国民经济按层次可分为宏观经济和微观经济,介于宏观经济整体和微观经济单位之间的还有中观经济,包括行业经济、地区经济等。德国奥斯登大学教授彼德斯早在20世纪70年代,就提出中观经济是有别于宏观和微观经济的一个独立层次。随着近年来经济发展的加速,新兴的经济形式给传统的经济活动注入了新的血液,新兴经济活动是非“宏”非“微”,亦“宏”亦“微”的中介状态的经济结构,经济学界称之为中观经济。作为经济发展产物的审计,随之则产生了相应的内涵与外延,即中观审计。本文以中观审计为研究基础,对中观经济主体信息系统的管理与控制作以初步论述,旨在为中观审计理论的发展提供支持。 一、中观审计理论的一般概述 中观审计是指对中观经济主体的经济行为所实施的审计,中观审计的产生具有必然性,恰恰由于中观审计的存在,才打破了传统宏观微观审计界域不能完全覆盖社会经济审计的整体界域这一局限性,实现了宏观达于微观。微观通于宏观,其中都要经过中观的有效转化。那么,何为中观审计呢?笔者认为,中观审计是在我国特有的经济活动条件下,由国家审计机关,以法律规范为依据,运用科学系统的程序方法,对中观经济行为、运行机制以及在此基础上为达到一定经济目标所采取的经济政策、决策的结果所实施的一种监督活动。中观审计有其特定的对象范围。既然中观审计是对中观经济计划、中观经济政策、决策和中观经济活动所实施的审计,那么,行业、部门、系统、经济区与特定联合体的发展战略目标、计划、经济政策、决策以及中观经济管理即为中观审计的对象范围。 中观审计具备三方面的特征:(1)中观审计是以协调宏观与微观审计,促进整个国民经济良性发展为主导思想;(2)中观审计是以提高中观经济主体的经济效益为指导方向;(3)中观审计是以对中观经济行为及其运行机制进行监控为具体目的。当前的行业审计已显示了中观审计的特征,例如,审计一个行业的财政经济状况,研究一个行业的重大且带有倾向性问题,提出改善行业管理的措施建议;还例如,抓住本地区综合效益影响较大的因素,对于地区自然、地理环境、产品结构以及各种客观条件进行分析、论证,查明阻碍经济发展的各种原因,提出促进经济效益提高的政策建议等。 “如果说宏观经济管理是硬控制,微观经济管理是软控制,那么,中观经济管理则是二者兼而有之,又软又硬的中性控制”。可见,中观控制也是整个经济控制系统的一个分系统,研究探讨中观审计正是为了加强中观控制,由于其主体范围所处的独特地位,决定了中观审计一方面服务于宏观控制,另一方面强化微观控制。根据中观控制的对象和目的,中观审计应有如下任务:(1)保证有效地传递宏观政策、决策和有关信息,防止和减少出现偏差和失误;(2)保证有效地促进微观经济活动,以及协调宏观经济目标和经济总目标、宏观经济目标和微观经济目标之间的矛盾关系;(3)保证有效地防止和减少中观经济政策或决策失误,以及其相应权力的泛滥;(4)保证有效地防止和减少中观经济活动的失控;(5)保证有效地防止和减少中观经济比例关系的失调。 二、信息系统审计的产生与内涵 信息系统是以信息基础设施为基本运行环境,由人、信息、技术设备和运行规程组成,通过信息采集、传输、加工处理和存储,以企业战略竞优、提高效率为目标,支持企业高层决策、中层控制和基层运作的集成化人机系统。信息系统在使用过程中,随着生存环境的变化,需要不断维护、修改,因而在整个生命周期中,必须对信息系统进行严格管理与控制,并对信息系统实施审计。信息系统审计直到21世纪初才进入我国。信息系统审计是在电子数据处理审计(EDP审计)的基础上发展起来的。虽然目前学术界对信息系统审计概念并没有统一的意见,但主流概念有两种:(1)Weber在1999年提出的“信息系统审计是一个获取并评价证据,以判断信息系统是否能够保证资产的安全、数据的完整以及有效率地利用组织的资源并有效地实现组织目标的过程”;(2)日本通产省在1996年提出的“为了信息系统的安全、可靠与有效,由独立于审计对象的信息系统审计师,以第三方的客观立场对以计算机为核心的信息系统进行综合的检查与评价,向信息系统审计对象的最高领导,提出问题与建议的一连串的活动”。 从信息系统构成要素来看,信息系统是由硬件平台、软件平台、应用系统、数据文件、人和运行规程组成的;从信息系统生命周期来看,信息系统的生命周期可划分为系统规划、系统分析、系统设计、系统实施、系统运行和系统维护六个阶段。从信息系统管理来看,对信息系统的审计伴随信息系统生命周期的始终。信息系统审计的内容包括:(1)软硬件获取审计,其可确定软硬件获取政策是否合理且是否满足企业的需求;(2)系统开发审计,其可确定各项系统开发活动是否完全遵循既定的政策与规划且是否实施了有效的全面质量控制等;(3)系统维护审计,其可确定系统维护后是否经过充分测试以及系统维护后文档资料是否及时更新等;(4)应用系统审计,其可确定应用系统的各项处理功能是否有效以及应用系统的控制是否健全有效等;(5)信息系统控制审计,其可确认信息系统的各项控制措施是否健全以及信息系统的各项控制措施是否得到有效执行;(6)信息系统安全审计,其可确认被审计单位的各项信息系统安全控制措施是否健全,确认信息系统的安全措施是否得到有效执行,以及判定被审计单位的信息系统安全策略与程序是否能最大限度地降低信息系统的安全风险。 三、中观经济主体信息系统审计的客观依据与现实任务 中观经济主体信息系统审计从属于中观审计与信息系统审计的交叉研究范域,中观经济主体信息系统审计的研究对象可从两个层次分析,第一层次是中观经济主体的特定区域范围,第二层次是中观经济主体特定区域内的信息系统板块。具体来说,中观经济主体信息系统的研究对象就是那些发生特定经济行为的行业、部门、系统、经济区以及特殊的经济联合体等中观主体的网络信息系统。与微观经济主体相比,中观经济主体的涉及范围较大,运行机制复杂,因而在我国乃至全世界的大多数中观经济主体均无法离开为自己量身定做的信息系统这一基础设施。例如,我国的铁道部门的铁路客票发售与预定系统,我国金融行业的金融业务信息系统,我国公安系统的公安综合网络信息系统,我国部分地区创建的区域物流信息系统,以及我国大型集团公司正在运行的集团财务信息系统,等等。中观经济主体是特定范围下多个微观经济个体的有机组合,信息技术在中观经济主体整体范围内的运用,为中观经济主体内部资源的有机整合以及自身功能的高效运行提供了方便,提升了工作效率。例如,由Sybase的数据库产品Adaptive Server Enterprise、Replication Server,中间件产品Open Client、Open Server,以及开发工具PowerBuilder、Power Designer构成的全国联网车站售票信息系统强化了火车票售票、预订、退票、异地售票、统计等多种功能,实现了票额、坐席、制票、计算、结算和统计等计算机管理,为铁路客户服务提供了有效的调控手段。实施中观经济主体信息系统审计是完全有必要的,这是因为由多台计算机所构成的信息系统区域网络所涉及的应用技术以及运行规程固然要比微观个体的信息系统复杂得多,脆弱得多。例如,2008年11月28日,由上海开往郑州的D 82次列车的8号车厢46号位售出两张坐票,一张是上海—郑州,另一张是南京—郑州,由于铁道行业信息系统打票的错误,从而造成了乘客的冲突与矛盾。由此可见,信息系统给中观经济主体带来巨大便利的同时,由于系统参与人员的错误操作、滥用、不正当使用以及不法分子的恶意利用等原因,也使得信息系统随之产生了不可估量的风险。为了避免信息系统可能出现的风险,中观经济主体需要引入一种新的管理机制来对信息系统的安全性、可用性、投资效果、实施进程和实施效果等进行评估、指导和改进。中观经济主体所实施的这种机制即为中观经济主体信息系统审计,此种审计超越了传统微观审计的范畴。