陳菲

隨著信息系統(tǒng)在企業(yè)生產(chǎn)經(jīng)營中的廣泛應(yīng)用，為了有效避免“IT生產(chǎn)力悖論”現(xiàn)象的出現(xiàn)，亟須對企業(yè)信息系統(tǒng)開展績效審計，深入了解信息系統(tǒng)對企業(yè)發(fā)揮的作用與價值，減少盲目投資而產(chǎn)生的損失

隨著信息技術(shù)的迅猛發(fā)展，我國企業(yè)在信息系統(tǒng)構(gòu)建方面的投資規(guī)模越來越大，信息系統(tǒng)也日漸成為企業(yè)運營中不可缺少的“基礎(chǔ)設(shè)施”，信息系統(tǒng)審計進而成為內(nèi)部審計無法回避的領(lǐng)域。國際信息系統(tǒng)審計與控制組織（ISACA）將信息系統(tǒng)審計定義為一個獲取并評價證據(jù)，以判斷計算機系統(tǒng)是否能夠保證資產(chǎn)的安全、數(shù)據(jù)的完整以及有效率地利用組織的資源并有效果地實現(xiàn)組織目標(biāo)的過程。信息系統(tǒng)審計的價值在于通過評價和鑒證來優(yōu)化企業(yè)的IT管理，防范信息化風(fēng)險。針對傳統(tǒng)審計和一般信息系統(tǒng)審計在信息系統(tǒng)領(lǐng)域績效評價方面存在的固有缺陷，探索適應(yīng)當(dāng)下企業(yè)環(huán)境的IT績效審計概念成為當(dāng)務(wù)之急。

明確IT績效審計的目標(biāo)、內(nèi)容及原則

對于IT績效審計這一概念，簡單地講就是績效審計與信息系統(tǒng)審計的有機結(jié)合，是對信息系統(tǒng)經(jīng)濟性、效率性和效果性所作的評價與監(jiān)督。從更深層次來看，是貫穿于信息系統(tǒng)整個生命周期的一系列過程的績效審計，主要是為了提高系統(tǒng)的整體運行效率，更好地滿足企業(yè)發(fā)展的需求。

審計目標(biāo)。當(dāng)信息系統(tǒng)成為經(jīng)濟活動所依賴的運行環(huán)境時，信息系統(tǒng)自身的安全性和可靠性，信息系統(tǒng)內(nèi)控有效性對數(shù)據(jù)的真實性、完整性和準(zhǔn)確性的影響，信息系統(tǒng)自身以及對滿足企業(yè)運營的經(jīng)濟性、效率性和效果性，這三個方面成為開展IT績效審計的目標(biāo)。

審計內(nèi)容。IT績效審計的目的，是希望通過檢查被審計單位信息系統(tǒng)的頂層設(shè)計及建設(shè)實現(xiàn)，提升管理決策支持能力、經(jīng)濟業(yè)務(wù)協(xié)同能力、系統(tǒng)建設(shè)發(fā)展能力和信息系統(tǒng)貢獻能力，改善經(jīng)濟業(yè)務(wù)活動的效率、效果和效能；通過揭示信息系統(tǒng)頂層設(shè)計和建設(shè)方面的不足，并提出審計意見和建議，促進信息系統(tǒng)的實際效能提升，為審計項目對系統(tǒng)建設(shè)績效的審計評價提供支持。其中，信息系統(tǒng)績效審計事項主要包括信息系統(tǒng)總體績效評價、管理決策支持能力的績效評價、信息資源共享能力的績效評價、經(jīng)濟業(yè)務(wù)協(xié)同能力的績效評價、系統(tǒng)建設(shè)發(fā)展能力的績效評價、信息系統(tǒng)貢獻能力的績效評價等六個方面。

審計原則。開展IT績效審計應(yīng)當(dāng)遵循四大原則：一是秉承績效審計的3E原則。IT績效審計雖然以信息系統(tǒng)為切入點，但最終目的還是反映企業(yè)信息系統(tǒng)自身和為企業(yè)帶來效益的能力。因此，IT績效審計的經(jīng)濟性、效率性和效果性應(yīng)當(dāng)貫穿于審計始終。二是目標(biāo)一致性原則。企業(yè)經(jīng)營的目的是實現(xiàn)企業(yè)自身的戰(zhàn)略目標(biāo)，信息系統(tǒng)作為企業(yè)的一部分，其績效審計評價體系也應(yīng)當(dāng)與企業(yè)戰(zhàn)略目標(biāo)保持一致。三是適應(yīng)性原則。隨著環(huán)境的變化和信息技術(shù)的發(fā)展，企業(yè)IT績效審計方法也應(yīng)隨之做出改進和調(diào)整，以增強IT績效審計的適應(yīng)性。四是可行性原則。在設(shè)計IT績效審計評價指標(biāo)時，相關(guān)數(shù)據(jù)要易于取得，指標(biāo)具有可操作性。企業(yè)在考慮指標(biāo)全面性的同時，也必須有所突出，同時也要考慮指標(biāo)之間的關(guān)聯(lián)性。

以案例分析的方式探索IT績效審計

A公司是一家非銀行金融機構(gòu)，是某集團全資子公司。作為高風(fēng)險金融類企業(yè)，集團高層對A公司的風(fēng)險管控高度重視，責(zé)令集團審計部對A公司開展專項審計。集團審計部在充分審前調(diào)查和風(fēng)險評估的基礎(chǔ)上，決定對A公司進行IT績效審計，針對A公司核心業(yè)務(wù)系統(tǒng)現(xiàn)狀，分別從系統(tǒng)建設(shè)背景和項目目標(biāo)，系統(tǒng)需求與設(shè)計的合規(guī)性和有效性，系統(tǒng)功能的實現(xiàn)情況，關(guān)聯(lián)系統(tǒng)的數(shù)據(jù)對接情況，系統(tǒng)的服務(wù)能力、效率及運行能力等五個方面進行重點審計。

在開展IT績效審計的過程中，審計組發(fā)現(xiàn)存在的四大問題：

首先是系統(tǒng)設(shè)計邏輯存在缺陷，關(guān)鍵風(fēng)險控制不到位，核心業(yè)務(wù)系統(tǒng)之間的交互數(shù)據(jù)校驗控制不充分。A公司以資金系統(tǒng)為核心，其他外圍系統(tǒng)實現(xiàn)與之對接。由于信息化規(guī)劃不清晰，各核心業(yè)務(wù)系統(tǒng)底層架構(gòu)設(shè)計邏輯不明確，接口設(shè)計未對接口性能影響進行有效分析，各核心業(yè)務(wù)系統(tǒng)之間的交互數(shù)據(jù)校驗控制不充分，導(dǎo)致審計期間發(fā)生多起重大風(fēng)險事件。

其次是系統(tǒng)開發(fā)規(guī)劃性不足，可行性分析論證不充分。A公司報表系統(tǒng)在建設(shè)前期，僅完成了技術(shù)實現(xiàn)方案，未進行系統(tǒng)建設(shè)可行性和必要性分析。在隨后的歷次開發(fā)中，均未考慮業(yè)務(wù)變化和系統(tǒng)后期的擴展問題，導(dǎo)致報表系統(tǒng)在功能及擴展性上無法滿足現(xiàn)有業(yè)務(wù)需求。

再次是系統(tǒng)原始需求不細(xì)化，系統(tǒng)上線前測試不充分，導(dǎo)致部分系統(tǒng)重復(fù)建設(shè)。A公司資金系統(tǒng)和報表系統(tǒng)原始需求較為簡單，未進行系統(tǒng)需求分析。且各核心業(yè)務(wù)系統(tǒng)普遍存在測試不充分、測試文檔留存不完整的現(xiàn)象。

最后是核心業(yè)務(wù)系統(tǒng)運維不到位，信息管理人員專業(yè)能力有待提高等。A公司信息技術(shù)部現(xiàn)有人員整體缺乏對信息化硬件服務(wù)器、中間件和數(shù)據(jù)庫等IT工作的從業(yè)經(jīng)驗及專業(yè)能力。運維人員對各核心業(yè)務(wù)系統(tǒng)熟悉程度不夠，運維經(jīng)驗不足，系統(tǒng)運行的有效性難以保證。

從案例中帶來的IT績效審計啟示

隨著信息系統(tǒng)審計理論的不斷發(fā)展，績效管理的不斷深入，IT績效審計也將隨之逐步發(fā)展變化?；谏鲜霭咐?，可以發(fā)現(xiàn)，IT績效審計還需在風(fēng)險評估、審計側(cè)重點、審計方法等方面進一步加強探索。

IT績效審計需要在風(fēng)險分析與評估的基礎(chǔ)上，開展風(fēng)險管理和績效評價。重點內(nèi)容在于風(fēng)險識別、風(fēng)險評估和風(fēng)險管理。IT績效審計不僅要關(guān)注信息系統(tǒng)本身，更要關(guān)注依托系統(tǒng)的業(yè)務(wù)流，強調(diào)信息系統(tǒng)在防范風(fēng)險和提升效率方面的價值。在開展IT績效審計時，風(fēng)險防范要貫穿于整個審計過程始終，關(guān)注信息化管理的效果。

IT績效審計的目的和其所處的地位和角度的不同，使得企業(yè)關(guān)心的側(cè)重點不同。IT績效審計的對象既包括企業(yè)信息系統(tǒng)、企業(yè)信息化項目，又包括企業(yè)信息化發(fā)展戰(zhàn)略。IT績效審計本身不是目的，最終目標(biāo)是為了支持決策。重點關(guān)注企業(yè)信息系統(tǒng)應(yīng)用過程中能夠?qū)е缕髽I(yè)經(jīng)營活動，生產(chǎn)活動和管理活動發(fā)生變化的因素，涉及的內(nèi)容既包括財務(wù)因素，也包括非財務(wù)因素。

科學(xué)合理的IT績效審計方法是獲取績效審計信息和取得審計結(jié)果的手段，有利于審計指標(biāo)的建立和審計結(jié)果的達(dá)成。審計方法的發(fā)展經(jīng)歷大致經(jīng)歷了觀察法、統(tǒng)計法、財務(wù)評價法、財務(wù)評價與非財務(wù)評價法相結(jié)合的四個階段。而IT績效審計在中國處于起步階段，隨著信息系統(tǒng)審計在我國的全面開展和廣泛應(yīng)用，IT績效審計評價體系的確立、完善和共識將會逐步清晰。

（作者單位：北京汽車集團產(chǎn)業(yè)投資有限公司）