基于信息系統(tǒng)審計(jì)建立和完善信息化企業(yè)的內(nèi)部控制

周艷秋 章 雁

(上海海事大學(xué)經(jīng)濟(jì)管理學(xué)院，上海201306)

隨著信息技術(shù)在提高企業(yè)運(yùn)行效率中的應(yīng)用，使企業(yè)的信息系統(tǒng)更加龐大和復(fù)雜，這對企業(yè)有效地實(shí)施內(nèi)部控制提出了挑戰(zhàn)。網(wǎng)絡(luò)經(jīng)常掉線、服務(wù)器宕機(jī)、郵件發(fā)不出去、病毒肆虐、客戶資料被盜等事件時(shí)有發(fā)生，影響著企業(yè)的日常經(jīng)營活動。因此，在信息時(shí)代加強(qiáng)企業(yè)內(nèi)部控制，保護(hù)信息資源的安全、完整、真實(shí)，保證信息系統(tǒng)有效實(shí)現(xiàn)企業(yè)目標(biāo)日益成為現(xiàn)代企業(yè)關(guān)注的焦點(diǎn)。對于企業(yè)內(nèi)部控制的加強(qiáng)改善，傳統(tǒng)的做法是借助于公司治理，而IT治理作為公司治理中不可或缺的一環(huán)，通過加強(qiáng)企業(yè)的IT治理水平，就可以促進(jìn)其改善內(nèi)部控制水平。除此之外，還存在另一種提升企業(yè)內(nèi)部控制水平的方法——信息系統(tǒng)審計(jì)。它可以通過專業(yè)的第三方咨詢機(jī)構(gòu)幫助企業(yè)發(fā)現(xiàn)內(nèi)部控制體系的不足，并提供相應(yīng)的完善措施。

一、信息系統(tǒng)審計(jì)的概念

信息系統(tǒng)審計(jì)(IS audit)目前還沒有公認(rèn)的通用定義，國際信息系統(tǒng)審計(jì)委員會(ISACA)將其定義為“為了信息系統(tǒng)的安全、可靠與有效，由獨(dú)立于審計(jì)對象的信息系統(tǒng)審計(jì)師，以第三方的客觀立場對以計(jì)算機(jī)為核心的信息系統(tǒng)進(jìn)行綜合的檢查與評價(jià)，向信息系統(tǒng)審計(jì)對象的最高領(lǐng)導(dǎo)層，提出問題與建議的一連串的活動”。國際信息系統(tǒng)審計(jì)領(lǐng)域的權(quán)威專家Ron Weber將它定義為“收集并評估證據(jù)，以判斷一個計(jì)算機(jī)系統(tǒng)(信息系統(tǒng))是否有效做到保護(hù)資產(chǎn)、維護(hù)數(shù)據(jù)完整、完成組織目標(biāo)，同時(shí)最經(jīng)濟(jì)地使用資源”。具體而言，信息系統(tǒng)審計(jì)就是以被審計(jì)單位的信息系統(tǒng)為審計(jì)對象，通過現(xiàn)代審計(jì)理論和信息技術(shù)(IT)管理理論，從信息資產(chǎn)的安全性、數(shù)據(jù)的完整性以及系統(tǒng)的可靠性、有效性和效率性等多方面出發(fā)，對信息系統(tǒng)從研發(fā)、運(yùn)行到維護(hù)的整個生命周期的各個階段進(jìn)行審查，從而評價(jià)該信息系統(tǒng)能否滿足企業(yè)研發(fā)之初提出的需求，是否有效地達(dá)到了企業(yè)的戰(zhàn)略目標(biāo)，并從信息系統(tǒng)審計(jì)師的專業(yè)角度為改善和健全企業(yè)信息系統(tǒng)的控制提出建議的過程。

二、基于信息系統(tǒng)審計(jì)的功能分析

(一)確保IT能夠遵循并支撐企業(yè)的戰(zhàn)略目標(biāo)

《內(nèi)部審計(jì)具體準(zhǔn)則第28號——信息系統(tǒng)審計(jì)》中指出，審計(jì)人員在識別、評估組織層面、一般性控制層面的信息技術(shù)風(fēng)險(xiǎn)時(shí)需要關(guān)注業(yè)務(wù)關(guān)注度，即組織的信息技術(shù)戰(zhàn)略與組織整體發(fā)展戰(zhàn)略規(guī)劃的契合度以及信息技術(shù)(包括硬件及軟件環(huán)境)對業(yè)務(wù)和用戶需求的支持度。其實(shí)本質(zhì)上來說，信息系統(tǒng)審計(jì)主要是審計(jì)企業(yè)信息化對企業(yè)整體戰(zhàn)略的支持程度、IT戰(zhàn)略和企業(yè)總體戰(zhàn)略的匹配程度、對其業(yè)務(wù)發(fā)展的支持程度、對企業(yè)內(nèi)部組織流程和業(yè)務(wù)流程所產(chǎn)生的影響以及能否促進(jìn)其業(yè)務(wù)系統(tǒng)效率的提高等。因此，可以通過信息系統(tǒng)審計(jì)發(fā)現(xiàn)并糾正企業(yè)信息化過程中存在的問題，以確保組織信息系統(tǒng)的發(fā)展始終沿著正確的方向進(jìn)行，保持IT與業(yè)務(wù)目標(biāo)一致，最終借助IT推進(jìn)企業(yè)總體戰(zhàn)略目標(biāo)的實(shí)現(xiàn)。從這個層面上看，信息系統(tǒng)審計(jì)與企業(yè)內(nèi)部控制可謂是殊途同歸，都是為了更好地實(shí)現(xiàn)組織的戰(zhàn)略目標(biāo)。通過實(shí)施信息系統(tǒng)審計(jì)發(fā)現(xiàn)內(nèi)部控制是否有效，是否真正服務(wù)于企業(yè)總體目標(biāo)的實(shí)現(xiàn)。

(二)借鑒公認(rèn)的模型標(biāo)準(zhǔn)更全面有效地管控企業(yè)的整個運(yùn)營過程

當(dāng)前國際上關(guān)于信息系統(tǒng)審計(jì)的模型雖然還沒有一個比較通用的標(biāo)準(zhǔn)，但各種不同的信息化評估模型都采用了COBIT、ITIL(BS15000/ISO20000)、ISO/IEC17799、IT項(xiàng)目管理、信息系統(tǒng)工程監(jiān)理以及平衡記分卡等工具模型的精髓。因此，其評估模型的周衍性、權(quán)威性和合理性都得到了保證。其中，COBIT模型目前已成為國際上公認(rèn)的IT管理與控制標(biāo)準(zhǔn)，并且已升級到COBIT5.0。COBIT覆蓋整個信息系統(tǒng)的全部生命周期，其范圍最大。仔細(xì)研究COBIT中各項(xiàng)具體內(nèi)容，不難發(fā)現(xiàn)，其本身就是企業(yè)信息化過程對內(nèi)部控制的要求及如何評價(jià)這個要求的實(shí)現(xiàn)(也就是實(shí)際意義上的對信息化下內(nèi)部控制的審計(jì));ISO/IEC17799標(biāo)準(zhǔn)則側(cè)重于IT應(yīng)用過程的信息安全;ITIL標(biāo)準(zhǔn)主要運(yùn)用在信息系統(tǒng)的運(yùn)營維護(hù)階段;信息工程監(jiān)理則是最具有中國特色的標(biāo)準(zhǔn)，其標(biāo)準(zhǔn)偏重于信息化建設(shè)階段。它能夠通過專業(yè)的、全過程的監(jiān)督和管理來規(guī)范企業(yè)信息化工程的建設(shè)，達(dá)到增強(qiáng)企業(yè)對信息化工程建設(shè)內(nèi)部控制的目的。因此，可以將幾種標(biāo)準(zhǔn)整合起來實(shí)施，從而達(dá)到提升企業(yè)IT內(nèi)部控制能力的目的。

(三)通過對企業(yè)信息系統(tǒng)審計(jì)規(guī)避其內(nèi)部存在的風(fēng)險(xiǎn)

企業(yè)提升自身的內(nèi)部控制能力，就是要對風(fēng)險(xiǎn)進(jìn)行更有效地控制。信息系統(tǒng)審計(jì)是風(fēng)險(xiǎn)導(dǎo)向的審計(jì)，能夠?qū)π畔⑾到y(tǒng)的應(yīng)用狀況和綜合績效狀況進(jìn)行全面的評估。因此，信息系統(tǒng)審計(jì)所包含的內(nèi)容要大于信息系統(tǒng)治理所涵蓋的內(nèi)容。

由于信息系統(tǒng)審計(jì)的范疇相當(dāng)廣泛，包括信息安全、數(shù)據(jù)中心運(yùn)營、技術(shù)支持服務(wù)、災(zāi)難恢復(fù)與業(yè)務(wù)持續(xù)、績效與容量、基礎(chǔ)設(shè)施、硬件管理、軟件管理、數(shù)據(jù)庫管理、系統(tǒng)開發(fā)、變更管理、問題管理等，隨著信息技術(shù)的不斷發(fā)展，其審計(jì)的外延還將不斷擴(kuò)展。如果只是想借助信息系統(tǒng)審計(jì)促進(jìn)企業(yè)內(nèi)部控制水平的提升，就應(yīng)該加強(qiáng)其有關(guān)信息化風(fēng)險(xiǎn)控制方面的指標(biāo)，適當(dāng)弱化和刪除其他方面的指標(biāo)，以此達(dá)到應(yīng)用的目的。

三、促進(jìn)信息系統(tǒng)審計(jì)服務(wù)于內(nèi)部控制的建議

(一)建立中國特色的信息系統(tǒng)審計(jì)準(zhǔn)則體系

由于信息系統(tǒng)審計(jì)在中國起步比較晚，至今還沒有一套符合中國信息化建設(shè)現(xiàn)狀的信息系統(tǒng)審計(jì)體系。在開展信息系統(tǒng)審計(jì)時(shí)，審計(jì)人員一般是應(yīng)用國外的審計(jì)準(zhǔn)側(cè)和指南，并結(jié)合自己的審計(jì)經(jīng)驗(yàn)。這在一定程度上增加了審計(jì)的難度，不利于信息系統(tǒng)審計(jì)在中國的推廣應(yīng)用。因此，建立中國特色的信息系統(tǒng)審計(jì)準(zhǔn)側(cè)體系迫在眉睫。這一體系的建立一方面應(yīng)當(dāng)滿足我國信息系統(tǒng)審計(jì)的實(shí)際需求，另一方面應(yīng)該盡可能地與國際上已有的成文準(zhǔn)側(cè)、習(xí)慣做法、專業(yè)術(shù)語等保持一致，與國際慣例接軌。可采用三個層次體系結(jié)構(gòu)，以基本準(zhǔn)則為核心，統(tǒng)領(lǐng)具體準(zhǔn)則和執(zhí)業(yè)指南，以便于整個體系的不斷擴(kuò)展與完善。為提高信息系統(tǒng)審計(jì)在內(nèi)部控制建立健全方面的應(yīng)用價(jià)值，具體準(zhǔn)則在基本準(zhǔn)則的指導(dǎo)下，可以納入企業(yè)信息系統(tǒng)內(nèi)部控制評價(jià)的準(zhǔn)側(cè)，如對操作范圍的控制、人員權(quán)限控制、合法性控制、校驗(yàn)控制及預(yù)防出錯控制系統(tǒng)，進(jìn)行符合性測試與評價(jià)。

(二)企業(yè)內(nèi)部控制建立初期引入信息系統(tǒng)審計(jì)

當(dāng)企業(yè)的許多內(nèi)部控制機(jī)制經(jīng)程序化、數(shù)字化、虛擬化以后，內(nèi)部控制與信息系統(tǒng)成為一個相互融合的整體，這是企業(yè)內(nèi)部控制面臨的新問題。我國《企業(yè)內(nèi)部控制應(yīng)用指引第18號——信息系統(tǒng)》中闡述:“信息系統(tǒng)，是指企業(yè)利用計(jì)算機(jī)和通信技術(shù)，對內(nèi)部控制進(jìn)行集成、轉(zhuǎn)化和提升形成的信息化管理平臺。”該定義準(zhǔn)確地描述了信息系統(tǒng)與內(nèi)部控制的關(guān)系。內(nèi)部控制建設(shè)問題更多地轉(zhuǎn)變成信息系統(tǒng)建設(shè)問題，對內(nèi)部控制的審計(jì)也更多地轉(zhuǎn)變成對信息系統(tǒng)的審計(jì)。因此，為了保證企業(yè)內(nèi)部控制建立的有效性，信息系統(tǒng)審計(jì)師應(yīng)該在內(nèi)部控制建立初期就參與其中，從信息系統(tǒng)的角度為企業(yè)內(nèi)部控制的建設(shè)出謀獻(xiàn)策，將業(yè)務(wù)風(fēng)險(xiǎn)從源頭上加以控制，確保信息系統(tǒng)控制與業(yè)務(wù)風(fēng)險(xiǎn)控制協(xié)調(diào)一致，使企業(yè)的內(nèi)部控制真正符合成本效益原則。

(三)加快信息系統(tǒng)審計(jì)人才培養(yǎng)

信息系統(tǒng)審計(jì)要為企業(yè)內(nèi)部控制增值，實(shí)現(xiàn)這一目標(biāo)的前提是信息系統(tǒng)審計(jì)工作的開展必須是合理高效的，而配備一支專業(yè)素質(zhì)高的信息系統(tǒng)審計(jì)隊(duì)伍又是確保信息系統(tǒng)審計(jì)有效開展的關(guān)鍵。信息系統(tǒng)審計(jì)的對象具有綜合性、復(fù)雜性，包含了除財(cái)務(wù)信息以外的其他與生產(chǎn)經(jīng)營有關(guān)的所有信息系統(tǒng)，因此，信息系統(tǒng)審計(jì)師必需具備復(fù)合型知識結(jié)構(gòu)。一方面，信息系統(tǒng)審計(jì)師需要掌握會計(jì)、審計(jì)、公司治理等財(cái)經(jīng)知識，以便了解組織運(yùn)營的特征模式，從審計(jì)角度看待內(nèi)部控制的成效，識別企業(yè)運(yùn)營中的風(fēng)險(xiǎn)點(diǎn);另一方面，信息系統(tǒng)審計(jì)師也需要具備信息系統(tǒng)開發(fā)、計(jì)算機(jī)網(wǎng)絡(luò)、數(shù)據(jù)庫原理與應(yīng)用等計(jì)算機(jī)科學(xué)技術(shù)的相關(guān)知識，以評估企業(yè)信息系統(tǒng)的運(yùn)營管理與內(nèi)部控制的符合度，評價(jià)信息技術(shù)基礎(chǔ)架構(gòu)對組織目標(biāo)的支持度。

四、結(jié)語

信息技術(shù)的發(fā)展，正在改變著傳統(tǒng)的內(nèi)部控制，增強(qiáng)了信息系統(tǒng)審計(jì)與企業(yè)內(nèi)部控制的聯(lián)系。一方面，信息系統(tǒng)審計(jì)的實(shí)施依賴于企業(yè)內(nèi)部控制。一般來說，信息系統(tǒng)審計(jì)是以內(nèi)部控制為基礎(chǔ)展開的，對企業(yè)內(nèi)部控制全面了解，確定控制關(guān)鍵點(diǎn)及其風(fēng)險(xiǎn)水平是有效進(jìn)行信息系統(tǒng)審計(jì)的前提。另一方面，信息系統(tǒng)審計(jì)能為企業(yè)內(nèi)部控制的建立和完善提供寶貴意見。信息系統(tǒng)審計(jì)過程中包涵了對企業(yè)內(nèi)部控制的測試、評價(jià)以及提供改進(jìn)建議。

［1］財(cái)政部，證監(jiān)會，審計(jì)署.企業(yè)內(nèi)部控制基本規(guī)范［S］.2008.

［2］周常蘭，陳寶峰.ISACA模型——IT治理視角下的解析［J］.會計(jì)研究，2009(2).