信息系统结构控制审计框架,是指按照信息系统控制目标(系统的可靠性、安全性和经济性,业务信息的真实性、完整性和正确性),对信息系统资源(管理资源、应用资源、网络资源和安全资源)的结构控制(管理控制、应用控制、网络控制和安全控制)进行管控的三维框架;并由此形成管理控制、应用控制、网络控制和安全控制的四维结构控制域。结构控制审计框架与过程控制审计框架相同,既适用于对信息系统管理者的控制,也适用于对信息系统控制的审计。 一、信息系统结构控制审计三维框架 信息系统审计的实施路径是,依据信息系统审计目标,确定信息系统审计控制结构和控制点,检查和评价各类信息资源的完整性和控制的有效性。目标、控制和资源,成为信息系统结构控制审计三维框架,如图1。 信息系统的组织目标是,通过加强信息系统管控,保障信息系统的可靠性、安全性和经济性,保障信息系统承载业务的真实性、完整性和正确性。信息系统审计的目标是,通过对信息系统各类管控的符合性和有效性的审查和评价,发现问题并提出审计建议,促进信息系统组织目标的实现。
上述三维框架中呈现的管理控制、应用控制、网络控制和安全控制的四维结构控制,是由信息系统的内在属性决定的:信息系统的规划、建设和运行控制,属于管理控制的范畴;信息系统承载业务的业务流程、业务信息等控制,属于应用控制的范畴;保障业务流程和业务信息的实现路径控制,属于网络控制的范畴;保障业务信息和系统运行的安全控制,属于安全控制的范畴。四维结构控制的关系是,管理控制为统领,应用控制为核心,网络控制为基础,安全控制为保障。 二、信息系统四类结构控制审计 研究四维控制审计,还有必要研究信息系统承载业务要素及其对信息系统规划、建设和运行影响的原理。一个组织构建和运行信息系统的目的是,利用信息化方式解决组织履职面临的问题或提高组织履职的效率和效果。例如,企业为了提高生产经营的效率和效果,采用信息化的企业资源计划管理(Enterprise Resource Planning,简写ERP),要考虑哪些业务急需采用信息化方式,比如销售业务、生产业务采用信息化方式后将较好地提升投入产出的企业经营目标。在信息化规划中,对信息化业务的逻辑和流程等要素的业务模型的规划是十分重要的。信息化业务模型的业务要素包括:一是业务逻辑要素。指业务实体之间有序、约束的业务逻辑关系。在销售业务模型中,涉及生产厂商、销售代理厂商、消费者三类实体之间的销售业务关系。实现信息化条件下的销售业务关系,会影响信息系统的应用系统功能、网络系统结构和安全防护系统。二是业务流程要素。是指业务逻辑中业务关系的业务流、信息流、资金流、物质流。在销售业务模型中,涉及销售广告、销售订单、生产作业单、供货单和客户满意度调查等流程。实现信息化条件下的销售业务流程,会影响信息系统的应用流程、信息资源流程、网络通信流程、信息流转的安全防护等。三是业务信息要素。指业务流程中的实体信息、业务信息、资金信息等。在销售业务模型中,生产厂商、销售代理厂商和消费者的实体信息,销售广告、销售订单、生产作业单和供货单等的信息,会影响信息系统的业务信息处理功能、信息资源规划、信息共享和交换的网络通信、信息的存储和处理、信息的安全防护等。四是业务处理要素。是指业务信息的输入(采集、录入等)、处理(计量、计价、计算、汇总、分析等)、输出(电子或纸质、共享交换等)。在销售业务模型中,客户信息和销售订单的输入、生产作业单的处理、供货单的输出等,会影响信息系统的应用处理功能、数据库设计与管理、存储处理系统的计算环境保障。五是业务性能要素。指业务处理在单位时间内的系统响应速度,包括对数据输入、处理和输出中的交易处理、计算处理、会话处理、请求响应的人机会话响应性能。在销售业务模型中,客户信息和销售订单的输入、生产作业单的处理、供货单的输出、客户对销售信息的查询等,会影响信息系统的应用功能、主机处理功能、网络传输功能等的系统响应性能。六是业务部署要素。指业务系统在组织本级、所辖机构以及其他相关组织中的部署应用。在销售业务模型中,销售业务系统需要在生产厂商、销售代理厂商以及连锁企业中部署,会影响信息系统的应用架构、网络结构和信息安全防护。上述业务模型要素涉及到信息系统的四大板块:信息化业务和信息系统的整体规划、建设和运行,涉及到管理控制;业务逻辑要素、业务流程要素、业务信息要素、业务处理要素、业务性能要素和业务部署要素,涉及到信息系统的应用系统、网络系统、安全系统及其控制。在实现业务信息化的规划、建设和运行中,四个结构控制互为分工、相互合作,共同保障业务健康安全运行,保障组织目标的实现。 1.信息系统管理控制审计 信息系统管理控制审计是根据管理控制目标,对各类管理资源控制的有效性进行检查和评价。信息系统管理控制审计三维结构如图2。
管理控制目标是保障信息系统规划、建设和运行的可靠、安全和经济,保障系统承载业务信息的真实、完整和正确。 根据管理控制目标要求,依据信息化业务模型的业务要素需求,管理控制包括组织管理控制、规划设计控制、建设管理控制和运行管理控制4个具体结构控制以及管理控制的审计重点。其中组织管理控制包括组织机构管理、制度管理、队伍建设管理的13个基本控制点(即结构控制审计框架给出的基本控制点,信息系统审计中可选择并结合实际需要自行扩展相应的控制点,以下简称控制点);规划设计控制包括信息化发展规划、需求分析、业务模型类型、业务模型要素及系统影响的22个控制点;建设管理控制,包括项目立项管理、项目招标管理、项目实施管理、项目投资管理、项目验收管理的19个控制点;运行管理控制包括运行维护管理、业务应用服务、系统运行服务的11个控制点;管理控制审计重点包括组织管理控制、规划设计控制、建设管理控制和运行管理控制的审计重点。 2.信息系统应用控制审计 信息系统应用控制审计是根据应用控制目标,对各类应用资源的控制有效性的检查和评价。应用控制审计三维结构如图3。
应用控制目标是保障信息系统承载业务信息的真实、完整和正确,保障信息资源的完整有效和共享协同。 根据应用控制目标要求,依据信息化业务模型的业务要素需求,应用控制包括应用架构控制、应用功能控制、信息资源控制和共享协同控制4个具体结构控制以及应用控制的审计重点。其中应用架构控制包括满足业务类型需求应用架构、应用系统的技术架构、应用系统的集约化架构的21个控制点;应用功能控制包括数据输入、数据处理、数据输出、应用系统产品功能的26个控制点;信息资源控制包括数据规划、数据库设计、数据库管理、数据备份、数据分析模型的39个控制点;共享协同控制包括信息共享、信息交换、业务协同的27个控制点;应用控制审计重点包括应用架构控制、应用功能控制、信息资源控制和共享协同控制的审计重点。