IS審計(jì)流程在COBIT過程域中的實(shí)現(xiàn)

北京財(cái)貿(mào)職業(yè)學(xué)院 周 梅 徐耀慶

IS審計(jì)流程在COBIT過程域中的實(shí)現(xiàn)

北京財(cái)貿(mào)職業(yè)學(xué)院 周 梅 徐耀慶

隨著以ERP為代表的組織（企、事業(yè)單位）IS（Information System，信息系統(tǒng)）的應(yīng)用和普及，組織管理層越來越關(guān)注IS與公司業(yè)務(wù)戰(zhàn)略的一致程度，IS本身的安全性、可靠性與機(jī)密性。美國《薩班斯——奧克斯利法案2002》（簡稱SOX法案）對評估組織的IT控制提出了很高的要求。從2011年開始，中國境內(nèi)所有新上市的公司必須遵守中國的SOX法案。SOX法案要求上市公司選擇并實(shí)施公認(rèn)的內(nèi)部控制框架，如COSO內(nèi)部控制整體框架。該法案把增強(qiáng)組織業(yè)務(wù)流程管理及支持IS的內(nèi)部控制整體水平作為目標(biāo)，直接導(dǎo)致IS審計(jì)在中國企業(yè)界的飛速發(fā)展。

IS審計(jì)是指審計(jì)內(nèi)容中包含了對自動(dòng)化信息處理系統(tǒng)、相關(guān)手工流程及兩者間接口進(jìn)行全部或部分檢查及評價(jià)的任何審計(jì)。IS審計(jì)與傳統(tǒng)的財(cái)務(wù)審計(jì)、績效審計(jì)一樣，稱為審計(jì)的一個(gè)重要分支，這三類審計(jì)的交集即為綜合審計(jì)。業(yè)務(wù)流程對信息技術(shù)的依賴，使得傳統(tǒng)的財(cái)務(wù)審計(jì)和運(yùn)營審計(jì)必須理解IT控制結(jié)構(gòu)，IS審計(jì)師也必須理解業(yè)務(wù)控制結(jié)構(gòu)。綜合審計(jì)關(guān)注風(fēng)險(xiǎn)。風(fēng)險(xiǎn)分析的目標(biāo)是理解和識別由企業(yè)及其環(huán)境引起的風(fēng)險(xiǎn)和相關(guān)的內(nèi)部控制。在這個(gè)階段，IS審計(jì)師的職責(zé)是理解和識別信息管理、IS基礎(chǔ)設(shè)施、IT治理和IS運(yùn)營等領(lǐng)域的風(fēng)險(xiǎn)，其他專業(yè)審計(jì)師則要了解組織環(huán)境、業(yè)務(wù)風(fēng)險(xiǎn)和業(yè)務(wù)控制。詳細(xì)審計(jì)工作關(guān)注已存在的管理這些風(fēng)險(xiǎn)的相關(guān)控制。IS審計(jì)通常是預(yù)防和檢查性控制的第一道防線，綜合審計(jì)則合理評估其效果和效率。實(shí)務(wù)界通常把IS審計(jì)當(dāng)作一個(gè)專項(xiàng)審計(jì)對待，采用規(guī)范的項(xiàng)目管理方法和技術(shù)來實(shí)施。IS審計(jì)的通用流程一般為獲取、評價(jià)、符合性測試和證明。

COBIT（信息及相關(guān)技術(shù)控制目標(biāo)，Control Objectives for Information and Related Technology）提供了一個(gè)IT治理框架，以確保IS與業(yè)務(wù)保持一致，IS促使業(yè)務(wù)實(shí)現(xiàn)利益最大化，IT資源得到有效使用以及IS風(fēng)險(xiǎn)得到適當(dāng)管理。COBIT框架通過域和流程控制來提供最佳實(shí)踐，并采用易于管理的邏輯結(jié)構(gòu)描述活動(dòng)。COBIT最佳實(shí)踐代表了專家意見。COBIT4.1把34個(gè)IT控制流程組合到四個(gè)控制域中：計(jì)劃與組織（PO）、獲取與實(shí)施（AI）、交付與支持（DS）、監(jiān)督與評價(jià)（ME）。這34個(gè)控制流程又可進(jìn)一步細(xì)分為310多個(gè)詳細(xì)控制目標(biāo)，這些詳細(xì)的控制目標(biāo)為應(yīng)當(dāng)實(shí)施何種具體的控制措施提供了參考。在“計(jì)劃與組織（PO）”過程域的控制流程有13個(gè)，第一個(gè)是PO1，即定義組織IT戰(zhàn)略計(jì)劃。以下為PO1為例，詳述IS審計(jì)流程的實(shí)現(xiàn)。

PO1的高級控制目標(biāo)是控制IT過程——定義IT戰(zhàn)略計(jì)劃，以滿足信息技術(shù)機(jī)會(huì)與IT業(yè)務(wù)需求的最佳平衡，同時(shí)確保其將來能實(shí)現(xiàn)。PO1的控制目標(biāo)均可通過以下四個(gè)流程來進(jìn)行審計(jì)：

一、獲取對業(yè)務(wù)需求有關(guān)的風(fēng)險(xiǎn)以及對相應(yīng)控制措施的理解

IS審計(jì)師通過調(diào)研，將控制目標(biāo)下的相關(guān)活動(dòng)用文檔記錄下來，對組織聲稱已實(shí)施的控制措施與程序進(jìn)行識別，并且確認(rèn)其存在。與相關(guān)的管理者和員工進(jìn)行會(huì)晤，以理解業(yè)務(wù)需求和相關(guān)的風(fēng)險(xiǎn)、組織結(jié)構(gòu)、角色和職務(wù)、政策和程序、法律和法規(guī)、已有的控制措施和管理報(bào)告（狀態(tài)、性能、行動(dòng)項(xiàng)目）等。

在PO1中，IS審計(jì)師通常用文檔記錄與過程相關(guān)的IT資源，特別是那些被審計(jì)的IT過程所影響到的IT資源。確認(rèn)理解了待審核的過程，過程的關(guān)鍵性能指標(biāo)KPI、實(shí)際的控制情況。例如：（1）會(huì)見組織的CEOCOOCFOCIOIT策劃、指導(dǎo)委員會(huì)成員，IT自身管理人員和人力資源部門的職員；（2）搜集與策劃過程有關(guān)的政策與程序，執(zhí)行管理層的指導(dǎo)角色與職責(zé)；組織目標(biāo)、長期計(jì)劃與短期計(jì)劃；IT的目標(biāo)、長期計(jì)劃與短期計(jì)劃，狀態(tài)報(bào)告、策劃、指導(dǎo)委員會(huì)會(huì)議累計(jì)用時(shí)等信息。

二、評價(jià)組織已有控制的適宜性

IS審計(jì)師通過考慮IT或業(yè)務(wù)政策和程序是否使用了結(jié)構(gòu)化的計(jì)劃編制方法，對組織采取的控制進(jìn)行評價(jià)。這種方法用來明確的表達(dá)和修改計(jì)劃，并且計(jì)劃中最少要包含組織使命與目標(biāo)、支持組織使命與目標(biāo)的IT初始階段、IT初始階段的時(shí)機(jī)、對IT初始階段的可行性研究、對IT初始階段的風(fēng)險(xiǎn)評估、最佳的當(dāng)前與將來的IT投資、對IT初始階段進(jìn)行再工程，以適應(yīng)企業(yè)使命與目標(biāo)的變化、對可選的數(shù)據(jù)應(yīng)用，技術(shù)和組織戰(zhàn)略的評價(jià)等。在PO1中具體的評價(jià)內(nèi)容包括：（1）組織變革、技術(shù)進(jìn)步、需求調(diào)整、業(yè)務(wù)流程重組，人員配置，內(nèi)部的外包項(xiàng)目等在計(jì)劃制定過程中是否得到了考慮和充分的表述。（2）IT項(xiàng)目是否有合適的文檔支持，這些文檔在IT計(jì)劃編制方法中有規(guī)定；安排有檢查點(diǎn)，以確保IT目標(biāo)、長期和近期計(jì)劃持續(xù)滿足組織的目標(biāo)、長期和近期計(jì)劃。（3）過程所有者與資深管理層是否評審和簽署IT計(jì)劃。書面評審文件中是否存在IT計(jì)劃評估現(xiàn)有信息系統(tǒng)，使用業(yè)務(wù)自動(dòng)化程度、功能性、穩(wěn)定性、復(fù)雜性、成本、優(yōu)勢和不足的術(shù)語。（4）組織是否存在信息系統(tǒng)和其支撐基礎(chǔ)的長期計(jì)劃的缺乏，導(dǎo)致不能支持企業(yè)目標(biāo)和業(yè)務(wù)過程，或者無法保證合適的完整性、安全性和控制。

三、通過符合性測試，評估規(guī)定的控制是否一致地、持續(xù)地起作用

對組織符合規(guī)定的控制程序的程度進(jìn)行分析，把實(shí)際的控制程序及補(bǔ)償性控制缺失與規(guī)定的程序進(jìn)行對比，并進(jìn)行文檔檢查、會(huì)無相關(guān)人員，以判斷控制是否被正確地、持續(xù)地實(shí)施。只對被證明有效的控制程序進(jìn)行符合性測試。在PO1中，IS審計(jì)師通過測試IT（策劃）指導(dǎo)委員會(huì)會(huì)議的分鐘數(shù)，以反映策劃的過程；計(jì)劃編制方法中的輸出是存在的，并且符合規(guī)定；IT長期和近期計(jì)劃包含相應(yīng)的IT初始階段（即硬件計(jì)劃、容量計(jì)劃、信息體系結(jié)構(gòu)、新系統(tǒng)開發(fā)和采購，災(zāi)難恢復(fù)計(jì)劃，新的處理平臺的安裝等）；IT初始階段支持長期和近期計(jì)劃，并考慮了研究、培訓(xùn)、人員、配備、硬件和軟件的要求；已經(jīng)識別到IT初始階段的技術(shù)含量；考慮到了優(yōu)化目前與未來的IT投資；IT的長期和短期計(jì)劃與組織的長期和近期計(jì)劃，組織需求一致；計(jì)劃得到了修訂以反應(yīng)條件的變化；IT長期計(jì)劃定期被轉(zhuǎn)化為短期計(jì)劃；存在執(zhí)行計(jì)劃的任務(wù)，得到所選項(xiàng)目和階段的直接或間接的證據(jù)，使用直接或間接的證據(jù)，來保證待審核的項(xiàng)目和階段一直遵守相關(guān)控制程序的要求。對過程或結(jié)果的充分性進(jìn)行有限的審核。

四、證明未滿足控制目標(biāo)的風(fēng)險(xiǎn)確實(shí)存在

通過分析技術(shù)和可選的信息資產(chǎn)進(jìn)行實(shí)質(zhì)性測試，證實(shí)控制目標(biāo)沒有被實(shí)現(xiàn)時(shí)所帶來的風(fēng)險(xiǎn)。該階段實(shí)質(zhì)性測試的目標(biāo)是支持其審計(jì)判斷，并敦促管理者采取行動(dòng)。IS審計(jì)師要?jiǎng)?chuàng)造性地尋找和提出通常是敏感的機(jī)密的信息，用文檔記錄下控制弱點(diǎn)及其引起的威脅和漏洞，識別并記錄實(shí)際的影響和潛在的影響，例如利用因果分析的方法，提供比較信息，例如，通過基準(zhǔn)比較的方法來完成具體的實(shí)質(zhì)性測試目標(biāo)。在PO1中，IS審計(jì)師通常通過執(zhí)行和識別兩個(gè)步驟來實(shí)現(xiàn)。（1）執(zhí)行。執(zhí)行戰(zhàn)略IT計(jì)劃的基準(zhǔn)測試，參照類似的組織作為國際標(biāo)準(zhǔn)、已被認(rèn)可的工業(yè)最佳實(shí)踐。對IT計(jì)劃的詳細(xì)評審，以確保IT初始階段反映了組織的使命與目標(biāo)。對IT計(jì)劃的詳細(xì)評審，已決定組織已知的薄弱環(huán)節(jié)，是否已被計(jì)劃中的IT解決方案作為一部分進(jìn)行改進(jìn)。（2）識別。識別組織IS中不滿足組織使命和目標(biāo)之處，IS中短期計(jì)劃與長期計(jì)劃不一致之處，不符合近期計(jì)劃的IS項(xiàng)目，IS項(xiàng)目中不符合成本和時(shí)間指導(dǎo)方針之處，錯(cuò)失的商業(yè)機(jī)會(huì)以及錯(cuò)失的IT機(jī)會(huì)等。

綜上所述，IS審計(jì)師通過獲取、評價(jià)、符合性測試和實(shí)質(zhì)性測試四個(gè)流程階段，對組織的IT戰(zhàn)略規(guī)劃過程做出評估，并據(jù)此提出管理建議，以確保IT作為組織長期計(jì)劃與短期計(jì)劃的一部分，并從根本上始終保持與企業(yè)業(yè)務(wù)戰(zhàn)略的高度一致性。

［1］中國銀監(jiān)會(huì)：《銀行業(yè)金融機(jī)構(gòu)信息系統(tǒng)風(fēng)險(xiǎn)管理指引》（2006）。

［2］中國內(nèi)部審計(jì)協(xié)會(huì)：《信息系統(tǒng)審計(jì)準(zhǔn)則》（2008）。

［3］http://www.isaca.org/cobit4.1 frameworks/[EB/S]2010-11-6.

［4］陳朝：《我國信息化建設(shè)中信息系統(tǒng)審計(jì)問題研究》，東北師范大學(xué)2006年碩士學(xué)位論文。

［5］呂凡：《計(jì)算機(jī)輔助審計(jì)研究》，武漢大學(xué)2005年碩士學(xué)位論文。

［6］陳婉玲、楊文杰：《ISACA信息系統(tǒng)管理準(zhǔn)則及其啟示》，《審計(jì)研究》2006年第S1期。

［7］吳炎太：《COBIT控制思想在信息系統(tǒng)建設(shè)中的應(yīng)用》，《財(cái)會(huì)通訊》（綜合版）2009年第7期。

（編輯 余俊娟）