IS

IS审计流程在COBIT过程域中的实现
作者：周梅 徐耀庆
来源：《财会通讯》2011年第05期

        随着以ERP为代表的组织(企、事业单位)IS(InformationSystem，信息系统)的应用和普及，组织管理层越来越关注IS与公司业务战略的一致程度，IS本身的安全性、可靠性与机密性。美国《萨班斯——奥克斯利法案2002》(简称SOX法案)对评估组织的IT控制提出了很高的要求。从2011年开始，中国境内所有新上市的公司必须遵守中国的SOX法案。SOX法案要求上市公司选择并实施公认的内部控制框架，如COSO内部控制整体框架。该法案把增强组织业务流程管理及支持IS的内部控制整体水平作为目标，直接导致IS审计在中国企业界的飞速发展。

        IS审计是指审计内容中包含了对自动化信息处理系统、相关手工流程及两者间接口进行全部或部分检查及评价的任何审计。IS审计与传统的财务审计、绩效审计一样，称为审计的一个重要分支，这三类审计的交集即为综合审计。业务流程对信息技术的依赖，使得传统的财务审计和运营审计必须理解IT控制结构，IS审计师也必须理解业务控制结构。综合审计关注风险。风险分析的目标是理解和识别由企业及其环境引起的风险和相关的内部控制。在这个阶段，IS审计师的职责是理解和识别信息管理、IS基础设施、Ⅱ治理和IS运营等领域的风险，其他专业审计师则要了解组织环境、业务风险和业务控制。详细审计工作关注已存在的管理这些风险的相关控制。IS审计通常是预防和检查性控制的第一道防线，综合审计则合理评估其效果和效率。实务界通常把IS审计当作一个专项审计对待，采用规范的项目管理方法和技术来实施。IS审计的通用流程一般为获取、评价、符合性测试和证明。

        COBIT(信息及相关技术控制目标，Control Objectives forInformation andRelatedTechnology)提供了一个IT治理框架，以确保IS与业务保持一致，IS促使业务实现利益最大化，IT资源得到有效使用以及IS风险得到适当管理。COBIT框架通过域和流程控制来提供最佳实践，并采用易于管理的逻辑结构描述活动。COBIT最佳实践代表了专家意见。COBIT4.1把34个IT控制流程组合到四个控制域中：计划与组织(PO)、获取与实施(AI)、交付与支持(DS)、监督与评价(ME)。这34个控制流程又可进一步细分为310多个详细控制目标，这些详细的控制目标为应当实施何种具体的控制措施提供了参考。在“计划与组织(PO)”过程域的控制流程有13个，第一个是POl，即定义组织IT战略计划。以下为P01为例，详述IS审计流程的实现。

        PO1的高级控制目标是控制Ⅱl过程——定义IT战略计划，以满足信息技术机会与IT业务需求的最佳平衡，同时确保其将来能实现。P01的控制目标均可通过以下四个流程来进行审计：

        一、获取对业务需求有关的风险以及对相应控制措施的理解

        IS审计师通过调研，将控制目标下的相关活动用文档记录下来，对组织声称已实施的控制措施与程序进行识别，并且确认其存在。与相关的管理者和员工进行会晤，以理解业务需求和相关的风险、组织结构、角色和职务、政策和程序、法律和法规、已有的控制措施和管理报告(状态、性能、行动项目)等。

        在PO1中，IS审计师通常用文档记录与过程相关的IT资源，特别是那些被审计的IT过程所影响到的IT资源。确认理解了待审核的过程，过程的关键性能指标KPI、实际的控制情况。例如：(1)会见组织的CEO＼COO＼CFO＼CIO＼IT 策划、指导委员会成员。IT自身管理人员和人力资源部门的职员；(2)搜集与策划过程有关的政策与程序，执行管理层的指导角色与职责；组织目标、长期计划与短期计划；IT的目标、长期计划与短期计划，状态报告、策划、指导委员会会议累计用时等信息。

        二、评价组织已有控制的适宜性

        IS审计师通过考虑IT或业务政策和程序是否使用了结构化的计划编制方法，对组织采取的控制进行评价。这种方法用来明确的表达和修改计划，并且计划中最少要包含组织使命与目标、支持组织使命与目标的IT初始阶段、IT初始阶段的时机、对IT初始阶段的可行性研究、对IT初始阶段的风险评估、最佳的当前与将来的IT投资、对IT初始阶段进行再工程，以适应企业使命与目标的变化、对可选的数据应用，技术和组织战略的评价等。在PO1中具体的评价内容包括：(1)组织变革、技术进步、需求调整、业务流程重组，人员配置，内部的外包项目等在计划制定过程中是否得到了考虑和充分的表述。(2)IT项目是否有合适的文档支持，这些文档在IT计划编制方法中有规定；安排有检查点，以确保IT目标、长期和近期计划持续满足组织的目标、长期和近期计划。(3)过程所有者与资深管理层是否评审和签署IT计划。书面评审文件中是否存在IT计划评估现有信息系统，使用业务自动化程度、功能性、稳定性、复杂性、成本、优势和不足的术语。(4)组织是否存在信息系统和其支撑基础的长期计划的缺乏，导致不能支持企业目标和业务过程，或者无法保证合适的完整性、安全性和控制。

本文来源：https://www.2haoxitong.net/k/doc/813d5d584431b90d6c85c774.html