一、信息技术绩效审计的评价内容

（一）评价信息技术内控制度建设和执行程度

建立完善的信息技术内控制度并高效执行，以保障信息应用系统安全稳定运行和安全风险的有效防范，是内控制度建设的意义所在。评价被审计单位内控制度建设和执行的经济性、效率性和效果性，可从以下几方面入手。

1.人民银行信息安全管理部门根据业务工作和系统运行的需要，明确要求基层人民银行根据自身业务实际情况，制定《机房人员出入管理制度》、《计算机机房运行管理制度》、《机房安全管理制度》、《网络安全运行制度》、《重要业务系统运行管理制度》等内控制度。审计人员在明确基层央行应建立的信息技术内控制度数量的前提下，调查了解被审计单位建立的信息技术内控制度数量，由此得出内控制度健全率（内控制度健全率=已建立的内控制度数/应建立的内控制度数×100%）。内控制度健全率<100%,反映出被审计单位存在业务领域的制度真空，内控制度健全率>100%,则反映出被审计单位存在制度冗余，此两种情况的出现表明被审计单位在内控制度建设方面均未实现经济性的预期目标。

2.信息技术内控制度建设的目的，不是为了“满足审计和检查需要”或“上级行要求”，而是要充分发挥内控制度的约束和监督作用，防范系统风险及操作风险，指导业务工作规范开展以保障应用系统的安全平稳运行。通过审阅被审计单位提供的档案资料，审计人员应分析并判断被审计单位对于各项内控制度是否有效执行，并将有效执行的内控制度数量进行统计，计算得出内控制度的执行率（内控制度执行率=有效执行的内控制度数/已建立的内控制度数×100%）。若制度执行率<100%,表示被审计单位虽然建立了相应的内控制度，但并未有效执行，存在制度建设和制度执行的不对等，无法实现以一定的投入取得最大的产出，反映出被审计单位在内控制度建设方面未实现效率性的预期目标。3.防范信息系统安全风险和操作风险是基层人民银行信息技术内控制度建设的最终目的，评价内控制度建设的效果性，可以通过加权风险控制率指标来衡量。按照业务种类及系统类型对风险操作进行分类划分，并根据风险所造成的危害程度赋予相应的权重，经过加权计算即可得出风险加权控制率。审计人员通过加权风险控制率指标可以直观地评价被审计单位内控制度建设的效果性。加权风险控制率指标越高（趋于100%），反映被审计单位信息技术内控制度建设的效果性越接近预期效果，实现了风险控制的绩效目标，相反则反映出被审计单位信息技术内控制度建设的效果性不佳，未实现绩效目标。

（二）评价信息技术组织人员配备及管理情况

科学合理的组织人员管理是保障信息技术工作有序开展的重要条件，同时也是发挥人力资源效率最大化的基础。绩效审计中应引入对被审计单位组织人员管理的审计评价，通过对被审计单位人员的岗位设置、人员分工、绩效考核、人员培训、转岗提拔等内容的审计，评价被审计单位在组织人员管理的经济性、效率性和效果性。1.通过岗位设置的完整率指标及岗位人员胜任率指标评价组织人员管理的经济性。审计人员在信息技术绩效审计过程中应全面掌握被审计单位的人员基本情况及岗位设置情况，将被审计单位设置的岗位与规章要求设置的岗位进行对比，计算得出岗位设置完整率指标（现有岗位数量/应设岗位数量×100%）。通过向各岗位工作人员本人及服务对象进行问卷调查，统计工作人员胜任岗位工作的情况，得出岗位人员胜任率指标（胜任岗位人员数/接受调查岗位人员数×100%）。将岗位设置完整率与岗位人员胜任率加权合并为组织人员管理经济率指标（岗位设置完整率×50%+岗位人员胜任率×50%），来评价被审计单位组织人员管理的经济性。2.以被审计单位人员分工的平衡性评价组织人员管理的效率性。合理分配工作任务，能够发挥每一名工作人员的积极性和创造性，挖掘工作人员的潜在能力，不断提升整体的工作效率。在以往的信息技术审计中，通过现场检查和问卷调查，发现大量的工作任务往往集中在少部分人的身上，工作任务分配不平衡，整体工作效率较低。假设被审计单位科技人员有N名工作人员，则理想状态下每人的工作量应为部门工作总量的1/N×100%,审计工作中通过对科技部门负责人和所有工作人员开展调查，可以掌握每名员工的工作量占比情况，若个体工作量相对于部门工作总量的占比均趋于1/N×100%，则反映出该部门分工平衡，人员管理效率较高，若少数人员工作量占比过高而其他人员工作量占比过低，则表示被审计部门分工不平衡，人员管理效率较低。3.以岗位考核、转岗提拔情况综合评价组织人员管理的效果性。在信息技术绩效审计中，审计人员往往忽视被审计单位工作人员岗位考核和转岗提拔情况的综合评价。如果岗位考核的优秀结果过于集中在少数人，客观上反映出被审计单位存在工作人员不能胜任工作岗位，或工作任务分配不均等情况，没有实现组织人员管理的预期效果。作为一个需要不断引入新技术、更新成员的特殊部门，通过统计审计期内被审计单位的人员岗位流动和干部提拔情况，能够分析和比较科技部门在全行人才培养和转岗提拔方面的占比和排名，从而对被审计单位信息技术组织人员管理的效果性做合理的评价。

二、信息技术绩效审计的指标

（一）业务信息类系统绩效审计

评价业务信息类系统建设的成本控制。在业务信息类系统建设阶段，要查看项目成本是否得到有效控制，是否存在超预算情况，并分析其原因。根据成本支出情况，计算成本使用的效率。主要绩效审计指标为：资金节约率（资金是否有节约，节约资金/项目总投入资金）、成本降低率（计划成本-实际成本支出/计划成本支出）、实际超支额占原预算总额的比例（超支额/预算总额）。评价业务信息类系统的生命周期。将实际使用年限与计划使用年限进行比较，检查评价是否存在使用周期过短情况。查看正在使用和已停用的信息化项目，分析已停用项目的使用年限和停用原因表1风险加权控制率指标计算表序号i风险操作数量R(i)业务操作总量S(i)权重W(i)加权风险控制率指标1-ii=1ΣW(i)×R(i)/S(i)观察思考（业务发展变化、项目自身功能缺陷），从而评价项目的使用周期长短。主要绩效审计指标为：实际使用年限与计划使用年限之比（实际使用年限/计划使用年限）、停用项目占所有自建项目之比（停用项目数量/所有自建项目数量）。评价业务信息类系统的资源利用率。将系统实际使用范围和计划相比较，评价是否存在系统功能、资源闲置情况；通过查看系统的各项使用功能，与计划功能相比较，通过比较评价系统功能的完整性。主要绩效审计指标为：实际功能占计划功能比例（实际使用功能/计划功能）、功能有效使用率（分四个级次：经常、一般、较少、未使用）。评价业务信息类系统的维护成本。通过调查掌握系统的后期维护情况，评价是否存在后期维护成本偏高、不经济情况。一是检查项目维护的成本支出，通过与项目建设成本相比较，判断维护成本高低；二是通过询问科技人员维护工作量，计算每月或每年维护该系统花费的工作量［小时/月（年）］，从而评价维护工作量的大小。主要绩效审计指标为：项目维护成本占项目建设成本之比（维护支出/项目建设成本）、系统维护工作量占科技人员工作时间（月均维护时间/月工作时间）。

（二）计算机基础设施绩效审计

1.机房绩效审计指标

（1）机房建设绩效审计指标

衡量科技机房的建设是否符合当前的业务需要，应从“必须在机房内运行的设备数量”着手，计算出合理的机房容积，再根据机房高度计算出机房面积。其中机房高度应在2-3米间，过高则浪费空间、增大机房空调负荷浪费电力，过低则不易摆放服务器机柜等设备、不易散热，同样造成浪费。机房建设费用的测算，则应通过评估招标文件来进行测定。随着人民银行各类业务系统的集中化程度不断加强，省会以下地市中支的系统维护业务目前正显现萎缩态势，地市中支机房一般按C类标准建设，足以满足目前及今后一个时期的业务需要。

（2）机房电子设备绩效审计指标

机房电子设备数量对机房建设的考核。设R=必须在机房内运行的设备数量/实际运行在机房内的设备数量。当R>1时，机房建设不能满足当前业务需要；当R<1时，机房建设存在浪费。机房电子设备可分为网络设备、服务器和辅助维护设备（如UPS电源和空调、新风系统和机房监控系统）。网络设备方面，地市中支的系统维护业务逐步上移到省会及以上机构，各业务系统对网络的依赖性却大大提高。审计中，应评价地市中支对机房网络设备以及办公大楼综合布线的投入能否满足当前以及今后一个时期的业务系统对于网络传输的带宽需求和不间断安全运行的保障要求。服务器设备方面，目前主要包括入侵检测系统、防病毒系统、网络监控系统等安全监测系统和ABS、TBS的业务系统等一些重要业务系统两大类型。审计中主要关注服务器各项参数设置的合规性，服务器运行状况，业务系统维护管理情况等内容，参考各类设备的维护制度，制定相应绩效考核内容，通过统计人员支出、服务器运行频率、系统差错率等参数，评价服务器设备工作的经济性、效率性和效果性。安全监测系统主要用于保护网络内部数据及其他系统的安全运行，应属于辅助性系统。对安全监测系统的绩效审计，主要看安全监测系统所占用的系统资源和保护网络系统安全运行的时间，如果安全监测系统所占用的系统资源过高，则其对业务系统运行反而造成影响，要扣除相应的绩效值。其绩效审计值=安全系数-购买成本*权重-系统占用*权重。2.网络建设绩效审计指标衡量网络建设绩效的主要指标有：网络线路连通性风险（一般采用2条不同服务商的主干线，设A服务商的风险率为Ra、B服务商的风险率为Rb，则2条主干线的风险率为“1-（1-Ra（1-Rb））”，其值在0-1之间。风险率越低，则表示出现网络连通性风险的可能性越低。网络带宽绩效审计，网络带宽是否满足业务需要，是指即使在业务高峰的情况下，网络带宽仍略大于业务流量，不至于出现数据包拥堵。测算此数值，应统计所有业务系统的网络需求。因2条主干线是各自独立的，所以不能分担网络需求，故每条主干线的网络带宽应为业务需要带宽之和。网络设备绩效审计，其中网络设备包括核心路由器、核心交换机和楼层交换机，以及办公楼布线、办公室信息点、办公室交换机等。核心路由器、核心交换机从数量上来说必须有主备机两套，还应从性能上对其进行绩效审计，即路由器处理能力的审计，可通过调阅路由器运行日志或观测路由器运行状态来得出相关数据，一般要检测两个指标：一是日常路由器负载应在5%-10%之间。二是路由器峰值负载不得高于80%。对楼层交换机的绩效审计则应从性能和数量两方面考虑，楼层交换机个数应为楼层放置点的（1+20%）倍，或至少保留2个备用楼层交换机。楼层交换机接口应为楼层信息点的（1+20%）倍，但不建议超过24个，如该楼层确实信息点较多（超过20个），可考虑使用再次接入小型交换机来解决。

（三）IT项目采购和外包服务绩效指标探索

IT项目采购是计算机基础设施建设的重要组成部分，也是科技工作的重中之重，更由于在采购方案的确定和实施方面，因为设备品牌的确定、公司的选择、市场价格的判断等人为因素较大，具有很强的操作性，绩效标准的界定较难。而外包服务作为一种新兴的产业已逐步发展成熟并形成了相当大的产业规模，根据需要将某部分业务外包出去，由专业的组织来进行作业，以降低人力和成本的投入，实现效率最大化，在整个外包服务过程中，外包公司完成和维护项目是否达标与单位业务运行息息相关。所以，笔者以电子设备采购和外包服务为突破口，探寻信息技术审计相关的绩效指标，希望对最终信息技术审计的绩效审计工作提供思路。1.IT项目采购IT项目采购是科技管理工作中一项重要的常规性工作。IT项目采购主要包括信息系统项目建设招标、电子设备采购、信息系统或设备运维服务采购等。其中，电子设备采购是最常见的采购内容。电子信息系统的正常运行离不开硬件设备的支持。日常科技管理工作中，电子设备的管理是非常重要的一个环节。电子设备管理主要包括设备采购、更换、维修维护和报废等。目前，信息技术的发展日新月异，电子设备更新换代非常频繁。既要保障业务系统的稳定运行，又要充分挖掘现有设备的使用价值，实现经济性、效益性，是电子设备管理工作中需要重视的一个问题。为实现这一目标，对电子设备管理工作的审计，应对被审计单位科技工作的以下几点予以关注：一是科技部门应定期汇总电子设备需求，每年制定电子设备采购计划报集中采购部门。在审批、汇总业务部门提交的电子设备申请时，应对原设备使用情况进行了解，包括使用年限，运行状态，维修次数，基本配置等等，以确保该设备需要更新。二是每年对电子设备使用情况进行盘点或汇总时，分类登记，突出重点。按照使用年限对电子设备分别登记，或将超期服役的电子设备单独登记，重点关注使用年限较长（如超过六年），已超过报废期仍在服役的设备，必要时为保证业务工作正常开展优先进行更换。三是对闲置设备做到心中有数。科技部门通过技术手段或日常检查，及时发现更换新设备后仍处于工作状态或使用频率较低的电子设备，应及时收回或重新分配，充分利用闲置设备和资源。四是对于稳定性较好，多数情况下普遍超期使用的设备，加强外包维保服务。如对于服务器、UPS系统、机房空调系统的设备，再如核心网络设备，因资金条件限制或上级统一部署、型号规格有特定要求不能及时更换，为保证其健康稳定运行，应及时采购外包维保服务，以合理的支出换取核心设备的运行保障。2.IT管理外包服务概况外包服务在人民银行IT管理工作发挥着很强的作用。目前，人民银行IT管理工作中采用外包服务的业务主要包括：软件开发和维护；信息安全风险评估与加固；重要服务器、数据存储、网络设备等的维护保养；机房硬件设施（精密空调、UPS系统等）维护保养等等。要想获得良好的外包服务，实现单位预期目标，在外包服务管理的过程中，还要注意以下几点：一是确认采购外包服务的必要性。采购前对本单位需要采购外包服务的业务进行充分评估、论证，对市场情况进行必要的了解和咨询，估算采购外包服务的大致费用，评估采购的必要性。二是对服务提供商要有明确要求。对其公司实力、行业经验、业绩情况、相关资质等尽可能进行了解，保证其满足相关技术人员、原厂备机备件等基本要求。三是签署合同前要认真审核。明确服务提供方的服务方式、服务响应时间、服务次数、故障恢复时限等等。对软件开发外包项目，应要求开发完成后将程序源代码、开发文档交给己方，明确软件项目版权所有。四是注重事后项目维护工作。要求服务方指定一名以上的联系人，并保证服务团队的基本稳定，并签署必要的保密协议。3.IT项目采购和外包服务绩效指标在开展IT项目采购和外包服务绩效审计时，可重点关注以下内容：一是评价采购IT项目、电子设备和外包服务的必要性和采购程序情况。二是针对IT项目建设费用或电子设备、外包服务采购费用支出情况，评价其合理性。三是评价采购合同履行情况。信息化项目建设满足合同约束，电子设备型号、配置符合采购说明书要求，服务外包人员是否按照合同要求开展项目开发或日常维护操作；四是评价IT采购是否达到预期效果。如信息化建设项目质量能否满足业务要求，软件外包能否及时交付使用，是否满足了业务需求，是否具备前瞻性和可扩充性，技术档案是否完整。硬件设备维保服务是否能够及时排除突发故障，能否及时更换备件，是否使设备保持良好运行状态等。通过对业务信息系统审计、计算机基础设施审计，信息系统管理审计等相关方面绩效评价指标的探究，用经济性、效率性和效果性衡量和评价基层央行信息技术工作开展情况，绩效审计将逐步成为信息技术审计方式的主导。对信息技术审计绩效审计方面的积极尝试和逐步完善，将在内审转型中取得更好效果。

作者：谢永智单位：中国人民银行石家庄中心支行