陳耿 李婷婷 韓志耕

【摘 要】 互聯(lián)網(wǎng)的普及使得企業(yè)的生存與發(fā)展越來(lái)越依賴(lài)于現(xiàn)代信息系統(tǒng)，現(xiàn)代信息系統(tǒng)重要性的與日俱增要求信息系統(tǒng)審計(jì)在模型及方法體系上均要做出適應(yīng)性的拓展甚至變更。針對(duì)該問(wèn)題，文章提出了現(xiàn)代信息系統(tǒng)審計(jì)模型ISACM，該模型將現(xiàn)代信息系統(tǒng)審計(jì)的職能明確分為審計(jì)、控制和管理三個(gè)關(guān)聯(lián)的方面。與此同時(shí)，基于ISACM模型構(gòu)建了現(xiàn)代信息系統(tǒng)審計(jì)的一般性方法體系，進(jìn)一步明確審計(jì)職能——三項(xiàng)審計(jì)類(lèi)別涉及真實(shí)性審計(jì)、安全性審計(jì)、績(jī)效審計(jì);三級(jí)控制層面包括決策層面、業(yè)務(wù)層面和技術(shù)層面;三個(gè)管理維度分別是IT治理、應(yīng)急管理和業(yè)務(wù)連續(xù)性管理，以期為互聯(lián)網(wǎng)環(huán)境下的現(xiàn)代信息系統(tǒng)審計(jì)提供指引。

【關(guān)鍵詞】 互聯(lián)網(wǎng)環(huán)境; 現(xiàn)代信息系統(tǒng)審計(jì); ISACM模型; 一般性方法體系

【中圖分類(lèi)號(hào)】 F239.1? 【文獻(xiàn)標(biāo)識(shí)碼】 A? 【文章編號(hào)】 1004-5937（2019）09-0125-05

一、引言

互聯(lián)網(wǎng)的普及使得信息系統(tǒng)（IS）由“信息孤島”的現(xiàn)象轉(zhuǎn)變成開(kāi)放、復(fù)雜的狀態(tài)，意味著信息系統(tǒng)由傳統(tǒng)IS轉(zhuǎn)變?yōu)楝F(xiàn)代IS，其中傳統(tǒng)IS特指利用計(jì)算機(jī)實(shí)現(xiàn)對(duì)產(chǎn)品生產(chǎn)制造過(guò)程的自動(dòng)控制，實(shí)現(xiàn)企業(yè)內(nèi)部管理的自動(dòng)化;現(xiàn)代IS是在傳統(tǒng)IS基礎(chǔ)上進(jìn)一步擴(kuò)展，企業(yè)還會(huì)利用互聯(lián)網(wǎng)開(kāi)展電子商務(wù)，實(shí)現(xiàn)企業(yè)生產(chǎn)、交易、管理的系統(tǒng)化，如阿里巴巴、卓越等電子商務(wù)公司。據(jù)智研咨詢(xún)統(tǒng)計(jì)結(jié)果顯示，截至2016年12月，我國(guó)60%以上的企業(yè)部署了企業(yè)信息化系統(tǒng)，其中50.4%、28.2%、25.9%的企業(yè)建設(shè)使用了辦公自動(dòng)化（OA）系統(tǒng)、企業(yè)資源計(jì)劃（ERP）系統(tǒng)和客戶(hù)關(guān)系管理（CRM）系統(tǒng)，相比于上一年提升了13.4個(gè)百分點(diǎn)，且預(yù)測(cè)整體呈快速的上升趨勢(shì)。此外，2018年7月中國(guó)互聯(lián)網(wǎng)信息中心（CNNIC）在公布的第42次《中國(guó)互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計(jì)報(bào)告》中指出，2018年1—5月電子商務(wù)平臺(tái)收入達(dá)1 164億元，同比增長(zhǎng)39.1%，電子商務(wù)保持快速增長(zhǎng)、增速平穩(wěn)態(tài)勢(shì)，服務(wù)模式、技術(shù)形態(tài)和賦能效力均在不斷地創(chuàng)新突破。由此可見(jiàn)，企業(yè)的生存和發(fā)展越來(lái)越依靠信息系統(tǒng)，信息系統(tǒng)顯得愈加重要。盡管如此，信息系統(tǒng)也暴露出諸多安全問(wèn)題，2001年爆發(fā)的安然事件就是代表性的事件。為防止企業(yè)利用信息系統(tǒng)進(jìn)行舞弊，對(duì)現(xiàn)代信息系統(tǒng)進(jìn)行審計(jì)顯得格外重要。

現(xiàn)代信息系統(tǒng)主要利用電子商務(wù)平臺(tái)進(jìn)行交易，信息系統(tǒng)變得復(fù)雜化、開(kāi)放化，如何針對(duì)此類(lèi)系統(tǒng)進(jìn)行審計(jì)亟待解決。目前信息系統(tǒng)審計(jì)相關(guān)的依據(jù)主要是國(guó)際信息系統(tǒng)審計(jì)協(xié)會(huì)（IASCA）制定的信息系統(tǒng)審計(jì)準(zhǔn)則、COSO內(nèi)部控制及風(fēng)險(xiǎn)管理框架以及COBIT控制框架。其中信息系統(tǒng)審計(jì)準(zhǔn)則是由基本準(zhǔn)則、審計(jì)指南和作業(yè)程序三個(gè)層次組成，明確審計(jì)人員的基本要求以及具體的審計(jì)程序，是一套通用的審計(jì)準(zhǔn)則;COSO框架主要包括內(nèi)部控制和企業(yè)風(fēng)險(xiǎn)管理整合框架兩個(gè)方面，旨在使企業(yè)風(fēng)險(xiǎn)管理過(guò)程流程化，為企業(yè)目標(biāo)實(shí)現(xiàn)提供合理保證;COBIT框架重視信息系統(tǒng)控制問(wèn)題，提出了一般控制和應(yīng)用控制兩要素審計(jì)方法，為企業(yè)管理層、IT與審計(jì)之間交流架起橋梁。三種審計(jì)依據(jù)各有側(cè)重地對(duì)信息系統(tǒng)審計(jì)進(jìn)行一定程度的指導(dǎo)，但針對(duì)現(xiàn)代企業(yè)信息系統(tǒng)，以上任意一種審計(jì)依據(jù)都無(wú)法滿(mǎn)足審計(jì)需求，因此，有必要重新探索信息系統(tǒng)審計(jì)方法體系，以便為現(xiàn)代信息系統(tǒng)審計(jì)工作提供一個(gè)可行的實(shí)務(wù)指南。

二、文獻(xiàn)回顧

（一）基于ISACA信息系統(tǒng)審計(jì)準(zhǔn)則體系的相關(guān)研究

ISACA信息系統(tǒng)審計(jì)準(zhǔn)則體系從多個(gè)層次為審計(jì)人員提供指引。由于我國(guó)目前還未建立起一套完整的信息系統(tǒng)審計(jì)準(zhǔn)則，因此，國(guó)內(nèi)部分學(xué)者主要基于ISACA信息系統(tǒng)審計(jì)準(zhǔn)則進(jìn)行相關(guān)的研究，諸如通過(guò)解讀國(guó)際信息系統(tǒng)審計(jì)準(zhǔn)則的相關(guān)內(nèi)容，提出用于制定我國(guó)信息系統(tǒng)審計(jì)準(zhǔn)則的建議。劉杰[1]通過(guò)比較國(guó)內(nèi)外信息系統(tǒng)審計(jì)準(zhǔn)則，指出我國(guó)準(zhǔn)則的弊端，并提出相關(guān)政策建議;張文秀等[2]指出在我國(guó)借鑒國(guó)際信息系統(tǒng)審計(jì)規(guī)范的過(guò)程中要注意國(guó)家文化的特征，要探討適合我國(guó)國(guó)情的審計(jì)準(zhǔn)則;陳婉玲等[3]借鑒ISACA的信息系統(tǒng)審計(jì)準(zhǔn)則，提出頂層設(shè)計(jì)方案，指出我國(guó)可以按照工作流程或?qū)徲?jì)工作任務(wù)進(jìn)行準(zhǔn)則制定。通過(guò)文獻(xiàn)回顧，可以了解到信息系統(tǒng)審計(jì)準(zhǔn)則對(duì)審計(jì)工作具有指導(dǎo)作用，我國(guó)信息系統(tǒng)審計(jì)需要從基本準(zhǔn)則、審計(jì)職能和作業(yè)程序等諸多方面進(jìn)行規(guī)范。

（二）基于COBIT框架體系的相關(guān)研究

COBIT框架體系重視信息系統(tǒng)的控制以防范風(fēng)險(xiǎn)。周德銘等[4]在借鑒國(guó)外信息系統(tǒng)過(guò)程控制審計(jì)框架基礎(chǔ)上，提出四維結(jié)構(gòu)的信息系統(tǒng)審計(jì)控制審計(jì)框架;王會(huì)金[5]提出中觀信息系統(tǒng)審計(jì)風(fēng)險(xiǎn)控制框架體系，為相關(guān)系統(tǒng)安全提供理論支持與實(shí)踐指導(dǎo);張文秀等[6]構(gòu)建我國(guó)信息系統(tǒng)審計(jì)框架，提出面向系統(tǒng)和面向數(shù)據(jù)的信息系統(tǒng)審計(jì)，進(jìn)一步深入了我國(guó)信息系統(tǒng)審計(jì)的研究與應(yīng)用;金文等[7]提出以信息系統(tǒng)生命周期為出發(fā)點(diǎn)，構(gòu)建符合COBIT定義的信息技術(shù)過(guò)程和管理、控制與審計(jì)模型。上述研究主要依據(jù)COBIT標(biāo)準(zhǔn)構(gòu)建我國(guó)信息系統(tǒng)審計(jì)框架，通常COBIT便于人們了解和分析信息系統(tǒng)建設(shè)與應(yīng)用過(guò)程，幫助審計(jì)師明確審計(jì)軌跡[7]。

（三）基于COSO框架體系的相關(guān)研究

COSO框架主要包括內(nèi)部控制和企業(yè)風(fēng)險(xiǎn)管理整合框架兩個(gè)方面，凸顯企業(yè)內(nèi)控和風(fēng)險(xiǎn)管理的重要性。王培華等[8]基于COSO-ERM框架，構(gòu)建審計(jì)機(jī)關(guān)廉政風(fēng)險(xiǎn)防控體系，進(jìn)行風(fēng)險(xiǎn)分類(lèi)管理，以便于查找各部門(mén)、崗位的關(guān)鍵風(fēng)險(xiǎn)點(diǎn)，評(píng)估風(fēng)險(xiǎn)等級(jí)，健全防控長(zhǎng)效機(jī)制;施金龍等[9]認(rèn)為應(yīng)該加強(qiáng)中小企業(yè)內(nèi)部控制，并基于COSO內(nèi)控框架研究其存在的問(wèn)題及成因，最后提出一系列完善內(nèi)控的措施;席龍勝[10]在審計(jì)質(zhì)量控制基礎(chǔ)上引入COSO風(fēng)險(xiǎn)管理框架，建立新的審計(jì)質(zhì)量控制體系，認(rèn)為審計(jì)應(yīng)該轉(zhuǎn)向以控制風(fēng)險(xiǎn)為目標(biāo)的主動(dòng)型質(zhì)量管理;陳震晗[11]基于COSO-ERM框架研究企業(yè)風(fēng)險(xiǎn)導(dǎo)向?qū)徲?jì)模型，并提出應(yīng)用模型的初步方案，為審計(jì)研究提供新的方向?？梢?jiàn)，目前基于COSO框架的文獻(xiàn)研究主要是針對(duì)各企業(yè)內(nèi)部控制問(wèn)題，并提出相關(guān)建議，表現(xiàn)企業(yè)內(nèi)部控制的重要作用。

從以上討論可以看出，雖然目前在信息系統(tǒng)審計(jì)準(zhǔn)則、框架體系上已有諸多研究，然而，互聯(lián)網(wǎng)的普及所帶來(lái)的企業(yè)生產(chǎn)方式、經(jīng)營(yíng)模式和管理方法的巨大變化，使得企業(yè)信息系統(tǒng)面臨著前所未有的風(fēng)險(xiǎn)，信息系統(tǒng)審計(jì)的職能需要得到提升。本文提出的ISACM（Information System Auditing、Control and Management）現(xiàn)代信息系統(tǒng)審計(jì)模型及方法體系，除了提供信息系統(tǒng)審計(jì)的審計(jì)職能外，還具備控制和管理職能，對(duì)已有的信息系統(tǒng)審計(jì)模型和方法體系做出了內(nèi)涵拓展和外延變更，方便為“互聯(lián)網(wǎng)+”環(huán)境下的現(xiàn)代信息系統(tǒng)審計(jì)實(shí)務(wù)提供指引。

三、ISACM模型構(gòu)建

本節(jié)在分析現(xiàn)代信息系統(tǒng)審計(jì)應(yīng)該具備的審計(jì)、控制和管理三種職能的基礎(chǔ)上，給出適用于信息系統(tǒng)審計(jì)的ISACM模型，該模型能夠多角度表征現(xiàn)代信息系統(tǒng)審計(jì)的作用，充分反映信息系統(tǒng)審計(jì)的職責(zé)所在，最大限度地滿(mǎn)足現(xiàn)代信息系統(tǒng)審計(jì)的需求。

（一）審計(jì)職能

所謂審計(jì)職能，是一種狹義的審計(jì)，就是以相關(guān)規(guī)定、標(biāo)準(zhǔn)等為評(píng)價(jià)依據(jù)，評(píng)價(jià)被審計(jì)對(duì)象的信息資產(chǎn)和信息系統(tǒng)是否安全、可信，反映的財(cái)務(wù)收支和經(jīng)濟(jì)活動(dòng)的電子軌跡是否合法、合規(guī)、合理和有效，從而督促被審計(jì)對(duì)象遵紀(jì)守法，提高經(jīng)濟(jì)效益。

相比于傳統(tǒng)的信息系統(tǒng)審計(jì)，現(xiàn)代信息系統(tǒng)審計(jì)的審計(jì)職能表現(xiàn)得更加復(fù)雜、開(kāi)放，不僅關(guān)注信息系統(tǒng)的真實(shí)性，而且對(duì)信息系統(tǒng)的安全性愈加重視。如圖1所示，基于審計(jì)目標(biāo)，本文將現(xiàn)代信息系統(tǒng)審計(jì)的審計(jì)職能劃分為真實(shí)性審計(jì)、安全性審計(jì)和績(jī)效審計(jì)三種基本類(lèi)型。

（二）控制職能

控制職能的一般定義是指組織的管理者對(duì)組織的運(yùn)行狀況加以監(jiān)督，通過(guò)控制可發(fā)現(xiàn)當(dāng)初的計(jì)劃與實(shí)際的偏差，采取有力的行動(dòng)糾正偏差，保證計(jì)劃的實(shí)行，確保原來(lái)的目標(biāo)得以實(shí)現(xiàn)。

針對(duì)現(xiàn)代化企業(yè)的業(yè)務(wù)經(jīng)營(yíng)活動(dòng)、各種數(shù)據(jù)傳遞以及財(cái)務(wù)報(bào)告等的產(chǎn)生與傳遞越來(lái)越多地依賴(lài)信息系統(tǒng)自動(dòng)化處理的現(xiàn)象，美國(guó)麻省理工學(xué)院皮特·威爾博士通過(guò)研究發(fā)現(xiàn)：面對(duì)同樣的戰(zhàn)略目標(biāo)，信息系統(tǒng)內(nèi)部控制水平較高的企業(yè)的獲利能力高出20%，這足以說(shuō)明信息系統(tǒng)內(nèi)部控制的作用變得越來(lái)越大。為此信息系統(tǒng)審計(jì)師需要對(duì)信息系統(tǒng)內(nèi)部控制功能實(shí)施鑒證，以驗(yàn)證其是否具備信息系統(tǒng)審計(jì)的控制職能。如圖2所示，此處將現(xiàn)代信息系統(tǒng)審計(jì)的控制職能劃分為決策、業(yè)務(wù)和技術(shù)三個(gè)層面，以保證信息系統(tǒng)內(nèi)部控制的全方位性。

（三）管理職能

管理職能是指信息系統(tǒng)審計(jì)師有義務(wù)和責(zé)任對(duì)企業(yè)的信息資產(chǎn)安全與信息系統(tǒng)運(yùn)行狀況提供決策咨詢(xún)，確保信息系統(tǒng)發(fā)展與企業(yè)的戰(zhàn)略一致，在工作中發(fā)現(xiàn)問(wèn)題，對(duì)制度、管理和控制等方面有針對(duì)性地提供咨詢(xún)服務(wù)，預(yù)防出現(xiàn)大的信息技術(shù)風(fēng)險(xiǎn)和管理漏洞，企業(yè)各管理層提供服務(wù)，不斷改進(jìn)經(jīng)營(yíng)管理水平。

信息技術(shù)使企業(yè)受益的同時(shí)也帶來(lái)了相應(yīng)的風(fēng)險(xiǎn)（《企業(yè)內(nèi)部控制基本規(guī)范》中提到了識(shí)別企業(yè)內(nèi)外部風(fēng)險(xiǎn)的六個(gè)核心因素），信息系統(tǒng)風(fēng)險(xiǎn)已經(jīng)成為企業(yè)風(fēng)險(xiǎn)的主要來(lái)源之一。為保證企業(yè)信息資產(chǎn)的安全、有效，現(xiàn)代企業(yè)的風(fēng)險(xiǎn)管理必須成為信息系統(tǒng)審計(jì)的基本職能。如圖3所示，本文將現(xiàn)代信息系統(tǒng)審計(jì)的管理職能劃分為IT治理、應(yīng)急管理、業(yè)務(wù)連續(xù)性管理三個(gè)方面，通過(guò)對(duì)信息資產(chǎn)實(shí)施全方位、全過(guò)程的風(fēng)險(xiǎn)管理，幫助企業(yè)提高抗風(fēng)險(xiǎn)的能力。

根據(jù)以上信息系統(tǒng)審計(jì)三種職能分析，本文構(gòu)建出如圖4所示的現(xiàn)代信息系統(tǒng)審計(jì)模型ISACM，該模型通過(guò)多角度展現(xiàn)現(xiàn)代信息系統(tǒng)審計(jì)的內(nèi)涵，能夠充分反映信息系統(tǒng)審計(jì)的職責(zé)所在，并最大限度地滿(mǎn)足現(xiàn)代信息系統(tǒng)審計(jì)的需求。

四、ISACM一般性方法體系

從審計(jì)職能、控制職能和管理職能出發(fā)，本節(jié)詳述ISACM模型的一般性方法體系，以期為具體的審計(jì)實(shí)務(wù)提供方法指引。

（一）三項(xiàng)審計(jì)類(lèi)別

1.真實(shí)性審計(jì)

現(xiàn)代企業(yè)除了將大量信息存儲(chǔ)于信息系統(tǒng)，同時(shí)也廣泛利用信息系統(tǒng)開(kāi)展業(yè)務(wù)。為此，除了需要對(duì)電子數(shù)據(jù)進(jìn)行真實(shí)性審計(jì)，還需要對(duì)信息系統(tǒng)業(yè)務(wù)行為開(kāi)展真實(shí)性審計(jì)，以鑒證信息系統(tǒng)在使用過(guò)程中是否存在舞弊，諸如是否被利用實(shí)施虛假交易等。信息系統(tǒng)真實(shí)性審計(jì)的目標(biāo)是判斷信息系統(tǒng)行為和電子數(shù)據(jù)是否真實(shí)、完整和合法，從而為財(cái)務(wù)審計(jì)提供依據(jù)。

對(duì)現(xiàn)代信息系統(tǒng)而言，真實(shí)性審計(jì)的對(duì)象應(yīng)關(guān)注三個(gè)模塊，分別是財(cái)務(wù)系統(tǒng)、業(yè)務(wù)系統(tǒng)和電子商務(wù)系統(tǒng)。審計(jì)內(nèi)容是各自處理流程的真實(shí)性和合法性，以及系統(tǒng)數(shù)據(jù)輸入環(huán)節(jié)的真實(shí)和合法性，同時(shí)還要審查三種系統(tǒng)之間的邏輯一致性，以保證電子數(shù)據(jù)的真實(shí)可靠。

2.安全性審計(jì)

信息系統(tǒng)的安全隱患除了來(lái)自企業(yè)內(nèi)部，還有因互聯(lián)網(wǎng)的開(kāi)放性所導(dǎo)致的各種外部威脅，諸如網(wǎng)絡(luò)攻擊、數(shù)據(jù)竊取、計(jì)算機(jī)病毒等，這些安全隱患均可能會(huì)中止企業(yè)的正常經(jīng)營(yíng)活動(dòng)，給企業(yè)帶來(lái)?yè)p失。信息系統(tǒng)安全性審計(jì)的目標(biāo)是審查企業(yè)信息系統(tǒng)和電子數(shù)據(jù)的安全性、可靠性、可用性、保密性等，預(yù)防來(lái)自互聯(lián)網(wǎng)對(duì)信息系統(tǒng)的威脅和來(lái)自企業(yè)內(nèi)部對(duì)信息系統(tǒng)的危害。

安全性審計(jì)是真實(shí)性審計(jì)的基礎(chǔ)與前提。對(duì)現(xiàn)代信息系統(tǒng)而言，安全性審計(jì)的對(duì)象應(yīng)關(guān)注電子數(shù)據(jù)、操作系統(tǒng)、數(shù)據(jù)庫(kù)、網(wǎng)絡(luò)、設(shè)備、主機(jī)以及環(huán)境等方面的安全。審計(jì)內(nèi)容是審核上述審計(jì)對(duì)象的各項(xiàng)安全指標(biāo)，判斷它們是否達(dá)到信息系統(tǒng)整體安全運(yùn)行的需求。

3.績(jī)效審計(jì)

信息系統(tǒng)的成功運(yùn)用能給企業(yè)帶來(lái)高收益，然而信息系統(tǒng)實(shí)施復(fù)雜、建設(shè)耗時(shí)較長(zhǎng)、成本較高，屬高風(fēng)險(xiǎn)投資項(xiàng)目。盲目上馬信息系統(tǒng)項(xiàng)目有可能會(huì)讓企業(yè)陷入投資黑洞。因此，對(duì)于現(xiàn)代企業(yè)，信息系統(tǒng)績(jī)效審計(jì)的目標(biāo)是審核信息系統(tǒng)的投資、開(kāi)發(fā)和應(yīng)用是否合理，信息系統(tǒng)的使用是否有效、能否為企業(yè)創(chuàng)造價(jià)值。

信息系統(tǒng)績(jī)效審計(jì)的對(duì)象是信息系統(tǒng)的投入與產(chǎn)出。審計(jì)內(nèi)容是審核信息系統(tǒng)投入和產(chǎn)出之間的關(guān)系是否達(dá)到預(yù)期，這涉及到對(duì)信息系統(tǒng)的經(jīng)濟(jì)性、效率性和效果性進(jìn)行評(píng)價(jià)和監(jiān)督。通過(guò)信息系統(tǒng)績(jī)效審計(jì)，能夠更好地發(fā)揮信息系統(tǒng)審計(jì)的審計(jì)職能，為企業(yè)的投資者、債權(quán)人、經(jīng)營(yíng)者、管理者等提供更充分的決策參考。

（二）三級(jí)控制層面

由于信息化環(huán)境下企業(yè)內(nèi)部控制被嵌入到信息系統(tǒng)中，審計(jì)人員需要關(guān)注信息系統(tǒng)內(nèi)部控制，以鑒證信息系統(tǒng)內(nèi)控運(yùn)行的效果。信息系統(tǒng)內(nèi)部控制主要體現(xiàn)在三個(gè)層面：決策層面、業(yè)務(wù)層面和技術(shù)層面。

1.決策層面

企業(yè)在設(shè)計(jì)信息系統(tǒng)內(nèi)控時(shí)，應(yīng)符合企業(yè)整體的目標(biāo)、政策和戰(zhàn)略決策。如圖5所示，信息技術(shù)環(huán)境下企業(yè)內(nèi)部控制在決策層面應(yīng)該重點(diǎn)關(guān)注五要素。其中，IT內(nèi)部控制環(huán)境主要關(guān)注IT治理架構(gòu)、IT組織與職責(zé)、IT決策機(jī)制等基礎(chǔ)內(nèi)容;IT風(fēng)險(xiǎn)評(píng)估借助風(fēng)險(xiǎn)識(shí)別、風(fēng)險(xiǎn)分析和風(fēng)險(xiǎn)應(yīng)對(duì)來(lái)把握風(fēng)險(xiǎn);IT控制活動(dòng)使用IT技術(shù)類(lèi)措施和IT管理類(lèi)措施，對(duì)風(fēng)險(xiǎn)做出防范;IT監(jiān)督借助系統(tǒng)日志和內(nèi)部監(jiān)管措施對(duì)信息系統(tǒng)整體運(yùn)行進(jìn)行全方面的審核，對(duì)IT控制的有效性做出評(píng)價(jià);信息與溝通用于實(shí)現(xiàn)內(nèi)部信息系統(tǒng)與外部環(huán)境的結(jié)合，以便應(yīng)對(duì)多方面的變化，實(shí)現(xiàn)更有效的控制。

2.業(yè)務(wù)層面

業(yè)務(wù)層面控制實(shí)現(xiàn)對(duì)業(yè)務(wù)流程的檢查，相關(guān)的控制關(guān)注點(diǎn)如圖6所示。其中，信息安全策略用于保證業(yè)務(wù)正常運(yùn)營(yíng)，涉及到問(wèn)題管理、應(yīng)急管理、第三方管理、職責(zé)分離等內(nèi)容。信息安全流程用于對(duì)整個(gè)流程進(jìn)行控制，從而有效地保障信息安全，包括賬號(hào)管理、備份管理、數(shù)據(jù)中心管理、設(shè)備安全、系統(tǒng)安全等內(nèi)容。用戶(hù)培訓(xùn)包括操作人員培訓(xùn)、管理人員培訓(xùn)、專(zhuān)業(yè)人員培訓(xùn)等，以明確各自在信息化環(huán)境中應(yīng)承擔(dān)的職責(zé)。

3.技術(shù)層面

技術(shù)層面控制體現(xiàn)在系統(tǒng)的生命周期（如圖7所示）全過(guò)程。其中，總體規(guī)劃階段關(guān)注系統(tǒng)的發(fā)展戰(zhàn)略、系統(tǒng)總體結(jié)構(gòu)方案以及系統(tǒng)建設(shè)的資源分配計(jì)劃等內(nèi)容，以確保系統(tǒng)投入符合企業(yè)整體規(guī)劃;需求分析階段主要檢查用戶(hù)需求、業(yè)務(wù)流程、數(shù)據(jù)流程等分析報(bào)告;系統(tǒng)設(shè)計(jì)階段檢查相應(yīng)的系統(tǒng)設(shè)計(jì)說(shuō)明書(shū)，以檢驗(yàn)系統(tǒng)設(shè)計(jì)是否符合實(shí)際需求;系統(tǒng)實(shí)現(xiàn)測(cè)試階段應(yīng)該對(duì)具體軟件、運(yùn)行環(huán)境、技術(shù)文檔等進(jìn)行檢查、測(cè)試，確保系統(tǒng)運(yùn)行的可行性;系統(tǒng)運(yùn)行維護(hù)階段重要關(guān)注系統(tǒng)操作規(guī)范、變更流程的制定，并且重視成本效益原則，考察系統(tǒng)維護(hù)成本的合理性。

（三）三個(gè)管理維度

信息系統(tǒng)管理是以信息系統(tǒng)風(fēng)險(xiǎn)為導(dǎo)向，動(dòng)員和組織各類(lèi)資源，綜合采取各種技術(shù)手段和管理手段，對(duì)信息資產(chǎn)實(shí)施全員、全方位、全生命周期管控的過(guò)程。圖8給出了信息系統(tǒng)管理的三個(gè)維度，分別是IT治理、應(yīng)急管理和業(yè)務(wù)連續(xù)性管理。其中，應(yīng)急管理和業(yè)務(wù)連續(xù)性管理側(cè)重企業(yè)執(zhí)行力，強(qiáng)調(diào)企業(yè)管理各環(huán)節(jié)對(duì)信息系統(tǒng)價(jià)值和風(fēng)險(xiǎn)作用的影響。

1.IT治理

IT治理集中在董事會(huì)和執(zhí)行管理層，其主要職能是平衡信息技術(shù)與過(guò)程風(fēng)險(xiǎn)，確保IT戰(zhàn)略與企業(yè)戰(zhàn)略的一致性。IT治理強(qiáng)調(diào)董事會(huì)決策對(duì)信息系統(tǒng)價(jià)值和風(fēng)險(xiǎn)作用的影響，側(cè)重決策。為保證有效的IT治理，設(shè)立IT治理委員會(huì)和內(nèi)部信息系統(tǒng)審計(jì)是IT治理最重要的環(huán)節(jié)。

2.應(yīng)急管理

應(yīng)急管理可使企業(yè)在信息安全事件發(fā)生時(shí)危害度最小化。應(yīng)急響應(yīng)的經(jīng)典方法是準(zhǔn)備、檢測(cè)、遏制、根除、恢復(fù)、跟蹤（PDCERF），企業(yè)可根據(jù)其制定合適的應(yīng)急響應(yīng)體系。審計(jì)人員可以通過(guò)審查企業(yè)應(yīng)急管理情況，對(duì)企業(yè)潛在風(fēng)險(xiǎn)做出判斷，以評(píng)估企業(yè)的信息系統(tǒng)安全。

3.業(yè)務(wù)連續(xù)性管理

業(yè)務(wù)連續(xù)性管理可確保企業(yè)業(yè)務(wù)的正常運(yùn)行，主要包括業(yè)務(wù)連續(xù)性計(jì)劃和災(zāi)難恢復(fù)計(jì)劃，前者是企業(yè)應(yīng)對(duì)種種不可控因素的一種預(yù)防和反應(yīng)機(jī)制，立足于預(yù)防;后者如何以最短時(shí)間、最少損失去恢復(fù)停頓業(yè)務(wù)的處理預(yù)案，立足于事后的補(bǔ)救。審計(jì)人員應(yīng)關(guān)注企業(yè)的業(yè)務(wù)連續(xù)性計(jì)劃是否符合企業(yè)的特性、對(duì)外部環(huán)境變化的反應(yīng)程度等問(wèn)題，考察災(zāi)難恢復(fù)計(jì)劃制定的有效性、判斷其是否符合成本效益原則。

五、結(jié)語(yǔ)

本文借助分析現(xiàn)代信息系統(tǒng)審計(jì)必須具備的審計(jì)、控制和管理職能，提出了適用于現(xiàn)代信息系統(tǒng)審計(jì)的ISACM模型，詳細(xì)探討了基于ISACM模型的現(xiàn)代信息系統(tǒng)審計(jì)一般性方法體系，涉及真實(shí)性審計(jì)、安全性審計(jì)和績(jī)效審計(jì)三項(xiàng)審計(jì)類(lèi)別，涵蓋決策、技術(shù)和業(yè)務(wù)三個(gè)控制層面，關(guān)注IT治理、應(yīng)急和業(yè)務(wù)連續(xù)性三個(gè)管理維度，為互聯(lián)網(wǎng)環(huán)境下的現(xiàn)代信息系統(tǒng)審計(jì)實(shí)務(wù)提供理論模型和方法指引。

【參考文獻(xiàn)】

[1] 劉杰.我國(guó)信息系統(tǒng)審計(jì)準(zhǔn)則構(gòu)建研究[J].財(cái)會(huì)月刊，2014（17）：43-47.

[2] 張文秀，GERT VAN DER PIJL.國(guó)外信息系統(tǒng)審計(jì)規(guī)范、國(guó)家文化差異與制度移植[J].審計(jì)研究，2012（5）：14-21，35.

[3] 陳婉玲，袁若賓.COBIT及其在信息系統(tǒng)控制與審計(jì)中的應(yīng)用[J].審計(jì)研究，2006（S1）：93-96，104.

[4] 周德銘，曹洪澤.信息系統(tǒng)結(jié)構(gòu)控制審計(jì)框架研究[J].審計(jì)研究，2014（5）：32-37.

[5] 王會(huì)金.論信息系統(tǒng)審計(jì)準(zhǔn)則在我國(guó)的需求與發(fā)展[J].南京審計(jì)學(xué)院學(xué)報(bào)，2012，9（6）：1-7.

[6] 張文秀，齊興利，黃溶冰.基于COBIT的信息系統(tǒng)審計(jì)框架研究[J].南京審計(jì)學(xué)院學(xué)報(bào)，2010，7（4）：29-34.

[7] 金文，張金城.基于COBIT的信息系統(tǒng)管理、控制與審計(jì)的模型構(gòu)建研究[J].審計(jì)研究，2005（4）：75-79.

[8] 王培華，湯小莉，駱怡.COSO-ERM框架下如何構(gòu)建審計(jì)機(jī)關(guān)廉政風(fēng)險(xiǎn)防控機(jī)制[J].財(cái)會(huì)月刊，2018（7）：156-159.

[9] 施金龍，管明.基于COSO框架的中小企業(yè)內(nèi)部控制問(wèn)題探究[J].財(cái)會(huì)通訊，2016（11）：112-114.

[10] 席龍勝.基于COSO風(fēng)險(xiǎn)管理框架的審計(jì)質(zhì)量控制分析[J].商丘師范學(xué)院學(xué)報(bào)，2011，27（2）：68-73.

[11] 陳震晗.基于COSO—ERM框架的企業(yè)風(fēng)險(xiǎn)導(dǎo)向?qū)徲?jì)模型初探[J].中國(guó)內(nèi)部審計(jì)，2009（10）：41-43.