企业协作式信息审计模式研究

2012-10-23王知津卞

图书馆学刊 2012年3期

王知津卞丹

（1.南开大学商学院信息资源管理系，天津 300071；2.红珏高级时装有限公司，广东深圳 518031）

1 协作式信息审计

“协作式信息审计”一词是笔者根据财务审计中内部审计与外部审计协作及内部审计外包的形式，针对信息审计的具体情况而提出来的。之所以提出“协作式信息审计”，是因为笔者认为随着信息审计逐渐发展成熟后，相对于财务审计、技术审计等，协作式信息审计应该是信息审计中最常见的一种形式。这是因为，与财务审计、技术审计相比，信息审计的审计范围更加宽泛，审计内容难以确定，对有形的或无形的信息资产、信息能力、信息化水平等的识别、评估需要花费更多的人力、财力和物力，因此，只有不同信息审计主体发挥各自的专长，才能在信息审计过程中避免出现信息审计空白或重复审计等状况的发生，提高信息审计的可信度，从而为企业提出可行的信息管理改进措施。

与外部信息审计和内部信息审计不同，协作式信息审计的执行主体至少包括两方，由此，可将协作式信息审计定义为：在信息审计过程中，至少有两方执行主体共同参与，通过相互沟通、合作，共同完成某项信息审计任务的一种信息审计形式。由于目前我国还没有设立独立的国家信息审计机构，所以笔者所说的协作式信息审计的协作双方指外部信息审计（具体指社会审计）与内部信息审计。

2 企业协作式信息审计调查分析

笔者在针对外部信息审计、内部信息审计和协作式信息审计开展的调查中发现，被调查的99家企业中有52家企业（52.53%）开展过信息审计或者类似信息审计的工作；21家企业（21.21%）未开展过信息审计；有26位调查对象不了解本企业是否开展过类似工作。而在52家开展过信息审计的企业中，61.54%开展过外部审计，48.08%开展过内部审计，17.13%开展过协作式审计。显而易见，协作式信息审计是目前我国企业最少采用的一种信息审计形式。一方面，这可能是由于协作式信息审计需要企业与其他组织或机构合作，信息审计前的准备工作相对繁琐，而且开展协作式信息审计的企业必须具备企业内部的信息审计小组。另一方面，可能是企业还未认识到协作式信息审计相对于外部信息审计和内部信息审计的长处。尽管本次调查结果显示，相对于其他两种信息审计形式而言，协作式信息审计开展较少，但笔者仍然相信，协作式信息审计将愈来愈受到企业的青睐。

如上所述，协作式信息审计调查的样本量较少，可能直接导致协作式信息审计存在问题分析的实证依据显得单薄。但这也恰恰反映了目前我国企业信息审计的一种现实状态。笔者相信，通过对协作式信息审计相关调查结果的分析，信息审计研究人员和企业实践者将会更加清楚地认识到相对于外部信息审计和内部信息审计，协作式信息审计的优缺点有哪些，从而帮助企业选择合适的信息审计形式。

2.1 存在问题分析

如图1所示的协作式信息审计问题分析显示，协作式信息审计过程中存在的主要问题有影响企业日常工作（33.33%）、审计人员之间存在矛盾（22.22%）、各部门不够配合（22.22%）、领导不够重视（22.22%）、审计小组独立性不强（22.22%）等。

图1 企业协作式信息审计存在问题分析

鉴于调查中开展协作式信息审计的样本企业较少，为避免对调查结果的分析出现偏颇，笔者将外部信息审计、内部信息审计和协作式信息审计过程中存在的问题进行了汇总，试图通过对3种形式的比较研究进一步明确协作式信息审计的问题所在。

虽然图1表明影响企业日常工作所占比例为33.33%，位居协作式信息审计过程中其他问题之首，但通过对比表1外部信息审计、内部信息审计和协作式信息审计中各问题的百分比可知，协作式信息审计过程中最突出的问题是如何处理审计人员之间的矛盾，因此，协作式信息审计关键要解决审计人员之间存在的矛盾。调查表明，企业应对审计人员之间的矛盾主要采用内部协调沟通和领导问责制的方法予以解决。此外，笔者就协作式信息审计开展的关键成功因素进行调查时发现，有效沟通最为关键。这与协作式信息审计存在的问题及企业应对该问题采取的措施保持一致，进一步证明沟通在协作式信息审计中的重要性。

表1 信息审计存在问题汇总

上面提到的协作式信息审计的其他问题，如影响企业日常工作、各部门不够配合、领导不够重视、审计小组独立性不强等，笔者在外部信息审计及内部信息审计的研究中已进行了分析，且相对于外部信息审计和内部信息审计而言，这几个问题在协作式信息审计中表现得并不明显。换句话说，协作式信息审计在改善外部信息审计和内部信息审计中的相关问题上占有一定的优势，即通过内、外部审计相结合实现优势互补。

2.2 审计内容分析

信息审计的具体内容可以根据企业自身的实际情况来决定。在实践中，企业信息审计不仅仅局限于对信息内容（数据、图表、知识等）的审计，还普遍涉及企业信息流、信息系统等内容。信息审计的目的在于发现企业信息管理过程中存在的问题，找出信息管理目标与实际执行之间的差距并提出相应的改进方案。因此，从整体上来说，信息审计的内容与企业信息管理的目标基本上是一致的。但在实际操作中，企业的一次信息审计不可能面面俱到而涵盖企业信息管理的全部目标。调查显示，信息审计的内容主要包括信息流程、信息资产、信息化水平、信息文化以及员工信息能力等。

在对信息审计形式进行分析时，笔者发现样本中没有任何一家企业单独开展协作式信息审计。一般而言，应用协作式信息审计形式的企业必然开展过内部信息审计，而开展过内部信息审计的企业不一定都采用过协作式信息审计。所以，在对协作式信息审计的内容进行分析时，笔者并未发现其对某一项审计内容，如信息流程、信息资产、信息能力、信息化水平和信息文化等中任何一项有所侧重，这可能与协作式信息审计以内部信息审计的开展为前提有关，从而模糊了其审计范围。或者从根本上说，协作式信息审计由于融合了内、外部信息审计的优势，在审计范围上受到的局限较小，从而出现信息审计内容均衡化的特征。

信息流程是一系列连续有规律的信息（有关各种业务的情况描述），这些信息在各种互相关联的业务中流动与传递，形成信息流程[1]。因此，信息流程审计主要是对业务及业务之间信息、信源、信道及信宿的识别、评估。

企业信息化水平应该从基本指标和效能指标两个角度进行考核。基本指标主要是指组织建设评价指标、基础设施评价指标、应用信息系统评价指标等3个部分；效能指标主要是指适宜度和灵敏度[2]。因此，企业信息化水平审计主要是对企业信息化组织建设、信息基础设施和信息系统及其在企业运营过程中的适宜度和灵敏度进行考察。

企业信息文化是企业及其员工在依赖于信息、信息资源、信息技术为基础的信息活动和经营管理活动中创造的物质文化、精神文化和制度文化的总和[3]。鉴于物质文化具有实体性，是企业信息化水平的基础，笔者将其纳入企业信息化水平的审计。因此，企业信息文化审计主要是对企业信息价值观、信息制度、信息战略等精神文化和制度文化的审计。

信息能力包括信息意识和信息需求的知识，是确定信息需求，检索定位信息，评价信息，对信息进行有效的组织和创造，最终使用和交流信息以解决问题的能力[4]。由上述定义可知，信息能力包含认知层、技术应用层和智慧层3个层面。认知层主要是信息意识，外化为能力则主要指信息认知能力；技术应用层的能力主要体现在信息处理过程中，包括对信息技术的应用、信息获取、信息处理、信息利用、信息交流等；智慧层的信息能力是认知层与技术应用层能力的升华，是深层次的信息加工能力，具体表现为信息创新能力。所以，员工信息审计的具体内容包括信息认知能力、信息技术应用能力、信息获取能力、信息处理能力、信息利用能力、信息交流能力和信息创新能力等。

信息资产分为以下几类：数据资产、软件资产、人员资产、服务资产及其他资产[5]。鉴于笔者已将人员资产（包括知识、能力等）归为信息能力，所以，此处的信息资产主要指企业有形的信息载体中存在的企业内、外部的有关信息资源。该类信息资产包括项目文档、记录、传真、财务报告、日常工作数据、数据库数据、操作和统计数据等。

3 协作式信息审计方法选择

信息审计从发展初期至今已经形成了不同的信息审计方法，其中比较有代表性的包括：

（1）信息地图法[6]。这是由Burk和Horton提出的第一个被广泛应用的信息审计方法。该方法主要包括调查、成本收益分析、分析及综合4个阶段。

（2）信息流分析法[7]。该方法是一种自上而下的信息审计方法，重点分析动态的信息流，包含10个步骤：①分析关键业务目标所涉及的信息；②获得管理层的支持（包括资源的支持）；③获得组织员工的支持；④信息审计规划；⑤发现组织信息资源及信息流；⑥解释所发现的信息资源和信息流；⑦展示发现结果，发布审计报告；⑧根据审计报告制定信息政策，进行变革；⑨监控改革效果；⑩建立循环信息审计机制。

（3）集成审计法[8]。与信息流分析法一样，该方法也是一种自上而下的信息审计法。它以信息流分析法为基础，主要包括准备阶段、初步识别阶段、分析阶段、会计核算阶段和综合分析阶段5个步骤。

（4）Henezel七步法[9]。该方法主要由计划筹备、数据收集、数据分析、数据评估、建议交流、实施建议以及二次审计7个步骤组成。

通过上文对协作式信息审计存在问题及审计内容的分析可知，协作式信息审计融合了外部信息审计和内部信息审计的优势，对企业信息流程、信息资产、信息能力、信息化水平和信息文化等任何一项审计任务都能胜任。所以，笔者认为，协作式信息审计可以从某次信息审计的内容出发，选择合适的信息审计方法。比如，在对信息流程进行审计时，可以优先选用重点分析动态信息流的信息流分析法；在对信息资产进行审计时，可以选择能指明信息资产位置、形态、利用状况等信息的信息地图法等。此外，由于协作式信息审计实现了内外部信息审计形式的互补，因此，一方面，可以利用企业内部信息审计人员了解业务流程和易获取机密或敏感信息等优势自下而上地收集信息；另一方面，可利用外部信息审计专家的更加专业的技能及更加客观的态度自上而下制定信息审计规划。

因此，笔者认为，协作式信息审计在选择审计方法时应视信息审计的具体内容而定。在确定信息审计内容后，选择合适的信息审计方法，然后利用外部信息审计与内部信息审计协作的优势，在审计实施过程中将自上而下及自下而上的工作形式相结合，从而发挥内外部信息审计的优势，提高信息审计的效率。按照以上对协作式信息审计方法的要求，目前尚未找到能够适用于协作式信息审计的现成方法。但毫无疑问，无论协作式信息审计采用何种审计方法，它必然要突出以下内容：①内、外部信息审计小组的合并；②有效的沟通机制；③合理的分工。这也是笔者在下文协作式信息审计模式设计中重点关注的内容。

4 协作式信息审计模式设计

针对协作式信息审计存在的问题以及协作式信息审计相对于内、外部信息审计的优势，笔者设计了如图2所示的企业协作式信息审计模式。

由图2可知，该协作式信息审计模式主要包括以下信息审计阶段：

图2 企业协作式信息审计模式

（1）确定信息审计目标。该阶段是任何信息审计形式都不可或缺的工作，是开展信息审计首先要明确的问题。企业需要根据信息审计目标来选择能够胜任相关审计工作的外部信息审计组织。

（2）内、外部信息审计小组合并。在确定了初步的信息审计目标并与外部信息审计组织就审计任务达成共识后，内、外部信息审计小组应实现合并。一般来说，外部审计专家在信息审计工作中的职位相当于内部信息审计经理。通过对外部信息审计专家带领的外部信息审计小组及由内部信息审计经理管理的内部审计小组的成员进行合并，实现内、外部信息审计小组地位的对等。

图3 协作式信息审计小组组建形式

（3）信息审计项目分组。综合考察合并后的信息审计人员的专长，按照信息审计内容对信息审计素质、能力等的要求对参与人员进行分组，最终形成如图3所示的协作式信息审计工作小组。需要明确的是，在实际信息审计工作中，协作式信息审计小组的组建应依据信息审计的内容而定，并非必须组建与企业战略信息管理目标对接的完整的审计小组。按信息审计项目组建的信息审计小组之间虽然有明确的分工，但由于信息审计是一项关于企业信息管理的全局性工作，各项目之间并没有严格的界限，所以要注意保持各审计项目小组成员之间的沟通。

（4）信息审计项目实施。按照信息审计项目划分审计小组后，各小组即可开始本组的信息审计工作。这时，审计小组成员可先集中做好该项目的审计规划，包括审计时间、审计成本的预算以及根据本组的信息审计内容选择合适的信息审计方法等，然后利用小组成员中企业内部审计人员熟悉企业文化、易于把握企业员工心理获取重要信息的优势，自下而上进行数据收集。审计小组中的外部信息审计人员则可自上而下根据项目审计目标，利用专业的信息审计技能和丰富的信息审计经验，编制具体的信息审计测试内容。其次，将所收集的数据与审计测试内容通过综合比较，进行差距分析。最后，从审计项目形成的审计日志、工作底稿、分析报告等文档中提取关键信息，撰写项目审计报告。

（5）信息审计报告汇总。各项目的审计结果最终都以审计报告的形式呈现，作为一项整体性的信息审计工作，无论其选择何种具体形式开展审计，最终都要以审计报告的形式完整地呈现整个信息审计过程。因此，在该阶段，内部信息审计经理和外部信息审计专家应该打破项目审计实施阶段的分工形式，就各项目的信息审计报告展开讨论、交流，组织信息审计人员编制完整的信息审计报告。

（6）改进方案实施。通过信息审计，已形成各项目的信息审计报告及整体信息审计工作的审计报告。在此阶段，企业应就各审计报告中的改进方案确定实施各项目改进方案所需的各种资源，在信息审计人员的协助下将改进方案落到实处。关于改进方案的实施，可以根据审计项目并行完成，然后对照整体信息审计报告中的改进方案进行核实、评估。这样有利于沿用各项目审计小组的组织形式及其对该审计项目的深入了解协助项目改进方案的实施。同时，各项目改进方案的并行实施可以大大缩短方案实施的周期，提高工作效率，节省资源，快速实现信息审计工作的成效。

（7）信息审计总结。在该阶段，外部信息审计专家及内部信息审计经理可以组织信息审计人员就此次审计工作进行交流，评估此次信息审计工作的开展情况以及审计人员在工作中的表现等。同时，就信息审计过程中出现的问题、应对问题的解决方案以及从中吸取的经验教训等进行总结，建立可供参考、查证的文档资料。

（8）二次审计。协作式信息审计的开展，能使内、外部信息审计人员吸取对方的间接经验，提升自身的能力，为二次信息审计的开展奠定基础。同时，一次审计留下来的宝贵文档资料，成为二次信息审计开展的重要依据。二次信息审计可根据其审计内容的不同，分为二次协作式信息审计和二次项目信息审计，体现了笔者设计的按项目划分的协作式信息审计模式的灵活性。

笔者设计的协作式信息审计模式主要有以下优点：

（1）各项目审计中，自上而下和自下而上的工作开展方式提高了信息审计效率。在图2所示的协作式信息审计模式中，笔者利用内、外部信息审计人员各自的优势，通过明确分工，设计了自上而下和自下而上的信息审计工作形式，不仅提高了工作效率，还发挥了不同审计人员的优势。

（2）通过内、外部信息审计小组的合并，实现了审计人员的优势互补。协作式信息审计相对于内、外部信息审计的一大优势是人力资源优势，在审计过程中，若能合理安排工作人员的任务，使其各司其职、各尽所能，方能体现协作式信息审计的优势。在图2所示的协作式信息审计模式中，利用企业内部审计人员进行信息搜集的便利条件，自下而上地收集数据，利用外部信息审计人员专业的信息审计技能和丰富的信息审计经验，自上而下规划项目审计目标、编制具体的信息审计测试内容以及进行差距分析等，正是这一优势的体现。

（3）按项目划分的信息审计方式，使得信息审计负责人可以根据不同信息审计目的和内容，灵活组建信息审计人员。当然，根据信息审计内容选定审计人员的方式，需要以丰富的人力资源为基础，而上文也提到协作式信息审计的一大优势是人员优势，因而按项目划分的信息审计方式是协作式信息审计所独有的特征。

（4）按项目组建的信息审计小组，使得项目方案实施人员可以就实施过程中的问题与相关的项目审计小组进行深入的交流，从而保证方案实施的效果。一般来说，信息审计的最终结果是以报告的形式提出企业信息管理的改进方案，信息审计人员并不参与方案的实施，而针对不同的审计内容有不同的改进方案，因此，方案实施人员和信息审计人员之间应保持交流畅通。笔者设计的协作式信息审计模式使得各项目方案实施人员可以与相应的项目审计小组无障碍地进行沟通。

当然，协作式信息审计也存在着自身的不足，如内外部审计人员之间的职责、对某项审计内容的标准认定等问题，都需要协作双方在信息审计工作正式开展前进行充分的沟通并形成文件。虽然协作式信息审计有利有弊，但从调查结果来看，整体上是利大于弊。

笔者通过对协作式信息审计相关问题进行调查分析所构建的图2所示的协作式信息审计模式，仅仅是对协作式信息审计模式研究的初步探索。笔者在文中也多次提到，由于目前我国信息审计发展还不够成熟，尤其是协作式信息审计，所以笔者针对协作式信息审计开展的调查中，样本企业数量有限，基于该问卷调查的协作式信息审计存在问题及审计内容的分析，也只可作为了解目前我国企业协作式信息审计现状及对协作式信息审计模式构建的一种参考，关于该模式的构建还有待进一步完善和证实。

[1] 李纲，杨君.信息流程重组与业务流程重组[J].中国图书馆学报，2004（2）：34-37.

[2] 臧毅.企业信息化指标评价体系研究[D].哈尔滨工程大学，2003.

[3] 程刚.论企业信息文化[J].现代情报，2003（3）：153-157.

[4] 莫力科.大学生信息能力建设模式与实证研究[D].浙江大学，2005.

[5] 百度百科.信息资产[EB/OL].[2011-03-02].http：//baike.baidu.com/view/1498557.htm.

[6] Burk C F.，F.W.Horton.InfoMap：A complete guide to discovering corporate information resources[M].Englewood Cliffs，NJ：Prentice-Hall，1988.

[7] Orna，E.Information Strategy in Practice[M].Aldershot：Gower，2004：7-25.

[8] Buchanan，S.，F.Gibb.The information audit：an integrated strategic approach[J].International journal of information management，1998（1）：29-47.

[9] Henczel S.M.The information audit as a first step towards effective knowledge Management[J].INSPEL，2000（3）：210-226.