基于WSR方法论的政府信息系统审计模型初探,本文主要内容关键词为:方法论论文,信息系统论文,模型论文,政府论文,WSR论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。
本文引入具有东方人文色彩的WSR方法论,建立基于WSR方法论的信息系统审计模型,探讨政府审计机关如何从经济监督的视角开展信息系统审计。
一、政府信息系统审计及其实施过程中容易出现的问题
(一)信息系统审计和政府信息系统审计
在信息系统审计的发展历程中,不同的组织和个人对其进行了不同的描述和解释,其中Ron Weber和日本通产省情报协会的观点认可范围较广。Ron Weber认为“信息系统审计是一个获取并评价证据,以判断信息系统是否能够保证资产的安全、数据的完整以及有效率地利用组织的资源并有效果地实现组织目标的过程”。日本通产省情报协会认为“信息系统审计是为了信息系统的安全、可靠与有效,由独立于审计对象的信息系统审计师,以第三方的客观立场对以计算机为核心的信息系统进行综合的检查与评价,向信息系统审计对象的最高领导提出问题与建议的一连串的活动”。
信息系统审计可以由信息管理咨询机构、内部管理机构和政府审计机关等机构实施,不同的实施机构有着不同的定位、目标和侧重点。本文所称的政府信息系统审计是指政府审计机关出于经济监督目的而组织实施的信息系统审计,而Ron Weber和日本通产省情报协会的定义都倾向于信息管理咨询机构,不能准确描述政府信息系统审计。
笔者认为,政府信息系统审计是政府审计机关对被审计单位中对经济活动起重要影响作用的信息系统进行检查和分析,评估信息系统存在的问题对经济活动的影响程度,提出针对性审计建议,促进信息系统对经济活动产生正面影响的一系列活动。
作为信息系统审计的特例,政府信息系统审计具有一些自己的特点:(1)虽然信息系统审计的对象、方法等方面发生了很大的变化,但政府审计机关开展信息系统审计的根本出发点还是经济监督;(2)由于审计资源的限制,政府审计机关不可能对需要监督的每个信息系统在其生命周期的每个阶段进行监督,而只能是按照审计项目计划,在某个特定时间点开展信息系统审计,并且绝大多数是信息系统投入运行后的事后审计;(3)政府信息系统审计的根本目的是促进信息系统对经济业务产生正面影响。
(二)政府信息系统审计中容易出现的问题
1.过度依赖国外组织提出的信息系统审计模式,脱离现实环境实施审计
由于信息系统审计是由国外组织提出的,引入我国的时间较短,甚至对其是否属于审计范畴一直存在争议,因此目前还没有建立起我国自己的信息系统审计标准和规范。在这种情况下,政府信息系统审计人员一般会更多地依赖国外组织制定的标准规范开展信息系统审计。这些标准规范由国外组织制定,由于经济环境、审计目的等差异,并不完全适合我国现状,容易引导审计人员在实施信息系统审计时脱离现实环境。
2.片面关注信息系统中的软件部分,偏离政府审计的经济监督职能
信息系统是由硬件、软件、数据、人和制度等组成的综合系统,但在审计过程中,审计人员容易片面关注软件的正确性和完整性等内容,而忽略作为信息系统重要组成部分的数据、人和制度,以及信息系统对经济业务的影响。片面关注软件部分容易将审计人员引入软件开发流程的技术陷阱,偏离政府审计的经济监督职能。
3.忽视信息系统建设的成本效益问题,发表具有片面性的审计评价
信息系统在建设时,建设方一般会出于投入资金、运行成本和客观环境等方面的原因,对信息系统的功能、设备选型和人员配置等方面做出权衡和取舍。因此,在客观条件限制下信息系统都存在一定的缺陷或不足。如不考虑成本效益问题,审计中容易出现单纯就系统的完整性、有效性和安全性等方面发表片面性审计评价的情况。
表1 物理-事理-人理的基本内容
二、WSR系统方法论及对政府信息系统审计的指导意义
从政府信息系统审计中容易出现的问题可以看出,政府信息系统审计只有在综合考虑经济社会环境、信息化发展背景、信息系统所处的具体环境和信息系统的各个组成部分时,才能做出比较全面和客观的评价,提出有针对性的审计建议,因此需要一种适合我国现状的方法论来指导政府信息系统审计。
物理—事理—人理(Wuli-Shili-Renli,简称WSR)是由我国学者顾基发和朱志昌提出的一种方法论,物理是指涉及某项系统项目\问题处理过程中人们面对的客观存在,是物质运动的规律综合;事理是指涉及某项系统项目\问题处理过程中人们面对的客观存在及其规律时介入的机制;人理是指涉及某项系统项目\问题处理过程中的所有的人们之间的相互关系及其变化过程。其核心思想是处理复杂问题要从机能整体性出发,既要考虑对象物的方面(物
理),又要考虑这些物如何被更好运用的事的方面(事理),最后由于认识问题、处理问题和
解决问题都离不开人,还必须考虑人的方面(人理)。WSR的基本内容可以归纳为表1。
WSR方法论强调从物理、事理和人理3个角度出发,综合考虑问题和问题所处的环境,具体问题具体分析,注重人和制度对问题的作用。借助WSR方法论,能够有效解决政府审计机关开展信息系统审计中容易出现的问题,因此其对政府信息系统审计具有重要指导意
三、信息系统的WSR分析
将信息系统按照物理、事理和人理展开,得到如图1所示的三维图。
(一)信息系统的物理
信息系统的物理分为硬件、软件和数据3部分。硬件指信息系统中的硬件基础设备,主要包括服务器、客户机、外部设备、网络线路、路由器和交换机等设备;软件指信息系统中的软件程序部分,主要包括实现业务流程的业务软件和操作系统、数据库管理系统等通用基础软件;数据指信息系统产生和利用的数据记录,主要包括过去发生业务产生的历史数据和正在办理业务产生的即时数据。
(二)信息系统的事理信息系统的事理分为内部事理和外部事理两部分。内部事理指信息系统所蕴涵的业务流程及管理思想,主要包括系统所实现的具体业务办理流程和业务办理中的内部控制流程;外部事理指信息系统的运行、维护等流程和相关制度,主要包括信息系统的运行、维护、使用流程和与这些流程相关的规章制度。
(三)信息系统的人理
信息系统的人理分为人员、关系和组织文化环境3部分。人员指信息系统生命周期中涉及的人员,主要包括信息系统的决策、开发、操作、管理和维护等人员;关系指人员与人员、人员与组织间的相互关系,主要包括开发人员与组织、运行人员与组织、维护人员与组织、开发人员与维护人员和运行人员与维护人员等关系;组织文化环境指信息系统所在组织的整体文化环境,主要包括组织信息化程度、成员对组织的忠诚度和组织的凝聚力等。
图1 信息系统的WSR三维图
四、基于WSR方法论的政府信息系统审计模型
根据政府信息系统审计的特点,参考WSR方法论的标准实施步骤建立如图2所示的政府信息系统审计模型。
(一)调查信息系统审计环境
该阶段对信息系统审计环境进行调查,了解被审计信息系统的主要功能、技术架构和运行状况等情况,为明确审计目标、确定重点关注内容进行基础准备。
(二)明确信息系统审计目标
政府信息系统审计的总体目标是评估信息系统对经济业务的影响并提出审计建议,以促进信息系统对经济业务产生正面影响。该阶段是在总体审计目标的基础上,根据被审计信息系统的情况,明确本次审计项目的具体目标,并确定需要重点关注的审计事项。
(三)物理、事理和人理审计的实施
该阶段根据具体审计目标,分别对信息系统的物理、事理和人理实施审计。
1.信息系统物理的审计
图2 政府信息系统审计模型
作为信息系统运行的基础,硬件设备的安全性、选型的合理性等非常重要。比如,设备散热能力不足可能会带来火灾隐患,将家用台式机作为服务器使用会使得信息系统的连续服务能力得不到保证。因此,硬件审计主要关注硬件的安全性、有效性等内容。
软件是信息系统最重要的组成部分,甚至在部分情况下人们所指的信息系统就是指整个信息系统中的软件部分。如果软件存在错误则往往会造成业务的差错,而某些软件功能的缺失会对业务带来很大影响。比如,缺少权限控制功能的信息系统无法保证每笔业务得到相应授权或批准。因此,软件审计主要关注软件的正确性、完整性等内容。
信息系统最核心的还是信息,而信息是由数据加工而来,因此数据的完整、准确直接决定着信息的质量。如果在信息系统建立、运行过程中,数据存在缺损或不规范,那么不论信息系统的功能如何完善,也无法达到预期的目的。因此,数据审计主要关注数据的完整性、正确性等内容。
2.信息系统事理的审计
建立信息系统的目的是业务流程的信息化再造和改进,如果业务流程本身存在错误甚至违反法律法规,即内部事理错误,那么信息系统再完善、功能再强大也是没有实际意义的。因此,内部事理审计主要关注业务流程的正确性、合法性等内容。
一个优秀的信息系统需要良好的外部制度加以保障才能最大程度发挥作用,如果缺少与信息系统相配套的制度,或者制度不能被有效执行,则信息系统往往不能发挥预期的作用。比如,缺少备份制度保障的信息系统一旦出现意外,会因为历史数据丢失而前功尽弃。因此,外部事理审计主要关注运行、维护制度的完善程度及执行情况等内容。
3.信息系统人理的审计
信息系统的建设、运行和维护需要了解信息化工作规律的组织高层领导、拥有卓越技术能力的开发人员、受到足够培训的操作人员和严谨细致的管理维护人员,否则无法达到预期目的。比如,组织违背信息化发展规律建设的信息系统往往不能适应业务需求,不熟练的操作人员会经常因为误操作而无法完成工作。因此,人员审计主要关注人员素质对信息系统的影响等内容。
人员之间的关系、人员与组织间的关系一定程度上约束着信息系统的建设、运行和维护。比如,当开发者属于组织内部时系统需求能被更好地获取,但在系统中设置后门的道德风险较大;当运行人员属于组织时,用户能够得到足够的培训而使系统利用的效率更高。因此,关系审计主要关注人员与人员、人员与组织间的约束作用及其对信息系统的影响等内容。
信息系统所运行的组织的文化环境影响着信息系统作用的发挥,在高效、有序的组织中信息系统能发挥更大的作用。比如,功能完全相同的一套ERP系统在团结协作的A组织中能有效提高组织的管理效力,但在人心涣散的B组织中会被闲置,甚至对管理带来干扰和混乱。因此,组织文化环境审计主要关注组织文化与信息系统的关系等内容。
(四)物理、事理和人理审计结果的综合协调
信息系统的物理、事理和人理存在依赖、互补关系,物理上的缺陷可以通过事理或人理来完善,事理上的错误可以通过物理或人理来弥补,人理上的不足可以通过物理或事理来促进。同时由于成本效益问题,单独看信息系统的物理、事理和人理一般都是存在缺陷的。因此,在对物理、事理和人理分别进行审计后,需要对审计结果进行综合协调,在综合考虑信息系统的物理、事理和人理基础上分析信息系统是否存在问题。
(五)评估信息系统存在问题对经济业务的影响
政府审计的职能是经济监督,因此当确定信息系统存在的问题后,需要考虑客观环境,与具体经济业务结合,评估信息系统存在问题的严重性及问题对经济业务的影响程度。
(六)提出审计建议
当信息系统存在的问题对经济业务产生负面影响时,需要审计机关提出审计建议。对于存在的问题,可以综合物理、事理和人理3个方面提出针对性建议,以促进信息系统对经济业务产生正面影响。
五、模型的实效验证
以L住房公积金中心审计项目为例,该中心下辖两个分中心和6个管理部,其信息化组织为信息科,负责公积金管理系统的开发、运行和维护。使用的公积金管理系统由信息科自主开发,C/S结构,主要完成公积金提取和贷款的申请、审核和批准等公积金管理事务。
通过调查,将信息系统审计的目标确定为:发现并揭示公积金管理系统在设计、运行、管理和维护中存在的问题与风险,促使系统正确、安全、有效运行,以保证公积金管理的正确性和高效性。
审计实施过程中,分别对物理、事理和人理进行了审计。物理方面主要存在3个问题,一是软件的最高可贷金额计算存在错误、重复贷款控制功能存在缺陷和贷款人身份证的输入缺乏控制,导致部分不符合规定的贷款申请通过系统审核;二是中心与分中心各自独立,相互间未共享数据,无法通过信息化手段对相互间的重复贷款申请进行控制;三是历史数据中存在错误身份证等信息,部分贷款记录的配偶信息缺失,一定程度上使系统的控制功能处于失效状态。在事理方面,该中心口头规定信贷员具有上浮最高贷款限额15%的权利,不符合相关规定。人理方面存在的问题有两点,一是部分终端用户在使用软件时未严格按照规定输入数据,造成部分贷款记录的数据不完整;二是系统维护人员同时办理部分公积金业务,理论上存在一定道德风险。
实施完成后,对上述问题进行综合协调。物理上存在的中心与分中心间未建立网络连接的问题,由于在事理上规定了在该中心贷款时必须提供申请人户口所在地公积金管理部门出具的未贷款证明,并得到有效执行,物理问题通过事理得到补充。人理上存在的维护人员同时办理部分公积金业务的问题,由于该中心人员较少,维护人员同时办理部分公积金业务为客观需要,同时用相关制度进行了约束,人理问题得到事理约束。除这两个问题外,其他问题都成立且与公积金贷款审批直接相关,如果不及时更正或完善,会导致重复、超额和超期限的贷款申请通过系统审核,带来损失风险。
针对上述发现的问题,审计组提出针对性审计建议,被审计单位根据发现的问题和审计建议,对公积金管理系统中存在的软件错误和缺陷进行了修正,对错误、缺失数据进行了修正和补充,并修订了相关信息管理制度。
六、结束语
本文基于WSR方法论在理论上构建出一种政府信息信息系统审计模型,并在实际项目中对模型的实际效果进行了检验,取得了较好的应用效果。但由于政府信息系统审计是新兴的、发展中的事物,其理论研究和实务都在快速发展,因此模型还需要根据客观环境的变化,随着政府信息系统审计的发展进一步完善。
标签:住房公积金贷款论文; 政府审计论文; 审计软件论文; 审计计划论文; 业务管理论文; 信息物理系统论文; 审计质量论文; 经济模型论文; 组织环境论文; 审计目标论文; 审计流程论文; 管理审计论文; 公积金论文;