IT治理——信息系統審計與控制

2014-11-08 20:45:27 大云網　點擊量：評論 (0)

信息系統審計是指審計人員接受委托或授權，收集并評估證據以判斷一個計算機系統是否有效做到保護資產、維護數據完整并最有效率地完成組織目標的活動過程。它既包括信息系統外部審計的鑒定目標，即對被審計單位的

信息系統審計是指審計人員接受委托或授權，收集并評估證據以判斷一個計算機系統是否有效做到保護資產、維護數據完整并最有效率地完成組織目標的活動過程。它既包括信息系統外部審計的鑒定目標，即對被審計單位的信息系統保護資產安全及數據完整的鑒定，又包含內部審計的管理目標，即不僅包括被審計信息系統保護資產安全及數據完整而且包括信息系統的有效性目標。

　　信息系統審計是隨著計算機在財務會計領域的應用而產生的，作為傳統財務審計業務的一種輔助工具，對客戶的電子化會計數據進行處理和分析，為財務報表審計人員提供服務。隨著計算機技術應用范圍的不斷擴展，計算機對被審計單位各個業務環節的影響越來越大，計算機審計所關注的內容也從單純的對電子的處理，延伸到對計算機系統的可靠性、安全性進行了解和評價。

　　信息系統審計是一個獲取并評價證據，以判斷信息系統是否能夠保證資產的安全、數據的完整以及有效率地利用組織的資源并有效果地實現組織目標的過程。它是立足于組織的戰略目標，為有效的實現組織戰略目標而采取的一切活動過程都在審計師的業務之內。其業務范圍包括與信息系統有關的所有領域，例如對組織的信息系統審計（主要集中在對信息技術的管理控制）、技術方面的信息系統審計（包括架構、數據中心、數據通信等）、應用的信息系統審計（包括經營、財務）、開發實施信息系統審計（包括需求識別、設計、開發以及實施后階段）和信息系統是否符合國家或國際標準的審計以及網譽審計、電子簽名審計業務等電子商務審計。

　　信息系統審計的目的是合理保證信息系統能夠保護資產的安全、數據的完整、系統有效地實現組織目標并有效率的利用組織資源，其關注的核心是資產保護與信息系統的效率、效果。不僅包括對建設過程的審計，更重要的是對信息系統的運營審計，向公眾出具審計報告，鑒定信息系統能否保護企業資產安全，其產生、傳遞的信息是否完整，整個系統是否有效地實現組織目標并有效率的利用組織資源。只要信息系統在運行，審計活動一直存在。

　　另外，信息系統工程監理的過程是可見的，即對項目成本、進度和質量與目標出現的偏差是可見的，及時糾正也方便。但信息系統審計對信息系統的安全性、可靠性與有效性的認定具有不可見性，這也正是信息系統比工程項目復雜的主要原因。信息系統建設完畢，這僅僅是信息化的開始，大量的問題將出現在信息系統運營維護階段，因此，從這個角度而言，信息系統審計是保證信息系統質量的行之有效的方法。

　　信息系統審計的鑒定價值是指通過審計，合理地保證被審計單位信息系統及其處理、產生的信息的真實性、完整性與可靠性，政策遵循的一貫性。在市場經濟條件下，被審計單位輸出的信息資料對該單位的存在與發展及其業務經營活動非常重要，對一些利益相關者而言也非常重要。例如，在電子商務中，交易雙方在虛擬的空間進行交易活動，信息的真實性、可靠性、完整性，雙方聲明的商業政策能否一貫的遵循直接影響到交易是否順利實現或公平實現。這種情況下，不僅被審計單位自己關注其信息系統對信息資產的安全、完整、真實的作用，同時交易的另一方也非常關心。由于技術、商業機密以及距離上的限制，信息的使用者不可能親自對信息的質量做出審查，因此需要一個可信賴的一方為此提供鑒定。

　　信息系統審計可以促進被審計單位更有效地融入到社會經濟生活中，可以促進被審計單位改進內部控制，加強管理，提高信息系統實現組織目標的效率、效果。信息系統審計師在完成審計后，出具審計證明，即審計報告，以證明被審計單位信息的真實、完整、可靠。審計師的證明可以增強人們對其信息的信任程度。隨著網絡技術的普及，商業信息的在線和實時披露都是不可扭轉的必然趨勢。信息系統審計師能夠以在線、實時的信息為基礎提供鑒定，對使用信息的所有相關體而言是具有巨大價值的。這樣會給被審計單位帶來更多的資金、更多的業務及合作伙伴。同時，信息的使用者也可以借助這些信息，加強被審計單位的管理決策，提高其經濟效益。

　　信息系統審計在審計過程中發現的控制缺陷或漏洞，可以審計報告、管理建議書等形式報告給委托人或被審計單位管理當局，并提出解決問題的建議，從而促進被審計單位提高管理水平，提高經濟效益。信息系統審計的一個出發點在于從外部對被審計單位信息系統進行全面的審視，可以發現從內部看不到的問題。信息系統審計師提供的外部審視的價值既表現在用新的思維方式、新的觀點去觀察企業，分析其存在的問題及原因，也表現在以科學的態度和創新精神，去設計解決問題的方案。

　　為了減少信息化風險，信息系統審計師可憑借其專門知識和實踐經驗，受托或主動服務于被審計單位的管理者或其業務人員，在信息化過程中幫助企業或政府部門建立健全內部控制制度，進行系統診斷，根據企業需要，確定信息化的目標和內容，選擇合適的軟件產品，幫助企業或政府部門調整現有的管理架構和流程或修改軟件產品使其更好地服務于管理的需要。

　　由美國IT 治理研究院開發與推廣的”信息及相關技術的控制目標”（Control Objectives For Information and Related Technology，COBIT）標準由34 個高層控制目標和318 個細節控制目標組成，已成為國際上公認的最先進、最權威的信息技術管理和控制的標準，已在世界100 多個國家的重要組織與企業中運用。

　　COBIT 模型使得信息技術目標和戰略目標之間實現互動。COBIT 考慮了企業或政府部門自身的戰略規劃，對業務環境和企業或政府部門總的業務戰略進行分析定位，并將戰略規劃所產生的目標、政策、行動計劃作為信息技術的關鍵環境，并由此確定IT 準則。在IT 準則的指導下，利用控制目標模型，分別從規劃與組織、獲取與實施、交付與支持、監控等過程進行控制、管理信息資源。

　　COBIT 實現可跟蹤的業績衡量，通過平衡記分卡可以在財務、客戶、流程、學習等方面維持平衡，評價企業或政府部門目標的實現情況以及IT 績效，并調整業務目標和IT 戰略，進行持續的IT 管理。COBIT 采用成熟度模型，可以定位自己企業或政府部門的IT 管理目前在業界所處的位置，以及未來努力的方向。COBIT 還提供了目前最佳案例和關鍵成功因素，供企業或政府部門借鑒。

　　COBIT 覆蓋了從分析與設計到開發與實施，再到運營與維護的整個過程。對于分析與設計，重點目標是IT 與業務需求的結合，根據業務目標細化IT 戰略，確定待開放的IT 系統，進行相應的系統分析和設計。在分析與設計這樣一個流程范圍中，比傳統所說的信息系統的分析與設計要寬廣得多，它強調的是IT 的戰略要符合業務的戰略，任何信息系統的開發都應該與業務戰略保持精確的校準。