陈耿　杨旭　韩志耕

摘 要：文章在参考COBIT框架的基础上，根据不同学者对信息系统内部控制的研究，设置了41个信息系统内部控制评价指标；运用调查问卷的方式收集数据并应用信息熵理论的熵权法对数据进行处理，从而客观地确定各指标的权重。通过本文的研究实现了对信息系统内部控制质量的定量评价，也为信息系统内部控制审计提供一定的理论依据。

关键词：信息系统；内部控制；信息熵；评价指标

中图分类号： C931.6 文献标识码： A 文章编号： 1673-1069（2016）17-44-5

1 概述

随着信息技术在企业中的普及，企业的组织管理、经营活动、各类数据的传输以及相关信息的产生更多地依赖信息系统的自动化处理。信息系统已经成为企业管理的重要平台，信息系统内部控制也成为了企业内部控制的重要组成部分。《企业内部控制基本规范》第四十一条明确指出：“企业应当加强对信息系统开发与维护、访问与变更、数据输入与输出、文件储存与保管、网络安全等方面的控制，保证信息系统安全稳定运行”。根据《内部审计具体准则第28号——信息系统审计》第四章信息技术风险评估第十三条：“进行信息系统审计时， 审计人员应当识别组织所面临的与信息技术相关的内、外部风险，并采用适当的风险评估技术与方法，分析及评价其发生的可能性及影响程度，为确定审计目标、范围和方法提供依据”。作为审计所关注的重点领域，对信息系统实施内部控制可以有效地发现问题，规避风险。鉴于内部控制对维护信息系统安全、抑制信息系统风险、增加企业价值所起的决定性作用，业界给予信息系统内部控制方面的研究关注度日益增多。盛巧玲、吴炎太（2013）基于信息系统生命周期，参考COBIT的IT过程及运用层次分析法建立了信息系统内部控制评价指标体系，并借鉴能力成熟度模型提供了指标评分依据。陈翔（2010）结合信息系统生命周期和信息处理流程，定义了信息系统一般控制和应用控制的概念，分析了两者具有的风险，并提出了对关键控制活动的认识和应采取的措施。

信息系统是企业业务流程的重要组成部分，是企业实现经营和创造利润的重要资源，信息系统的安全性将决定着企业的未来发展。信息系统内部控制是维护信息系统安全的有效措施。信息系统内部控制可以看成一个离散系统，而信息熵可以用于对离散系统进行分析研究。近些年，也有不少学者运用信息熵作为研究方法。阮旭华（2011）构建了高校财务风险评估指标体系，并在此基础上探析了将信息熵法应用于评估高校财务风险的可行性。周薇、李筱（2010）基于信息熵来确定评价指标的客观权重，并结合主观权重，得出综合评价方法；再运用大学生综合素质评价体系为例说明综合评价方法的实用性与可行性。熊金石、秦洪涛等人（2013）把信息熵作为确定安全风险评估指标权重的方法，消除了专家在排序阶段的主观随意性。

信息技术的广泛应用在给企业发展带来好处的同时，信息系统的安全问题也变得尤为突出，信息系统内部控制作为应对信息系统风险的有效措施具有了现实的研究意义。信息熵理论的熵权法作为确定评价指标权重的方法也具有客观性。为此，本文基于信息熵理论对信息系统内部控制评价指标作了全新的研究，也为信息系统内部控制审计提供一定的理论依据。

2 信息系统内部控制风险评估指标构建

信息系统内部控制包括：一般控制和应用控制。一般控制是确保组织信息系统正常运行的制度和工作程序，其主要目标是保护数据与应用程序的安全，并确保在异常中断情况下计算机信息系统能持续运行。应用控制是为应对各类业务数据处理的特殊控制需求，保证业务数据处理过程中数据的完整、准确，主要包括输入控制、处理控制和输出控制。COBIT（Control Objectives for Information and related Technology）：即信息系统和技术控制目标。COBIT共含有34个信息技术过程控制，并划分为四个控制域：规划和组织、获得和实施、交付与支持以及监控与评价，是国际上公认的信息系统和技术管理与控制标准。本文在参考COBIT框架以及充分认识企业信息系统内部控制的内涵及其构成的基础上，通过实地调研并根据科学性、系统优化性、整体性、可行性等原则，从一般控制和应用控制两方面设置指标，见附表1。

3 利用信息熵计算信息系统内部控制评价指标权重

当前，对于评价指标权重的确定有多种方法，如德尔菲法、层次分析法等。德尔菲法可以利用专家的知识与经验，集思广益，但是没有明确的选择标准，预测结果也缺乏严格的科学分析；层次分析法既是系统性的分析方法，也是简单实用的决策方法，但是其所需定量数据较少，定性成分居多，评价结果不易令人信服。运用德尔菲法与层次分析法对评价指标进行赋权时都具有一定的主观随意性。此外，当评价指标过多时数据统计量大，运用层次分析法难以合理地确定权重。因此运用上述方法设计的评价指标在实际运用时就具有一定的局限性。本文为了摆脱信息系统内部控制评价过程中对主观赋权的依赖，提高信息系统内部控制评价指标权重的客观性，以及增强评价指标体系的适用性与稳定性，本文将运用信息熵理论的熵权法作为确定信息系统内部控制评价指标权重的方法。

3.1 评价指标的选取

假设有n个调查样本数据，收集n个样本数据的m个评估指标数据，可以形成多对象关于多指标的评价矩阵如下：

矩阵中，X′代表第i个样本数据第j个指标上的数值。

3.2数据的标准化处理

由于评价体系中各指标所表征对象的量纲存在不一致，无法直接对这些评价指标进行比较。因此，要对原始评价数据进行标准化处理，以消除观测量纲差异所造成的影响，本文采用极差标准化方法对原始数据进行标准化处理。

3.3 计算各指标的信息熵

在一个具有n个样本数据，m个评估指标的评估体系中，可以将第j个评价指标的信息熵定义为：

3.4 计算各指标的熵权

在一个具有n个被评价对象，m个评估指标的评估体系中，可以将第j个评价指标的熵权定义为：

某指标的信息熵越大，其熵权越小，该指标重要性越低。此外，还需要满足以下约束条件：

本文通过问卷调查的形式来收集企业信息系统内部控制的样本数据。样本数据都是根据被调查企业信息系统内部控制的实际情况得出，因此具有客观性与可靠性。此外，运用信息熵进行处理可以消除企业之间存在的一些差异，从而使得最终的评价结果更加客观有效。对回收的问卷根据公式（1）和公式（2）进行标准化处理，得到规范性矩阵，见附表2。

再根据公式（3）和公式（4）计算出各评价指标的客观权重，见附表3。

从计算的结果我们可以发现：信息系统内部控制一级指标中一般控制所占比重为0.6，应用控制所占比重为0.4，这也符合一般控制与应用控制之间的关系。一般控制适用于所有的控制，应用控制与特定的控制领域相联系，有效的一般控制是应用控制的基础和保障，良好的可以弥补一般控制的某些不足。任何舞弊事件的发生都是由于人的行为造成，因此一个有效的信息系统内部控制离不开对人员的控制，在一般控制一级指标下的职责划分、业务分配、教育培训二级指标都体现的信息系统内部控制对于人员的控制，它们在一般控制中所占比重都位于前列，其中职责划分和业务分配的权重更是位于第一和第二位。互联网技术的迅速普及在给企业发展带来便捷、高效、低成本的同时，安全问题也不断显现，比如一个病毒可以使企业经营陷入瘫痪。由此可见，互联网已然成为企业经营风险的重要来源之一。在上述指标权重中，信息系统病毒入侵防范控制的指标权重仅次于职责划分和业务分配的权重，这也符合当前企业应对信息系统风险的实际需求。输入、处理、输出是计算机数据处理过程中相互关联的三个环节，一个环节上的控制将影响下一个环节的数据处理的准确性与可靠性。因此信息系统输入控制、处理控制和输出控制在应用控制中所占比重由大到小排列也是合理的。

4 结束语

本文运用基于信息熵理论对信息系统内部控制评价指标进行了研究。通过上文的计算与分析，我们可以发现针对评价指标的信息熵计算熵权，得到的结果客观有效，实现了对信息系统内部控制质量的定量评价。这对于评价我国企业信息系统内部控制效果有一定的实用性，也为信息系统内部控制审计提供一定的理论依据。

参 考 文 献

[1] 张继国，（美）Vijay P. Singh.信息熵——理论与应用[M].北京：中国水利水电出版社，2012，8.

[2] 陈耿，韩志耕，卢孙中.信息系统审计、控制与管理[M].北京：清华大学出版社，2014.

[3] 盛巧玲，吴炎太.基于生命周期、AHP与CMM的信息系统内部控制评价方法[J].统计与决策，2012（2）.

[4] 陈翔.信息系统的一般控制和应用控制分析[J].会计之友，2010（1）.

[5] 阮旭华.基于信息熵法的高校财务风险评估探析[J].会计之友，2011（3）.

[6] 周薇，李筱菁.基于信息熵理论的综合评价方法[J].科学技术与工程，2010，8（23）.

[7] 熊金石，秦洪涛，等.基于信息熵的安全风险评估指标权重确定方法[J].系统科学学报，2013，5（2）.

[8] 施永香，周萱，李娅.IT风险及控制测评研究[J].中国管理信息化，2013，6（11）.

[9] 财政部.企业内部控制基本规范[S].

[10] 中国内部审计协会.内部审计具体准则第28号——信息系统审计[S].