陈耿 李婷婷 韩志耕

【摘 要】 互联网的普及使得企业的生存与发展越来越依赖于现代信息系统，现代信息系统重要性的与日俱增要求信息系统审计在模型及方法体系上均要做出适应性的拓展甚至变更。针对该问题，文章提出了现代信息系统审计模型ISACM，该模型将现代信息系统审计的职能明确分为审计、控制和管理三个关联的方面。与此同时，基于ISACM模型构建了现代信息系统审计的一般性方法体系，进一步明确审计职能——三项审计类别涉及真实性审计、安全性审计、绩效审计;三级控制层面包括决策层面、业务层面和技术层面;三个管理维度分别是IT治理、应急管理和业务连续性管理，以期为互联网环境下的现代信息系统审计提供指引。

【关键词】 互联网环境; 现代信息系统审计; ISACM模型; 一般性方法体系

【中图分类号】 F239.1  【文献标识码】 A  【文章编号】 1004-5937（2019）09-0125-05

一、引言

互联网的普及使得信息系统（IS）由“信息孤岛”的现象转变成开放、复杂的状态，意味着信息系统由传统IS转变为现代IS，其中传统IS特指利用计算机实现对产品生产制造过程的自动控制，实现企业内部管理的自动化;现代IS是在传统IS基础上进一步扩展，企业还会利用互联网开展电子商务，实现企业生产、交易、管理的系统化，如阿里巴巴、卓越等电子商务公司。据智研咨询统计结果显示，截至2016年12月，我国60%以上的企业部署了企业信息化系统，其中50.4%、28.2%、25.9%的企业建设使用了办公自动化（OA）系统、企业资源计划（ERP）系统和客户关系管理（CRM）系统，相比于上一年提升了13.4个百分点，且预测整体呈快速的上升趋势。此外，2018年7月中国互联网信息中心（CNNIC）在公布的第42次《中国互联网络发展状况统计报告》中指出，2018年1—5月电子商务平台收入达1 164亿元，同比增长39.1%，电子商务保持快速增长、增速平稳态势，服务模式、技术形态和赋能效力均在不断地创新突破。由此可见，企业的生存和发展越来越依靠信息系统，信息系统显得愈加重要。尽管如此，信息系统也暴露出诸多安全问题，2001年爆发的安然事件就是代表性的事件。为防止企业利用信息系统进行舞弊，对现代信息系统进行审计显得格外重要。

现代信息系统主要利用电子商务平台进行交易，信息系统变得复杂化、开放化，如何针对此类系统进行审计亟待解决。目前信息系统审计相关的依据主要是国际信息系统审计协会（IASCA）制定的信息系统审计准则、COSO内部控制及风险管理框架以及COBIT控制框架。其中信息系统审计准则是由基本准则、审计指南和作业程序三个层次组成，明确审计人员的基本要求以及具体的审计程序，是一套通用的审计准则;COSO框架主要包括内部控制和企业风险管理整合框架两个方面，旨在使企业风险管理过程流程化，为企业目标实现提供合理保证;COBIT框架重视信息系统控制问题，提出了一般控制和应用控制两要素审计方法，为企业管理层、IT与审计之间交流架起桥梁。三种审计依据各有侧重地对信息系统审计进行一定程度的指导，但针对现代企业信息系统，以上任意一种审计依据都无法满足审计需求，因此，有必要重新探索信息系统审计方法体系，以便为现代信息系统审计工作提供一个可行的实务指南。

二、文献回顾

（一）基于ISACA信息系统审计准则体系的相关研究

ISACA信息系统审计准则体系从多个层次为审计人员提供指引。由于我国目前还未建立起一套完整的信息系统审计准则，因此，国内部分学者主要基于ISACA信息系统审计准则进行相关的研究，诸如通过解读国际信息系统审计准则的相关内容，提出用于制定我国信息系统审计准则的建议。刘杰[1]通过比较国内外信息系统审计准则，指出我国准则的弊端，并提出相关政策建议;张文秀等[2]指出在我国借鉴国际信息系统审计规范的过程中要注意国家文化的特征，要探讨适合我国国情的审计准则;陈婉玲等[3]借鉴ISACA的信息系统审计准则，提出顶层设计方案，指出我国可以按照工作流程或审计工作任务进行准则制定。通过文献回顾，可以了解到信息系统审计准则对审计工作具有指导作用，我国信息系统审计需要从基本准则、审计职能和作业程序等诸多方面进行规范。

（二）基于COBIT框架体系的相关研究

COBIT框架体系重视信息系统的控制以防范风险。周德铭等[4]在借鉴国外信息系统过程控制审计框架基础上，提出四维结构的信息系统审计控制审计框架;王会金[5]提出中观信息系统审计风险控制框架体系，为相关系统安全提供理论支持与实践指导;张文秀等[6]构建我国信息系统审计框架，提出面向系统和面向数据的信息系统审计，进一步深入了我国信息系统审计的研究与应用;金文等[7]提出以信息系统生命周期为出发点，构建符合COBIT定义的信息技术过程和管理、控制与审计模型。上述研究主要依据COBIT标准构建我国信息系统审计框架，通常COBIT便于人们了解和分析信息系统建设与应用过程，帮助审计师明确审计轨迹[7]。

（三）基于COSO框架体系的相关研究

COSO框架主要包括内部控制和企业风险管理整合框架两个方面，凸显企业内控和风险管理的重要性。王培华等[8]基于COSO-ERM框架，构建审计机关廉政风险防控体系，进行风险分类管理，以便于查找各部门、岗位的关键风险点，评估风险等级，健全防控长效机制;施金龙等[9]认为应该加强中小企业内部控制，并基于COSO内控框架研究其存在的问题及成因，最后提出一系列完善内控的措施;席龙胜[10]在审计质量控制基础上引入COSO风险管理框架，建立新的审计质量控制体系，认为审计应该转向以控制风险为目标的主动型质量管理;陈震晗[11]基于COSO-ERM框架研究企业风险导向审计模型，并提出应用模型的初步方案，为审计研究提供新的方向。可见，目前基于COSO框架的文献研究主要是针对各企业内部控制问题，并提出相關建议，表现企业内部控制的重要作用。

从以上讨论可以看出，虽然目前在信息系统审计准则、框架体系上已有诸多研究，然而，互联网的普及所带来的企业生产方式、经营模式和管理方法的巨大变化，使得企业信息系统面临着前所未有的风险，信息系统审计的职能需要得到提升。本文提出的ISACM（Information System Auditing、Control and Management）现代信息系统审计模型及方法体系，除了提供信息系统审计的审计职能外，还具备控制和管理职能，对已有的信息系统审计模型和方法体系做出了内涵拓展和外延变更，方便为“互联网+”环境下的现代信息系统审计实务提供指引。

三、ISACM模型构建

本节在分析现代信息系统审计应该具备的审计、控制和管理三种职能的基础上，给出适用于信息系统审计的ISACM模型，该模型能够多角度表征现代信息系统审计的作用，充分反映信息系统审计的职责所在，最大限度地满足现代信息系统审计的需求。

（一）审计职能

所谓审计职能，是一种狭义的审计，就是以相关规定、标准等为评价依据，评价被审计对象的信息资产和信息系统是否安全、可信，反映的财务收支和经济活动的电子轨迹是否合法、合规、合理和有效，从而督促被审计对象遵纪守法，提高经济效益。

相比于传统的信息系统审计，现代信息系统审计的审计职能表现得更加复杂、开放，不仅关注信息系统的真实性，而且对信息系统的安全性愈加重视。如图1所示，基于审计目标，本文将现代信息系统审计的审计职能划分为真实性审计、安全性审计和绩效审计三种基本类型。

（二）控制职能

控制职能的一般定义是指组织的管理者对组织的运行状况加以监督，通过控制可发现当初的计划与实际的偏差，采取有力的行动纠正偏差，保证计划的实行，确保原来的目标得以实现。

针对现代化企业的业务经营活动、各种数据传递以及财务报告等的产生与传递越来越多地依赖信息系统自动化处理的现象，美国麻省理工学院皮特·威尔博士通过研究发现：面对同样的战略目标，信息系统内部控制水平较高的企业的获利能力高出20%，这足以说明信息系统内部控制的作用变得越来越大。为此信息系统审计师需要对信息系统内部控制功能实施鉴证，以验证其是否具备信息系统审计的控制职能。如图2所示，此处将现代信息系统审计的控制职能划分为决策、业务和技术三个层面，以保证信息系统内部控制的全方位性。

（三）管理职能

管理职能是指信息系统审计师有义务和责任对企业的信息资产安全与信息系统运行状况提供决策咨询，确保信息系统发展与企业的战略一致，在工作中发现问题，对制度、管理和控制等方面有针对性地提供咨询服务，预防出现大的信息技术风险和管理漏洞，企业各管理层提供服务，不断改进经营管理水平。

信息技术使企业受益的同时也带来了相应的风险（《企业内部控制基本规范》中提到了识别企业内外部风险的六个核心因素），信息系统风险已经成为企业风险的主要来源之一。为保证企业信息资产的安全、有效，现代企业的风险管理必须成为信息系统审计的基本职能。如图3所示，本文将现代信息系统审计的管理职能划分为IT治理、应急管理、业务连续性管理三个方面，通过对信息资产实施全方位、全过程的风险管理，帮助企业提高抗风险的能力。

根据以上信息系统审计三种职能分析，本文构建出如图4所示的现代信息系统审计模型ISACM，该模型通过多角度展现现代信息系统审计的内涵，能够充分反映信息系统审计的职责所在，并最大限度地满足现代信息系统审计的需求。

四、ISACM一般性方法体系

从审计职能、控制职能和管理职能出发，本节详述ISACM模型的一般性方法体系，以期为具体的审计实务提供方法指引。

（一）三项审计类别

1.真实性审计

现代企业除了将大量信息存储于信息系统，同时也广泛利用信息系统开展业务。为此，除了需要对电子数据进行真实性审计，还需要对信息系统业务行为开展真实性审计，以鉴证信息系统在使用过程中是否存在舞弊，诸如是否被利用实施虚假交易等。信息系统真实性审计的目标是判断信息系统行为和电子数据是否真实、完整和合法，从而为财务审计提供依据。

对现代信息系统而言，真实性审计的对象应关注三个模块，分别是财务系统、业务系统和电子商务系统。审计内容是各自处理流程的真实性和合法性，以及系统数据输入环节的真实和合法性，同时还要审查三种系统之间的逻辑一致性，以保证电子数据的真实可靠。

2.安全性审计

信息系统的安全隐患除了来自企业内部，还有因互联网的开放性所导致的各种外部威胁，诸如网络攻击、数据窃取、计算机病毒等，这些安全隐患均可能会中止企业的正常经营活动，给企业带来损失。信息系统安全性审计的目标是审查企业信息系统和电子数据的安全性、可靠性、可用性、保密性等，预防来自互联网对信息系统的威胁和来自企业内部对信息系統的危害。

安全性审计是真实性审计的基础与前提。对现代信息系统而言，安全性审计的对象应关注电子数据、操作系统、数据库、网络、设备、主机以及环境等方面的安全。审计内容是审核上述审计对象的各项安全指标，判断它们是否达到信息系统整体安全运行的需求。

3.绩效审计

信息系统的成功运用能给企业带来高收益，然而信息系统实施复杂、建设耗时较长、成本较高，属高风险投资项目。盲目上马信息系统项目有可能会让企业陷入投资黑洞。因此，对于现代企业，信息系统绩效审计的目标是审核信息系统的投资、开发和应用是否合理，信息系统的使用是否有效、能否为企业创造价值。

信息系统绩效审计的对象是信息系统的投入与产出。审计内容是审核信息系统投入和产出之间的关系是否达到预期，这涉及到对信息系统的经济性、效率性和效果性进行评价和监督。通过信息系统绩效审计，能够更好地发挥信息系统审计的审计职能，为企业的投资者、债权人、经营者、管理者等提供更充分的决策参考。

（二）三级控制层面

由于信息化环境下企业内部控制被嵌入到信息系统中，审计人员需要关注信息系统内部控制，以鉴证信息系统内控运行的效果。信息系统内部控制主要体现在三个层面：决策层面、业务层面和技术层面。

1.决策层面

企业在设计信息系统内控时，应符合企业整体的目标、政策和战略决策。如图5所示，信息技术环境下企业内部控制在决策层面应该重点关注五要素。其中，IT内部控制环境主要关注IT治理架构、IT组织与职责、IT决策机制等基础内容;IT风险评估借助风险识别、风险分析和风险应对来把握风险;IT控制活动使用IT技术类措施和IT管理类措施，对风险做出防范;IT监督借助系统日志和内部监管措施对信息系统整体运行进行全方面的审核，对IT控制的有效性做出评价;信息与沟通用于实现内部信息系统与外部环境的结合，以便应对多方面的变化，实现更有效的控制。

2.业务层面

业务层面控制实现对业务流程的检查，相关的控制关注点如图6所示。其中，信息安全策略用于保证业务正常运营，涉及到问题管理、应急管理、第三方管理、职责分离等内容。信息安全流程用于对整个流程进行控制，从而有效地保障信息安全，包括账号管理、备份管理、数据中心管理、设备安全、系统安全等内容。用户培训包括操作人员培训、管理人员培训、专业人员培训等，以明确各自在信息化环境中应承担的职责。

3.技术层面

技术层面控制体现在系统的生命周期（如图7所示）全过程。其中，总体规划阶段关注系统的发展战略、系统总体结构方案以及系统建设的资源分配计划等内容，以确保系统投入符合企业整体规划;需求分析阶段主要检查用户需求、业务流程、数据流程等分析报告;系统设计阶段检查相应的系统设计说明书，以检验系统设计是否符合实际需求;系统实现测试阶段应该对具体软件、运行环境、技术文档等进行检查、测试，确保系统运行的可行性;系统运行维护阶段重要关注系统操作规范、变更流程的制定，并且重视成本效益原则，考察系统维护成本的合理性。

（三）三个管理维度

信息系统管理是以信息系统风险为导向，动员和组织各类资源，综合采取各种技术手段和管理手段，对信息资产实施全员、全方位、全生命周期管控的過程。图8给出了信息系统管理的三个维度，分别是IT治理、应急管理和业务连续性管理。其中，应急管理和业务连续性管理侧重企业执行力，强调企业管理各环节对信息系统价值和风险作用的影响。

1.IT治理

IT治理集中在董事会和执行管理层，其主要职能是平衡信息技术与过程风险，确保IT战略与企业战略的一致性。IT治理强调董事会决策对信息系统价值和风险作用的影响，侧重决策。为保证有效的IT治理，设立IT治理委员会和内部信息系统审计是IT治理最重要的环节。

2.应急管理

应急管理可使企业在信息安全事件发生时危害度最小化。应急响应的经典方法是准备、检测、遏制、根除、恢复、跟踪（PDCERF），企业可根据其制定合适的应急响应体系。审计人员可以通过审查企业应急管理情况，对企业潜在风险做出判断，以评估企业的信息系统安全。

3.业务连续性管理

业务连续性管理可确保企业业务的正常运行，主要包括业务连续性计划和灾难恢复计划，前者是企业应对种种不可控因素的一种预防和反应机制，立足于预防;后者如何以最短时间、最少损失去恢复停顿业务的处理预案，立足于事后的补救。审计人员应关注企业的业务连续性计划是否符合企业的特性、对外部环境变化的反应程度等问题，考察灾难恢复计划制定的有效性、判断其是否符合成本效益原则。

五、结语

本文借助分析现代信息系统审计必须具备的审计、控制和管理职能，提出了适用于现代信息系统审计的ISACM模型，详细探讨了基于ISACM模型的现代信息系统审计一般性方法体系，涉及真实性审计、安全性审计和绩效审计三项审计类别，涵盖决策、技术和业务三个控制层面，关注IT治理、应急和业务连续性三个管理维度，为互联网环境下的现代信息系统审计实务提供理论模型和方法指引。

【参考文献】

[1] 刘杰.我国信息系统审计准则构建研究[J].财会月刊，2014（17）：43-47.

[2] 张文秀，GERT VAN DER PIJL.国外信息系统审计规范、国家文化差异与制度移植[J].审计研究，2012（5）：14-21，35.

[3] 陈婉玲，袁若宾.COBIT及其在信息系统控制与审计中的应用[J].审计研究，2006（S1）：93-96，104.

[4] 周德铭，曹洪泽.信息系统结构控制审计框架研究[J].审计研究，2014（5）：32-37.

[5] 王会金.论信息系统审计准则在我国的需求与发展[J].南京审计学院学报，2012，9（6）：1-7.

[6] 张文秀，齐兴利，黄溶冰.基于COBIT的信息系统审计框架研究[J].南京审计学院学报，2010，7（4）：29-34.

[7] 金文，张金城.基于COBIT的信息系统管理、控制与审计的模型构建研究[J].审计研究，2005（4）：75-79.

[8] 王培华，汤小莉，骆怡.COSO-ERM框架下如何构建审计机关廉政风险防控机制[J].财会月刊，2018（7）：156-159.

[9] 施金龙，管明.基于COSO框架的中小企业内部控制问题探究[J].财会通讯，2016（11）：112-114.

[10] 席龙胜.基于COSO风险管理框架的审计质量控制分析[J].商丘师范学院学报，2011，27（2）：68-73.

[11] 陈震晗.基于COSO—ERM框架的企业风险导向审计模型初探[J].中国内部审计，2009（10）：41-43.