近年来,中观信息系统在我国应用广泛。与微观信息系统相比,中观信息系统面临着更为复杂的风险,如系统应用风险、系统黏合风险等等。中观信息系统审计(中观IS审计),可以实现对中观信息系统安全性、有效性、保密性、效率性的管理。所谓中观IS审计,是指IS审计师依据特定的规范,运用科学系统的程序方法,对中观经济主体信息系统网络的运行规程与应用政策所实施的一种监督活动,以此保障中观经济主体信息系统的高效运行。任何审计行为都存在着风险,中观IS审计也不例外,IS审计师也需要对中观IS审计风险进行控制,以使自身承担法律责任的可能性尽量降低。本文以中观IS审计为研究基础,选取风险管理为研究视角,借鉴国外与信息系统相关的网络与信息安全管理理论对我国中观IS审计风险的管理框架作初步论述,旨在为中观审计理论以及IS审计理论的发展提供研究支撑。 一、中观信息系统审计风险管理的理论梳理 (一)中观信息系统审计 按照层次的不同,审计可以划分为微观审计、中观审计和宏观审计。中观审计内涵丰富,它是指在我国特有的经济活动条件下,由独立的审计机构以法律规范为依据,运用科学系统的程序方法,对中观经济行为、运行机制以及在此基础上为达到一定经济目标所采取的经济政策、决策的结果所实施的一种监督活动(易仁萍、王会金,2003)。中观审计是对中观经济计划、中观经济政策、决策和中观经济活动所实施的审计,那么,行业、部门、经济区与企业集团等特定联合体的发展战略目标、计划、经济政策、决策以及中观经济管理即为中观审计的对象范围。IS审计是一门边缘性学科,跨越多学科领域,目前尚无公认的通用定义。1985年日本通产省情报处理开发协会信息系统审计委员会认为,信息系统审计是由独立于审计对象的IS审计师,站在客观的立场上,对以计算机为核心的信息系统进行综合的检查、评价,向有关人员提出问题与劝告,追求系统的有效利用与故障排除,使系统更加健全。Ron Weber在1999年将其定义为,“收集并评估证据,以判断一个计算机系统(信息系统)是否有效做到保护资产、维护数据完整、完成组织目标,同时最经济地使用资源”。 中观IS审计从属于中观审计与IS审计的交叉研究范域。从表象看,中观审计与IS审计差别甚大。但基于实质分析,二者均适用于审计的一般技术与方法。且中观审计是对中观经济主体的全方位审计,内容包括经济责任、经济效益、信息系统等方面;IS审计是对信息系统安全性、效率性、完整性、一致性的审计,其审计范围可处于微观,抑或中观。以信息系统为审计对象的中观审计与居于中观层面的信息系统审计是同一审计范畴,即中观IS审计。中观IS审计的研究对象是那些发生特定经济行为的行业、部门、系统、经济区以及特殊的经济联合体等中观经济主体的网络信息系统。例如,公安综合网络信息系统、金融行业的金融业务信息系统、区域物流信息系统,以及大型集团公司的集团财务信息系统等。与微观信息系统相比,中观经济主体网络信息系统所涉及的范围广、对象繁多,且区域内纷乱的组成个体之间盘节着错综的勾稽关系与系统契约关系,如果出现问题,其危害程度远远高于微观信息系统。如2010年1月13日上午9时,福州火车站客票售票系统陆续出现故障,下午15时至17时,福州火车站与分布于市内外的39家代售点所构成的网状售票系统因服务器故障大面积瘫痪,导致全站34趟列车车票无法售出,车站人满为患;无奈之下,福州火车站部分当天开行车次乘客先上车后买票。中观IS审计是以传统审计理论为基础的,并在继承中观审计的基本理论与基本方法的同时,结合信息系统审计的特点在审计程序上加以创新。
图1 中观IS审计风险管理理论的推理 (二)中观信息系统审计风险管理 审计风险是指审计主体在对审计的特定范围进行审计的过程中,由于受到某些不确定性因素的影响,使审计结论与经济客观事实发生背离,从而受相关关系人指控或媒体公开披露并遭受经济损失以及声誉损失的可能性。风险产生的本身并不是一件坏事,风险是发展所不可或缺的因素。为此,应该学会在风险潜在的负面影响与其相关机遇所带来的潜在效益之间把握好平衡,做好对风险的管理。风险管理是指如何在一个肯定有风险的环境里把风险减至最低的管理过程。风险管理过程中包含了对风险的量度、评估和应变策略。理想的风险管理,是一连串排好优先次序的过程,使当中的可以引致最大损失及最可能发生的事情得以优先处理,而相对风险较低的事情则押后处理。 中观IS审计风险管理理论融合了中观审计理论、IS审计理论、审计风险理论以及风险管理理论。任何审计行为都存在着风险,因中观IS审计、中观审计、IS审计同属于审计学学科,它们也有各自的风险,也都具有相应的风险管理理论,都遵循风险管理的一般规律。中观IS审计风险管理理论是中观IS审计与审计风险管理的研究理论衔接,研究对象衔接,是中观IS审计主体为防止被审计委托人提起诉讼,而对中观审计风险实施的控制,也是风险管理主体选取中观信息系统审计为切入点,而对其审计风险的识别与评估。中观IS审计风险管理是以中观IS审计风险为风险管理对象,以风险管理作为中观IS审计的质量目标。所谓中观IS审计风险管理是指独立审计机构或IS审计人员在中观IS审计中,由于受到中观经济环境以及网状信息系统复杂性等多种不确定性因素的影响,为避免审计结论与经济客观事实发生严重背离,以使承担法律责任的可能性降至最低,进而识别、评价中观IS审计过程所面临的威胁与其脆弱性,决定采取何种措施将风险降低至可接受水平的管理活动。中观IS审计风险管理包括对中观IS审计风险的识别、估测、评价与处理,期望以最小的风险管理成本实现最大限度的安全保障,达到最为理想的中观审计效果而采取的全面、系统、综合的管理方法。中观IS审计风险管理是一个系统的动态管理过程,IS审计师需要处于中观经济的层面,综合考虑与风险有关的因素,并对各个因素加以控制与管理。