【摘  要】电力企业作为我国关系国计民生的重要基础行业，其信息系统的管理对整个企业至关重要。提高信息系统的管理和运行效率，对企业的资源配置和战略安排都有积极意义。本文基于COBIT下的信息系统审计管理框架进行研究，对于如何构建信息系统管理框架，各个构建部分所包含的内容和承担的作用等进行了一定分析，希望能对企业实际运用提供参考和借鉴。

【关键词】COBIT  信息系统  管理框架 

 

1 引言

提高信息系统资产的安全性，确保业务数据的完整性，提高系统的整体效率及合法性、合规性，如何在信息系统的建设、应用与持续发展过程中，进行管理、控制与审计就成为许多企业审计部门一个重要工作。因此，以判断信息系统是否有效做到保护信息资产、维护数据完整、完成既定目标且耗用资源最少的信息系统审计应运而生。通过对信息系统管理、控制与审计，使信息系统在其整个生命周期中与权益者对它的需求和前提条件相一致，并以合法的、高效的方式提供服务，以积极的方式影响组织机构的目标。

 

2 信息系统审计的定义

随着社会信息化程度的提高，信息系统逐渐渗透到社会经济生活的方方面面，信息系统不仅仅是计算机、通讯、网络及相关软件等技术部件的集成，它是数据、应用系统、技术、设施和人员的总和，信息系统的建设是一项庞大的工程，具有投资大、高技术、高风险的特点。因此，为了保证信息系统的安全、可靠与有效，需要开展以计算机为核心的信息系统审计。关于信息系统审计的定义，通常有以下几种：

日本通产省情报处理开发协会认为，信息系统审计是指为了信息系统的安全、可靠与有效，由独立于审计对象的信息系统审计师，以第三方的客观立场对以计算机为核心的信息系统进行综合检查与评价，向信息系统审计对象的最高领导提出问题与建议的一连串的活动。

美国学者Ron A· Weber在《信息系统控制与审计》一书中对信息系统审计的定义是：信息系统审计是一个获取证据，对信息系统是否能保证资产的安全、数据的完整，以及是否有效地使用了组织资源并有效地实现了组织目标做出评价和判断的过程。

国际信息系统审计与控制协会（ISACA）的定义为：信息系统审计是一个获取并评价证据，以判断计算机系统是否能够保证资产的安全、数据的完整以及有效利用组织的资源并实现组织目标的过程。

综上所述，本文对信息系统审计的定义如下：信息系统审计是对计算机为核心的信息系统通过一定的技术手段采集审计证据作出专业判断，对计算机信息系统的安全性、可靠性、有效性和效率进行综合审查与评价的一系列活动。

 

3 电力企业开展信息系统审计的重要现实意义

审计系统是整个监控和预警体系的关键组成部分，做好安全审计工作，能够增强电力企业对风险的预警能力和监控能力，也能够为防护体系和企业的内部管理体系提供客观、有效的改进依据。信息系统审计的目的是对信息的真实性、完整性、信息系统的安全有效性做出鉴证, 以合理保护信息使用者的利益。因此，开展信息系统审计对电力企业具有非常重要的现实意义。

信息系统的运行由一系列的人员行为和系统行为组成，信息系统审计是采集、监控、分析信息系统各组成部分的系统行为和操作行为的总过程。

 

4 选择COBIT作为信息系统审计管理框架的标准

COBIT(Control Objectives For Information and Related Technology)即信息及相关技术的控制目标，是由美国信息系统审计与控制协会(ISACA)在1996年推出了用于IT审计的知识体系，目前已成为国际上公认的最先进、最权威的信息技术管理、控制和审计的标准。

4.1 COBIT三维立体图包含的内容

COBIT将IT过程、IT资源及信息与组织的策略与目标联系起来，形成一个三维的体系结构，三个维度具体内容可以通过图1来表示:

 (1)信息准则维。集中反映了企业的战略目标，主要从质量、成本、时间、资源利用率、系统效率、保密性、完整性、可用性等方面来保证信息的安全性、可靠性、有效性。

(2)IT资源维。主要包括人、应用系统、技术、设施及数据在内的与信息相关的资源。

(3)IT过程维。则是在IT准则的指导下，对信息及相关资源进行规划与处理，从信息技术的规划与组织、采集与实施、交付与支持、监控四个方面确定信息技术处理过程。

 

4.2 COBIT相比其他信息系统标准所具有的优势

本文中信息系统审计管理框架基于COBIT的思想，从系统的角度出发，采用自上而下的方法，以控制目标为中心，用多层次控制目标指导对信息系统的控制和审计。这是因为COBIT与其他标准相比，具有以下三个方面的优势：

(1)COBIT的体系结构比较系统。COBIT特有的三维体系结构较其他相关国际准则更具系统性。COBIT框架将IT过程、IT资源及信息、企业的策略与目标联系起来，形成一个三维体系结构。这种层次分明的三维体系结构便于从纷繁的问题中明确目标、理清思路，指导各级审计人员开展信息系统审计工作。

(2)COBIT的内容比较完善。在各类IT治理标准中, ITIL关注于IT服务，BS7799针对信息安全，COSO则从内部控制的角度出发。COBIT的内容覆盖信息系统整个生命周期中的各个过程,可指导开展基于风险的过程导向的信息系统审计，涉及IT治理、内部控制、IT服务、信息安全等多方面。

(3)COBIT的国际认可度较高。COBIT经过十余年间多个版本的完善，从1.0版局限于审计，经过2.0版关注控制、3.0版关注管理，发展到4.0版上升至治理的高度，体现了信息系统审计研究和发展的过程，目前COBIT的最新版本4.1已比较成熟。而ITIL、BS7799的应用范围则有明确的范围限定。

5 基于COBIT下的信息系统审计管理框架应用

基于COBIT的信息系统审计体系框架给出了“管理指南”和“控制指南”，为每个过程定义了具体的管理关键成功因素、关键目标指标、关键绩效指标(KPI、KSF、KGI)及审计方针，并采用成熟度模型（CMM）来表示“过程的成熟度”，引入平衡经营记分卡以实现可跟踪的业绩衡量，评价企业目标实现情况以及IT绩效，使之可以通过对信息系统的过程、目标的控制与改善，进行持续的IT管理，不断提升信息系统的成熟度。

COBIT覆盖整个信息系统的全部生命周期，涵盖了战略、战术与操作的所有层次，使IT战略与组织战略紧密联系，为IT过程提供了管理的要素、标准和控制目标，使复杂的管理控制结构化、模式化，为信息系统的安全、可靠、效用与效率达到预定目标提供了保障，并为信息系统的审计提供了指导和基础，使审计工作切实可行，审计结论更有说服力和影响力。

5.1 基于COBIT下的信息系统审计管理框架

基于COBIT下的信息系统审计管理框架，由五个部分组成：控制目标、管理指南、审计指南、工具集、IT资源，五个部分的具体内容分别为：

(1)控制目标是“自上而下”地根据域、过程、任务活动三个层次对总体目标进行分解，确定具体控制目标，并给出详细的系统管理策略、措施及注意事项等。

(2)IT资源指主要包括以人、应用系统、技术、设施及数据在内的信息相关的资源。从信息技术的规划与组织、采集与实施、交付与支持、监控与执行等方面划分成不同的过程域，并对过程域进行逐层分解，形成更详细的信息技术处理过程的控制目标。

(3)工具集是用于处理的可供选择的辅助工具软件，具有可重要性，可以根据实际的处理流程进行组件的选择。

(4)审计指南是用于评价这些控制目标在信息技术处理过程实施是否得当，主要从可靠性、安全性和有效性三面进行审计，审计指南通常由审计标准、审计规范、执行指南等三层体系组成。审计指南为评估机构或信息系统审计师对信息系统进行分析、评估和实施审计提供了建议与指导。

(5)管理指南是控制目标在企业中的具体应用准则，以进行自我评价与选择，进而实施并完善对其信息技术及相关技术的控制。管理指南给出了度量信息系统安全、可靠与有效的指标体系，为管理者提供评估标准的度量模型。

其中控制目标是中心，管理指南、审计指南、工具集、IT资源，都围绕控制目标提供相应的建议和审计流程。

5.2 COBIT管理指南包含的内容和作用

COBIT在信息系统中的应用是在管理指南的指导下完成的。管理指南通过关键成功因素、成熟度模型、关键目标指标、关键绩效指标四个方面的有机作用，使企业中的信息资源得到有效的管理。

5.2.1 成熟度模型(Capability Maturity Model，CCM)

IT治理成熟度模型制定了一个基准，组织可以根据模型确定自己的等级，从而了解自身目前的水平。在此基础上确定组织的关键成功因素，通过关键绩效指标进行监控，并衡量组织是否能达到关键目标指标中所设定的目标。

5.2.2 关键成功因素(Key Success Factors，KSF)

关键成功因素为管理部门控制信息技术及其处理过程提高了实施指南。它们是信息技术处理过程中最关键的要素，是战略性、技术性的过程，勾画出了IT的控制轮廓。关键成功因素可以从标准控制和IT管理框架的目标与审计指南中获取。本文归纳出用于多数信息技术处理过程的关键因素。

关键成功因素是为提高处理过程的成功可能性所做的最重要的事，通常与组织的目标保持一致，是组织和处理过程的可观察可测量的特征，分布企业的战略层、技术层、应用层及组织的各个方面。

5.2.3 关键目标指标(Key Goal Index，KGI)

关键目标指标是指通过创建和维护一套处理和控制适当业务绩效的系统，来指导并监督IT传递的商业价值。关键目标指标是通过识别测定处理结果，营运过程的输出，在平衡计分卡上测定。平衡计分卡主要关注以下几个方面的经营情况：   

(1)、财务，包括预算和超支等情况，反映股东的利益。

(2)、客户，包括客户满意度，交货是否及时，服务价值等，反映客户利益。

(3)、内部处理过程，包括处理的质量与效果等，反映企业内部人员的利益。

(4)、学习和创新，包括雇员教育程度及技能基础等，反映企业的发展潜力。

5.2.4 关键绩效指标(Key Performance Index，KPI)

关键绩效指标对关键成功因素进行评价，通过监测某IT处理过程的执行情况，告诉管理层该处理是否满足其经营需求。关键绩效指标是IT处理过程的性能指标，表现为IT的实际业绩。通过有效性、保密性、完整性、可用性、一致性、可靠性等指标来测定IT的绩效。

关键绩效指标是处理过程执行程度的测定，预期将来成败的可能性，是先导性的目标，面向处理过程，但驱动信息技术，关注处理工程和平衡计分卡的学习单位，关注对对处理过程至关重要的资源。

 

6 结束语

    本文提出的构建基于COBIT下的信息系统审计管理框架，其管理指南给出度量信息系统安全、可靠与有效的指标体系，给出为管理者提供评估标准的度量模型；其审计指南为评估机构或信息系统审计师对信息系统进行分析、评估和实施审计提供了建议与指导，可以直接应用于信息系统审计，对我国开展信息系统审计具有很好的启示和指导作用。有利于企业对信息系统建设与应用过程的理解与分析，指导人们建立相应的管理机制，对信息系统实施有效的管理与控制。有利于信息系统的投资者和管理者在不可预测的IT环境下平衡风险与投资。另外，也能帮助审计人员明确审计轨迹，使他们作出的鉴证和报告更具说服力。(南方电网公司审计部)

 

参考文献

[1]唐志豪,冯占国,宋明霞.信息系统审计的业务模型构建[J].财会月刊,2010(6)

[2]洪杰,詹磊.审计系统在电力信息安全中的运用[J].信息网络安全,2010(8)

[3]张妍.信息系统审计方法研究[J].审计月刊,2010(11)

[4]胡晓明.企业IT控制基本框架构建研究[J].会计研究,2009(3)

[5]王振武.信息系统审计技术研究[J].东北财经大学学报,2009(4)

[6]王海燕.信息系统审计方法探寻[J].中国审计,2009(20)

[7]胡晓明.基于IT治理的我国信息系统控制与审计体系构建思考[J].科技管理研究,2008(9)

[8]金文,张金城.基于COBIT的信息系统管理、控制与审计的模型构建研究[J].审计研究,2005(4)

（本文内容仅为作者个人观点，不代表任何审计机关和本网站的观点，未经许可，不得转载）