基于信息系统审计建立和完善信息化企业的内部控制

周艳秋 章 雁

(上海海事大学经济管理学院，上海201306)

随着信息技术在提高企业运行效率中的应用，使企业的信息系统更加庞大和复杂，这对企业有效地实施内部控制提出了挑战。网络经常掉线、服务器宕机、邮件发不出去、病毒肆虐、客户资料被盗等事件时有发生，影响着企业的日常经营活动。因此，在信息时代加强企业内部控制，保护信息资源的安全、完整、真实，保证信息系统有效实现企业目标日益成为现代企业关注的焦点。对于企业内部控制的加强改善，传统的做法是借助于公司治理，而IT治理作为公司治理中不可或缺的一环，通过加强企业的IT治理水平，就可以促进其改善内部控制水平。除此之外，还存在另一种提升企业内部控制水平的方法——信息系统审计。它可以通过专业的第三方咨询机构帮助企业发现内部控制体系的不足，并提供相应的完善措施。

一、信息系统审计的概念

信息系统审计(IS audit)目前还没有公认的通用定义，国际信息系统审计委员会(ISACA)将其定义为“为了信息系统的安全、可靠与有效，由独立于审计对象的信息系统审计师，以第三方的客观立场对以计算机为核心的信息系统进行综合的检查与评价，向信息系统审计对象的最高领导层，提出问题与建议的一连串的活动”。国际信息系统审计领域的权威专家Ron Weber将它定义为“收集并评估证据，以判断一个计算机系统(信息系统)是否有效做到保护资产、维护数据完整、完成组织目标，同时最经济地使用资源”。具体而言，信息系统审计就是以被审计单位的信息系统为审计对象，通过现代审计理论和信息技术(IT)管理理论，从信息资产的安全性、数据的完整性以及系统的可靠性、有效性和效率性等多方面出发，对信息系统从研发、运行到维护的整个生命周期的各个阶段进行审查，从而评价该信息系统能否满足企业研发之初提出的需求，是否有效地达到了企业的战略目标，并从信息系统审计师的专业角度为改善和健全企业信息系统的控制提出建议的过程。

二、基于信息系统审计的功能分析

(一)确保IT能够遵循并支撑企业的战略目标

《内部审计具体准则第28号——信息系统审计》中指出，审计人员在识别、评估组织层面、一般性控制层面的信息技术风险时需要关注业务关注度，即组织的信息技术战略与组织整体发展战略规划的契合度以及信息技术(包括硬件及软件环境)对业务和用户需求的支持度。其实本质上来说，信息系统审计主要是审计企业信息化对企业整体战略的支持程度、IT战略和企业总体战略的匹配程度、对其业务发展的支持程度、对企业内部组织流程和业务流程所产生的影响以及能否促进其业务系统效率的提高等。因此，可以通过信息系统审计发现并纠正企业信息化过程中存在的问题，以确保组织信息系统的发展始终沿着正确的方向进行，保持IT与业务目标一致，最终借助IT推进企业总体战略目标的实现。从这个层面上看，信息系统审计与企业内部控制可谓是殊途同归，都是为了更好地实现组织的战略目标。通过实施信息系统审计发现内部控制是否有效，是否真正服务于企业总体目标的实现。

(二)借鉴公认的模型标准更全面有效地管控企业的整个运营过程

当前国际上关于信息系统审计的模型虽然还没有一个比较通用的标准，但各种不同的信息化评估模型都采用了COBIT、ITIL(BS15000/ISO20000)、ISO/IEC17799、IT项目管理、信息系统工程监理以及平衡记分卡等工具模型的精髓。因此，其评估模型的周衍性、权威性和合理性都得到了保证。其中，COBIT模型目前已成为国际上公认的IT管理与控制标准，并且已升级到COBIT5.0。COBIT覆盖整个信息系统的全部生命周期，其范围最大。仔细研究COBIT中各项具体内容，不难发现，其本身就是企业信息化过程对内部控制的要求及如何评价这个要求的实现(也就是实际意义上的对信息化下内部控制的审计);ISO/IEC17799标准则侧重于IT应用过程的信息安全;ITIL标准主要运用在信息系统的运营维护阶段;信息工程监理则是最具有中国特色的标准，其标准偏重于信息化建设阶段。它能够通过专业的、全过程的监督和管理来规范企业信息化工程的建设，达到增强企业对信息化工程建设内部控制的目的。因此，可以将几种标准整合起来实施，从而达到提升企业IT内部控制能力的目的。

(三)通过对企业信息系统审计规避其内部存在的风险

企业提升自身的内部控制能力，就是要对风险进行更有效地控制。信息系统审计是风险导向的审计，能够对信息系统的应用状况和综合绩效状况进行全面的评估。因此，信息系统审计所包含的内容要大于信息系统治理所涵盖的内容。

由于信息系统审计的范畴相当广泛，包括信息安全、数据中心运营、技术支持服务、灾难恢复与业务持续、绩效与容量、基础设施、硬件管理、软件管理、数据库管理、系统开发、变更管理、问题管理等，随着信息技术的不断发展，其审计的外延还将不断扩展。如果只是想借助信息系统审计促进企业内部控制水平的提升，就应该加强其有关信息化风险控制方面的指标，适当弱化和删除其他方面的指标，以此达到应用的目的。

三、促进信息系统审计服务于内部控制的建议

(一)建立中国特色的信息系统审计准则体系

由于信息系统审计在中国起步比较晚，至今还没有一套符合中国信息化建设现状的信息系统审计体系。在开展信息系统审计时，审计人员一般是应用国外的审计准侧和指南，并结合自己的审计经验。这在一定程度上增加了审计的难度，不利于信息系统审计在中国的推广应用。因此，建立中国特色的信息系统审计准侧体系迫在眉睫。这一体系的建立一方面应当满足我国信息系统审计的实际需求，另一方面应该尽可能地与国际上已有的成文准侧、习惯做法、专业术语等保持一致，与国际惯例接轨。可采用三个层次体系结构，以基本准则为核心，统领具体准则和执业指南，以便于整个体系的不断扩展与完善。为提高信息系统审计在内部控制建立健全方面的应用价值，具体准则在基本准则的指导下，可以纳入企业信息系统内部控制评价的准侧，如对操作范围的控制、人员权限控制、合法性控制、校验控制及预防出错控制系统，进行符合性测试与评价。

(二)企业内部控制建立初期引入信息系统审计

当企业的许多内部控制机制经程序化、数字化、虚拟化以后，内部控制与信息系统成为一个相互融合的整体，这是企业内部控制面临的新问题。我国《企业内部控制应用指引第18号——信息系统》中阐述:“信息系统，是指企业利用计算机和通信技术，对内部控制进行集成、转化和提升形成的信息化管理平台。”该定义准确地描述了信息系统与内部控制的关系。内部控制建设问题更多地转变成信息系统建设问题，对内部控制的审计也更多地转变成对信息系统的审计。因此，为了保证企业内部控制建立的有效性，信息系统审计师应该在内部控制建立初期就参与其中，从信息系统的角度为企业内部控制的建设出谋献策，将业务风险从源头上加以控制，确保信息系统控制与业务风险控制协调一致，使企业的内部控制真正符合成本效益原则。

(三)加快信息系统审计人才培养

信息系统审计要为企业内部控制增值，实现这一目标的前提是信息系统审计工作的开展必须是合理高效的，而配备一支专业素质高的信息系统审计队伍又是确保信息系统审计有效开展的关键。信息系统审计的对象具有综合性、复杂性，包含了除财务信息以外的其他与生产经营有关的所有信息系统，因此，信息系统审计师必需具备复合型知识结构。一方面，信息系统审计师需要掌握会计、审计、公司治理等财经知识，以便了解组织运营的特征模式，从审计角度看待内部控制的成效，识别企业运营中的风险点;另一方面，信息系统审计师也需要具备信息系统开发、计算机网络、数据库原理与应用等计算机科学技术的相关知识，以评估企业信息系统的运营管理与内部控制的符合度，评价信息技术基础架构对组织目标的支持度。

四、结语

信息技术的发展，正在改变着传统的内部控制，增强了信息系统审计与企业内部控制的联系。一方面，信息系统审计的实施依赖于企业内部控制。一般来说，信息系统审计是以内部控制为基础展开的，对企业内部控制全面了解，确定控制关键点及其风险水平是有效进行信息系统审计的前提。另一方面，信息系统审计能为企业内部控制的建立和完善提供宝贵意见。信息系统审计过程中包涵了对企业内部控制的测试、评价以及提供改进建议。

［1］财政部，证监会，审计署.企业内部控制基本规范［S］.2008.

［2］周常兰，陈宝峰.ISACA模型——IT治理视角下的解析［J］.会计研究，2009(2).