信息系统绩效审计评价及实践分析 |
发布日期:2010-08-09 |
[摘要]:本文依据我国当前国情,从信息系统审计的最基本概念出发,阐述信息系统绩效审计的内在含义,提出了信息系统绩效评价的资金、控制、服务及可持续四个层面,并从成本收益、风险控制、群体满意度及可持续发展四个方面对信息系统绩效审计进行了实践应用分析。 [关键字]:信息系统绩效审计 评价 实践 分析 一、引言 信息系统审计是当今世界审计发展的一个方向。当前,美国、加拿大、英国、澳大利亚等西方国家都开展了各种各样的信息系统审计。信息系统审计已经成为一种新兴的审计分支。 相对于西方发达国家,我国的信息系统审计只能说是刚刚起步,很多地方审计机关还尚未开展此项业务。《审计署2008至2012年信息化发展规划》指出:“要探索符合中国国情的信息系统审计,逐步加大对信息系统审计的力度,关注信息系统的可靠性和安全性,维护被审计单位和国家的信息安全”。虽然《规划》中没有提到要关注信息系统的绩效,但我们认为在当前绩效审计正如火如荼开展的情况下,仅仅对信息系统的可靠性与安全性进行审计是远远不能满足当前社会需要的。刘家义审计长在南京特派办视察时也指出:“今后信息系统审计要抓住三个关键点,即安全性、有效性和经济性”。而“有效性和经济性”则是绩效的重要内容,且在当前法治政府、透明政府、效率政府成为政府建设目标的基本要求下,信息系统绩效审计也成为时代的必然需求。 基于以上考虑,本文从信息系统审计概念出发,通过对信息系统绩效特点的分析,引申出信息系统绩效审计概念,提出了信息系统绩效审计评价的层次分析,并从实践角度对其实践应用进行了探索 。 二、信息系统绩效审计的基本概念 信息系统绩效作为信息系统审计的基本内容,要讨论它,必然要首先理解信息系统审计。根据国际信息系统审计与控制协会(ISACA)对信息系统审计的解释,信息系统审计指的是“搜集并评价审计证据,判断信息系统和相关资源是否充分的保护了资产,维护了数据和系统的完整性;提供了相关的可靠的信息,有效的达成了组织的目标;有效率的消耗了资源;信息系统的内部控制是否有效的实现了控制目标和经营目标,并能及时的预防、发现和纠正不良事件的发生 ”。从这个概念出发, 我们可以看到,信息系统绩效是信息系统审计的基本内涵与要求,是信息系统审计的重要内容。信息系统绩效与我们现在通常意义上的绩效存在着根本性的区别,有其自身的特点。 首先,评价对象不同。顾名思义,信息系统绩效是对信息系统的经济、效率与效果的评价。信息系统是由人、硬件、软件和数据资源组成,用于及时、正确地收集、加工、存储、传递和提供信息,实现组织中各项活动的管理、调节和控制的人机系统的统称,简单的说是一个人机系统。而通常我们所说的绩效则主要是对专项资金、公共工程、经济责任、经营管理等与经济事项相关的内容的评价。两者在评价对象上有着本质的区别。 其次,基本内容不同。信息系统绩效是信息系统对组织目标实现的贡献度,是信息系统对组织价值的综合表现。信息系统绩效是信息系统审计的基本内容,是内涵,是由信息系统自身的特点而内生出的一种需求。而目前我们所开展的绩效审计则主要基于对审计对象的、建立在财务审计基础上的外部评价,更多的是我们在真实、合法基础上的一种主体审计的外延。 最后,时间范围不同。财务基础上的绩效评价时间范围一般为划定的审计事项的某一阶段或某一过程,具有时间间断性。如汶川地震救灾专项资金绩效审计,其绩效评价的时间范围一般为从资金的拨付、使用到项目或工程的完结,时间范围是阶段性的,具有一定的可预见性。而信息系统的绩效则贯穿于信息系统的整个生命周期,包含信息化战略、信息系统计划、开发、实施和维护等,且这个周期不具有可预见的结束时点。 通过以上的信息系统绩效的特点分析,结合审计实践,我们可以从狭义和广义两个方面理解信息系统绩效审计的概念:一是狭义的信息系统绩效审计是指信息系统建设完成后的验收效果、运行情况、成本效益等审计与评价;二是广义的信息系统绩效审计是贯彻于信息系统整个生命周期的规划与组织、设计与开发、交付与运行、实施与维护、以及日常评测与改进等一系列过程的绩效评价,其目的更多的是提升系统的运行效率,更好的达到组织的目标。在审计实践中,狭义概念可以比较容易的被执行,但广义的信息系统绩效审计则应该是未来的发展方向。 三、信息系统绩效评价层次分析 与财务基础上的绩效审计评价一样,信息系统绩效评价到目前为止也没有一个通用的模式。目前,对信息系统绩效的评价,从学科视角出发主要有财务、经济学及行为科学等。具体到实践中,又有成本/效益分析(聂彤彤,2004),平衡计分卡分析(郝晓玲,2006)等。但笔者从实践角度认为,每个信息系统都有其独特的目标、内容、生存环境、技术要求等,探求一个通用的信息系统评价体系模式是不现实的,也是没有多大意义的。与其去探求通用的评价标准,而不如将精力放在确定信息系统评价的主要层面,更具有现实意义。基于此种考虑,结合信息系统审计实践中的经验总结,笔者提出了以下四个层面的信息系统绩效评价内容。 (一)资金层面 对任一事务的绩效的分析,都要首先解决其成本问题,亦即绩效评价的资金层面,信息系统也不例外。根据国际绩效评价的“3E”标准,对信息系统的绩效的资金层面评价,主要是分析其信息系统建设资金使用的经济性、效果性和效益性。经济性指以最低的费用取得一定量的资源,即信息系统的获取是不是达成组织目标的最低投入;效率性指投入和产出的比例关系,指能否以最小的投入取得既定的产出或以既定的投入取得最大的产出;效果性是指在多大程度上达到各种目标和其他预期结果,即信息系统的建设对于预期组织目标的达成度。 (二)控制层面 自从信息系统应用到实践的那天开始,其就与组织的目标、制度、文化、行为规则等产生了紧密的结合。企业界曾经风传一句话:“上信息系统是找死,不上信息系统是等死”。这句话非常形象与逼真的道出了目前企业对待信息系统的矛盾心理。在公共管理部门也存在这种矛盾,只是没有企业那么迫切,那么利益相关。造成这种现象的最根本的原因就在于对于信息系统控制的建设,流行词汇叫“再造”或是“重塑”。根据ISACA的相关解释,信息系统控制是一个可以预防、检测和纠正信息系统中的缺点和错误的系统的总称,分为一般控制与应用控制。同样,控制层面的审计内容也应包含这两个方面。信息系统绩效评价的控制层面应主要考虑控制对于信息系统达成组织目标的保障功能。 (三)服务层面 如果说当前有什么对公共管理部门的形象影响最大的话,那一定是社会评价,即目标群体满意度。当前的社会风评在很大程度上影响了公共管理部门的领导者的权位,现今越来越多的领导者因此而落马也印证了这一事实。信息系统直面社会群体,其表现将直接影响目标群体对组织的好恶。仅从这一点出发,领导者们就应该将信息系统建设放到一个更高的层次去考虑。从战略角度考虑,信息系统建设的根本目标是为了达成组织的目标,其最直接的体现则是服务目标群体。 (四)可持续性层面 世上无不变的信息系统,不变就意味着死亡。可持续性是信息系统的基本特点与要求,是信息系统与其他事物相区别的一个重要方面,显示了信息系统的可成长性与自我完善功能。可持续性包含了系统的可扩充性、兼容性与成长性。信息系统自诞生之日起就与组织的目标紧密结合,组织目标的变动性决定了其可扩充性;竞争与合作的加剧使得兼容性成为一种要求;组织的持续成长必然带来信息系统的成长。 以上四个层面的绩效评价探求是一个从微观向宏观、由静态到动态、由阶段性到可持续发展的过程。在整个过程中,信息系统与组织的发展紧密结合,相互影响,对彼此的发展给予促进也造成阻碍,共同实现组织的目的。 四、信息系统绩效审计实践分析 根据以上对信息系统绩效评价主要层面的分析,信息系统绩效审计的实践应用分析主要从四个方面来考虑,一是成本收益分析,确定信息系统的硬投入及可衡量收益;二是风险控制分析,确定系统的软投入与保障力;三是群体满意度分析,确定信息系统的目标群体满意度收益;四是系统的可持续性发展能力分析。 (一)成本收益分析 开展信息系统绩效审计必须首先要对其成本进行分析,然后再根据其收益,来评价其效益情况。根据信息系统的特点,其成本涵盖了信息系统的整个生命周期,有有形的,也有无形的,具体包含: 1.开发成本。具体指在信息系统的开发过程中发生的相关费用,包括前期调研费、可行性分析耗费、设计费、开发人员工资福利、以及期间发生的其他开发支出等。若软件是商用成型软件,则该部分成本可能只有软件购买成本以及期间发生的相关费用。 2.实施成本。在信息系统实施过程中将发生大量费用,这可能是信息系统建立过程中一次性发生的最大的耗费,主要包含相关硬件采购、软件采购、网络通信设施、系统环境耗费、相关检测测试费用以及保险等。该部分的成本大部分都将作为固定资产而存在。 3.运行成本。信息系统在正常运行过程将需要相关成本的支撑,包括材料损耗、资产折旧、通信费用、人员工资福利、相关管理费等所有系统正常运行期间产生的耗费。 4.系统维护成本。信息系统在运行过程中产生的保证系统正常运行的维护成本,主要有维护人员工资福利、设备更新与维护费用、技术支持费用、后续开发费用等。 5.其他成本。主要包括重大灾难损失、系统恢复成本以及因意外发生而导致的相关耗费。 与成本相对应,信息系统的收益用可量化或定性的标准来衡量,主要有固定收益,指能长期获得相关部门的投入及拨款,这些是因信息系统的应用而带来的直接收入,虽然可能不是通常意义上的单位可灵活支配资金;直接收益,指从信息系统提供的各种服务或信息中直接获得收益,这也是信息系统可作为生产力的直接证据;间接收益,即信息系统被利用带来的成本降低,以及其成果利用产生的收益,降低了成本即意味着收益的增加。 (二)风险控制分析 信息系统内部控制对于信息系统正常运行、达成组织目标是至关重要的,可以说“没有内部控制就没有信息系统”。对于风险控制的评价其根本手段在于紧密结合组织目标,从系统的规划、设计、开发、实施、运行等系统生命周期的每个阶段进行衡量其与组织业务流程的结合度,主要有组织制度设计、业务流程再造、组织文化重塑、思想观念改革等,其直接的表现则在于组织竞争力的提升。具体来说,审计实践中应关注于利用信息系统带来的业务整合、业务流加速、出错概率降低、人员素质提高等定量或定性指标。 在风险控制审计实践中要把握风险、成本、效益平衡原则,时刻关注以下几点:一是控制成本与减少风险所得收益;二是管理层的风险喜好;三是愿意采用的风险降低方式。 (三)群体满意度分析 信息系统群体满意度是评价信息系统时必不可少的内容。群体又包括内部群体与外部群体。对于内部群体来说,可操作、高容错、易掌握是多数人的基本要求,而要达到内部群体的业务需求则是其根本目标。外部群体的要求则复杂的多,其内容不但包含了内部群体的基本要求,还更多的体现了外面群体的预期,即对信息系统服务的形式预期、结果预期以及心理预期。形式预期即目标群体对信息系统界面、功能、色彩等直观易见的内容的心理感受;结果预期即目标群体对信息系统提供结果内容的深层次心理感受;心理预期即目标群体对信息系统功能、用途等相关的更深层次心理感受。在群体满意度评价的审计实践中,调查表、访谈以及实地的观察是解决此问题的较好办法,统计分析则是重要的手段。 (四)可持续发展分析 可持续性评价是所有信息系统评价中最具有技术性的内容。审计实践中,审计人员的专业知识与技术能力的缺乏将会对该部分审计造成非常大的困难。如何去分析可扩充性、兼容性及成长性也是当前信息系统审计应该解决的重要问题。但这并不影响我们从实践角度对它的分析,信息系统的可持续发展是与组织的发展紧密结合的,这就启示我们在评价中应紧紧围绕组织的战略、计划、愿景及业务发展方向,结合信息系统技术发展的前景,再加上专业人士的判断,进而得出信息系统的可持续发展评价。另外,可持续性发展分析也提示信息系统审计人员要关注系统后续审计,实现动态的可持续发展审计。 总之,信息系统绩效审计是以全新的视角在全新的领域开创全新的内容,国外的经验也只是可以拿来参照的一面镜子,而不是可以套用的“模子”。我们在实践中要紧紧抓住信息系统的特点,紧密结合组织发展方向,全面协调统筹各方力量,大胆创新,则必然能开创我国信息系统绩效审计新局面。 参考文献: [1] 郝晓玲,肖薇薇.信息系统绩效全过程评价体系研究.情报科学.2006,(8) [2] 聂彤彤.浅谈信息系统的成本/效益分析.中国信息导报.2004,(10) [3] 郝晓玲,孙强.信息系统绩效的综合评价机制.中国计算机报.2004,(4) [4] 袁建林,王勃琳,薛亚娟.管理信息系统经济效益评价.河北科技师范学院学报(社会科学版).2007,(4) [5] 罗琳.信息系统成本效益分析初探.情报理论与实践.1997,(4) [6] ISACA.CISA Review Manual 2006 |
主办单位:常州市审计局
地址:龙城大道1280号1号楼B座12楼
电话:0519-85682658 网站地图
技术支持电话:0519-85685023(工作日9:00-17:00)
网站支持IPV6 推荐使用1024*768或以上分辨率,并使用IE9.0或以上版本浏览器