广州市审计局探索在大数据环境下开展信息系统审计

发布时间:2018-08-03
来源:
浏览次数:
字体大小

作者:罗勇

大数据作为一种重要的战略资源,为国家治理提供重要数据基础和决策支撑,是提升政府治理能力的有效途径。大数据已成为经济发展的巨大引擎,在提升产业竞争力、推动商业模式创新方面发挥着越来越重要的作用。为了促进国家大数据战略的顺利实施,《“十三五”国家审计工作发展规划》提出,围绕国家大数据战略和“互联网+”行动,加大对信息化建设项目及信息系统审计力度。

大数据环境下,分布式、虚拟化、云加密等新技术对信息系统的安全性提出了更高的要求,数据的海量化和跨层级、跨行业、跨部门、跨地域等特征对审计效率提出更高要求,对文本、图像、视频等非结构化数据审计仍存在较大困难。与此同时,伴随着数据挖掘、人工智能等大数据技术的不断发展,使得审计人员可以大幅提升信息系统审计的广度和宽度,提高政府决策的科学性和精准性,更加有效地服务于国家治理。在大数据环境下,信息系统审计的范围、内容、方法都发生了改变,审计机关应站在更高的角度、着眼更深的层次,运用新技术新方法,开展信息系统审计。本文介绍在大数据环境下,广州市审计局在信息系统审计方面的一些经验做法,并尝试提出相关建议。

一、工作背景

2015年8月,国务院印发《促进大数据发展行动纲要的通知》,明确了我国大数据发展的重要意义、总体目标、主要任务、政策机制。十八届五中全会公报提出要实施“国家大数据战略”,标志着大数据战略正式上升为国家战略。2017年1月,广州市人民政府办公厅出台《关于促进大数据发展的实施意见》,目标将广州建成具有国际竞争力的国家大数据强市。

2012年至2016年,广州先后出台《广州市政府信息共享管理规定》、《广州市基于云计算的电子政务公共平台总体技术框架》、《广州市电子政务云服务平台硬件基础设施资源租赁服务相关事项的通知》、《广州市政府信息共享管理规定实施细则》,确立广州市大数据总体框架;建成市政府信息共享平台、大数据综合应用管理平台以及数据开放平台、数据交易平台,提供一站式服务;建设“智慧广州”,依托广州市电子政务云,推动政务信息资源集中管理运行。

国家行政学院电子政务研究中心发布的《中国城市电子政务发展水平调查报告(EGDI)》显示,2014年和2015年,广州市均排名全国第三名,2016年在参与调查的我国338个城市当中,广州更是以94.884的EGDI高居第一名。

广州市人口众多,社会活动、经济活动产生的数据非常庞大。其中,社保缴存就记录高达32亿条、羊城通每天的出行记录达到1500万条,公安、环保、水务等部门每天产生的数据更高达数十TB。审计机关一方面要对各部门利用大数据的经济性、效益性进行审计,同时也对搭载着大数据的信息系统的安全性、可靠性以及数据本身的真实性、完整性、正确性进行审计。

传统审计受技术限制,一般只能针对单一信息系统开展审计,无法从全局的角度去发现问题。随着数据仓库、数据集市、数据挖掘,商业智能、审计画像、Hadoop生态系统、人工智能等大数据技术的广泛运用,使信息系统审计能够从根本上改变这种局限性。大数据技术可对全部数据进行监测和深度挖掘,有助于及早发现异常,对存在的问题和风险进行预警。随之而来的是审计模式由抽取部分样本进行审计转变为对全部数据进行审计,同时也提升了审计的广度和深度。

二、主要做法和成效

2015年,广州市审计局在全省率先成立电子数据审计处,负责组织实施信息化审计项目和信息系统审计。并从建立电子数据定期报送制度、建设数字化审计平台、试点开展信息系统专项审计、运用大数据开展审计分析预警等方面,积极探索开展大数据环境下信息系统审计。

(一)建立定期报送制度解决数据来源问题

自2016年3月起,广州市审计局着手建立电子数据定期报送制度,要求广州市、区两级行政事业单位和市属国有企业定期报送电子数据,同时上报信息系统建设和应用情况(包括信息系统立项、项目资金、等级保护、分级保护、数据结构、业务流程、系统设计、用户手册等信息),并开通信息系统的查询权限。截至2017年底,市审计局已基本掌握广州市被审计对象信息系统概况,归集电子数据高达150TB,涵盖财政、金融、社保、公积金、工商、质监、教育、民政、国土房管、公共资源交易、国有企业等行业,基本形成覆盖公共资金、国有资产、国有资源方面的审计大数据。

(二)建设数字化审计平台解决数据应用问题

为了管好、用好审计电子数据,广州市审计局以大数据分析为核心,建设了数字化审计平台。平台上线以来,通过审计项目与专题数据分析相结合,已对财政、社保、公积金、资源交易中心、质监、民政等部门的数据进行标准化,建立审计模型200多个。

(三)开展信息系统专项审计

2012年,广州市审计局结合市本级财政审计项目首次探索开展了信息系统审计,指出被审计单位信息系统存在安全隐患,信息系统未有效整合,数据共享和数据同步机制不完善等问题,得到被审计单位的高度重视并积极整改。2017年,广州市审计局对一个行政部门和一个国有企业开展信息系统专项审计,通过审计,发现部分信息系统未按规定办理等级保护定级、备案;信息系统在主机安全、应用安全、网络安全等方面存在安全隐患;部分信息系统数据校验、控制功能不完善,数据录入不正确,数据更新不及时,数据共享机制不健全、数据交互不及时;信息化建设、信息化资产管理不够规范等问题。

(四)运用大数据开展审计分析预警

通过电子数据定期报送制度,广州市审计局基本掌握了全市被审计对象的数据资源,对实时的电子数据进行审计分析和挖掘,及时发现疑点和风险,以审计提醒函方式发送给有关部门和单位,有效地发挥预警和防范风险作用。

信息系统安全性审计方面:通过查阅各单位信息系统等级保护定级情况,对照公安部门、信息化主管部门提供的信息系统等级保护备案、信息系统测评等信息,对信息系统进行综合分析;必要时进行远程测试,查找信息系统可能存在的安全风险;还可以通过对电子数据进行分析,发现信息系统存在的安全隐患,例如对用户表进行分析,可以发现信息系统的登录密码明文存放的情况。

信息系统经济性审计方面:在参考项目设计方案、项目需求书的基础上,对各单位电子数据进行分析,发现信息系统经济性方面存在的问题;例如通过分析信息系统总体数据量、各子模块的数据量、用户数量、活跃用户的比例、用户登录的频次,数据更新的频率等信息大致得出信息系统对业务管理的支持度。

项目建设管理合法合规性审计方面:从项目立项、招投标、开发、验收、归档、运维、资金支付等信息系统全生命周期审计均可通过大数据来实现;例如项目立项、验收、运维等信息可以从工信委“政府投资信息化项目管理系统”中获取,招投标数据可以从公共资源交易中心“公共资源交易平台”获取,资金支付信息可以从财政局“国库集中支付系统”中获取。

数据的真实性、完整性、正确性审计方面:对各单位报送的电子数据进行跨行业、跨部门的综合分析,可发现数据缺失、错误等情况;通过数据分析提取不合规数据,结合业务流程,发现信息系统在业务管理或内控方面存在的缺陷,或者信息系统在互联互通以及数据共享方面存在的问题;例如通过对业务审批数据进行分析,查找出录入人、审核人、审批人为同一个人的数据,发现信息系统在内部控制方面存在的重大缺陷。

三、下一步工作思路

在大数据环境下,广州市信息系统审计工作应围绕国家和广州市大数据发展战略,运用大数据手段,以打破“信息孤岛”和“数据烟囱”、保障电子政务云的安全为审计重点,促进广州市信息系统的互联互通,数据的共享开放,保障广州市电子政务云的安全,切实发挥审计的监督和保障作用。

将打破“信息孤岛”和“数据烟囱”作为信息系统审计重点

为了配合广州市大数据发展战略,解决政务信息化建设中仍存在的“条块分割、信息孤岛”问题,应将打破“信息孤岛”和“数据烟囱”作为信息系统审计重点。按照《国务院办公厅关于印发政务信息系统整合共享实施方案的通知》(国办发〔2017〕39号)赋予审计机关的职责,开展常态化的政务信息系统和政务信息共享审计,清理“僵尸”信息系统,推动政务信息系统互联互通,全面推进广州市政务信息系统整合共享工作。

(二)重视电子政务云平台的安全审计

目前,广州市党政部门的信息系统大多已迁移到电子政务云平台。云计算信息系统保护对象更复杂、安全威胁更多样化。一是云计算采用虚拟化技术及多租户模式,导致传统的物理边界被打破,传统的安全边界消失;二是云服务商的权利巨大,用户的权利可能难以保证;三是云计算的数据保存在云端,数据安全保护的难度提高;四是云计算安全标准相对缺失,政策法规不够健全。

中央网信办《关于加强党政部门云计算服务网络安全管理的意见》规定,无论党政部门的数据和业务是位于内部信息系统还是服务商云计算平台上,党政部门始终是数据资源的所有人、安全管理的责任人。因此,审计部门应该依法加强对电子政务云的信息系统审计,保障信息系统安全。

(三)注意发挥内审机构在信息系统审计中的作用

国家审计机关对信息系统的审计大都在信息系统建成后才开展,审计工作相对滞后,部分审计发现问题难以整改。应大力发挥政府部门和企事业单位内部审计的作用,信息系统审计与信息系统建设同步开展,将审计关口前移,强化审计监督,规避审计风险,真正发挥审计“免疫系统”的功能。广州市公安局、地铁总公司等单位的内审机构已经开展信息系统审计,取得较好的效果。

(四)培养信息系统审计人才

制约广州市信息系统审计发展的瓶颈之一是信息系统审计人才的缺乏。与传统审计相比,信息系统审计在审计内容、审计方法等方面都发生了变化,这就要求审计机关全面掌握信息系统审计理论、方法和技巧。在大数据环境下,大数据分析技术,云存储、虚拟化、云加密技术的快速发展,对审计机关的知识更新速度的要求越来越高。为此,审计机关应有步骤、多渠道地加大信息系统审计人才的培养力度。