基于COBIT2019的中小企业信息系统审计框架研究

来源:用户上传      作者:任艺

　　【摘 要】信息系统现已成为中小企业的主要部分，而信息系统审计则是一种有效的信息系统风险防范措施。论文提供基于COBIT2019标准的中小企业信息系统审计架构，以使得中小企业的信息系统在实际使用中更加安全与有效，进而为中小企业信息系统审计工作提供一定的参考。
　　【关键词】COBIT2019;信息系统审计;审计框架
　　【中图分类号】F239.4;F276.3 【文献标志码】A 【文章编号】1673-1069（2022）06-0099-03
　　1 引言
　　目前，信息系统已成为各公司支持业务运作、实现业务目标的重要保证，也是公司在客户服务和业务创新中的重要优势。信息系统在为公司提供多种竞争优势、经济利益的同时，也会产生各种风险。一旦发生安全性问题或数据泄露，将会给公司尤其是中小企业带来很大的损失。通过对信息系统的审计，可以准确地反映公司信息系统是否能够顺利、安全地运作，从而对其进行系统的管理与优化。根据在信息系统审计中出现的相关情况，制定最优的方案，以保证信息系统的准确性、信息系统设施的稳定性、内部控制的相关体系的规范性，以减少中小企业信息系统面临的风险。当前，在国际上最通用的标准是由ISACA推出的COBIT框架标准，它将企业的IT目标和商业目标紧紧地联系在一起，而当前这一标准也被公认为当今世界上最领先、最权威的企业安全与信息化方面的管理和监控规范。因此，本文基于COBIT2019对中小企业的信息系统审计工作进行了深入的探讨。
　　2 COBIT2019概述
　　COBIT标准是美国ISACA的主要信息系统管理标准，同时也是美国信息安全政策和技术发展的关键控制目标。自首次推出至今，经过6次修订，已逐渐发展为世界各国公认的最先进、最权威的管理与控制系统，并且被世界各国所认可，当前的最新版本为COBIT2019。
　　基于COBIT2019架构，公司研究如何才能在信息系统中得到最大的收益，并使之达到最佳的收益水平，其基础就是公司如何实现发展信息系统的目的，而实现目的的基础就是对整个信息系统流程进行合理的管理。所以，在信息系统审计时，审计部门应当重视检查系统中各个环节的实施情况，以保证系统的安全性、可靠性和经济效益。
　　3 基于COBIT2019的中小企业信息系统审计框架
　　中小企业的规模较小，其人员、资金、物质条件相对较少，难以通过多元化的方式来分散风险，其风险承受能力也不能与大型企业相提并论。我国中小企业普遍存在的重大问题是如何借助先进信息技术提升公司的生产经营效果和效率，信息化建设也悄然影响着许多中小企业的存在和运作状态。中小企I采用信息系统主要是为了协助公司降低生产成本，以及协助公司管理人员提升效率和规范公司的整体经营。然而现实情况是中小企业信息系统应用的整体发展较慢，企业重视度不够，在有限的资金、资源投入下，中小企业所应用的信息系统大多是外包建设的，前期建设简单粗暴、系统交付后没有定期进行维护管理等多种原因导致中小企业信息系统潜在隐患较多，信息系统审计时更应该细致全面，全力降低信息系统风险暴露的可能性。本文采用的COBIT2019框架是企业发展战略目标与信息技术发展目标中间的重要纽带，能够实现信息系统审计目标与公司战略目标之间的交互。基于COBIT2019的中小企业信息系统审计可以增加中小企业管理层对信息系统的控制力，使信息系统审计工作简易并量化，可以针对中小企业信息系统应用形成一个持续改进的良性循环机制。下文从治理和管理目标、治理系统的组件两个方面对基于COBIT2019的中小企业信息系统审计框架进行阐述。
　　3.1 治理和管理目标
　　为了使信息系统能够促进公司经营目标的实现，必须达到一系列的治理和管理目标。治理和管理的目标总是包括一个过程，以及一系列有助于达到目的的其他相关部件。治理目标涉及治理过程，而管理目标涉及管理过程。治理过程一般是由董事会和管理层来完成，而管理过程是属于高层管理者和中层管理者的责任。COBIT2019的治理和管理目标被划分为5个名字由动词组成的领域，表达了其目的和所涉及的活动范围。
　　治理目标包括“评估、指导、监测”方面。在此方面，治理委员会负责评估策略计划，引导高级管理人员实施选定的策略方案，并监测其执行情况。
　　管理目标包括以下4个方面：“调整、计划、组织”为信息系统审计提供整体的组织、策略和支持;“构建、采购、实施”是对信息系统审计方案定义、采购和实施，并将其与经营过程相结合;“交付、服务、支持”是为信息系统审计服务提供运营交付和支持，其中包括安全服务;“监测、评价、评估”则是判断信息系统审计效果与内部绩效目标、内部控制目标以及外部需求的一致性。
　　3.1.1 评估、指导、监测
　　“评估、指导、监测”是信息系统审计的控制区，它可以判定中小企业的信息系统审计组织结构和人员的工作责任的明确和合理、信息系统审计项目计划和流程的健全，以及信息系统审计结果监控和评估的及时和有效。另外，它可以判定信息系统审计在计划、创建、运行和监控4个层面上运行的系统性和有效性。“评估、指导、监测”要求各中小企业确保合理地建立和维持信息系统审计管理框架，力争达到利益、风险和资源最优，确保治理层了解信息系统审计的整体过程。为达到这一目标，需要确保与信息系统审计相关的流程可以被有效、公正地控制，遵循法规、协议和政策，并满足董事会的监管要求。中小企业必须保证信息系统审计相关的风险不会超出公司的承受能力和客户相关风险的承受能力，并确定及控制信息系统审计风险对公司价值的影响，同时，将违规的可能性降到最低。

nlc202209131604

转载注明来源:https://www.xzbu.com/4/view-15439625.htm