、项目立项未批复即开始实施,导致项目合规风险。
(四)审计的主要方法和程序
1、收集整理立项资料按照信息化分类或分级管理的规定,收集项目立项上报、审批和批复全流程涉及的文件,包括但不限于可行性研究报告、年度信息化投资计划、评审资料、批复等纸质文件或电子资料等。
2、审阅、对比分析立项主要资料
(1)分析项目建设背景:属于新建或新购项目,检查是否依据组织发展战略、规划、计划、文件、纪要及上级组织的批文、批件、业务部门提出的需求;属于完善提升类项目,检查是否详细陈述了项目前期实施和应用的总体情况,包括基础条件、总体目标、实施范围和内容、完成的工作、取得的经验、应用效果和存在的问题。通过上述分析,检查项目的立项是否符合信息化发展的战略、项目建设规划和年度计划,检查重复建设或信息化建设出现孤岛的风险和问题。
(2)抽查审批流程文件,从分析比对立项报告中对国内外同类信息化项目建设和应用的现状,以及本组织业务发展对信息化的需求,检查信息化立项的必要性,避免技术上的落后造成开发失败或应用价值不高等问题。
(3)检查业务需求说明、技术方案,查看业务需求描述是否清晰明确,是否包括业务功能需要、技术方向、性能指标、成本、可靠性、兼容性、可审计性、有效性、可持续性、经济性、可用性、安全性和合规性等方面。
3、检查信息化项目立项审批流程
(1)根据组织的信息化项目规章制度,收集组织现有信息化项目内控管理体系资料。
(2)依据组织的信息化项目内部控制管理体系,检查信息化项目投资立项上报审批流程;检查信息化项目立项报批流程是否按信息化内部控制和规章制度及细则执行,立项报告、投资计划、立项材料等资料是否齐全。
(3)检查立项报告,项目立项投资计划,项目背景资料文件及相关审批文件的领导签字、日期签署是否完整,时间逻辑是否一致。通过上述内容的审计,检查项目的上报、审批流程的合规性,以及无计划立项、拆分项目躲避立项审批程序等问题和风险。
三、项目预算及执行
(一)业务概述
信息化项目预算应依照组织的信息化计划及其预算申请批准程序报批。信息化项目预算编制,一般包括但不限于下列内容:软件配置费、硬件配置费、网络建设费、技术服务费、培训管理费、配套实施管理费、其他费用及不可预见费用。
(二)审计目标和内容
审计目标:
信息化系统的预算编制及执行审计检查预算的合理性、预算执行的真实、合法性,以规范资金应用,控制项目成本,确保较小的成本、费用支出取得较好的投资效益。
审计内容:
审计预算目标的科学性,编制程序的合规性,预算内容的完整性、准确性,相关费用支出、资金支付的真实性,合规性。
(三)常见问题和风险
1、预算编制程序不规范,横向、纵向信息沟通不畅,导致预算目标缺乏科学性和可行性,可能会导致项目实际成本超预算的风险和预算虚高的风险。
2、预算编制与信息系统项目内容偏离,存在不合理支出,导致项目实际成本与上报审批的预算计划差异较大。
3、预算执行情况报告文件不全面,对预算使用情况无法真实反映,资金管理不透明。
4、资金支付审批过程存在补签、无授权代签、漏签等现象,未能按照预算付款的进度和要求执行,存在提前支付或拖欠付款的现象,出现信用、法律风险。
(四)审计的主要方法和程序
项目预算及执行的测试程序一般包括:
1、检查预算的编制及审批流程
(1)对比分析:将费用预算编制的费用事项、用途、工作数量、人工用量与业务需求进行核实,检查多报或漏报工作内容问题,同时采取抽样方法,选择重要事项或金额较大事项,对照相应的定额、标准和工作量进行重新测算,核实其费用预算的真实、准确性。
(2)检查信息化项目内部审批流程是否规范,包括:预算文件及审批流程文件的完整性、一致性、合规性。
2、查阅信息化项目批复及审批过程文件,重点关注审批过程中项目预算的不同意见,检查是否存在违规审批,造成项目预算超计划的问题。
3、预算执行情况审计对项目建设期间费用支出及盈余收入使用情况与预算计划的差异进行比对。主要包括对信息化项目的预算计划、预算执行分析报告、各项收支情况统计、费用支付安排、项目管理手册、项目进度月报或季报和项目变更资料,重点检查超预算或无预算增加的其他费用。
(1)查阅项目预算计划、预算执行分析报告。
(2)抽查预算执行分析报告,并与相关支持文件和记录对比、核实。
(3)对预算出入较大的项目主要原因进行分析并做出结论。
4、检查资金支付资金支付审计程序主要针对项目建设中合同付款进度条款和其他费用支出程序的监督,包括信息化项目的主要费用支出构成,各项合同的付款进度控制,费用支出审批控制。
(1)了解被审计单位内部对合同付款的相关制度和规范。
(2)检查资金支付文件的审批程序是否齐全,其中审批人签字是否完整,审批时间逻辑顺序是否正确。
(3)抽取部分样本,检查资金支付凭证中实际支付金额与完成项目进度是否匹配,如有差异,深入分析差异原因。
四、项目招投标管理
(一)业务概述
信息系统项目的招投标在遵守国家、地方及组织相关的法律、法规、规章、制度的基础上,应当采用公开招标方式的,其招标具体限额按所属组织实际情况确定;规定可以不公开招标的,遵守其相关规定。
(二)审计目标和内容
审计目标:
信息系统招投标审计是对组织的信息化项目招投标程序和形式的合法合规性、组织制定的信息系统招投标标准的合理性、招投标范围的完整性、组织招投标管理的规范性和一贯性开展审计,达到规范管理,杜绝漏洞,提升组织价值的目的。
审计内容:
招标管理情况、投标管理情况、评标管理情况、中标及合同签订情况。
(三)常见问题和风险
1、应招标未招标,应公开招标未公开招标,甚至发生信息系统的招投标舞弊风险。
2、信息系统项目招投标程序和标准没有专业部门参与,不符合相关法律、法规、组织内部规章制度要求,或以不合理的条件限制、排斥潜在投标人或者投标人相互串通投标的舞弊风险和违法违规风险。
3、招投标工作组织不当,招标方案、形式和文件表述不当、投标文件主要条款不满足招标文件、投标保证金不到位、未按时投标等导致的招投标失败风险。
4、评标人员构成不满足招投标需求,或缺乏信息系统专业的胜任能力,未执行回避原则等;评审标准和方法不合理,不符合信息系统项目要求,评审程序执行不当导致无法实现项目目标,甚至造成损失或引起法律纠纷风险。
5、未按评标结果选择供应商,不能保证信息系统项目在规定时间内保质保量按时间节点完成信息系统实施的风险。
(四)审计的主要方法和程序
1、检查招标项目的招标范围是否与组织的规定相符,招标方式是否一贯执行了国家法律法规和组织规定。
2、取得信息系统项目立项、招标公告、招标文件和补充招标文件、会议记录、投标文件、招标投标情况书面报告等文件资料,对比信息系统投资计划、可行性研究报告,需求分析等资料,检查组织是否存在化整为零、规避公开招投标的行为。
3、查阅尽职调查的相关文件、资格检查公告结果、预审结果通知书、招标文件,检查信息系统中标人是否达到招标人所要求的资质等级、资质是否真实、是否存在挂靠获取资质、是否存在转包分包问题。
4、查阅开标资料,重点检查开标过程的规范性及组织在出现流标、废标时的处理程序。
5、获取评标委员会名单,检查评标委员会人数组成和人员是否满足法定和组织要求;查阅评标资料,评价招标文件确定的评标标准和方法是否合理,检查评标委员会是否存在评标打分不合理的情况;组织是否按规定根据评标结果签订合同。
6、检查信息系统项目投标资料,判断不同投标人的投标文件是否雷同、是否存在股权关系、投标报价是否呈规律性差异等,发现招投标过程中围标、串标等违法中标的现象。
7、检查中标通知书发放和合同的签订是否符合国家和组织的相关规定,检查签订合同与中标人是否一致,合同内容是否与招标文件相符。
五、采购与合同管理
(一)业务概述
信息系统采购是指由组织投资建设购买服务或需要运行维护的各类信息系统,包括执行信息处理的计算机、软件和外围设备等货物和服务。采购需求应与现有系统功能协调一致,避免重复建设。
(二)审计目标和内容
审计目标:
通过对信息系统项目采购合同审计,评价采购是否符合信息系统建设的需要。合理保证采购行为的合法、真实、准确、经济。
审计内容:
组织信息系统采购及合同审计是对信息系统采购行为及合同的合法、真实、准确、经济等方面的内容进行监督。
(三)常见问题和风险
1、信息系统建设未编制采购计划或采购计划未经适当审批导致的信息系统重复建设或效率低下。
2、因采购方式或供应商选择不合理,组织明显缺乏议价能力,导致质次价高、技术参数不达标、服务交付不及时等采购风险。
3、未建立供应商动态考评机制,导致选择的信息系统供应商技术水平与项目要求不匹配。对合同相对方的履约能力给出不当评价,导致信息系统合同相对人不能按约履行合同义务,影响组织信息系统的开发与应用的风险。
4、采购尽职调查不充分,导致外购采购没有对比选择,在功能、性能、易用性方面无法满足需求,导致与无权代理人、无处分权人签订信息系统采购合同,组织利益受损。
5、合同签订未经审核、审批,合同条款和内容不完整存在严重疏漏或缺陷,合同规定的权利义务内容不明确,合同存在法律风险。
6、法律规定对于应当报经国家有关主管部门或组织上级部门检查或备案的信息系统合同文本,未履行相应报批报备程序,导致合同无效的风险。
7、在合同执行过程中发生重大变动时,未及时与对方沟通变更合同,导致开发的信息系统不适用于组织的需要。
(四)审计的主要方法和程序
1、明确组织内信息系统采购的关键控制点,询问信息系统相关采购人员执行的信息系统采购流程,查阅项目采购前期报批文件,判断项目采购是否符合信息系统技术要求,采购方式是否合法。
2、获取供应商资质、业绩、提供服务等相关文件资料,确定供应商是否具备提供相应服务的实力、信用,能否按信息系统建设要求,保质保量地提供信息系统相关服务,关注实施组织与采购合同相关人是否一致,是否存在转包和违规分包行为。
3、重点关注合同采购条款文本,检查是否存在关键条款不清晰,数据质量考核无标准,信息资产权属不清;检查合同价格的组成要素,将合同价格与同行业、同类型信息系统指标进行比对,判断采购价格是否合理。
4、根据信息系统演示结果,审核供应商提供的服务是否满足信息采购需求,是否能按合同要求提供合格的信息资产或服务。
六、项目实施管理审计
(一)业务概述
信息系统项目实施是指对信息系统项目的开发、测试、验收、正式上线等重要环节的质量、进度、安全、变更、风险实施控制和监管的过程。参与项目建设的所有人员应做好风险的识别和分析。涉及重大风险问题的应及时分析风险因素,形成风险应对方案。
(二)审计目标和内容
审计目标:
开展信息系统项目实施管理审计,关注信息系统项目实施(含初步设计、详细设计)的合理性、合规性,满足技术发展的技术前瞻性要求;以提高项目进度的可控性、提升项目质量管理,完善项目验收管理。
审计内容:
包括但不限于:信息系统建设程序履行情况、信息系统的资金筹措和使用情况、项目概算执行及调整报批情况、质量监督情况、成本核算和财务管理情况、信息系统实施组织架构、人员胜任能力等内容。
(三)常见问题和风险
1、项目未建立相应的组织机构或组织机构不健全,项目人员配备不充足、关键岗位人员能力不胜任,未执行不相容岗位相分离,造成职责不清或缺失,导致的项目效率低下的风险。
2、信息系统项目初步设计和详细设计未进行技术检查,业务需求不能满足组织要求,应用架构、数据架构、部署架构、业务架构、功能模块及子模块、标准化设置、系统设置等与实际不符,未设置相应的风险防控方案造成无法实现项目目标的风险。
3、项目建设单位未对信息系统的建设进度与质量进行控制或对进度控制不当;未对项目质量开展定期检查,导致信息系统项目进度得不到保证、质量不合格、工期延误的风险。
4、未制定信息系统变更程序或变更程序不合理,未严格执行变更程序,导致变更频繁,产生法律纠纷或费用超支、工期延误的风险。
5、缺乏完整可行的数据迁移方案或方案实施不当,导致系统的业务处理错误;实施单位未进行知识转移,导致组织无法充分使用系统功能;系统生产环境未与开发环境、测试环境在物理上或逻辑上采取适当的隔离措施,导致生产环境运行不稳定或业务功能失效的风险。
6、缺乏信息系统项目竣工验收机制或机制设计不当,验收手续不齐备或验收审核工作不严谨,缺乏验收标准,导致未达标项目通过验收,影响组织正常活动的验收风险。
7、项目成本未及时、准确进行核算,或核算不正确而导致的核算风险;未及时出具项目结算报告,导致项目验收延期风险;未及时完整移交项目资料而导致的项目资料遗失风险。
8、信息系统验收后未明确信息系统运维保障机制的建立与移交,导致信息系统运行和维护风险。
(四)审计的主要方法和程序
1、获取信息系统项目总体情况资料,主要应当包括项目建设运作和管理模式,资产的交付,财务核算体系和方法,项目进度确认及进度款项拨付,评估项目过程管理总体情况。
2、获取信息系统项目相应的组织机构图及职责权限,检查项目组成员组成及相应资质,岗位不相容职务分离是否符合组织管理要求。
3、获取信息系统初步设计及详细设计、项目实施控制计划、项目进度控制计划、项目质量控制报告。检查项目建设单位是否按计划对项目进度与建设质量实施了控制。重点关注项目进度或设计受到资源约束或外部环境变化时,是否及时对进度计划进行调整。检查计划变更的原因、报价、进度是否合规、合理,是否按规定程序通过相关部门审批,变更事项是否符合合同规定和变更的实际情况。
4、对照合同、技术附件等资料中规定的信息系统中相应的项目验收规范,获取测试项目运行效果验收记录,检查验收程序是否符合组织规定,是否符合信息系统项目的设计需求,运行数据是否能满足组织需要。
5、检查是否制定或选择系统出现安全、进度等事故时的技术处理方案,处理方案是否严格执行相应的技术规范与质量标准,事故处理技术方案是否切实可行、经济合理。
6、检查信息系统项目建设资金的筹措与使用情况,关注系统建设资金来源是否真实合法,筹集资金的方式是否合规。
7、检查项目成本的归集与分配是否恰当、准确,是否与批准的初步设计预算相符,检查项目各类投资是否真实、合法。检查交付资产是否真实、完整,资产交接手续是否完备,资产归属或管理责任是否划清,资产验收交接是否真实、合规。
七、项目绩效与后评估
(一)业务概述
投资绩效考核内容包括:信息系统年度投资增量绩效考核、已验收投产项目的绩效考核、投资管理与控制绩效考核。
项目后评价:为实现信息系统项目全过程闭环管理,所有信息系统投资项目一般在投产竣工验收后一定时期内开展后评价工作。
后评价内容包括:信息系统决策及建设管理后评价、实施结果后评价、经济效益后评价、影响后评价、可持续性后评价等。
(二)审计目标和内容
审计目标:
通过开展绩效考核、后评估审计,了解信息系统持续对组织支撑作用是否达到预期及不足,便于及时开展相应的后续服务。
审计内容:
包括但不限于组织信息系统项目绩效的考评机制,组织对信息系统运行后评价的评价标准、指标、体系。
(三)常见问题和风险
1、缺乏科学有效的绩效考核机制,项目评价和考核不及时、不准确,导致的项目评价结果不当,无法持续支持改进管理水平的风险。
2、没有严格执行项目后评估制度,导致无法及时发现项目执行偏差、无法实现信息系统预期目标的风险。
(四)审计的主要方法和程序
1、获取组织内部的绩效考核制度、标准、评价结果,检查组织是否对信息系统的建设给予高度重视,信息系统绩效考评是否及时、准确,达到提升组织管理的作用。
2、获取组织对信息系统开展的后评估资料、后评估流程,检查组织在项目出现执行偏差时的应急措施,在出现偏差时组织的处理程序是否得当。