陳耿　楊旭　韓志耕

摘 要：文章在參考COBIT框架的基礎(chǔ)上，根據(jù)不同學(xué)者對信息系統(tǒng)內(nèi)部控制的研究，設(shè)置了41個信息系統(tǒng)內(nèi)部控制評價(jià)指標(biāo)；運(yùn)用調(diào)查問卷的方式收集數(shù)據(jù)并應(yīng)用信息熵理論的熵權(quán)法對數(shù)據(jù)進(jìn)行處理，從而客觀地確定各指標(biāo)的權(quán)重。通過本文的研究實(shí)現(xiàn)了對信息系統(tǒng)內(nèi)部控制質(zhì)量的定量評價(jià)，也為信息系統(tǒng)內(nèi)部控制審計(jì)提供一定的理論依據(jù)。

關(guān)鍵詞：信息系統(tǒng)；內(nèi)部控制；信息熵；評價(jià)指標(biāo)

中圖分類號： C931.6 文獻(xiàn)標(biāo)識碼： A 文章編號： 1673-1069（2016）17-44-5

1 概述

隨著信息技術(shù)在企業(yè)中的普及，企業(yè)的組織管理、經(jīng)營活動、各類數(shù)據(jù)的傳輸以及相關(guān)信息的產(chǎn)生更多地依賴信息系統(tǒng)的自動化處理。信息系統(tǒng)已經(jīng)成為企業(yè)管理的重要平臺，信息系統(tǒng)內(nèi)部控制也成為了企業(yè)內(nèi)部控制的重要組成部分?！镀髽I(yè)內(nèi)部控制基本規(guī)范》第四十一條明確指出：“企業(yè)應(yīng)當(dāng)加強(qiáng)對信息系統(tǒng)開發(fā)與維護(hù)、訪問與變更、數(shù)據(jù)輸入與輸出、文件儲存與保管、網(wǎng)絡(luò)安全等方面的控制，保證信息系統(tǒng)安全穩(wěn)定運(yùn)行”。根據(jù)《內(nèi)部審計(jì)具體準(zhǔn)則第28號——信息系統(tǒng)審計(jì)》第四章信息技術(shù)風(fēng)險(xiǎn)評估第十三條：“進(jìn)行信息系統(tǒng)審計(jì)時， 審計(jì)人員應(yīng)當(dāng)識別組織所面臨的與信息技術(shù)相關(guān)的內(nèi)、外部風(fēng)險(xiǎn)，并采用適當(dāng)?shù)娘L(fēng)險(xiǎn)評估技術(shù)與方法，分析及評價(jià)其發(fā)生的可能性及影響程度，為確定審計(jì)目標(biāo)、范圍和方法提供依據(jù)”。作為審計(jì)所關(guān)注的重點(diǎn)領(lǐng)域，對信息系統(tǒng)實(shí)施內(nèi)部控制可以有效地發(fā)現(xiàn)問題，規(guī)避風(fēng)險(xiǎn)。鑒于內(nèi)部控制對維護(hù)信息系統(tǒng)安全、抑制信息系統(tǒng)風(fēng)險(xiǎn)、增加企業(yè)價(jià)值所起的決定性作用，業(yè)界給予信息系統(tǒng)內(nèi)部控制方面的研究關(guān)注度日益增多。盛巧玲、吳炎太（2013）基于信息系統(tǒng)生命周期，參考COBIT的IT過程及運(yùn)用層次分析法建立了信息系統(tǒng)內(nèi)部控制評價(jià)指標(biāo)體系，并借鑒能力成熟度模型提供了指標(biāo)評分依據(jù)。陳翔（2010）結(jié)合信息系統(tǒng)生命周期和信息處理流程，定義了信息系統(tǒng)一般控制和應(yīng)用控制的概念，分析了兩者具有的風(fēng)險(xiǎn)，并提出了對關(guān)鍵控制活動的認(rèn)識和應(yīng)采取的措施。

信息系統(tǒng)是企業(yè)業(yè)務(wù)流程的重要組成部分，是企業(yè)實(shí)現(xiàn)經(jīng)營和創(chuàng)造利潤的重要資源，信息系統(tǒng)的安全性將決定著企業(yè)的未來發(fā)展。信息系統(tǒng)內(nèi)部控制是維護(hù)信息系統(tǒng)安全的有效措施。信息系統(tǒng)內(nèi)部控制可以看成一個離散系統(tǒng)，而信息熵可以用于對離散系統(tǒng)進(jìn)行分析研究。近些年，也有不少學(xué)者運(yùn)用信息熵作為研究方法。阮旭華（2011）構(gòu)建了高校財(cái)務(wù)風(fēng)險(xiǎn)評估指標(biāo)體系，并在此基礎(chǔ)上探析了將信息熵法應(yīng)用于評估高校財(cái)務(wù)風(fēng)險(xiǎn)的可行性。周薇、李筱（2010）基于信息熵來確定評價(jià)指標(biāo)的客觀權(quán)重，并結(jié)合主觀權(quán)重，得出綜合評價(jià)方法；再運(yùn)用大學(xué)生綜合素質(zhì)評價(jià)體系為例說明綜合評價(jià)方法的實(shí)用性與可行性。熊金石、秦洪濤等人（2013）把信息熵作為確定安全風(fēng)險(xiǎn)評估指標(biāo)權(quán)重的方法，消除了專家在排序階段的主觀隨意性。

信息技術(shù)的廣泛應(yīng)用在給企業(yè)發(fā)展帶來好處的同時，信息系統(tǒng)的安全問題也變得尤為突出，信息系統(tǒng)內(nèi)部控制作為應(yīng)對信息系統(tǒng)風(fēng)險(xiǎn)的有效措施具有了現(xiàn)實(shí)的研究意義。信息熵理論的熵權(quán)法作為確定評價(jià)指標(biāo)權(quán)重的方法也具有客觀性。為此，本文基于信息熵理論對信息系統(tǒng)內(nèi)部控制評價(jià)指標(biāo)作了全新的研究，也為信息系統(tǒng)內(nèi)部控制審計(jì)提供一定的理論依據(jù)。

2 信息系統(tǒng)內(nèi)部控制風(fēng)險(xiǎn)評估指標(biāo)構(gòu)建

信息系統(tǒng)內(nèi)部控制包括：一般控制和應(yīng)用控制。一般控制是確保組織信息系統(tǒng)正常運(yùn)行的制度和工作程序，其主要目標(biāo)是保護(hù)數(shù)據(jù)與應(yīng)用程序的安全，并確保在異常中斷情況下計(jì)算機(jī)信息系統(tǒng)能持續(xù)運(yùn)行。應(yīng)用控制是為應(yīng)對各類業(yè)務(wù)數(shù)據(jù)處理的特殊控制需求，保證業(yè)務(wù)數(shù)據(jù)處理過程中數(shù)據(jù)的完整、準(zhǔn)確，主要包括輸入控制、處理控制和輸出控制。COBIT（Control Objectives for Information and related Technology）：即信息系統(tǒng)和技術(shù)控制目標(biāo)。COBIT共含有34個信息技術(shù)過程控制，并劃分為四個控制域：規(guī)劃和組織、獲得和實(shí)施、交付與支持以及監(jiān)控與評價(jià)，是國際上公認(rèn)的信息系統(tǒng)和技術(shù)管理與控制標(biāo)準(zhǔn)。本文在參考COBIT框架以及充分認(rèn)識企業(yè)信息系統(tǒng)內(nèi)部控制的內(nèi)涵及其構(gòu)成的基礎(chǔ)上，通過實(shí)地調(diào)研并根據(jù)科學(xué)性、系統(tǒng)優(yōu)化性、整體性、可行性等原則，從一般控制和應(yīng)用控制兩方面設(shè)置指標(biāo)，見附表1。

3 利用信息熵計(jì)算信息系統(tǒng)內(nèi)部控制評價(jià)指標(biāo)權(quán)重

當(dāng)前，對于評價(jià)指標(biāo)權(quán)重的確定有多種方法，如德爾菲法、層次分析法等。德爾菲法可以利用專家的知識與經(jīng)驗(yàn)，集思廣益，但是沒有明確的選擇標(biāo)準(zhǔn)，預(yù)測結(jié)果也缺乏嚴(yán)格的科學(xué)分析；層次分析法既是系統(tǒng)性的分析方法，也是簡單實(shí)用的決策方法，但是其所需定量數(shù)據(jù)較少，定性成分居多，評價(jià)結(jié)果不易令人信服。運(yùn)用德爾菲法與層次分析法對評價(jià)指標(biāo)進(jìn)行賦權(quán)時都具有一定的主觀隨意性。此外，當(dāng)評價(jià)指標(biāo)過多時數(shù)據(jù)統(tǒng)計(jì)量大，運(yùn)用層次分析法難以合理地確定權(quán)重。因此運(yùn)用上述方法設(shè)計(jì)的評價(jià)指標(biāo)在實(shí)際運(yùn)用時就具有一定的局限性。本文為了擺脫信息系統(tǒng)內(nèi)部控制評價(jià)過程中對主觀賦權(quán)的依賴，提高信息系統(tǒng)內(nèi)部控制評價(jià)指標(biāo)權(quán)重的客觀性，以及增強(qiáng)評價(jià)指標(biāo)體系的適用性與穩(wěn)定性，本文將運(yùn)用信息熵理論的熵權(quán)法作為確定信息系統(tǒng)內(nèi)部控制評價(jià)指標(biāo)權(quán)重的方法。

3.1 評價(jià)指標(biāo)的選取

假設(shè)有n個調(diào)查樣本數(shù)據(jù)，收集n個樣本數(shù)據(jù)的m個評估指標(biāo)數(shù)據(jù)，可以形成多對象關(guān)于多指標(biāo)的評價(jià)矩陣如下：

矩陣中，X′代表第i個樣本數(shù)據(jù)第j個指標(biāo)上的數(shù)值。

3.2數(shù)據(jù)的標(biāo)準(zhǔn)化處理

由于評價(jià)體系中各指標(biāo)所表征對象的量綱存在不一致，無法直接對這些評價(jià)指標(biāo)進(jìn)行比較。因此，要對原始評價(jià)數(shù)據(jù)進(jìn)行標(biāo)準(zhǔn)化處理，以消除觀測量綱差異所造成的影響，本文采用極差標(biāo)準(zhǔn)化方法對原始數(shù)據(jù)進(jìn)行標(biāo)準(zhǔn)化處理。

3.3 計(jì)算各指標(biāo)的信息熵

在一個具有n個樣本數(shù)據(jù)，m個評估指標(biāo)的評估體系中，可以將第j個評價(jià)指標(biāo)的信息熵定義為：

3.4 計(jì)算各指標(biāo)的熵權(quán)

在一個具有n個被評價(jià)對象，m個評估指標(biāo)的評估體系中，可以將第j個評價(jià)指標(biāo)的熵權(quán)定義為：

某指標(biāo)的信息熵越大，其熵權(quán)越小，該指標(biāo)重要性越低。此外，還需要滿足以下約束條件：

本文通過問卷調(diào)查的形式來收集企業(yè)信息系統(tǒng)內(nèi)部控制的樣本數(shù)據(jù)。樣本數(shù)據(jù)都是根據(jù)被調(diào)查企業(yè)信息系統(tǒng)內(nèi)部控制的實(shí)際情況得出，因此具有客觀性與可靠性。此外，運(yùn)用信息熵進(jìn)行處理可以消除企業(yè)之間存在的一些差異，從而使得最終的評價(jià)結(jié)果更加客觀有效。對回收的問卷根據(jù)公式（1）和公式（2）進(jìn)行標(biāo)準(zhǔn)化處理，得到規(guī)范性矩陣，見附表2。

再根據(jù)公式（3）和公式（4）計(jì)算出各評價(jià)指標(biāo)的客觀權(quán)重，見附表3。

從計(jì)算的結(jié)果我們可以發(fā)現(xiàn)：信息系統(tǒng)內(nèi)部控制一級指標(biāo)中一般控制所占比重為0.6，應(yīng)用控制所占比重為0.4，這也符合一般控制與應(yīng)用控制之間的關(guān)系。一般控制適用于所有的控制，應(yīng)用控制與特定的控制領(lǐng)域相聯(lián)系，有效的一般控制是應(yīng)用控制的基礎(chǔ)和保障，良好的可以彌補(bǔ)一般控制的某些不足。任何舞弊事件的發(fā)生都是由于人的行為造成，因此一個有效的信息系統(tǒng)內(nèi)部控制離不開對人員的控制，在一般控制一級指標(biāo)下的職責(zé)劃分、業(yè)務(wù)分配、教育培訓(xùn)二級指標(biāo)都體現(xiàn)的信息系統(tǒng)內(nèi)部控制對于人員的控制，它們在一般控制中所占比重都位于前列，其中職責(zé)劃分和業(yè)務(wù)分配的權(quán)重更是位于第一和第二位。互聯(lián)網(wǎng)技術(shù)的迅速普及在給企業(yè)發(fā)展帶來便捷、高效、低成本的同時，安全問題也不斷顯現(xiàn)，比如一個病毒可以使企業(yè)經(jīng)營陷入癱瘓。由此可見，互聯(lián)網(wǎng)已然成為企業(yè)經(jīng)營風(fēng)險(xiǎn)的重要來源之一。在上述指標(biāo)權(quán)重中，信息系統(tǒng)病毒入侵防范控制的指標(biāo)權(quán)重僅次于職責(zé)劃分和業(yè)務(wù)分配的權(quán)重，這也符合當(dāng)前企業(yè)應(yīng)對信息系統(tǒng)風(fēng)險(xiǎn)的實(shí)際需求。輸入、處理、輸出是計(jì)算機(jī)數(shù)據(jù)處理過程中相互關(guān)聯(lián)的三個環(huán)節(jié)，一個環(huán)節(jié)上的控制將影響下一個環(huán)節(jié)的數(shù)據(jù)處理的準(zhǔn)確性與可靠性。因此信息系統(tǒng)輸入控制、處理控制和輸出控制在應(yīng)用控制中所占比重由大到小排列也是合理的。

4 結(jié)束語

本文運(yùn)用基于信息熵理論對信息系統(tǒng)內(nèi)部控制評價(jià)指標(biāo)進(jìn)行了研究。通過上文的計(jì)算與分析，我們可以發(fā)現(xiàn)針對評價(jià)指標(biāo)的信息熵計(jì)算熵權(quán)，得到的結(jié)果客觀有效，實(shí)現(xiàn)了對信息系統(tǒng)內(nèi)部控制質(zhì)量的定量評價(jià)。這對于評價(jià)我國企業(yè)信息系統(tǒng)內(nèi)部控制效果有一定的實(shí)用性，也為信息系統(tǒng)內(nèi)部控制審計(jì)提供一定的理論依據(jù)。

參 考 文 獻(xiàn)

[1] 張繼國，（美）Vijay P. Singh.信息熵——理論與應(yīng)用[M].北京：中國水利水電出版社，2012，8.

[2] 陳耿，韓志耕，盧孫中.信息系統(tǒng)審計(jì)、控制與管理[M].北京：清華大學(xué)出版社，2014.

[3] 盛巧玲，吳炎太.基于生命周期、AHP與CMM的信息系統(tǒng)內(nèi)部控制評價(jià)方法[J].統(tǒng)計(jì)與決策，2012（2）.

[4] 陳翔.信息系統(tǒng)的一般控制和應(yīng)用控制分析[J].會計(jì)之友，2010（1）.

[5] 阮旭華.基于信息熵法的高校財(cái)務(wù)風(fēng)險(xiǎn)評估探析[J].會計(jì)之友，2011（3）.

[6] 周薇，李筱菁.基于信息熵理論的綜合評價(jià)方法[J].科學(xué)技術(shù)與工程，2010，8（23）.

[7] 熊金石，秦洪濤，等.基于信息熵的安全風(fēng)險(xiǎn)評估指標(biāo)權(quán)重確定方法[J].系統(tǒng)科學(xué)學(xué)報(bào)，2013，5（2）.

[8] 施永香，周萱，李婭.IT風(fēng)險(xiǎn)及控制測評研究[J].中國管理信息化，2013，6（11）.

[9] 財(cái)政部.企業(yè)內(nèi)部控制基本規(guī)范[S].

[10] 中國內(nèi)部審計(jì)協(xié)會.內(nèi)部審計(jì)具體準(zhǔn)則第28號——信息系統(tǒng)審計(jì)[S].