基于信息系统审计建立及完善信息化企业内部控制.docVIP

基于信息系统审计建立及完善信息化企业内部控制［摘 要］探讨信息化大趋势下企业建立和完善内部控制的一种新方法，即信息系统审计。从信息系统审计的功能实现角度展开分析，并就信息系统审计如何更好地为企业内部控制增值增效提出建议。 ［关键词］信息化；信息系统审计；企业内部控制 ［中图分类号］F270.7 ［文献标识码］B ［文章编号］2095-3283(2012)07-0159-02 随着信息技术在提高企业运行效率中的应用，使企业的信息系统更加庞大和复杂，这对企业有效地实施内部控制提出了挑战。网络经常掉线、服务器宕机、邮件发不出去、病毒肆虐、客户资料被盗等事件时有发生，影响着企业的日常经营活动。因此，在信息时代加强企业内部控制，保护信息资源的安全、完整、真实，保证信息系统有效实现企业目标日益成为现代企业关注的焦点。对于企业内部控制的加强改善，传统的做法是借助于公司治理，而IT治理作为公司治理中不可或缺的一环，通过加强企业的IT治理水平，就可以促进其改善内部控制水平。除此之外，还存在另一种提升企业内部控制水平的方法——信息系统审计。它可以通过专业的第三方咨询机构帮助企业发现内部控制体系的不足，并提供相应的完善措施。 一、信息系统审计的概念 信息系统审计（IS audit）目前还没有公认的通用定义，国际信息系统审计委员会（ISACA）将其定义为“为了信息系统的安全、可靠与有效，由独立于审计对象的信息系统审计师，以第三方的客观立场对以计算机为核心的信息系统进行综合的检查与评价，向信息系统审计对象的最高领导层，提出问题与建议的一连串的活动”。国际信息系统审计领域的权威专家Ron Weber将它定义为“收集并评估证据，以判断一个计算机系统（信息系统）是否有效做到保护资产、维护数据完整、完成组织目标，同时最经济地使用资源”。具体而言，信息系统审计就是以被审计单位的信息系统为审计对象，通过现代审计理论和信息技术（IT）管理理论，从信息资产的安全性、数据的完整性以及系统的可靠性、有效性和效率性等多方面出发，对信息系统从研发、运行到维护的整个生命周期的各个阶段进行审查，从而评价该信息系统能否满足企业研发之初提出的需求，是否有效地达到了企业的战略目标，并从信息系统审计师的专业角度为改善和健全企业信息系统的控制提出建议的过程。 二、基于信息系统审计的功能分析 （一）确保IT能够遵循并支撑企业的战略目标 《内部审计具体准则第28号——信息系统审计》中指出，审计人员在识别、评估组织层面、一般性控制层面的信息技术风险时需要关注业务关注度，即组织的信息技术战略与组织整体发展战略规划的契合度以及信息技术（包括硬件及软件环境）对业务和用户需求的支持度。其实本质上来说，信息系统审计主要是审计企业信息化对企业整体战略的支持程度、IT战略和企业总体战略的匹配程度、对其业务发展的支持程度、对企业内部组织流程和业务流程所产生的影响以及能否促进其业务系统效率的提高等。因此，可以通过信息系统审计发现并纠正企业信息化过程中存在的问题，以确保组织信息系统的发展始终沿着正确的方向进行，保持IT与业务目标一致，最终借助IT推进企业总体战略目标的实现。从这个层面上看，信息系统审计与企业内部控制可谓是殊途同归，都是为了更好地实现组织的战略目标。通过实施信息系统审计发现内部控制是否有效，是否真正服务于企业总体目标的实现。 （二）借鉴公认的模型标准更全面有效地管控企业的整个运营过程 当前国际上关于信息系统审计的模型虽然还没有一个比较通用的标准，但各种不同的信息化评估模型都采用了COBIT、ITIL（BS15000/ISO20000）、ISO/IEC17799、IT项目管理、信息系统工程监理以及平衡记分卡等工具模型的精髓。因此，其评估模型的周衍性、权威性和合理性都得到了保证。其中，COBIT模型目前已成为国际上公认的IT管理与控制标准，并且已升级到COBIT5.0。COBIT覆盖整个信息系统的全部生命周期，其范围最大。仔细研究COBIT中各项具体内容，不难发现，其本身就是企业信息化过程对内部控制的要求及如何评价这个要求的实现（也就是实际意义上的对信息化下内部控制的审计）；ISO/IEC17799标准则侧重于IT应用过程的信息安全；ITIL标准主要运用在信息系统的运营维护阶段；信息工程监理则是最具有中国特色的标准，其标准偏重于信息化建设阶段。它能够通过专业的、全过程的监督和管理来规范企业信息化工程的建设，达到增强企业对信息化工程建设内部控制的目的。因此，可以将几种标准整合起来实施，从而达到提升企业IT内部控制能力的目的。 （三）通过对企业信息系统审计规避其内部存在的风险 企业提升自身的内部控制能力，就是要对风险进行更有效地控制。信息系统审计是风险导向的审计