北京财贸职业学院 周 梅 徐耀庆

IS审计流程在COBIT过程域中的实现

北京财贸职业学院 周 梅 徐耀庆

随着以ERP为代表的组织（企、事业单位）IS（Information System，信息系统）的应用和普及，组织管理层越来越关注IS与公司业务战略的一致程度，IS本身的安全性、可靠性与机密性。美国《萨班斯——奥克斯利法案2002》（简称SOX法案）对评估组织的IT控制提出了很高的要求。从2011年开始，中国境内所有新上市的公司必须遵守中国的SOX法案。SOX法案要求上市公司选择并实施公认的内部控制框架，如COSO内部控制整体框架。该法案把增强组织业务流程管理及支持IS的内部控制整体水平作为目标，直接导致IS审计在中国企业界的飞速发展。

IS审计是指审计内容中包含了对自动化信息处理系统、相关手工流程及两者间接口进行全部或部分检查及评价的任何审计。IS审计与传统的财务审计、绩效审计一样，称为审计的一个重要分支，这三类审计的交集即为综合审计。业务流程对信息技术的依赖，使得传统的财务审计和运营审计必须理解IT控制结构，IS审计师也必须理解业务控制结构。综合审计关注风险。风险分析的目标是理解和识别由企业及其环境引起的风险和相关的内部控制。在这个阶段，IS审计师的职责是理解和识别信息管理、IS基础设施、IT治理和IS运营等领域的风险，其他专业审计师则要了解组织环境、业务风险和业务控制。详细审计工作关注已存在的管理这些风险的相关控制。IS审计通常是预防和检查性控制的第一道防线，综合审计则合理评估其效果和效率。实务界通常把IS审计当作一个专项审计对待，采用规范的项目管理方法和技术来实施。IS审计的通用流程一般为获取、评价、符合性测试和证明。

COBIT（信息及相关技术控制目标，Control Objectives for Information and Related Technology）提供了一个IT治理框架，以确保IS与业务保持一致，IS促使业务实现利益最大化，IT资源得到有效使用以及IS风险得到适当管理。COBIT框架通过域和流程控制来提供最佳实践，并采用易于管理的逻辑结构描述活动。COBIT最佳实践代表了专家意见。COBIT4.1把34个IT控制流程组合到四个控制域中：计划与组织（PO）、获取与实施（AI）、交付与支持（DS）、监督与评价（ME）。这34个控制流程又可进一步细分为310多个详细控制目标，这些详细的控制目标为应当实施何种具体的控制措施提供了参考。在“计划与组织（PO）”过程域的控制流程有13个，第一个是PO1，即定义组织IT战略计划。以下为PO1为例，详述IS审计流程的实现。

PO1的高级控制目标是控制IT过程——定义IT战略计划，以满足信息技术机会与IT业务需求的最佳平衡，同时确保其将来能实现。PO1的控制目标均可通过以下四个流程来进行审计：

一、获取对业务需求有关的风险以及对相应控制措施的理解

IS审计师通过调研，将控制目标下的相关活动用文档记录下来，对组织声称已实施的控制措施与程序进行识别，并且确认其存在。与相关的管理者和员工进行会晤，以理解业务需求和相关的风险、组织结构、角色和职务、政策和程序、法律和法规、已有的控制措施和管理报告（状态、性能、行动项目）等。

在PO1中，IS审计师通常用文档记录与过程相关的IT资源，特别是那些被审计的IT过程所影响到的IT资源。确认理解了待审核的过程，过程的关键性能指标KPI、实际的控制情况。例如：（1）会见组织的CEOCOOCFOCIOIT策划、指导委员会成员，IT自身管理人员和人力资源部门的职员；（2）搜集与策划过程有关的政策与程序，执行管理层的指导角色与职责；组织目标、长期计划与短期计划；IT的目标、长期计划与短期计划，状态报告、策划、指导委员会会议累计用时等信息。

二、评价组织已有控制的适宜性

IS审计师通过考虑IT或业务政策和程序是否使用了结构化的计划编制方法，对组织采取的控制进行评价。这种方法用来明确的表达和修改计划，并且计划中最少要包含组织使命与目标、支持组织使命与目标的IT初始阶段、IT初始阶段的时机、对IT初始阶段的可行性研究、对IT初始阶段的风险评估、最佳的当前与将来的IT投资、对IT初始阶段进行再工程，以适应企业使命与目标的变化、对可选的数据应用，技术和组织战略的评价等。在PO1中具体的评价内容包括：（1）组织变革、技术进步、需求调整、业务流程重组，人员配置，内部的外包项目等在计划制定过程中是否得到了考虑和充分的表述。（2）IT项目是否有合适的文档支持，这些文档在IT计划编制方法中有规定；安排有检查点，以确保IT目标、长期和近期计划持续满足组织的目标、长期和近期计划。（3）过程所有者与资深管理层是否评审和签署IT计划。书面评审文件中是否存在IT计划评估现有信息系统，使用业务自动化程度、功能性、稳定性、复杂性、成本、优势和不足的术语。（4）组织是否存在信息系统和其支撑基础的长期计划的缺乏，导致不能支持企业目标和业务过程，或者无法保证合适的完整性、安全性和控制。

三、通过符合性测试，评估规定的控制是否一致地、持续地起作用

对组织符合规定的控制程序的程度进行分析，把实际的控制程序及补偿性控制缺失与规定的程序进行对比，并进行文档检查、会无相关人员，以判断控制是否被正确地、持续地实施。只对被证明有效的控制程序进行符合性测试。在PO1中，IS审计师通过测试IT（策划）指导委员会会议的分钟数，以反映策划的过程；计划编制方法中的输出是存在的，并且符合规定；IT长期和近期计划包含相应的IT初始阶段（即硬件计划、容量计划、信息体系结构、新系统开发和采购，灾难恢复计划，新的处理平台的安装等）；IT初始阶段支持长期和近期计划，并考虑了研究、培训、人员、配备、硬件和软件的要求；已经识别到IT初始阶段的技术含量；考虑到了优化目前与未来的IT投资；IT的长期和短期计划与组织的长期和近期计划，组织需求一致；计划得到了修订以反应条件的变化；IT长期计划定期被转化为短期计划；存在执行计划的任务，得到所选项目和阶段的直接或间接的证据，使用直接或间接的证据，来保证待审核的项目和阶段一直遵守相关控制程序的要求。对过程或结果的充分性进行有限的审核。

四、证明未满足控制目标的风险确实存在

通过分析技术和可选的信息资产进行实质性测试，证实控制目标没有被实现时所带来的风险。该阶段实质性测试的目标是支持其审计判断，并敦促管理者采取行动。IS审计师要创造性地寻找和提出通常是敏感的机密的信息，用文档记录下控制弱点及其引起的威胁和漏洞，识别并记录实际的影响和潜在的影响，例如利用因果分析的方法，提供比较信息，例如，通过基准比较的方法来完成具体的实质性测试目标。在PO1中，IS审计师通常通过执行和识别两个步骤来实现。（1）执行。执行战略IT计划的基准测试，参照类似的组织作为国际标准、已被认可的工业最佳实践。对IT计划的详细评审，以确保IT初始阶段反映了组织的使命与目标。对IT计划的详细评审，已决定组织已知的薄弱环节，是否已被计划中的IT解决方案作为一部分进行改进。（2）识别。识别组织IS中不满足组织使命和目标之处，IS中短期计划与长期计划不一致之处，不符合近期计划的IS项目，IS项目中不符合成本和时间指导方针之处，错失的商业机会以及错失的IT机会等。

综上所述，IS审计师通过获取、评价、符合性测试和实质性测试四个流程阶段，对组织的IT战略规划过程做出评估，并据此提出管理建议，以确保IT作为组织长期计划与短期计划的一部分，并从根本上始终保持与企业业务战略的高度一致性。

［1］中国银监会：《银行业金融机构信息系统风险管理指引》（2006）。

［2］中国内部审计协会：《信息系统审计准则》（2008）。

［3］http://www.isaca.org/cobit4.1 frameworks/[EB/S]2010-11-6.

［4］陈朝：《我国信息化建设中信息系统审计问题研究》，东北师范大学2006年硕士学位论文。

［5］吕凡：《计算机辅助审计研究》，武汉大学2005年硕士学位论文。

［6］陈婉玲、杨文杰：《ISACA信息系统管理准则及其启示》，《审计研究》2006年第S1期。

［7］吴炎太：《COBIT控制思想在信息系统建设中的应用》，《财会通讯》（综合版）2009年第7期。

（编辑 余俊娟）