基于COBIT2019的中小企業(yè)信息系統(tǒng)審計框架研究

任藝

【摘? 要】信息系統(tǒng)現(xiàn)已成為中小企業(yè)的主要部分，而信息系統(tǒng)審計則是一種有效的信息系統(tǒng)風險防范措施。論文提供基于COBIT2019標準的中小企業(yè)信息系統(tǒng)審計架構，以使得中小企業(yè)的信息系統(tǒng)在實際使用中更加安全與有效，進而為中小企業(yè)信息系統(tǒng)審計工作提供一定的參考。

【關鍵詞】COBIT2019;信息系統(tǒng)審計;審計框架

【中圖分類號】F239.4;F276.3? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?【文獻標志碼】A? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?【文章編號】1673-1069（2022）06-0099-03

1 引言

目前，信息系統(tǒng)已成為各公司支持業(yè)務運作、實現(xiàn)業(yè)務目標的重要保證，也是公司在客戶服務和業(yè)務創(chuàng)新中的重要優(yōu)勢。信息系統(tǒng)在為公司提供多種競爭優(yōu)勢、經(jīng)濟利益的同時，也會產(chǎn)生各種風險。一旦發(fā)生安全性問題或數(shù)據(jù)泄露，將會給公司尤其是中小企業(yè)帶來很大的損失。通過對信息系統(tǒng)的審計，可以準確地反映公司信息系統(tǒng)是否能夠順利、安全地運作，從而對其進行系統(tǒng)的管理與優(yōu)化。根據(jù)在信息系統(tǒng)審計中出現(xiàn)的相關情況，制定最優(yōu)的方案，以保證信息系統(tǒng)的準確性、信息系統(tǒng)設施的穩(wěn)定性、內(nèi)部控制的相關體系的規(guī)范性，以減少中小企業(yè)信息系統(tǒng)面臨的風險。當前，在國際上最通用的標準是由ISACA推出的COBIT框架標準，它將企業(yè)的IT目標和商業(yè)目標緊緊地聯(lián)系在一起，而當前這一標準也被公認為當今世界上最領先、最權威的企業(yè)安全與信息化方面的管理和監(jiān)控規(guī)范。因此，本文基于COBIT2019對中小企業(yè)的信息系統(tǒng)審計工作進行了深入的探討。

2 COBIT2019概述

COBIT標準是美國ISACA的主要信息系統(tǒng)管理標準，同時也是美國信息安全政策和技術發(fā)展的關鍵控制目標。自首次推出至今，經(jīng)過6次修訂，已逐漸發(fā)展為世界各國公認的最先進、最權威的管理與控制系統(tǒng)，并且被世界各國所認可，當前的最新版本為COBIT2019。

基于COBIT2019架構，公司研究如何才能在信息系統(tǒng)中得到最大的收益，并使之達到最佳的收益水平，其基礎就是公司如何實現(xiàn)發(fā)展信息系統(tǒng)的目的，而實現(xiàn)目的的基礎就是對整個信息系統(tǒng)流程進行合理的管理。所以，在信息系統(tǒng)審計時，審計部門應當重視檢查系統(tǒng)中各個環(huán)節(jié)的實施情況，以保證系統(tǒng)的安全性、可靠性和經(jīng)濟效益。

3 基于COBIT2019的中小企業(yè)信息系統(tǒng)審計框架

中小企業(yè)的規(guī)模較小，其人員、資金、物質條件相對較少，難以通過多元化的方式來分散風險，其風險承受能力也不能與大型企業(yè)相提并論。我國中小企業(yè)普遍存在的重大問題是如何借助先進信息技術提升公司的生產(chǎn)經(jīng)營效果和效率，信息化建設也悄然影響著許多中小企業(yè)的存在和運作狀態(tài)。中小企業(yè)采用信息系統(tǒng)主要是為了協(xié)助公司降低生產(chǎn)成本，以及協(xié)助公司管理人員提升效率和規(guī)范公司的整體經(jīng)營。然而現(xiàn)實情況是中小企業(yè)信息系統(tǒng)應用的整體發(fā)展較慢，企業(yè)重視度不夠，在有限的資金、資源投入下，中小企業(yè)所應用的信息系統(tǒng)大多是外包建設的，前期建設簡單粗暴、系統(tǒng)交付后沒有定期進行維護管理等多種原因導致中小企業(yè)信息系統(tǒng)潛在隱患較多，信息系統(tǒng)審計時更應該細致全面，全力降低信息系統(tǒng)風險暴露的可能性。本文采用的COBIT2019框架是企業(yè)發(fā)展戰(zhàn)略目標與信息技術發(fā)展目標中間的重要紐帶，能夠實現(xiàn)信息系統(tǒng)審計目標與公司戰(zhàn)略目標之間的交互。基于COBIT2019的中小企業(yè)信息系統(tǒng)審計可以增加中小企業(yè)管理層對信息系統(tǒng)的控制力，使信息系統(tǒng)審計工作簡易并量化，可以針對中小企業(yè)信息系統(tǒng)應用形成一個持續(xù)改進的良性循環(huán)機制。下文從治理和管理目標、治理系統(tǒng)的組件兩個方面對基于COBIT2019的中小企業(yè)信息系統(tǒng)審計框架進行闡述。

3.1 治理和管理目標

為了使信息系統(tǒng)能夠促進公司經(jīng)營目標的實現(xiàn)，必須達到一系列的治理和管理目標。治理和管理的目標總是包括一個過程，以及一系列有助于達到目的的其他相關部件。治理目標涉及治理過程，而管理目標涉及管理過程。治理過程一般是由董事會和管理層來完成，而管理過程是屬于高層管理者和中層管理者的責任。COBIT2019的治理和管理目標被劃分為5個名字由動詞組成的領域，表達了其目的和所涉及的活動范圍。

治理目標包括“評估、指導、監(jiān)測”方面。在此方面，治理委員會負責評估策略計劃，引導高級管理人員實施選定的策略方案，并監(jiān)測其執(zhí)行情況。

管理目標包括以下4個方面：“調(diào)整、計劃、組織”為信息系統(tǒng)審計提供整體的組織、策略和支持;“構建、采購、實施”是對信息系統(tǒng)審計方案定義、采購和實施，并將其與經(jīng)營過程相結合;“交付、服務、支持”是為信息系統(tǒng)審計服務提供運營交付和支持，其中包括安全服務;“監(jiān)測、評價、評估”則是判斷信息系統(tǒng)審計效果與內(nèi)部績效目標、內(nèi)部控制目標以及外部需求的一致性。

3.1.1 評估、指導、監(jiān)測

“評估、指導、監(jiān)測”是信息系統(tǒng)審計的控制區(qū)，它可以判定中小企業(yè)的信息系統(tǒng)審計組織結構和人員的工作責任的明確和合理、信息系統(tǒng)審計項目計劃和流程的健全，以及信息系統(tǒng)審計結果監(jiān)控和評估的及時和有效。另外，它可以判定信息系統(tǒng)審計在計劃、創(chuàng)建、運行和監(jiān)控4個層面上運行的系統(tǒng)性和有效性?！霸u估、指導、監(jiān)測”要求各中小企業(yè)確保合理地建立和維持信息系統(tǒng)審計管理框架，力爭達到利益、風險和資源最優(yōu)，確保治理層了解信息系統(tǒng)審計的整體過程。為達到這一目標，需要確保與信息系統(tǒng)審計相關的流程可以被有效、公正地控制，遵循法規(guī)、協(xié)議和政策，并滿足董事會的監(jiān)管要求。中小企業(yè)必須保證信息系統(tǒng)審計相關的風險不會超出公司的承受能力和客戶相關風險的承受能力，并確定及控制信息系統(tǒng)審計風險對公司價值的影響，同時，將違規(guī)的可能性降到最低。

3.1.2 調(diào)整、計劃、組織

中小企業(yè)必須對公司的戰(zhàn)略目標和其他計劃要素進行信息系統(tǒng)審計，以此為基礎，實現(xiàn)所有必要的審計工作管理。中小企業(yè)需要對目前的生產(chǎn)經(jīng)營與信息技術環(huán)境、公司未來的發(fā)展方向以及信息系統(tǒng)需求進行綜合考量，決定采用何種措施來提供一種最理想的工作環(huán)境進而評估公司目前的信息系統(tǒng)風險，并制定有針對性的解決路徑，保證把重點放在公司整體的轉變進程上。在信息系統(tǒng)審計目的的基礎上，可以構建一個重要的模型來描述審計工作基礎結構和目標結構，定義相關的分類、標準、指南、程序。中小企業(yè)應該時刻關注公司信息系統(tǒng)的動向，并監(jiān)測最新的技術，主動地發(fā)掘創(chuàng)新機遇，規(guī)劃如何從公司需求和信息系統(tǒng)審計結果中受益。通過應用新興技術、理念創(chuàng)新、現(xiàn)有技術改進等，有利于中小企業(yè)提高信息系統(tǒng)審計風險管理能力。

3.1.3 構建、采購、實施

中小企業(yè)的“構建、采購、實施”是為了涵蓋新的項目產(chǎn)生的解決方案，這些方案可以滿足以往信息系統(tǒng)審計項目的需要，并且在預算范圍內(nèi)可以準時交付，一旦執(zhí)行，新的審計程序就可以運行，并且不會對現(xiàn)有的審計方法、手段造成任何影響。中小企業(yè)應該按照標準的規(guī)劃管理辦法，把審計項目的各項計劃與公司的戰(zhàn)略目標相結合，并且以一種連貫的方式進行。在實施外部采購和建立新的框架之前，企業(yè)應該首先找到解決辦法，并對需要作出分類，以確定這種需要和公司的業(yè)務流程、信息系統(tǒng)審計需求、數(shù)據(jù)類別規(guī)模、基礎設施等相一致，然后再開發(fā)、采購或者與審計業(yè)務外包商合作。為了達到以上效果，中小企業(yè)應該最大限度地在公司層面上進行可持續(xù)的信息系統(tǒng)審計組織變革，并在風險較小的情況下迅速成功地實施，公司應該以可控的方法來管理所有的變化，其中包括標準變化和業(yè)務流程、應用程序和基礎框架以及應急維護。

3.1.4 交付、服務、支持

中小企業(yè)的“交付、服務、支持”包括提供服務、安全和持續(xù)的管理、對服務使用者的支持、資料管理和操作設備，其目的是保證信息系統(tǒng)審計服務按生產(chǎn)經(jīng)營優(yōu)先順序提供，最大限度地降低成本，并保證員工能夠有效、安全地使用該被審系統(tǒng)。中小企業(yè)對被審項目對應的要求和對各種突發(fā)事件做出及時、高效的反應包括：對被審項目負責人的要求進行記錄和處理;記錄、調(diào)查、診斷、報告和處理意外事件。中小企業(yè)要找出信息系統(tǒng)審計結果體現(xiàn)出來的問題根源，對問題進行歸類。如果意外事件出現(xiàn)，應及時提出解決辦法，從而確保主要的業(yè)務過程和信息系統(tǒng)服務得以持續(xù)運作，并且可以維持資源、資產(chǎn)和信息損失在公司可以接受的范圍內(nèi)。中小企業(yè)應該定義和維持適當?shù)慕?jīng)營過程控制，以保證通過這些過程處理的信息符合所有有關的信息系統(tǒng)審計風險管理需求，一旦數(shù)據(jù)異?？梢钥焖僮R別出信息系統(tǒng)潛在的審計風險。

3.1.5 監(jiān)測、評價、評估

中小企業(yè)的“監(jiān)控、評價、評估”是指整個信息系統(tǒng)審計過程應該被定期評估，以體現(xiàn)其品質和滿足控制需求。這一領域涵蓋了業(yè)績管理、內(nèi)控監(jiān)督、規(guī)章遵守以及政府強制執(zhí)行。中小企業(yè)應該把信息系統(tǒng)審計結果整改表現(xiàn)和經(jīng)營戰(zhàn)略目標結合在一起，對風險進行測量和匯報。中小企業(yè)需要收集評價信息系統(tǒng)審計部門的指標，讓信息系統(tǒng)審計的負責管理人員能夠發(fā)現(xiàn)缺陷和低效的狀況，并進行改善;評價審計過程是否遵守法規(guī)、政策和合同規(guī)定，確保審核并實現(xiàn)上述要求，以及實現(xiàn)信息系統(tǒng)合規(guī)以及整個公司的規(guī)范。中小企業(yè)要確保實施獨立的信息系統(tǒng)審計活動，讓管理層對公司信息系統(tǒng)進行全面、準確的認識。

3.2 治理系統(tǒng)的組件

COBIT2019提出，要達到公司的治理與管理目標，必須建立一個包含多個構件的治理組件系統(tǒng)?；贑OBIT2019的中小企業(yè)信息系統(tǒng)審計框架包含以下7個主要組成部分：

①流程。流程是描述一系列的實踐和活動，以達到特定的目的，并且產(chǎn)生一套輸出的內(nèi)容，以支持整個信息系統(tǒng)的目標。中小企業(yè)信息系統(tǒng)審計應該根據(jù)企業(yè)信息系統(tǒng)應用情況制定有針對性的審計流程。

②組織結構。組織結構是企業(yè)的主要決策實體。大部分中小企業(yè)雖然沒有專門的信息系統(tǒng)審計部門，但仍然應該針對每個信息系統(tǒng)審計項目搭建臨時的完整組織結構。

③原則、政策和框架。原則、政策、框架是將理想行為轉化為實用的日常管理指導。中小企業(yè)信息系統(tǒng)審計不應該只是照搬傳統(tǒng)審計的一套原則、政策和框架，應該結合公司所用信息系統(tǒng)的特點總結出適用的信息系統(tǒng)審計工作指導框架。

④信息。在任何組織中，信息無處不在，包括企業(yè)生成和使用的全部信息，COBIT2019側重于有效運轉企業(yè)治理系統(tǒng)所需的信息。中小企業(yè)則應該提高各相關部門的配合程度，使信息系統(tǒng)審計小組可以在權限內(nèi)全面獲取真實信息。

⑤文化、道德和行為。文化、道德、行為分為個人層面與企業(yè)層面，作為治理和管理活動的成功因素之一，其價值往往被低估。中小企業(yè)爆發(fā)信息系統(tǒng)風險的危害更為嚴重，所以無論是公司層面還是員工層面都應該不斷提高對信息系統(tǒng)審計的重視度。

⑥人員、技能和能力。人員、技能、能力對作出正確決策、采取糾正行動和成功完成所有活動而言是必不可少的。中小企業(yè)雖然人力資源有限，較少公司擁有信息系統(tǒng)審計專職人員，多為兼職或外包，公司在組成信息系統(tǒng)審計小組時應該全方位權衡小組成員的數(shù)量、專業(yè)、能力等因素。

⑦服務、基礎設施和應用程序。服務、基礎設施、應用程序包括為中小企業(yè)提供信息系統(tǒng)審計的基礎設施、技術和應用程序。

4 實施保障建議

第一，健全內(nèi)控制度，建立健全的中小企業(yè)信息系統(tǒng)追蹤審計制度。在這方面，建議按照COBIT2019的規(guī)定，建立適合企業(yè)實際的信息系統(tǒng)跟蹤審計體系，科學合理界定責任，加強對信息系統(tǒng)的監(jiān)督和指導，合理地通過審計方式發(fā)現(xiàn)信息系統(tǒng)的各類情況，使得企業(yè)信息系統(tǒng)的合規(guī)審計有效地發(fā)揮作用。

第二，完善公司信息系統(tǒng)審計互評制度，同時，完善信息系統(tǒng)審計過程。而已建立COBIT框架的企業(yè)在這方面可起到引領作用，號召業(yè)內(nèi)采納信息系統(tǒng)審計的公司進行溝通，建立一定規(guī)模、數(shù)目的同行審計機構與信息系統(tǒng)審計評估模式，分享成功經(jīng)驗與失敗案例，實現(xiàn)流程與成果共享，使互評機制長期持續(xù)。

5 結語

中小企業(yè)信息化管理的主要目的，是通過對信息系統(tǒng)風險、資源和利益的均衡來達到企業(yè)的戰(zhàn)略目標。中小企業(yè)要建立信息系統(tǒng)操作風險管理和信息系統(tǒng)風險評估系統(tǒng)。同時，通過信息系統(tǒng)審計加強對信息技術的風險和隱患的排查和治理。中小企業(yè)應該建立網(wǎng)絡和信息安全突發(fā)事件的應急方案，并定期進行評估和演練，以不斷地豐富突發(fā)事件的應對和改進方案。公司應確保其具有實施戰(zhàn)略規(guī)劃的適當能力，并提供充足、適當和有效的資源。由于各中小企業(yè)的信息化狀況和所面臨的問題不盡相同，所以本文的信息系統(tǒng)審計結論是否具有普遍性還有待于深入研究。

【參考文獻】

【1】雷彬彬，楊新東，衛(wèi)小璐.基于COBIT2019框架的證券公司信息系統(tǒng)審計研究——以招商證券為例[J].財會通訊，2022（9）：140-143+148.

【2】劉磊.基于信息化平臺的企業(yè)內(nèi)部審計資源整合研究[J].財會通訊，2020（23）：139-143.