国际信息系统审计与控制协会下属的信息系统审计与控制基金会ISACF ( Information Systems Audit and Control Foundation, ISACF) 与信息技术治理协会( Information Technology Governance Institute, ITGI) 研究开发了一套信息及相关技术的控制目标( Control Objectives for In for mation and related Technology, COBIT) 标准, 它已在全世界160 多个国家与地区被采用。金融、航空、通信等大企业利用它来控制信息和信息资源的风险, 取得了很好的效果。该标准已成为国际上用于对信息和信息资源进行控制的事实标准, 是一套权威的、最新的、国际性的、被企业管理者和信息系统审计师广泛接受并能指导日常应用的国际标准。
信息系统审计的主要目标是保证信息系统的可靠性、安全性和有效性, 以实现组织的目标。这些审计目标与COBIT 标准中的信息评价指标相对应。虽然COBIT 标准从名称上来看, 是信息及相关技术的控制目标, 但COBIT 框架模型中包含的目标和评价指标完全可以用于信息系统审计程序。另外, 信息系统审计的特殊性需要具有特殊技能的专家, COBIT 标准也可用于评估审计人员的技能。而且从审计的发展历程来看, 控制与审计的关系日趋密切。因此, 基于COBIT 标准开展信息系统审计具有美好的发展前景。
COBIT 标准非常易于理解和实施。它可以帮助企业在管理层、IT 与审计之间交流的鸿沟上搭建桥梁, 提供了彼此沟通的共同语言。几乎每个机构都可以从COBIT标准中获益, 来决定基于IT 过程及他们所支持的商业功能的合理控制。笔者认为基于COBIT 标准开展信息系统审计的优势可以归纳为以下几点:
一、与管理相结合
COBIT 的思想关键在于将信息系统审计与企业自身的管理体制紧密联系在一起, 从企业管理的视角来进行信息系统审计, 更重要的是将信息系统的管理视为企业管理的一个重要组成部分。
实施COBIT, 可以增加管理层对控制的感知及支持。它能帮助管理层懂得如何控制影响、实施业务功能。COBIT 提供的实施工具集包括优秀的案例资料( 提供模板业务过程, 使得优秀范例能够迅速移植) , 有助于向管理层很好地表述IT 惯例概念。管理层在基于最佳控制实践基础上做出正确决策的能力亦得到了提高。
COBIT 框架还能够帮助决定过程责任, 提高IT 治理水平。通过应用该框架进行责任分析, 可以做到基于角色的IT 管理, 定义过程措施, 确保客户利益。
二、广泛的评价指标
COBIT 标准采用了SEI 的能力成熟度模型来描述IT过程能力, 以此作为IT 过程能力度量标准; 基于业务平衡记分卡这种度量方法, COBIT 标准采用Goal ( KGI) 来度量IT 过程输出, 采用Metrics( KPI) 来度量IT 过程绩效; 此后用COBIT 控制管理目标来定义IT 过程的活动目的, 这是COBIT 标准的精华和独创部分。
1.关键目标指标
关键目标指标是指通过创建和维护一套处理和控制适当业务绩效的系统, 来指导并监督IT 传递的商业价值。关键目标指标通过识别测定处理结果, 营运过程的输出, 在平衡记分卡上测定。
关键目标指标体现的是处理过程的目标, 指出哪些是必须做的。它是处理过程实现其目标的可测指标, 并且通常定义为需要实现的目标。
( 1) 财务, 包括预算与超支等状况, 反映股东的利益。
( 2) 客户, 包括客户满意度, 交货是否及时, 服务价值等, 反映客户利益。
( 3) 内部处理过程, 包括处理的质量与效果等, 反映内部人员的利益。
( 4) 学习与创新, 包括雇员受教育程度及技能基础等, 反映企业发展潜力。
关键目标指标是处理目标的一种表达, 明确要取得什么目标, 并描绘处理的结果, 进行事后评判, 直接体现处理过程的完成成功与否, 间接体现处理带给经营活动的价值。
COBIT 标准对每个IT 流程都设定了可量化的具体关键目标指标, 例如, COBIT 模型“ 计划与组织”域的PO8IT 流程中关于IT 和过程的关键目标指标的设定。
2.关键绩效指标
关键绩效指标对关键成功因素进行评价, 通过检测某IT 处理过程的执行情况, 告诉管理层该处理是否满足其经营需求。关键绩效指标是IT 处理过程的性能指标,表现为IT 的实际业绩。通过有效性、保密性、完整性、可用性、一致性、可靠性等指标来测定IT 的绩效。
关键绩效指标是处理过程执行程度的测定, 预期将来成败的可能性, 是先导性目标, 面向处理过程, 但驱动信息技术, 关注处理过程和平衡记分卡的学习单位, 关注对于处理过程至关重要的资源。如同关键目标指标,COBIT 标准也为各IT 流程设立了特定的关键绩效指标。
3.成熟度模型
IT 成熟度模型制定了一个基准, 组织可能根据上面的指标确定自己的等级, 从而了解自身目前的境界。在此基础上确定组织的关键成功因素, 通过关键绩效指标进行监控, 并衡量组织是否能达到关键目标指标中所设定的目标。成熟度模型从一般的质量模型开始, 在各个层次以递增的方式增加了以下方面的惯例与原则: 对风险和控制问题的理解与认识; 适用于该问题的交流与培训; 加工处理和实施的惯例; 使过程更有效、更高效的技术与自动控制; 与政策与法规的一致程度; 专业技能的范围与类型等。
三、科学的手段
1.控制矩阵
控制矩阵描述了对于控制目标在审计过程前后所采取的控制措施, 反映了审计过程对控制目标的调整作用。它可以在进行详细控制目标评估时使用, 可以清晰的表达审计中的问题本身及对问题的处理结果。
2.管理明确诊断表
管理明确诊断表描述了企业管理层对处理过程, 及对处理过程的实施和管理情况的理解。该表可以在划分逻辑域和确定处理过程的环节使用中, 对于不理解COBIT 框架的企业, 通过系统审计人员与企业管理层的沟通, 使其理解COBIT 标准对企业信息系统科学的管理方式, 同时对于信息系统审计人员能够就企业信息系统的管理情况有初步的了解。
3.风险评估表
风险评估表可应用于在对处理过程评估的同时对企业信息系统管理风险的评估, 也对每一处理过程的风险及内部控制的完备程度进行评估。
4.RACI 图表
COBIT4.0 提供了RACI 图表阐明每个IT 流程的角色和职责, 对于每个IT 流程, 新增加的信息描述了流程活动( 说明性的但不详尽的) 和流程负责人, 而且加入了职责说明。这被表述为与RACI 图表连接的关键活动清单, RACI 图表使用了业务与IT 中的常用角色清单。
5.审计指南
在4.0 版中, 审计指南将被COBIT 的IT 确认指南所代替, 它将描述COBIT 如何能支持已包括在审计指南中的若干确认技术。因此, 4.0 版将提供比审计指南更多的指导, 并且会涉及COBIT 标准的所有方面。4.0 版的审计指南将由以下更全面的业务代替。
询问谁——RACI 图表
获取什么——流程输入
评估什么——控制目标和控制实践
测试什么——确认步骤, 这将被增加到控制实践中去
要证实并确认的术语——流程输入和输出, KPI,KGI
21 世纪是信息技术迅速发展、大展宏图的世纪, 这样的新世纪为人类的活动提供了新的空间, 一方面人类的许多活动都可以在网络这个虚拟的世界中进行, 另一方面人们又不得不转变原有观念和诸多的行为方式。作为独立的经济监督、评价和鉴证职能的行为者——审计也将更多地转向面向信息系统的审计。
信息系统审计作为新兴的审计形式, 无论是理论还是实践都使传统审计发生重大变革, 迫使审计人员要在信息时代作更多的努力以适应信息系统审计的要求。尽管我国的信息系统审计有一定的突破和创新, 但无论是从技术手段还是实际推行范围都有一定的局限性, 这就迫切需要我们进一步完善信息系统审计理论, 优化信息系统审计的实际操作。一个可行的措施之一就是取他人之长补己之短——批判的继承国外信息系统审计方面的已有成果, 推行基于COBIT 标准的信息系统审计。
总之, 放眼未来之路, 如何借鉴COBIT 标准开展适应国际趋势的而又探索有中国特色的信息系统审计道路, 需要新时代的审计人员的不懈努力。我们只有充分认识存在的问题的基础上, 才能有针对性地改进。中国审计人员将以倍增的热情, 迎接新技术革命的挑战, 充满豪情的投入到审计技术创新的洪流。历史必将铭记, 未来将更辉煌!