陳 丹

1 IT審計(jì)

1.1 概念

IT治理是公司治理的一部分，公司治理在《公司治理的基本原則》中界定如下：為確定組織目標(biāo)和確保目標(biāo)實(shí)現(xiàn)的績(jī)效監(jiān)控所提供的治理結(jié)構(gòu)。IT治理理念最早由IBM引入中國(guó)，是公司治理在信息時(shí)代發(fā)展十分重要的部分，能夠有助于IT應(yīng)用更好地完成組織任務(wù)，從而確保組織目標(biāo)實(shí)現(xiàn)不偏離且更有效。

IT審計(jì)是獲取和評(píng)估證據(jù)的過程。 其主要目標(biāo)是確定和評(píng)估組織實(shí)施的風(fēng)險(xiǎn)管理環(huán)境和控制環(huán)境保證措施，并判斷控制管理聲明是否可靠，因此審計(jì)必須保持其獨(dú)立性，檢查和評(píng)估的第三方客觀立場(chǎng)。

1.2 二者的關(guān)系

IT治理確定IT審計(jì)的目標(biāo)和方向，并且IT審計(jì)獲得證據(jù)來評(píng)估相關(guān)控件的有效性，以評(píng)估其對(duì)IT治理目標(biāo)的遵守情況。IT治理必須在風(fēng)險(xiǎn)和收益之間找到平衡。通過IT審核，將不斷提升其調(diào)整IT控制環(huán)境的能力，從而使組織可以在可識(shí)別，可控制和可管理風(fēng)險(xiǎn)的環(huán)境中最大化組織的利益。因此，我們不難看出IT審計(jì)既是IT治理的組成部分, 也是IT治理的促進(jìn)因素。

2 COBIT框架概述

自IT治理概念出現(xiàn)以來，國(guó)內(nèi)外各界人士投入了大量精力研究IT治理框架，并提出了一些有效的實(shí)踐模型和國(guó)際標(biāo)準(zhǔn)。其中較為成熟的模型有COBIT、ITIL、ISO/IEC17799等。對(duì)于COBIT而言，它是通過控制IT流程、資源實(shí)現(xiàn)企業(yè)IT目標(biāo)，確保IT、信息系統(tǒng)的安全性、完整性，滿足IT治理的需要。

2.1 COBIT

1）美國(guó)信息系統(tǒng)審計(jì)與控制協(xié)會(huì)ISACA于1996年頒布了COBIT（信息和相關(guān)技術(shù)的控制目標(biāo)）。更新后的COBIT 2019結(jié)構(gòu)、內(nèi)容上都有了新的解釋。新變化大致如下：

（1）設(shè)計(jì)因素：引入了更多驅(qū)動(dòng)設(shè)計(jì)的因素，這些因素可以推動(dòng)企業(yè)治理系統(tǒng)的設(shè)計(jì)（例如，企業(yè)戰(zhàn)略，風(fēng)險(xiǎn)狀況，IT角色，IT部署方法，威脅景觀）。

（2）治理組件：企業(yè)的治理系統(tǒng)由不同類型的不同組件組成，這些組件必須整體協(xié)同工作，與COBIT 5支持者進(jìn)行比較大大簡(jiǎn)化。

（3）重點(diǎn)領(lǐng)域：重點(diǎn)領(lǐng)域指南將適用于信息安全，信息和技術(shù)風(fēng)險(xiǎn)，中小型企業(yè)和DevOps等更多可能、可行和計(jì)劃的，這些變化的詳細(xì)描述可以在COBIT 2019框架中找到。

總之，COBIT 2019允許企業(yè)設(shè)計(jì)、運(yùn)營(yíng)和完善適合其需求的治理系統(tǒng)。精簡(jiǎn)、有效和高效的治理系統(tǒng)的設(shè)計(jì)基于許多設(shè)計(jì)因素。從早期版本COBIT（在大多數(shù)情況下為COBIT 5）遷移到此新版本的影響與任何遷移非常相似，這意味著潛在的用戶需要采取以下步驟：了解新版本并評(píng)估在多大程度上新功能或更改功能對(duì)企業(yè)有利；了解遷移所需的更改和相關(guān)工作；完成業(yè)務(wù)案例，通過所需的努力權(quán)衡潛在收益，并在取得積極成果的情況下，查看COBIT 2019實(shí)施指南以建立治理改進(jìn)計(jì)劃，包括適當(dāng)?shù)慕M織變更管理和計(jì)劃管理。

2）COBIT與其他準(zhǔn)則的關(guān)系及其優(yōu)勢(shì)

（1）COBIT與GTAG、FISCAM等準(zhǔn)則的關(guān)系

COBIT、GTAG、FISCAM、COSO等準(zhǔn)則是由不同的國(guó)家，不同組織、不同的機(jī)構(gòu)發(fā)布的, 其準(zhǔn)則各自的適用的方面也各有不同,但這些國(guó)際準(zhǔn)則在一定程度上有一致性。例如，準(zhǔn)則關(guān)注的重點(diǎn)主要側(cè)重于控制、安全以及服務(wù)。COBIT善于學(xué)習(xí)和借鑒業(yè)內(nèi)已有的相關(guān)準(zhǔn)則的優(yōu)點(diǎn),注重和其他準(zhǔn)則的結(jié)合。其中，F(xiàn)ISCAM與COBIT的準(zhǔn)則角度比較接近, 都是針對(duì)信息系統(tǒng)的控制方面。FISCAM包含一般控制、應(yīng)用控制兩大塊，COBIT有基于風(fēng)險(xiǎn)的IT一般控制、IT服務(wù)、信息安全和內(nèi)部控制等方面。同時(shí)，其更加注重不斷學(xué)習(xí)吸收其他國(guó)際先進(jìn)標(biāo)準(zhǔn)方法,與自身準(zhǔn)則不斷結(jié)合改進(jìn)，優(yōu)化自身結(jié)構(gòu), 從而完善COBIT準(zhǔn)則基于風(fēng)險(xiǎn)的IT一般控制、IT服務(wù)、信息安全和內(nèi)部控制等方面的內(nèi)容。除此之外，COBIT準(zhǔn)則讓不同用戶根據(jù)自身不同需點(diǎn),創(chuàng)造性結(jié)合COBIT與GTAG 、與FISCAM等其他國(guó)際準(zhǔn)則,從而更優(yōu)實(shí)現(xiàn)審計(jì)目標(biāo)，尤其是和信息系統(tǒng)相關(guān)的目標(biāo)，更具優(yōu)勢(shì)。

簡(jiǎn)而言之，COBIT的優(yōu)勢(shì)有具有普遍公認(rèn)的IT治理的良好實(shí)踐，同時(shí)也是IT治理及相關(guān)標(biāo)準(zhǔn)和理念的集大成者。基于以上優(yōu)勢(shì)，我們選擇COBIT。

3 COBIT框架在IT治理、IT審計(jì)的應(yīng)用

3.1 基于COBIT標(biāo)準(zhǔn)的IT治理體系

實(shí)施IT治理的目標(biāo)是幫助管理層建立IT戰(zhàn)略，并且通過實(shí)施這些IT戰(zhàn)略，促進(jìn)組織、公司的發(fā)展。 依據(jù)IT治理的目標(biāo)的不同，IT治理大致劃分為五個(gè)領(lǐng)域：戰(zhàn)略匹配，價(jià)值交付，資源管理，風(fēng)險(xiǎn)管理和績(jī)效評(píng)估。 同時(shí)，COBIT為每個(gè)IT流程提供了各自的關(guān)鍵指標(biāo)以及成熟度模型。構(gòu)建COBIT標(biāo)準(zhǔn)的IT治理體系，通過對(duì)上述指標(biāo)的監(jiān)控和評(píng)估，能夠確保IT決策及IT治理的成功。

3.2 基于COBIT標(biāo)準(zhǔn)的IT治理需改進(jìn)之處

1）缺乏相對(duì)的重要程度劃分。COBIT采用了層次結(jié)構(gòu)的方法，依于此，IT流程分為了4個(gè)域：計(jì)劃與組織，獲取與實(shí)施，交付與支持和監(jiān)控與評(píng)價(jià)；34個(gè)過程，比如COBIT4.1包含的34個(gè)信息技術(shù)過程控制，域和過程劃分詳盡，但是不足之處在于COBIT劃分之中并未給出各個(gè)域、各個(gè)過程之間各自的關(guān)鍵度，以及域域、過程與過程之間的相對(duì)關(guān)鍵度。

因此，可考慮實(shí)施COBIT標(biāo)準(zhǔn)時(shí)，企業(yè)能夠根據(jù)該模型計(jì)算和衡量出COBIT框架中不同域和過程的相對(duì)權(quán)重和影響度。如葉世綺、陳琳（2010）參照COBIT4.1標(biāo)準(zhǔn)34個(gè)IT過程涉及到的IT資源和信息準(zhǔn)則，計(jì)算出四個(gè)域（PO，AI，DS，ME）的權(quán)重矩陣，進(jìn)而建立改進(jìn)的COBIT量化擴(kuò)展模型（The Extended Framework Model）。

2）缺乏定量描述。COBIT側(cè)重定性，這樣的控制框架往往缺乏定量的描述。 COBIT標(biāo)準(zhǔn)提出了管理辦法指南，其中包括：成熟度模型、關(guān)鍵成功要素、關(guān)鍵目標(biāo)指標(biāo)。為了更好實(shí)現(xiàn)企業(yè)戰(zhàn)略目標(biāo)，高效整合企業(yè)控制信息系統(tǒng)和業(yè)務(wù)流程相關(guān)過程十分重要。但是從量化的角度來看，這樣一個(gè)定性的控制框架，缺乏對(duì)量的描述。例如，COBIT4.1提供了成熟度模型，將IT過程劃分為0，1，2，3，4，5這樣六個(gè)成熟度等級(jí)，分別匹配文字描述各等級(jí)，但是對(duì)于成熟度的判斷缺乏明確指標(biāo)，這樣一個(gè)限制，使得判斷極易受主觀因素影響，成熟度評(píng)價(jià)也不夠精準(zhǔn)，無法真實(shí)客觀地反映組織情況，難以實(shí)現(xiàn)最初的目標(biāo)，極易在過程中走偏。因此，可結(jié)合蛛網(wǎng)圖、敏感性分析和回溯分析 等評(píng)價(jià)方法綜合運(yùn)用，使得COBIT評(píng)價(jià)方法達(dá)到及定性也定量，評(píng)價(jià)方法更科學(xué)，結(jié)果更真實(shí)。

3.3 COBIT框架在IT審計(jì)的應(yīng)用現(xiàn)狀

COBIT框架是管理、控制企業(yè)信息化提供的一個(gè)標(biāo)準(zhǔn)，實(shí)現(xiàn)管理層與IT審計(jì)信息化之間的便捷高效溝通，從而完成治理目標(biāo)。從而實(shí)現(xiàn)IT審計(jì)對(duì)企業(yè)治理信息化合理化評(píng)判。COBIT框架在IT審計(jì)應(yīng)用中存在的問題：

1）缺乏符合我國(guó)IT審計(jì)的理論。COBIT框架畢竟是國(guó)際標(biāo)準(zhǔn)，且國(guó)外發(fā)展 IT審計(jì)早于我國(guó)，較為成熟，生搬硬套COBIT框架運(yùn)用到我國(guó)IT審計(jì)是行不通的。且隨著IT時(shí)代的高速發(fā)展，信息技術(shù)不斷發(fā)展系統(tǒng)也在不斷優(yōu)化改進(jìn)，我國(guó)IT審計(jì)缺乏系統(tǒng)的法規(guī)、準(zhǔn)則亟待解決。

2）缺乏IT審計(jì)相關(guān)人才。我國(guó)傳統(tǒng)審計(jì)局面雖已實(shí)現(xiàn)向信息化不斷轉(zhuǎn)變，各大審計(jì)軟件的運(yùn)用業(yè)已普遍，但是還是基于傳統(tǒng)的查賬審計(jì)方式轉(zhuǎn)為電子查賬審計(jì)，提高效率，但未發(fā)生實(shí)質(zhì)性的飛躍，也是制約IT審計(jì)發(fā)展的原因之一，也就缺少人才向IT審計(jì)發(fā)展。大致存在的問題如下：首先，企業(yè)組織等在對(duì)于IT審計(jì)認(rèn)識(shí)不足，人員結(jié)構(gòu)就不夠合理；同時(shí)，企業(yè)普遍缺乏IT審計(jì)所需要的復(fù)合型人才的培訓(xùn)制度，同時(shí)，IT審計(jì)對(duì)于信息技術(shù)的要求本身存在一定難度。

3）缺乏符合我國(guó)IT審計(jì)的標(biāo)準(zhǔn)。目前，它尚未計(jì)劃和制定一套可以與國(guó)際標(biāo)準(zhǔn)接軌或具有中國(guó)特色的IT審計(jì)標(biāo)準(zhǔn)和特定行業(yè)標(biāo)準(zhǔn)，因此目前的IT審計(jì)尚無明確的方向和標(biāo)準(zhǔn)。

3.4 COBIT框架在IT審計(jì)應(yīng)用中改進(jìn)建議

1）IT規(guī)劃的審計(jì)。IT的規(guī)劃組織的有效性直接影響信息系統(tǒng)的效能（穩(wěn)定性、高效性、可靠性等）。未來IT審計(jì)越來越依賴信息系統(tǒng)，那么首先要確保其可靠性，否則反而影響安全性。同時(shí)，IT審計(jì)模塊和財(cái)務(wù)模塊的一致性和協(xié)調(diào)性也是應(yīng)當(dāng)一直建設(shè)和考慮的方面。

2）數(shù)據(jù)建設(shè)的審計(jì)。信息是審計(jì)賴以分析的源頭，也是企業(yè)的重要資產(chǎn)，那么在IT審計(jì)時(shí) 如何確保數(shù)據(jù)的安全，以及系統(tǒng)故障時(shí)有無備份、以及系統(tǒng)對(duì)于大量數(shù)據(jù)的支撐度，保密度都是需要考慮的。IT審計(jì)要突出數(shù)據(jù)建設(shè)的核心地位，確保數(shù)據(jù)安全、完整，以及應(yīng)對(duì)特殊災(zāi)難的恢復(fù)措施，系統(tǒng)的日常維護(hù)等。信息系統(tǒng)審計(jì)若想達(dá)到傳統(tǒng)審計(jì)所未曾企及的高質(zhì)量，一定需要大量數(shù)據(jù)支撐，數(shù)據(jù)安全尤為重要。同時(shí)，要考慮系統(tǒng)支撐度。信息服務(wù)的有效實(shí)現(xiàn)依靠信息系統(tǒng)的支撐，所以對(duì)信息系統(tǒng)提出了新的要求。平時(shí)應(yīng)當(dāng)加強(qiáng)對(duì)信息系統(tǒng)的日常監(jiān)管、維護(hù)、測(cè)試，以保證穩(wěn)定性、可靠及可用性。

3）企業(yè)方面

（1）優(yōu)化審計(jì)軟件。雖然我國(guó)IT審計(jì)起步晚，審計(jì)系統(tǒng)開發(fā)完善一直是存在的問題。目前，IT審計(jì)軟件應(yīng)用不斷改善，有了很大的進(jìn)步，但是自動(dòng)化程度不夠高，需借鑒國(guó)外IT審計(jì)項(xiàng)目經(jīng)驗(yàn)，探究開發(fā)應(yīng)對(duì)不同企業(yè)特制的審計(jì)軟件，是審計(jì)軟件的便利性提高，提高自動(dòng)化，同時(shí)考慮風(fēng)險(xiǎn)控制、風(fēng)險(xiǎn)管理的運(yùn)用結(jié)合。

（2）培訓(xùn)和招聘復(fù)合IT審計(jì)人才。目前IT審計(jì)部門的人員種仍然缺少與計(jì)算機(jī)審計(jì)相關(guān)的專業(yè)人才，而且許多IT審計(jì)人員不具備計(jì)算機(jī)和審計(jì)的專業(yè)素質(zhì)。 公司在招聘人才時(shí)，可以有意識(shí)地并適當(dāng)?shù)卦鰪?qiáng)對(duì)復(fù)合型人才的需求。 對(duì)于沒有相應(yīng)知識(shí)的審計(jì)師，我們可以提供培訓(xùn)，定期的在職培訓(xùn)，日常檢查，并培養(yǎng)具備軟硬件維護(hù)能力，了解軟件開發(fā)和設(shè)計(jì)以及理解審計(jì)實(shí)踐的復(fù)合型人才，這樣他們就可以發(fā)揮IT審計(jì)的作用。

（3）管理制度。企業(yè)內(nèi)審應(yīng)當(dāng)注重對(duì)IT審計(jì)系統(tǒng)的評(píng)估。結(jié)合企業(yè)特點(diǎn)來確認(rèn)系統(tǒng)需要有哪些節(jié)點(diǎn)和方面進(jìn)行審計(jì)檢測(cè)，對(duì)審計(jì)軟件設(shè)置、日常管理等流程進(jìn)行綜合評(píng)估。

4）國(guó)家方面。對(duì)于IT審計(jì)缺乏的理論、準(zhǔn)則，應(yīng)當(dāng)需要國(guó)家出臺(tái)相關(guān)規(guī)范、系統(tǒng)的IT審計(jì)相關(guān)法規(guī)，針對(duì)政府部門、企業(yè)相關(guān)IT審計(jì)崗聘用制定任用標(biāo)準(zhǔn)，對(duì)IT審計(jì)從業(yè)人員評(píng)估層次、水平的鑒定提供統(tǒng)一參考標(biāo)準(zhǔn)。強(qiáng)化理論知識(shí)的學(xué)習(xí)，吸納國(guó)際成功模型、準(zhǔn)則，結(jié)合我國(guó)國(guó)情，制定本土化IT審計(jì)方案。

4 結(jié)束語

如今，隨著信息技術(shù)的不斷發(fā)展，社會(huì)大環(huán)境產(chǎn)生了一系列變化，例如：IT的應(yīng)用日益廣泛，業(yè)務(wù)依賴程度越來越高；IT投資規(guī)模巨大和ROI無法量化；IT風(fēng)險(xiǎn)加劇；IT業(yè)務(wù)溝通需要和外部嚴(yán)格的監(jiān)管的需求等，COBIT的產(chǎn)生可以說是應(yīng)需而生。我國(guó)需要立足國(guó)情，制定出一套科學(xué)系統(tǒng)的有關(guān)信息系統(tǒng)審計(jì)的準(zhǔn)則與指南。同時(shí)，繼續(xù)深入研究國(guó)際相關(guān)信息系統(tǒng)準(zhǔn)則，借鑒其方法與理念，研究如何更好地與我國(guó)實(shí)際情況相結(jié)合。IT審計(jì)實(shí)質(zhì)是檢查、評(píng)估，具有判斷IT控制是否可實(shí)現(xiàn)IT治理目標(biāo)，是IT治理水平的提高的核心內(nèi)容。要努力完善我國(guó)IT審計(jì)方面的法規(guī)和標(biāo)準(zhǔn)，發(fā)展IT審計(jì)從業(yè)人員，充分借鑒COBIT框架的內(nèi)容，結(jié)合國(guó)情制定更靈活的評(píng)價(jià)標(biāo)準(zhǔn)，更好應(yīng)對(duì)企業(yè)差異化，推動(dòng)使得IT審計(jì)的高校應(yīng)用，從而促進(jìn)IT治理快速發(fā)展。