永利注册送29元

廣州市審計局探索在大数据环境下开展信息系统审计

发布时间:2018-08-03 16:53:36
來源:廣州審計通訊
浏覽次數:
字體大小

作者:羅勇

大數據作爲一種重要的戰略資源,爲國家治理提供重要數據基礎和決策支撐,是提升政府治理能力的有效途徑。大數據已成爲經濟發展的巨大引擎,在提升産業競爭力、推動商業模式創新方面發揮著越來越重要的作用。爲了促進國家大數據戰略的順利實施,《“十三五”國家審計工作發展規劃》提出,圍繞國家大數據戰略和“互聯網+”行動,加大對信息化建設項目及信息系統審計力度。

大数据环境下,分布式、虚拟化、云加密等新技术对信息系统的安全性提出了更高的要求,数据的海量化和跨层级、跨行业、跨部门、跨地域等特征对审计效率提出更高要求,对文本、图像、视频等非结构化数据审计仍存在较大困难。与此同时,伴随着数据挖掘、人工智能等大数据技术的不断发展,使得审计人员可以大幅提升信息系统审计的广度和宽度,提高政府决策的科学性和精准性,更加有效地服务于国家治理。在大数据环境下,信息系统审计的范围、内容、方法都发生了改变,审计机关应站在更高的角度、着眼更深的层次,运用新技术新方法,开展信息系统审计。本文介绍在大数据环境下,廣州市審計局在信息系统审计方面的一些经验做法,并尝试提出相关建议。

一、工作背景

2015年8月,國務院印發《促進大數據發展行動綱要的通知》,明確了我國大數據發展的重要意義、總體目標、主要任務、政策機制。十八屆五中全會公報提出要實施“國家大數據戰略”,標志著大數據戰略正式上升爲國家戰略。2017年1月,廣州市人民政府辦公廳出台《關于促進大數據發展的實施意見》,目標將廣州建成具有國際競爭力的國家大數據強市。

2012年至2016年,廣州先後出台《廣州市政府信息共享管理規定》、《廣州市基于雲計算的電子政務公共平台總體技術框架》、《廣州市電子政務雲服務平台硬件基礎設施資源租賃服務相關事項的通知》、《廣州市政府信息共享管理規定實施細則》,確立廣州市大數據總體框架;建成市政府信息共享平台、大數據綜合應用管理平台以及數據開放平台、數據交易平台,提供一站式服務;建設“智慧廣州”,依托廣州市電子政務雲,推動政務信息資源集中管理運行。

國家行政學院電子政務研究中心發布的《中國城市電子政務發展水平調查報告(EGDI)》顯示,2014年和2015年,廣州市均排名全國第三名,2016年在參與調查的我國338個城市當中,廣州更是以94.884的EGDI高居第一名。

廣州市人口衆多,社會活動、經濟活動産生的數據非常龐大。其中,社保繳存就記錄高達32億條、羊城通每天的出行記錄達到1500萬條,公安、環保、水務等部門每天産生的數據更高達數十TB。審計機關一方面要對各部門利用大數據的經濟性、效益性進行審計,同時也對搭載著大數據的信息系統的安全性、可靠性以及數據本身的真實性、完整性、正確性進行審計。

傳統審計受技術限制,一般只能針對單一信息系統開展審計,無法從全局的角度去發現問題。隨著數據倉庫、數據集市、數據挖掘,商業智能、審計畫像、Hadoop生態系統、人工智能等大數據技術的廣泛運用,使信息系統審計能夠從根本上改變這種局限性。大數據技術可對全部數據進行監測和深度挖掘,有助于及早發現異常,對存在的問題和風險進行預警。隨之而來的是審計模式由抽取部分樣本進行審計轉變爲對全部數據進行審計,同時也提升了審計的廣度和深度。

二、主要做法和成效

2015年,廣州市審計局在全省率先成立电子数据审计处,负责组织实施信息化审计项目和信息系统审计。并从建立电子数据定期报送制度、建设数字化审计平台、试点开展信息系统专项审计、运用大数据开展审计分析预警等方面,积极探索开展大数据环境下信息系统审计。

(一)建立定期報送制度解決數據來源問題

自2016年3月起,廣州市審計局着手建立电子数据定期报送制度,要求广州市、区两级行政事业单位和市属国有企业定期报送电子数据,同时上报信息系统建设和应用情况(包括信息系统立项、项目资金、等级保护、分级保护、数据结构、业务流程、系统设计、用户手册等信息),并开通信息系统的查询权限。截至2017年底,市审计局已基本掌握广州市被审计对象信息系统概况,归集电子数据高达150TB,涵盖财政、金融、社保、公积金、工商、质监、教育、民政、国土房管、公共资源交易、国有企业等行业,基本形成覆盖公共资金、国有资产、国有资源方面的审计大数据。

(二)建設數字化審計平台解決數據應用問題

为了管好、用好审计电子数据,廣州市審計局以大数据分析为核心,建设了数字化审计平台。平台上线以来,通过审计项目与专题数据分析相结合,已对财政、社保、公积金、资源交易中心、质监、民政等部门的数据进行标准化,建立审计模型200多个。

(三)開展信息系統專項審計

2012年,廣州市審計局结合市本级财政审计项目首次探索开展了信息系统审计,指出被审计单位信息系统存在安全隐患,信息系统未有效整合,数据共享和数据同步机制不完善等问题,得到被审计单位的高度重视并积极整改。2017年,廣州市審計局对一个行政部门和一个国有企业开展信息系统专项审计,通过审计,发现部分信息系统未按规定办理等级保护定级、备案;信息系统在主机安全、应用安全、网络安全等方面存在安全隐患;部分信息系统数据校验、控制功能不完善,数据录入不正确,数据更新不及时,数据共享机制不健全、数据交互不及时;信息化建设、信息化资产管理不够规范等问题。

(四)運用大數據開展審計分析預警

通过电子数据定期报送制度,廣州市審計局基本掌握了全市被审计对象的数据资源,对实时的电子数据进行审计分析和挖掘,及时发现疑点和风险,以审计提醒函方式发送给有关部门和单位,有效地发挥预警和防范风险作用。

信息系統安全性審計方面:通過查閱各單位信息系統等級保護定級情況,對照公安部門、信息化主管部門提供的信息系統等級保護備案、信息系統測評等信息,對信息系統進行綜合分析;必要時進行遠程測試,查找信息系統可能存在的安全風險;還可以通過對電子數據進行分析,發現信息系統存在的安全隱患,例如對用戶表進行分析,可以發現信息系統的登錄密碼明文存放的情況。

信息系統經濟性審計方面:在參考項目設計方案、項目需求書的基礎上,對各單位電子數據進行分析,發現信息系統經濟性方面存在的問題;例如通過分析信息系統總體數據量、各子模塊的數據量、用戶數量、活躍用戶的比例、用戶登錄的頻次,數據更新的頻率等信息大致得出信息系統對業務管理的支持度。

項目建設管理合法合規性審計方面:從項目立項、招投標、開發、驗收、歸檔、運維、資金支付等信息系統全生命周期審計均可通過大數據來實現;例如項目立項、驗收、運維等信息可以從工信委“政府投資信息化項目管理系統”中獲取,招投標數據可以從公共資源交易中心“公共資源交易平台”獲取,資金支付信息可以從財政局“國庫集中支付系統”中獲取。

數據的真實性、完整性、正確性審計方面:對各單位報送的電子數據進行跨行業、跨部門的綜合分析,可發現數據缺失、錯誤等情況;通過數據分析提取不合規數據,結合業務流程,發現信息系統在業務管理或內控方面存在的缺陷,或者信息系統在互聯互通以及數據共享方面存在的問題;例如通過對業務審批數據進行分析,查找出錄入人、審核人、審批人爲同一個人的數據,發現信息系統在內部控制方面存在的重大缺陷。

三、下一步工作思路

在大數據環境下,廣州市信息系統審計工作應圍繞國家和廣州市大數據發展戰略,運用大數據手段,以打破“信息孤島”和“數據煙囪”、保障電子政務雲的安全爲審計重點,促進廣州市信息系統的互聯互通,數據的共享開放,保障廣州市電子政務雲的安全,切實發揮審計的監督和保障作用。

將打破“信息孤島”和“數據煙囪”作爲信息系統審計重點

为了配合广州市大数据发展战略,解决政务信息化建设中仍存在的“条块分割、信息孤岛”问题,应將打破“信息孤島”和“數據煙囪”作爲信息系統審計重點。按照《国务院办公厅关于印发政务信息系统整合共享实施方案的通知》(国办发〔2017〕39号)赋予审计机关的职责,开展常态化的政务信息系统和政务信息共享审计,清理“僵尸”信息系统,推动政务信息系统互联互通,全面推进广州市政务信息系统整合共享工作。

(二)重視電子政務雲平台的安全審計

目前,廣州市黨政部門的信息系統大多已遷移到電子政務雲平台。雲計算信息系統保護對象更複雜、安全威脅更多樣化。一是雲計算采用虛擬化技術及多租戶模式,導致傳統的物理邊界被打破,傳統的安全邊界消失;二是雲服務商的權利巨大,用戶的權利可能難以保證;三是雲計算的數據保存在雲端,數據安全保護的難度提高;四是雲計算安全標准相對缺失,政策法規不夠健全。

中央網信辦《關于加強黨政部門雲計算服務網絡安全管理的意見》規定,無論黨政部門的數據和業務是位于內部信息系統還是服務商雲計算平台上,黨政部門始終是數據資源的所有人、安全管理的責任人。因此,審計部門應該依法加強對電子政務雲的信息系統審計,保障信息系統安全。

(三)注意發揮內審機構在信息系統審計中的作用

國家審計機關對信息系統的審計大都在信息系統建成後才開展,審計工作相對滯後,部分審計發現問題難以整改。應大力發揮政府部門和企事業單位內部審計的作用,信息系統審計與信息系統建設同步開展,將審計關口前移,強化審計監督,規避審計風險,真正發揮審計“免疫系統”的功能。廣州市公安局、地鐵總公司等單位的內審機構已經開展信息系統審計,取得較好的效果。

(四)培養信息系統審計人才

制約廣州市信息系統審計發展的瓶頸之一是信息系統審計人才的缺乏。與傳統審計相比,信息系統審計在審計內容、審計方法等方面都發生了變化,這就要求審計機關全面掌握信息系統審計理論、方法和技巧。在大數據環境下,大數據分析技術,雲存儲、虛擬化、雲加密技術的快速發展,對審計機關的知識更新速度的要求越來越高。爲此,審計機關應有步驟、多渠道地加大信息系統審計人才的培養力度。