美英澳政府信息化专项审计

　　从2003年开始，美国、英国和澳大利亚审计署从不同的角度对政府信息化开展了专项审计。这些国家的政府信息化专项审计反映了发达国家政府信息化过程中遇到的问题，发挥了最高审计机关在政府信息化过程中的作用。政府信息化专项审计不同于财务和效益审计中对信息技术控制的测评，也不等于信息系统审计。各国政府信息化专项审计有不同的特点，其背景、目标、范围和内容均有区别。

　　一、政府信息化专项审计含义

　　政府信息化专项审计是按着电子政务特定要求或针对电子政务特定的问题进行的审计。与财务审计和效益审计及其信息技术控制测评相比，政府信息化专项审计属于非常规性审计，它是为促进电子政务的安全和有效运行，针对其所依赖的基础设施、服务内容、业务基础、保障条件、支撑环境和社会环境等方面的特定要求或存在的特定问题而进行的审计。基础设施是指统一的电子政务网络平台，服务内容是指支撑公共管理的信息应用系统，业务基础是指信息资源库，保障条件是指电子政务安全系统，支撑环境是指法律法规、信息系统规范、组织体系、人力资源等电子政务建设环境，社会环境是指消除“数字鸿沟”。政府信息化专项审计的主要目的是发现政府信息化过程中存在的问题，通过开展专项审计确定政府信息化建设是否符合法定要求，或是否与先进的政府信息化建设实务标准相符，并针对存在的问题，提出改进建议，推进、完善政府信息化建设。政府信息化专项审计范围主要与政府信息化六大要素内容相关。

　　二、政府信息化专项审计背景

　　政府信息化是公共管理理念和信息技术互动发展的产物。公共管理方式和信息技术发展的差异，使美国、英国和澳大利亚政府在信息化建设中的关注重点有所不同。

　　美国是较早发展电子政务的国家，1993年以来，克林顿、布什政府采取了一系列措施，使美国成为电子政务最发达的国家。1993年，提出利用信息技术克服政府管理和服务中的弊端，将构建电子政府成为政府改革的一个重要方向。1994年，强调利用信息技术促进政府与客户间的互动，建立以客户为导向的电子政务。1995年，要求各部门必须以电子方式呈交表格，并规定在2003年10月全部使用电子文件，根据风险、成本、效益平衡原则，酌情进行电子签名。1996年， 提出联邦政府部门最迟于2003年全部上网。2000年，开通了“第一政府”网站，以减少中间工作环节，提高政府对公众需要信息的反馈速度。2001年， 讨论并通过了“实现电子政务战略性进展应采取的重点行动”的建议。2002年2月，公布了新的 “电子政务战略”及24项电子政务项目表 。2002年12月，颁布了《电子政府法》。鉴于人力资源对信息技术的重要性，《电子政府法》明确提出了信息技术交流规划，要求人力资源部制定相应法规，每半年向国会报告信息技术交流规划运作情况，由审计署对信息技术交流计划执行情况进行评估，以此促进联邦行政机关与民营部门信息技术人员的交流，提高政府信息技术人员的技术能力。2005年9月，美国人力资源部颁布了相应的信息技术交流法规。2006年，美国审计署根据《电子政府法》及相应法规要求，对联邦政府机构与民营部门间信息技术人员交流规划执行情况进行了评估。

　　英国政府在综合考虑公共服务及费用等因素后，1995年决定利用信息技术对政府公共服务部门进行改革，以降低政府行政费用，并为公众提供更好的服务。英国中央政府在信息化过程中，不仅根据欧盟制定的信息社会行动纲领，先后发布了《政府现代化白皮书》、《21世纪政府电子服务与电子政务协同框架》，提出2008年全面实现政府电子服务的目标，而且改进了政府部门公共服务方式，建立了公共服务协议目标数据系统，以此推进政府信息应用系统的建设。2001年，沙蒙勋爵（Lord Sharman）在《审计与中央政府部门责任》报告中建议，公共服务协议数据检查的首要步骤是对政府部门信息系统实施外部审计。2002年3月，中央政府部门对此作出回复：邀请国家审计署对公共服务协议数据系统进行检查。2003至2006年，英国国家审计署对公共服务协议目标数据系统质量进行了三次审计。

　　澳大利亚不仅在公共管理改革中与新西兰、英国一样迅猛、系统、全面和激进，而且在电子政务建立中也名列前茅。与经合组织其它成员国相比，澳大利亚在公共管理改革中更多地采用了管理主义模式--引入民营企业管理方式和市场机制，改革几乎涉及了所有的公共部门及其组织结构、程序、角色和文化等方面。公共管理改革与信息技术互动发展，不仅打破了政府传统的业务范围和服务界限，要求政府部门及时地与其它政府机构、民营企业和社会团体分享信息和日常控制程序，而且引发了政府信息技术安全隐患，使政府部门信息技术控制与政府信息安全一样引起了国会、媒体和最高审计机关的关注。2005年，澳大利亚政府修改了《政府安全指南》。澳大利亚国家审计署于2004至2005年，对政府信息技术安全控制进行了全面的审计。

　　三、政府信息化专项审计目标、范围

　　对审计的要求不同，决定了美国、英国和澳大利亚政府信息化专项审计的目标和范围也不同。

　　美国审计署对信息技术交流规划审计的目标是：确定参与信息技术交流的政府部门是否执行了信息技术交流规划程序；政府部门信息交流规划执行中存在哪些问题。其范围包括信息技术交流项目程序、执行结果及面临的问题。

　　英国审计署对政府部门公共服务协议数据系统质量审计的目标是：评估政府部门公共服务协议数据系统内部控制设置是否合理、执行效果如何；报告的数据是否存在重大错误风险。其范围包括公共服务协议目标数据系统质量，不包括公共服务协议目标本身质量，也不对信息系统输出数据及其公共绩效数据的准确性作结论。

　　澳大利亚审计署对政府信息技术安全控制审计的目标是：确定被审计单位是否根据政府要求合理地建立了信息技术安全控制框架，并保持其有效地运行；合理设置并有效执行了信息技术操作控制。其范围包括政府部门信息技术安全管理原则和措施，即信息技术安全控制框架和信息技术运作安全控制，不包括政府部门业务控制政策和准则的持续性或信息系统开发措施。

　　四、政府信息化专项审计内容

　　由于审计目标和重点不同，美国、英国和澳大利亚政府信息化专项审计内容有所不同。

　　美国审计署对信息技术交流规划审计的内容主要有：查阅信息技术交流的法律、法规和指南，了解信息技术交流规划要求；检查被审计单位的信息技术交流计划，评价被审计单位信息技术交流计划与人力资源管理部门制定的信息技术交流指南是否相符，确定信息技术交流规划执行情况；检查人力资源管理部门向国会提交的信息技术交流报告，评价联邦政府机构与民营部门信息技术交流程序；检查参与信息技术交流人员及信息技术交流规划管理人员的有关活动，与联邦信息技术部和产业咨询委员会讨论其在改进信息技术交流程序中的任务；向参与信息技术交流人员进行调查，分析他们在信息技术交流中面临的挑战及信息技术交流中存在的问题。

　　英国审计署对政府公共服务目标数据系统质量审计的内容主要有：检查数据系统设置中的内部控制和风险，确定使用的数据是否与公共服务协议目标相关，协议目标规定的绩效内容是否完整；检查数据系统在收集、处理和分析数据操作中的内部控制和风险，确定数据系统是否被明确地定义、建立了相应的文件，数据系统运行期间所产生数据的可靠、可比性；检查数据结果报告的内部控制和风险，确定报告是否清楚、易懂、全面，即提供了公共服务协议目标的主要内容数据，输出的数据是最新的，对影响数据质量因素进行了说明。

　　澳大利亚审计署政府信息技术安全控制审计的内容主要包括：检查信息技术安全政策，确定信息技术安全政策的健全性、针对性及执行效果，信息技术安全政策检查程序的健全性及执行效果；检查信息技术安全控制框架，确定信息技术安全控制框架的合法性及运作效果，法定风险程序执行效果，信息技术安全控制合规性检查程序的健全性及执行效果；检查信息技术安全管理结构，确定信息技术安全管理结构的合理性及管理效果，信息资源安全责任的健全性及执行效果；检查个人信息技术安全控制，确定个人信息技术安控制责任的健全性，计算机用户安全意识培训措施及执行效果；检查信息技术设备安全控制，确定计算机安全控制的健全性及执行效果，远程设备安全控制的健全性及执行效果；检查网络安全管理控制，确定网络安全管理控制及执行效果，信息交换安全控制程序的健全性；检查信息系统访问控制，确定信息访问控制的健全性及执行效果，信息访问控制及其监督程序的健全性和执行效果。