——以A企业IT绩效审计为例
文/陈菲
最新的《中国内部审计准则》在《内部审计基本准则》第二条中对内部审计进行了如下定义:“内部审计是一种独立、客观的确认和咨询活动,它通过运用系统、规范的方法,审查和评价组织的业务活动、内部控制和风险管理的适当性和有效性,以促进组织完善治理、增加价值和实现目标”。
上述对内部审计的定义有以下标志性的含义:1.再次明确了内部审计在企业风险防范中的重要作用;2.强调内部审计职能已从传统的差错防漏型审计转向以风险为导向的提高企业运营效益的审计。
随着信息技术的迅猛发展,我国企业在信息系统构建方面的投资规模越来越大,信息系统也日渐成为企业运营中不可缺少的“基础设施”,信息系统审计便已成为内部审计无法回避的领域。
国际信息系统审计与控制组织(ISACA)将信息系统审计定义为一个获取并评价证据,以判断计算机系统是否能够保证资产的安全、数据的完整以及有效率地利用组织的资源并有效果地实现组织目标的过程。信息系统审计的价值在于通过评价和鉴证来优化企业的IT管理,防范信息化风险。然而,企业投资构建的信息系统是否能够为企业带来价值增值,是否有利于企业战略目标的实现等现实问题,仅通过传统审计和一般信息系统审计是无法得到有效解决的。
针对上述传统审计和一般信息系统审计在信息系统领域绩效评价方面存在的固有缺陷,本文探索性地提出适应当下企业环境的IT绩效审计概念。
IT绩效审计的现实意义
随着信息化大战略的不断推进,有效开展IT绩效审计具有很多现实意义:
第一,IT绩效审计是适应审计工作发展方向的。绩效审计既是一种审计类型,也是一种审计理念。IT绩效审计是传统IT审计的一个新方向。在IT审计中引入绩效评价的概念,有助于提升信息化管理的效能。使用统一的评价指标和标准,运用科学、规范的绩效评价方法,对信息化系统绩效目标及其实现程度进行综合性评价。
第二,开展IT绩效审计,能够保证企业信息系统运行良好,可以有效促进企业现代化管理水平,优化资源配置和利用。在降低技术人才的劳动强度、提高技术人才的脑力价值、改善员工工作环境、提高企业工作人员的工作效率方面,也具有显著作用。
第三,企业通过开展IT绩效审计,能够促进企业竞争力的提升,促进企业产品结构的调整,增强企业合作能力,形成新的经济增长点。在经济全球化背景下,中国企业要与国际企业开展交流与合作,离开信息化系统的支持显然是不能实现的。
IT绩效审计的理论分析
对于IT绩效审计这一概念,简单讲就是绩效审计与信息系统审计的有机结合,是对信息系统的经济性、效率性和效果性所作的评价与监督。从更深层次来看,是贯穿于信息系统整个生命周期的一系列过程的绩效审计,其目的主要是提高系统的整体运行效率,更好地满足企业发展需求。
IT绩效审计的目标:当信息系统成为经济活动所依赖的运行环境时,信息系统自身的安全性和可靠性,信息系统内控有效性对数据的真实性、完整性和准确性的影响,信息系统自身以及对满足企业运营的经济性、效率性和效果性则成为开展IT绩效审计的目标。
IT绩效审计的内容:IT绩效审计的目的是通过检查被审计单位信息系统顶层设计及建设实现的管理决策支持能力、经济业务协同能力、系统建设发展能力和信息系统贡献能力的提升,以及经济业务活动的效率、效果和效能的改善,揭示信息系统顶层设计和建设方面的不足,提出审计意见和建议,进一步促进信息系统的实际效能提升,为审计项目对系统建设绩效的审计评价提供支持。
信息系统绩效审计事项主要包括:信息系统总体绩效评价、管理决策支持能力的绩效评价、信息资源共享能力的绩效评价、经济业务协同能力的绩效评价、系统建设发展能力的绩效评价以及信息系统贡献能力的绩效评价。
开展IT绩效审计应当遵循以下原则:秉承绩效审计的3E原则,即IT绩效审计的经济性、效率性和效果性应当贯穿于审计始终;目标一致性原则,即绩效审计评价体系也应当与企业战略目标保持一致;适应性原则,即随着环境的变化和信息技术的发展,企业IT绩效审计方法也应随之做出改进和调整,以增强IT绩效审计的适应性;可行性原则。
A金融企业IT绩效审计案例分析
A公司为某集团全资子公司,是2011年10月经中国银行业监督管理委员会批准成立的非银行金融机构,为集团公司及成员单位提供委托贷款、票据承兑与贴现等各类金融业务。A公司为高风险金融类企业,集团审计部决定对A公司进行IT绩效审计。审计组针对A公司核心业务系统现状,分别从系统建设背景和项目目标;系统需求与设计的合规性和有效性;系统功能的实现情况;关联系统的数据对接情况;系统的服务能力、效率及运行能力5方面进行重点审计。
审计工作包括:一是识别A公司相关经济业务活动所依赖的信息系统。针对信息系统总体框架,对重点核心业务系统进行评估。二是调查A公司信息系统的技术架构、业务实现流程、数据运行流程、系统功能结构、信息资源结构、通讯网络结构、安全防护结构,以及应用部署模式等。三是根据IT绩效审计的审计方向和评价指标,检查A公司信息化建设的项目管理、投资管理和绩效评价情况,发现存在以下问题:系统设计逻辑存在缺陷,关键风险控制不到位,核心业务系统之间的交互数据校验控制不充分;系统开发规划性不足,可行性分析论证不充分;系统原始需求不细化,系统上线前测试不充分,导致部分系统重复建设;核心业务系统运维不到位,信息管理人员专业能力有待提高等。
审计组提示,作为金融企业,确保客户资金安全,防范金融风险是企业运营的首要任务。A公司上述信息系统相关缺陷已触发了多起等级较高的风险事件,对公司信誉和形象造成了不良影响,严重影响了A公司运营绩效,应当引起管理当局的充分重视。
案例启示及对IT绩效审计的展望
IT绩效审计是随着信息系统审计理论的不断发展和绩效管理的不断深入而逐步发展变化的。基于上述IT绩效审计的案例,我们可以得出如下启示:
首先,IT绩效审计需要在风险分析与评估的基础上,开展风险管理和绩效评价。重点内容在于风险识别、风险评估和风险管理。IT绩效审计不仅要关注信息系统本身,更要关注依托系统的业务流,强调信息系统在防范风险和提升效率方面的价值。在开展IT绩效审计时,风险防范要贯穿于整个审计过程始终,关注信息化管理的效果。
其次,IT绩效审计的目的和其所处的地位和角度的不同,使得企业关心的侧重点不同。IT绩效审计的对象既包括企业信息系统、企业信息化项目,又包括企业信息化发展战略。IT绩效审计本身不是目的,最终目标是为了支持决策。重点关注企业信息系统应用过程中能够导致企业经营活动、生产活动和管理活动发生变化的因素,涉及的内容既包括财务因素,也包括非财务因素。
最后,科学合理的IT绩效审计方法是获取绩效审计信息和取得审计结果的手段,有利于审计指标的建立和审计结果的达成。审计方法的发展经历大致经历了观察法、统计法、财务评价法、财务评价与非财务评价法相结合的四个阶段。
基于上述案例分析,IT绩效审计势必会为企业提高效益产生作用,基于此,我们对IT绩效审计的发展做出如下展望:
第一,IT绩效审计在中国处于起步阶段,随着信息系统审计在我国全面开展和广泛应用,IT绩效审计评价体系的确立、完善和共识将会逐步清晰。同时,按行业性质和企业规模划分的IT绩效审计评价指标将逐步清晰。
第二,我国IT绩效审计与发达国家相比相对落后,在IT绩效审计方面的法律法规和准则政策更是少之又少。随着国家对于IT绩效审计的不断重视和信息系统的大规模投入,IT绩效审计也显得越来越重要,国家相关法律体系的建设也将逐步加强,构建一套既适应于我国具体国情和企业实际情况,又能够保持与国际先进技术接轨的IT绩效审计评价体系,将会大大推动我国IT绩效审计评价工作的快速发展。
第三,培养高素质的IT绩效审计人才,客观公正地反映构建信息系统建设的效益情况,以预防信息系统盲目投资现象,从宏观上对我国信息系统建设有所促进和指导。
作者供职于北京汽车集团产业投资有限公司
