TCQAE信息化项目绩效审计规范（-2024）

ICS35.020

CCSA20/39

团体标准

T/CQAE*****—****

信息化项目绩效审计规范

Specificationforperformanceauditofinformationproject

（报批稿）

XXXX-XX-XX发布XXXX-XX-XX实施

中国电子质量管理协会发布

信息化项目绩效审计规范

1范围

本文件规定了信息化项目绩效审计的目标与内容，规定了信息化项目绩效审计机构服

务能力要求。

本文件适用于以下范围：

a)开展信息化项目绩效审计的相关单位；

b)信息化实施类项目、运维类项目、购买服务类项目；

c)信息化项目的事前、事中、事后的绩效审计工作。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注明

日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本

（包括所有的修改单）适用于本文件。

GB/T22239信息安全技术网络安全等级保护基本要求

GB/T25070信息安全技术网络安全等级保护安全设计技术要求

GB/T34960.5信息技术服务—治理第5部分：数据治理规范

GB/T39786信息安全技术信息系统密码应用基本要求

3术语与定义

下列术语和定义适用于本文件。

3.1信息化项目（Informationproject）

以计算机、通信技术及其他现代信息技术为主要手段的信息传递、信息安全、信息存

储、信息应用等项目，包括新建、改建或者扩建的实施类项目、运维类项目和购买服务类

项目。

3.2绩效审计（Performanceaudit）

依据有关法律法规和标准，对项目活动的经济性、效率性、效果性进行客观、系统的

独立检查、评价与审计，并提出切实可行的审计建议。

3.3信息化项目绩效审计（Informationprojectperformanceaudit）

依据有关法律及本文件，对信息化项目实施过程开展实施前、实施中、实施后绩效审

计；对信息化项目的资金、资产、资源开展专项绩效审计。

4信息化项目绩效审计的目标与内容

4.1信息化项目绩效审计的目标

4.1.1合法合规性

审查信息化项目建设、运维和服务对法律法规及相关政策的遵从性。

4.1.2安全性

评估信息化项目中的安全体系建设情况。

4.1.3经济性

分析信息化项目中各类资金支出的合理性。

4

4.1.4效率性

衡量信息化项目投入与产出之间的比例关系。

4.1.5效果性

评价信息化项目的使用、应用、技术等方面的成果。

4.1.6效益性

预测信息化项目所产生的未来影响力。

4.2信息化项目绩效审计的内容

4.2.1信息化项目实施过程绩效审计内容

单个信息化项目的绩效审计内容，宜按照信息化项目实施过程开展绩效审计。各阶段

绩效审计重点内容如下：

a)实施前：项目立项、初步设计、采购及合同应符合相关法律法规、政策及标准要求；

项目设计应体现绩效目标。

b)实施中：项目进度、质量、成本控制应符合相关法律法规、政策及标准要求；审查

过程应关注项目安全体系的建立情况、项目合同的执行情况等。

c)实施后：项目运维与后评价应符合相关法律法规、政策及标准要求；项目综合绩效

应达到预期效果和效益。

4.2.2信息化项目专项绩效审计内容

对于一段时期多个信息化项目的绩效审计的内容宜从不同的物质形态：资金、资产和

资源三个方面开展专项绩效审计。各类专项绩效审计重点内容如下：

a)资金的专项绩效审计，宜包括资金使用是否规范、是否存在浪费情况等。

b)资产的专项绩效审计，宜包括资产的确认、管理、使用情况等。

c)资源的专项绩效审计，宜包括信息资源的采集、整合、利用情况等。

5信息化项目实施过程的绩效审计

5.1实施前绩效审计

5.1.1合法合规性

审查信息化项目立项、初步设计、采购及合同等过程文件，客观评估项目在遵守国家

法律法规、相关政策及单位内部控制制度方面的执行效果。重点关注以下内容：

a)项目立项。审查内容宜包括项目建议书、可行性研究报告。

b)初步设计。审查内容宜包括设计说明书、有关专业的设计图纸、主要设备或材料

表等初步设计文件。

c)采购。审查内容宜包括采购需求、招标和评标过程等文件。

d)合同订立。审查内容宜包括合同订立的流程、合同文本等文件。

5.1.2安全性

审查信息化项目安全设计及风险评估文档，宜包括信息化项目等级保护与计划、安全

漏洞或风险点情况、安全方案等文件，客观评价项目对等级保护的要求及安全防护的要求

的响应程度。

5.1.3经济性

审查信息化项目立项、初步设计及预算等文件，重点关注预算费用标准的科学性和合

理性，审查信息化项目需求设计与系统功能的一致性。

5

5.1.4效率性

审查信息化项目实施前预算使用率、招投标周期、项目整体实施周期、实施进度达成

率、工作效率的提升率、应用系统的便捷性等效率性指标的设置情况。

5.1.5效果性

审查信息化项目实施前业务系统稳定性、系统可用性、系统响应时间、效果提升、用

户满意度等效果性指标的设置情况。

5.1.6效益性

审查信息化项目实施前经济效益、社会效益、环境效益等效益性指标的设置情况。

5.2实施中绩效审计

5.2.1合法合规性

审查信息化项目实施、验收、资产交付等过程文件，客观评估项目在遵守国家法律法

规、相关政策及单位内部控制制度方面的执行效果。重点关注以下内容：

a)项目实施。审查内容宜包括信息化项目标的、技术、服务内容、标准的执行情况，

确认其与计划安排或合同约定的一致性。

b)项目验收。审查内容宜包括项目完成报告、验收测试报告、质量保证文档、合同履

行证明文件等，重点关注项目规划目标的落实情况。

c)资产交付。审计内容宜包括竣工财务决算报告、资产交付记录、产权办理文件等，

重点关注资产交付与计划、合同约定的一致性。

5.2.2安全性

审查内容宜包括信息系统安全管理体系的建立情况和信息系统安全等级保护的遵循情

况，重点关注与项目目标一致的安全增强和风险缓解策略、各项安全标准的履约情况。

5.2.3经济性

审查项目实施阶段各项支出合理性,评估对现有资产利旧情况、资产交付成本准确性。

项目支出应遵循前期规划文件要求,如有变更需书面文件或补充协议,确保变更过程透明可

追溯,变更金额控制在原合同10%以内。

5.2.4效率性

审查项目推进的及时性，以及按照合同约定的进度执行情况。宜在规定时间内完成项

目竣工决算报告，及时办理资产交付手续，并依据批复的项目竣工财务决算及时进行账务

调整。

5.2.5效果性

5.2.5.1使用效果

审查项目实施过程中业务系统的稳定性和响应时间，应在关键时刻提供可靠服务并迅

速响应用户需求，确保初验、试运行和终验的有效执行。

5.2.5.2应用效果

评估项目进度、成本控制、信息安全和质量管理，以及在项目实施、验收和资产交付

过程中的风险管理和供应商性能，应满足业务需求和企业运营目标。

5.2.5.3技术效果

检查技术集成和优化与预定目标的一致性、评价技术实施对业务流程的优化效果，评

估前期设定的技术和商务目标在整个项目实施过程中达成度。

6

5.2.6效益性

5.2.6.1管理效益

审查项目的组织管理和过程控制，评估项目对提升未来管理水平和决策能力的潜在影

响。

5.2.6.2资产效益

评估资产的长期价值，包括资产对提升服务质量、增加客户满意度和促进创新的潜力。

5.3实施后绩效审计

5.3.1合法合规性

审查信息化项目运维和项目后评价等过程文件，客观评估项目在遵守国家法律法规、

相关政策及单位内部控制制度方面的执行效果。重点关注以下内容：

a)项目运维。审查内容宜包括运维目标、运维对象、运维内容、运维要求、交付要求

及考核要求。

b)项目后评价。审查内容宜包括项目的建设情况及使用情况、项目资产使用情况、

项目资源使用情况、信息安全情况、故障情况、运维情况等。

5.3.2安全性

5.3.2.1安全体系

审查项目安全体系的完整性。应建立全面的信息安全管理体系，包括政策、程序和控

制措施的实施情况，安全等级保护标准的落实情况。

5.3.2.2安全控制

审核安全控制措施的执行情况，如网络与通信安全、身份鉴别、访问控制、恶意代码

与入侵防范、应用与数据安全、安全监控等。

5.3.2.3安全事件管理

评估对安全事件的响应机制，包括事件监测、报告、调查和应对措施。

5.3.2.4持续改进

检查安全体系中持续改进的措施，如定期审查和更新安全策略及控制。

5.3.3经济性

审查运维期间费用的合理性，以及建设期、运维期的成本效益状况。

5.3.4效率性

审查管理人员在项目实施后的工作流程优化情况和资源配置效率，分析系统实施后服

务对象的接入速度和使用便捷性，评估维护团队对系统的响应时间和故障处理速度。

5.3.5效果性

5.3.5.1使用效果

审查项目建设完成情况，评估信息系统的稳定性及响应时间，检查系统在关键时刻的

服务可靠性和响应速度。

5.3.5.2应用效果

分析信息系统的可用性和用户满意度，系统应满足用户在实际业务环境中的操作和性

能要求。

7

5.3.5.3技术效果

评价技术实施对业务流程效率的提升，技术部署应达到提高工作效率和业务成果的目

标。

5.3.6效益性

5.3.6.1经济效益

评估项目建设对经济发展的推动，包括新的商业机会、创新与创业的促进，以及对经

济增长和竞争力的提升。

5.3.6.2社会效益

评估项目对社会发展的影响，包括社会运行秩序的改善、公共服务的普及程度及其对

多样化公众需求的满足。

5.3.6.3能力建设及可持续影响

评估项目对基础设施建设、数据共享、人才队伍建设和公共治理改善的贡献，以及这

些改进对长期可持续发展的影响。

5.3.6.4环境效益（生态效应）

评估项目对生态环境的影响，包括对植被覆盖、水土流失防治、废弃物治理、节能减

排及生态平衡的贡献。

6信息化项目专项绩效审计

6.1资金的绩效审计

6.1.1合法合规性

审查信息化项目资金的筹措、使用和管理文件，客观评估这些资金在遵循国家法律法

规、相关政策和单位内部控制制度方面的执行情况。重点关注以下内容：

a)筹资与预算编制。审查内容宜包括预算编制依据的充分详实性、资金来源和筹措程

序的合规性、预算编制的符合性。

b)资金使用。审查内容宜包括项目各项资金支出与预算批复的一致性。重大开支需

经评估认证,实行绩效责任追溯。

c)项目结余资金管理。审查项目结余资金的处理流程，评估工程款项结算和资金管理

合法合规性。

6.1.2安全性

6.1.2.1组织设置

审查内容宜包括资金安全保障措施、专门的保障资金安全部门或岗位的设置情况、不

相容职务的分离，以及评估内部控制措施的有效性。

6.1.2.2制度保障

审查内容宜包括项目资金管理制度的建立情况，评估资金分级授权审批制度和联签制

度的规范性，评估资金安全预警制度的建立，以及内审部门在资金安全监督方面的活动。

6.1.2.3安全教育

评估资金安全意识的普及程度，包括员工资金安全意识考察和培训教育的系统性及其

记录的完整性。

8

6.1.3经济性

评估资金使用与项目规划设计一致性，支出应按预算严格执行。财务变更需书面说明,

金额应控制在合同规定10%以内。结余资金的使用应与新项目计划或预算相结合，提高财

务管理透明度和可追溯性。

6.1.4效率性

审查资金使用与项目任务进度的匹配性；资金到位率及资金执行率应达到项目设定的

标准及要求；资金使用额度应与年度目标相适应；可通过完善的资金管理制度与流程，来

提高资金使用的效率。

6.1.5效果性

资金使用应有效提高信息化项目的应用范围、使用率；资金使用应有助于促进信息化

管理水平提升；资金使用应显著促进信息化项目的科技含量。

6.1.6效益性

审查内容宜包括项目效益目标挂钩的预算管理机制，资金使用管理对项目预期效益的

实现度，资金管控措施对于规范化运作、费用节约的作用。

6.2资产的绩效审计

6.2.1合法合规性

审查信息化项目资产确认、资产管理、资产的配置与使用等过程文件，客观评估项目

在遵守国家法律法规、相关政策及单位内部控制制度方面的执行效果。重点关注以下内容：

a)资产确认。审查评估硬件设备的采购成本、折旧与型号规格的核实，软件资产的版

权归属与使用合法性，以及数据资产确认的时点和来源的合法性。

b)资产管理。审查入库登记、监控和维护保养、资产台账登记等文件，评估资产准

确登记与安全管理的执行情况，如实反映资产现状、价值和变动。

c)资产配置与使用。审查硬件和软件资产配置情况，应符合国家法规和政策要求，优

先支持国产化产品，保证资产来源和使用过程的合法性；数据资产的使用，应强化管理和

监督，评估数据的安全、有效和合法使用情况。

6.2.2安全性

6.2.2.1硬件设备防护

审查探测报警、接地保护、防砸外壳等措施的采用情况，评估硬件设备和部件的安全

性。

6.2.2.2软件保护

审查更新系统和软件补丁、定期数据备份、安全日志、定期更新操作系统等软件保护

措施的采用情况，评估系统的稳定性。

6.2.2.3数据保护

审查数据加密、访问控制、数据隐私、安全监测、数据备份和恢复、漏洞扫描等措施

的采用情况，识别系统中存在的安全隐患和可能存在的漏洞，评估应对措施的准确性与及

时性。

6.2.3经济性

审查资产利用的充分性与使用的合理性，包括：合理配置和管理资产，最大化资产的

使用价值和效能，避免资源浪费；通过维护和合理使用，延长资产的使用寿命，从而减少

频繁更换的成本。

9

6.2.4效率性

6.2.4.1资产投资回报率

审查信息化硬件资产的回报率，评估资产投入后是否达到或超过规划阶段设定的预期

收益目标，促进优化资产配置。

6.2.4.2资产使用率

监控信息化资产的实际使用情况，根据需求和业务调整资源配置，强化资产维护，提

高资产的使用效率。

6.2.5效果性

6.2.5.1资产建设完成情况

审查资产建设的实际完成情况，包括资产登记信息、使用状况、使用年限、运行状态

及运用的技术标准，评价资产建设的目标达成度，以及其给内部和外部带来的便利。

6.2.5.2资产维护保养情况

审查资产的维护保养记录，包括管理计划和技术文件的真实性，评估定期维护活动的

实施效果，检查资产使用的合格性及安全隐患，以及安全措施的执行情况。

6.2.6效益性

6.2.6.1经济效益

审查硬件资产、软件资产和数据资产的配置，评估这些资产配置如何通过提高服务效

率和减少运营成本来提升经济价值。

6.2.6.2社会效益

审查信息化资产在提升公共服务质量、提高用户满意度及促进社会包容性方面的贡献。

6.2.6.3可持续影响效益

审查信息化资产在促进节能减排和可持续发展方面的实践，包括采用低能耗技术和可

再生能源的情况。

6.2.6.4数据效益

审查项目中数据资产的利用率，包括业务数据化、实体归一化、数据资产化和数据服

务化的实施情况，评估这些措施如何实现数据资产的最大化利用。

6.3资源的绩效审计

6.3.1合法合规性

审查信息化项目资源的立项管理与共享管理情况，客观评估项目在遵守国家法律法规、

相关政策及单位内部控制制度方面的执行效果。重点关注以下内容：

a)立项管理。审查信息化项目立项过程中对信息化资源的调研情况，包括立项依据、

资源配置测算依据、资源管理、资源运行维护方案等，用以反映和考核项目立项的规范情

况。

b)资源共享管理。审查信息化项目的资源共享管理情况，包括资源目录建设、资源

共享制度、信息化资源共享应用等，用以反映信息化资源共享管理的规范情况。

6.3.2安全性

6.3.2.1系统资源

审查信息化项目建设中形成的系统管理情况，包括资源重要程度、安全风险、安全保

10

护等级、GB/T22239《信息安全技术网络安全等级保护基本要求》对系统等级保护测评要

求的落实情况等。

6.3.2.2网络资源

审查信息化项目建设中形成的网络配置情况，包括采购程序、带宽容量、GB/T25070

《信息安全技术网络安全等级保护安全设计技术要求》对网络保护要求的落实情况等。

6.3.2.3密码资源

审查信息化项目的密码测评情况，包括密码应用与安全评估、密码产品和服务的采购

程序、对GB/T39786《信息安全技术信息系统密码应用基本要求》要求的落实情况等。

6.3.2.4数据资源

审查信息化项目建设中形成的数据资源，包括数据分类分级、数据治理及管理制度、

数据备份和恢复机制、GB/T34960.5《信息技术服务—治理第5部分：数据治理规范》对数

据治理要求的落实情况等。

6.3.3经济性

审查信息化项目的投入与产出的合理性和有效性，包括信息化资源的造价、采购程序、

使用和管理情况等。

6.3.4效率性

6.3.4.1资源的集约化开发和部署情况

审查资源集约化开发及部署是否达到预定目标，包括立项规划的集约化部署资源的实

现情况、云服务模式、数据中心建设、资源集中部署情况等。

6.3.4.2网络资源

审查网络资源的带宽、延迟、丢包率等性能指标是否达到预定目标，包括立项规划的

网络资源目标、网络覆盖率、稳定性（丢包率）、可用性等。

6.3.4.3计算资源

审查处理器的计算速度、内存的读写速度、系统的并发处理能力是否达到预定目标，

包括立项规划的计算资源目标、计算速度、并发处理能力等。

6.3.4.4存储资源

审查存储设备的读写速度、数据的存储容量、备份和恢复效率是否达到预定目标，包

括立项规划的存储资源目标，明确存储容量、数据的可用性、可恢复性。

6.3.4.5监控资源

审查监控设备和系统的监控范围、精确度、响应速度是否达到预定目标，包括立项规

划的监控资源目标，明确监控覆盖率、监控误差率、监控策略执行率等。

6.3.5效果性

6.3.5.1资源建设满意度

审查信息化项目资源建设完成后用户的评价满意度，明确资源建设应用成效的实现情

况。

6.3.5.2资源配置

审查信息化项目资源在立项设计阶段的配置计划与实际配置的情况，明确资源配置数

11

量、标准、系统调用等情况。

6.3.5.3资源共享

信息化项目资源建设完成后各下属单位对共享资源的使用情况，明确资源跨系统应用

情况、共享资源使用率等。

6.3.6效益性

6.3.6.1经济效益

评估信息化资