北京財貿(mào)職業(yè)學院 周 梅 徐耀慶

IS審計流程在COBIT過程域中的實現(xiàn)

北京財貿(mào)職業(yè)學院 周 梅 徐耀慶

隨著以ERP為代表的組織（企、事業(yè)單位）IS（Information System，信息系統(tǒng)）的應用和普及，組織管理層越來越關注IS與公司業(yè)務戰(zhàn)略的一致程度，IS本身的安全性、可靠性與機密性。美國《薩班斯——奧克斯利法案2002》（簡稱SOX法案）對評估組織的IT控制提出了很高的要求。從2011年開始，中國境內(nèi)所有新上市的公司必須遵守中國的SOX法案。SOX法案要求上市公司選擇并實施公認的內(nèi)部控制框架，如COSO內(nèi)部控制整體框架。該法案把增強組織業(yè)務流程管理及支持IS的內(nèi)部控制整體水平作為目標，直接導致IS審計在中國企業(yè)界的飛速發(fā)展。

IS審計是指審計內(nèi)容中包含了對自動化信息處理系統(tǒng)、相關手工流程及兩者間接口進行全部或部分檢查及評價的任何審計。IS審計與傳統(tǒng)的財務審計、績效審計一樣，稱為審計的一個重要分支，這三類審計的交集即為綜合審計。業(yè)務流程對信息技術(shù)的依賴，使得傳統(tǒng)的財務審計和運營審計必須理解IT控制結(jié)構(gòu)，IS審計師也必須理解業(yè)務控制結(jié)構(gòu)。綜合審計關注風險。風險分析的目標是理解和識別由企業(yè)及其環(huán)境引起的風險和相關的內(nèi)部控制。在這個階段，IS審計師的職責是理解和識別信息管理、IS基礎設施、IT治理和IS運營等領域的風險，其他專業(yè)審計師則要了解組織環(huán)境、業(yè)務風險和業(yè)務控制。詳細審計工作關注已存在的管理這些風險的相關控制。IS審計通常是預防和檢查性控制的第一道防線，綜合審計則合理評估其效果和效率。實務界通常把IS審計當作一個專項審計對待，采用規(guī)范的項目管理方法和技術(shù)來實施。IS審計的通用流程一般為獲取、評價、符合性測試和證明。

COBIT（信息及相關技術(shù)控制目標，Control Objectives for Information and Related Technology）提供了一個IT治理框架，以確保IS與業(yè)務保持一致，IS促使業(yè)務實現(xiàn)利益最大化，IT資源得到有效使用以及IS風險得到適當管理。COBIT框架通過域和流程控制來提供最佳實踐，并采用易于管理的邏輯結(jié)構(gòu)描述活動。COBIT最佳實踐代表了專家意見。COBIT4.1把34個IT控制流程組合到四個控制域中：計劃與組織（PO）、獲取與實施（AI）、交付與支持（DS）、監(jiān)督與評價（ME）。這34個控制流程又可進一步細分為310多個詳細控制目標，這些詳細的控制目標為應當實施何種具體的控制措施提供了參考。在“計劃與組織（PO）”過程域的控制流程有13個，第一個是PO1，即定義組織IT戰(zhàn)略計劃。以下為PO1為例，詳述IS審計流程的實現(xiàn)。

PO1的高級控制目標是控制IT過程——定義IT戰(zhàn)略計劃，以滿足信息技術(shù)機會與IT業(yè)務需求的最佳平衡，同時確保其將來能實現(xiàn)。PO1的控制目標均可通過以下四個流程來進行審計：

一、獲取對業(yè)務需求有關的風險以及對相應控制措施的理解

IS審計師通過調(diào)研，將控制目標下的相關活動用文檔記錄下來，對組織聲稱已實施的控制措施與程序進行識別，并且確認其存在。與相關的管理者和員工進行會晤，以理解業(yè)務需求和相關的風險、組織結(jié)構(gòu)、角色和職務、政策和程序、法律和法規(guī)、已有的控制措施和管理報告（狀態(tài)、性能、行動項目）等。

在PO1中，IS審計師通常用文檔記錄與過程相關的IT資源，特別是那些被審計的IT過程所影響到的IT資源。確認理解了待審核的過程，過程的關鍵性能指標KPI、實際的控制情況。例如：（1）會見組織的CEOCOOCFOCIOIT策劃、指導委員會成員，IT自身管理人員和人力資源部門的職員；（2）搜集與策劃過程有關的政策與程序，執(zhí)行管理層的指導角色與職責；組織目標、長期計劃與短期計劃；IT的目標、長期計劃與短期計劃，狀態(tài)報告、策劃、指導委員會會議累計用時等信息。

二、評價組織已有控制的適宜性

IS審計師通過考慮IT或業(yè)務政策和程序是否使用了結(jié)構(gòu)化的計劃編制方法，對組織采取的控制進行評價。這種方法用來明確的表達和修改計劃，并且計劃中最少要包含組織使命與目標、支持組織使命與目標的IT初始階段、IT初始階段的時機、對IT初始階段的可行性研究、對IT初始階段的風險評估、最佳的當前與將來的IT投資、對IT初始階段進行再工程，以適應企業(yè)使命與目標的變化、對可選的數(shù)據(jù)應用，技術(shù)和組織戰(zhàn)略的評價等。在PO1中具體的評價內(nèi)容包括：（1）組織變革、技術(shù)進步、需求調(diào)整、業(yè)務流程重組，人員配置，內(nèi)部的外包項目等在計劃制定過程中是否得到了考慮和充分的表述。（2）IT項目是否有合適的文檔支持，這些文檔在IT計劃編制方法中有規(guī)定；安排有檢查點，以確保IT目標、長期和近期計劃持續(xù)滿足組織的目標、長期和近期計劃。（3）過程所有者與資深管理層是否評審和簽署IT計劃。書面評審文件中是否存在IT計劃評估現(xiàn)有信息系統(tǒng)，使用業(yè)務自動化程度、功能性、穩(wěn)定性、復雜性、成本、優(yōu)勢和不足的術(shù)語。（4）組織是否存在信息系統(tǒng)和其支撐基礎的長期計劃的缺乏，導致不能支持企業(yè)目標和業(yè)務過程，或者無法保證合適的完整性、安全性和控制。

三、通過符合性測試，評估規(guī)定的控制是否一致地、持續(xù)地起作用

對組織符合規(guī)定的控制程序的程度進行分析，把實際的控制程序及補償性控制缺失與規(guī)定的程序進行對比，并進行文檔檢查、會無相關人員，以判斷控制是否被正確地、持續(xù)地實施。只對被證明有效的控制程序進行符合性測試。在PO1中，IS審計師通過測試IT（策劃）指導委員會會議的分鐘數(shù)，以反映策劃的過程；計劃編制方法中的輸出是存在的，并且符合規(guī)定；IT長期和近期計劃包含相應的IT初始階段（即硬件計劃、容量計劃、信息體系結(jié)構(gòu)、新系統(tǒng)開發(fā)和采購，災難恢復計劃，新的處理平臺的安裝等）；IT初始階段支持長期和近期計劃，并考慮了研究、培訓、人員、配備、硬件和軟件的要求；已經(jīng)識別到IT初始階段的技術(shù)含量；考慮到了優(yōu)化目前與未來的IT投資；IT的長期和短期計劃與組織的長期和近期計劃，組織需求一致；計劃得到了修訂以反應條件的變化；IT長期計劃定期被轉(zhuǎn)化為短期計劃；存在執(zhí)行計劃的任務，得到所選項目和階段的直接或間接的證據(jù)，使用直接或間接的證據(jù)，來保證待審核的項目和階段一直遵守相關控制程序的要求。對過程或結(jié)果的充分性進行有限的審核。

四、證明未滿足控制目標的風險確實存在

通過分析技術(shù)和可選的信息資產(chǎn)進行實質(zhì)性測試，證實控制目標沒有被實現(xiàn)時所帶來的風險。該階段實質(zhì)性測試的目標是支持其審計判斷，并敦促管理者采取行動。IS審計師要創(chuàng)造性地尋找和提出通常是敏感的機密的信息，用文檔記錄下控制弱點及其引起的威脅和漏洞，識別并記錄實際的影響和潛在的影響，例如利用因果分析的方法，提供比較信息，例如，通過基準比較的方法來完成具體的實質(zhì)性測試目標。在PO1中，IS審計師通常通過執(zhí)行和識別兩個步驟來實現(xiàn)。（1）執(zhí)行。執(zhí)行戰(zhàn)略IT計劃的基準測試，參照類似的組織作為國際標準、已被認可的工業(yè)最佳實踐。對IT計劃的詳細評審，以確保IT初始階段反映了組織的使命與目標。對IT計劃的詳細評審，已決定組織已知的薄弱環(huán)節(jié)，是否已被計劃中的IT解決方案作為一部分進行改進。（2）識別。識別組織IS中不滿足組織使命和目標之處，IS中短期計劃與長期計劃不一致之處，不符合近期計劃的IS項目，IS項目中不符合成本和時間指導方針之處，錯失的商業(yè)機會以及錯失的IT機會等。

綜上所述，IS審計師通過獲取、評價、符合性測試和實質(zhì)性測試四個流程階段，對組織的IT戰(zhàn)略規(guī)劃過程做出評估，并據(jù)此提出管理建議，以確保IT作為組織長期計劃與短期計劃的一部分，并從根本上始終保持與企業(yè)業(yè)務戰(zhàn)略的高度一致性。

［1］中國銀監(jiān)會：《銀行業(yè)金融機構(gòu)信息系統(tǒng)風險管理指引》（2006）。

［2］中國內(nèi)部審計協(xié)會：《信息系統(tǒng)審計準則》（2008）。

［3］http://www.isaca.org/cobit4.1 frameworks/[EB/S]2010-11-6.

［4］陳朝：《我國信息化建設中信息系統(tǒng)審計問題研究》，東北師范大學2006年碩士學位論文。

［5］呂凡：《計算機輔助審計研究》，武漢大學2005年碩士學位論文。

［6］陳婉玲、楊文杰：《ISACA信息系統(tǒng)管理準則及其啟示》，《審計研究》2006年第S1期。

［7］吳炎太：《COBIT控制思想在信息系統(tǒng)建設中的應用》，《財會通訊》（綜合版）2009年第7期。

（編輯 余俊娟）