IS审计流程在COBIT过程域中的实现

会计信息化Ｉ　ＡＣＣＯＵＮＴＩＮＧ　ＩＮＦＯＲＭＡＴＩＯＮ　ＩＳ审计流程在ＣＯＢＩＴ过程域中的实现　北京财贸职业学院　随着以ＥＲＰ为代表的组织（企、事业单位）ＩＳ（Ｉｎｆｏｒｍａｔｉｏｎ　周梅　徐耀庆　在ＰＯ１中，Ｉｓ审计师通常用文档记录与过程相关的ＩＴ资源，特　别是那些被审计的ＩＴ过程所影响到的ＩＴ资源。确认理解了待审核　的过程，过程的关键性能指标ＫＰＩ、实际的控制情况。例如：（１）会　见组织的ＣＥＯ＼ＣＯＯ＼ＣＦＯ＼Ｃ１０ｕＴ策划、指导委员会成员，ＩＴ自身管理　人员和人力资源部门的职员；（２）搜集与策划过程有关的政策与程　Ｓｙｓｔｅｍ，信息系统）的应用和普及，组织管理层越来越关注Ｉｓ与公　司业务战略的一致程度，Ｉｓ本身的安全性、可靠性与机密性。美国　《萨班斯——奥克斯利法案２００２｝｝（简称ＳＯＸ法案）对评估组织的ｎ＇　控制提出了很高的要求。从２０１１年开始，中国境内所有新上市的公　司必须遵守中国的ＳＯＸ法案。ＳＯＸ法案要求上市公司选择并实施　公认的内部控制框架，￣ＨＣＯＳＯ内部控制整体框架。该法案把增强　组织业务流程管理及支持Ｉｓ的内部控制整体水平作为目标，直接　导致ＩＳ审计在中国企业界的飞速发展。　Ｉｓ审计是指审计内容中包含了对自动化信息处理系统、相关　手工流程及两者间接口进行全部或部分检查及评价的任何审计。　Ｉｓ审计与传统的财务审计、绩效审计一样，称为审计的一个重要分　支，这三类审计的交集即为综合审计。业务流程对信息技术的依　赖，使得传统的财务审计和运营审计必须理解ＩＴ控制结构，Ｉｓ审计　师也必须理解业务控制结构。综合审计关注风险。风险分析的目标　是理解和识别由企业及其环境引起的风险和相关的内部控制。在　这个阶段，Ｉｓ审计师的职责是理解和识别信息管理、Ｉｓ基础设施、Ｉ１１　治理和ＩＳｇ￣＿营等领域的风险，其他专业审计师则要了解组织环境、　业务风险和业务控制。详细审计工作关注已存在的管理这些风险　的相关控制。Ｉｓ审计通常是预防和检查性控制的第一道防线，综合　审计则合理评估其效果和效率。实务界通常把Ｉｓ审计当作一个专　项审计对待，采用规范的项目管理方法和技术来实施。Ｉｓ审计的通　用流程一般为获取、评价、符合性测试和证明。　ＣＯＢＩＴ（信息及相关技术控制目标，Ｃｏｎｔｒｏｌ　Ｏｂｊｅｃｔｉｖｅｓ　ｆｏｒ　Ｉｎｆｏｒｍａｔｉｏｎ　ａｎｄ　Ｒｅｌａｔｅｄ　Ｔｅｃｈｎｏｌｏｇｙ）提供了一个ＩＴ治理框架，以确保　Ｉｓ与业务保持一致，Ｉｓ促使业务实现利益最大化，ＩＴ资源得到有效　使用以及ＩＳ风险得到适当管理。ＣＯＢＩＴ框架通过域和流程控制来　提供最佳实践，并采用易于管理的逻辑结构描述活动。ＣＯＢｒｒ最佳　实践代表了专家意见。ＣＯＢＩＴ４．１把３４个ＩＴ控制流程组合到四个控　制域中：计划与组织（Ｐ０）、获取与实施（ＡＩ）、交付与支持（ＤＳ）、监　督与评价（ＭＥ）。这３４个控制流程又可进一步细分为３１０多个详细　控制目标，这些详细的控制目标为应当实施何种具体的控制措施　提供了参考。在“计划与组织（Ｐ０）”过程域的控制流程有１３个，第　一个是ＰＯ１，即定义组织ＩＴ战略计划。以下为ＰＯ１为例，详述ＩＳ审计　流程的实现。　ＰＯ１的高级控制目标是控制Ｉ１’＝过程——定义ＩＴ战略计划，以满　足信息技术机会与ＩＴ业务需求的最佳平衡，同时确保其将来能实　现。Ｐ０１的控制目标均可通过以下四个流程来进行审计：　一、获取对业务需求有关的风险以及对相应控制措施的理解　ＩＳ审计师通过调研，将控制目标下的相关活动用文档记录下　来，对组织声称已实施的控制措施与程序进行识别，并且确认其存　在。与相关的管理者和员工进行会晤，以理解业务需求和相关的风　险、组织结构、角色和职务、政策和程序、法律和法规、已有的控制　措施和管理报告（状态、性能、行动项目）等。　序，执行管理层的指导角色与职责；组织目标、长期计划与短期计　划；ＩＴ的目标、长期计划与短期计划，状态报告、策划、指导委员会　会议累计用时等信息。　二、评价组织已有控制的适宜性　ＩＳ审计师通过考虑ＩＴｕ２￣业务政策和程序是否使用了结构化的　计划编制方法，对组织采取的控制进行评价。这种方法用来明确的　表达和修改计划，并且计划中最少要包含组织使命与目标、支持组　织使命与目标的嗍始阶段、嘞始阶段的时机、对ＩＴ初始阶段的　可行性研究、对Ｉ研刀始阶段的风险评估、最佳的当前与将来的ＩＴ投　资、对ＩＴ初始阶段进行再工程，以适应企业使命与目标的变化、对　可选的数据应用，技术和组织战略的评价等。在ＰＯ１中具体的评价　内容包括：（１）组织变革、技术进步、需求调整、业务流程重组，人员　配置，内部的外包项目等在计划制定过程中是否得到了考虑和充　分的表述。（２）ＩＴ项目是否有合适的文档支持，这些文档在ＩＴ计划　编制方法中有规定；安排有检查点，以确保ＩＴ目标、长期和近期计　划持续满足组织的目标、长期和近期计划。（３）过程所有者与资深　管理层是否评审和签署ＩＴ计划。书面评审文件中是否存在ＩＴ计划　评估现有信息系统，使用业务自动化程度、功能性、稳定性、复杂　性、成本、优势和不足的术语。（４）组织是否存在信息系统和其支撑　基础的长期计划的缺乏，导致不能支持企业目标和业务过程，或者　无法保证合适的完整性、安全性和控制。　三、通过符合性测试，评估规定的控制是否一致地、持续地起　作用　对组织符合规定的控制程序的程度进行分析，把实际的控制　程序及补偿性控制缺失与规定的程序进行对比，并进行文档检查、　会无相关人员，以判断控制是否被正确地、持续地实施。只对被证　明有效的控制程序进行符合性测试。在ＰＯ１中，Ｉｓ审计师通过测试　ＩＴｒ（策划）指导委员会会议的分钟数，以反映策划的过程；计划编制　方法中的输出是存在的，并且符合规定；ＩＴ长期和近期计划包含相　应的ＩＴ初始阶段（即硬件计划、容量计划、信息体系结构、新系统开　发和采购，灾难恢复计划，新的处理平台的安装等）；ｒｒ初始阶段支　持长期和近期计划，并考虑了研究、培训、人员、配备、硬件和软件　的要求；已经识别到Ｉ砌始阶段的技术含量；考虑到了优化目前与　未来的ＩＴ投资；ＩＴ的长期和短期计划与组织的长期和近期计划，组　织需求一致；计划得到了修订以反应条件的变化；ＩｒＩ１长期计划定期　被转化为短期计划；存在执行计划的任务，得到所选项目和阶段的　直接或间接的证据，使用直接或间接的证据，来保证待审核的项目　和阶段一直遵守相关控制程序的要求。对过程或结果的充分性进　行有限的审核。　财今通孔－综合２０１１年第５期（上｝　会计信息化ｌ　ＡＣＣＯＵＮＴＩＮＧ　ＩＮＦＯＲＭＡＴＩＯＮ　基于ＣＯＢＩＴ的信息系统内部控制风险研究　重庆理工大学　陈旭　张艳芳　息系统风险作为阻碍企业信息化发展的重要因素，受到多　风险的准确识别和分析要求”。因此，肖荣使用目标导向法构建企　领域学者的关注。本文拟以国际上公认的ＣＯＢＩｒＩ’标准为理论支柱，　业信息化风险目标集，为风险目标的识别提供参考，主要包括：投　深入剖析信息系统全生命周期的每一个阶段，指出了各个阶段上　资、实施、质量、支持力和柔性。但是这种分类站在一个比较高的层　存在的主要风险。同时从内部控制的角度对风险进行总结和提炼，　次，并未得到细化，在实际使用过程中必然会出现操作上的困难。　有效的构建ｍ从过程到风险再到控制的一体化结构，为企业信息　本文在吸收肖荣博士过程风险思想的基础上，切实以ｃｏＢｒｒ￣标　化风险管理奠定了基础。　体系为基础，研究信息系统生命周期上各个阶段，分析得出了每一　一、信息化风险研究现状及ＣＯＢＩＴ简介　个过程可能导致的风险，并提出将风险与控制对应的方式，构建出　（一）信息化风险研究现状目前，理论与实务界分别从加强信　由过程到风险再到控制的一体化结构，为实现风险的预防管理奠　息系统内部控制、ＥＲＰ对企业影响以及中小企业实施ＥＲＰ风险管　定了基础。　理等多个角度对信息化风险进行了不同层次的研究，由此得出多　（二）ＣＯｍＴ￣介ＣＯＢＩＴ（Ｃｏｎｔｒｏｌ　Ｏｂｊｅｃｔｉｖｅｓ　ｆｏｒ　Ｉｎｆｏｒｍａｔｉｏｎ　ａｎｄ　种信息化风险分类方式。如徐春丽《纺织企业信息化风险评估与控　Ｒｅｌａｔｅｄ　Ｔｅｃｈｎｏｌｏｇｙ）Ｅｌｌ信息及相关技术控制目标，是在总结现有的　制》一文中，从纺织行业的视角将企业信息化风险划分为管理领域　Ｉ　ｒ标准及最佳惯例的基础上提出来的，已经成为国际公认的ＩＴ治　风险、业务流程风险、信息及信息技术风险和环境风险四部分。王　理标准。ＣＯＢＩＴ主要从信息系统分析设计与开发全生命周期的角　欣在其硕十论文《我国企业信息化风险剖析——模型与案例研究》　度，对ｒｒＨ标进行分级，由此形成从战略目标到行动计划的目标体　中提｝｛｜了企业信息化风险“钻石模型”，将企业信息化风险的影响　系。该体系提供了对信息技术的基本治理框架，主要包括四个域即　因素主要归为以下四类：来自服务提供商的风险、来自组织及变革　ＰＯ计划与组织、ＡＩ获取与实施、ＤＳ交付与支持、ＭＥ监控与评价。在　的风险、来自管理及变革的风险、来自技术及变革的风险。另外，还　这四个域中包含了３４个通用的ＩＴ过程，分别从流程描述、控制目　包括来自外界环境的风险，以及其他一些无法确定的因素的风险。　标、管理指南、目标和指标以及成熟度模型五个方面进行描述，涵　２００５年１２月，同济大学管理学博士肖荣在其博士学位论文《企业信　盖了战略、战术与操作的所有层次，使得各个阶段的信息系统都可　息化风险治理研究》中指出，“这些研究大多是使用传统的风险识　以参照使用。同时将　战略与组织战略紧密联系，从而在业务需求　别方法、风险清单法，利用专家的知识、经验和历史的数据信息，找　与Ｉ　Ｉ控制之间建立起了联系。　。　出企业信息化中可能出现的风险因素。但是由于企业信息化的复　二、基于ＣＯＢＩＴ的过程风险分析　杂性和动态性，以及企业战略目标和业务重点的不同，对信息化也　（一）ｐｏ计划与组织计划与组织阶段主要从战略的高度对企　具有不同的要求和特点，单纯的风险清单方法不足以满足企业对　业信息系统进行全面的规划，致力于识别ⅡＩ为实现业务目标做出　四、证明未满足控制目标的风险确实存在　管理建议，以确保ｒｒｇＥ为组织长期计划与短期计划的一部分，并从　通过分析技术和可选的信息资产进行实质性测试，证实控制　根本上始终保持与企业业务战略的高度一致性。　目标没有被实现时所带来的风险。该阶段实质性测试的目标是支　持其审计判断，并敦促管理者采取行动。Ｉｓ审计师要创造性地寻找　参考文献：　和提出通常是敏感的机密的信息，用文档记录下控制弱点及其引　［１］中国银监会：《银行业金融机构信息系统风险管理指ｇｌ》　起的威胁和漏洞，识别并记录实际的影响和潜在的影响，例如利用　（２００６　ｏ　因果分析的方法，提供比较信息，例如，通过基准比较的方法来完　［２］中国内部审计协会：《信息系统审计准则》（２ｏ０８）。　成具体的实质性测试目标。在ＰＯＩ中，ＩＳ审计师通常通过执行和识　［３］ｈｔｔｐ：ｌｌｗｗｗ．ｉｓａｃａ．ｏｒｇ／ｃｏｂｉｔ　４．１　ｒｆａｍｅｗｏｒｋｓ／［ＥＢ／Ｓ］２０１０—１　１　别两个步骤来实现。（１）执行。执行战略ｒｒ汁划的基准测试，参照类　—６．　似的组织作为国际标准、已被认可的工业最佳实践。对ＩＴ计划的详　［４］陈朝：《我国信息化建设中信息系统审计问题研究》，东北　细评审，以确保嘲始阶段反映了组织的使命与目标。对ｍＰ划的　师范大学２００６年硕士学位论文。　详细评审，已决定组织已知的薄弱环节，是否已被计划中的Ｉ　Ｉ解决　［５］吕凡：《计算机辅助审计研究》，武汉大学２００５年硕士学位　方案作为一部分进行改进。（２）识别。识别组织Ｉｓ中不满足组织使　论文。　命和目标之处，Ｉｓ中短期计划与长期计划不一致之处，不符合近期　［６］陈婉玲、杨文杰：（ＩＳＡＣＡ信息系统管理准则及其启示》，　计划的Ｉｓ项目，Ｉｓ项目中不符合成本和时间指导方针之处，错失的　《审计研究）２００６年第ｓ１期。　商业机会以及错失的Ｉ１＇机会等。　［７］昊炎太：（＜ＣＯＢＩＴ控制思想在信息系统建设中的应用》，《财　综上二所述，Ｉｓ审计师通过获取、评价、符合性测试和实质性测　会通讯》（综合版）２００９年第７期。　试四个流程阶段，对组织的ＩＴ战略规划过程做出评估，并据此提出　（编辑余俊娟）　射会通孔－综合２０１１年第５期《上）