基層央行信息技術績效審計

前言：本站為你精心整理了基層央行信息技術績效審計范文，希望能為你的創作提供參考價值，我們的客服老師可以幫助你提供個性化的參考范文，歡迎咨詢。

一、信息技術績效審計的評價內容

（一）評價信息技術內控制度建設和執行程度

建立完善的信息技術內控制度并高效執行，以保障信息應用系統安全穩定運行和安全風險的有效防范，是內控制度建設的意義所在。評價被審計單位內控制度建設和執行的經濟性、效率性和效果性，可從以下幾方面入手。

1.人民銀行信息安全管理部門根據業務工作和系統運行的需要，明確要求基層人民銀行根據自身業務實際情況，制定《機房人員出入管理制度》、《計算機機房運行管理制度》、《機房安全管理制度》、《網絡安全運行制度》、《重要業務系統運行管理制度》等內控制度。審計人員在明確基層央行應建立的信息技術內控制度數量的前提下，調查了解被審計單位建立的信息技術內控制度數量，由此得出內控制度健全率（內控制度健全率=已建立的內控制度數/應建立的內控制度數×100%）。內控制度健全率<100%,反映出被審計單位存在業務領域的制度真空，內控制度健全率>100%,則反映出被審計單位存在制度冗余，此兩種情況的出現表明被審計單位在內控制度建設方面均未實現經濟性的預期目標。

2.信息技術內控制度建設的目的，不是為了“滿足審計和檢查需要”或“上級行要求”，而是要充分發揮內控制度的約束和監督作用，防范系統風險及操作風險，指導業務工作規范開展以保障應用系統的安全平穩運行。通過審閱被審計單位提供的檔案資料，審計人員應分析并判斷被審計單位對于各項內控制度是否有效執行，并將有效執行的內控制度數量進行統計，計算得出內控制度的執行率（內控制度執行率=有效執行的內控制度數/已建立的內控制度數×100%）。若制度執行率<100%,表示被審計單位雖然建立了相應的內控制度，但并未有效執行，存在制度建設和制度執行的不對等，無法實現以一定的投入取得最大的產出，反映出被審計單位在內控制度建設方面未實現效率性的預期目標。3.防范信息系統安全風險和操作風險是基層人民銀行信息技術內控制度建設的最終目的，評價內控制度建設的效果性，可以通過加權風險控制率指標來衡量。按照業務種類及系統類型對風險操作進行分類劃分，并根據風險所造成的危害程度賦予相應的權重，經過加權計算即可得出風險加權控制率。審計人員通過加權風險控制率指標可以直觀地評價被審計單位內控制度建設的效果性。加權風險控制率指標越高（趨于100%），反映被審計單位信息技術內控制度建設的效果性越接近預期效果，實現了風險控制的績效目標，相反則反映出被審計單位信息技術內控制度建設的效果性不佳，未實現績效目標。

（二）評價信息技術組織人員配備及管理情況

科學合理的組織人員管理是保障信息技術工作有序開展的重要條件，同時也是發揮人力資源效率最大化的基礎。績效審計中應引入對被審計單位組織人員管理的審計評價，通過對被審計單位人員的崗位設置、人員分工、績效考核、人員培訓、轉崗提拔等內容的審計，評價被審計單位在組織人員管理的經濟性、效率性和效果性。1.通過崗位設置的完整率指標及崗位人員勝任率指標評價組織人員管理的經濟性。審計人員在信息技術績效審計過程中應全面掌握被審計單位的人員基本情況及崗位設置情況，將被審計單位設置的崗位與規章要求設置的崗位進行對比，計算得出崗位設置完整率指標（現有崗位數量/應設崗位數量×100%）。通過向各崗位工作人員本人及服務對象進行問卷調查，統計工作人員勝任崗位工作的情況，得出崗位人員勝任率指標（勝任崗位人員數/接受調查崗位人員數×100%）。將崗位設置完整率與崗位人員勝任率加權合并為組織人員管理經濟率指標（崗位設置完整率×50%+崗位人員勝任率×50%），來評價被審計單位組織人員管理的經濟性。2.以被審計單位人員分工的平衡性評價組織人員管理的效率性。合理分配工作任務，能夠發揮每一名工作人員的積極性和創造性，挖掘工作人員的潛在能力，不斷提升整體的工作效率。在以往的信息技術審計中，通過現場檢查和問卷調查，發現大量的工作任務往往集中在少部分人的身上，工作任務分配不平衡，整體工作效率較低。假設被審計單位科技人員有N名工作人員，則理想狀態下每人的工作量應為部門工作總量的1/N×100%,審計工作中通過對科技部門負責人和所有工作人員開展調查，可以掌握每名員工的工作量占比情況，若個體工作量相對于部門工作總量的占比均趨于1/N×100%，則反映出該部門分工平衡，人員管理效率較高，若少數人員工作量占比過高而其他人員工作量占比過低，則表示被審計部門分工不平衡，人員管理效率較低。3.以崗位考核、轉崗提拔情況綜合評價組織人員管理的效果性。在信息技術績效審計中，審計人員往往忽視被審計單位工作人員崗位考核和轉崗提拔情況的綜合評價。如果崗位考核的優秀結果過于集中在少數人，客觀上反映出被審計單位存在工作人員不能勝任工作崗位，或工作任務分配不均等情況，沒有實現組織人員管理的預期效果。作為一個需要不斷引入新技術、更新成員的特殊部門，通過統計審計期內被審計單位的人員崗位流動和干部提拔情況，能夠分析和比較科技部門在全行人才培養和轉崗提拔方面的占比和排名，從而對被審計單位信息技術組織人員管理的效果性做合理的評價。

二、信息技術績效審計的指標

（一）業務信息類系統績效審計

評價業務信息類系統建設的成本控制。在業務信息類系統建設階段，要查看項目成本是否得到有效控制，是否存在超預算情況，并分析其原因。根據成本支出情況，計算成本使用的效率。主要績效審計指標為：資金節約率（資金是否有節約，節約資金/項目總投入資金）、成本降低率（計劃成本-實際成本支出/計劃成本支出）、實際超支額占原預算總額的比例（超支額/預算總額）。評價業務信息類系統的生命周期。將實際使用年限與計劃使用年限進行比較，檢查評價是否存在使用周期過短情況。查看正在使用和已停用的信息化項目，分析已停用項目的使用年限和停用原因表1風險加權控制率指標計算表序號i風險操作數量R(i)業務操作總量S(i)權重W(i)加權風險控制率指標1-ii=1ΣW(i)×R(i)/S(i)觀察思考（業務發展變化、項目自身功能缺陷），從而評價項目的使用周期長短。主要績效審計指標為：實際使用年限與計劃使用年限之比（實際使用年限/計劃使用年限）、停用項目占所有自建項目之比（停用項目數量/所有自建項目數量）。評價業務信息類系統的資源利用率。將系統實際使用范圍和計劃相比較，評價是否存在系統功能、資源閑置情況；通過查看系統的各項使用功能，與計劃功能相比較，通過比較評價系統功能的完整性。主要績效審計指標為：實際功能占計劃功能比例（實際使用功能/計劃功能）、功能有效使用率（分四個級次：經常、一般、較少、未使用）。評價業務信息類系統的維護成本。通過調查掌握系統的后期維護情況，評價是否存在后期維護成本偏高、不經濟情況。一是檢查項目維護的成本支出，通過與項目建設成本相比較，判斷維護成本高低；二是通過詢問科技人員維護工作量，計算每月或每年維護該系統花費的工作量［小時/月（年）］，從而評價維護工作量的大小。主要績效審計指標為：項目維護成本占項目建設成本之比（維護支出/項目建設成本）、系統維護工作量占科技人員工作時間（月均維護時間/月工作時間）。

（二）計算機基礎設施績效審計

1.機房績效審計指標

（1）機房建設績效審計指標

衡量科技機房的建設是否符合當前的業務需要，應從“必須在機房內運行的設備數量”著手，計算出合理的機房容積，再根據機房高度計算出機房面積。其中機房高度應在2-3米間，過高則浪費空間、增大機房空調負荷浪費電力，過低則不易擺放服務器機柜等設備、不易散熱，同樣造成浪費。機房建設費用的測算，則應通過評估招標文件來進行測定。隨著人民銀行各類業務系統的集中化程度不斷加強，省會以下地市中支的系統維護業務目前正顯現萎縮態勢，地市中支機房一般按C類標準建設，足以滿足目前及今后一個時期的業務需要。

（2）機房電子設備績效審計指標

機房電子設備數量對機房建設的考核。設R=必須在機房內運行的設備數量/實際運行在機房內的設備數量。當R>1時，機房建設不能滿足當前業務需要；當R<1時，機房建設存在浪費。機房電子設備可分為網絡設備、服務器和輔助維護設備（如UPS電源和空調、新風系統和機房監控系統）。網絡設備方面，地市中支的系統維護業務逐步上移到省會及以上機構，各業務系統對網絡的依賴性卻大大提高。審計中，應評價地市中支對機房網絡設備以及辦公大樓綜合布線的投入能否滿足當前以及今后一個時期的業務系統對于網絡傳輸的帶寬需求和不間斷安全運行的保障要求。服務器設備方面，目前主要包括入侵檢測系統、防病毒系統、網絡監控系統等安全監測系統和ABS、TBS的業務系統等一些重要業務系統兩大類型。審計中主要關注服務器各項參數設置的合規性，服務器運行狀況，業務系統維護管理情況等內容，參考各類設備的維護制度，制定相應績效考核內容，通過統計人員支出、服務器運行頻率、系統差錯率等參數，評價服務器設備工作的經濟性、效率性和效果性。安全監測系統主要用于保護網絡內部數據及其他系統的安全運行，應屬于輔助性系統。對安全監測系統的績效審計，主要看安全監測系統所占用的系統資源和保護網絡系統安全運行的時間，如果安全監測系統所占用的系統資源過高，則其對業務系統運行反而造成影響，要扣除相應的績效值。其績效審計值=安全系數-購買成本*權重-系統占用*權重。2.網絡建設績效審計指標衡量網絡建設績效的主要指標有：網絡線路連通性風險（一般采用2條不同服務商的主干線，設A服務商的風險率為Ra、B服務商的風險率為Rb，則2條主干線的風險率為“1-（1-Ra（1-Rb））”，其值在0-1之間。風險率越低，則表示出現網絡連通性風險的可能性越低。網絡帶寬績效審計，網絡帶寬是否滿足業務需要，是指即使在業務高峰的情況下，網絡帶寬仍略大于業務流量，不至于出現數據包擁堵。測算此數值，應統計所有業務系統的網絡需求。因2條主干線是各自獨立的，所以不能分擔網絡需求，故每條主干線的網絡帶寬應為業務需要帶寬之和。網絡設備績效審計，其中網絡設備包括核心路由器、核心交換機和樓層交換機，以及辦公樓布線、辦公室信息點、辦公室交換機等。核心路由器、核心交換機從數量上來說必須有主備機兩套，還應從性能上對其進行績效審計，即路由器處理能力的審計，可通過調閱路由器運行日志或觀測路由器運行狀態來得出相關數據，一般要檢測兩個指標：一是日常路由器負載應在5%-10%之間。二是路由器峰值負載不得高于80%。對樓層交換機的績效審計則應從性能和數量兩方面考慮，樓層交換機個數應為樓層放置點的（1+20%）倍，或至少保留2個備用樓層交換機。樓層交換機接口應為樓層信息點的（1+20%）倍，但不建議超過24個，如該樓層確實信息點較多（超過20個），可考慮使用再次接入小型交換機來解決。

（三）IT項目采購和外包服務績效指標探索

IT項目采購是計算機基礎設施建設的重要組成部分，也是科技工作的重中之重，更由于在采購方案的確定和實施方面，因為設備品牌的確定、公司的選擇、市場價格的判斷等人為因素較大，具有很強的操作性，績效標準的界定較難。而外包服務作為一種新興的產業已逐步發展成熟并形成了相當大的產業規模，根據需要將某部分業務外包出去，由專業的組織來進行作業，以降低人力和成本的投入，實現效率最大化，在整個外包服務過程中，外包公司完成和維護項目是否達標與單位業務運行息息相關。所以，筆者以電子設備采購和外包服務為突破口，探尋信息技術審計相關的績效指標，希望對最終信息技術審計的績效審計工作提供思路。1.IT項目采購IT項目采購是科技管理工作中一項重要的常規性工作。IT項目采購主要包括信息系統項目建設招標、電子設備采購、信息系統或設備運維服務采購等。其中，電子設備采購是最常見的采購內容。電子信息系統的正常運行離不開硬件設備的支持。日常科技管理工作中，電子設備的管理是非常重要的一個環節。電子設備管理主要包括設備采購、更換、維修維護和報廢等。目前，信息技術的發展日新月異，電子設備更新換代非常頻繁。既要保障業務系統的穩定運行，又要充分挖掘現有設備的使用價值，實現經濟性、效益性，是電子設備管理工作中需要重視的一個問題。為實現這一目標，對電子設備管理工作的審計，應對被審計單位科技工作的以下幾點予以關注：一是科技部門應定期匯總電子設備需求，每年制定電子設備采購計劃報集中采購部門。在審批、匯總業務部門提交的電子設備申請時，應對原設備使用情況進行了解，包括使用年限，運行狀態，維修次數，基本配置等等，以確保該設備需要更新。二是每年對電子設備使用情況進行盤點或匯總時，分類登記，突出重點。按照使用年限對電子設備分別登記，或將超期服役的電子設備單獨登記，重點關注使用年限較長（如超過六年），已超過報廢期仍在服役的設備，必要時為保證業務工作正常開展優先進行更換。三是對閑置設備做到心中有數。科技部門通過技術手段或日常檢查，及時發現更換新設備后仍處于工作狀態或使用頻率較低的電子設備，應及時收回或重新分配，充分利用閑置設備和資源。四是對于穩定性較好，多數情況下普遍超期使用的設備，加強外包維保服務。如對于服務器、UPS系統、機房空調系統的設備，再如核心網絡設備，因資金條件限制或上級統一部署、型號規格有特定要求不能及時更換，為保證其健康穩定運行，應及時采購外包維保服務，以合理的支出換取核心設備的運行保障。2.IT管理外包服務概況外包服務在人民銀行IT管理工作發揮著很強的作用。目前，人民銀行IT管理工作中采用外包服務的業務主要包括：軟件開發和維護；信息安全風險評估與加固；重要服務器、數據存儲、網絡設備等的維護保養；機房硬件設施（精密空調、UPS系統等）維護保養等等。要想獲得良好的外包服務，實現單位預期目標，在外包服務管理的過程中，還要注意以下幾點：一是確認采購外包服務的必要性。采購前對本單位需要采購外包服務的業務進行充分評估、論證，對市場情況進行必要的了解和咨詢，估算采購外包服務的大致費用，評估采購的必要性。二是對服務提供商要有明確要求。對其公司實力、行業經驗、業績情況、相關資質等盡可能進行了解，保證其滿足相關技術人員、原廠備機備件等基本要求。三是簽署合同前要認真審核。明確服務提供方的服務方式、服務響應時間、服務次數、故障恢復時限等等。對軟件開發外包項目，應要求開發完成后將程序源代碼、開發文檔交給己方，明確軟件項目版權所有。四是注重事后項目維護工作。要求服務方指定一名以上的聯系人，并保證服務團隊的基本穩定，并簽署必要的保密協議。3.IT項目采購和外包服務績效指標在開展IT項目采購和外包服務績效審計時，可重點關注以下內容：一是評價采購IT項目、電子設備和外包服務的必要性和采購程序情況。二是針對IT項目建設費用或電子設備、外包服務采購費用支出情況，評價其合理性。三是評價采購合同履行情況。信息化項目建設滿足合同約束，電子設備型號、配置符合采購說明書要求，服務外包人員是否按照合同要求開展項目開發或日常維護操作；四是評價IT采購是否達到預期效果。如信息化建設項目質量能否滿足業務要求，軟件外包能否及時交付使用，是否滿足了業務需求，是否具備前瞻性和可擴充性，技術檔案是否完整。硬件設備維保服務是否能夠及時排除突發故障，能否及時更換備件，是否使設備保持良好運行狀態等。通過對業務信息系統審計、計算機基礎設施審計，信息系統管理審計等相關方面績效評價指標的探究，用經濟性、效率性和效果性衡量和評價基層央行信息技術工作開展情況，績效審計將逐步成為信息技術審計方式的主導。對信息技術審計績效審計方面的積極嘗試和逐步完善，將在內審轉型中取得更好效果。

作者：謝永智單位：中國人民銀行石家莊中心支行