周艷秋 章 雁

(上海海事大學(xué)經(jīng)濟(jì)管理學(xué)院，上海201306)

隨著信息技術(shù)在提高企業(yè)運(yùn)行效率中的應(yīng)用，使企業(yè)的信息系統(tǒng)更加龐大和復(fù)雜，這對(duì)企業(yè)有效地實(shí)施內(nèi)部控制提出了挑戰(zhàn)。網(wǎng)絡(luò)經(jīng)常掉線(xiàn)、服務(wù)器宕機(jī)、郵件發(fā)不出去、病毒肆虐、客戶(hù)資料被盜等事件時(shí)有發(fā)生，影響著企業(yè)的日常經(jīng)營(yíng)活動(dòng)。因此，在信息時(shí)代加強(qiáng)企業(yè)內(nèi)部控制，保護(hù)信息資源的安全、完整、真實(shí)，保證信息系統(tǒng)有效實(shí)現(xiàn)企業(yè)目標(biāo)日益成為現(xiàn)代企業(yè)關(guān)注的焦點(diǎn)。對(duì)于企業(yè)內(nèi)部控制的加強(qiáng)改善，傳統(tǒng)的做法是借助于公司治理，而IT治理作為公司治理中不可或缺的一環(huán)，通過(guò)加強(qiáng)企業(yè)的IT治理水平，就可以促進(jìn)其改善內(nèi)部控制水平。除此之外，還存在另一種提升企業(yè)內(nèi)部控制水平的方法——信息系統(tǒng)審計(jì)。它可以通過(guò)專(zhuān)業(yè)的第三方咨詢(xún)機(jī)構(gòu)幫助企業(yè)發(fā)現(xiàn)內(nèi)部控制體系的不足，并提供相應(yīng)的完善措施。

一、信息系統(tǒng)審計(jì)的概念

信息系統(tǒng)審計(jì)(IS audit)目前還沒(méi)有公認(rèn)的通用定義，國(guó)際信息系統(tǒng)審計(jì)委員會(huì)(ISACA)將其定義為“為了信息系統(tǒng)的安全、可靠與有效，由獨(dú)立于審計(jì)對(duì)象的信息系統(tǒng)審計(jì)師，以第三方的客觀立場(chǎng)對(duì)以計(jì)算機(jī)為核心的信息系統(tǒng)進(jìn)行綜合的檢查與評(píng)價(jià)，向信息系統(tǒng)審計(jì)對(duì)象的最高領(lǐng)導(dǎo)層，提出問(wèn)題與建議的一連串的活動(dòng)”。國(guó)際信息系統(tǒng)審計(jì)領(lǐng)域的權(quán)威專(zhuān)家Ron Weber將它定義為“收集并評(píng)估證據(jù)，以判斷一個(gè)計(jì)算機(jī)系統(tǒng)(信息系統(tǒng))是否有效做到保護(hù)資產(chǎn)、維護(hù)數(shù)據(jù)完整、完成組織目標(biāo)，同時(shí)最經(jīng)濟(jì)地使用資源”。具體而言，信息系統(tǒng)審計(jì)就是以被審計(jì)單位的信息系統(tǒng)為審計(jì)對(duì)象，通過(guò)現(xiàn)代審計(jì)理論和信息技術(shù)(IT)管理理論，從信息資產(chǎn)的安全性、數(shù)據(jù)的完整性以及系統(tǒng)的可靠性、有效性和效率性等多方面出發(fā)，對(duì)信息系統(tǒng)從研發(fā)、運(yùn)行到維護(hù)的整個(gè)生命周期的各個(gè)階段進(jìn)行審查，從而評(píng)價(jià)該信息系統(tǒng)能否滿(mǎn)足企業(yè)研發(fā)之初提出的需求，是否有效地達(dá)到了企業(yè)的戰(zhàn)略目標(biāo)，并從信息系統(tǒng)審計(jì)師的專(zhuān)業(yè)角度為改善和健全企業(yè)信息系統(tǒng)的控制提出建議的過(guò)程。

二、基于信息系統(tǒng)審計(jì)的功能分析

(一)確保IT能夠遵循并支撐企業(yè)的戰(zhàn)略目標(biāo)

《內(nèi)部審計(jì)具體準(zhǔn)則第28號(hào)——信息系統(tǒng)審計(jì)》中指出，審計(jì)人員在識(shí)別、評(píng)估組織層面、一般性控制層面的信息技術(shù)風(fēng)險(xiǎn)時(shí)需要關(guān)注業(yè)務(wù)關(guān)注度，即組織的信息技術(shù)戰(zhàn)略與組織整體發(fā)展戰(zhàn)略規(guī)劃的契合度以及信息技術(shù)(包括硬件及軟件環(huán)境)對(duì)業(yè)務(wù)和用戶(hù)需求的支持度。其實(shí)本質(zhì)上來(lái)說(shuō)，信息系統(tǒng)審計(jì)主要是審計(jì)企業(yè)信息化對(duì)企業(yè)整體戰(zhàn)略的支持程度、IT戰(zhàn)略和企業(yè)總體戰(zhàn)略的匹配程度、對(duì)其業(yè)務(wù)發(fā)展的支持程度、對(duì)企業(yè)內(nèi)部組織流程和業(yè)務(wù)流程所產(chǎn)生的影響以及能否促進(jìn)其業(yè)務(wù)系統(tǒng)效率的提高等。因此，可以通過(guò)信息系統(tǒng)審計(jì)發(fā)現(xiàn)并糾正企業(yè)信息化過(guò)程中存在的問(wèn)題，以確保組織信息系統(tǒng)的發(fā)展始終沿著正確的方向進(jìn)行，保持IT與業(yè)務(wù)目標(biāo)一致，最終借助IT推進(jìn)企業(yè)總體戰(zhàn)略目標(biāo)的實(shí)現(xiàn)。從這個(gè)層面上看，信息系統(tǒng)審計(jì)與企業(yè)內(nèi)部控制可謂是殊途同歸，都是為了更好地實(shí)現(xiàn)組織的戰(zhàn)略目標(biāo)。通過(guò)實(shí)施信息系統(tǒng)審計(jì)發(fā)現(xiàn)內(nèi)部控制是否有效，是否真正服務(wù)于企業(yè)總體目標(biāo)的實(shí)現(xiàn)。

(二)借鑒公認(rèn)的模型標(biāo)準(zhǔn)更全面有效地管控企業(yè)的整個(gè)運(yùn)營(yíng)過(guò)程

當(dāng)前國(guó)際上關(guān)于信息系統(tǒng)審計(jì)的模型雖然還沒(méi)有一個(gè)比較通用的標(biāo)準(zhǔn)，但各種不同的信息化評(píng)估模型都采用了COBIT、ITIL(BS15000/ISO20000)、ISO/IEC17799、IT項(xiàng)目管理、信息系統(tǒng)工程監(jiān)理以及平衡記分卡等工具模型的精髓。因此，其評(píng)估模型的周衍性、權(quán)威性和合理性都得到了保證。其中，COBIT模型目前已成為國(guó)際上公認(rèn)的IT管理與控制標(biāo)準(zhǔn)，并且已升級(jí)到COBIT5.0。COBIT覆蓋整個(gè)信息系統(tǒng)的全部生命周期，其范圍最大。仔細(xì)研究COBIT中各項(xiàng)具體內(nèi)容，不難發(fā)現(xiàn)，其本身就是企業(yè)信息化過(guò)程對(duì)內(nèi)部控制的要求及如何評(píng)價(jià)這個(gè)要求的實(shí)現(xiàn)(也就是實(shí)際意義上的對(duì)信息化下內(nèi)部控制的審計(jì));ISO/IEC17799標(biāo)準(zhǔn)則側(cè)重于IT應(yīng)用過(guò)程的信息安全;ITIL標(biāo)準(zhǔn)主要運(yùn)用在信息系統(tǒng)的運(yùn)營(yíng)維護(hù)階段;信息工程監(jiān)理則是最具有中國(guó)特色的標(biāo)準(zhǔn)，其標(biāo)準(zhǔn)偏重于信息化建設(shè)階段。它能夠通過(guò)專(zhuān)業(yè)的、全過(guò)程的監(jiān)督和管理來(lái)規(guī)范企業(yè)信息化工程的建設(shè)，達(dá)到增強(qiáng)企業(yè)對(duì)信息化工程建設(shè)內(nèi)部控制的目的。因此，可以將幾種標(biāo)準(zhǔn)整合起來(lái)實(shí)施，從而達(dá)到提升企業(yè)IT內(nèi)部控制能力的目的。

(三)通過(guò)對(duì)企業(yè)信息系統(tǒng)審計(jì)規(guī)避其內(nèi)部存在的風(fēng)險(xiǎn)

企業(yè)提升自身的內(nèi)部控制能力，就是要對(duì)風(fēng)險(xiǎn)進(jìn)行更有效地控制。信息系統(tǒng)審計(jì)是風(fēng)險(xiǎn)導(dǎo)向的審計(jì)，能夠?qū)π畔⑾到y(tǒng)的應(yīng)用狀況和綜合績(jī)效狀況進(jìn)行全面的評(píng)估。因此，信息系統(tǒng)審計(jì)所包含的內(nèi)容要大于信息系統(tǒng)治理所涵蓋的內(nèi)容。

由于信息系統(tǒng)審計(jì)的范疇相當(dāng)廣泛，包括信息安全、數(shù)據(jù)中心運(yùn)營(yíng)、技術(shù)支持服務(wù)、災(zāi)難恢復(fù)與業(yè)務(wù)持續(xù)、績(jī)效與容量、基礎(chǔ)設(shè)施、硬件管理、軟件管理、數(shù)據(jù)庫(kù)管理、系統(tǒng)開(kāi)發(fā)、變更管理、問(wèn)題管理等，隨著信息技術(shù)的不斷發(fā)展，其審計(jì)的外延還將不斷擴(kuò)展。如果只是想借助信息系統(tǒng)審計(jì)促進(jìn)企業(yè)內(nèi)部控制水平的提升，就應(yīng)該加強(qiáng)其有關(guān)信息化風(fēng)險(xiǎn)控制方面的指標(biāo)，適當(dāng)弱化和刪除其他方面的指標(biāo)，以此達(dá)到應(yīng)用的目的。

三、促進(jìn)信息系統(tǒng)審計(jì)服務(wù)于內(nèi)部控制的建議

(一)建立中國(guó)特色的信息系統(tǒng)審計(jì)準(zhǔn)則體系

由于信息系統(tǒng)審計(jì)在中國(guó)起步比較晚，至今還沒(méi)有一套符合中國(guó)信息化建設(shè)現(xiàn)狀的信息系統(tǒng)審計(jì)體系。在開(kāi)展信息系統(tǒng)審計(jì)時(shí)，審計(jì)人員一般是應(yīng)用國(guó)外的審計(jì)準(zhǔn)側(cè)和指南，并結(jié)合自己的審計(jì)經(jīng)驗(yàn)。這在一定程度上增加了審計(jì)的難度，不利于信息系統(tǒng)審計(jì)在中國(guó)的推廣應(yīng)用。因此，建立中國(guó)特色的信息系統(tǒng)審計(jì)準(zhǔn)側(cè)體系迫在眉睫。這一體系的建立一方面應(yīng)當(dāng)滿(mǎn)足我國(guó)信息系統(tǒng)審計(jì)的實(shí)際需求，另一方面應(yīng)該盡可能地與國(guó)際上已有的成文準(zhǔn)側(cè)、習(xí)慣做法、專(zhuān)業(yè)術(shù)語(yǔ)等保持一致，與國(guó)際慣例接軌。可采用三個(gè)層次體系結(jié)構(gòu)，以基本準(zhǔn)則為核心，統(tǒng)領(lǐng)具體準(zhǔn)則和執(zhí)業(yè)指南，以便于整個(gè)體系的不斷擴(kuò)展與完善。為提高信息系統(tǒng)審計(jì)在內(nèi)部控制建立健全方面的應(yīng)用價(jià)值，具體準(zhǔn)則在基本準(zhǔn)則的指導(dǎo)下，可以納入企業(yè)信息系統(tǒng)內(nèi)部控制評(píng)價(jià)的準(zhǔn)側(cè)，如對(duì)操作范圍的控制、人員權(quán)限控制、合法性控制、校驗(yàn)控制及預(yù)防出錯(cuò)控制系統(tǒng)，進(jìn)行符合性測(cè)試與評(píng)價(jià)。

(二)企業(yè)內(nèi)部控制建立初期引入信息系統(tǒng)審計(jì)

當(dāng)企業(yè)的許多內(nèi)部控制機(jī)制經(jīng)程序化、數(shù)字化、虛擬化以后，內(nèi)部控制與信息系統(tǒng)成為一個(gè)相互融合的整體，這是企業(yè)內(nèi)部控制面臨的新問(wèn)題。我國(guó)《企業(yè)內(nèi)部控制應(yīng)用指引第18號(hào)——信息系統(tǒng)》中闡述:“信息系統(tǒng)，是指企業(yè)利用計(jì)算機(jī)和通信技術(shù)，對(duì)內(nèi)部控制進(jìn)行集成、轉(zhuǎn)化和提升形成的信息化管理平臺(tái)?！痹摱x準(zhǔn)確地描述了信息系統(tǒng)與內(nèi)部控制的關(guān)系。內(nèi)部控制建設(shè)問(wèn)題更多地轉(zhuǎn)變成信息系統(tǒng)建設(shè)問(wèn)題，對(duì)內(nèi)部控制的審計(jì)也更多地轉(zhuǎn)變成對(duì)信息系統(tǒng)的審計(jì)。因此，為了保證企業(yè)內(nèi)部控制建立的有效性，信息系統(tǒng)審計(jì)師應(yīng)該在內(nèi)部控制建立初期就參與其中，從信息系統(tǒng)的角度為企業(yè)內(nèi)部控制的建設(shè)出謀獻(xiàn)策，將業(yè)務(wù)風(fēng)險(xiǎn)從源頭上加以控制，確保信息系統(tǒng)控制與業(yè)務(wù)風(fēng)險(xiǎn)控制協(xié)調(diào)一致，使企業(yè)的內(nèi)部控制真正符合成本效益原則。

(三)加快信息系統(tǒng)審計(jì)人才培養(yǎng)

信息系統(tǒng)審計(jì)要為企業(yè)內(nèi)部控制增值，實(shí)現(xiàn)這一目標(biāo)的前提是信息系統(tǒng)審計(jì)工作的開(kāi)展必須是合理高效的，而配備一支專(zhuān)業(yè)素質(zhì)高的信息系統(tǒng)審計(jì)隊(duì)伍又是確保信息系統(tǒng)審計(jì)有效開(kāi)展的關(guān)鍵。信息系統(tǒng)審計(jì)的對(duì)象具有綜合性、復(fù)雜性，包含了除財(cái)務(wù)信息以外的其他與生產(chǎn)經(jīng)營(yíng)有關(guān)的所有信息系統(tǒng)，因此，信息系統(tǒng)審計(jì)師必需具備復(fù)合型知識(shí)結(jié)構(gòu)。一方面，信息系統(tǒng)審計(jì)師需要掌握會(huì)計(jì)、審計(jì)、公司治理等財(cái)經(jīng)知識(shí)，以便了解組織運(yùn)營(yíng)的特征模式，從審計(jì)角度看待內(nèi)部控制的成效，識(shí)別企業(yè)運(yùn)營(yíng)中的風(fēng)險(xiǎn)點(diǎn);另一方面，信息系統(tǒng)審計(jì)師也需要具備信息系統(tǒng)開(kāi)發(fā)、計(jì)算機(jī)網(wǎng)絡(luò)、數(shù)據(jù)庫(kù)原理與應(yīng)用等計(jì)算機(jī)科學(xué)技術(shù)的相關(guān)知識(shí)，以評(píng)估企業(yè)信息系統(tǒng)的運(yùn)營(yíng)管理與內(nèi)部控制的符合度，評(píng)價(jià)信息技術(shù)基礎(chǔ)架構(gòu)對(duì)組織目標(biāo)的支持度。

四、結(jié)語(yǔ)

信息技術(shù)的發(fā)展，正在改變著傳統(tǒng)的內(nèi)部控制，增強(qiáng)了信息系統(tǒng)審計(jì)與企業(yè)內(nèi)部控制的聯(lián)系。一方面，信息系統(tǒng)審計(jì)的實(shí)施依賴(lài)于企業(yè)內(nèi)部控制。一般來(lái)說(shuō)，信息系統(tǒng)審計(jì)是以?xún)?nèi)部控制為基礎(chǔ)展開(kāi)的，對(duì)企業(yè)內(nèi)部控制全面了解，確定控制關(guān)鍵點(diǎn)及其風(fēng)險(xiǎn)水平是有效進(jìn)行信息系統(tǒng)審計(jì)的前提。另一方面，信息系統(tǒng)審計(jì)能為企業(yè)內(nèi)部控制的建立和完善提供寶貴意見(jiàn)。信息系統(tǒng)審計(jì)過(guò)程中包涵了對(duì)企業(yè)內(nèi)部控制的測(cè)試、評(píng)價(jià)以及提供改進(jìn)建議。

［1］財(cái)政部，證監(jiān)會(huì)，審計(jì)署.企業(yè)內(nèi)部控制基本規(guī)范［S］.2008.

［2］周常蘭，陳寶峰.ISACA模型——IT治理視角下的解析［J］.會(huì)計(jì)研究，2009(2).