信息系統審計論文：中觀經濟主體信息系統審計的理論分析及實施路徑探索摘要中觀經濟主體信息系統審計從屬于中觀審計與IT審計的交叉研究范域。近年來,中觀經濟主體信息系統審計問題并未引起理論界的廣泛重視。鑒于此,本文從中觀審計與信息系統審計入手,對中觀經濟主體信息系統審計的概念與特點作了深入的探究,并在此基礎上,借鑒COBIT模型與ITIL模型分析了中觀經濟主體信息系統審計的實施路徑。關鍵詞中觀審計;信息系統審計;實施路徑;COBIT模型國民經濟按層次可分為宏觀經濟和微觀經濟,介于宏觀經濟整體和微觀經濟單位之間的還有中觀經濟,包括行業經濟、地區經濟等。德國奧斯登大學教授彼德斯早在20世紀70年代,就提出中觀經濟是有別于宏觀和微觀經濟的一個獨立層次。隨著近年來經濟發展的加速,新興的經濟形式給傳統的經濟活動注入了新的血液,新興經濟活動是非“宏”非“微”,亦“宏”亦“微”的中介狀態的經濟結構,經濟學界稱之為中觀經濟1。作為經濟發展產物的審計,隨之則產生了相應的內涵與外延,即中觀審計。本文以中觀審計為研究基礎,對中觀經濟主體信息系統的管理與控制作以初步論述,旨在為中觀審計理論的發展提供支持。1、 中觀審計理論的一般概述中觀審計是指對中觀經濟主體的經濟行為所實施的審計,中觀審計的產生具有必然性,恰恰由于中觀審計的存在,才打破了傳統宏觀微觀審計界域不能完全覆蓋社會經濟審計的整體界域這一局限性,實現了宏觀達于微觀,微觀通于宏觀,其中都要經過中觀的有效轉化。那么,何為中觀審計呢?筆者認為,中觀審計是在我國特有的經濟活動條件下,由國家審計機關,以法律規范為依據,運用科學系統的程序方法,對中觀經濟行為、運行機制以及在此基礎上為達到一定經濟目標所采取的經濟政策、決策的結果所實施的一種監督活動2。中觀審計有其特定的對象范圍。既然中觀審計是對中觀經濟計劃、中觀經濟政策、決策和中觀經濟活動所實施的審計,那么,行業、部門、系統、經濟區與特定聯合體的發展戰略目標、計劃、經濟政策、決策以及中觀經濟管理即為中觀審計的對象范圍。中觀審計具備三方面的特征: (1)中觀審計是以協調宏觀與微觀審計,促進整個國民經濟良性發展為主導思想; (2)中觀審計是以提高中觀經濟主體的經濟效益為指導方向; (3)中觀審計是以對中觀經濟行為及其運行機制進行監控為具體目的。當前的行業審計已顯示了中觀審計的特征,例如,審計一個行業的財政經濟狀況,研究一個行業的重大且帶有傾向性問題,提出改善行業管理的措施建議;還例如,抓住本地區綜合效益影響較大的因素,對于地區自然、地理環境、產品結構以及各種客觀條件進行分析、論證,查明阻礙經濟發展的各種原因,提出促進經濟效益提高的政策建議等。“如果說宏觀經濟管理是硬控制,微觀經濟管理是軟控制,那么,中觀經濟管理則是二者兼而有之,又軟又硬的中性控制3”?？梢?中觀控制也是整個經濟控制系統的一個分系統,研究探討中觀審計正是為了加強中觀控制,由于其主體范圍所處的獨特地位,決定了中觀審計一方面服務于宏觀控制,另一方面強化微觀控制。根據中觀控制的對象和目的,中觀審計應有如下任務: (1)保證有效地傳遞宏觀政策、決策和有關信息,防止和減少出現偏差和失誤; (2)保證有效地促進微觀經濟活動,以及協調宏觀經濟目標和經濟總目標、宏觀經濟目標和微觀經濟目標之間的矛盾關系; (3)保證有效地防止和減少中觀經濟政策或決策失誤,以及其相應權力的泛濫; (4)保證有效地防止和減少中觀經濟活動的失控; (5)保證有效地防止和減少中觀經濟比例關系的失調。二、信息系統審計的產生與內涵信息系統是以信息基礎設施為基本運行環境,由人、信息、技術設備和運行規程組成,通過信息采集、傳輸、加工處理和存儲,以企業戰略競優、提高效率為目標,支持企業高層決策、中層控制和基層運作的集成化人機系統。信息系統在使用過程中,隨著生存環境的變化,需要不斷維護、修改,因而在整個生命周期中,必須對信息系統進行嚴格管理與控制,并對信息系統實施審計4。信息系統審計直到21世紀初才進入我國。信息系統審計是在電子數據處理審計(EDP審計)的基礎上發展起來的。雖然目前學術界對信息系統審計概念并沒有統一的意見,但主流概念有兩種: (1)Weber在1999年提出的“信息系統審計是一個獲取并評價證據,以判斷信息系統是否能夠保證資產的安全、數據的完整以及有效率地利用組織的資源并有效地實現組織目標的過程”; (2)日本通產省在1996年提出的“為了信息系統的安全、可靠與有效,由獨立于審計對象的信息系統審計師,以第三方的客觀立場對以計算機為核心的信息系統進行綜合的檢查與評價,向信息系統審計對象的最高領導,提出問題與建議的一連串的活動”。從信息系統構成要素來看,信息系統是由硬件平臺、軟件平臺、應用系統、數據文件、人和運行規程組成的;從信息系統生命周期來看,信息系統的生命周期可劃分為系統規劃、系統分析、系統設計、系統實施、系統運行和系統維護六個階段5。從信息系統管理來看,對信息系統的審計伴隨信息系統生命周期的始終。信息系統審計的內容包括: (1)軟硬件獲取審計,其可確定軟硬件獲取政策是否合理且是否滿足企業的需求; (2)系統開發審計,其可確定各項系統開發活動是否完全遵循既定的政策與規劃且是否實施了有效的全面質量控制等; (3)系統維護審計,其可確定系統維護后是否經過充分測試以及系統維護后文檔資料是否及時更新等; (4)應用系統審計,其可確定應用系統的各項處理功能是否有效以及應用系統的控制是否健全有效等; (5)信息系統控制審計,其可確認信息系統的各項控制措施是否健全以及信息系統的各項控制措施是否得到有效執行; (6)信息系統安全審計,其可確認被審計單位的各項信息系統安全控制措施是否健全,確認信息系統的安全措施是否得到有效執行,以及判定被審計單位的信息系統安全策略與程序是否能最大限度地降低信息系統的安全風險。三、中觀經濟主體信息系統審計的客觀依據與現實任務中觀經濟主體信息系統審計從屬于中觀審計與信息系統審計的交叉研究范域,中觀經濟主體信息系統審計的研究對象可從兩個層次分析,第一層次是中觀經濟主體的特定區域范圍,第二層次是中觀經濟主體特定區域內的信息系統板塊。具體來說,中觀經濟主體信息系統的研究對象就是那些發生特定經濟行為的行業、部門、系統、經濟區以及特殊的經濟聯合體等中觀主體的網絡信息系統。與微觀經濟主體相比,中觀經濟主體的涉及范圍較大,運行機制復雜,因而在我國乃至全世界的大多數中觀經濟主體均無法離開為自己量身定做的信息系統這一基礎設施。例如,我國的鐵道部門的鐵路客票發售與預定系統,我國金融行業的金融業務信息系統,我國公安系統的公安綜合網絡信息系統,我國部分地區創建的區域物流信息系統,以及我國大型集團公司正在運行的集團財務信息系統,等等6,7。中觀經濟主體是特定范圍下多個微觀經濟個體的有機組合,信息技術在中觀經濟主體整體范圍內的運用,為中觀經濟主體內部資源的有機整合以及自身功能的高效運行提供了方便,提升了工作效率。例如,由Sy-base的數據庫產品Adaptive Server Enterprise、Repli-cation Server,中間件產品Open Client、Open Server,以及開發工具PowerBuilder、PowerDesigner構成的全國聯網車站售票信息系統強化了火車票售票、預訂、退票、異地售票、統計等多種功能,實現了票額、坐席、制票、計算、結算和統計等計算機管理,為鐵路客戶服務提供了有效的調控手段。實施中觀經濟主體信息系統審計是完全有必要的,這是因為由多臺計算機所構成的信息系統區域網絡所涉及的應用技術以及運行規程固然要比微觀個體的信息系統復雜得多,脆弱得多。例如, 2008年11月28日,由上海開往鄭州的D 82次列車的8號車廂46號位售出兩張坐票,一張是上海鄭州,另一張是南京鄭州,由于鐵道行業信息系統打票的錯誤,從而造成了乘客的沖突與矛盾。由此可見,信息系統給中觀經濟主體帶來巨大便利的同時,由于系統參與人員的錯誤操作、濫用、不正當使用以及不法分子的惡意利用等原因,也使得信息系統隨之產生了不可估量的風險。為了避免信息系統可能出現的風險,中觀經濟主體需要引入一種新的管理機制來對信息系統的安全性、可用性、投資效果、實施進程和實施效果等進行評估、指導和改進。中觀經濟主體所實施的這種機制即為中觀經濟主體信息系統審計,此種審計超越了傳統微觀審計的范疇。所謂中觀經濟主體信息系統審計,是指IT審計師依據特定的規范,運用科學系統的程序方法,對中觀經濟主體信息系統網絡的運行規程與應用政策所實施的一種監督活動,旨在增強中觀經濟主體特定信息網絡的有效性、安全性、機密性與一致性,以此保障中觀經濟主體信息系統的高效運行。中觀經濟主體信息系統審計的具體內容有: (1)網絡信息系統的軟硬件管理審計。此審計環節可確定軟硬件的配置是否滿足中觀經濟主體區域性整體功能辦公的要求,以及確定區域內部是否有科學規范的管理制度等; (2)信息系統的開發與維護審計。此審計環節可確定中觀經濟主體網絡信息系統的開發階段是否在區域內部經過全面的測試,開發過程是否有全面的控制措施,維護計劃是否具有創新性,維護工作是否有記錄與總結等; (3)網絡信息系統的應用與控制審計。此審計環節可確定信息系統區域網絡內的各項處理功能是否有效,各項控制措施是否健全并得到有效執行等;(4)網絡信息系統的安全審計與災難恢復計劃審計。此審計環節可確定中觀審計主體的各項信息系統安全控制措施是否健全,信息系統安全策略與程序是否能最大限度地降低信息系統的安全風險,中觀經濟主體的災難恢復計劃是否適應區域有機整體的需求,相應各個有機組成的信息資源是否做有備份,異地微觀個體信息數據的存儲是否安全等。中觀經濟主體信息系統審計是以傳統審計理論為基礎的,并在繼承中觀審計的基本理論與基本方法的同時,結合信息系統審計的特點在審計程序上加以創新。中觀經濟主體信息系統審計的主體一般是中觀經濟主體內部的IT審計師、外部IT審計事務所所委托審計師和國家審計機構。中觀經濟主體信息系統審計不是單純強調對中觀經濟主體的軟硬件審計,它的審計對象涵蓋中觀主體范疇內整個信息系統所有活動和中間產物,并包括與信息系統實施相關的外部環境。與微觀個體信息系統審計相比,中觀經濟主體信息系統審計所涉及的范圍廣而對象多,且區域內紛亂的組成個體之間盤結著錯綜的勾稽關系與系統契約關系;與宏觀性質的審計相比,中觀經濟主體信息系統審計又具有中觀化、具體化的特點。可見,中觀經濟主體信息系統審計的存在給傳統的審計監督活動注入了新鮮血液。在當前的經濟情形下,中觀經濟主體信息系統審計承載著其特有的目標與任務。中觀經濟主體信息系統審計的目標是站在客觀公正的角度上,收集中觀經濟領域所屬主體的信息系統控制與審計信息,生成審計報告,通過審計報告促成信息系統生命周期活動和成果的改善。從中觀經濟主體信息系統審計的最終目標來看,中觀經濟主體信息系統審計的行為過程僅僅是一種手段。借鑒中觀經濟主體的特點,結合信息系統審計的控制內容,筆者認為中觀經濟主體信息系統審計的任務為: (1)實現中觀經濟主體信息資產的安全性; (2)保證中觀經濟主體信息數據的完整性; (3)維護中觀經濟主體信息系統的機密性、可用性和一致性; (4)加強中觀經濟主體信息系統的可靠性、有效性與效率性。中觀經濟主體信息系統審計的任務遠遠要比微觀主體的信息系統審計任務艱巨,這是因為中觀經濟主體本身就存在著復雜的運行機制,中觀經濟有機主體下所屬的微觀個體之間存在著紛繁復雜的網狀結構關系,在雜亂的網絡系統中構建以整體為對象的信息系統資源,勢必將會在人員、應用、技術、設備與數據的管理與控制方面存在脆弱性。此外,IT審計師對中觀經濟主體信息系統業務處理的評判過程也要比微觀個體復雜得多,這主要因為中觀經濟主體是微觀個體的集合體,但微觀個體可能處于不同的行業,跨越不同的地域,由承載不同功能的計算機所組成的非區域化信息網絡,必將會對IT審計師的信息業務處理水平帶來全新的挑戰。因而,探索中觀經濟主體信息系統的審計模式將會成為推動未來審計理論發展的新趨勢。4、 中觀經濟主體信息系統審計的實施路徑構建我國對信息系統審計的研究起步較晚,傳統的審計方法已不能滿足信息系統審計實踐的要求。鑒于此點考慮,筆者引用國外信息系統控制的兩個模型對我國中觀經濟主體信息系統審計機制運行路徑的構建拋磚引玉,供理論界借鑒。(1) COBIT模型在中觀經濟主體信息系統審計中的應用美國信息系統審計與控制協會(ISACA)在1996年提出了COBIT模型(ControlObjectives for Informa-tion and related Technology)。COBIT是國際上公認的最先進、最權威的安全與信息技術管理和控制的規范體系,目前發展至第四版。COBIT模型由執行概要、框架、執行工具集、管理指南、控制目標和審計指南六部分組成。執行摘要為企業管理層闡明了COBIT模型中關鍵的概念和原則,給出了執行的總體概況;框架是COBIT模型的主體部分,解釋了IT流程是如何傳遞業務需要的信息和如何控制信息技術,其由管理指南、審計指南和控制目標三部分組成;執行工具集主要包括了管理理念、IT控制工具、執行指南、常見問題和管理案例等用于處理的可供選擇的輔助工具和軟件;管理指南給出了度量信息系統的指標體系,并由成熟度模型、關鍵成功因素、關鍵目標指標、關鍵績效指標四部分組成;控制目標是COBIT模型的關鍵組成部分,其是一個多層的架構,通過域、過程、任務活動三層體系實現總體目標的分解,通過特定的活動來實施控制以達到預定的系統目標8。COBIT在信息系統控制方面,不但提供了一系列可行的系統控制策略與IT控制路徑,而且提供了信息系統的審計指南,實現了對信息系統整個生命周期活動的過程管理。中觀經濟主體信息系統審計是中觀審計人員對信息系統的控制與管理,是以風險為導向的IT審計。COBIT模型的每個信息技術處理過程都涉及具體的控制目標、具體的IT資源以及規范的IT控制路徑。COBIT模型按照信息系統的生命周期劃分為規劃與組織、獲取與實施、交付與支持、控制與監督四個域,根據域設計了34個高層次控制目標以及318個具體控制目標,這些微觀控制目標為IT審計師實施中觀經濟主體信息系統提供了全面的參考模板。中觀審計人員可以以COBIT模型的相關理論與具體指標為準繩,了解中觀經濟主體信息系統的運行情況以及內外部環境,確認被審信息系統在各個層面上是否達到控制標準,創造性地把COBIT理論作為評價被審信息系統重大錯報風險水平以及開展審計測試的操作規范。此外,CO-BIT模型中的管理指南給出了度量信息系統安全、可靠與有效的指標體系,給出了為管理者提供評估樣板的度量模型,中觀IT審計人員可以根據COBIT模型中的IT業務活動的指標體系與度量模型了解被審計信息系統的固有風險水平。(二) ITIL模型在中觀經濟主體信息系統審計中的應用ITIL(信息技術基礎設施庫)是Information Tech-nology Infrastructure Library的縮寫。ITIL是英國政府商務部(OGC)在20世紀90年代初期發布的一套IT服務管理最佳實踐指南。ITIL列出了各個信息系統服務管理流程“最佳”的目標、活動、輸入和輸出的方法、實施過程以及各個流程之間的關系。ITIL模型對信息系統服務的提供和支持定義了更為詳細和更易理解的過程集。ITIL模型旨在解決所有可能出現的弊端,并提供了一個指導性框架,這個框架可以保留組織現有信息系統管理方法中的合理部分,同時增加必要的技術,并且方便了各種信息系統職能間的溝通和協調。但ITIL并不是一套理論模式,而是以全球最佳實際經驗為依據,基于高質量、合理定義、可重復流程等運作為基礎,確立的可持續改進的路徑規劃。ITIL的實施,可以使信息系統部門對發生在財務、銷售、市場、制造等業務上的流程進行改變,做出及時反應,增強信息系統服務效率。基于ITIL的IT服務管理,繼承了三個特點: (1)描述已經得到證明的IT服務計劃和運營的實踐框架,基于經驗,而非理論研究; (2)對于公共組織和個人組織公平地給予指導獨立于組織使用的軟件與硬件; (3)屬于公共的方法論,使用時無須任何費用,具有全球的用戶網絡服務IT管理軟件/服務生命周期的地位9。盡管ITIL的主要“目標聽眾”是IT人員和服務管理人員,其提供了信息系統服務各個環節的行為方法與實施過程。但是, ITIL模型仍然為中觀經濟主體信息系統的審計人員提供了審計指南。在當前未有任何審計部門出臺的IT審計準則的情況下,我們的中觀經濟主體信息系統審計人員可以借鑒30ITIL模型的具體方法與步驟作為審計路徑加以參照,據此判定各個環節的信息系統流程管理的制度設計與執行程度,判斷信息系統與各個業務部門的相互作用效率,確認信息系統對業務功能效果及流程設計的深層次影響等諸多方面。中觀經濟主體信息系統審計人員所需借鑒ITIL的方面有: (1)服務級別管理流程,其可為審計人員提供包括定義、匹配、存檔和管理客戶要求的各個級別服務的審計流程; (2)可用性管理流程,其可為審計人員提供定義關于IT服務可用性的客戶需求的審計流程,以及確定IT基礎設施對傳送特定級別的可用性的能力的審計流程; (3)突出事件管理流程,其可為審計人員提供通過服務臺管理異常的突發事件的審計流程;(4)問題管理流程,其可為審計人員提供包括問題控制方法、錯誤控制方法等的審計流程; (5)變更管理流程,其可為審計人員提供用于控制和管理變更請求的審計流程; (6)配置管理流程,其可為審計人員提供包括規劃、確認、控制、維護和核實服務中的配置項,通過記錄和報告它們的狀態,支持變更管理和評定改變這些配置項對IT的潛在影響的審計流程;(7)應用發布管理流程,其可為審計人員提供如何應用包括規劃、設計、建設、配置和測試