任藝

【摘? 要】信息系統(tǒng)現(xiàn)已成為中小企業(yè)的主要部分，而信息系統(tǒng)審計則是一種有效的信息系統(tǒng)風(fēng)險防范措施。論文提供基于COBIT2019標(biāo)準(zhǔn)的中小企業(yè)信息系統(tǒng)審計架構(gòu)，以使得中小企業(yè)的信息系統(tǒng)在實際使用中更加安全與有效，進而為中小企業(yè)信息系統(tǒng)審計工作提供一定的參考。

【關(guān)鍵詞】COBIT2019;信息系統(tǒng)審計;審計框架

【中圖分類號】F239.4;F276.3? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?【文獻(xiàn)標(biāo)志碼】A? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?【文章編號】1673-1069（2022）06-0099-03

1 引言

目前，信息系統(tǒng)已成為各公司支持業(yè)務(wù)運作、實現(xiàn)業(yè)務(wù)目標(biāo)的重要保證，也是公司在客戶服務(wù)和業(yè)務(wù)創(chuàng)新中的重要優(yōu)勢。信息系統(tǒng)在為公司提供多種競爭優(yōu)勢、經(jīng)濟利益的同時，也會產(chǎn)生各種風(fēng)險。一旦發(fā)生安全性問題或數(shù)據(jù)泄露，將會給公司尤其是中小企業(yè)帶來很大的損失。通過對信息系統(tǒng)的審計，可以準(zhǔn)確地反映公司信息系統(tǒng)是否能夠順利、安全地運作，從而對其進行系統(tǒng)的管理與優(yōu)化。根據(jù)在信息系統(tǒng)審計中出現(xiàn)的相關(guān)情況，制定最優(yōu)的方案，以保證信息系統(tǒng)的準(zhǔn)確性、信息系統(tǒng)設(shè)施的穩(wěn)定性、內(nèi)部控制的相關(guān)體系的規(guī)范性，以減少中小企業(yè)信息系統(tǒng)面臨的風(fēng)險。當(dāng)前，在國際上最通用的標(biāo)準(zhǔn)是由ISACA推出的COBIT框架標(biāo)準(zhǔn)，它將企業(yè)的IT目標(biāo)和商業(yè)目標(biāo)緊緊地聯(lián)系在一起，而當(dāng)前這一標(biāo)準(zhǔn)也被公認(rèn)為當(dāng)今世界上最領(lǐng)先、最權(quán)威的企業(yè)安全與信息化方面的管理和監(jiān)控規(guī)范。因此，本文基于COBIT2019對中小企業(yè)的信息系統(tǒng)審計工作進行了深入的探討。

2 COBIT2019概述

COBIT標(biāo)準(zhǔn)是美國ISACA的主要信息系統(tǒng)管理標(biāo)準(zhǔn)，同時也是美國信息安全政策和技術(shù)發(fā)展的關(guān)鍵控制目標(biāo)。自首次推出至今，經(jīng)過6次修訂，已逐漸發(fā)展為世界各國公認(rèn)的最先進、最權(quán)威的管理與控制系統(tǒng)，并且被世界各國所認(rèn)可，當(dāng)前的最新版本為COBIT2019。

基于COBIT2019架構(gòu)，公司研究如何才能在信息系統(tǒng)中得到最大的收益，并使之達(dá)到最佳的收益水平，其基礎(chǔ)就是公司如何實現(xiàn)發(fā)展信息系統(tǒng)的目的，而實現(xiàn)目的的基礎(chǔ)就是對整個信息系統(tǒng)流程進行合理的管理。所以，在信息系統(tǒng)審計時，審計部門應(yīng)當(dāng)重視檢查系統(tǒng)中各個環(huán)節(jié)的實施情況，以保證系統(tǒng)的安全性、可靠性和經(jīng)濟效益。

3 基于COBIT2019的中小企業(yè)信息系統(tǒng)審計框架

中小企業(yè)的規(guī)模較小，其人員、資金、物質(zhì)條件相對較少，難以通過多元化的方式來分散風(fēng)險，其風(fēng)險承受能力也不能與大型企業(yè)相提并論。我國中小企業(yè)普遍存在的重大問題是如何借助先進信息技術(shù)提升公司的生產(chǎn)經(jīng)營效果和效率，信息化建設(shè)也悄然影響著許多中小企業(yè)的存在和運作狀態(tài)。中小企業(yè)采用信息系統(tǒng)主要是為了協(xié)助公司降低生產(chǎn)成本，以及協(xié)助公司管理人員提升效率和規(guī)范公司的整體經(jīng)營。然而現(xiàn)實情況是中小企業(yè)信息系統(tǒng)應(yīng)用的整體發(fā)展較慢，企業(yè)重視度不夠，在有限的資金、資源投入下，中小企業(yè)所應(yīng)用的信息系統(tǒng)大多是外包建設(shè)的，前期建設(shè)簡單粗暴、系統(tǒng)交付后沒有定期進行維護管理等多種原因?qū)е轮行∑髽I(yè)信息系統(tǒng)潛在隱患較多，信息系統(tǒng)審計時更應(yīng)該細(xì)致全面，全力降低信息系統(tǒng)風(fēng)險暴露的可能性。本文采用的COBIT2019框架是企業(yè)發(fā)展戰(zhàn)略目標(biāo)與信息技術(shù)發(fā)展目標(biāo)中間的重要紐帶，能夠?qū)崿F(xiàn)信息系統(tǒng)審計目標(biāo)與公司戰(zhàn)略目標(biāo)之間的交互?；贑OBIT2019的中小企業(yè)信息系統(tǒng)審計可以增加中小企業(yè)管理層對信息系統(tǒng)的控制力，使信息系統(tǒng)審計工作簡易并量化，可以針對中小企業(yè)信息系統(tǒng)應(yīng)用形成一個持續(xù)改進的良性循環(huán)機制。下文從治理和管理目標(biāo)、治理系統(tǒng)的組件兩個方面對基于COBIT2019的中小企業(yè)信息系統(tǒng)審計框架進行闡述。

3.1 治理和管理目標(biāo)

為了使信息系統(tǒng)能夠促進公司經(jīng)營目標(biāo)的實現(xiàn)，必須達(dá)到一系列的治理和管理目標(biāo)。治理和管理的目標(biāo)總是包括一個過程，以及一系列有助于達(dá)到目的的其他相關(guān)部件。治理目標(biāo)涉及治理過程，而管理目標(biāo)涉及管理過程。治理過程一般是由董事會和管理層來完成，而管理過程是屬于高層管理者和中層管理者的責(zé)任。COBIT2019的治理和管理目標(biāo)被劃分為5個名字由動詞組成的領(lǐng)域，表達(dá)了其目的和所涉及的活動范圍。

治理目標(biāo)包括“評估、指導(dǎo)、監(jiān)測”方面。在此方面，治理委員會負(fù)責(zé)評估策略計劃，引導(dǎo)高級管理人員實施選定的策略方案，并監(jiān)測其執(zhí)行情況。

管理目標(biāo)包括以下4個方面：“調(diào)整、計劃、組織”為信息系統(tǒng)審計提供整體的組織、策略和支持;“構(gòu)建、采購、實施”是對信息系統(tǒng)審計方案定義、采購和實施，并將其與經(jīng)營過程相結(jié)合;“交付、服務(wù)、支持”是為信息系統(tǒng)審計服務(wù)提供運營交付和支持，其中包括安全服務(wù);“監(jiān)測、評價、評估”則是判斷信息系統(tǒng)審計效果與內(nèi)部績效目標(biāo)、內(nèi)部控制目標(biāo)以及外部需求的一致性。

3.1.1 評估、指導(dǎo)、監(jiān)測

“評估、指導(dǎo)、監(jiān)測”是信息系統(tǒng)審計的控制區(qū)，它可以判定中小企業(yè)的信息系統(tǒng)審計組織結(jié)構(gòu)和人員的工作責(zé)任的明確和合理、信息系統(tǒng)審計項目計劃和流程的健全，以及信息系統(tǒng)審計結(jié)果監(jiān)控和評估的及時和有效。另外，它可以判定信息系統(tǒng)審計在計劃、創(chuàng)建、運行和監(jiān)控4個層面上運行的系統(tǒng)性和有效性?！霸u估、指導(dǎo)、監(jiān)測”要求各中小企業(yè)確保合理地建立和維持信息系統(tǒng)審計管理框架，力爭達(dá)到利益、風(fēng)險和資源最優(yōu)，確保治理層了解信息系統(tǒng)審計的整體過程。為達(dá)到這一目標(biāo)，需要確保與信息系統(tǒng)審計相關(guān)的流程可以被有效、公正地控制，遵循法規(guī)、協(xié)議和政策，并滿足董事會的監(jiān)管要求。中小企業(yè)必須保證信息系統(tǒng)審計相關(guān)的風(fēng)險不會超出公司的承受能力和客戶相關(guān)風(fēng)險的承受能力，并確定及控制信息系統(tǒng)審計風(fēng)險對公司價值的影響，同時，將違規(guī)的可能性降到最低。

3.1.2 調(diào)整、計劃、組織

中小企業(yè)必須對公司的戰(zhàn)略目標(biāo)和其他計劃要素進行信息系統(tǒng)審計，以此為基礎(chǔ)，實現(xiàn)所有必要的審計工作管理。中小企業(yè)需要對目前的生產(chǎn)經(jīng)營與信息技術(shù)環(huán)境、公司未來的發(fā)展方向以及信息系統(tǒng)需求進行綜合考量，決定采用何種措施來提供一種最理想的工作環(huán)境進而評估公司目前的信息系統(tǒng)風(fēng)險，并制定有針對性的解決路徑，保證把重點放在公司整體的轉(zhuǎn)變進程上。在信息系統(tǒng)審計目的的基礎(chǔ)上，可以構(gòu)建一個重要的模型來描述審計工作基礎(chǔ)結(jié)構(gòu)和目標(biāo)結(jié)構(gòu)，定義相關(guān)的分類、標(biāo)準(zhǔn)、指南、程序。中小企業(yè)應(yīng)該時刻關(guān)注公司信息系統(tǒng)的動向，并監(jiān)測最新的技術(shù)，主動地發(fā)掘創(chuàng)新機遇，規(guī)劃如何從公司需求和信息系統(tǒng)審計結(jié)果中受益。通過應(yīng)用新興技術(shù)、理念創(chuàng)新、現(xiàn)有技術(shù)改進等，有利于中小企業(yè)提高信息系統(tǒng)審計風(fēng)險管理能力。

3.1.3 構(gòu)建、采購、實施

中小企業(yè)的“構(gòu)建、采購、實施”是為了涵蓋新的項目產(chǎn)生的解決方案，這些方案可以滿足以往信息系統(tǒng)審計項目的需要，并且在預(yù)算范圍內(nèi)可以準(zhǔn)時交付，一旦執(zhí)行，新的審計程序就可以運行，并且不會對現(xiàn)有的審計方法、手段造成任何影響。中小企業(yè)應(yīng)該按照標(biāo)準(zhǔn)的規(guī)劃管理辦法，把審計項目的各項計劃與公司的戰(zhàn)略目標(biāo)相結(jié)合，并且以一種連貫的方式進行。在實施外部采購和建立新的框架之前，企業(yè)應(yīng)該首先找到解決辦法，并對需要作出分類，以確定這種需要和公司的業(yè)務(wù)流程、信息系統(tǒng)審計需求、數(shù)據(jù)類別規(guī)模、基礎(chǔ)設(shè)施等相一致，然后再開發(fā)、采購或者與審計業(yè)務(wù)外包商合作。為了達(dá)到以上效果，中小企業(yè)應(yīng)該最大限度地在公司層面上進行可持續(xù)的信息系統(tǒng)審計組織變革，并在風(fēng)險較小的情況下迅速成功地實施，公司應(yīng)該以可控的方法來管理所有的變化，其中包括標(biāo)準(zhǔn)變化和業(yè)務(wù)流程、應(yīng)用程序和基礎(chǔ)框架以及應(yīng)急維護。

3.1.4 交付、服務(wù)、支持

中小企業(yè)的“交付、服務(wù)、支持”包括提供服務(wù)、安全和持續(xù)的管理、對服務(wù)使用者的支持、資料管理和操作設(shè)備，其目的是保證信息系統(tǒng)審計服務(wù)按生產(chǎn)經(jīng)營優(yōu)先順序提供，最大限度地降低成本，并保證員工能夠有效、安全地使用該被審系統(tǒng)。中小企業(yè)對被審項目對應(yīng)的要求和對各種突發(fā)事件做出及時、高效的反應(yīng)包括：對被審項目負(fù)責(zé)人的要求進行記錄和處理;記錄、調(diào)查、診斷、報告和處理意外事件。中小企業(yè)要找出信息系統(tǒng)審計結(jié)果體現(xiàn)出來的問題根源，對問題進行歸類。如果意外事件出現(xiàn)，應(yīng)及時提出解決辦法，從而確保主要的業(yè)務(wù)過程和信息系統(tǒng)服務(wù)得以持續(xù)運作，并且可以維持資源、資產(chǎn)和信息損失在公司可以接受的范圍內(nèi)。中小企業(yè)應(yīng)該定義和維持適當(dāng)?shù)慕?jīng)營過程控制，以保證通過這些過程處理的信息符合所有有關(guān)的信息系統(tǒng)審計風(fēng)險管理需求，一旦數(shù)據(jù)異?？梢钥焖僮R別出信息系統(tǒng)潛在的審計風(fēng)險。

3.1.5 監(jiān)測、評價、評估

中小企業(yè)的“監(jiān)控、評價、評估”是指整個信息系統(tǒng)審計過程應(yīng)該被定期評估，以體現(xiàn)其品質(zhì)和滿足控制需求。這一領(lǐng)域涵蓋了業(yè)績管理、內(nèi)控監(jiān)督、規(guī)章遵守以及政府強制執(zhí)行。中小企業(yè)應(yīng)該把信息系統(tǒng)審計結(jié)果整改表現(xiàn)和經(jīng)營戰(zhàn)略目標(biāo)結(jié)合在一起，對風(fēng)險進行測量和匯報。中小企業(yè)需要收集評價信息系統(tǒng)審計部門的指標(biāo)，讓信息系統(tǒng)審計的負(fù)責(zé)管理人員能夠發(fā)現(xiàn)缺陷和低效的狀況，并進行改善;評價審計過程是否遵守法規(guī)、政策和合同規(guī)定，確保審核并實現(xiàn)上述要求，以及實現(xiàn)信息系統(tǒng)合規(guī)以及整個公司的規(guī)范。中小企業(yè)要確保實施獨立的信息系統(tǒng)審計活動，讓管理層對公司信息系統(tǒng)進行全面、準(zhǔn)確的認(rèn)識。

3.2 治理系統(tǒng)的組件

COBIT2019提出，要達(dá)到公司的治理與管理目標(biāo)，必須建立一個包含多個構(gòu)件的治理組件系統(tǒng)?；贑OBIT2019的中小企業(yè)信息系統(tǒng)審計框架包含以下7個主要組成部分：

①流程。流程是描述一系列的實踐和活動，以達(dá)到特定的目的，并且產(chǎn)生一套輸出的內(nèi)容，以支持整個信息系統(tǒng)的目標(biāo)。中小企業(yè)信息系統(tǒng)審計應(yīng)該根據(jù)企業(yè)信息系統(tǒng)應(yīng)用情況制定有針對性的審計流程。

②組織結(jié)構(gòu)。組織結(jié)構(gòu)是企業(yè)的主要決策實體。大部分中小企業(yè)雖然沒有專門的信息系統(tǒng)審計部門，但仍然應(yīng)該針對每個信息系統(tǒng)審計項目搭建臨時的完整組織結(jié)構(gòu)。

③原則、政策和框架。原則、政策、框架是將理想行為轉(zhuǎn)化為實用的日常管理指導(dǎo)。中小企業(yè)信息系統(tǒng)審計不應(yīng)該只是照搬傳統(tǒng)審計的一套原則、政策和框架，應(yīng)該結(jié)合公司所用信息系統(tǒng)的特點總結(jié)出適用的信息系統(tǒng)審計工作指導(dǎo)框架。

④信息。在任何組織中，信息無處不在，包括企業(yè)生成和使用的全部信息，COBIT2019側(cè)重于有效運轉(zhuǎn)企業(yè)治理系統(tǒng)所需的信息。中小企業(yè)則應(yīng)該提高各相關(guān)部門的配合程度，使信息系統(tǒng)審計小組可以在權(quán)限內(nèi)全面獲取真實信息。

⑤文化、道德和行為。文化、道德、行為分為個人層面與企業(yè)層面，作為治理和管理活動的成功因素之一，其價值往往被低估。中小企業(yè)爆發(fā)信息系統(tǒng)風(fēng)險的危害更為嚴(yán)重，所以無論是公司層面還是員工層面都應(yīng)該不斷提高對信息系統(tǒng)審計的重視度。

⑥人員、技能和能力。人員、技能、能力對作出正確決策、采取糾正行動和成功完成所有活動而言是必不可少的。中小企業(yè)雖然人力資源有限，較少公司擁有信息系統(tǒng)審計專職人員，多為兼職或外包，公司在組成信息系統(tǒng)審計小組時應(yīng)該全方位權(quán)衡小組成員的數(shù)量、專業(yè)、能力等因素。

⑦服務(wù)、基礎(chǔ)設(shè)施和應(yīng)用程序。服務(wù)、基礎(chǔ)設(shè)施、應(yīng)用程序包括為中小企業(yè)提供信息系統(tǒng)審計的基礎(chǔ)設(shè)施、技術(shù)和應(yīng)用程序。

4 實施保障建議

第一，健全內(nèi)控制度，建立健全的中小企業(yè)信息系統(tǒng)追蹤審計制度。在這方面，建議按照COBIT2019的規(guī)定，建立適合企業(yè)實際的信息系統(tǒng)跟蹤審計體系，科學(xué)合理界定責(zé)任，加強對信息系統(tǒng)的監(jiān)督和指導(dǎo)，合理地通過審計方式發(fā)現(xiàn)信息系統(tǒng)的各類情況，使得企業(yè)信息系統(tǒng)的合規(guī)審計有效地發(fā)揮作用。

第二，完善公司信息系統(tǒng)審計互評制度，同時，完善信息系統(tǒng)審計過程。而已建立COBIT框架的企業(yè)在這方面可起到引領(lǐng)作用，號召業(yè)內(nèi)采納信息系統(tǒng)審計的公司進行溝通，建立一定規(guī)模、數(shù)目的同行審計機構(gòu)與信息系統(tǒng)審計評估模式，分享成功經(jīng)驗與失敗案例，實現(xiàn)流程與成果共享，使互評機制長期持續(xù)。

5 結(jié)語

中小企業(yè)信息化管理的主要目的，是通過對信息系統(tǒng)風(fēng)險、資源和利益的均衡來達(dá)到企業(yè)的戰(zhàn)略目標(biāo)。中小企業(yè)要建立信息系統(tǒng)操作風(fēng)險管理和信息系統(tǒng)風(fēng)險評估系統(tǒng)。同時，通過信息系統(tǒng)審計加強對信息技術(shù)的風(fēng)險和隱患的排查和治理。中小企業(yè)應(yīng)該建立網(wǎng)絡(luò)和信息安全突發(fā)事件的應(yīng)急方案，并定期進行評估和演練，以不斷地豐富突發(fā)事件的應(yīng)對和改進方案。公司應(yīng)確保其具有實施戰(zhàn)略規(guī)劃的適當(dāng)能力，并提供充足、適當(dāng)和有效的資源。由于各中小企業(yè)的信息化狀況和所面臨的問題不盡相同，所以本文的信息系統(tǒng)審計結(jié)論是否具有普遍性還有待于深入研究。

【參考文獻(xiàn)】

【1】雷彬彬，楊新東，衛(wèi)小璐.基于COBIT2019框架的證券公司信息系統(tǒng)審計研究——以招商證券為例[J].財會通訊，2022（9）：140-143+148.

【2】劉磊.基于信息化平臺的企業(yè)內(nèi)部審計資源整合研究[J].財會通訊，2020（23）：139-143.