企業(yè)內(nèi)部信息系統(tǒng)審計(jì)工作績(jī)效的評(píng)價(jià)指標(biāo)設(shè)計(jì)

◇付 玥 左曉亮

一、信息系統(tǒng)審計(jì)績(jī)效評(píng)價(jià)指標(biāo)的設(shè)計(jì)方法與原則

（一）指標(biāo)設(shè)計(jì)方法

平衡計(jì)分卡平衡了短期與長(zhǎng)期業(yè)績(jī)、外部與內(nèi)部業(yè)績(jī)、財(cái)務(wù)與非財(cái)務(wù)業(yè)績(jī)以及不同利益相關(guān)者的角度，包括：財(cái)務(wù)角度、顧客角度、內(nèi)部流程角度、創(chuàng)新與學(xué)習(xí)角度。由于平衡計(jì)分卡的戰(zhàn)略性、平衡性，本文采用平衡計(jì)分卡設(shè)計(jì)信息系統(tǒng)審計(jì)績(jī)效評(píng)價(jià)指標(biāo)。

（二）指標(biāo)設(shè)計(jì)原則

在設(shè)計(jì)信息系統(tǒng)審計(jì)績(jī)效評(píng)價(jià)指標(biāo)時(shí)，應(yīng)遵循以下設(shè)計(jì)原則：

1.結(jié)合IT治理的目標(biāo)。IT治理最重要的任務(wù)是，確保信息技術(shù)與各項(xiàng)業(yè)務(wù)的有效結(jié)合，使信息技術(shù)與企業(yè)戰(zhàn)略保持一致，促進(jìn)組織收益最大化與風(fēng)險(xiǎn)的最有效控制。

2.體現(xiàn)信息系統(tǒng)審計(jì)的價(jià)值。在設(shè)計(jì)評(píng)價(jià)指標(biāo)時(shí)，需要挖掘信息系統(tǒng)審計(jì)的確認(rèn)和咨詢(xún)活動(dòng)的價(jià)值，使評(píng)價(jià)指標(biāo)能夠體現(xiàn)信息系統(tǒng)審計(jì)的價(jià)值。

3.指標(biāo)能夠被衡量。每項(xiàng)指標(biāo)應(yīng)能夠被明確地衡量，且衡量采用的算法應(yīng)盡可能簡(jiǎn)便，以便于績(jī)效審計(jì)評(píng)價(jià)工作的開(kāi)展。

4.被認(rèn)可和接受。管理者對(duì)此的認(rèn)可度是評(píng)價(jià)體系被實(shí)施的前提，而員工對(duì)此的接受度是評(píng)價(jià)體系被實(shí)施的關(guān)鍵。

二、企業(yè)內(nèi)部信息系統(tǒng)審計(jì)工作績(jī)效評(píng)價(jià)指標(biāo)

根據(jù)平衡計(jì)分卡的工作原理，將信息系統(tǒng)審計(jì)工作績(jī)效分解為財(cái)務(wù)、客戶(hù)、內(nèi)部流程和學(xué)習(xí)創(chuàng)新四個(gè)維度后，結(jié)合上述指標(biāo)設(shè)計(jì)原則，設(shè)計(jì)出企業(yè)內(nèi)部信息系統(tǒng)審計(jì)工作績(jī)效的評(píng)價(jià)指標(biāo)：

（一）財(cái)務(wù)價(jià)值維度

從投入與產(chǎn)出的關(guān)系進(jìn)行分析，財(cái)務(wù)價(jià)值維度主要關(guān)注為企業(yè)節(jié)約IT成本和審計(jì)成本，為企業(yè)避免造成的損失和挽回的損失，以及引進(jìn)新IT項(xiàng)目產(chǎn)生的商業(yè)價(jià)值。具體指標(biāo)如下：

1.提高的收益

引進(jìn)的信息化項(xiàng)目投資回報(bào)率。信息系統(tǒng)審計(jì)作為企業(yè)實(shí)現(xiàn)信息化戰(zhàn)略的重要途徑之一，同時(shí)作為企業(yè)IT治理的組成部分，有義務(wù)確保信息技術(shù)與企業(yè)戰(zhàn)略保持一致。信息系統(tǒng)審計(jì)人員往往能夠從全局、多方位考慮，向企業(yè)高管層提出新的IT項(xiàng)目實(shí)施建議，推進(jìn)、引進(jìn)新技術(shù)，順應(yīng)時(shí)代發(fā)展變革，從而產(chǎn)生商業(yè)價(jià)值。

2.節(jié)約的成本

（1）IT成本節(jié)約額占管理費(fèi)用總額比率。信息系統(tǒng)審計(jì)人員通過(guò)審核采購(gòu)流程、盤(pán)點(diǎn)固定資產(chǎn)，發(fā)現(xiàn)其中存在的問(wèn)題，這些都是信息系統(tǒng)審計(jì)人員為企業(yè)節(jié)約的IT成本。

（2）信息系統(tǒng)審計(jì)成本占管理費(fèi)用總額比率。企業(yè)內(nèi)部審計(jì)成本控制是企業(yè)本著以最小的審計(jì)成本，最優(yōu)化合理配置企業(yè)資源的一種手段。改進(jìn)審計(jì)方法、整合審計(jì)資源、提高內(nèi)部審計(jì)人員的審計(jì)技術(shù)水平等，都是有效控制信息系統(tǒng)審計(jì)成本的途徑。

3.挽回（或避免）的損失

（1）操作系統(tǒng)經(jīng)濟(jì)損失降低率。操作系統(tǒng)是計(jì)算機(jī)系統(tǒng)的核心與基石，信息系統(tǒng)審計(jì)人員及時(shí)發(fā)現(xiàn)操作系統(tǒng)的管理漏洞和技術(shù)漏洞，能夠有效避免操作系統(tǒng)安全問(wèn)題帶來(lái)的損失。

（2）數(shù)據(jù)庫(kù)經(jīng)濟(jì)損失降低率。數(shù)據(jù)庫(kù)用戶(hù)管理、權(quán)限管理、角色管理、文件管理的安全性影響著存儲(chǔ)數(shù)據(jù)的安全性。審計(jì)人員發(fā)現(xiàn)的數(shù)據(jù)庫(kù)漏洞而降低的經(jīng)濟(jì)損失，是信息系統(tǒng)審計(jì)的績(jī)效之一。

（3）應(yīng)用系統(tǒng)經(jīng)濟(jì)損失降低率。應(yīng)用系統(tǒng)是普通員工所能接觸到數(shù)據(jù)的系統(tǒng)，也是員工將數(shù)據(jù)輸入的介質(zhì)，應(yīng)用系統(tǒng)的輸入、處理、輸出的完整性、準(zhǔn)確性對(duì)于系統(tǒng)而言至關(guān)重要。信息系統(tǒng)審計(jì)人員及時(shí)發(fā)現(xiàn)應(yīng)用系統(tǒng)的漏洞，降低漏洞可能造成的損失，是信息系統(tǒng)審計(jì)工作在財(cái)務(wù)方面的價(jià)值之一。

（4）提升IT服務(wù)的連續(xù)性和可用性所減少的損失。信息系統(tǒng)審計(jì)人員通過(guò)反饋企業(yè)的IT容災(zāi)、數(shù)據(jù)備份問(wèn)題，以及機(jī)房環(huán)境、網(wǎng)絡(luò)架構(gòu)部署問(wèn)題，提升IT服務(wù)的連續(xù)性和可用性，避免發(fā)生IT服務(wù)中斷事故而造成的商業(yè)損失。

（5）發(fā)現(xiàn)未遵守國(guó)家法律法規(guī)的行為，避免被罰款或遭受法律制裁。例如，使用未經(jīng)授權(quán)軟件會(huì)使企業(yè)面臨技術(shù)、商業(yè)甚至法律上的風(fēng)險(xiǎn)。審計(jì)人員發(fā)現(xiàn)此類(lèi)違法行為，能夠有效避免企業(yè)受到處罰，除了防止影響企業(yè)形象之外，間接地為企業(yè)節(jié)約了成本。

（6）查處利用信息系統(tǒng)進(jìn)行舞弊事件而挽回的經(jīng)濟(jì)損失。IT技術(shù)復(fù)雜程度高，相關(guān)人員利用信息系統(tǒng)技術(shù)漏洞和管理漏洞來(lái)進(jìn)行舞弊具有很大的隱蔽性，通過(guò)查處利用信息系統(tǒng)進(jìn)行舞弊事件，為企業(yè)挽回已發(fā)生的經(jīng)濟(jì)損失，這是信息系統(tǒng)審計(jì)的顯性?xún)r(jià)值。

（二）客戶(hù)維度

對(duì)于信息系統(tǒng)審計(jì)工作而言，董事會(huì)及審計(jì)委員會(huì)、企業(yè)IT部門(mén)、廣大員工都屬于客戶(hù)?？蛻?hù)維度具體可通過(guò)滿(mǎn)意度和貢獻(xiàn)度兩類(lèi)指標(biāo)來(lái)衡量：

1.客戶(hù)滿(mǎn)意度

客戶(hù)滿(mǎn)意度角度可根據(jù)以下兩項(xiàng)滿(mǎn)意度調(diào)查結(jié)果進(jìn)行量化，以衡量客戶(hù)對(duì)信息系統(tǒng)審計(jì)提供的服務(wù)的認(rèn)可：①董事會(huì)及審計(jì)委員會(huì)滿(mǎn)意度調(diào)查結(jié)果；②被審計(jì)者（IT部門(mén)）滿(mǎn)意度調(diào)查結(jié)果。

2.對(duì)客戶(hù)的貢獻(xiàn)度

（1）治理層、管理層對(duì)IT重視度的提升。信息系統(tǒng)審計(jì)工作人員將信息系統(tǒng)審計(jì)報(bào)告呈送相關(guān)治理層和管理層，讓他們認(rèn)識(shí)目前企業(yè)所面臨的IT風(fēng)險(xiǎn)、存在的IT問(wèn)題，對(duì)IT重視度的提升有一定的貢獻(xiàn)。

（2）員工對(duì)信息安全認(rèn)知的提升。員工是企業(yè)信息安全體系的重要參與者和落實(shí)者，提升企業(yè)信息系統(tǒng)的安全性是每名員工努力的結(jié)果，信息系統(tǒng)審計(jì)人員通報(bào)信息系統(tǒng)審計(jì)工作結(jié)果、分享信息安全案例、傳遞信息安全防護(hù)基本知識(shí)，從而提高員工對(duì)信息安全的認(rèn)知。

（3）對(duì)IT制度的優(yōu)化占比。通過(guò)IT內(nèi)部控制審計(jì)，信息系統(tǒng)審計(jì)人員能夠通過(guò)識(shí)別IT風(fēng)險(xiǎn)，改善風(fēng)險(xiǎn)管理水平，優(yōu)化IT部門(mén)業(yè)務(wù)流程，糾正IT部門(mén)日常工作，完善工作操作指引和崗位職責(zé)，從而提高業(yè)務(wù)競(jìng)爭(zhēng)力。

（4）信息安全事件發(fā)生次數(shù)。信息安全審計(jì)是信息系統(tǒng)審計(jì)工作的重要組成部分，目的是有效預(yù)防信息安全事件的發(fā)生。信息安全事件發(fā)生的次數(shù)不僅是衡量IT績(jī)效的重要指標(biāo)，也能夠有效衡量信息系統(tǒng)審計(jì)工作的績(jī)效。

（5）核心系統(tǒng)平均無(wú)故障運(yùn)行率。信息系統(tǒng)審計(jì)人員通過(guò)審查業(yè)務(wù)可持續(xù)性計(jì)劃、災(zāi)難恢復(fù)計(jì)劃和測(cè)試報(bào)告，發(fā)現(xiàn)其中的問(wèn)題，提出改進(jìn)建議，減少因重大事故造成業(yè)務(wù)中斷的時(shí)間，從而提高無(wú)故障運(yùn)行率，為使用者提供穩(wěn)定、高效的信息化環(huán)境。

（6）對(duì)內(nèi)審部門(mén)中財(cái)務(wù)審計(jì)等其他方向?qū)徲?jì)的貢獻(xiàn)。信息系統(tǒng)審計(jì)工作一開(kāi)始便是產(chǎn)生于對(duì)于財(cái)務(wù)審計(jì)的輔助功能，因此除了獨(dú)立地開(kāi)展信息系統(tǒng)審計(jì)項(xiàng)目之外，信息系統(tǒng)審計(jì)人員也會(huì)參與財(cái)務(wù)、工程等審計(jì)項(xiàng)目，為其他審計(jì)項(xiàng)目提供支持。

（三）審計(jì)業(yè)務(wù)流程維度

審計(jì)業(yè)務(wù)流程維度主要用于衡量信息系統(tǒng)審計(jì)工作的效率和效果，以保證高質(zhì)量和高效率的信息系統(tǒng)審計(jì)工作，具體可將該維度分為審計(jì)質(zhì)量和審計(jì)效率兩類(lèi)指標(biāo)進(jìn)行衡量：

1.審計(jì)質(zhì)量

（1）審計(jì)底稿、審計(jì)報(bào)告撰寫(xiě)質(zhì)量。一份高質(zhì)量的審計(jì)底稿，需要完整、真實(shí)、清晰地記錄審計(jì)過(guò)程，且抽樣合理。審計(jì)底稿和報(bào)告的質(zhì)量，反映了審計(jì)業(yè)務(wù)流程的規(guī)范程度和工作質(zhì)量。

（2）重大審計(jì)發(fā)現(xiàn)的數(shù)量。任何企業(yè)都無(wú)法做到盡善盡美，因此找到問(wèn)題不是難事，難的是找準(zhǔn)重大問(wèn)題。為避免審計(jì)人員為了完成任務(wù)而去發(fā)現(xiàn)大量小問(wèn)題，重大審計(jì)發(fā)現(xiàn)的數(shù)量成為績(jī)效評(píng)價(jià)指標(biāo)之一。

（3）審計(jì)建議被采納的比例。內(nèi)審部門(mén)除了關(guān)注發(fā)現(xiàn)問(wèn)題的情況，更需要關(guān)注審計(jì)所發(fā)現(xiàn)的問(wèn)題是否能夠被及時(shí)化解，這是衡量審計(jì)建議質(zhì)量的重要方面，也是審計(jì)結(jié)果是否被業(yè)務(wù)部門(mén)接受，從而真正為企業(yè)創(chuàng)造價(jià)值的根本所在。

2.審計(jì)效率

（1）審計(jì)計(jì)劃完成比例，即所完成的審計(jì)項(xiàng)目數(shù)量占計(jì)劃項(xiàng)目總數(shù)量的百分比，是衡量審計(jì)工作效率的重要指標(biāo)。

（2）審計(jì)工具的運(yùn)用情況。由于審計(jì)線索的隱蔽性、易逝性，審計(jì)取證的動(dòng)態(tài)性，審計(jì)人員運(yùn)用的審計(jì)工具越多，代表著信息系統(tǒng)審計(jì)越具有專(zhuān)業(yè)性、高效性，當(dāng)然審計(jì)成本也會(huì)隨之增加。

（3）用于IT確認(rèn)活動(dòng)與咨詢(xún)活動(dòng)的時(shí)間比例。IT確認(rèn)和IT咨詢(xún)活動(dòng)都是信息系統(tǒng)審計(jì)工作不可或缺的一部分，信息系統(tǒng)審計(jì)同時(shí)承擔(dān)著監(jiān)督和服務(wù)的責(zé)任，在工作中進(jìn)行合理的時(shí)間配比有助于信息系統(tǒng)審計(jì)資源的有效分配，提高工作效率，創(chuàng)造更大的價(jià)值。

（四）學(xué)習(xí)與創(chuàng)新維度

學(xué)習(xí)與創(chuàng)新維度主要用于衡量信息系統(tǒng)審計(jì)工作的持續(xù)發(fā)展能力，提倡創(chuàng)新的工作理念，以保證審計(jì)的工作質(zhì)量，提升審計(jì)人員素質(zhì)，具體指標(biāo)如下：

1.學(xué)習(xí)

為了及時(shí)發(fā)現(xiàn)并有效控制IT風(fēng)險(xiǎn)，IT人員需要不斷學(xué)習(xí)新的知識(shí)和技能。同時(shí)，企業(yè)信息化環(huán)境的不斷變化也對(duì)信息系統(tǒng)審計(jì)工作產(chǎn)生一定的影響，因此需要從以下兩方面衡量信息系統(tǒng)審計(jì)人員的專(zhuān)業(yè)能力：①信息系統(tǒng)審計(jì)人員年均培訓(xùn)時(shí)間；②審計(jì)人員教育程度、具有職業(yè)認(rèn)證的人員比例。

2.創(chuàng)新

（1）創(chuàng)新審計(jì)發(fā)現(xiàn)數(shù)量。在同一企業(yè)內(nèi)部，由于行業(yè)、管理的一致，不同子公司、不同IT項(xiàng)目存在的問(wèn)題具有一定的共性，同樣的問(wèn)題可能會(huì)多次反映在不同的報(bào)告中，容易在審計(jì)時(shí)產(chǎn)生思維定式，遺漏關(guān)鍵問(wèn)題。因此鼓勵(lì)創(chuàng)新、發(fā)現(xiàn)原來(lái)未曾發(fā)現(xiàn)的問(wèn)題，是信息系統(tǒng)審計(jì)工作績(jī)效所考慮的一項(xiàng)內(nèi)容。

（2）對(duì)信息系統(tǒng)審計(jì)程序的完善數(shù)量。信息系統(tǒng)審計(jì)程序的補(bǔ)充、增加、修改，都是對(duì)審計(jì)工作流程的貢獻(xiàn)，更是創(chuàng)新意識(shí)的驅(qū)動(dòng)結(jié)果。

三、結(jié)語(yǔ)

通過(guò)上述分析，本文在平衡計(jì)分卡的一般框架內(nèi)，根據(jù)信息系統(tǒng)審計(jì)的價(jià)值與工作流程，并依據(jù)指標(biāo)設(shè)計(jì)原則，設(shè)計(jì)了一套企業(yè)內(nèi)部信息系統(tǒng)審計(jì)績(jī)效評(píng)價(jià)的指標(biāo)，有利于信息系統(tǒng)審計(jì)工作績(jī)效評(píng)價(jià)體系的構(gòu)建，從而優(yōu)化內(nèi)部審計(jì)流程，提升信息系統(tǒng)審計(jì)效能，幫助企業(yè)增加價(jià)值。而在構(gòu)建和完善信息系統(tǒng)審計(jì)工作績(jī)效評(píng)價(jià)體系時(shí)，評(píng)價(jià)指標(biāo)如何進(jìn)行量化，權(quán)重如何分配，還有待繼續(xù)探索。

[1]陶蕓輝．IT審計(jì)風(fēng)險(xiǎn)評(píng)價(jià)與控制研究[D]．蚌埠：安徽財(cái)經(jīng)大學(xué)，2013．

[2]馮淑萍．IT審計(jì)時(shí)代背景下政策取向[J]．中國(guó)注冊(cè)會(huì)計(jì)師，2016(11)．

[3]何云海．淺議信息系統(tǒng)審計(jì)的特點(diǎn)[J]．內(nèi)控與審計(jì)，2013(03)．

[4]王海林．IT環(huán)境下企業(yè)內(nèi)部控制探討[J].會(huì)計(jì)研究，2008(11)．