信息系统审计——为有价值的事物增值

信息系统审计——为有价值的事物增值

时间:2020-03-23 12:13 作者:admin 点击:
阅读模式 信息系统审计——为有价值的事物增值

CIA内审师小站

发布时间:19-09-22 03:03

我来自一个不富裕的单亲家庭,由母亲一手抚养长大。小时候,母亲时不时会带回家一件新衬衫或一条新牛仔裤,并告诉我它们非常的超值!我必须承认,当时我看不到那些衣服“值”在哪儿。我唯一的想法是,我不得不穿着那些衣服,走到爱尔兰都柏林北区的穷街陋巷上去!这件事说明了什么呢?立场不同,人们看到的价值也不尽相同。

在商业领域亦是如此。企业有许多利益相关方,而“创造价值”对各方而言,有着不同的——有时甚至是互相冲突的含义。既然如此,我们该如何利用IT审计来创造价值?

01

定义价值

内部审计不能为企业定义价值。这是治理层的一项职能。治理系统在做出利益、风险和资源评估决定前,应考虑所有利益相关方,坚持决策前三问:为谁带来利益?由谁承担风险?需要哪些资源? 换句话说,创造价值就是在优化风险的同时,以最佳资源成本实现效益(图1)。

2

目标级联

利益相关方的需求可以通过使用平衡计分卡(BSC)等方式与企业目标相关联。这些需求又通过IT平衡计分卡(IT BSC)级联到IT相关目标。最后,与IT相关的目标被级联到赋能因素目标(图2)。赋能因素指单独或共同影响某事物是否有效的因素。

如果赋能因素影响到某事物是否有效,并且可以追溯到利益相关方的需求,那么可以通过审计这些赋能因素来检查某个标准或某套准则是否得以遵守,记录是否准确,或效率与效果是否达标,从而增加价值。

当然,这里有一个潜在的问题:如果企业没有采用COBIT 5呢?如果(很可能)没有目标级联呢?好消息是,可以进行反向操作。如果企业的IT流程映射到COBIT 5流程参考模型,生成的COBIT 5流程可用于确定与IT相关的目标。这些目标继而可用于确定企业目标。

例如,业务连续性可以映射到COBIT流程交付、服务和支持(DSS)DSS04 管理连续性,从而映射到IT目标ITG07 根据业务需求交付服务,继而又映射到企业目标EG07业务服务的连续性和可用性。请注意,这个方法生成的是通用IT和企业目标,这些目标可以也应该由高级业务和IT经理进行调整。随后,企业应该决定这其中哪些能为企业最大程度增值。

3

赋能因素

COBIT5框架描述了七类赋能因素(图3):

1.原则、政策和框架是将日常管理的预期行为转化为实用性指导的载体

2.流程描述了一组有条理的惯常做法和活动,以实现某些目标,并生成一系列有助于实现与IT相关的总体目标的产物。

3.组织结构是一个企业的关键性决策实体。

4.作为治理和管理活动中的成功因素,个人和企业的文化、道德和行为的作用往往被低估。

5.信息在任何组织中都是普遍存在的,包括企业产生和使用的所有信息。信息是保持组织良好运行和治理所必需的,但在操作层面上,信息往往是企业自身的关键产品。

6.服务、基础设施和应用程序包括为企业提供信息技术处理和服务的基础设施、技术和应用程序。

7.人员、技能和能力皆与人相关联,是成功完成所有活动、做出正确决策和采取纠错行动所必需的。

4

审计赋能因素

目前,看过IS审计基础知识专栏的读者可能在期待ISACA出台关于创建审计方案的白皮书,这确实有用。但是,我认为,白皮书中建议的审计方法最适用于赋能因素6,即审计互不相连的基础架构、技术或单个应用程序。由于这种方法纯粹基于风险,通常导致在与控制相关的背景下阐述审计目标。例如,在关于创建审计程序的文章中,为审计目标提供的范例是“确定程序源代码是否在定义清晰且受控制的环境中发生更改”。

为满足所有利益相关方的需求,鉴证业务应考虑三个价值目标:提供支持战略目标的优势、优化战略目标未能实现的风险以及优化实现战略目标所需的资源水平。为了实现这些目标,我建议采用基于COBIT5的通用鉴证业务方法(图4)。这种方法与普遍接受的审计标准和实践一致,包括在创建审计程序文档中所定义的阶段,即:

阶段A—规划和界定鉴证业务范围(规划)

阶段B—了解任务主题,制定适当的评估标准并进行实际评估(实地调查/建档)

阶段C—传达评估结果(报告/跟进)

此外,它参考了COBIT 5目标级联,以确保鉴证业务的详细目标可以用于企业和IT环境中,同时使鉴证目标与企业及IT的风险和利益产生关联。

除了《COBIT 5 鉴证业务指导》(COBIT5 for Assurance)中对此流程作了详细描述外,在总共37个COBIT 5流程中,ISACA还利用这一方法为其中的34个流程制定了审计/鉴证方案。这些方案应用于横向审计(即多个不同应用程序执行相同的流程),鉴证业务不仅可以创造企业价值,而且可以展现出与企业价值的连接。

作者简介:

伊恩·库克(Ian·Cooke),CISA, CRISC, CGEIT, COBIT 评估师与执行人,CFE, CPTE, DipFM, ITIL 基金, Six Sigma Green Belt 作者是An Post(爱尔兰邮政,位于爱尔兰都柏林)的小组IT审计经理,在信息系统的各个方面有着30年的经验。

库克曾在ISACA的多个委员会任职,目前是ISACA的CGEIT考试考题开发工作组的成员。他是ISACA知识中心的Oracle数据库、SQL Server数据库以及审计工具和技术讨论的社区领导者。

库克为2016年工作实践中使用的CISA复习手册的更新提供了大力支持,是ISACA的CISA和CRISCTM在线复习课程的专家。因对ISACA出版物和认证培训模块的开发和改进做出的贡献,于2017年获奖。

声明:除发布的文章无法追溯到作者并获得授权外,我们均会注明作者和文章来源。我们重在分享,尊重原创。如作者见到请及时联系我们,我们在得到您的授权后重新发布或第一时间删改,谢谢