
2007年2月國務(wù)院國有資產(chǎn)監(jiān)督管理委員會和國務(wù)院信息化工作辦聯(lián)合印發(fā)了《關(guān)于加強(qiáng)中央企業(yè)信息化工作的指導(dǎo)意見》,加快了國有企業(yè)信息化建設(shè)的步伐。國有企業(yè)審計是中國特色社會主義國家審計的重要組成部分。由于企業(yè)與公共部門在內(nèi)部控制、管理和治理方面的差異,導(dǎo)致了企業(yè)信息系統(tǒng)審計與公共部門信息系統(tǒng)審計的不同特點。
一、增強(qiáng)國有企業(yè)信息系統(tǒng)的可信性
審計機(jī)關(guān)的審計目標(biāo)取決于法定要求。根據(jù)《中華人民共和國審計法》的規(guī)定,審計機(jī)關(guān)對國有企業(yè)財務(wù)收支的真實、合法、效益,依法進(jìn)行審計監(jiān)督。顯然,真實性是國有企業(yè)審計的目標(biāo)之一。信息系統(tǒng)審計是國有企業(yè)審計的重要組成部分。國有企業(yè)審計的總體目標(biāo),決定了國有企業(yè)信息系統(tǒng)審計的目標(biāo)。國有企業(yè)審計的真實性目標(biāo),必然要求國有企業(yè)信息系統(tǒng)提供真實性的信息,這意味著,審計機(jī)關(guān)的國有企業(yè)信息系統(tǒng)審計必須把真實性作為審計目標(biāo)之一。
根據(jù)相關(guān)法律的規(guī)定,注冊會計師也可以對國有企業(yè)進(jìn)行審計。根據(jù)我國公司法第165條的規(guī)定,“公司應(yīng)當(dāng)在每一會計年度終了時編制財務(wù)會計報告,并依法經(jīng)會計師事務(wù)所審計?!倍遥?008年10月通過的《中華人民共和國企業(yè)國有資產(chǎn)法》第六十七條明確規(guī)定,“履行出資人職責(zé)的機(jī)構(gòu)根據(jù)需要,可以委托會計師事務(wù)所對國有獨資企業(yè)、國有獨資公司的年度財務(wù)會計報告進(jìn)行審計,或者通過國有資本控股公司的股東會、股東大會決議,由國有資本控股公司聘請會計師事務(wù)所對公司的年度財務(wù)會計報告進(jìn)行審計,維護(hù)出資人權(quán)益?!贝蠹抑溃罁?jù)注冊會計師執(zhí)業(yè)審計準(zhǔn)則的規(guī)定,會計師事務(wù)所對企業(yè)財務(wù)報表審計的目的是“提高財務(wù)報表預(yù)期使用者對財務(wù)報表的信賴程度?!雹龠@說明,注冊會計師國有企業(yè)審計的目標(biāo)是要求財務(wù)報表提供的信息具有可信性。注冊會計師所審計的國有企業(yè)財務(wù)報表中的信息是由國有企業(yè)的信息系統(tǒng)產(chǎn)生形成的,因而必須對信息系統(tǒng)進(jìn)行審計。注冊會計師對國有企業(yè)財務(wù)報表審計的可信性目標(biāo),決定了注冊會計師對國有企業(yè)信息系統(tǒng)審計的可信性目標(biāo)。
同樣的審計對象,不同的審計主體,導(dǎo)致了兩種不同的國有企業(yè)信息系統(tǒng)審計目標(biāo)。從上述分析不難發(fā)現(xiàn),無論是審計機(jī)關(guān)還是注冊會計師對國有企業(yè)進(jìn)行審計,其中對企業(yè)信息系統(tǒng)的審計都是不可或缺的重要組成部分。根據(jù)審計法的規(guī)定,審計機(jī)關(guān)對國有企業(yè)信息系統(tǒng)審計的目標(biāo)是真實性。而根據(jù)注冊會計師執(zhí)業(yè)審計準(zhǔn)則,對國有企業(yè)信息系統(tǒng)審計的目標(biāo)是可信性。那么,什么是真實性?什么是可信性?這兩種目標(biāo)之間有什么樣的聯(lián)系和區(qū)別?為什么說審計機(jī)關(guān)應(yīng)當(dāng)把增強(qiáng)國有企業(yè)信息系統(tǒng)可信性作為審計目標(biāo)呢?
(一)真實性與可信性的基本涵義
我國審計法強(qiáng)調(diào)真實性,根據(jù)2010年9月頒布的中華人民共和國國家審計準(zhǔn)則(以下簡稱國家審計準(zhǔn)則)的規(guī)定,“真實性是指反映財政收支、財務(wù)收支以及有關(guān)經(jīng)濟(jì)活動的信息與實際情況相符合的程度?!蹦敲?,什么是真實性呢?真實性只是對財政財務(wù)收支及有關(guān)經(jīng)濟(jì)活動信息質(zhì)量的最低要求。如果會計信息是真實的,但是不夠完整或者披露不及時,仍然不能滿足信息使用者的需要,甚至?xí)?dǎo)致錯誤的投資決策。事實上,就真實性本身而言,由于會計估計、核算方法等因素的影響,會計信息的真實性也只是相對的,而不是絕對的。所以,把真實性作為審計目標(biāo),具有一定的局限性。所謂可信性,從國際審計準(zhǔn)則第200號(ISA200)可以看出,當(dāng)編制的財務(wù)報表公允表達(dá)(presented fairly)或真實公允(true and fair)時,它才是可信性的。從字面上講,公允(fair)或公平的要求,強(qiáng)調(diào)了財務(wù)報表各種使用者之間的利益平衡。從理論上講,公允表達(dá)或真實公允的概念比真實性概念具有更多的內(nèi)涵,涉及會計適當(dāng)性、適當(dāng)披露及審計責(zé)任等概念。在國際審計準(zhǔn)則第200號(ISA200)中,公允表達(dá)是指財務(wù)報表是否在所有重大方面按照適用的財務(wù)報告框架編制,“公允”還意味著超出財務(wù)報告框架所要求披露范圍的必要性,以及在極端情況下必須偏離財務(wù)報告框架的可能性。適用的財務(wù)報告框架,主要是指適用的會計法律法規(guī)、會計準(zhǔn)則、會計制度等。大家知道,我國會計法強(qiáng)調(diào)“保證會計資料真實、完整”。根據(jù)會計法的要求,我國的財務(wù)報表不僅要具有真實性,而且還要具有完整性??偟膩碚f,可信性并不否認(rèn)真實性,真實性是可信性的必要前提之一,但真實的并不一定是可信的,可信性的內(nèi)涵更加豐富,真實性是對財務(wù)信息質(zhì)量的最低要求,可信性反映了對財務(wù)信息質(zhì)量更高的要求。
?。ǘ┛尚判阅繕?biāo)反映了注冊會計師審計發(fā)展的新階段
一般認(rèn)為,受社會需求變化、自身技術(shù)手段及審計風(fēng)險等因素的影響,注冊會計師審計目標(biāo)的發(fā)展演變至今經(jīng)歷了四個階段,即20世紀(jì)30年代之前的查錯糾弊階段、30年代中期至80年代驗證會計報表真實公允階段、80年代至90年代中期真實公允與查錯糾弊并重階段,及90年代后期以來的增強(qiáng)信息可信性階段。雖然同為注冊會計師審計的目標(biāo),然而從歷史發(fā)展演變的角度看,真實性只是注冊會計師審計的早期目標(biāo),當(dāng)前注冊會計師審計準(zhǔn)則中的可信性目標(biāo)反映了注冊會計師審計的最新發(fā)展,是更高級發(fā)展階段的目標(biāo)。
?。ㄈ┛尚判阅繕?biāo)比“真實公允”具有更加廣泛的適用性
20世紀(jì)90年代后期,傳統(tǒng)的財務(wù)報表審計成為更為廣義的概念――“保證業(yè)務(wù)”(Assurance Service)的一個組成部分。我國注冊會計師協(xié)會譯為“鑒證業(yè)務(wù)”②。2004年國際會計師聯(lián)合會發(fā)布了《國際保證業(yè)務(wù)框架》,2005年1月1日生效。2006年我國制定了《中國注冊會計師鑒證業(yè)務(wù)基本準(zhǔn)則》,2007年1月1日起施行。鑒證業(yè)務(wù)是指注冊會計師對鑒證對象信息提出結(jié)論,以增強(qiáng)除責(zé)任方之外的預(yù)期使用者對鑒證對象信息信任程度的業(yè)務(wù)。鑒證對象與鑒證對象信息具有多種形式,主要包括:當(dāng)鑒證對象為財務(wù)業(yè)績或狀況時(如歷史或預(yù)測的財務(wù)狀況、經(jīng)營成果和現(xiàn)金流量),鑒證對象信息是財務(wù)報表;當(dāng)鑒證對象為非財務(wù)業(yè)績或狀況時(如企業(yè)的運(yùn)營情況),鑒證對象信息可能是反映效率或效果的關(guān)鍵指標(biāo);當(dāng)鑒證對象為物理特征時(如設(shè)備的生產(chǎn)能力),鑒證對象信息可能是有關(guān)鑒證對象物理特征的說明文件;當(dāng)鑒證對象為某種系統(tǒng)和過程時(如企業(yè)的內(nèi)部控制或信息技術(shù)系統(tǒng)),鑒證對象信息可能是關(guān)于其有效性的認(rèn)定;當(dāng)鑒證對象為一種行為時(如遵守法律法規(guī)的情況),鑒證對象信息可能是對法律法規(guī)遵守情況或執(zhí)行效果的聲明。不難看出,傳統(tǒng)的財務(wù)報表審計只是鑒證業(yè)務(wù)中的一種。鑒證標(biāo)準(zhǔn)隨著鑒證對象的不同,也從財務(wù)報表審計中按照適用的財務(wù)報表編制框架,如編制財務(wù)報表所使用的會計準(zhǔn)則和相關(guān)會計制度,擴(kuò)展到單位內(nèi)部制定的行為準(zhǔn)則、績效水平等方面。從其定義看,鑒證業(yè)務(wù)的目的在于增強(qiáng)除責(zé)任方之外的預(yù)期使用者對鑒證對象信息的信任程度。真實公允目標(biāo)是針對財務(wù)報表審計的審計目標(biāo),可信性目標(biāo)在概念外延上具有更加廣泛的適用性。可信性目標(biāo)不僅適用于對財務(wù)信息的可信性,而且還適用于非財務(wù)信息(績效信息)的可信性。對財務(wù)報表來說,如果它是真實公允的,即在所有重大方面是按照適用的財務(wù)報表框架編制的,它就是可信性;對于其他鑒證信息來說,如果它是符合適用的鑒證標(biāo)準(zhǔn),就是可信性的。企業(yè)內(nèi)部的信息系統(tǒng),現(xiàn)在已不僅僅是財務(wù)信息系統(tǒng),還包括各種業(yè)務(wù)和管理信息系統(tǒng)。與此同時,為滿足企業(yè)的業(yè)務(wù)需求,信息系統(tǒng)所提供的信息也不局限于財務(wù)信息,而且還包括許多非財務(wù)信息。所以,在國有企業(yè)信息系統(tǒng)審計中,把可信性作為國有企業(yè)信息系統(tǒng)審計的目標(biāo)比真實性目標(biāo)更加符合企業(yè)信息化發(fā)展的客觀要求。
?。ㄋ模┛尚判阅繕?biāo)反映了審計理論的深化和發(fā)展
可信性不是一個孤立的術(shù)語,它是新審計理論(或一組新的相互聯(lián)系的審計概念)中的一個關(guān)鍵性概念。隨著注冊會計師的業(yè)務(wù)從傳統(tǒng)的財務(wù)報表審計發(fā)展到鑒證業(yè)務(wù),傳統(tǒng)的審計理論也得到了深化和發(fā)展。大家知道,審計三方關(guān)系是指審計人、被審計人、審計授權(quán)或委托人之間的關(guān)系。傳統(tǒng)的受托責(zé)任論,即審計動因論,是建立在傳統(tǒng)的審計三方關(guān)系之上的。然而,在我國現(xiàn)行的《注冊會計師鑒證業(yè)務(wù)基本準(zhǔn)則》中給出了一種新的審計三方關(guān)系,即注冊會計師、責(zé)任方和預(yù)期使用者。在新的審計三方關(guān)系中,被審計人與審計授權(quán)或委托人之間責(zé)任關(guān)系的含義更加豐富,除傳統(tǒng)的受托責(zé)任關(guān)系外還有其他種類不帶委托性質(zhì)的責(zé)任關(guān)系③。在新的審計三方關(guān)系中,預(yù)期使用者應(yīng)包括企業(yè)所有的利益相關(guān)者,除了傳統(tǒng)受托責(zé)任關(guān)系中的股東外,還應(yīng)包括經(jīng)營者、員工、顧客、供應(yīng)商、債權(quán)人、潛在的投資者、監(jiān)管層、競爭者等。聘請注冊會計師的通常是預(yù)期使用者或其代表,但也可能是責(zé)任方。責(zé)任方、預(yù)期使用者和注冊會計師三方之間的關(guān)系,可以看作是信息提供者、信息使用者和信息可信性的保證者之間的關(guān)系④。增強(qiáng)信息的可信性,實際上是減少了信息提供者與預(yù)期使用者之間的信息不對稱,鑒于預(yù)期使用者的廣泛性,在市場經(jīng)濟(jì)條件下,將有利于完善市場機(jī)制,提高市場資源配置效率,從而拓展了審計的社會功能??尚判圆皇且粋€空洞的概念,鑒證對象信息是否具有可信性,需要執(zhí)行一定的業(yè)務(wù)程序。審計師在收集證據(jù)的基礎(chǔ)上,依據(jù)一定的標(biāo)準(zhǔn),檢查責(zé)任方的鑒證對象信息在所有重大方面是否符合適當(dāng)?shù)臉?biāo)準(zhǔn)后,才能為鑒證對象信息的可信性提供一定程度的保證,從而提供給預(yù)期使用者。鑒證業(yè)務(wù)的保證程度被細(xì)分為合理保證和有限保證,鑒證對象信息被劃分為財務(wù)信息和非財務(wù)信息,其中財務(wù)信息被進(jìn)一步細(xì)分為歷史財務(wù)信息和預(yù)測性財務(wù)信息??尚判愿拍钍沁@些新審計理論中的關(guān)鍵性概念之一,相比之下,真實性概念在新的審計理論中卻沒有相應(yīng)的理論地位。
?。ㄎ澹┛尚判阅繕?biāo)反映了國家審計的發(fā)展趨勢
在世界審計組織(INTOSAI)的道德準(zhǔn)則(Code of Ethics)中,強(qiáng)調(diào)了信賴(trust)、信任(confidence)、信譽(yù)(credibility)對于審計機(jī)關(guān)的至關(guān)重要性。在南非審計署1911至2011年百年紀(jì)念的紀(jì)念品和網(wǎng)站首頁上有一句格言:“Auditing to build public confidence”,即“審計旨在建立公共信任”。我國審計署2011年7月15日印發(fā)的《審計署關(guān)于深化經(jīng)濟(jì)責(zé)任審計工作的指導(dǎo)意見》中提出,要確保經(jīng)濟(jì)責(zé)任審計結(jié)果的可信、可靠和可用。劉家義審計長提出,國家審計是國家治理的一個組成部分??鬃釉唬骸白闶?,足兵,民信之矣”,“民無信不立”,說明了信任、守信在國家治理中的重要性。我們知道,“誠信友愛”是構(gòu)建社會主義和諧社會的基本要求之一。國家審計可以增強(qiáng)政府的公信力,增強(qiáng)整個社會的誠信。從國家治理的角度看,可信性目標(biāo)比真實性目標(biāo)更好地體現(xiàn)了國家審計在國家治理中的作用。
經(jīng)過上述真實性和可信性兩種審計目標(biāo)含義的對比,不難發(fā)現(xiàn),雖然真實性目標(biāo)是國有企業(yè)審計的傳統(tǒng)目標(biāo)之一,但是可信性比真實性的涵義更為豐富,可信性目標(biāo)中不但包含了真實性目標(biāo),而且可信性目標(biāo)要求信息系統(tǒng)提供更高質(zhì)量的信息。兩種目標(biāo)都對信息系統(tǒng)提供的信息質(zhì)量提出了要求,國家審計對信息質(zhì)量的要求不應(yīng)低于注冊會計師審計。因此,筆者認(rèn)為,盡管現(xiàn)行的審計法規(guī)定了國有企業(yè)信息系統(tǒng)審計的真實性目標(biāo),但是,從理論上講以及從未來發(fā)展趨勢看,審計機(jī)關(guān)應(yīng)當(dāng)選擇可信性作為國有企業(yè)信息系統(tǒng)審計的目標(biāo),即國有企業(yè)信息系統(tǒng)審計應(yīng)當(dāng)促進(jìn)企業(yè)信息系統(tǒng)提供可信的信息。
二、促進(jìn)國有企業(yè)信息系統(tǒng)的遵循性
最高審計機(jī)關(guān)國際組織(INTOSAI)在審計基本原則(ISSAI-100)中,把政府審計業(yè)務(wù)分為兩大類,即合規(guī)審計(regularity audit)和績效審計(performance audit),并制定了相應(yīng)的審計執(zhí)行指南,即財務(wù)審計執(zhí)行指南(Implementation Guidelines on Financial Audit)、遵循審計執(zhí)行指南(implementation guidelines on compliance audit)和績效審計執(zhí)行指南(Implementation Guidelines on Performance Audit)。在這個準(zhǔn)則指南框架中,合規(guī)性審計包括了財務(wù)審計和遵循性審計。遵循性審計是指對公共部門實體的活動是否與相關(guān)法律法規(guī)及授權(quán)要求相一致的審計。在《國際審計準(zhǔn)則第250號――財務(wù)報表審計中對法律法規(guī)的考慮》(ISA250)中,非遵循(non-compliance),是指被審計單位不履行法律法規(guī)責(zé)任或者違反法律法規(guī)的犯罪,故意地或者非故意地,與執(zhí)行的法律或法規(guī)對立的行為。在COSO內(nèi)部控制框架中,遵循性(compliance)作為內(nèi)部控制的目標(biāo)之一,是指符合適用的法律法規(guī)。由此看來,在上述準(zhǔn)則指南中,遵循性,就是我國國家審計中的合法性。但是,在本文中,作為國有企業(yè)信息系統(tǒng)審計的目標(biāo)之一,遵循性與合法性不同。
為滿足業(yè)務(wù)需求,對信息系統(tǒng)提供的信息有一般性的要求,在IT治理框架COBIT4.1中,這些要求也被稱之為信息標(biāo)準(zhǔn)(information criteria)。遵循性(compliance)作為其中的標(biāo)準(zhǔn)之一,是指“涉及業(yè)務(wù)流程與所需遵守的法律、法規(guī)及合同約定之間的符合程度的屬性,即外部的強(qiáng)制要求和內(nèi)部政策的遵循性。”⑤在本文中,遵循性作為國有企業(yè)信息系統(tǒng)審計的目標(biāo)之一,采用COBIT4.1中遵循性的概念,即國有企業(yè)信息系統(tǒng)的設(shè)計、建設(shè)、運(yùn)行和監(jiān)控不僅要符合來自企業(yè)外部的強(qiáng)制性要求(合法性),而且還應(yīng)符合國有企業(yè)內(nèi)部制定的各種規(guī)定的要求。
我國審計機(jī)關(guān)對國有企業(yè)的財務(wù)收支的真實、合法和效益,依法進(jìn)行審計監(jiān)督。合法性是國有企業(yè)審計的審計目標(biāo)之一。作為國有企業(yè)審計的重要內(nèi)容,信息系統(tǒng)審計應(yīng)當(dāng)促進(jìn)國有企業(yè)信息系統(tǒng)的合法性。那么,為什么我們要把國有企業(yè)內(nèi)部制定的各種規(guī)定同時也納入國有企業(yè)信息系統(tǒng)審計的目標(biāo)呢?企業(yè)內(nèi)部如何制定關(guān)于其信息系統(tǒng)的規(guī)定是企業(yè)自己的事情,似乎審計機(jī)關(guān)不應(yīng)干預(yù),但是,效益性也是國有企業(yè)審計的審計目標(biāo)之一。當(dāng)信息系統(tǒng)不符合國有企業(yè)某些內(nèi)部規(guī)定的要求時就會影響到企業(yè)效益,這些內(nèi)部規(guī)定,如內(nèi)部控制、管理和治理等,也應(yīng)納入國有企業(yè)信息系統(tǒng)審計的遵循性目標(biāo)范圍。
三、改善國有企業(yè)信息系統(tǒng)的績效性
績效性目標(biāo)是企業(yè)信息化不斷發(fā)展的產(chǎn)物。我國企業(yè)信息化建設(shè)已經(jīng)發(fā)展到了關(guān)注績效性的階段??冃阅繕?biāo)也是IT管理和IT治理的重要內(nèi)容。IT管理和IT治理的國際標(biāo)準(zhǔn)或良好實務(wù),為開展信息系統(tǒng)績效審計提供了審計標(biāo)準(zhǔn)。
(一)企業(yè)信息系統(tǒng)績效性的概念
當(dāng)企業(yè)信息化發(fā)展水平達(dá)到一定程度后,信息系統(tǒng)的績效問題逐漸引起了人們的關(guān)注。在企業(yè)信息化的早期階段,信息系統(tǒng)主要應(yīng)用于企業(yè)的財務(wù)會計領(lǐng)域,這時人們對信息系統(tǒng)關(guān)注的焦點主要是信息系統(tǒng)的可信性和遵循性問題,相應(yīng)的措施主要集中在內(nèi)部控制方面,強(qiáng)調(diào)信息系統(tǒng)的一般控制和應(yīng)用控制。隨著企業(yè)信息化水平的不斷提高,信息系統(tǒng)在企業(yè)中的應(yīng)用范圍逐漸從財務(wù)會計領(lǐng)域擴(kuò)展到整個業(yè)務(wù)領(lǐng)域和管理領(lǐng)域,與此同時,信息系統(tǒng)的建設(shè)投入和運(yùn)行成本顯著提高。這時人們發(fā)現(xiàn),大量的信息化投入并不一定能夠帶來預(yù)期的收益,而且還帶來巨大的潛在風(fēng)險,個別企業(yè)甚至因高投入造成利潤下降或財務(wù)危機(jī),有的企業(yè)因業(yè)務(wù)流程改造滯后,還會導(dǎo)致管理混亂。在這種情況下,人們對信息系統(tǒng)關(guān)注的焦點,逐漸從“投入”轉(zhuǎn)向“產(chǎn)出”,從技術(shù)和內(nèi)部控制問題轉(zhuǎn)向管理和治理問題,在企業(yè)內(nèi)部出現(xiàn)了專門的IT管理部門,IT管理和IT治理逐漸從企業(yè)的一般管理和治理中獨立出來,而“績效”是描述信息系統(tǒng)投入產(chǎn)出、管理和治理的核心概念。
信息系統(tǒng)的績效性是指利用IT資源提供企業(yè)信息服務(wù)的經(jīng)濟(jì)性、效率性和效果性。為它的利益相關(guān)者提供價值是企業(yè)存在的基本前提。企業(yè)信息系統(tǒng)的目的在于利用IT資源,通過IT流程,提供企業(yè)信息服務(wù),以滿足業(yè)務(wù)需求。信息系統(tǒng)要實現(xiàn)的績效目標(biāo)必須與企業(yè)的業(yè)務(wù)需求或業(yè)務(wù)目標(biāo)相一致。
(二)績效性目標(biāo)的可行性
從我國企業(yè)信息化發(fā)展階段看,目前信息系統(tǒng)的績效問題已經(jīng)成為關(guān)注的焦點。2011年2月,工信部電子一所和用友軟件股份有限公司聯(lián)合發(fā)布了《2010年中國企業(yè)信息化指數(shù)調(diào)研報告》。該報告將中國企業(yè)的信息技術(shù)應(yīng)用分為四個階段,分別為基礎(chǔ)應(yīng)用階段、關(guān)鍵應(yīng)用階段、擴(kuò)展整合及優(yōu)化升級應(yīng)用階段以及戰(zhàn)略應(yīng)用階段,如圖1所示。
該報告認(rèn)為,目前我國企業(yè)信息化總體上處于由基礎(chǔ)應(yīng)用和關(guān)鍵應(yīng)用向擴(kuò)展整合與優(yōu)化升級過渡階段。報告的主要結(jié)論之一是,2010年“信息技術(shù)應(yīng)用范圍的變化主要體現(xiàn)在應(yīng)用廣度和深度兩方面,企業(yè)基本完成了信息技術(shù)在各業(yè)務(wù)領(lǐng)域的應(yīng)用覆蓋,已逐漸開始深度關(guān)注企業(yè)業(yè)務(wù)發(fā)展需求,著力提升信息技術(shù)的應(yīng)用價值?!碧岣咝畔⑾到y(tǒng)的績效,也已經(jīng)成為我國企業(yè)信息化深度發(fā)展的方向。把績效性作為國有企業(yè)信息系統(tǒng)審計的目標(biāo),符合我國企業(yè)信息化發(fā)展的現(xiàn)狀,在現(xiàn)實中具有可行性。
(三)績效性是IT管理和IT治理的重要內(nèi)容
IT管理目的在于如何降低成本,以更好的彈性及更快的響應(yīng)速度,向組織內(nèi)外部顧客提供高質(zhì)量的IT服務(wù),提供顧客的滿意度。IT管理的目標(biāo)就是要追求信息系統(tǒng)的績效性,即經(jīng)濟(jì)性、效率性和效果性。
信息系統(tǒng)的績效性也是IT治理追求的目標(biāo)之一。在IT治理國際標(biāo)準(zhǔn)ISO/IEC38500(組織的信息技術(shù)治理)中規(guī)定了“績效”原則,即IT應(yīng)適合于支持組織的目的并提供服務(wù),服務(wù)等級和服務(wù)質(zhì)量應(yīng)滿足當(dāng)前和將來的業(yè)務(wù)要求。IT治理框架COBIT4.1有四個基本特征:以業(yè)務(wù)為中心、以流程為導(dǎo)向、以控制為基礎(chǔ)、以績效測評為驅(qū)動。在該框架中,績效測評是IT治理的關(guān)鍵,并且指出,“多項調(diào)研已經(jīng)表明,IT成本、價值和風(fēng)險管理缺乏透明是驅(qū)動IT治理最重要的一個因素。相對于其他關(guān)注的領(lǐng)域,提高透明度主要通過績效測評來實現(xiàn)。”⑥
?。ㄋ模┛冃徲嫷膮⒄諛?biāo)準(zhǔn)
IT管理和IT治理從企業(yè)管理和治理中獨立出來,為開展單獨立項的信息系統(tǒng)績效審計創(chuàng)造了條件。就像企業(yè)審計要關(guān)注被審計單位的管理和治理那樣,企業(yè)信息系統(tǒng)審計要關(guān)注被審計單位的IT管理和IT治理情況。IT管理和IT治理的國際標(biāo)準(zhǔn)或良好實務(wù),則為開展信息系統(tǒng)績效審計提供了審計標(biāo)準(zhǔn),也可以作為向被審計單位提出改進(jìn)建議的參照標(biāo)準(zhǔn)。常見的IT管理和IT治理國際標(biāo)準(zhǔn)有:ISO/1EC20000(信息技術(shù)――服務(wù)管理)、ITIL(信息技術(shù)基礎(chǔ)庫)、ISO/IEC38500(組織的信息技術(shù)治理)、COBIT4.1(信息及其相關(guān)技術(shù)控制目標(biāo))等。
四、維護(hù)國有企業(yè)信息系統(tǒng)的安全性
維護(hù)國有企業(yè)信息系統(tǒng)的安全,對于維護(hù)國家經(jīng)濟(jì)安全至關(guān)重要。隨著信息技術(shù)的發(fā)展和應(yīng)用,人們對信息系統(tǒng)安全性的認(rèn)識也不斷深化。正確理解信息安全的涵義,對于開展信息系統(tǒng)安全性審計具有重要的意義。
?。ㄒ唬┌踩阅繕?biāo)的重要性
根據(jù)1994年我國頒布的《中華人民共和國計算機(jī)信息系統(tǒng)安全保護(hù)條例》,維護(hù)計算機(jī)信息系統(tǒng)的安全性,就是要保障計算機(jī)及其相關(guān)的和配套的設(shè)備、設(shè)施(含網(wǎng)絡(luò))的安全,運(yùn)行環(huán)境的安全,保障信息的安全,保障計算機(jī)功能的正常發(fā)揮,以維護(hù)計算機(jī)信息系統(tǒng)的安全運(yùn)行⑦。從這里可以看出,信息系統(tǒng)的安全包括:信息本身的安全、系統(tǒng)設(shè)施設(shè)備的安全和系統(tǒng)運(yùn)行環(huán)境的安全三個層面。就三個層面的關(guān)系而言,信息是核心,系統(tǒng)設(shè)施設(shè)備及其運(yùn)行環(huán)境是保障,信息本身的安全是目的,系統(tǒng)設(shè)施設(shè)備的安全及其運(yùn)行環(huán)境的安全是手段。
國有企業(yè)信息系統(tǒng)安全是國家信息安全和經(jīng)濟(jì)安全的重要組成部分。為了保護(hù)中央企業(yè)信息系統(tǒng)的安全穩(wěn)定運(yùn)行,2010年12月,公安部和國務(wù)院國有資產(chǎn)監(jiān)督管理委員會聯(lián)合頒布了《關(guān)于進(jìn)一步推進(jìn)中央企業(yè)信息安全等級保護(hù)工作的通知》。據(jù)統(tǒng)計,截至2010年5月,已有89.6%的中央企業(yè)開展了信息安全等級保護(hù)工作,中央企業(yè)總計建成投入使用的信息系統(tǒng)有16 092個,已定級14 539個,占比90.3%;應(yīng)向公安機(jī)關(guān)備案的系統(tǒng)(二級及以上)有11 370個,已備案8 113個,占應(yīng)備案系統(tǒng)的71.4%;列入2010年定級計劃的有1 598個。中央企業(yè)在公安機(jī)關(guān)備案的信息系統(tǒng)總數(shù)約占全國信息系統(tǒng)備案總數(shù)的21%,第三、四級重要系統(tǒng)約占全國重要信息系統(tǒng)備案總數(shù)的30%⑧。這些數(shù)據(jù)表明,國有企業(yè)信息系統(tǒng)已成為國家信息安全的重要組成部分。《中華人民共和國企業(yè)國有資產(chǎn)法》第七條規(guī)定,“國家采取措施,推動國有資本向關(guān)系國民經(jīng)濟(jì)命脈和國家安全的重要行業(yè)和關(guān)鍵領(lǐng)域集中,優(yōu)化國有經(jīng)濟(jì)布局和結(jié)構(gòu),推進(jìn)國有企業(yè)的改革和發(fā)展,提高國有經(jīng)濟(jì)的整體素質(zhì),增強(qiáng)國有經(jīng)濟(jì)的控制力、影響力?!庇捎趪衅髽I(yè)集中在國民經(jīng)濟(jì)命脈和國家安全的重要行業(yè)和關(guān)鍵領(lǐng)域,如電信、電力、石油、石化等重要行業(yè),其重要信息系統(tǒng)已成為國家關(guān)鍵基礎(chǔ)設(shè)施,是國民經(jīng)濟(jì)命脈之命脈,保護(hù)國有企業(yè)信息系統(tǒng)的安全穩(wěn)定運(yùn)行,對于維護(hù)國家經(jīng)濟(jì)安全和社會穩(wěn)定具有重要的意義。
?。ǘ┬畔踩拍畹难葑?
根據(jù)我國計算機(jī)信息系統(tǒng)安全保護(hù)條例中的定義,計算機(jī)信息系統(tǒng)的安全性,包括信息本身的安全、系統(tǒng)設(shè)施設(shè)備的安全和支撐環(huán)境的安全。其中,信息本身的安全,即信息安全,是信息系統(tǒng)安全的核心和目的。那么,究竟什么是信息安全呢?
人們對信息系統(tǒng)安全性的認(rèn)識經(jīng)歷了一個不斷深化的發(fā)展過程。20世紀(jì)80年代美國國防部制定的《可信計算機(jī)系統(tǒng)評估準(zhǔn)則TCSEC》把保密性當(dāng)作信息安全的重點。20世紀(jì)90年代初由英、法、德、荷四國制定的《信息技術(shù)安全評估準(zhǔn)則ITSEC》開始把完整性、可用性與保密性作為同等重要的因素。自此,信息安全的概念,即信息的保密性、完整性和可用性,逐漸被普遍接受。在2002年發(fā)布的國際標(biāo)準(zhǔn)ISO/IEC17799:2000《信息技術(shù)――信息安全管理業(yè)務(wù)規(guī)范》中明確規(guī)定,信息安全,是指保護(hù):“保密性(confidentiality),即確保信息只能夠由獲得授權(quán)的人訪問;完整性(integrity),即保護(hù)信息的正確性和完整性以及信息處理方法;可用性(availability),即保證經(jīng)授權(quán)的用戶可以訪問到信息,如果需要的話,還能夠訪問相關(guān)資產(chǎn)?!比欢?005年發(fā)布的該國際標(biāo)準(zhǔn)修訂版即ISO/IEC17799:2005中,信息安全的定義,包括了七種安全特性:信息的保密性(confidentiality)、完整性(integrity)、可用性(availability)及其他屬性,如真實性(authenticity)、責(zé)任性(accountability)、不可抵賴性(non-repudiation)、可靠性(reliability)等,而且,這種修訂后的信息安全定義,被2007年發(fā)布的國際標(biāo)準(zhǔn)ISO/IEC27001(《信息安全管理體系――規(guī)范與使用指南》)引用。在學(xué)術(shù)界,有人認(rèn)為,信息安全的特性還應(yīng)進(jìn)一步包括可控性(controllability)、可預(yù)測性(predictability)、可審計性(auditability)、遵循性(compliance)等。
隨著信息技術(shù)的發(fā)展與應(yīng)用,信息安全的內(nèi)涵越來越豐富,從最初的信息保密性發(fā)展到保密性、完整性和可用性,進(jìn)而又發(fā)展到相關(guān)的真實性、責(zé)任性、抗抵賴性、可靠性等。相應(yīng)地,對企業(yè)信息安全的考慮,也從最初關(guān)注企業(yè)信息安全技術(shù)層面,發(fā)展到關(guān)注企業(yè)信息安全控制、管理和治理等層面。
?。ㄈ┱_理解信息安全涵義需要注意的幾個問題
1.信息安全與信息保密不同。從信息安全概念的涵義可以看出,信息保密與信息安全是兩個不同的概念,信息安全比信息保密的涵義更加豐富。盡管我國新修訂的保密法對涉密信息系統(tǒng)的保密問題作出了規(guī)定,但是保密法不能代替信息安全法。目前,我國對信息安全的立法仍然比較滯后,尚無專門的信息安全法。信息安全法是國家信息安全保障體系不可或缺的組成部分。
2.微觀信息安全與宏觀信息安全的聯(lián)系。企業(yè)信息系統(tǒng)的安全離不開系統(tǒng)運(yùn)行環(huán)境的支撐,系統(tǒng)環(huán)境包括物理環(huán)境和社會環(huán)境。從社會環(huán)境看,主要是指有關(guān)信息安全法律法規(guī)、安全意識、人才培養(yǎng)等。這就是說,微觀層面單個組織的信息系統(tǒng)安全,還離不開宏觀層面國家信息安全保障體系的構(gòu)建。與此同時,微觀層面的信息安全是基礎(chǔ),沒有微觀層面的信息安全,也就沒有宏觀層面的信息安全。
3.授權(quán)管理的重要性。信息安全的概念有三個核心涵義:保密性、完整性和可用性。這三個核心涵義都涉及一個共同的要素,即“授權(quán)”。保密性意味著只有獲得授權(quán)才能訪問;完整性意味著沒有授權(quán)不得對信息進(jìn)行刪除或修改;可用性意味著擁有授權(quán)者隨時可以使用。這表明,授權(quán)管理是信息安全管理的一項關(guān)鍵內(nèi)容。信息系統(tǒng)是一種人機(jī)系統(tǒng),授權(quán)管理主要涉及對人員行為的安全管理。
4.安全性目標(biāo)與遵循性、績效性、可信性目標(biāo)的聯(lián)系。從信息安全的涵義可以看出,信息系統(tǒng)的安全性目標(biāo)不同于其遵循性、績效性和可信性目標(biāo),但是,安全性與它們之間又是相互聯(lián)系的。首先,安全性必須滿足遵循性的要求,信息系統(tǒng)的設(shè)計、運(yùn)行、使用和管理可能要置于法律規(guī)定的和合同約定的安全要求的約束之下,特別是各種信息安全法律法規(guī)、保密法,以及知識產(chǎn)權(quán)、個人隱私權(quán)方面的法律法規(guī);其次,信息安全沒有絕對的安全,所有的信息安全都是風(fēng)險可接受條件下的安全,高水平的安全保護(hù)需要大量的投入成本,因而需要在成本、收益、風(fēng)險和安全之間進(jìn)行權(quán)衡,即安全性與績效性的聯(lián)系;最后,在信息安全技術(shù)層面,可信計算技術(shù)是信息安全技術(shù)的一個重要研究領(lǐng)域,從而表明安全性與可信性之間也有內(nèi)在的聯(lián)系。
筆者認(rèn)為,目前國際上制定的有關(guān)信息安全等級評估、信息安全風(fēng)險評估、信息安全管理體系等方面的國際標(biāo)準(zhǔn),無論是在理論概念還是在操作實務(wù)方面,對于我國審計機(jī)關(guān)開展信息系統(tǒng)審計都具有重要的借鑒價值。這些國際標(biāo)準(zhǔn)或良好實務(wù)可以作為審計的參照標(biāo)準(zhǔn),同時也可以作為審計機(jī)關(guān)向被審計單位提出改進(jìn)信息系統(tǒng)安全性建議的依據(jù)。同時,在對國有企業(yè)信息系統(tǒng)的安全性進(jìn)行審計時,還要立足我國實際,由于我國國有企業(yè)信息系統(tǒng)是國民經(jīng)濟(jì)命脈之命脈,事關(guān)國家經(jīng)濟(jì)安全和社會穩(wěn)定,在重視企業(yè)本身信息系統(tǒng)安全的同時,還應(yīng)當(dāng)從宏觀上揭示國有企業(yè)信息系統(tǒng)的安全風(fēng)險,維護(hù)國家經(jīng)濟(jì)安全。
最后應(yīng)當(dāng)指出的是,在審計實踐中,根據(jù)具體情況,單個審計項目可以選取上述可信性、績效性和安全性目標(biāo)中的一個或多個作為審計目標(biāo)。