任藝

（重慶理工大學(xué) 會(huì)計(jì)學(xué)院，重慶 400054）

1 引言

目前，信息系統(tǒng)已成為各公司支持業(yè)務(wù)運(yùn)作、實(shí)現(xiàn)業(yè)務(wù)目標(biāo)的重要保證，也是公司在客戶服務(wù)和業(yè)務(wù)創(chuàng)新中的重要優(yōu)勢(shì)。信息系統(tǒng)在為公司提供多種競(jìng)爭(zhēng)優(yōu)勢(shì)、經(jīng)濟(jì)利益的同時(shí)，也會(huì)產(chǎn)生各種風(fēng)險(xiǎn)。一旦發(fā)生安全性問題或數(shù)據(jù)泄露，將會(huì)給公司尤其是中小企業(yè)帶來很大的損失。通過對(duì)信息系統(tǒng)的審計(jì)，可以準(zhǔn)確地反映公司信息系統(tǒng)是否能夠順利、安全地運(yùn)作，從而對(duì)其進(jìn)行系統(tǒng)的管理與優(yōu)化。根據(jù)在信息系統(tǒng)審計(jì)中出現(xiàn)的相關(guān)情況，制定最優(yōu)的方案，以保證信息系統(tǒng)的準(zhǔn)確性、信息系統(tǒng)設(shè)施的穩(wěn)定性、內(nèi)部控制的相關(guān)體系的規(guī)范性，以減少中小企業(yè)信息系統(tǒng)面臨的風(fēng)險(xiǎn)。當(dāng)前，在國際上最通用的標(biāo)準(zhǔn)是由ISACA 推出的COBIT 框架標(biāo)準(zhǔn)，它將企業(yè)的IT 目標(biāo)和商業(yè)目標(biāo)緊緊地聯(lián)系在一起，而當(dāng)前這一標(biāo)準(zhǔn)也被公認(rèn)為當(dāng)今世界上最領(lǐng)先、最權(quán)威的企業(yè)安全與信息化方面的管理和監(jiān)控規(guī)范。因此，本文基于COBIT2019 對(duì)中小企業(yè)的信息系統(tǒng)審計(jì)工作進(jìn)行了深入的探討。

2 COBIT2019 概述

COBIT 標(biāo)準(zhǔn)是美國ISACA 的主要信息系統(tǒng)管理標(biāo)準(zhǔn)，同時(shí)也是美國信息安全政策和技術(shù)發(fā)展的關(guān)鍵控制目標(biāo)。自首次推出至今，經(jīng)過6 次修訂，已逐漸發(fā)展為世界各國公認(rèn)的最先進(jìn)、最權(quán)威的管理與控制系統(tǒng)，并且被世界各國所認(rèn)可，當(dāng)前的最新版本為COBIT2019。

基于COBIT2019 架構(gòu)，公司研究如何才能在信息系統(tǒng)中得到最大的收益，并使之達(dá)到最佳的收益水平，其基礎(chǔ)就是公司如何實(shí)現(xiàn)發(fā)展信息系統(tǒng)的目的，而實(shí)現(xiàn)目的的基礎(chǔ)就是對(duì)整個(gè)信息系統(tǒng)流程進(jìn)行合理的管理。所以，在信息系統(tǒng)審計(jì)時(shí)，審計(jì)部門應(yīng)當(dāng)重視檢查系統(tǒng)中各個(gè)環(huán)節(jié)的實(shí)施情況，以保證系統(tǒng)的安全性、可靠性和經(jīng)濟(jì)效益。

3 基于COBIT2019 的中小企業(yè)信息系統(tǒng)審計(jì)框架

中小企業(yè)的規(guī)模較小，其人員、資金、物質(zhì)條件相對(duì)較少，難以通過多元化的方式來分散風(fēng)險(xiǎn)，其風(fēng)險(xiǎn)承受能力也不能與大型企業(yè)相提并論。我國中小企業(yè)普遍存在的重大問題是如何借助先進(jìn)信息技術(shù)提升公司的生產(chǎn)經(jīng)營(yíng)效果和效率，信息化建設(shè)也悄然影響著許多中小企業(yè)的存在和運(yùn)作狀態(tài)。中小企業(yè)采用信息系統(tǒng)主要是為了協(xié)助公司降低生產(chǎn)成本，以及協(xié)助公司管理人員提升效率和規(guī)范公司的整體經(jīng)營(yíng)。然而現(xiàn)實(shí)情況是中小企業(yè)信息系統(tǒng)應(yīng)用的整體發(fā)展較慢，企業(yè)重視度不夠，在有限的資金、資源投入下，中小企業(yè)所應(yīng)用的信息系統(tǒng)大多是外包建設(shè)的，前期建設(shè)簡(jiǎn)單粗暴、系統(tǒng)交付后沒有定期進(jìn)行維護(hù)管理等多種原因?qū)е轮行∑髽I(yè)信息系統(tǒng)潛在隱患較多，信息系統(tǒng)審計(jì)時(shí)更應(yīng)該細(xì)致全面，全力降低信息系統(tǒng)風(fēng)險(xiǎn)暴露的可能性。本文采用的COBIT2019 框架是企業(yè)發(fā)展戰(zhàn)略目標(biāo)與信息技術(shù)發(fā)展目標(biāo)中間的重要紐帶，能夠?qū)崿F(xiàn)信息系統(tǒng)審計(jì)目標(biāo)與公司戰(zhàn)略目標(biāo)之間的交互。基于COBIT2019 的中小企業(yè)信息系統(tǒng)審計(jì)可以增加中小企業(yè)管理層對(duì)信息系統(tǒng)的控制力，使信息系統(tǒng)審計(jì)工作簡(jiǎn)易并量化，可以針對(duì)中小企業(yè)信息系統(tǒng)應(yīng)用形成一個(gè)持續(xù)改進(jìn)的良性循環(huán)機(jī)制。下文從治理和管理目標(biāo)、治理系統(tǒng)的組件兩個(gè)方面對(duì)基于COBIT2019 的中小企業(yè)信息系統(tǒng)審計(jì)框架進(jìn)行闡述。

3.1 治理和管理目標(biāo)

為了使信息系統(tǒng)能夠促進(jìn)公司經(jīng)營(yíng)目標(biāo)的實(shí)現(xiàn)，必須達(dá)到一系列的治理和管理目標(biāo)。治理和管理的目標(biāo)總是包括一個(gè)過程，以及一系列有助于達(dá)到目的的其他相關(guān)部件。治理目標(biāo)涉及治理過程，而管理目標(biāo)涉及管理過程。治理過程一般是由董事會(huì)和管理層來完成，而管理過程是屬于高層管理者和中層管理者的責(zé)任。COBIT2019 的治理和管理目標(biāo)被劃分為5 個(gè)名字由動(dòng)詞組成的領(lǐng)域，表達(dá)了其目的和所涉及的活動(dòng)范圍。

治理目標(biāo)包括“評(píng)估、指導(dǎo)、監(jiān)測(cè)”方面。在此方面，治理委員會(huì)負(fù)責(zé)評(píng)估策略計(jì)劃，引導(dǎo)高級(jí)管理人員實(shí)施選定的策略方案，并監(jiān)測(cè)其執(zhí)行情況。

管理目標(biāo)包括以下4 個(gè)方面：“調(diào)整、計(jì)劃、組織”為信息系統(tǒng)審計(jì)提供整體的組織、策略和支持；“構(gòu)建、采購、實(shí)施”是對(duì)信息系統(tǒng)審計(jì)方案定義、采購和實(shí)施，并將其與經(jīng)營(yíng)過程相結(jié)合；“交付、服務(wù)、支持”是為信息系統(tǒng)審計(jì)服務(wù)提供運(yùn)營(yíng)交付和支持，其中包括安全服務(wù)；“監(jiān)測(cè)、評(píng)價(jià)、評(píng)估”則是判斷信息系統(tǒng)審計(jì)效果與內(nèi)部績(jī)效目標(biāo)、內(nèi)部控制目標(biāo)以及外部需求的一致性。

3.1.1 評(píng)估、指導(dǎo)、監(jiān)測(cè)

“評(píng)估、指導(dǎo)、監(jiān)測(cè)”是信息系統(tǒng)審計(jì)的控制區(qū)，它可以判定中小企業(yè)的信息系統(tǒng)審計(jì)組織結(jié)構(gòu)和人員的工作責(zé)任的明確和合理、信息系統(tǒng)審計(jì)項(xiàng)目計(jì)劃和流程的健全，以及信息系統(tǒng)審計(jì)結(jié)果監(jiān)控和評(píng)估的及時(shí)和有效。另外，它可以判定信息系統(tǒng)審計(jì)在計(jì)劃、創(chuàng)建、運(yùn)行和監(jiān)控4 個(gè)層面上運(yùn)行的系統(tǒng)性和有效性?！霸u(píng)估、指導(dǎo)、監(jiān)測(cè)”要求各中小企業(yè)確保合理地建立和維持信息系統(tǒng)審計(jì)管理框架，力爭(zhēng)達(dá)到利益、風(fēng)險(xiǎn)和資源最優(yōu)，確保治理層了解信息系統(tǒng)審計(jì)的整體過程。為達(dá)到這一目標(biāo)，需要確保與信息系統(tǒng)審計(jì)相關(guān)的流程可以被有效、公正地控制，遵循法規(guī)、協(xié)議和政策，并滿足董事會(huì)的監(jiān)管要求。中小企業(yè)必須保證信息系統(tǒng)審計(jì)相關(guān)的風(fēng)險(xiǎn)不會(huì)超出公司的承受能力和客戶相關(guān)風(fēng)險(xiǎn)的承受能力，并確定及控制信息系統(tǒng)審計(jì)風(fēng)險(xiǎn)對(duì)公司價(jià)值的影響，同時(shí)，將違規(guī)的可能性降到最低。

3.1.2 調(diào)整、計(jì)劃、組織

中小企業(yè)必須對(duì)公司的戰(zhàn)略目標(biāo)和其他計(jì)劃要素進(jìn)行信息系統(tǒng)審計(jì)，以此為基礎(chǔ)，實(shí)現(xiàn)所有必要的審計(jì)工作管理。中小企業(yè)需要對(duì)目前的生產(chǎn)經(jīng)營(yíng)與信息技術(shù)環(huán)境、公司未來的發(fā)展方向以及信息系統(tǒng)需求進(jìn)行綜合考量，決定采用何種措施來提供一種最理想的工作環(huán)境進(jìn)而評(píng)估公司目前的信息系統(tǒng)風(fēng)險(xiǎn)，并制定有針對(duì)性的解決路徑，保證把重點(diǎn)放在公司整體的轉(zhuǎn)變進(jìn)程上。在信息系統(tǒng)審計(jì)目的的基礎(chǔ)上，可以構(gòu)建一個(gè)重要的模型來描述審計(jì)工作基礎(chǔ)結(jié)構(gòu)和目標(biāo)結(jié)構(gòu)，定義相關(guān)的分類、標(biāo)準(zhǔn)、指南、程序。中小企業(yè)應(yīng)該時(shí)刻關(guān)注公司信息系統(tǒng)的動(dòng)向，并監(jiān)測(cè)最新的技術(shù)，主動(dòng)地發(fā)掘創(chuàng)新機(jī)遇，規(guī)劃如何從公司需求和信息系統(tǒng)審計(jì)結(jié)果中受益。通過應(yīng)用新興技術(shù)、理念創(chuàng)新、現(xiàn)有技術(shù)改進(jìn)等，有利于中小企業(yè)提高信息系統(tǒng)審計(jì)風(fēng)險(xiǎn)管理能力。

3.1.3 構(gòu)建、采購、實(shí)施

中小企業(yè)的“構(gòu)建、采購、實(shí)施”是為了涵蓋新的項(xiàng)目產(chǎn)生的解決方案，這些方案可以滿足以往信息系統(tǒng)審計(jì)項(xiàng)目的需要，并且在預(yù)算范圍內(nèi)可以準(zhǔn)時(shí)交付，一旦執(zhí)行，新的審計(jì)程序就可以運(yùn)行，并且不會(huì)對(duì)現(xiàn)有的審計(jì)方法、手段造成任何影響。中小企業(yè)應(yīng)該按照標(biāo)準(zhǔn)的規(guī)劃管理辦法，把審計(jì)項(xiàng)目的各項(xiàng)計(jì)劃與公司的戰(zhàn)略目標(biāo)相結(jié)合，并且以一種連貫的方式進(jìn)行。在實(shí)施外部采購和建立新的框架之前，企業(yè)應(yīng)該首先找到解決辦法，并對(duì)需要作出分類，以確定這種需要和公司的業(yè)務(wù)流程、信息系統(tǒng)審計(jì)需求、數(shù)據(jù)類別規(guī)模、基礎(chǔ)設(shè)施等相一致，然后再開發(fā)、采購或者與審計(jì)業(yè)務(wù)外包商合作。為了達(dá)到以上效果，中小企業(yè)應(yīng)該最大限度地在公司層面上進(jìn)行可持續(xù)的信息系統(tǒng)審計(jì)組織變革，并在風(fēng)險(xiǎn)較小的情況下迅速成功地實(shí)施，公司應(yīng)該以可控的方法來管理所有的變化，其中包括標(biāo)準(zhǔn)變化和業(yè)務(wù)流程、應(yīng)用程序和基礎(chǔ)框架以及應(yīng)急維護(hù)。

3.1.4 交付、服務(wù)、支持

中小企業(yè)的“交付、服務(wù)、支持”包括提供服務(wù)、安全和持續(xù)的管理、對(duì)服務(wù)使用者的支持、資料管理和操作設(shè)備，其目的是保證信息系統(tǒng)審計(jì)服務(wù)按生產(chǎn)經(jīng)營(yíng)優(yōu)先順序提供，最大限度地降低成本，并保證員工能夠有效、安全地使用該被審系統(tǒng)。中小企業(yè)對(duì)被審項(xiàng)目對(duì)應(yīng)的要求和對(duì)各種突發(fā)事件做出及時(shí)、高效的反應(yīng)包括：對(duì)被審項(xiàng)目負(fù)責(zé)人的要求進(jìn)行記錄和處理；記錄、調(diào)查、診斷、報(bào)告和處理意外事件。中小企業(yè)要找出信息系統(tǒng)審計(jì)結(jié)果體現(xiàn)出來的問題根源，對(duì)問題進(jìn)行歸類。如果意外事件出現(xiàn)，應(yīng)及時(shí)提出解決辦法，從而確保主要的業(yè)務(wù)過程和信息系統(tǒng)服務(wù)得以持續(xù)運(yùn)作，并且可以維持資源、資產(chǎn)和信息損失在公司可以接受的范圍內(nèi)。中小企業(yè)應(yīng)該定義和維持適當(dāng)?shù)慕?jīng)營(yíng)過程控制，以保證通過這些過程處理的信息符合所有有關(guān)的信息系統(tǒng)審計(jì)風(fēng)險(xiǎn)管理需求，一旦數(shù)據(jù)異?？梢钥焖僮R(shí)別出信息系統(tǒng)潛在的審計(jì)風(fēng)險(xiǎn)。

3.1.5 監(jiān)測(cè)、評(píng)價(jià)、評(píng)估

中小企業(yè)的“監(jiān)控、評(píng)價(jià)、評(píng)估”是指整個(gè)信息系統(tǒng)審計(jì)過程應(yīng)該被定期評(píng)估，以體現(xiàn)其品質(zhì)和滿足控制需求。這一領(lǐng)域涵蓋了業(yè)績(jī)管理、內(nèi)控監(jiān)督、規(guī)章遵守以及政府強(qiáng)制執(zhí)行。中小企業(yè)應(yīng)該把信息系統(tǒng)審計(jì)結(jié)果整改表現(xiàn)和經(jīng)營(yíng)戰(zhàn)略目標(biāo)結(jié)合在一起，對(duì)風(fēng)險(xiǎn)進(jìn)行測(cè)量和匯報(bào)。中小企業(yè)需要收集評(píng)價(jià)信息系統(tǒng)審計(jì)部門的指標(biāo)，讓信息系統(tǒng)審計(jì)的負(fù)責(zé)管理人員能夠發(fā)現(xiàn)缺陷和低效的狀況，并進(jìn)行改善；評(píng)價(jià)審計(jì)過程是否遵守法規(guī)、政策和合同規(guī)定，確保審核并實(shí)現(xiàn)上述要求，以及實(shí)現(xiàn)信息系統(tǒng)合規(guī)以及整個(gè)公司的規(guī)范。中小企業(yè)要確保實(shí)施獨(dú)立的信息系統(tǒng)審計(jì)活動(dòng)，讓管理層對(duì)公司信息系統(tǒng)進(jìn)行全面、準(zhǔn)確的認(rèn)識(shí)。

3.2 治理系統(tǒng)的組件

COBIT2019 提出，要達(dá)到公司的治理與管理目標(biāo)，必須建立一個(gè)包含多個(gè)構(gòu)件的治理組件系統(tǒng)。基于COBIT2019 的中小企業(yè)信息系統(tǒng)審計(jì)框架包含以下7 個(gè)主要組成部分：

①流程。流程是描述一系列的實(shí)踐和活動(dòng)，以達(dá)到特定的目的，并且產(chǎn)生一套輸出的內(nèi)容，以支持整個(gè)信息系統(tǒng)的目標(biāo)。中小企業(yè)信息系統(tǒng)審計(jì)應(yīng)該根據(jù)企業(yè)信息系統(tǒng)應(yīng)用情況制定有針對(duì)性的審計(jì)流程。

②組織結(jié)構(gòu)。組織結(jié)構(gòu)是企業(yè)的主要決策實(shí)體。大部分中小企業(yè)雖然沒有專門的信息系統(tǒng)審計(jì)部門，但仍然應(yīng)該針對(duì)每個(gè)信息系統(tǒng)審計(jì)項(xiàng)目搭建臨時(shí)的完整組織結(jié)構(gòu)。

③原則、政策和框架。原則、政策、框架是將理想行為轉(zhuǎn)化為實(shí)用的日常管理指導(dǎo)。中小企業(yè)信息系統(tǒng)審計(jì)不應(yīng)該只是照搬傳統(tǒng)審計(jì)的一套原則、政策和框架，應(yīng)該結(jié)合公司所用信息系統(tǒng)的特點(diǎn)總結(jié)出適用的信息系統(tǒng)審計(jì)工作指導(dǎo)框架。

④信息。在任何組織中，信息無處不在，包括企業(yè)生成和使用的全部信息，COBIT2019 側(cè)重于有效運(yùn)轉(zhuǎn)企業(yè)治理系統(tǒng)所需的信息。中小企業(yè)則應(yīng)該提高各相關(guān)部門的配合程度，使信息系統(tǒng)審計(jì)小組可以在權(quán)限內(nèi)全面獲取真實(shí)信息。

⑤文化、道德和行為。文化、道德、行為分為個(gè)人層面與企業(yè)層面，作為治理和管理活動(dòng)的成功因素之一，其價(jià)值往往被低估。中小企業(yè)爆發(fā)信息系統(tǒng)風(fēng)險(xiǎn)的危害更為嚴(yán)重，所以無論是公司層面還是員工層面都應(yīng)該不斷提高對(duì)信息系統(tǒng)審計(jì)的重視度。

⑥人員、技能和能力。人員、技能、能力對(duì)作出正確決策、采取糾正行動(dòng)和成功完成所有活動(dòng)而言是必不可少的。中小企業(yè)雖然人力資源有限，較少公司擁有信息系統(tǒng)審計(jì)專職人員，多為兼職或外包，公司在組成信息系統(tǒng)審計(jì)小組時(shí)應(yīng)該全方位權(quán)衡小組成員的數(shù)量、專業(yè)、能力等因素。

⑦服務(wù)、基礎(chǔ)設(shè)施和應(yīng)用程序。服務(wù)、基礎(chǔ)設(shè)施、應(yīng)用程序包括為中小企業(yè)提供信息系統(tǒng)審計(jì)的基礎(chǔ)設(shè)施、技術(shù)和應(yīng)用程序。

4 實(shí)施保障建議

第一，健全內(nèi)控制度，建立健全的中小企業(yè)信息系統(tǒng)追蹤審計(jì)制度。在這方面，建議按照COBIT2019 的規(guī)定，建立適合企業(yè)實(shí)際的信息系統(tǒng)跟蹤審計(jì)體系，科學(xué)合理界定責(zé)任，加強(qiáng)對(duì)信息系統(tǒng)的監(jiān)督和指導(dǎo)，合理地通過審計(jì)方式發(fā)現(xiàn)信息系統(tǒng)的各類情況，使得企業(yè)信息系統(tǒng)的合規(guī)審計(jì)有效地發(fā)揮作用。

第二，完善公司信息系統(tǒng)審計(jì)互評(píng)制度，同時(shí)，完善信息系統(tǒng)審計(jì)過程。而已建立COBIT 框架的企業(yè)在這方面可起到引領(lǐng)作用，號(hào)召業(yè)內(nèi)采納信息系統(tǒng)審計(jì)的公司進(jìn)行溝通，建立一定規(guī)模、數(shù)目的同行審計(jì)機(jī)構(gòu)與信息系統(tǒng)審計(jì)評(píng)估模式，分享成功經(jīng)驗(yàn)與失敗案例，實(shí)現(xiàn)流程與成果共享，使互評(píng)機(jī)制長(zhǎng)期持續(xù)。

5 結(jié)語

中小企業(yè)信息化管理的主要目的，是通過對(duì)信息系統(tǒng)風(fēng)險(xiǎn)、資源和利益的均衡來達(dá)到企業(yè)的戰(zhàn)略目標(biāo)。中小企業(yè)要建立信息系統(tǒng)操作風(fēng)險(xiǎn)管理和信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估系統(tǒng)。同時(shí)，通過信息系統(tǒng)審計(jì)加強(qiáng)對(duì)信息技術(shù)的風(fēng)險(xiǎn)和隱患的排查和治理。中小企業(yè)應(yīng)該建立網(wǎng)絡(luò)和信息安全突發(fā)事件的應(yīng)急方案，并定期進(jìn)行評(píng)估和演練，以不斷地豐富突發(fā)事件的應(yīng)對(duì)和改進(jìn)方案。公司應(yīng)確保其具有實(shí)施戰(zhàn)略規(guī)劃的適當(dāng)能力，并提供充足、適當(dāng)和有效的資源。由于各中小企業(yè)的信息化狀況和所面臨的問題不盡相同，所以本文的信息系統(tǒng)審計(jì)結(jié)論是否具有普遍性還有待于深入研究。