陈菲

随着信息系统在企业生产经营中的广泛应用，为了有效避免“IT生产力悖论”现象的出现，亟须对企业信息系统开展绩效审计，深入了解信息系统对企业发挥的作用与价值，减少盲目投资而产生的损失

随着信息技术的迅猛发展，我国企业在信息系统构建方面的投资规模越来越大，信息系统也日渐成为企业运营中不可缺少的“基础设施”，信息系统审计进而成为内部审计无法回避的领域。国际信息系统审计与控制组织（ISACA）将信息系统审计定义为一个获取并评价证据，以判断计算机系统是否能够保证资产的安全、数据的完整以及有效率地利用组织的资源并有效果地实现组织目标的过程。信息系统审计的价值在于通过评价和鉴证来优化企业的IT管理，防范信息化风险。针对传统审计和一般信息系统审计在信息系统领域绩效评价方面存在的固有缺陷，探索适应当下企业环境的IT绩效审计概念成为当务之急。

明确IT绩效审计的目标、内容及原则

对于IT绩效审计这一概念，简单地讲就是绩效审计与信息系统审计的有机结合，是对信息系统经济性、效率性和效果性所作的评价与监督。从更深层次来看，是贯穿于信息系统整个生命周期的一系列过程的绩效审计，主要是为了提高系统的整体运行效率，更好地满足企业发展的需求。

审计目标。当信息系统成为经济活动所依赖的运行环境时，信息系统自身的安全性和可靠性，信息系统内控有效性对数据的真实性、完整性和准确性的影响，信息系统自身以及对满足企业运营的经济性、效率性和效果性，这三个方面成为开展IT绩效审计的目标。

审计内容。IT绩效审计的目的，是希望通过检查被审计单位信息系统的顶层设计及建设实现，提升管理决策支持能力、经济业务协同能力、系统建设发展能力和信息系统贡献能力，改善经济业务活动的效率、效果和效能；通过揭示信息系统顶层设计和建设方面的不足，并提出审计意见和建议，促进信息系统的实际效能提升，为审计项目对系统建设绩效的审计评价提供支持。其中，信息系统绩效审计事项主要包括信息系统总体绩效评价、管理决策支持能力的绩效评价、信息资源共享能力的绩效评价、经济业务协同能力的绩效评价、系统建设发展能力的绩效评价、信息系统贡献能力的绩效评价等六个方面。

审计原则。开展IT绩效审计应当遵循四大原则：一是秉承绩效审计的3E原则。IT绩效审计虽然以信息系统为切入点，但最终目的还是反映企业信息系统自身和为企业带来效益的能力。因此，IT绩效审计的经济性、效率性和效果性应当贯穿于审计始终。二是目标一致性原则。企业经营的目的是实现企业自身的战略目标，信息系统作为企业的一部分，其绩效审计评价体系也应当与企业战略目标保持一致。三是适应性原则。随着环境的变化和信息技术的发展，企业IT绩效审计方法也应随之做出改进和调整，以增强IT绩效审计的适应性。四是可行性原则。在设计IT绩效审计评价指标时，相关数据要易于取得，指标具有可操作性。企业在考虑指标全面性的同时，也必须有所突出，同时也要考虑指标之间的关联性。

以案例分析的方式探索IT绩效审计

A公司是一家非银行金融机构，是某集团全资子公司。作为高风险金融类企业，集团高层对A公司的风险管控高度重视，责令集团审计部对A公司开展专项审计。集团审计部在充分审前调查和风险评估的基础上，决定对A公司进行IT绩效审计，针对A公司核心业务系统现状，分别从系统建设背景和项目目标，系统需求与设计的合规性和有效性，系统功能的实现情况，关联系统的数据对接情况，系统的服务能力、效率及运行能力等五个方面进行重点审计。

在开展IT绩效审计的过程中，审计组发现存在的四大问题：

首先是系统设计逻辑存在缺陷，关键风险控制不到位，核心业务系统之间的交互数据校验控制不充分。A公司以资金系统为核心，其他外围系统实现与之对接。由于信息化规划不清晰，各核心业务系统底层架构设计逻辑不明确，接口设计未对接口性能影响进行有效分析，各核心业务系统之间的交互数据校验控制不充分，导致审计期间发生多起重大风险事件。

其次是系统开发规划性不足，可行性分析论证不充分。A公司报表系统在建设前期，仅完成了技术实现方案，未进行系统建设可行性和必要性分析。在随后的历次开发中，均未考虑业务变化和系统后期的扩展问题，导致报表系统在功能及扩展性上无法满足现有业务需求。

再次是系统原始需求不细化，系统上线前测试不充分，导致部分系统重复建设。A公司资金系统和报表系统原始需求较为简单，未进行系统需求分析。且各核心业务系统普遍存在測试不充分、测试文档留存不完整的现象。

最后是核心业务系统运维不到位，信息管理人员专业能力有待提高等。A公司信息技术部现有人员整体缺乏对信息化硬件服务器、中间件和数据库等IT工作的从业经验及专业能力。运维人员对各核心业务系统熟悉程度不够，运维经验不足，系统运行的有效性难以保证。

从案例中带来的IT绩效审计启示

随着信息系统审计理论的不断发展，绩效管理的不断深入，IT绩效审计也将随之逐步发展变化。基于上述案例，可以发现，IT绩效审计还需在风险评估、审计侧重点、审计方法等方面进一步加强探索。

IT绩效审计需要在风险分析与评估的基础上，开展风险管理和绩效评价。重点内容在于风险识别、风险评估和风险管理。IT绩效审计不仅要关注信息系统本身，更要关注依托系统的业务流，强调信息系统在防范风险和提升效率方面的价值。在开展IT绩效审计时，风险防范要贯穿于整个审计过程始终，关注信息化管理的效果。

IT绩效审计的目的和其所处的地位和角度的不同，使得企业关心的侧重点不同。IT绩效审计的对象既包括企业信息系统、企业信息化项目，又包括企业信息化发展战略。IT绩效审计本身不是目的，最终目标是为了支持决策。重点关注企业信息系统应用过程中能够导致企业经营活动，生产活动和管理活动发生变化的因素，涉及的内容既包括财务因素，也包括非财务因素。

科学合理的IT绩效审计方法是获取绩效审计信息和取得审计结果的手段，有利于审计指标的建立和审计结果的达成。审计方法的发展经历大致经历了观察法、统计法、财务评价法、财务评价与非财务评价法相结合的四个阶段。而IT绩效审计在中国处于起步阶段，随着信息系统审计在我国的全面开展和广泛应用，IT绩效审计评价体系的确立、完善和共识将会逐步清晰。

（作者单位：北京汽车集团产业投资有限公司）