ISACM:现代信息系统审计模型及其方法体系
南京审计大学 陈 耿 李婷婷 韩志耕
【摘 要】 互联网的普及使得企业的生存与发展越来越依赖于现代信息系统,现代信息系统重要性的与日俱增要求信息系统审计在模型及方法体系上均要做出适应性的拓展甚至变更。针对该问题,文章提出了现代信息系统审计模型ISACM,该模型将现代信息系统审计的职能明确分为审计、控制和管理三个关联的方面。与此同时,基于ISACM模型构建了现代信息系统审计的一般性方法体系,进一步明确审计职能——三项审计类别涉及真实性审计、安全性审计、绩效审计;三级控制层面包括决策层面、业务层面和技术层面;三个管理维度分别是IT治理、应急管理和业务连续性管理,以期为互联网环境下的现代信息系统审计提供指引。
【关键词】 互联网环境; 现代信息系统审计; ISACM模型; 一般性方法体系
一、引言
互联网的普及使得信息系统(IS)由“信息孤岛”的现象转变成开放、复杂的状态,意味着信息系统由传统IS转变为现代IS,其中传统IS特指利用计算机实现对产品生产制造过程的自动控制,实现企业内部管理的自动化;现代IS是在传统IS基础上进一步扩展,企业还会利用互联网开展电子商务,实现企业生产、交易、管理的系统化,如阿里巴巴、卓越等电子商务公司。据智研咨询统计结果显示,截至2016年12月,我国60%以上的企业部署了企业信息化系统,其中50.4%、28.2%、25.9%的企业建设使用了办公自动化(OA)系统、企业资源计划(ERP)系统和客户关系管理(CRM)系统,相比于上一年提升了13.4个百分点,且预测整体呈快速的上升趋势。此外,2018年7月中国互联网信息中心(CNNIC)在公布的第42次《中国互联网络发展状况统计报告》中指出,2018年1—5月电子商务平台收入达1 164亿元,同比增长39.1%,电子商务保持快速增长、增速平稳态势,服务模式、技术形态和赋能效力均在不断地创新突破。由此可见,企业的生存和发展越来越依靠信息系统,信息系统显得愈加重要。尽管如此,信息系统也暴露出诸多安全问题,2001年爆发的安然事件就是代表性的事件。为防止企业利用信息系统进行舞弊,对现代信息系统进行审计显得格外重要。
现代信息系统主要利用电子商务平台进行交易,信息系统变得复杂化、开放化,如何针对此类系统进行审计亟待解决。目前信息系统审计相关的依据主要是国际信息系统审计协会(IASCA)制定的信息系统审计准则、COSO内部控制及风险管理框架以及COBIT控制框架。其中信息系统审计准则是由基本准则、审计指南和作业程序三个层次组成,明确审计人员的基本要求以及具体的审计程序,是一套通用的审计准则;COSO框架主要包括内部控制和企业风险管理整合框架两个方面,旨在使企业风险管理过程流程化,为企业目标实现提供合理保证;COBIT框架重视信息系统控制问题,提出了一般控制和应用控制两要素审计方法,为企业管理层、IT与审计之间交流架起桥梁。三种审计依据各有侧重地对信息系统审计进行一定程度的指导,但针对现代企业信息系统,以上任意一种审计依据都无法满足审计需求,因此,有必要重新探索信息系统审计方法体系,以便为现代信息系统审计工作提供一个可行的实务指南。
二、文献回顾
(一)基于ISACA信息系统审计准则体系的相关研究
ISACA信息系统审计准则体系从多个层次为审计人员提供指引。由于我国目前还未建立起一套完整的信息系统审计准则,因此,国内部分学者主要基于ISACA信息系统审计准则进行相关的研究,诸如通过解读国际信息系统审计准则的相关内容,提出用于制定我国信息系统审计准则的建议。刘杰[1]通过比较国内外信息系统审计准则,指出我国准则的弊端,并提出相关政策建议;张文秀等[2]指出在我国借鉴国际信息系统审计规范的过程中要注意国家文化的特征,要探讨适合我国国情的审计准则;陈婉玲等[3]借鉴ISACA的信息系统审计准则,提出顶层设计方案,指出我国可以按照工作流程或审计工作任务进行准则制定。通过文献回顾,可以了解到信息系统审计准则对审计工作具有指导作用,我国信息系统审计需要从基本准则、审计职能和作业程序等诸多方面进行规范。
(二)基于COBIT框架体系的相关研究
COBIT框架体系重视信息系统的控制以防范风险。周德铭等[4]在借鉴国外信息系统过程控制审计框架基础上,提出四维结构的信息系统审计控制审计框架;王会金[5]提出中观信息系统审计风险控制框架体系,为相关系统安全提供理论支持与实践指导;张文秀等[6]构建我国信息系统审计框架,提出面向系统和面向数据的信息系统审计,进一步深入了我国信息系统审计的研究与应用;金文等[7]提出以信息系统生命周期为出发点,构建符合COBIT定义的信息技术过程和管理、控制与审计模型。上述研究主要依据COBIT标准构建我国信息系统审计框架,通常COBIT便于人们了解和分析信息系统建设与应用过程,帮助审计师明确审计轨迹[7]。
(三)基于COSO框架体系的相关研究
COSO框架主要包括内部控制和企业风险管理整合框架两个方面,凸显企业内控和风险管理的重要性。王培华等[8]基于COSO-ERM框架,构建审计机关廉政风险防控体系,进行风险分类管理,以便于查找各部门、岗位的关键风险点,评估风险等级,健全防控长效机制;施金龙等[9]认为应该加强中小企业内部控制,并基于COSO内控框架研究其存在的问题及成因,最后提出一系列完善内控的措施;席龙胜[10]在审计质量控制基础上引入COSO风险管理框架,建立新的审计质量控制体系,认为审计应该转向以控制风险为目标的主动型质量管理;陈震晗 [11]基于COSO-ERM框架研究企业风险导向审计模型,并提出应用模型的初步方案,为审计研究提供新的方向。可见,目前基于COSO框架的文献研究主要是针对各企业内部控制问题,并提出相关建议,表现企业内部控制的重要作用。
从以上讨论可以看出,虽然目前在信息系统审计准则、框架体系上已有诸多研究,然而,互联网的普及所带来的企业生产方式、经营模式和管理方法的巨大变化,使得企业信息系统面临着前所未有的风险,信息系统审计的职能需要得到提升。本文提出的ISACM(Information System Auditing、Control and Management)现代信息系统审计模型及方法体系,除了提供信息系统审计的审计职能外,还具备控制和管理职能,对已有的信息系统审计模型和方法体系做出了内涵拓展和外延变更,方便为“互联网+”环境下的现代信息系统审计实务提供指引。
三、ISACM模型构建
本节在分析现代信息系统审计应该具备的审计、控制和管理三种职能的基础上,给出适用于信息系统审计的ISACM模型,该模型能够多角度表征现代信息系统审计的作用,充分反映信息系统审计的职责所在,最大限度地满足现代信息系统审计的需求。
资管新规对理财产品的冲击主要来源于取消刚性兑付的规定。一方面,“金融机构开展资产管理业务时不得承诺保本保收益”这一新规定,说明保本理财将彻底退出市场,目前这一块的规模在7.37万亿元。另一方面,通过 “金融机构对资产管理产品应当实行净值化管理”这一新规定,能够采取摊余成本的封闭式产品仅有一小部分,这样一来,非保本理财的稳定高收益光环就会消失,投资吸引力也逐渐降低,最终产生非保本理财规模萎缩的情况。另外,作为银行理财重要投资途径的通道业务也在资管新规中被重新定义,也对银行发行理财产品的积极性起到了一定的阻碍作用。
研究发现,患者家庭CHE发生的概率随着收入水平的增加而逐渐降低,低收入者的就医经济风险度较大。受到经济条件的限制,低收入的慢性病患者常常要么不寻求医疗服务,要么寻求廉价的不恰当的医疗服务,世界银行的研究[19]显示,在2008年,应接受而未接受住院治疗的患者中,35%是农村低收入慢性病患者,在这其中有82%的患者是由于经济困难。井珊珊等[20]的研究也指出,经济困难仍然是农村慢性病患者不去就医的重要原因。
(一)审计职能
所谓审计职能,是一种狭义的审计,就是以相关规定、标准等为评价依据,评价被审计对象的信息资产和信息系统是否安全、可信,反映的财务收支和经济活动的电子轨迹是否合法、合规、合理和有效,从而督促被审计对象遵纪守法,提高经济效益。
幼儿园应该充分满足幼儿在活动中所需的各种设备器材,这对激发幼儿活动参与积极性以及提高幼儿活动思维能力有着很好的辅助效果。幼儿园阶段的孩子较为活泼好动,教师应该在开展区域活动的过程中让幼儿充分体会到区域活动的乐趣。这就需要幼儿园重视区域活动的场地建设和器材配备,不断完善加强活动所需的硬件设施,以此来保证幼儿在活动中有充足的器材,进而提升区域活动开展有效性。
相比于传统的信息系统审计,现代信息系统审计的审计职能表现得更加复杂、开放,不仅关注信息系统的真实性,而且对信息系统的安全性愈加重视。如图1所示,基于审计目标,本文将现代信息系统审计的审计职能划分为真实性审计、安全性审计和绩效审计三种基本类型。
图1 审计职能“三角”
(二)控制职能
从审计职能、控制职能和管理职能出发,本节详述ISACM模型的一般性方法体系,以期为具体的审计实务提供方法指引。
何泽说,反正这树我花了几万的本钱才搞到手,光交给村里的山本费就去了一万,人工钱也去了几千,看在我们多年兄弟的情分上,网开一面,等我出手了再来好好感谢你。
分析: 形态学上端即形态学顶端,是指生长延伸的部位;形态学下端是指形态学基端。在地上部分生长素主要从形态学顶端向形态学基端运输,而地下部分则主要从形态学基端向形态学顶端运输。根尖产生的生长素含量很少,根所需的生长素主要来自地面以上部分向下的传递。地上部分产生的生长素通过中柱越过根茎交界处进行向顶式运输,然后根尖的生长素再经根的表层细胞通过向基式运输向上回流(图2)[8]。
随着人们生活水平的提高,人们的物质生活得到了极大的满足,对于精神生活方面的追求也越来越高,传统的旅游已不能满足人们的需求,少数民族传统体育和体育旅游的结合,不仅给人们带来精神的愉悦和寻求刺激的体验,也能够促进民族传统体育文化的传承与发展,同时还能促进云南民族地区的经济的繁荣,坚持生态旅游的发展道路,加快少数民族传统体育旅游资源的转化,对于云南民族地区的经济和社会发展有重要意义。
图2 控制职能“三角”
(三)管理职能
管理职能是指信息系统审计师有义务和责任对企业的信息资产安全与信息系统运行状况提供决策咨询,确保信息系统发展与企业的战略一致,在工作中发现问题,对制度、管理和控制等方面有针对性地提供咨询服务,预防出现大的信息技术风险和管理漏洞,企业各管理层提供服务,不断改进经营管理水平。
1.2 调查情况及统计分析 本次调查共发放600份问卷,收回有效问卷543份,问卷有效回收率90.5%。其中:大一学生111份,大二学生179份,大三学生98份,大四学生155份。问卷学生中,男生343人(占63.2%),女生200人(占36.8%)。问卷统计数据如下。
信息技术使企业受益的同时也带来了相应的风险(《企业内部控制基本规范》中提到了识别企业内外部风险的六个核心因素),信息系统风险已经成为企业风险的主要来源之一。为保证企业信息资产的安全、有效,现代企业的风险管理必须成为信息系统审计的基本职能。如图3所示,本文将现代信息系统审计的管理职能划分为IT治理、应急管理、业务连续性管理三个方面,通过对信息资产实施全方位、全过程的风险管理,帮助企业提高抗风险的能力。
图3 管理职能“三角”
根据以上信息系统审计三种职能分析,本文构建出如图4所示的现代信息系统审计模型ISACM,该模型通过多角度展现现代信息系统审计的内涵,能够充分反映信息系统审计的职责所在,并最大限度地满足现代信息系统审计的需求。
图4 ISACM模型
四、ISACM一般性方法体系
控制职能的一般定义是指组织的管理者对组织的运行状况加以监督,通过控制可发现当初的计划与实际的偏差,采取有力的行动纠正偏差,保证计划的实行,确保原来的目标得以实现。
(一)三项审计类别
3.绩效审计
企业在设计信息系统内控时,应符合企业整体的目标、政策和战略决策。如图5所示,信息技术环境下企业内部控制在决策层面应该重点关注五要素。其中,IT内部控制环境主要关注IT治理架构、IT组织与职责、IT决策机制等基础内容;IT风险评估借助风险识别、风险分析和风险应对来把握风险;IT控制活动使用IT技术类措施和IT管理类措施,对风险做出防范;IT监督借助系统日志和内部监管措施对信息系统整体运行进行全方面的审核,对IT控制的有效性做出评价;信息与沟通用于实现内部信息系统与外部环境的结合,以便应对多方面的变化,实现更有效的控制。
业务层面控制实现对业务流程的检查,相关的控制关注点如图6所示。其中,信息安全策略用于保证业务正常运营,涉及到问题管理、应急管理、第三方管理、职责分离等内容。信息安全流程用于对整个流程进行控制,从而有效地保障信息安全,包括账号管理、备份管理、数据中心管理、设备安全、系统安全等内容。用户培训包括操作人员培训、管理人员培训、专业人员培训等,以明确各自在信息化环境中应承担的职责。
2.安全性审计
信息系统的安全隐患除了来自企业内部,还有因互联网的开放性所导致的各种外部威胁,诸如网络攻击、数据窃取、计算机病毒等,这些安全隐患均可能会中止企业的正常经营活动,给企业带来损失。信息系统安全性审计的目标是审查企业信息系统和电子数据的安全性、可靠性、可用性、保密性等,预防来自互联网对信息系统的威胁和来自企业内部对信息系统的危害。
安全性审计是真实性审计的基础与前提。对现代信息系统而言,安全性审计的对象应关注电子数据、操作系统、数据库、网络、设备、主机以及环境等方面的安全。审计内容是审核上述审计对象的各项安全指标,判断它们是否达到信息系统整体安全运行的需求。
1.真实性审计
信息系统的成功运用能给企业带来高收益,然而信息系统实施复杂、建设耗时较长、成本较高,属高风险投资项目。盲目上马信息系统项目有可能会让企业陷入投资黑洞。因此,对于现代企业,信息系统绩效审计的目标是审核信息系统的投资、开发和应用是否合理,信息系统的使用是否有效、能否为企业创造价值。
信息系统绩效审计的对象是信息系统的投入与产出。审计内容是审核信息系统投入和产出之间的关系是否达到预期,这涉及到对信息系统的经济性、效率性和效果性进行评价和监督。通过信息系统绩效审计,能够更好地发挥信息系统审计的审计职能,为企业的投资者、债权人、经营者、管理者等提供更充分的决策参考。
(二)三级控制层面
由于信息化环境下企业内部控制被嵌入到信息系统中,审计人员需要关注信息系统内部控制,以鉴证信息系统内控运行的效果。信息系统内部控制主要体现在三个层面:决策层面、业务层面和技术层面。
1.注重学生的思想教育。学生要在学校的帮助与教育下培养并加强自身的职业道德,在充分充分了解服务行业的基础上,加强专业知识与实际工作的结合,爱岗敬业,诚实守信,始终以积极的态度面对实习工作;加强纪律观念,严格遵守酒店的管理规章制度,改进自身在工作时的缺陷与不足,使自己在顶岗实习的过程中不断成长,最终成为合格的酒店管理工作人员。
1.决策层面
可是,令我想不通的是,佟老板为什么要救我呢。而且又是那么巧,偏偏在我住院期间,鱼塘就被填平了。还有,我的指纹是如何跑到那份合同上去的。在医院我整整昏迷了两天两夜。
现代企业除了将大量信息存储于信息系统,同时也广泛利用信息系统开展业务。为此,除了需要对电子数据进行真实性审计,还需要对信息系统业务行为开展真实性审计,以鉴证信息系统在使用过程中是否存在舞弊,诸如是否被利用实施虚假交易等。信息系统真实性审计的目标是判断信息系统行为和电子数据是否真实、完整和合法,从而为财务审计提供依据。
图5 五要素
2.业务层面
针对现代化企业的业务经营活动、各种数据传递以及财务报告等的产生与传递越来越多地依赖信息系统自动化处理的现象,美国麻省理工学院皮特·威尔博士通过研究发现:面对同样的战略目标,信息系统内部控制水平较高的企业的获利能力高出20%,这足以说明信息系统内部控制的作用变得越来越大。为此信息系统审计师需要对信息系统内部控制功能实施鉴证,以验证其是否具备信息系统审计的控制职能。如图2所示,此处将现代信息系统审计的控制职能划分为决策、业务和技术三个层面,以保证信息系统内部控制的全方位性。
对现代信息系统而言,真实性审计的对象应关注三个模块,分别是财务系统、业务系统和电子商务系统。审计内容是各自处理流程的真实性和合法性,以及系统数据输入环节的真实和合法性,同时还要审查三种系统之间的逻辑一致性,以保证电子数据的真实可靠。
图6 业务层面控制关注点
3.技术层面
技术层面控制体现在系统的生命周期(如图7所示)全过程。其中,总体规划阶段关注系统的发展战略、系统总体结构方案以及系统建设的资源分配计划等内容,以确保系统投入符合企业整体规划;需求分析阶段主要检查用户需求、业务流程、数据流程等分析报告;系统设计阶段检查相应的系统设计说明书,以检验系统设计是否符合实际需求;系统实现测试阶段应该对具体软件、运行环境、技术文档等进行检查、测试,确保系统运行的可行性;系统运行维护阶段重要关注系统操作规范、变更流程的制定,并且重视成本效益原则,考察系统维护成本的合理性。
图7 信息系统生命周期
(三)三个管理维度
信息系统管理是以信息系统风险为导向,动员和组织各类资源,综合采取各种技术手段和管理手段,对信息资产实施全员、全方位、全生命周期管控的过程。图8给出了信息系统管理的三个维度,分别是IT治理、应急管理和业务连续性管理。其中,应急管理和业务连续性管理侧重企业执行力,强调企业管理各环节对信息系统价值和风险作用的影响。
趋嫩性:成虫、若虫具有多栖于芽梢叶背,且更喜栖于芽下2~3叶叶背。趋色性:成虫喜欢黄色,嗜好选择黄绿色和浅绿色。怕湿畏光:阴雨天或晨露未干时静伏不动。中午烈日直射,虫口多在茶丛内,且徒长枝芽虫口较多。活泼善跳:成虫和3龄后若虫活泼,稍受惊动即跳去或向下潜逃。产卵习性:卵多散产于芽下第1至第3节嫩茎皮层下或叶柄及主脉中,产卵期长,早春茶树发芽成虫开始产卵,直到秋末冬初茶树新梢停止生长为止。雌成虫产卵量因季节而异,春季最多,秋季次之,夏季最少。
图8 三个管理维度
1.IT治理
IT治理集中在董事会和执行管理层,其主要职能是平衡信息技术与过程风险,确保IT战略与企业战略的一致性。IT治理强调董事会决策对信息系统价值和风险作用的影响,侧重决策。为保证有效的IT治理,设立IT治理委员会和内部信息系统审计是IT治理最重要的环节。
2.应急管理
应急管理可使企业在信息安全事件发生时危害度最小化。应急响应的经典方法是准备、检测、遏制、根除、恢复、跟踪(PDCERF),企业可根据其制定合适的应急响应体系。审计人员可以通过审查企业应急管理情况,对企业潜在风险做出判断,以评估企业的信息系统安全。
3.业务连续性管理
业务连续性管理可确保企业业务的正常运行,主要包括业务连续性计划和灾难恢复计划,前者是企业应对种种不可控因素的一种预防和反应机制,立足于预防;后者如何以最短时间、最少损失去恢复停顿业务的处理预案,立足于事后的补救。审计人员应关注企业的业务连续性计划是否符合企业的特性、对外部环境变化的反应程度等问题,考察灾难恢复计划制定的有效性、判断其是否符合成本效益原则。
五、结语
本文借助分析现代信息系统审计必须具备的审计、控制和管理职能,提出了适用于现代信息系统审计的ISACM模型,详细探讨了基于ISACM模型的现代信息系统审计一般性方法体系,涉及真实性审计、安全性审计和绩效审计三项审计类别,涵盖决策、技术和业务三个控制层面,关注IT治理、应急和业务连续性三个管理维度,为互联网环境下的现代信息系统审计实务提供理论模型和方法指引。
【参考文献】
[1]刘杰.我国信息系统审计准则构建研究[J].财会月刊,2014(17):43-47.
[2]张文秀,GERT VAN DER PIJL.国外信息系统审计规范、国家文化差异与制度移植[J].审计研究,2012(5):14-21,35.
[3]陈婉玲,袁若宾.COBIT及其在信息系统控制与审计中的应用[J].审计研究,2006(S1):93-96,104.
[4]周德铭,曹洪泽.信息系统结构控制审计框架研究[J].审计研究,2014(5):32-37.
[5]王会金.论信息系统审计准则在我国的需求与发展[J].南京审计学院学报,2012,9(6):1-7.
[6]张文秀,齐兴利,黄溶冰.基于COBIT的信息系统审计框架研究[J].南京审计学院学报,2010,7(4):29-34.
[7]金文,张金城.基于COBIT的信息系统管理、控制与审计的模型构建研究[J].审计研究,2005(4):75-79.
[8]王培华,汤小莉,骆怡.COSO-ERM框架下如何构建审计机关廉政风险防控机制[J].财会月刊,2018(7):156-159.
[9]施金龙,管明.基于COSO框架的中小企业内部控制问题探究[J].财会通讯,2016(11):112-114.
[10]席龙胜.基于COSO风险管理框架的审计质量控制分析[J].商丘师范学院学报,2011,27(2):68-73.
[11]陈震晗.基于COSO—ERM框架的企业风险导向审计模型初探[J].中国内部审计,2009(10):41-43.
【中图分类号】 F239.1【文献标识码】A
【文章编号】 1004-5937(2019)09-0125-05
【基金项目】 国家自然科学基金面上项目(71271117);江苏省自然科学基金项目(BK20151460);江苏省高校自然科学基金项目(16KJB520021);江苏省公共工程审计重点实验室开放课题(GGSS2015-04)
【作者简介】 陈耿(1965—),男,江苏无锡人,博士(后),南京审计大学教授、硕士生导师,研究方向:审计信息化、区块链审计;李婷婷(1995—),女,江苏灌云人,南京审计大学硕士研究生,研究方向:审计信息化;韩志耕(1976—),男,江苏东台人,博士,南京审计大学副教授、硕士生导师,研究方向:审计信息化、区块链审计
标签:互联网环境论文; 现代信息系统审计论文; ISACM模型论文; 一般性方法体系论文; 南京审计大学论文;