企业内部信息系统审计工作绩效的评价指标设计

◇付 玥 左晓亮

一、信息系统审计绩效评价指标的设计方法与原则

（一）指标设计方法

平衡计分卡平衡了短期与长期业绩、外部与内部业绩、财务与非财务业绩以及不同利益相关者的角度，包括：财务角度、顾客角度、内部流程角度、创新与学习角度。由于平衡计分卡的战略性、平衡性，本文采用平衡计分卡设计信息系统审计绩效评价指标。

（二）指标设计原则

在设计信息系统审计绩效评价指标时，应遵循以下设计原则：

1.结合IT治理的目标。IT治理最重要的任务是，确保信息技术与各项业务的有效结合，使信息技术与企业战略保持一致，促进组织收益最大化与风险的最有效控制。

2.体现信息系统审计的价值。在设计评价指标时，需要挖掘信息系统审计的确认和咨询活动的价值，使评价指标能够体现信息系统审计的价值。

3.指标能够被衡量。每项指标应能够被明确地衡量，且衡量采用的算法应尽可能简便，以便于绩效审计评价工作的开展。

4.被认可和接受。管理者对此的认可度是评价体系被实施的前提，而员工对此的接受度是评价体系被实施的关键。

二、企业内部信息系统审计工作绩效评价指标

根据平衡计分卡的工作原理，将信息系统审计工作绩效分解为财务、客户、内部流程和学习创新四个维度后，结合上述指标设计原则，设计出企业内部信息系统审计工作绩效的评价指标：

（一）财务价值维度

从投入与产出的关系进行分析，财务价值维度主要关注为企业节约IT成本和审计成本，为企业避免造成的损失和挽回的损失，以及引进新IT项目产生的商业价值。具体指标如下：

1.提高的收益

引进的信息化项目投资回报率。信息系统审计作为企业实现信息化战略的重要途径之一，同时作为企业IT治理的组成部分，有义务确保信息技术与企业战略保持一致。信息系统审计人员往往能够从全局、多方位考虑，向企业高管层提出新的IT项目实施建议，推进、引进新技术，顺应时代发展变革，从而产生商业价值。

2.节约的成本

（1）IT成本节约额占管理费用总额比率。信息系统审计人员通过审核采购流程、盘点固定资产，发现其中存在的问题，这些都是信息系统审计人员为企业节约的IT成本。

（2）信息系统审计成本占管理费用总额比率。企业内部审计成本控制是企业本着以最小的审计成本，最优化合理配置企业资源的一种手段。改进审计方法、整合审计资源、提高内部审计人员的审计技术水平等，都是有效控制信息系统审计成本的途径。

3.挽回（或避免）的损失

（1）操作系统经济损失降低率。操作系统是计算机系统的核心与基石，信息系统审计人员及时发现操作系统的管理漏洞和技术漏洞，能够有效避免操作系统安全问题带来的损失。

（2）数据库经济损失降低率。数据库用户管理、权限管理、角色管理、文件管理的安全性影响着存储数据的安全性。审计人员发现的数据库漏洞而降低的经济损失，是信息系统审计的绩效之一。

（3）应用系统经济损失降低率。应用系统是普通员工所能接触到数据的系统，也是员工将数据输入的介质，应用系统的输入、处理、输出的完整性、准确性对于系统而言至关重要。信息系统审计人员及时发现应用系统的漏洞，降低漏洞可能造成的损失，是信息系统审计工作在财务方面的价值之一。

（4）提升IT服务的连续性和可用性所减少的损失。信息系统审计人员通过反馈企业的IT容灾、数据备份问题，以及机房环境、网络架构部署问题，提升IT服务的连续性和可用性，避免发生IT服务中断事故而造成的商业损失。

（5）发现未遵守国家法律法规的行为，避免被罚款或遭受法律制裁。例如，使用未经授权软件会使企业面临技术、商业甚至法律上的风险。审计人员发现此类违法行为，能够有效避免企业受到处罚，除了防止影响企业形象之外，间接地为企业节约了成本。

（6）查处利用信息系统进行舞弊事件而挽回的经济损失。IT技术复杂程度高，相关人员利用信息系统技术漏洞和管理漏洞来进行舞弊具有很大的隐蔽性，通过查处利用信息系统进行舞弊事件，为企业挽回已发生的经济损失，这是信息系统审计的显性价值。

（二）客户维度

对于信息系统审计工作而言，董事会及审计委员会、企业IT部门、广大员工都属于客户。客户维度具体可通过满意度和贡献度两类指标来衡量：

1.客户满意度

客户满意度角度可根据以下两项满意度调查结果进行量化，以衡量客户对信息系统审计提供的服务的认可：①董事会及审计委员会满意度调查结果；②被审计者（IT部门）满意度调查结果。

2.对客户的贡献度

（1）治理层、管理层对IT重视度的提升。信息系统审计工作人员将信息系统审计报告呈送相关治理层和管理层，让他们认识目前企业所面临的IT风险、存在的IT问题，对IT重视度的提升有一定的贡献。

（2）员工对信息安全认知的提升。员工是企业信息安全体系的重要参与者和落实者，提升企业信息系统的安全性是每名员工努力的结果，信息系统审计人员通报信息系统审计工作结果、分享信息安全案例、传递信息安全防护基本知识，从而提高员工对信息安全的认知。

（3）对IT制度的优化占比。通过IT内部控制审计，信息系统审计人员能够通过识别IT风险，改善风险管理水平，优化IT部门业务流程，纠正IT部门日常工作，完善工作操作指引和岗位职责，从而提高业务竞争力。

（4）信息安全事件发生次数。信息安全审计是信息系统审计工作的重要组成部分，目的是有效预防信息安全事件的发生。信息安全事件发生的次数不仅是衡量IT绩效的重要指标，也能够有效衡量信息系统审计工作的绩效。

（5）核心系统平均无故障运行率。信息系统审计人员通过审查业务可持续性计划、灾难恢复计划和测试报告，发现其中的问题，提出改进建议，减少因重大事故造成业务中断的时间，从而提高无故障运行率，为使用者提供稳定、高效的信息化环境。

（6）对内审部门中财务审计等其他方向审计的贡献。信息系统审计工作一开始便是产生于对于财务审计的辅助功能，因此除了独立地开展信息系统审计项目之外，信息系统审计人员也会参与财务、工程等审计项目，为其他审计项目提供支持。

（三）审计业务流程维度

审计业务流程维度主要用于衡量信息系统审计工作的效率和效果，以保证高质量和高效率的信息系统审计工作，具体可将该维度分为审计质量和审计效率两类指标进行衡量：

1.审计质量

（1）审计底稿、审计报告撰写质量。一份高质量的审计底稿，需要完整、真实、清晰地记录审计过程，且抽样合理。审计底稿和报告的质量，反映了审计业务流程的规范程度和工作质量。

（2）重大审计发现的数量。任何企业都无法做到尽善尽美，因此找到问题不是难事，难的是找准重大问题。为避免审计人员为了完成任务而去发现大量小问题，重大审计发现的数量成为绩效评价指标之一。

（3）审计建议被采纳的比例。内审部门除了关注发现问题的情况，更需要关注审计所发现的问题是否能够被及时化解，这是衡量审计建议质量的重要方面，也是审计结果是否被业务部门接受，从而真正为企业创造价值的根本所在。

2.审计效率

（1）审计计划完成比例，即所完成的审计项目数量占计划项目总数量的百分比，是衡量审计工作效率的重要指标。

（2）审计工具的运用情况。由于审计线索的隐蔽性、易逝性，审计取证的动态性，审计人员运用的审计工具越多，代表着信息系统审计越具有专业性、高效性，当然审计成本也会随之增加。

（3）用于IT确认活动与咨询活动的时间比例。IT确认和IT咨询活动都是信息系统审计工作不可或缺的一部分，信息系统审计同时承担着监督和服务的责任，在工作中进行合理的时间配比有助于信息系统审计资源的有效分配，提高工作效率，创造更大的价值。

（四）学习与创新维度

学习与创新维度主要用于衡量信息系统审计工作的持续发展能力，提倡创新的工作理念，以保证审计的工作质量，提升审计人员素质，具体指标如下：

1.学习

为了及时发现并有效控制IT风险，IT人员需要不断学习新的知识和技能。同时，企业信息化环境的不断变化也对信息系统审计工作产生一定的影响，因此需要从以下两方面衡量信息系统审计人员的专业能力：①信息系统审计人员年均培训时间；②审计人员教育程度、具有职业认证的人员比例。

2.创新

（1）创新审计发现数量。在同一企业内部，由于行业、管理的一致，不同子公司、不同IT项目存在的问题具有一定的共性，同样的问题可能会多次反映在不同的报告中，容易在审计时产生思维定式，遗漏关键问题。因此鼓励创新、发现原来未曾发现的问题，是信息系统审计工作绩效所考虑的一项内容。

（2）对信息系统审计程序的完善数量。信息系统审计程序的补充、增加、修改，都是对审计工作流程的贡献，更是创新意识的驱动结果。

三、结语

通过上述分析，本文在平衡计分卡的一般框架内，根据信息系统审计的价值与工作流程，并依据指标设计原则，设计了一套企业内部信息系统审计绩效评价的指标，有利于信息系统审计工作绩效评价体系的构建，从而优化内部审计流程，提升信息系统审计效能，帮助企业增加价值。而在构建和完善信息系统审计工作绩效评价体系时，评价指标如何进行量化，权重如何分配，还有待继续探索。

[1]陶芸辉．IT审计风险评价与控制研究[D]．蚌埠：安徽财经大学，2013．

[2]冯淑萍．IT审计时代背景下政策取向[J]．中国注册会计师，2016(11)．

[3]何云海．浅议信息系统审计的特点[J]．内控与审计，2013(03)．

[4]王海林．IT环境下企业内部控制探讨[J].会计研究，2008(11)．