中经济主体信息系统审计的理论分析与实施路径_cobit论文

中经济主体信息系统审计的理论分析与实施路径_cobit论文

中观经济主体信息系统审计的理论分析及实施路径探索,本文主要内容关键词为:信息系统论文,路径论文,主体论文,中观论文,理论论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。

国民经济按层次可分为宏观经济和微观经济,介于宏观经济整体和微观经济单位之间的还有中观经济,包括行业经济、地区经济等。德国奥斯登大学教授彼德斯早在20世纪70年代,就提出中观经济是有别于宏观和微观经济的一个独立层次。随着近年来经济发展的加速,新兴的经济形式给传统的经济活动注入了新的血液,新兴经济活动是非“宏”非“微”,亦“宏”亦“微”的中介状态的经济结构,经济学界称之为中观经济。作为经济发展产物的审计,随之则产生了相应的内涵与外延,即中观审计。本文以中观审计为研究基础,对中观经济主体信息系统的管理与控制作以初步论述,旨在为中观审计理论的发展提供支持。

一、中观审计理论的一般概述

中观审计是指对中观经济主体的经济行为所实施的审计,中观审计的产生具有必然性,恰恰由于中观审计的存在,才打破了传统宏观微观审计界域不能完全覆盖社会经济审计的整体界域这一局限性,实现了宏观达于微观。微观通于宏观,其中都要经过中观的有效转化。那么,何为中观审计呢?笔者认为,中观审计是在我国特有的经济活动条件下,由国家审计机关,以法律规范为依据,运用科学系统的程序方法,对中观经济行为、运行机制以及在此基础上为达到一定经济目标所采取的经济政策、决策的结果所实施的一种监督活动。中观审计有其特定的对象范围。既然中观审计是对中观经济计划、中观经济政策、决策和中观经济活动所实施的审计,那么,行业、部门、系统、经济区与特定联合体的发展战略目标、计划、经济政策、决策以及中观经济管理即为中观审计的对象范围。

中观审计具备三方面的特征:(1)中观审计是以协调宏观与微观审计,促进整个国民经济良性发展为主导思想;(2)中观审计是以提高中观经济主体的经济效益为指导方向;(3)中观审计是以对中观经济行为及其运行机制进行监控为具体目的。当前的行业审计已显示了中观审计的特征,例如,审计一个行业的财政经济状况,研究一个行业的重大且带有倾向性问题,提出改善行业管理的措施建议;还例如,抓住本地区综合效益影响较大的因素,对于地区自然、地理环境、产品结构以及各种客观条件进行分析、论证,查明阻碍经济发展的各种原因,提出促进经济效益提高的政策建议等。

“如果说宏观经济管理是硬控制,微观经济管理是软控制,那么,中观经济管理则是二者兼而有之,又软又硬的中性控制”。可见,中观控制也是整个经济控制系统的一个分系统,研究探讨中观审计正是为了加强中观控制,由于其主体范围所处的独特地位,决定了中观审计一方面服务于宏观控制,另一方面强化微观控制。根据中观控制的对象和目的,中观审计应有如下任务:(1)保证有效地传递宏观政策、决策和有关信息,防止和减少出现偏差和失误;(2)保证有效地促进微观经济活动,以及协调宏观经济目标和经济总目标、宏观经济目标和微观经济目标之间的矛盾关系;(3)保证有效地防止和减少中观经济政策或决策失误,以及其相应权力的泛滥;(4)保证有效地防止和减少中观经济活动的失控;(5)保证有效地防止和减少中观经济比例关系的失调。

二、信息系统审计的产生与内涵

信息系统是以信息基础设施为基本运行环境,由人、信息、技术设备和运行规程组成,通过信息采集、传输、加工处理和存储,以企业战略竞优、提高效率为目标,支持企业高层决策、中层控制和基层运作的集成化人机系统。信息系统在使用过程中,随着生存环境的变化,需要不断维护、修改,因而在整个生命周期中,必须对信息系统进行严格管理与控制,并对信息系统实施审计。信息系统审计直到21世纪初才进入我国。信息系统审计是在电子数据处理审计(EDP审计)的基础上发展起来的。虽然目前学术界对信息系统审计概念并没有统一的意见,但主流概念有两种:(1)Weber在1999年提出的“信息系统审计是一个获取并评价证据,以判断信息系统是否能够保证资产的安全、数据的完整以及有效率地利用组织的资源并有效地实现组织目标的过程”;(2)日本通产省在1996年提出的“为了信息系统的安全、可靠与有效,由独立于审计对象的信息系统审计师,以第三方的客观立场对以计算机为核心的信息系统进行综合的检查与评价,向信息系统审计对象的最高领导,提出问题与建议的一连串的活动”。

从信息系统构成要素来看,信息系统是由硬件平台、软件平台、应用系统、数据文件、人和运行规程组成的;从信息系统生命周期来看,信息系统的生命周期可划分为系统规划、系统分析、系统设计、系统实施、系统运行和系统维护六个阶段。从信息系统管理来看,对信息系统的审计伴随信息系统生命周期的始终。信息系统审计的内容包括:(1)软硬件获取审计,其可确定软硬件获取政策是否合理且是否满足企业的需求;(2)系统开发审计,其可确定各项系统开发活动是否完全遵循既定的政策与规划且是否实施了有效的全面质量控制等;(3)系统维护审计,其可确定系统维护后是否经过充分测试以及系统维护后文档资料是否及时更新等;(4)应用系统审计,其可确定应用系统的各项处理功能是否有效以及应用系统的控制是否健全有效等;(5)信息系统控制审计,其可确认信息系统的各项控制措施是否健全以及信息系统的各项控制措施是否得到有效执行;(6)信息系统安全审计,其可确认被审计单位的各项信息系统安全控制措施是否健全,确认信息系统的安全措施是否得到有效执行,以及判定被审计单位的信息系统安全策略与程序是否能最大限度地降低信息系统的安全风险。

三、中观经济主体信息系统审计的客观依据与现实任务

中观经济主体信息系统审计从属于中观审计与信息系统审计的交叉研究范域,中观经济主体信息系统审计的研究对象可从两个层次分析,第一层次是中观经济主体的特定区域范围,第二层次是中观经济主体特定区域内的信息系统板块。具体来说,中观经济主体信息系统的研究对象就是那些发生特定经济行为的行业、部门、系统、经济区以及特殊的经济联合体等中观主体的网络信息系统。与微观经济主体相比,中观经济主体的涉及范围较大,运行机制复杂,因而在我国乃至全世界的大多数中观经济主体均无法离开为自己量身定做的信息系统这一基础设施。例如,我国的铁道部门的铁路客票发售与预定系统,我国金融行业的金融业务信息系统,我国公安系统的公安综合网络信息系统,我国部分地区创建的区域物流信息系统,以及我国大型集团公司正在运行的集团财务信息系统,等等。中观经济主体是特定范围下多个微观经济个体的有机组合,信息技术在中观经济主体整体范围内的运用,为中观经济主体内部资源的有机整合以及自身功能的高效运行提供了方便,提升了工作效率。例如,由Sybase的数据库产品Adaptive Server Enterprise、Replication Server,中间件产品Open Client、Open Server,以及开发工具PowerBuilder、Power Designer构成的全国联网车站售票信息系统强化了火车票售票、预订、退票、异地售票、统计等多种功能,实现了票额、坐席、制票、计算、结算和统计等计算机管理,为铁路客户服务提供了有效的调控手段。实施中观经济主体信息系统审计是完全有必要的,这是因为由多台计算机所构成的信息系统区域网络所涉及的应用技术以及运行规程固然要比微观个体的信息系统复杂得多,脆弱得多。例如,2008年11月28日,由上海开往郑州的D 82次列车的8号车厢46号位售出两张坐票,一张是上海—郑州,另一张是南京—郑州,由于铁道行业信息系统打票的错误,从而造成了乘客的冲突与矛盾。由此可见,信息系统给中观经济主体带来巨大便利的同时,由于系统参与人员的错误操作、滥用、不正当使用以及不法分子的恶意利用等原因,也使得信息系统随之产生了不可估量的风险。为了避免信息系统可能出现的风险,中观经济主体需要引入一种新的管理机制来对信息系统的安全性、可用性、投资效果、实施进程和实施效果等进行评估、指导和改进。中观经济主体所实施的这种机制即为中观经济主体信息系统审计,此种审计超越了传统微观审计的范畴。

所谓中观经济主体信息系统审计,是指IT审计师依据特定的规范,运用科学系统的程序方法,对中观经济主体信息系统网络的运行规程与应用政策所实施的一种监督活动,旨在增强中观经济主体特定信息网络的有效性、安全性、机密性与一致性,以此保障中观经济主体信息系统的高效运行。中观经济主体信息系统审计的具体内容有:(1)网络信息系统的软硬件管理审计。此审计环节可确定软硬件的配置是否满足中观经济主体区域性整体功能办公的要求,以及确定区域内部是否有科学规范的管理制度等;(2)信息系统的开发与维护审计。此审计环节可确定中观经济主体网络信息系统的开发阶段是否在区域内部经过全面的测试,开发过程是否有全面的控制措施,维护计划是否具有创新性,维护工作是否有记录与总结等;(3)网络信息系统的应用与控制审计。此审计环节可确定信息系统区域网络内的各项处理功能是否有效,各项控制措施是否健全并得到有效执行等;(4)网络信息系统的安全审计与灾难恢复计划审计。此审计环节可确定中观审计主体的各项信息系统安全控制措施是否健全,信息系统安全策略与程序是否能最大限度地降低信息系统的安全风险,中观经济主体的灾难恢复计划是否适应区域有机整体的需求,相应各个有机组成的信息资源是否做有备份,异地微观个体信息数据的存储是否安全等。中观经济主体信息系统审计是以传统审计理论为基础的,并在继承中观审计的基本理论与基本方法的同时,结合信息系统审计的特点在审计程序上加以创新。中观经济主体信息系统审计的主体一般是中观经济主体内部的IT审计师、外部IT审计事务所所委托审计师和国家审计机构。中观经济主体信息系统审计不是单纯强调对中观经济主体的软硬件审计,它的审计对象涵盖中观主体范畴内整个信息系统所有活动和中间产物,并包括与信息系统实施相关的外部环境。

与微观个体信息系统审计相比,中观经济主体信息系统审计所涉及的范围广而对象多,且区域内纷乱的组成个体之间盘结着错综的勾稽关系与系统契约关系;与宏观性质的审计相比,中观经济主体信息系统审计又具有中观化、具体化的特点。可见,中观经济主体信息系统审计的存在给传统的审计监督活动注入了新鲜血液。在当前的经济情形下,中观经济主体信息系统审计承载着其特有的目标与任务。中观经济主体信息系统审计的目标是站在客观公正的角度上,收集中观经济领域所属主体的信息系统控制与审计信息,生成审计报告,通过审计报告促成信息系统生命周期活动和成果的改善。从中观经济主体信息系统审计的最终目标来看,中观经济主体信息系统审计的行为过程仅仅是一种手段。借鉴中观经济主体的特点,结合信息系统审计的控制内容,笔者认为中观经济主体信息系统审计的任务为:(1)实现中观经济主体信息资产的安全性;(2)保证中观经济主体信息数据的完整性;(3)维护中观经济主体信息系统的机密性、可用性和一致性;(4)加强中观经济主体信息系统的可靠性、有效性与效率性。中观经济主体信息系统审计的任务远远要比微观主体的信息系统审计任务艰巨,这是因为中观经济主体本身就存在着复杂的运行机制,中观经济有机主体下所属的微观个体之间存在着纷繁复杂的网状结构关系,在杂乱的网络系统中构建以整体为对象的信息系统资源,势必将会在人员、应用、技术、设备与数据的管理与控制方面存在脆弱性。此外,IT审计师对中观经济主体信息系统业务处理的评判过程也要比微观个体复杂得多,这主要因为中观经济主体是微观个体的集合体,但微观个体可能处于不同的行业,跨越不同的地域,由承载不同功能的计算机所组成的非区域化信息网络,必将会对IT审计师的信息业务处理水平带来全新的挑战。因而,探索中观经济主体信息系统的审计模式将会成为推动未来审计理论发展的新趋势。

四、中观经济主体信息系统审计的实施路径构建

我国对信息系统审计的研究起步较晚,传统的审计方法已不能满足信息系统审计实践的要求。鉴于此点考虑,笔者引用国外信息系统控制的两个模型对我国中观经济主体信息系统审计机制运行路径的构建抛砖引玉,供理论界借鉴。

(一)COBIT模型在中观经济主体信息系统审计中的应用

美国信息系统审计与控制协会(ISACA)在1996年提出了COBIT模型(Control Objectives for Information and related Technology)。COBIT是国际上公认的最先进、最权威的安全与信息技术管理和控制的规范体系,目前发展至第四版。COBIT模型由执行概要、框架、执行工具集、管理指南、控制目标和审计指南六部分组成。执行摘要为企业管理层阐明了COBIT模型中关键的概念和原则,给出了执行的总体概况;框架是COBIT模型的主体部分,解释了IT流程是如何传递业务需要的信息和如何控制信息技术,其由管理指南、审计指南和控制目标三部分组成;执行工具集主要包括了管理理念、IT控制工具、执行指南、常见问题和管理案例等用于处理的可供选择的辅助工具和软件;管理指南给出了度量信息系统的指标体系,并由成熟度模型、关键成功因素、关键目标指标、关键绩效指标四部分组成:控制目标是COBIT模型的关键组成部分,其是一个多层的架构,通过域、过程、任务活动三层体系实现总体目标的分解,通过特定的活动来实施控制以达到预定的系统目标。

COBIT在信息系统控制方面,不但提供了一系列可行的系统控制策略与IT控制路径,而且提供了信息系统的审计指南,实现了对信息系统整个生命周期活动的过程管理。中观经济主体信息系统审计是中观审计人员对信息系统的控制与管理,是以风险为导向的IT审计。COBIT模型的每个信息技术处理过程都涉及具体的控制目标、具体的IT资源以及规范的IT控制路径。COBIT模型按照信息系统的生命周期划分为规划与组织、获取与实施、交付与支持、控制与监督四个域,根据域设计了34个高层次控制目标以及318个具体控制目标,这些微观控制目标为IT审计师实施中观经济主体信息系统提供了全面的参考模板。中观审计人员可以以COBIT模型的相关理论与具体指标为准绳,了解中观经济主体信息系统的运行情况以及内外部环境,确认被审信息系统在各个层面上是否达到控制标准,创造性地把COBIT理论作为评价被审信息系统重大错报风险水平以及开展审计测试的操作规范。此外,COBIT模型中的管理指南给出了度量信息系统安全、可靠与有效的指标体系,给出了为管理者提供评估样板的度量模型,中观IT审计人员可以根据COBIT模型中的IT业务活动的指标体系与度量模型了解被审计信息系统的固有风险水平。

(二)ITIL模型在中观经济主体信息系统审计中的应用

ITIL(信息技术基础设施库)是Information Technology Infrastructure Library的缩写。ITIL是英国政府商务部(OGC)在20世纪90年代初期发布的一套IT服务管理最佳实践指南。ITIL列出了各个信息系统服务管理流程“最佳”的目标、活动、输入和输出的方法、实施过程以及各个流程之间的关系。ITIL模型对信息系统服务的提供和支持定义了更为详细和更易理解的过程集。ITIL模型旨在解决所有可能出现的弊端,并提供了一个指导性框架,这个框架可以保留组织现有信息系统管理方法中的合理部分,同时增加必要的技术,并且方便了各种信息系统职能间的沟通和协调。但ITIL并不是一套理论模式,而是以全球最佳实际经验为依据,基于高质量、合理定义、可重复流程等运作为基础,确立的可持续改进的路径规划。ITIL的实施,可以使信息系统部门对发生在财务、销售、市场、制造等业务上的流程进行改变,做出及时反应,增强信息系统服务效率。基于ITIL的IT服务管理,继承了三个特点:(1)描述已经得到证明的IT服务计划和运营的实践框架,基于经验,而非理论研究;(2)对于公共组织和个人组织公平地给予指导独立于组织使用的软件与硬件;(3)属于公共的方法论,使用时无须任何费用,具有全球的用户网络服务IT管理软件/服务生命周期的地位。

尽管ITIL的主要“目标听众”是IT人员和服务管理人员,其提供了信息系统服务各个环节的行为方法与实施过程。但是,ITIL模型仍然为中观经济主体信息系统的审计人员提供了审计指南。在当前未有任何审计部门出台的《IT审计准则》的情况下,我们的中观经济主体信息系统审计人员可以借鉴ITIL模型的具体方法与步骤作为审计路径加以参照,据此判定各个环节的信息系统流程管理的制度设计与执行程度,判断信息系统与各个业务部门的相互作用效率,确认信息系统对业务功能效果及流程设计的深层次影响等诸多方面。中观经济主体信息系统审计人员所需借鉴ITIL的方面有:(1)服务级别管理流程,其可为审计人员提供包括定义、匹配、存档和管理客户要求的各个级别服务的审计流程;(2)可用性管理流程,其可为审计人员提供定义关于IT服务可用性的客户需求的审计流程,以及确定IT基础设施对传送特定级别的可用性的能力的审计流程;(3)突出事件管理流程,其可为审计人员提供通过服务台管理异常的突发事件的审计流程;(4)问题管理流程,其可为审计人员提供包括问题控制方法、错误控制方法等的审计流程;(5)变更管理流程,其可为审计人员提供用于控制和管理变更请求的审计流程;(6)配置管理流程,其可为审计人员提供包括规划、确认、控制、维护和核实服务中的配置项,通过记录和报告它们的状态,支持变更管理和评定改变这些配置项对IT的潜在影响的审计流程;(7)应用发布管理流程,其可为审计人员提供如何应用包括规划、设计、建设、配置和测试发布的硬件和软件的组件集的审计流程。依照ITIL理论,中观信息系统审计人员通过对上述判断结果的分析,可以增强对被审单位信息资产的安全性、信息数据的完整性、信息系统的一致性与可靠性等审计内容的认识,有助于中观信息系统审计人员了解被审单位的固有风险与控制风险,确定实质性测试的性质、时间和范围,确定审计抽样范围,将检查风险以及总体审计风险降低至可接受的水平,并通过中观审计报告提出被审单位信息系统的潜在风险与改进建议,提高被审单位的信息系统服务质量。

五、结束语

改革开放以来,我国还尚未颁布与信息系统审计相关的准则与规定,仅是在计算机辅助审计方法方面进行了完善。当前,随着中观经济领域的快速拓展,中观经济主体信息系统审计亟须一整套的实施路径与方法体系。在此,笔者基于中观经济领域视角,借鉴国外相关模型探索了信息系统审计理论概况与施行路径,旨在为中观审计实践的有效开展提供理论支持,并借助此文愿同审计学者一道为中观信息系统审计理论的完善继续努力。

标签:;  ;  ;  ;  ;  ;  ;  ;  ;  ;  ;  ;  ;  ;  ;  ;  

中经济主体信息系统审计的理论分析与实施路径_cobit论文
下载Doc文档

猜你喜欢