中观信息系统审计风险管理的理论探索与体系构架,本文主要内容关键词为:构架论文,信息系统论文,风险管理论文,体系论文,中观论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。
近年来,中观信息系统在我国应用广泛。与微观信息系统相比,中观信息系统面临着更为复杂的风险,如系统应用风险、系统黏合风险等等。中观信息系统审计(中观IS审计),可以实现对中观信息系统安全性、有效性、保密性、效率性的管理。所谓中观IS审计,是指IS审计师依据特定的规范,运用科学系统的程序方法,对中观经济主体信息系统网络的运行规程与应用政策所实施的一种监督活动,以此保障中观经济主体信息系统的高效运行。任何审计行为都存在着风险,中观IS审计也不例外,IS审计师也需要对中观IS审计风险进行控制,以使自身承担法律责任的可能性尽量降低。本文以中观IS审计为研究基础,选取风险管理为研究视角,借鉴国外与信息系统相关的网络与信息安全管理理论对我国中观IS审计风险的管理框架作初步论述,旨在为中观审计理论以及IS审计理论的发展提供研究支撑。
一、中观信息系统审计风险管理的理论梳理
(一)中观信息系统审计
按照层次的不同,审计可以划分为微观审计、中观审计和宏观审计。中观审计内涵丰富,它是指在我国特有的经济活动条件下,由独立的审计机构以法律规范为依据,运用科学系统的程序方法,对中观经济行为、运行机制以及在此基础上为达到一定经济目标所采取的经济政策、决策的结果所实施的一种监督活动(易仁萍、王会金,2003)。中观审计是对中观经济计划、中观经济政策、决策和中观经济活动所实施的审计,那么,行业、部门、经济区与企业集团等特定联合体的发展战略目标、计划、经济政策、决策以及中观经济管理即为中观审计的对象范围。IS审计是一门边缘性学科,跨越多学科领域,目前尚无公认的通用定义。1985年日本通产省情报处理开发协会信息系统审计委员会认为,信息系统审计是由独立于审计对象的IS审计师,站在客观的立场上,对以计算机为核心的信息系统进行综合的检查、评价,向有关人员提出问题与劝告,追求系统的有效利用与故障排除,使系统更加健全。Ron Weber在1999年将其定义为,“收集并评估证据,以判断一个计算机系统(信息系统)是否有效做到保护资产、维护数据完整、完成组织目标,同时最经济地使用资源”。
中观IS审计从属于中观审计与IS审计的交叉研究范域。从表象看,中观审计与IS审计差别甚大。但基于实质分析,二者均适用于审计的一般技术与方法。且中观审计是对中观经济主体的全方位审计,内容包括经济责任、经济效益、信息系统等方面;IS审计是对信息系统安全性、效率性、完整性、一致性的审计,其审计范围可处于微观,抑或中观。以信息系统为审计对象的中观审计与居于中观层面的信息系统审计是同一审计范畴,即中观IS审计。中观IS审计的研究对象是那些发生特定经济行为的行业、部门、系统、经济区以及特殊的经济联合体等中观经济主体的网络信息系统。例如,公安综合网络信息系统、金融行业的金融业务信息系统、区域物流信息系统,以及大型集团公司的集团财务信息系统等。与微观信息系统相比,中观经济主体网络信息系统所涉及的范围广、对象繁多,且区域内纷乱的组成个体之间盘节着错综的勾稽关系与系统契约关系,如果出现问题,其危害程度远远高于微观信息系统。如2010年1月13日上午9时,福州火车站客票售票系统陆续出现故障,下午15时至17时,福州火车站与分布于市内外的39家代售点所构成的网状售票系统因服务器故障大面积瘫痪,导致全站34趟列车车票无法售出,车站人满为患;无奈之下,福州火车站部分当天开行车次乘客先上车后买票。中观IS审计是以传统审计理论为基础的,并在继承中观审计的基本理论与基本方法的同时,结合信息系统审计的特点在审计程序上加以创新。
图1 中观IS审计风险管理理论的推理
(二)中观信息系统审计风险管理
审计风险是指审计主体在对审计的特定范围进行审计的过程中,由于受到某些不确定性因素的影响,使审计结论与经济客观事实发生背离,从而受相关关系人指控或媒体公开披露并遭受经济损失以及声誉损失的可能性。风险产生的本身并不是一件坏事,风险是发展所不可或缺的因素。为此,应该学会在风险潜在的负面影响与其相关机遇所带来的潜在效益之间把握好平衡,做好对风险的管理。风险管理是指如何在一个肯定有风险的环境里把风险减至最低的管理过程。风险管理过程中包含了对风险的量度、评估和应变策略。理想的风险管理,是一连串排好优先次序的过程,使当中的可以引致最大损失及最可能发生的事情得以优先处理,而相对风险较低的事情则押后处理。
中观IS审计风险管理理论融合了中观审计理论、IS审计理论、审计风险理论以及风险管理理论。任何审计行为都存在着风险,因中观IS审计、中观审计、IS审计同属于审计学学科,它们也有各自的风险,也都具有相应的风险管理理论,都遵循风险管理的一般规律。中观IS审计风险管理理论是中观IS审计与审计风险管理的研究理论衔接,研究对象衔接,是中观IS审计主体为防止被审计委托人提起诉讼,而对中观审计风险实施的控制,也是风险管理主体选取中观信息系统审计为切入点,而对其审计风险的识别与评估。中观IS审计风险管理是以中观IS审计风险为风险管理对象,以风险管理作为中观IS审计的质量目标。所谓中观IS审计风险管理是指独立审计机构或IS审计人员在中观IS审计中,由于受到中观经济环境以及网状信息系统复杂性等多种不确定性因素的影响,为避免审计结论与经济客观事实发生严重背离,以使承担法律责任的可能性降至最低,进而识别、评价中观IS审计过程所面临的威胁与其脆弱性,决定采取何种措施将风险降低至可接受水平的管理活动。中观IS审计风险管理包括对中观IS审计风险的识别、估测、评价与处理,期望以最小的风险管理成本实现最大限度的安全保障,达到最为理想的中观审计效果而采取的全面、系统、综合的管理方法。中观IS审计风险管理是一个系统的动态管理过程,IS审计师需要处于中观经济的层面,综合考虑与风险有关的因素,并对各个因素加以控制与管理。
二、中观信息系统审计风险管理的理论借鉴
中观IS审计的特定对象主要包括信息安全、数据中心运营、技术支持服务、灾难恢复与业务持续、绩效与容量、基础设施、硬件管理、软件管理、数据库管理、系统开发、变革管理、问题管理、网络管理以及通信协议。中观IS审计环境的特殊性、审计对象的抽象性、审计要求的专业性都将会给独立审计机构带来前所未有的不确定性,这无形中大大增加了审计的未知风险。目前,我国关于控制IS审计风险的标准与规范尚缺,我国的审计人员在IS审计中还极度缺乏有效的指导。研究发现,国外某些安全管理理论能够为我国中观IS审计风险管理理论的建设提供指导,它们能够从信息系统管理与计算机科学两个层面上加强网状信息系统安全管理向中观IS审计风险管理的理论转化。笔者认为,可供借鉴的国外理论有:
(一)信息安全管理体系标准BS7799
1995年,英国贸工部制定了世界上首部信息安全管理体系标准BS7799-1:1995《信息安全管理实施规则》;1998年又制定了BS7799-2:1998《信息安全管理体系规范》;2000年12月,BS7799-1:1999被ISO/IEC正式采纳成为国际标准—ISO/IEC17799:2000《信息技术:信息安全管理实施规则》。此外,BS7799-2:1999也于2002年年底成为可用于认证的ISO/IEC《信息安全管理体系规范》。BS7799-1作为一个通用的信息安全管理指南,其目的不是说明有关“怎么做”的细节,它所阐述的主题是安全策略和优秀的、具有普遍意义的安全操作。BS7799-1有助于相关人员在管理与审计过程中理解每一类信息安全主题的基础性问题,涵盖了几乎所有的安全议题,主要告诉管理者与IS审计师关于安全管理的注意事项与安全制度。BS7799-2规定了建立和实施信息安全管理体系(ISMS)的要求,详细说明了建立、实施和维护信息安全管理的要求,指出组织在实施中需要遵循的风险评估等级,以识别最应该控制的对象,并对自身的需求采取适当的控制。
图2 BS7799标准的基本框架
(二)信息及相关技术的控制目标COBIT
信息及相关技术的控制目标(COBIT)是美国信息系统审计与控制协会(ACA)在1996年颁布的关于信息技术管理的规范体系,目前已更新至4.0版本。COBIT模型将IT过程、IT资源及信息与企业的策略与目标联系于一体。其中,IT准则维主要从质量、系统效率等方面来保证信息的安全性、可靠性、有效性;IT资源维主要包括以人、应用系统、技术、设施及数据在内的信息相关的资源;IT过程维则是在IT准则的指导下,从信息技术的规划与组织、采集与实施、交付与支持、监控等四个方面确定了34个信息技术处理过程,每个处理过程还包括更加详细的审计方针对IT处理过程进行评估。COBIT框架为管理层提供了信息技术的应用构架,并由四个部分组成。执行工具集主要包括了管理理念、IT控制工具、执行指南等用于处理的可供选择的辅助工具和软件;管理指南给出了度量信息系统的指标体系,并由成熟度模型、关键成功因素、关键目标指标、关键绩效指标四部分组成;控制目标是COBIT模型的关键组成部分,是一个多层的架构,通过域、过程、任务活动三层体系实现总体目标的分解,通过特定的活动来实施控制以达到预定的系统目标。
(三)信息安全通用准则CC
1993年开始,美国、加拿大与欧洲四国合作起草单一的信息安全通用准则,1999年正式成为国际标准15408-1999,简称通用准则(CC)。CC准则由简介和一般模型、安全功能需求以及安全保证需求三部分组成。CC准则的基础是欧洲的ITSEC、美国的包括TCSEC在内的新的联邦评估标准、加拿大的CTCPEC以及国际标准化ISO中SC27WG3的安全评估标准。CC准则定义了作为评估信息技术产品和系统安全性的基础准则,全面考虑了与信息技术安全性有关的所有因素。同时,CC准则强调把安全需求划分为安全功能需求和安全保证需求两个独立的部分,根据安全保证需求定义安全产品的安全等级,如此,安全产品的安全功能将不再受安全等级的限制。CC准则为了解决数据交换的安全,明确要求输入、输出划分同时考虑安全属性和不带安全属性两种,强调了网络安全中抗抵赖的安全要求,区分用户数据和系统资源的防护,突出了必要的检测和监控安全要求,强调了安全管理的重要作用。
表1 CC准则的基本框架
图3 COBIT模型的基本框架
(四)信息技术基础设施库ITIL
信息技术基础设施库(ITIL),由英国政府于20世纪80年代末制订,2001年英国国家标准协会(BIS)正式发布了基于ITIL的标准BS15000,2002年此标准为国际标准化组织(ISO)所接受。ITIL目前有3个版本,V1版主要是IT管理者的经验积累,包含40多个流程。V2版在V1版基础上对管理流程进行了分类与整理,形成了业务管理、服务管理、IT基础架构管理、应用管理、安全管理、IT服务规划管理与实施等6个模块。V3版强调进行生命周期循环的IT管理,分为服务战略、服务设计、服务事务、服务操作管理、服务提高5个部分。ITIL的施用主体是IT人员和服务管理人员,其阐述了信息系统服务各个环节的行为方法与实施过程,以及IT部门应该包含的各个工作流程以及各个工作流程之间的相互关系。ITIL提供了以服务支持和服务提供为核心,包括规划实施、服务管理、业务视野、ICT基础设施管理、安全管理和应用管理7个模块在内的规范化信息技术服务。ITIL与传统质量管理的思想一脉相承,是将传统质量管理方法运用于IT运营维护实践,核心思想是以客户满意度作为衡量IT服务质量的标尺(见图4)。
三、中观信息系统审计风险管理的框架构想
2006年3月,审计署对《审计准则》进行了重新修订,确定了新的审计风险模型,即审计风险=重大错报风险×检查风险。对于管理中观IS审计风险来说,同样需要从控制重大错报风险与检查风险着手。(参见图5)笔者认为,BS7799标准、COBIT理论、CC准则与ITIL标准将会对中观IS审计人员评价信息系统的固有风险,以及确认控制风险提供强有力的支持;能够承担起构建审计风险管理框架的任务。而且,四种标准之间是相互交叉与补充的,都应用于组织是否采取有效的机制,使得IT的应用能否正常完成自身的使命,同时规避信息化过程中的风险,确保实现组织的战略目标。
(一)信息安全管理理论对评价中现信息系统固有风险的贡献
对于中观信息系统而言,固有风险是指在不存在内部控制的前提下,中观信息系统在运行中存在的严重错误或不法行为的概率。评价固有风险离不开信息系统的具体构成,如人员、数据、设备、通信协议等等。基于信息安全管理视角,前述四种理论从特定程度上对信息系统,的构成都有相关的规范,借此规范,审计人员将会有更多的信息管理标准可供参照,进而会更加深入地分析与评价信息系统的运营行为与效果。审计人员对理论的借鉴参见表2,分析如下:
图4 1TIL标准的基本框架
图5 中观IS审计风险管理架构图
首先,人员因素导致的固有风险,应借鉴BS7799标准。人员因素对信息系统的威胁,主要体现在个人计算机滥用、程序违背、密码窃取等多个方面。审计人员通过借鉴BS7799标准,能够对被审中观信息系统的所可能受到的威胁,有很好的把握。这是因为BS7799标准包含了100多个安全控制措施帮助组织识别在运作过程中对信息安全有影响的因素,如人员安全措施,为审计人员提供了人为错误操作,窃取、欺骗与滥用相关设施的判定思路,而且,BS7799标准还从对系统信息访问的人员维护管理以及公司内部信息安全防范的人员管理等方面加以阐述,这些都将会便于从人员操控角度考察信息系统某一环节的失效模式,进而分析因人员因素而造成的系统风险。
其次,技术因素导致的固有风险,应综合借鉴CC准则与ITIL标准。CC准则主要是从技术层面指导产品或系统的开发、集成、运行与维护。CC准则独立于具体的产品技术领域,是高度抽象的技术概括,当前,CC技术指导准则已经在实践中应用于多种安全产品,例如防火墙、路由器、入侵检测系统以及嵌入式智能卡。审计人员吸收CC准则的指导思想可以检测被审系统中防火墙、路由器等硬件的技术开发与维护缺陷,更好地界定被审中观IS系统的固有风险。此外,ITIL标准对于检测信息系统技术因素也值得借鉴。与CC准则相比较,ITIL理论对信息技术的关注面更为广泛,ITIL标准更加侧重于技术层面上的实施流程,更加强调概念/流程、活动、成本/收益、实施计划等方面的技术实践。
第三,数据因素导致的固有风险,应综合应用COBIT理论与ITIL标准。数据是信息系统构成的最基本元素,COBIT理论融合了34个控制流程,这些控制环节包括了信息系统数据整体中整个生命周期的每一阶段及其特定特征。COBIT理论对数据进行管理的主要内容涵盖了源文档的控制,数据备份和恢复的管理,数据模型和数据标准的一致性管理,数据开发与数据应用平台的协调性管理,数据的输入、处理和输出的控制等方方面面,审计人员参照COBIT理论对数据的控制标准,可以深层次地挖掘信息系统应用与管理的内在风险。ITIL的服务管理分为服务提供与服务支持两个部分,通过ITIL的支持模块与配置管理数据库,被审计人员可以从总体上把握IT服务台独立处理问题的比例,远程解决问题的数量及比例,解决每一事件的平均成本以及数据的异常输出范围,这些也将会对审计人员判定系统事件的问题严重程度与解决程度提供理论指导。
第四,设备因素导致的固有风险,应综合应用ITIL标准与BS7799标准。ITIL标准包括服务台、事件管理、配置管理、流程管理等模块。审计人员可依据ITIL标准下配置管理的要求对被审信息系统的设备问题进行分析与界定。这是因为配置管理涵盖了“维护系统可识别的可管控的配置项资料”,“支持硬件设备和软件系统,支持为多个不同服务单位的资产建立台账”,“确定可维护资产之间的关系”,“通过资产的查询,可以随时掌握资产的变动情况,包括已经发生的故障和变更”等设备属性的多个方面;从信息安全的作用层面而言,公众最为关注的是计算机与网络的硬件自身的安全,又称为“物理安全”。除ITIL标准外,BS7799标准对于信息系统的设备问题也依据“物理与环境安全”与“计算机网络管理”两个层面作出阐述,BS7799标准提出如下安全指导措施:“确保安全信息处理设备的正常运转”,“防止资产的丢失、损坏或泄漏”,“防止信息处理设施损害或失窃”。BS7799标准基于设备管理的指导思想将会为审计人员探索被审系统设备的内在问题提供有力的理论帮助,便于拓展审计人员确认系统内在风险的思路。
表2
BS7799标准,COBIT理论、CC准则与ITIL标准在重大错报风险评价中的应用
第五,量度因素导致的固有风险,应参考COBIT理论。COBIT理论涉列了“关键目标指标”与“关键绩效指标”两个方面。COBIT的两种指标体系一方面能为企业管理层衡量IT流程绩效提供参照标准,另一方面也为审计人员评价被审信息系统的营运效率与盈利绩效提供评价依据。关键目标指标与关键绩效指标均采用定量方法加以表述。关键目标指标是审计人员用来识别和衡量被审信息系统流程的输出,描述被审系统控制活动“所需实现任务的内容”;而关键绩效指标是审计人员用来识别和衡量被审信息系统流程的绩效,描述被审系统控制活动“所需实现任务的程度”。被审人员依据COBIT理论的定量指标,系统地评价被审系统流程的产出与绩效,也将会对被审系统固有风险的进一步诊断提供审计依据。
(二)信息安全管理理论对确认中现信息系统制风险的贡献
对于中观信息系统而言,控制风险是指信息系统的内部控制制度系统未能及时预防或发现系统运行中的某些错误或不法行为,而导致信息系统运行效益弱化的概率。中观信息系统的控制风险主要反映在信息系统内控的规划、内控的执行以及信息系统安全的需求与保证三个方面。笔者认为,前述四种理论对确认中观信息系统控制风险的贡献具体表现如下,并参见表2。
首先,被审信息系统内部控制的规划与执行,需要借鉴BS7799标准及COBIT理论。由于中观信息系统的构架与维护是一项复杂的多元工程,系统组成个体之间盘结着纷繁错落的逻辑关系,因而传统的内控评价方法无法满足中观IS审计的要求,笔者认为审计人员应该关注BS7799标准及COBIT理论对于评价内控的贡献。BS7799标准涵盖了100多个信息系统的安全控制措施,是各类信息系统的安全问题与系统控制问题的高级别概述。参照图2,BS7799标准共计包含了127个控制措施,这些控制措施的运用将会全面涵盖被审信息系统的控制规划过程以及执行过程。例如“第三方访问的风险标识”,“外包合同的安全要求”,“信息与软件交换协定”,“电子商务的安全”,“系统审核工具的保护”,“可用法律的标识”等等,上述的“要求”、“标识”、“协定”就是对被审系统具体运行行为的一种规范,或是一项标准,审计人员需要借用BS7799理论的127项控制指南预先评判被审单位对于被审系统内部控制设计的科学性,在此基础上,进一步沿用127项控制细则判断被审系统内控执行的有效性。此外,COBIT理论也是评判被审系统内控风险的准绳。因为COBIT理论涵盖了4个控制域,34个控制流程,318个控制目标,控制思想贯穿于COBIT模型的始终。318个控制目标融合于三维框架之中,三维分别指rr标准、IT资源与rr过程。IT资源包含人员、应用、技术、设备与数据,IT标准包含被审系统的有效性、效率性、完整性等7个特性,COBIT理论通过“直接且主要”、“间接且次要”、“关联微小”三个标准全面地表达了被审系统需要控制的各个环节。假定审计人员审计我国铁道部铁路客票系统的内部控制时,以抽选“处置问题与突发事件”为例,则应该检查被审单位在应对“突发事件”上,是否“直接且主要”地关注系统的“有效性”与“效率性”,“间接且次要”地关注系统的“可用性”,而且在处理问题上,是否对人员、应用、技术、设备与数据实施全面检测,还是只看其一。创造性地运用COBIT理论的控制哲学,将会丰富中观审计人员评价系统内部控制设计与执行的思路,从而降低审计风险。
其次,被审信息系统安全的需求与保证,需要科学运用通用准则CC。与传统的审计对象比较,中观经济主体信息系统的运营异常复杂,因而,审计人员在运用传统评价内控方法的基础上,还应拓展思维,站在较高的层面即“被审系统安全的需求与保证”层面深度挖掘被审系统所面临的控制风险。CC准则可以满足审计人员这一高层次需求,因为CC准则构建了一种基于保障范围的CC安全保障要求的层次体系结构,详见表1。CC准则对信息系统的安全作出两种分类,即安全功能要求类与安全保障要求类。安全功能要求类包括11类、66族与135个组件,并力求为信息系统的安全需求开发、安全策略建立提供完整的支撑。例如,加密支持(FCS)类,CC准则所期望实现的功能包括:标识与鉴别、可信路径、抗抵赣、可信信道以及数据分隔。FCS类分为密钥管理与密码运算两个组,分别解决密码的管理与密码在运算中的运用问题。安全保障要求类由配置管理(ACM)、发布和使用(ADO)、开发(ADV)等七个类别组成,定义了国际上公认的信息系统常用的安全保障要求。例如,ADO类定义了分发、安装、操作TOE的措施、程序与标准的要求,旨在保证TOE提供的安全保护在安装、操作时免遭破坏。CC准则的理念为审计人员更深层次考评被审系统的内控效果拓宽了思维,提供了指南,审计人员需要从FCS类或ADO类着手,以“点”深入,扩及至“面”,高效实现被审中观信息系统的内控评价。
防范传统审计风险相对容易,然而,集中观领域与信息系统于一体的中观IS审计风险管理却异常复杂。本文以重大错报风险评估为着手点,沿用BS7799标准等四理论对中观IS审计风险管理进行研究,旨在为我国中观IS审计理论的完善抛砖引玉。四种理论之间相互交叉与补充,都是IT治理方法,均能够规避系统信息化风险。本文的研究仅提出了宏观思路,当然还存有不足,如各种理论之间的契合方式等,这还有待笔者的不懈努力。
标签:审计风险论文; itil论文; 风险管理论文; 信息安全论文; 固有风险论文; 信息安全管理体系论文; 审计软件论文; 审计计划论文; 安全审计论文; 风险评价论文; 审计质量论文; 系统评价论文; 信息安全标准论文; 经济风险论文; 系统构架论文; 审计准则论文; 审计流程论文; 管理审计论文; 审计目标论文; 信息系统规划论文;