COBIT 标准对我国开展信息系统审计有很好的启示和指导作用

[摘　要]COBIT标准是目前国际上公认的最先进、最权威的安全与信息技术管理和控制的标准。COBIT标准不仅为人们提供了信息系统控制目标和信息技术标准,而且提供了信息系统的审计指南。COBIT 标准对我国开展信息系统审计有很好的启示和指导作用。
在信息化时代,我们拥有极大的信息系统审计需求市场,信息系统审计已成为审计发展的新动力和新方向。然而我国信息系统审计的发展现状还不能适应时势的需要,尤其是在推行基于国际性的标准COBIT 上的研究和实践缺乏。为此,我们应在全面把握我国信息系统存在问题的前提下,采取有效的对策,以适应大规模的信息化建设的需要。　　
一、问题的提出信息及相关技术控制目标标准(Control Ob2jectives for Information and related Technology , CO2BIT) 是美国信息系统审计与控制协会( InformationSystem Audit and Control Association , ISACA) 的信息技术治理学会( Information Technology GovernanceInstitute ,ITGI) 基于其原有的控制目标体系,结合并改进现有的正在发展中的其他国际技术标准和工业标准而制定的控制目标体系,为IT 的治理、安全与控制提供了一个一般适用的公认标准。自1996 年问世以来,目前已经更新至第四版,是国际上最先进、最权威的安全与信息技术管理和控制的标准,已在全世界100 多个国家的重要组织与企业中运用,指导这些组织有效利用信息资源,有效管理与信息相关的风险。最新版本COBIT 4. 0 更注重帮助董事会和员工应对不断增加的职责,包括面向公司董事会和各级管理层适用的指引,由四部分组成,即管理人员概述、框架、核心内容(控制目标、管理方针和成熟模式) 和附录(图表、前后参照和术语表) 。核心内容依据34 项IT 流程来划分,全面介绍了如何控制、管理和测量每个流程。另外,COBIT 4. 0 分析如何将具体的控制目标划入五项IT 管理领域,以识别潜在缺口; 令COBIT 标准与其他标准( ITIL 、CMM、COSO、PMBOK、ISF 和ISO17799) 协调一致;阐述关键目标指标(key Goal Indicator ,KGI)和关键绩效指标(key performance indicator ,KPI) 之间的关系,说明KPI 如何推动实现KGI ;结合业务目标、IT 目标和IT 流程。COBIT 标准不仅为人们提供了信息系统控制目标和IT 标准,而且提供了信息系统的审计指南。它为信息系统审计师提供了较为系统的评估指标,从而规范信息系统审计师的审计思路,而且它提供的控制矩阵、管理明确诊断表和风险评估表等科学的手段,让信息系统审计师合理评估审计风险,从而大大降低审计风险,提高审计质量。COBIT 标准对我国开展信息系统审计有很好的启示和指导作用,我国应大力推行基于COBIT 标准的信息系统审计。　　
二、我国信息系统审计存在的问题
1. 审计人才缺乏信息系统审计是会计、审计、信息系统、网络技术与计算机应用的交叉学科。开展信息系统审计,要求审计人员具有复合型的知识结构,既要掌握财会、审计知识,又要掌握信息系统、计算机与网络技术。但我国现在大部分审计人员并不熟悉计算机是如何进行经济与会计业务处理的,不知道计算机处理与网络技术的运用有什么风险、怎么样的控制才能有效降低这些风险,也不掌握如何对计算机信息系统进行审计或利用计算机和网络技术进行审计。计算机技术人员虽然对计算机和网络技术比较熟悉,但他们又不熟悉会计、审计知识,不知道要审什么、该怎样审。而开发实用性和通用性较强的审计软件所需要的高层次、高水平的人员也很缺乏。
2. 法律法规不完备在信息化条件下,审计方法、对象、技术都发生了很大的变化,传统的审计准则体系、法律法规体系已不能完全适应、指导和规范信息系统审计的实践,而新的关于信息系统审计的程序标准、准则和法律还没有出台或并不完备,有些甚至还是完全空白。例如,电子凭证、电子合同、数字签名等的法律效力和保存要求;数字认证机构的认定及其法律责任;计算机犯罪适用的法律;在信息系统审计中审计机构的权力、责任和被审计单位的义务等。从近年情况看,我国的信息系统审计制度建设工作才刚起步,尽管国务院办公厅、审计署、注册会计师协会等机关和组织颁布或制定了一些准则和规范,但是,这些准则和规范还不完善,没有形成系统性和结构性。不仅缺乏对信息系统开发和系统功能审计方面的规范,还比较概括、笼统,没有相应的实施细则。对信息系统审计尚处于摸索阶段的我国审计人员来说,显然还缺乏具体的指南。
3. 技术水平落后信息技术的高速发展与广泛应用使企业交易事项的大部分内容由系统自动运作完成,人工轨迹遗留较少,传统审计线索荡然无存。这就要求信息系统审计必须参与和融入信息系统的设计过程,在执行测试时必须穿越信息系统,以确保对连续监督程序和输出结果的控制。在我国信息系统的设计与开发中,尚不具备充分的保留和提供审计线索的功能。审计人员完全处于被动地位,难以获取充足的审计证据支持其审计结论,难以保证信息系统环境下的审计质量。　　
三、发展我国信息系统审计的对策从上述对我国信息系统审计存在的问题的概要分析中,作者认为,响应国际发展趋势,在信息系统控制和审计领域推行COBIT 标准无疑具有美好的发展前景。具体实施时可针对以下几个方面进行改进。