◇付 玥 左曉亮

一、信息系統(tǒng)審計績效評價指標的設計方法與原則

（一）指標設計方法

平衡計分卡平衡了短期與長期業(yè)績、外部與內(nèi)部業(yè)績、財務與非財務業(yè)績以及不同利益相關(guān)者的角度，包括：財務角度、顧客角度、內(nèi)部流程角度、創(chuàng)新與學習角度。由于平衡計分卡的戰(zhàn)略性、平衡性，本文采用平衡計分卡設計信息系統(tǒng)審計績效評價指標。

（二）指標設計原則

在設計信息系統(tǒng)審計績效評價指標時，應遵循以下設計原則：

1.結(jié)合IT治理的目標。IT治理最重要的任務是，確保信息技術(shù)與各項業(yè)務的有效結(jié)合，使信息技術(shù)與企業(yè)戰(zhàn)略保持一致，促進組織收益最大化與風險的最有效控制。

2.體現(xiàn)信息系統(tǒng)審計的價值。在設計評價指標時，需要挖掘信息系統(tǒng)審計的確認和咨詢活動的價值，使評價指標能夠體現(xiàn)信息系統(tǒng)審計的價值。

3.指標能夠被衡量。每項指標應能夠被明確地衡量，且衡量采用的算法應盡可能簡便，以便于績效審計評價工作的開展。

4.被認可和接受。管理者對此的認可度是評價體系被實施的前提，而員工對此的接受度是評價體系被實施的關(guān)鍵。

二、企業(yè)內(nèi)部信息系統(tǒng)審計工作績效評價指標

根據(jù)平衡計分卡的工作原理，將信息系統(tǒng)審計工作績效分解為財務、客戶、內(nèi)部流程和學習創(chuàng)新四個維度后，結(jié)合上述指標設計原則，設計出企業(yè)內(nèi)部信息系統(tǒng)審計工作績效的評價指標：

（一）財務價值維度

從投入與產(chǎn)出的關(guān)系進行分析，財務價值維度主要關(guān)注為企業(yè)節(jié)約IT成本和審計成本，為企業(yè)避免造成的損失和挽回的損失，以及引進新IT項目產(chǎn)生的商業(yè)價值。具體指標如下：

1.提高的收益

引進的信息化項目投資回報率。信息系統(tǒng)審計作為企業(yè)實現(xiàn)信息化戰(zhàn)略的重要途徑之一，同時作為企業(yè)IT治理的組成部分，有義務確保信息技術(shù)與企業(yè)戰(zhàn)略保持一致。信息系統(tǒng)審計人員往往能夠從全局、多方位考慮，向企業(yè)高管層提出新的IT項目實施建議，推進、引進新技術(shù)，順應時代發(fā)展變革，從而產(chǎn)生商業(yè)價值。

2.節(jié)約的成本

（1）IT成本節(jié)約額占管理費用總額比率。信息系統(tǒng)審計人員通過審核采購流程、盤點固定資產(chǎn)，發(fā)現(xiàn)其中存在的問題，這些都是信息系統(tǒng)審計人員為企業(yè)節(jié)約的IT成本。

（2）信息系統(tǒng)審計成本占管理費用總額比率。企業(yè)內(nèi)部審計成本控制是企業(yè)本著以最小的審計成本，最優(yōu)化合理配置企業(yè)資源的一種手段。改進審計方法、整合審計資源、提高內(nèi)部審計人員的審計技術(shù)水平等，都是有效控制信息系統(tǒng)審計成本的途徑。

3.挽回（或避免）的損失

（1）操作系統(tǒng)經(jīng)濟損失降低率。操作系統(tǒng)是計算機系統(tǒng)的核心與基石，信息系統(tǒng)審計人員及時發(fā)現(xiàn)操作系統(tǒng)的管理漏洞和技術(shù)漏洞，能夠有效避免操作系統(tǒng)安全問題帶來的損失。

（2）數(shù)據(jù)庫經(jīng)濟損失降低率。數(shù)據(jù)庫用戶管理、權(quán)限管理、角色管理、文件管理的安全性影響著存儲數(shù)據(jù)的安全性。審計人員發(fā)現(xiàn)的數(shù)據(jù)庫漏洞而降低的經(jīng)濟損失，是信息系統(tǒng)審計的績效之一。

（3）應用系統(tǒng)經(jīng)濟損失降低率。應用系統(tǒng)是普通員工所能接觸到數(shù)據(jù)的系統(tǒng)，也是員工將數(shù)據(jù)輸入的介質(zhì)，應用系統(tǒng)的輸入、處理、輸出的完整性、準確性對于系統(tǒng)而言至關(guān)重要。信息系統(tǒng)審計人員及時發(fā)現(xiàn)應用系統(tǒng)的漏洞，降低漏洞可能造成的損失，是信息系統(tǒng)審計工作在財務方面的價值之一。

（4）提升IT服務的連續(xù)性和可用性所減少的損失。信息系統(tǒng)審計人員通過反饋企業(yè)的IT容災、數(shù)據(jù)備份問題，以及機房環(huán)境、網(wǎng)絡架構(gòu)部署問題，提升IT服務的連續(xù)性和可用性，避免發(fā)生IT服務中斷事故而造成的商業(yè)損失。

（5）發(fā)現(xiàn)未遵守國家法律法規(guī)的行為，避免被罰款或遭受法律制裁。例如，使用未經(jīng)授權(quán)軟件會使企業(yè)面臨技術(shù)、商業(yè)甚至法律上的風險。審計人員發(fā)現(xiàn)此類違法行為，能夠有效避免企業(yè)受到處罰，除了防止影響企業(yè)形象之外，間接地為企業(yè)節(jié)約了成本。

（6）查處利用信息系統(tǒng)進行舞弊事件而挽回的經(jīng)濟損失。IT技術(shù)復雜程度高，相關(guān)人員利用信息系統(tǒng)技術(shù)漏洞和管理漏洞來進行舞弊具有很大的隱蔽性，通過查處利用信息系統(tǒng)進行舞弊事件，為企業(yè)挽回已發(fā)生的經(jīng)濟損失，這是信息系統(tǒng)審計的顯性價值。

（二）客戶維度

對于信息系統(tǒng)審計工作而言，董事會及審計委員會、企業(yè)IT部門、廣大員工都屬于客戶。客戶維度具體可通過滿意度和貢獻度兩類指標來衡量：

1.客戶滿意度

客戶滿意度角度可根據(jù)以下兩項滿意度調(diào)查結(jié)果進行量化，以衡量客戶對信息系統(tǒng)審計提供的服務的認可：①董事會及審計委員會滿意度調(diào)查結(jié)果；②被審計者（IT部門）滿意度調(diào)查結(jié)果。

2.對客戶的貢獻度

（1）治理層、管理層對IT重視度的提升。信息系統(tǒng)審計工作人員將信息系統(tǒng)審計報告呈送相關(guān)治理層和管理層，讓他們認識目前企業(yè)所面臨的IT風險、存在的IT問題，對IT重視度的提升有一定的貢獻。

（2）員工對信息安全認知的提升。員工是企業(yè)信息安全體系的重要參與者和落實者，提升企業(yè)信息系統(tǒng)的安全性是每名員工努力的結(jié)果，信息系統(tǒng)審計人員通報信息系統(tǒng)審計工作結(jié)果、分享信息安全案例、傳遞信息安全防護基本知識，從而提高員工對信息安全的認知。

（3）對IT制度的優(yōu)化占比。通過IT內(nèi)部控制審計，信息系統(tǒng)審計人員能夠通過識別IT風險，改善風險管理水平，優(yōu)化IT部門業(yè)務流程，糾正IT部門日常工作，完善工作操作指引和崗位職責，從而提高業(yè)務競爭力。

（4）信息安全事件發(fā)生次數(shù)。信息安全審計是信息系統(tǒng)審計工作的重要組成部分，目的是有效預防信息安全事件的發(fā)生。信息安全事件發(fā)生的次數(shù)不僅是衡量IT績效的重要指標，也能夠有效衡量信息系統(tǒng)審計工作的績效。

（5）核心系統(tǒng)平均無故障運行率。信息系統(tǒng)審計人員通過審查業(yè)務可持續(xù)性計劃、災難恢復計劃和測試報告，發(fā)現(xiàn)其中的問題，提出改進建議，減少因重大事故造成業(yè)務中斷的時間，從而提高無故障運行率，為使用者提供穩(wěn)定、高效的信息化環(huán)境。

（6）對內(nèi)審部門中財務審計等其他方向?qū)徲嫷呢暙I。信息系統(tǒng)審計工作一開始便是產(chǎn)生于對于財務審計的輔助功能，因此除了獨立地開展信息系統(tǒng)審計項目之外，信息系統(tǒng)審計人員也會參與財務、工程等審計項目，為其他審計項目提供支持。

（三）審計業(yè)務流程維度

審計業(yè)務流程維度主要用于衡量信息系統(tǒng)審計工作的效率和效果，以保證高質(zhì)量和高效率的信息系統(tǒng)審計工作，具體可將該維度分為審計質(zhì)量和審計效率兩類指標進行衡量：

1.審計質(zhì)量

（1）審計底稿、審計報告撰寫質(zhì)量。一份高質(zhì)量的審計底稿，需要完整、真實、清晰地記錄審計過程，且抽樣合理。審計底稿和報告的質(zhì)量，反映了審計業(yè)務流程的規(guī)范程度和工作質(zhì)量。

（2）重大審計發(fā)現(xiàn)的數(shù)量。任何企業(yè)都無法做到盡善盡美，因此找到問題不是難事，難的是找準重大問題。為避免審計人員為了完成任務而去發(fā)現(xiàn)大量小問題，重大審計發(fā)現(xiàn)的數(shù)量成為績效評價指標之一。

（3）審計建議被采納的比例。內(nèi)審部門除了關(guān)注發(fā)現(xiàn)問題的情況，更需要關(guān)注審計所發(fā)現(xiàn)的問題是否能夠被及時化解，這是衡量審計建議質(zhì)量的重要方面，也是審計結(jié)果是否被業(yè)務部門接受，從而真正為企業(yè)創(chuàng)造價值的根本所在。

2.審計效率

（1）審計計劃完成比例，即所完成的審計項目數(shù)量占計劃項目總數(shù)量的百分比，是衡量審計工作效率的重要指標。

（2）審計工具的運用情況。由于審計線索的隱蔽性、易逝性，審計取證的動態(tài)性，審計人員運用的審計工具越多，代表著信息系統(tǒng)審計越具有專業(yè)性、高效性，當然審計成本也會隨之增加。

（3）用于IT確認活動與咨詢活動的時間比例。IT確認和IT咨詢活動都是信息系統(tǒng)審計工作不可或缺的一部分，信息系統(tǒng)審計同時承擔著監(jiān)督和服務的責任，在工作中進行合理的時間配比有助于信息系統(tǒng)審計資源的有效分配，提高工作效率，創(chuàng)造更大的價值。

（四）學習與創(chuàng)新維度

學習與創(chuàng)新維度主要用于衡量信息系統(tǒng)審計工作的持續(xù)發(fā)展能力，提倡創(chuàng)新的工作理念，以保證審計的工作質(zhì)量，提升審計人員素質(zhì)，具體指標如下：

1.學習

為了及時發(fā)現(xiàn)并有效控制IT風險，IT人員需要不斷學習新的知識和技能。同時，企業(yè)信息化環(huán)境的不斷變化也對信息系統(tǒng)審計工作產(chǎn)生一定的影響，因此需要從以下兩方面衡量信息系統(tǒng)審計人員的專業(yè)能力：①信息系統(tǒng)審計人員年均培訓時間；②審計人員教育程度、具有職業(yè)認證的人員比例。

2.創(chuàng)新

（1）創(chuàng)新審計發(fā)現(xiàn)數(shù)量。在同一企業(yè)內(nèi)部，由于行業(yè)、管理的一致，不同子公司、不同IT項目存在的問題具有一定的共性，同樣的問題可能會多次反映在不同的報告中，容易在審計時產(chǎn)生思維定式，遺漏關(guān)鍵問題。因此鼓勵創(chuàng)新、發(fā)現(xiàn)原來未曾發(fā)現(xiàn)的問題，是信息系統(tǒng)審計工作績效所考慮的一項內(nèi)容。

（2）對信息系統(tǒng)審計程序的完善數(shù)量。信息系統(tǒng)審計程序的補充、增加、修改，都是對審計工作流程的貢獻，更是創(chuàng)新意識的驅(qū)動結(jié)果。

三、結(jié)語

通過上述分析，本文在平衡計分卡的一般框架內(nèi)，根據(jù)信息系統(tǒng)審計的價值與工作流程，并依據(jù)指標設計原則，設計了一套企業(yè)內(nèi)部信息系統(tǒng)審計績效評價的指標，有利于信息系統(tǒng)審計工作績效評價體系的構(gòu)建，從而優(yōu)化內(nèi)部審計流程，提升信息系統(tǒng)審計效能，幫助企業(yè)增加價值。而在構(gòu)建和完善信息系統(tǒng)審計工作績效評價體系時，評價指標如何進行量化，權(quán)重如何分配，還有待繼續(xù)探索。

[1]陶蕓輝．IT審計風險評價與控制研究[D]．蚌埠：安徽財經(jīng)大學，2013．

[2]馮淑萍．IT審計時代背景下政策取向[J]．中國注冊會計師，2016(11)．

[3]何云海．淺議信息系統(tǒng)審計的特點[J]．內(nèi)控與審計，2013(03)．

[4]王海林．IT環(huán)境下企業(yè)內(nèi)部控制探討[J].會計研究，2008(11)．