国外审计动态Word格式文档下载.docx
- 文档编号:16461899
- 上传时间:2022-11-23
- 格式:DOCX
- 页数:12
- 大小:85.08KB
国外审计动态Word格式文档下载.docx
《国外审计动态Word格式文档下载.docx》由会员分享,可在线阅读,更多相关《国外审计动态Word格式文档下载.docx(12页珍藏版)》请在冰豆网上搜索。
本报告重点介绍了联邦政府在改善信息技术购买方面的工作情况,总结了美国审计署在2013年6月至2017年2月期间的主要工作,即:
(1)主要的信息技术人力规划活动;
(2)美国管理和预算局(OMB)信息技术平台上所报告的主要投资风险;
(3)增量开发方式的实施情况等。
二、审计发现
《联邦信息技术采购改革法案》(FITARA)于2014年12月颁布,旨在改进联邦信息技术的购买,并帮助联邦机构减少重复采购,达到节省花费的目的。
《联邦信息技术采购改革法案》的成功实施要求美国管理和预算局以及联邦机构按照美国审计署先前的建议,在法律确定的若干领域采取措施。
信息技术人力规划。
美国审计署在2016年11月确定了8个关键的信息技术人力规划实践项目,对现有工作人员进行分析,以确认能力和配置的差距,这对于各机构获取信息技术知识和技能至关重要。
然而,美国审计署报告称,它审查的5个联邦机构尚未完全实施这些做法。
例如,这些机构没有定期评估其员工能力和配置需求,也未制定解决差距的战略计划。
这些缺陷部分原因在于这些机构缺乏坚决执行相关规定的综合措施。
因此,美国审计署向没有充分采取应对措施的5个机构提出具体建议。
4个机构完全同意,1个机构部分同意美国审计署的建议。
信息技术平台。
为了促进政府信息技术购买的透明度,美国管理和预算局的信息技术平台提供了联邦机构主要投资的详细信息,包括首席信息官(CIO)评级,这些评级反映了投资面临的风险水平。
美国审计署在2016年6月份的报告中称,在深入审查的15个机构中,有13家在信息技术平台投资评级时并未充分考虑风险。
特别是在95项投资评级中,美国审计署风险评估与CIO评级一致的有22项,风险更高的有60项,风险更低的有13项。
导致这些差异的原因,包括CIO评级没有及时更新、使用过时风险数据等。
美国审计署建议机构提高其评级的质量和频率。
大多数机构接受美国审计署的建议。
增量式开发。
美国管理和预算局发起的其他改革强调联邦机构在小部件进行投资(增量投资)的需求,以便降低风险且更快释放功能。
具体来说,自2012年以来,美国管理和预算局要求每6个月进行一次释放功能投资。
2016年8月,美国审计署确认,在2016年,22个机构在信息技术平台报告称,其64%的软件开发项目每6个月释放有用功能。
然而,美国审计署认为,在深入审查的7个机构中,只有3个根据美国管理和预算局的要求,以增量投资方式对首席信息官认证信息技术实施了恰当的政策措施。
所以美国审计署建议,其他4个机构需提高其CIO对增量开发政策的认证。
大多数机构赞同这些建议。
三、审计建议
2010年至2015年间,美国审计署向美国管理和预算局及相关联邦机构提出了803项建议,以克服信息技术购买和运营方面的缺陷。
这些建议有助于将该领域加入到美国审计署的高风险名单。
截至2016年12月,美国管理和预算局和相关机构已切实实施了803项建议中的366项(约46%)。
2016年,美国审计署提出了202项新建议,进一步推动美国管理和预算局和相关机构克服美国审计署指出的缺陷。
信息安全:
国土安全部需要继续推进
保护联邦信息系统安全的措施
1、基本情况
联邦网络系统受到的各种入侵和攻击日益呈现出不断进化、日趋复杂的特点。
美国审计署早在1997年就将信息安全确定为政府高风险领域。
2003年和2015年分别将网络重点基础设施保护和可识别个人隐私信息保护纳入高风险领域。
在强化联邦政府网络安全态势方面,国土安全部(DHS)发挥着十分重要的作用。
此外,国土安全部在以下两个方面积极主动:
(1)检测并阻止针对政府机构网络进行的恶意入侵行为,
(2)为政府机构持续判定与减轻网络威胁及网络安全漏洞提供技术支持。
本报告概述了美国审计署对于国土安全部发挥重要作用、提升联邦政府网络安全方面各项工作的审计情况。
在该报告的起草过程中,美国审计署查阅了以往公开发布的工作信息,以及国土安全部所提供的对美国审计署所提建议的采纳情况。
2、审计发现
国土安全部率先采取多项举措,提升联邦政府网络安全性。
在这些举措中,国家网络安全保护系统(NCPS)可以检测并阻断试图进入政府机构网络的潜在恶意网络流量。
同时,国土安全部的持续检测与阻断项目(CDM)为政府机构提供识别和解决网络安全漏洞的工具。
2016年1月,美国审计署发布报告称,在检测或者阻断网络侵入活动、解析网络数据趋势、以及与政府机构共享网络威胁与入侵信息等方面,国家网络安全保护系统所起的作用有限。
例如,国家网络安全保护系统并未对某些特定类型的网络流量实行监控评估,因此,无法对嵌入这些网络流量里的恶意流量进行检测。
同时,国家网络安全保护系统也并未对带有某些常见的网络安全漏洞和曝光环节的流量进行检测,而这些漏洞和曝光环节可能已经被网络入侵者以往的企图入侵所利用。
在检查中还发现,各联邦政府机构采用国家网络安全保护系统处于多种不同的层次。
美国审计署注意到扩展国家网络安全保护系统各项能力,例如检测和阻断恶意流量、开发网络路由指南等,有助于提高该系统检测并阻断计算机入侵有效性信心,也有助于扩大该系统在政府机构中的使用面。
采取以上措施,国土安全部应当把自己定位于更好地实现国家网络安全保护系统的全部功效。
国土安全部持续检测与阻断项目提供的各项工具和服务,旨在使各政府机构实现自动网络监控、关联和解析相关安全信息,提高政府机构和政府层面的风险决策能力。
2016年5月,美国审计署报告显示,适用于《首席财务官法》17个文职机构中的绝大多数使用的高强度系统在国土安全部的持续检测与阻断项目(CDM)的应用上处于初级阶段。
例如,17家机构中的14家报告称,已使用相关产品以实现软硬件资产清单、组态设定、以及常见漏洞管理的自动化水平,但只有2家机构完成了机构、局处以及组件水平的安装。
一些机构指出,推进持续检测与阻断项目的实施有助于进一步保护其高强度系统。
美国审计署认为,持续检测与阻断项目的有效实施能帮助各政府机构解决网络安全漏洞问题,而这些网络安全漏洞将其信息系统与各种信息暴露在不断进化的恶意威胁面前。
通过不断向各政府机构推广持续检测与阻断项目工具并提升机构能力,国土安全部可以进一步确保各政府机构更好地保护其信息系统安全及各项信息。
此外,国土安全部还提供其他服务项目以协助保护联邦系统,例如,发布月度运营公告、网络数据评价以及网络实践等。
2016年5月,据美国审计署报告,尽管被调查机构的参与程度不同,但大多数机构都认为国土安全部提供的各项服务非常有用或者稍微有用。
通过不断向各政府机构间提供恰当的服务,国土安全部能够更好地促进各机构强化其信息系统安全。
在2016年1月的审计报告中,美国审计署提出了9项建议,内容涉及提高国家网络安全保护系统对网络入侵的检测能力、通知潜在威胁客户、提供解析服务、共享网络信息等。
国土安全部对上述建议表示赞同,正采取积极措施落实整改。
联邦远程办公:
加强管理能够促进
远程办公项目的合规性和数据上报
《2010年远程办公促进法案》要求联邦机构制定远程办公政策,人事局(OPM)提供远程办公指引并报告远程办公的实施情况。
美国审计署对联邦机构远程办公项目进行审查。
本报告包括:
(1)选定机构是如何遵守法案条款的;
(2)影响联邦监管机构确保远程工作者对其成果负责能力的内部控制;
(3)所选机构和人事管理办公室在收集和报告远程办公数据方面面临的挑战。
美国审计署根据机构规模和远程办公参与率选择了4个案例进行审查,即教育机构、总务局、劳工局和证券交易委员会。
美国审计署审查了人事管理办公室的指南和报告,以及案例机构的政策和数据。
美国审计署还对人事管理办公室和案例机构官员进行了访谈,并与案例机构主管和远程工作人员进行了集中讨论。
美国审计署所审查的4个选定案例机构的远程办公政策符合《2010年远程办公加强法案》(以下简称“法案”)中对远程工作资格和协议的要求。
这些机构遵循类似的程序批准远程工作协议。
人事管理办公室指南建议管理人员在批准远程工作协议之前完成远程工作培训,但是4个机构中的3个均无机制来确保管理人员在批准员工远程工作协议之前完成了培训。
这些机构的管理人员可能因为没有完成培训而不熟悉远程办公政策。
此外,4个机构中的3个没有要求定期对远程工作协议进行书面审查。
由于不要求定期审查,这些机构无法保证签订的协议能够反映和支持其当前的业务需求。
按照法案,4个机构都描述了他们对远程办公鼓励措施和提供的技术支持。
然而,美国审计署重点关注的远程工作小组提供了一些例子,说明监督人员如何阻碍参与远程工作,并在报告中称,在管理方面一定程度上仍然存在对远程工作抵制的情况。
这些管理障碍可能会慢慢破坏审查机构实现远程参与目标的能力。
人事管理办公室对远程工作的领导作用能够帮助联邦机构采取措施评估和解决这类令人忧虑的问题。
按照法案,4个案例机构均采取了控制措施来确保远程办公不会削弱员工和组织绩效。
远程办公人员在工作要求、绩效考核和其他管理决策上与非远程办公人员保持一致。
机构官员和重点调查小组报告说,远程办公并未影响其绩效预期。
重点调查小组分享了他们用来进行监督和与远程工作人员联系的许多策略和资源。
4家机构采用多种方式收集和报告远程工作数据,这些数据纳入了人事管理办公室的年度远程工作报告,由于员工可能不知道或不遵循记录远程办公的政策,确保这些数据准确无误的挑战仍然存在。
虽然其中3个机构使用电子系统来跟踪远程工作协议,但劳工部使用的手工系统限制其获得准确的实时远程协议数据,这些数据用于管理层对合规性和资源分配的评估及决策。
美国审计署发现,教育部门没有出具符合法案要求的远程办公数据报告。
人事管理办公室在呈报准确的远程工作数据上也面临挑战,美国审计署指出了人事管理办公室向国会提交的年度报告中的错误。
例如,人事管理办公室的报告将2016年教育部门远程工作参与目标列为5%,反映了教育参与率的增加目标,而不是90%的总体参与目标。
人事管理办公室不总是对机构的重大数据差异或异常值进行跟踪,因而它可能失去了改进数据的机会。
人事管理办公室向国会提交的年度报告中的错误和无效数据降低了这些报告的价值。
美国审计署向每个案例机构提出建议,包括确保管理者及时完成远程工作培训、改进远程工作数据等。
美国审计署还建议人事管理办公室开发工具来帮助机构评估远程工作障碍,改进提交国会的远程工作数据。
3个机构采纳了上述建议。
人事管理办公室不同意美国审计署的建议,认为不应该将有限的资源花费在法案没有明确规定的行动上。
而美国审计署坚持认为,人事管理办公室应该实施报告中提出的行动。
电力:
住宅太阳能装置及其他技术的
部署状况、潜在的利益和面临的挑战
传统上,电力只有一个流通方向,即从电力供应商流向消费者。
而现在,太阳能装置允许消费者在自己家中发电并输送给电网,并通过电力供应商去满足其他用户的电力需求。
储能系统允许住宅用户储存来自电网或者其他太阳能装置的电力,以供后续使用。
此外,消费者可以运用智能设备(比如恒温控制器)来管理其电力消耗。
美国审计署被要求提供相关技术使用和部署信息,这些技术使消费者能够生产、储存和管理电力。
本报告内容包括:
(1)联邦和各州关于促进此类技术部署的主要法律法规;
(2)这些技术的部署程度;
(3)部署这些技术所带来的收益与面临的挑战。
美国审计署分析了美国能源信息管理局(EIA)的技术部署数据,审查了相关报告和管理文件,并对46个政府机构和有关组织中抽取的特定人员进行了访谈。
这些人员包括州立监管机构和5个州(亚利桑那州、加利福尼亚州,夏威夷州,明尼苏达州和纽约州)中至少一个电力供应商,人员选择基于州政策和较高的技术部署水平。
联邦政府和州政府的决策者已经采取了一系列政策措施来鼓励部署太阳能装置和其他技术,这些部署和技术使居民用户能够生产、储存和合理管理其电力消耗。
例如,联邦税收优惠政策(如投资税收抵免)降低了用户安装太阳能装置的前期成本。
另外,能源部资助的可再生能源奖励数据库表明41个州拥有净计量政策,净计量政策要求电力供应商对能够把电力从太阳能装置传输到电网的用户提供额外激励。
此外,数据库显示,在14个州中,用户安装太阳能装置还可享受本州税收抵免,从而进一步降低前期成本。
根据美国审计署对美国能源信息管理局的数据分析,某些州的太阳能装置部署数量明显增加,2010年至2015年,太阳能装置用户总数增长了7倍。
然而,美国能源信息管理局的数据显示,太阳能装置用户在整个电力用户人群中,所占比重依然很小,2015年美国使用太阳能的居民用户仅为0.7%。
每个州的太阳能装置用户数量都有所增长,在某些州,如加利福尼亚州和夏威夷州,增加更快,且部署更广泛。
美国能源信息管理局的数据显示,夏威夷州大约14%的住宅已经安装了太阳能装置。
虽然缺乏电力存储设备和智能设备部署的综合数据,但受访者表示其部署确实有限。
正如美国审计署在分析报告和与利益相关者访谈中所发现的那样,太阳能装置和其他技术的进一步部署带来了潜在的收益但也加大了挑战,一些决策者已经实施或正在考虑采取措施解决相关问题。
具体来说,这些技术可以通过更高效的电网运行来获得潜在收益,比如,客户在用电高峰期时使用这些技术,将减少对电网电力的消耗。
尽管如此,电力运营商在接受美国审计署审计时依然表示,随着太阳能装置的增加,部分地区已经开始面临电网管理挑战及其带来的其他问题。
例如,在夏威夷州的某些地区,太阳能装置已经能够制造出超过电网设计容量的电力,这就要求必须在这些地区进行基础设施升级。
不过,电网运营商报告说,由于太阳能装置的整体部署率一直很低,所以该种挑战大多是可控的。
一些州的决策者已经实施或正在考虑采取措施,最大限度地发挥潜在利益,同时将随之而来的挑战最小化。
例如,已有两个州的监管机构要求电力供应商识别出太阳能及其相关技术对电网运行最有利的区段。
此外,几个州的监管机构最近允许电力供应商自愿采用错峰电价,在用电高峰期增加电价,促使用户使用太阳能、储能和其他技术,从而减少高峰时段的电力消耗。
私人存款保险:
信用合作社大部分遵守
披露规定,但规定应当清楚明确
《联邦存款保险法》要求私人保险信用社向消费者公开披露其没有参加联邦存款保险的情况,消费者金融保护局(CFPB)已经颁布实施了相关法规。
《美国道路交通修理法案》中有一项规定,授权美国审计署对私人存款保险公司和私人保险信用社遵守公开披露的情况进行审查。
本报告:
(1)讨论了独家私人保险公司——美国安全保险控股有限公司(ASI)的监管和其他评估情况;
(2)审查私人保险信用合作社对披露要求的遵守程度。
美国审计署审查了联邦和州监管机构,美国安全保险控股有限公司管理部门和美国安全保险控股有限公司第三方精算公司的文件,并对有关人员进行了访谈。
美国审计署审查了精算公司使用的一些关键方法和假设。
美国审计署还分析了私人和联邦保险信用社的监管评级(2006年至2015年)和财务数据(2011年至2015年)。
另外,美国审计署还对所有102个属于私人保险信用社的网站进行了审查,对47个信用合作社进行了实地暗访(主要依据资产规模和地理位置进行选择),并查阅了其中36个合作社的现有资料。
约2%的信用社(125家)购买了私人存款保险,且所有保险均由美国安全保险控股有限公司提供。
监管结果和其他评估表明,美国安全保险控股有限公司资金储备充足,有很强的能力对其参保的信用合作社进行损失赔偿。
最近由其主要监管机构(俄亥俄州保险局)对美国安全保险控股有限公司的审查表明,美国安全保险控股有限公司的损失金准备充足适当且符合法律要求。
美国安全保险控股有限公司雇用的独立精算公司报告称,在不同的经济情况下,美国安全保险控股有限公司具有很强的能力来赔付损失。
俄亥俄监管机构和精算公司均注意到了可能影响美国安全保险控股有限公司财务状况的风险因素,包括宏观经济变化或其担保的最大信用合作社发生重大损失。
在财务困难的情况下,俄亥俄州法律允许美国安全保险控股有限公司利用其他资金来源,包括信用额度和被保险信用社的特别税。
私人保险信用社大部分按照消费者金融保护局的要求披露其没有购买联邦存款保险。
例如,美国审计署检查的47个信用合作社中,有45个在服务窗口披露的情况符合要求,并且根据需要,美国审计署检查的102个网站中有99个网站的主要页面上按规定披露了该信息。
然而,美国审计署访问的17个有免下车办事窗口标识的信用合作社中,其中7个在这些窗口没有披露标志。
此外,36个信用合作社的印刷材料(如小册子和宣传单)中8个没有披露标识。
法案要求所有广告均需包含披露内容,但没有明确广告的构成要素。
某些情况下,披露标志或文字尺寸太小,或未放置在显眼位置,导致无法看清。
消费者金融保护局关于私人投保信用合作社的披露规定没有明确标识的尺寸大小或字号,没有明确的披露要求,国家信用监管机构和信用合作社对披露要求的解释可能不一致,这些均可能导致一些消费者对于存款没有参加联邦保险的情况不知情。
美国审计署建议消费者金融保护局发布私人保险信用合作社的指导意见,比如澄清是否在免下车服务窗口披露,描述如何披露更加清楚明白(包括最小标牌尺寸和字体大小),解释并提供利用通信设备做广告的示例。
消费者金融保护局采纳了上述建议。
海洋环境:
联邦政府和州政府对废弃船只
所采取的处理行动、费用支出情况和面临的挑战
废弃船只(ADVs)可能堵塞航道,对环境、公共卫生和公共安全造成威胁,因为燃料和危险物质会随着船体的老化渗滤到水中。
多个联邦机构都有责任应对与废弃船只有关的事件,而各州也能通过自己的法律和政策应对此类问题。
美国审计署审查联邦机构和州政府采取的行动。
本报告内容是关于:
(1)指出联邦机构处理废弃船只的关键因素;
(2)联邦机构跟踪废弃船只的程度及应对费用支出情况;
(3)州政府采取的措施及其对处理结果的影响因素。
美国审计署查阅了处理废弃船只的相关法律和政策,这些法律政策规定了海岸警卫队、美国环境保护署(EPA)、美国陆军工程兵团(USACE)、美国国家海洋和大气管理局(NOAA)和美国联邦紧急事务管理局(FEMA)的行动,美国审计署还分析了这些机构2005年到2015年间的最新可获得数据(关于废弃船只待处理案件和费用支出情况)。
美国审计署访问了相关机构的总部,也与分布在4个州野外基地的官员进行访谈,野外基地根据地理多样性和不同州对废弃船只的法律和行动确定。
美国审计署还对30个沿海废弃船只的处理行动、费用支出情况和面临的挑战进行了调查。
联邦机构根据联邦法律、机构间协议和可用资金等对废弃船只进行处理。
联邦法律和国家应急计划,即应对石油和有害物质排放的政府计划确立了联邦机构的领导地位,联邦机构根据各种因素(如废弃船只所造成的威胁类型及其位置)针对废弃船只相关事件作出处理(详见下图)。
机构间协议也有助于指导联邦政府行动。
例如,2012年,美国海岸警卫队与陆军工程兵团签署了一项协议,确定了应对航行障碍的程序(包括由沉船造成的障碍)。
各联邦机构报告说,他们没有资金用来处理废弃船只在联邦所辖水域之外造成的航行堵塞、污染和公共卫生威胁,联邦法律或政府政策也没有要求他们这样做。
联邦机构对废弃船只的主要处理措施
注释:
如果责任方(即船主、承租人或经营者)无法确定或无力采取行动,相关机构可以接手处置。
在海岸警卫队、美国环境保护署、美国陆军工程兵团、美国联邦紧急事务管理局、美国国家海洋和大气管理局处理美国水域污染和航行障碍的相关文件中,有时会涉及废弃船只。
美国审计署经过分析,证实这些机构从2005财年至2015财年在处理废弃船只上至少花费了5800万美元。
2008年和2011年,三分之二以上的费用支出与处理废弃船只事件相关。
接受美国审计署调查的28个沿海州报告了他们对废弃船只采取的各种行动,以及影响其处理废弃船只的因素,包括本州职权限制和资金不足等方面。
美国审计署在本报告中并未给出建议。
各个机构对报告草案提出了技术性意见,美国审计署已酌情纳入了本报告中。
附件:
美国审计署审计报告目录(2017年3月发布)
2017年3月,美国审计署共发布审计报告和证词共59份,题目翻译如下,其中标黑部分为本期要览编译部分。
一、3月1日发布
1.海军造船项目:
需证明定额合同的合理性,并研究增加激励机制的有效性
2.低收入房产税贷款:
企业联合组织的作用
二、3月2日发布
3.抗生素:
美国食品药品管理局(FDA)推进了相关工作,但还需要明确指南草案的作用,并开发合格的传染性疾病药品指南
4.历史上未经商业开发地区(SUBZone)项目:
重大缺失已整改,但仍存在不足
5.承包商举报保护飞行员项目:
需做出一些改进以提高执行的有效性
6.联邦不动产:
政府的房屋处置相关数据逐步完善,但仍有一定改善空间
7.核监管委员会:
监管费用核算亟待公开透明
三、3月3日发布
8.国际援助:
相关机构应提高项目评估的质量和宣传
四、3月7日发布
9.退伍军人医疗保障:
对于退伍军人医疗选择项目的初步观察
10.退伍军人事务管理部建设:
需要改进程序,监控合同修订、建立日程表和估算费用
五、3月8日发布
11.移民投资项目:
职业目标区域投资项目
12.能源部:
超量铀转移
13.核监管委员会:
预算结构和理由的变化
14.2016报税季:
国税局提升电话服务,但需要更好地帮助身份诈骗的受害者,防止退款流到骗子手中
六、3月9日发布
15.放射源:
联邦机构亟须加强运输安全
16.工作场所安全与健康:
美国职业安全与卫生管理局(OSHA)有关工作场所危险的职工培训
17.合同数据分析:
评估政府的趋势
七、3月10日发布
18.国防部:
退役军人的医疗状况和保障
八、3月13日发布
19.政府采购:
据称美国与其他国家相比,对外国公司开放了更多的机会,但亟须数据支持
九、3月14日发布
20.华盛顿大都会区域运输局:
更好地规划未来重建项目,以避免安全运输项目的局限性
十、3月15日发布
21.电力:
22.退伍军人医疗保障:
提出对于高风险定点单位的担心,目前进展有限
23.健康信息技术:
卫生部应当评估其在加强病人接触和使用健康电子信息方面的有效性
十一、3月16日发布
24.移民权益系统:
移民局判决和案件管理系统存在重大风险
25.抗生素的耐药性:
亟须更多信息用以监督重要药物在食用动物上的使用
26.研究和开发:
能源部的行动和监督投资的成本
27.国防后勤:
改进评估资产可见性举措所需的绩效措施和信息
28.使馆建设:
国家需采取更好措施评价新计划的实施
十二、3月20日发布
29.国家公园服务:
优惠方案已经做出一些修改,但挑战仍
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 国外 审计 动态