摘要:当代信息技术高速发展,社会环境产生了一系列变化。对IT的应用日益广泛,业务依赖程度越来越高;IT投资规模巨大以及IT风险加剧等需求,有赖于对信息系统准则的理解与运用,传统审计无法完全跟上IT时代的审计使命,IT审计必将展开,而COBIT框架则应IT审计、治理之需而生。本文基于对COBIT框架的分析,继续深入研究国际相关信息系统准则,借鉴其方法与理念,研究如何更好地与我国实际情况相结合,加强IT审计从而推动我IT治理水平的不断提高。
关键词:COBIT,IT审计,IT治理
1 IT审计
1.1 概念
IT治理是公司治理的一部分,公司治理在《公司治理的基本原则》中界定如下:为确定组织目标和确保目标实现的绩效监控所提供的治理结构。IT治理理念最早由IBM引入中国,是公司治理在信息时代发展十分重要的部分,能够有助于IT应用更好地完成组织任务,从而确保组织目标实现不偏离且更有效。
IT审计是获取和评估证据的过程。其主要目标是确定和评估组织实施的风险管理环境和控制环境保证措施,并判断控制管理声明是否可靠,因此审计必须保持其独立性,检查和评估的第三方客观立场。
1.2 二者的关系
IT治理确定IT审计的目标和方向,并且IT审计获得证据来评估相关控件的有效性,以评估其对IT治理目标的遵守情况。IT治理必须在风险和收益之间找到平衡。通过IT审核,将不断提升其调整IT控制环境的能力,从而使组织可以在可识别,可控制和可管理风险的环境中最大化组织的利益。因此,我们不难看出IT审计既是IT治理的组成部分,也是IT治理的促进因素。
2 COBIT框架概述
自IT治理概念出现以来,国内外各界人士投入了大量精力研究IT治理框架,并提出了一些有效的实践模型和国际标准。其中较为成熟的模型有COBIT、ITIL、ISO/IEC17799等。对于COBIT而言,它是通过控制IT流程、资源实现企业IT目标,确保IT、信息系统的安全性、完整性,满足IT治理的需要。
2.1 COBIT
1)美国信息系统审计与控制协会ISACA于1996年颁布了COBIT(信息和相关技术的控制目标)。更新后的COBIT 2019结构、内容上都有了新的解释。新变化大致如下:
(1)设计因素:引入了更多驱动设计的因素,这些因素可以推动企业治理系统的设计(例如,企业战略,风险状况,IT角色,IT部署方法,威胁景观)。
(2)治理组件:企业的治理系统由不同类型的不同组件组成,这些组件必须整体协同工作,与COBIT 5支持者进行比较大大简化。
(3)重点领域:重点领域指南将适用于信息安全,信息和技术风险,中小型企业和Dev Ops等更多可能、可行和计划的,这些变化的详细描述可以在COBIT 2019框架中找到。
总之,COBIT 2019允许企业设计、运营和完善适合其需求的治理系统。精简、有效和高效的治理系统的设计基于许多设计因素。从早期版本COBIT(在大多数情况下为COBIT5)迁移到此新版本的影响与任何迁移非常相似,这意味着潜在的用户需要采取以下步骤:了解新版本并评估在多大程度上新功能或更改功能对企业有利;了解迁移所需的更改和相关工作;完成业务案例,通过所需的努力权衡潜在收益,并在取得积极成果的情况下,查看COBIT 2019实施指南以建立治理改进计划,包括适当的组织变更管理和计划管理。
2)COBIT与其他准则的关系及其优势
(1)COBIT与GTAG、FISCAM等准则的关系
COBIT、GTAG、FISCAM、COSO等准则是由不同的国家,不同组织、不同的机构发布的,其准则各自的适用的方面也各有不同,但这些国际准则在一定程度上有一致性。例如,准则关注的重点主要侧重于控制、安全以及服务。COBIT善于学习和借鉴业内已有的相关准则的优点,注重和其他准则的结合。其中,FISCAM与COBIT的准则角度比较接近,都是针对信息系统的控制方面。FISCAM包含一般控制、应用控制两大块,COBIT有基于风险的IT一般控制、IT服务、信息安全和内部控制等方面。同时,其更加注重不断学习吸收其他国际先进标准方法,与自身准则不断结合改进,优化自身结构,从而完善COBIT准则基于风险的IT一般控制、IT服务、信息安全和内部控制等方面的内容。除此之外,COBIT准则让不同用户根据自身不同需点,创造性结合COBIT与GTAG、与FISCAM等其他国际准则,从而更优实现审计目标,尤其是和信息系统相关的目标,更具优势。
简而言之,COBIT的优势有具有普遍公认的IT治理的良好实践,同时也是IT治理及相关标准和理念的集大成者。基于以上优势,我们选择COBIT。
3 COBIT框架在IT治理、IT审计的应用
3.1 基于COBIT标准的IT治理体系
实施IT治理的目标是帮助管理层建立IT战略,并且通过实施这些IT战略,促进组织、公司的发展。依据IT治理的目标的不同,IT治理大致划分为五个领域:战略匹配,价值交付,资源管理,风险管理和绩效评估。同时,COBIT为每个IT流程提供了各自的关键指标以及成熟度模型。构建COBIT标准的IT治理体系,通过对上述指标的监控和评估,能够确保IT决策及IT治理的成功。
3.2 基于COBIT标准的IT治理需改进之处
1)缺乏相对的重要程度划分。COBIT采用了层次结构的方法,依于此,IT流程分为了4个域:计划与组织,获取与实施,交付与支持和监控与评价;34个过程,比如COBIT4.1包含的34个信息技术过程控制,域和过程划分详尽,但是不足之处在于COBIT划分之中并未给出各个域、各个过程之间各自的关键度,以及域域、过程与过程之间的相对关键度。
因此,可考虑实施COBIT标准时,企业能够根据该模型计算和衡量出COBIT框架中不同域和过程的相对权重和影响度。如叶世绮、陈琳(2010)参照COBIT4.1标准34个IT过程涉及到的IT资源和信息准则,计算出四个域(PO,AI,DS,ME)的权重矩阵,进而建立改进的COBIT量化扩展模型(The Extended Framework Model)。
2)缺乏定量描述。COBIT侧重定性,这样的控制框架往往缺乏定量的描述。COBIT标准提出了管理办法指南,其中包括:成熟度模型、关键成功要素、关键目标指标。为了更好实现企业战略目标,高效整合企业控制信息系统和业务流程相关过程十分重要。但是从量化的角度来看,这样一个定性的控制框架,缺乏对量的描述。例如,COBIT4.1提供了成熟度模型,将IT过程划分为0,1,2,3,4,5这样六个成熟度等级,分别匹配文字描述各等级,但是对于成熟度的判断缺乏明确指标,这样一个限制,使得判断极易受主观因素影响,成熟度评价也不够精准,无法真实客观地反映组织情况,难以实现最初的目标,极易在过程中走偏。因此,可结合蛛网图、敏感性分析和回溯分析等评价方法综合运用,使得COBIT评价方法达到及定性也定量,评价方法更科学,结果更真实。
3.3 COBIT框架在IT审计的应用现状
COBIT框架是管理、控制企业信息化提供的一个标准,实现管理层与IT审计信息化之间的便捷高效沟通,从而完成治理目标。从而实现IT审计对企业治理信息化合理化评判。COBIT框架在IT审计应用中存在的问题:
1)缺乏符合我国IT审计的理论。COBIT框架毕竟是国际标准,且国外发展IT审计早于我国,较为成熟,生搬硬套COBIT框架运用到我国IT审计是行不通的。且随着IT时代的高速发展,信息技术不断发展系统也在不断优化改进,我国IT审计缺乏系统的法规、准则亟待解决。
2)缺乏IT审计相关人才。我国传统审计局面虽已实现向信息化不断转变,各大审计软件的运用业已普遍,但是还是基于传统的查账审计方式转为电子查账审计,提高效率,但未发生实质性的飞跃,也是制约IT审计发展的原因之一,也就缺少人才向IT审计发展。大致存在的问题如下:首先,企业组织等在对于IT审计认识不足,人员结构就不够合理;同时,企业普遍缺乏IT审计所需要的复合型人才的培训制度,同时,IT审计对于信息技术的要求本身存在一定难度。
3)缺乏符合我国IT审计的标准。目前,它尚未计划和制定一套可以与国际标准接轨或具有中国特色的IT审计标准和特定行业标准,因此目前的IT审计尚无明确的方向和标准。
3.4 COBIT框架在IT审计应用中改进建议
1)IT规划的审计。IT的规划组织的有效性直接影响信息系统的效能(稳定性、高效性、可靠性等)。未来IT审计越来越依赖信息系统,那么首先要确保其可靠性,否则反而影响安全性。同时,IT审计模块和财务模块的一致性和协调性也是应当一直建设和考虑的方面。
2)数据建设的审计。信息是审计赖以分析的源头,也是企业的重要资产,那么在IT审计时如何确保数据的安全,以及系统故障时有无备份、以及系统对于大量数据的支撑度,保密度都是需要考虑的。IT审计要突出数据建设的核心地位,确保数据安全、完整,以及应对特殊灾难的恢复措施,系统的日常维护等。信息系统审计若想达到传统审计所未曾企及的高质量,一定需要大量数据支撑,数据安全尤为重要。同时,要考虑系统支撑度。信息服务的有效实现依靠信息系统的支撑,所以对信息系统提出了新的要求。平时应当加强对信息系统的日常监管、维护、测试,以保证稳定性、可靠及可用性。
3)企业方面
(1)优化审计软件。虽然我国IT审计起步晚,审计系统开发完善一直是存在的问题。目前,IT审计软件应用不断改善,有了很大的进步,但是自动化程度不够高,需借鉴国外IT审计项目经验,探究开发应对不同企业特制的审计软件,是审计软件的便利性提高,提高自动化,同时考虑风险控制、风险管理的运用结合。
(2)培训和招聘复合IT审计人才。目前IT审计部门的人员种仍然缺少与计算机审计相关的专业人才,而且许多IT审计人员不具备计算机和审计的专业素质。公司在招聘人才时,可以有意识地并适当地增强对复合型人才的需求。对于没有相应知识的审计师,我们可以提供培训,定期的在职培训,日常检查,并培养具备软硬件维护能力,了解软件开发和设计以及理解审计实践的复合型人才,这样他们就可以发挥IT审计的作用。
(3)管理制度。企业内审应当注重对IT审计系统的评估。结合企业特点来确认系统需要有哪些节点和方面进行审计检测,对审计软件设置、日常管理等流程进行综合评估。
4)国家方面。对于IT审计缺乏的理论、准则,应当需要国家出台相关规范、系统的IT审计相关法规,针对政府部门、企业相关IT审计岗聘用制定任用标准,对IT审计从业人员评估层次、水平的鉴定提供统一参考标准。强化理论知识的学习,吸纳国际成功模型、准则,结合我国国情,制定本土化IT审计方案。
结束语
如今,随着信息技术的不断发展,社会大环境产生了一系列变化,例如:IT的应用日益广泛,业务依赖程度越来越高;IT投资规模巨大和ROI无法量化;IT风险加剧;IT业务沟通需要和外部严格的监管的需求等,COBIT的产生可以说是应需而生。我国需要立足国情,制定出一套科学系统的有关信息系统审计的准则与指南。同时,继续深入研究国际相关信息系统准则,借鉴其方法与理念,研究如何更好地与我国实际情况相结合。IT审计实质是检查、评估,具有判断IT控制是否可实现IT治理目标,是IT治理水平的提高的核心内容。要努力完善我国IT审计方面的法规和标准,发展IT审计从业人员,充分借鉴COBIT框架的内容,结合国情制定更灵活的评价标准,更好应对企业差异化,推动使得IT审计的高校应用,从而促进IT治理快速发展。
参考文献
[1]Steuperaert D.COBIT 2019:A SIGNIFICANT UPDATE[J].EDPACS,2019.
[2]刘颖(编译).关于IIA的GTAG-1[J].中国内部审计,2008(4).
[3]张文秀,齐兴利,黄溶冰.基于COBIT的信息系统审计框架研究[J].南京审计学院学报(4):29-34.