基于COBIT2019的中小企业信息系统审计框架研究
2023-01-09任艺
任艺
(重庆理工大学 会计学院,重庆 400054)
1 引言
目前,信息系统已成为各公司支持业务运作、实现业务目标的重要保证,也是公司在客户服务和业务创新中的重要优势。信息系统在为公司提供多种竞争优势、经济利益的同时,也会产生各种风险。一旦发生安全性问题或数据泄露,将会给公司尤其是中小企业带来很大的损失。通过对信息系统的审计,可以准确地反映公司信息系统是否能够顺利、安全地运作,从而对其进行系统的管理与优化。根据在信息系统审计中出现的相关情况,制定最优的方案,以保证信息系统的准确性、信息系统设施的稳定性、内部控制的相关体系的规范性,以减少中小企业信息系统面临的风险。当前,在国际上最通用的标准是由ISACA 推出的COBIT 框架标准,它将企业的IT 目标和商业目标紧紧地联系在一起,而当前这一标准也被公认为当今世界上最领先、最权威的企业安全与信息化方面的管理和监控规范。因此,本文基于COBIT2019 对中小企业的信息系统审计工作进行了深入的探讨。
2 COBIT2019 概述
COBIT 标准是美国ISACA 的主要信息系统管理标准,同时也是美国信息安全政策和技术发展的关键控制目标。自首次推出至今,经过6 次修订,已逐渐发展为世界各国公认的最先进、最权威的管理与控制系统,并且被世界各国所认可,当前的最新版本为COBIT2019。
基于COBIT2019 架构,公司研究如何才能在信息系统中得到最大的收益,并使之达到最佳的收益水平,其基础就是公司如何实现发展信息系统的目的,而实现目的的基础就是对整个信息系统流程进行合理的管理。所以,在信息系统审计时,审计部门应当重视检查系统中各个环节的实施情况,以保证系统的安全性、可靠性和经济效益。
3 基于COBIT2019 的中小企业信息系统审计框架
中小企业的规模较小,其人员、资金、物质条件相对较少,难以通过多元化的方式来分散风险,其风险承受能力也不能与大型企业相提并论。我国中小企业普遍存在的重大问题是如何借助先进信息技术提升公司的生产经营效果和效率,信息化建设也悄然影响着许多中小企业的存在和运作状态。中小企业采用信息系统主要是为了协助公司降低生产成本,以及协助公司管理人员提升效率和规范公司的整体经营。然而现实情况是中小企业信息系统应用的整体发展较慢,企业重视度不够,在有限的资金、资源投入下,中小企业所应用的信息系统大多是外包建设的,前期建设简单粗暴、系统交付后没有定期进行维护管理等多种原因导致中小企业信息系统潜在隐患较多,信息系统审计时更应该细致全面,全力降低信息系统风险暴露的可能性。本文采用的COBIT2019 框架是企业发展战略目标与信息技术发展目标中间的重要纽带,能够实现信息系统审计目标与公司战略目标之间的交互。基于COBIT2019 的中小企业信息系统审计可以增加中小企业管理层对信息系统的控制力,使信息系统审计工作简易并量化,可以针对中小企业信息系统应用形成一个持续改进的良性循环机制。下文从治理和管理目标、治理系统的组件两个方面对基于COBIT2019 的中小企业信息系统审计框架进行阐述。
3.1 治理和管理目标
为了使信息系统能够促进公司经营目标的实现,必须达到一系列的治理和管理目标。治理和管理的目标总是包括一个过程,以及一系列有助于达到目的的其他相关部件。治理目标涉及治理过程,而管理目标涉及管理过程。治理过程一般是由董事会和管理层来完成,而管理过程是属于高层管理者和中层管理者的责任。COBIT2019 的治理和管理目标被划分为5 个名字由动词组成的领域,表达了其目的和所涉及的活动范围。
治理目标包括“评估、指导、监测”方面。在此方面,治理委员会负责评估策略计划,引导高级管理人员实施选定的策略方案,并监测其执行情况。
管理目标包括以下4 个方面:“调整、计划、组织”为信息系统审计提供整体的组织、策略和支持;“构建、采购、实施”是对信息系统审计方案定义、采购和实施,并将其与经营过程相结合;“交付、服务、支持”是为信息系统审计服务提供运营交付和支持,其中包括安全服务;“监测、评价、评估”则是判断信息系统审计效果与内部绩效目标、内部控制目标以及外部需求的一致性。
3.1.1 评估、指导、监测
“评估、指导、监测”是信息系统审计的控制区,它可以判定中小企业的信息系统审计组织结构和人员的工作责任的明确和合理、信息系统审计项目计划和流程的健全,以及信息系统审计结果监控和评估的及时和有效。另外,它可以判定信息系统审计在计划、创建、运行和监控4 个层面上运行的系统性和有效性。“评估、指导、监测”要求各中小企业确保合理地建立和维持信息系统审计管理框架,力争达到利益、风险和资源最优,确保治理层了解信息系统审计的整体过程。为达到这一目标,需要确保与信息系统审计相关的流程可以被有效、公正地控制,遵循法规、协议和政策,并满足董事会的监管要求。中小企业必须保证信息系统审计相关的风险不会超出公司的承受能力和客户相关风险的承受能力,并确定及控制信息系统审计风险对公司价值的影响,同时,将违规的可能性降到最低。
3.1.2 调整、计划、组织
中小企业必须对公司的战略目标和其他计划要素进行信息系统审计,以此为基础,实现所有必要的审计工作管理。中小企业需要对目前的生产经营与信息技术环境、公司未来的发展方向以及信息系统需求进行综合考量,决定采用何种措施来提供一种最理想的工作环境进而评估公司目前的信息系统风险,并制定有针对性的解决路径,保证把重点放在公司整体的转变进程上。在信息系统审计目的的基础上,可以构建一个重要的模型来描述审计工作基础结构和目标结构,定义相关的分类、标准、指南、程序。中小企业应该时刻关注公司信息系统的动向,并监测最新的技术,主动地发掘创新机遇,规划如何从公司需求和信息系统审计结果中受益。通过应用新兴技术、理念创新、现有技术改进等,有利于中小企业提高信息系统审计风险管理能力。
3.1.3 构建、采购、实施
中小企业的“构建、采购、实施”是为了涵盖新的项目产生的解决方案,这些方案可以满足以往信息系统审计项目的需要,并且在预算范围内可以准时交付,一旦执行,新的审计程序就可以运行,并且不会对现有的审计方法、手段造成任何影响。中小企业应该按照标准的规划管理办法,把审计项目的各项计划与公司的战略目标相结合,并且以一种连贯的方式进行。在实施外部采购和建立新的框架之前,企业应该首先找到解决办法,并对需要作出分类,以确定这种需要和公司的业务流程、信息系统审计需求、数据类别规模、基础设施等相一致,然后再开发、采购或者与审计业务外包商合作。为了达到以上效果,中小企业应该最大限度地在公司层面上进行可持续的信息系统审计组织变革,并在风险较小的情况下迅速成功地实施,公司应该以可控的方法来管理所有的变化,其中包括标准变化和业务流程、应用程序和基础框架以及应急维护。
3.1.4 交付、服务、支持
中小企业的“交付、服务、支持”包括提供服务、安全和持续的管理、对服务使用者的支持、资料管理和操作设备,其目的是保证信息系统审计服务按生产经营优先顺序提供,最大限度地降低成本,并保证员工能够有效、安全地使用该被审系统。中小企业对被审项目对应的要求和对各种突发事件做出及时、高效的反应包括:对被审项目负责人的要求进行记录和处理;记录、调查、诊断、报告和处理意外事件。中小企业要找出信息系统审计结果体现出来的问题根源,对问题进行归类。如果意外事件出现,应及时提出解决办法,从而确保主要的业务过程和信息系统服务得以持续运作,并且可以维持资源、资产和信息损失在公司可以接受的范围内。中小企业应该定义和维持适当的经营过程控制,以保证通过这些过程处理的信息符合所有有关的信息系统审计风险管理需求,一旦数据异常可以快速识别出信息系统潜在的审计风险。
3.1.5 监测、评价、评估
中小企业的“监控、评价、评估”是指整个信息系统审计过程应该被定期评估,以体现其品质和满足控制需求。这一领域涵盖了业绩管理、内控监督、规章遵守以及政府强制执行。中小企业应该把信息系统审计结果整改表现和经营战略目标结合在一起,对风险进行测量和汇报。中小企业需要收集评价信息系统审计部门的指标,让信息系统审计的负责管理人员能够发现缺陷和低效的状况,并进行改善;评价审计过程是否遵守法规、政策和合同规定,确保审核并实现上述要求,以及实现信息系统合规以及整个公司的规范。中小企业要确保实施独立的信息系统审计活动,让管理层对公司信息系统进行全面、准确的认识。
3.2 治理系统的组件
COBIT2019 提出,要达到公司的治理与管理目标,必须建立一个包含多个构件的治理组件系统。基于COBIT2019 的中小企业信息系统审计框架包含以下7 个主要组成部分:
①流程。流程是描述一系列的实践和活动,以达到特定的目的,并且产生一套输出的内容,以支持整个信息系统的目标。中小企业信息系统审计应该根据企业信息系统应用情况制定有针对性的审计流程。
②组织结构。组织结构是企业的主要决策实体。大部分中小企业虽然没有专门的信息系统审计部门,但仍然应该针对每个信息系统审计项目搭建临时的完整组织结构。
③原则、政策和框架。原则、政策、框架是将理想行为转化为实用的日常管理指导。中小企业信息系统审计不应该只是照搬传统审计的一套原则、政策和框架,应该结合公司所用信息系统的特点总结出适用的信息系统审计工作指导框架。
④信息。在任何组织中,信息无处不在,包括企业生成和使用的全部信息,COBIT2019 侧重于有效运转企业治理系统所需的信息。中小企业则应该提高各相关部门的配合程度,使信息系统审计小组可以在权限内全面获取真实信息。
⑤文化、道德和行为。文化、道德、行为分为个人层面与企业层面,作为治理和管理活动的成功因素之一,其价值往往被低估。中小企业爆发信息系统风险的危害更为严重,所以无论是公司层面还是员工层面都应该不断提高对信息系统审计的重视度。
⑥人员、技能和能力。人员、技能、能力对作出正确决策、采取纠正行动和成功完成所有活动而言是必不可少的。中小企业虽然人力资源有限,较少公司拥有信息系统审计专职人员,多为兼职或外包,公司在组成信息系统审计小组时应该全方位权衡小组成员的数量、专业、能力等因素。
⑦服务、基础设施和应用程序。服务、基础设施、应用程序包括为中小企业提供信息系统审计的基础设施、技术和应用程序。
4 实施保障建议
第一,健全内控制度,建立健全的中小企业信息系统追踪审计制度。在这方面,建议按照COBIT2019 的规定,建立适合企业实际的信息系统跟踪审计体系,科学合理界定责任,加强对信息系统的监督和指导,合理地通过审计方式发现信息系统的各类情况,使得企业信息系统的合规审计有效地发挥作用。
第二,完善公司信息系统审计互评制度,同时,完善信息系统审计过程。而已建立COBIT 框架的企业在这方面可起到引领作用,号召业内采纳信息系统审计的公司进行沟通,建立一定规模、数目的同行审计机构与信息系统审计评估模式,分享成功经验与失败案例,实现流程与成果共享,使互评机制长期持续。
5 结语
中小企业信息化管理的主要目的,是通过对信息系统风险、资源和利益的均衡来达到企业的战略目标。中小企业要建立信息系统操作风险管理和信息系统风险评估系统。同时,通过信息系统审计加强对信息技术的风险和隐患的排查和治理。中小企业应该建立网络和信息安全突发事件的应急方案,并定期进行评估和演练,以不断地丰富突发事件的应对和改进方案。公司应确保其具有实施战略规划的适当能力,并提供充足、适当和有效的资源。由于各中小企业的信息化状况和所面临的问题不尽相同,所以本文的信息系统审计结论是否具有普遍性还有待于深入研究。