2024年12月31日,杭州市市场监督管理局发布了DB3301/T 0483---2024《政务信息化项目内部审计规范》(以下简称"标准"),该标准于2025年1月31日正式实施。作为杭州市政务信息化领域的地方性标准,其由杭州市数据资源管理局提出、归口并组织实施,联合临安区数据资源管理局、审计局等多部门及专业咨询机构共同起草,填补了杭州政务信息化项目内部审计(以下简称"内审")的标准化空白,为政务信息化项目全流程合规、安全、高效推进提供了明确指引。此前,我们也围绕审计相关内容撰写了文章,详见:
《内部审计质量评估》(TCIIAS 0001-2024)标准解读;
以下从多个维度对本标准进行详细解读:
一、基本原则
标准明确政务信息化项目内审需遵循必要性、可行性、合理性、合规性、安全性五大核心原则,各原则均围绕项目全生命周期管理的关键诉求展开,为审计工作划定价值导向与操作底线:
1、必要性原则:要求通过全面审查项目立项、预算、采购、合同、实施、验收、结算等全过程,为项目的成功实施和运营提供有力保障,避免项目"盲目推进"或"流程缺失"风险。
2、可行性原则:聚焦政务信息化项目实施中的技术方案、建设内容、实施方案、安全和风险控制等方面,通过评估、监督和咨询确保其具备落地可行性,防止技术"水土不服"或资源错配。
3、合理性原则:依据内审目标和项目特点,运用审计结果改进并优化项目内容,确保项目符合法律法规和行业标准要求,进而提升项目管理水平,避免"重建设、轻优化"。
4、合规性原则:强调审计工作需遵循法律法规、行业标准、政策方针及组织内部规章制度,保障审计结果客观、公正和有效,杜绝"违规操作"或"暗箱操作"。
5、安全性原则:核心是保障审计活动不会泄露敏感信息、破坏数据完整性、影响系统正常运行或造成其他安全风险,契合政务数据安全与系统稳定的核心需求。
二、内审程序
标准将内审流程拆解为前期准备、内审启动、内审实施、项目报告编制、报告提交与确认、整改复核六个环环相扣的环节,形成"从准备到落地、从问题发现到整改闭环"的全流程管理体系:
1、前期准备:开展内审前需准备七类核心材料,包括成立政务信息化工作领导机构的文件、本单位近3年信息化工作年度工作计划、政务信息化项目建设管理制度、人员编制与在岗情况、驻场服务及外聘人员情况、预决算收支电子财务数据,以及《单位信息化管理基本情况表》和《政务信息系统基本情况表》,为审计工作奠定"有据可依"的基础。
2、内审启动:内审项目确立后,需下达内审通知书,并制定包含内审目标、范围、内容与重点措施、进度安排及职责分工的内审方案,同时明确内审组成员与实施进度,确保审计任务"责任到人、目标清晰"。
3、内审实施:作为审计核心环节,需先按内审方案归集实物资料、书面资料等各类建设项目资料;再分析资料,剔除无关、无效内容并汇总排序,编写《内审取证单》;随后与被审单位沟通确认取证单及佐证资料,形成书面确认;最后编制工作底稿,记录审计过程、步骤方法、事实摘要及结论。
表 1建设项目资料
4、项目报告编制:内审报告需包含项目概况、依据、过程简介,以及针对被审单位管理状况、项目特性的可行建议,需注明编制单位与核心成员,经编写人、审核人及批准人签字,初稿需征求被审单位意见并核实异议。
5、报告提交与确认:按内审方案约定形式完成报告,经内审单位负责人签字确认后提交被审单位,正式通报审计结果。
6、整改复核:内审项目完成后,被审单位需在规定时间提交问题整改报告,内审人员需复核整改建议的执行情况,确保"问题整改到位、审计落地见效"。
三、内审内容
标准从合规性、安全性、绩效性三大维度明确内审核心内容,结合表2,细化各阶段审计细则,实现"全维度覆盖、全节点把控":
表 2 政务信息化项目内审内容
(一)合规性内审
聚焦项目全流程的合规性,覆盖五大关键阶段:
1、项目规划内审:审查信息化发展战略是否有明确目标与中长期建设任务、保障措施,规划制订是否体现顶层设计与资源整合,是否有业务部门与信息化部门共同参与,确保规划"科学统筹"。
2、项目立项内审:核查立项申请是否有政策支持、程序是否合规(如无"未批先建")、资料是否完整规范,项目业务需求是否真实、有无套取财政资金,续建项目是否必要,避免"虚假立项"或"盲目续建"。
3、招标采购内审:检查招标方式是否合规(非公开招标需审批)、评标活动是否合法,投标有无陪标等违规行为,合同签订是否与招标结果一致,防范"违规招标""合同不符"风险。
4、项目实施内审:监督项目建设推进、资金支付、违约仲裁等是否合规,合同执行是否真实(如人员到位、无违规转包),项目变更依据是否充分、审批是否规范,监理单位资质与工作有效性。
5、项目验收内审:验证验收是否合法有效,系统架构、业务功能是否测试,软硬件配置是否与投标文件一致,资金收支与资产移交是否合规,验收文档是否完整规范。
(二)安全性内审
围绕政务数据与系统安全,构建五层防护审计体系:
1、安全管理内审:检查安全管理机构是否健全、人员管理是否合规,安全管理制度体系是否覆盖物理、网络、主机等全领域,系统定级、备案及运维外包是否合法可靠。
2、物理安全控制内审:核查机房与办公场所选址、物理访问控制、防盗防雷防火、电力供应、电磁防护等是否符合安全要求,保障"物理环境安全"。
3、网络安全控制内审:评估网络结构与设备可靠性,网络边界控制、入侵防范、恶意代码防范是否有效,安全日志是否完整记录网络事件,确保"网络运行安全"。
4、主机安全控制内审:审查服务器操作系统、数据库管理系统的身份鉴别、访问控制、安全日志记录是否可靠,剩余信息保护是否完整,入侵与恶意代码防范是否有效。
5、数据安全内审:检查是否合规管理数据(无泄露、篡改等),是否释放"僵尸接口"、无敏感数据未经审批出域,敏感日志数据是否脱敏,共享数据是否在授权范围内使用。
(三)绩效性内审
关注项目建设与应用的实际效益,包含三类绩效:
1、建设绩效内审:评价项目建设目标实现情况,检查建设管理、合同执行、设备配置是否合理,是否实现技术复用与资源共享,有无资金浪费或硬件闲置。
2、日志绩效内审:核查系统是否自动记录操作日志,是否按"4+N+X"指标梳理日志、完成9个通用字段与核心业务字段建设,是否按标准采集推送日志,确保"日志规范可追溯"。
3、应用绩效内审:评估系统功能与实际需求是否相符,资源应用广度与深度是否达标,业务处理效率、服务水平是否提升,数据共享协同效果、社会效益及使用反馈是否良好,避免"重建设、轻应用"。
四、总结
综上,《政务信息化项目内部审计规范》(DB3301/T 0483-2024)以必要性、合规性等五大原则为根本导向,通过前期准备至整改复核的六环节闭环内审程序,结合合规性、安全性、绩效性三维度全周期审计内容,既填补了杭州政务信息化项目内审的标准化空白,又为项目从规划到验收的全流程风险防控、合规管理与效益提升提供了清晰指引,有效保障杭州政务信息化项目规范、安全、高效落地。