信息审计方法比较研究

【摘要】2　信息审计涵义与任务 2.1信息审计的涵义 虽然信息审计日前已经在国外被广泛地应用于各种组织机构，但对信息审计具体概念仍没形成一致性认识，不同的专家学者有着他们各自不同的理...

[摘要]选取四种较具代表性的信息审计方法，分别介绍其基本理论和流程；从全面性、适用性和可用性三个方面对其进行比较分析，最终得出一个可行性框架以指导信息审计人员进行审计方法选择，或针对具体案例进行个性化信息审计方法定制。

[关键词]信息审计　信息审计方法 比较研究

[分类号]F239.1

1　前言

进入21世纪以来，信息技术的迅猛发展加强了组织与组织之间以及组织内部各部门之间的联系。如何建立与企业信息战略目标相匹配的信息系统、提高信息管理效率对CIO提出了更多的挑战。而信息管理工作中存在的“信息迷失”、“信息过载”、信息管理工具缺失、信息与信息战略不协调等问题日益突出。因此信息审计作为解决这些问题的一种方法逐渐引起了人们的重视。而目前信息审计方法还没有一个公认的标准。这给信息审计人员在选择信息审计方法时造成了困惑，同时也形成了不必要的浪费。为此，本文就现行的几种较有代表性的审计方法进行比较分析，作为信息审计人员选择审计方法的参考依据，从而选择或定制出最适合的信息审计方法，节约信息审计成本。

2　信息审计涵义与任务

2.1信息审计的涵义

虽然信息审计日前已经在国外被广泛地应用于各种组织机构，但对信息审计具体概念仍没形成一致性认识，不同的专家学者有着他们各自不同的理解和看法。以下是不同学者、机构对信息审计的定义：

Buchanan和Gibb认为“信息审计主要任务是通过发现、监控、评估组织信息资源，进而有效地实施、持续并且发展组织信息管理。”

英国信息管理学会给出的定义是：信息审计是通过对组织成员和现有文档资料的调研查证，系统地评估组织的信息利用情况、信息资源和信息流的过程，通过信息审计可以确定组织内的信息为组织目标服务的程度。

Orna认为“信息审计是通过对一个组织中的人、文档等的查证，系统地检查信息产生、利用和流动的情况，进而确定其支持目标。”

结合当前新的信息环境和信息理论，基于狭义的信息资源定义，本文认为信息审计是一种通过识别、评估组织信息资源、信息流、信息需求，发现、解决组织信息管理缺陷的管理工具。

2.2信息审计的任务

不同信息审计项目的目标各有侧重，但信息审计最根本的目标是对信息管理工作进行有效控制，进而促进组织信息管理效率，达到组织既定的信息战略目标。所有的信息审计活动都是围绕着这个最根本的目标进行的。为了实现这个最基本的目标，信息审计工作必须包括识别组织信息资源和确定组织信息需求这两项任务，此外通常还包括以下几项任务：①分析信息资源对于组织战略发展的利用价值及可利用率；②识别经验技能及知识资产等组织内隐性知识；③识别信息缺口；④识别可为组织带来利益的关键点；⑤评价外部信息资源的利用，提出改进方案；⑥评价内部信息资源利用效果，提出改进方案；⑦描绘出组织信息流及其瓶颈；⑧描绘出组织内的信息地图；⑨设立一系列支持组织信息管理的信息管理原则；⑩监督、评估组织信息战略标准、政策、指导方针的一致性。

3　信息审计的四种主要方法

由于审计对象审计需求的多样化导致了审计方法的多样化，所以本文只选取了有通用性的四种方法：Burk和Horton的信息地图法、Oma的信息流方法、Buchanan和Gibb的集成审计法和Henczel于2001年提出的新信息审计方法。本文在选择考察对象上同时注重其是否能和相关标准相结合(如ISO14589标准)，从而形成标准化流程方法。

3.1信息地图法

Burk和Horton发明的信息地图法可以被认为是第一个被广泛应用的详细的信息审计方法，主要包括4个阶段：

・调查阶段：通过访问员工和发放调查问卷确定组织信息资源基础。

・成本收益分析阶段：分析信息资源的利用成本和价值的比率。

・分析阶段：分析组织信息的结构、功能和管理，确定与组织战略相关的信息资源。

・综合阶段：基于组织目标对组织内的信息进行分析，确定其对组织的价值。

3.2信息流法

Oma的信息流法是一种自上而下的信息审计方法，在其审计过程中包括组织机构分析这一环节。同时，信息流法不仅重视信息资源的识别，同时还对组织信息流进行了分析。信息地图的审计结果从本质上讲是信息资产清单，而信息流法的审计结果则是组织信息政策方针。信息流法最初由4步构成，后来发展成为一个10步的包括事前和事后审计的详细方法：

・分析组织关键业务目标的信息需求，进行战略层初级调查以确定信息审计指导方针。

・取得管理层的支持，即获得高级管理人员的委托进行审计。

・取得组织其他成员的广泛支持。

・设计审计计划，包括：项目计划、团队选择、审计工具和技术选择。

・确定组织信息资源及信息流。

・基于历史数据对信息资源和信息流进行分析。

・公开信息审计结果，审计报告。

・制定信息政策，实现信息改革方案。

・监控改革效果，测评变革数据。

・重复审计循环，建立信息审计循环机制。

3.3集成审计法

Buchanan和Gibb发明了一种自上而下的信息审计集成审计法，其在信息流法基础上有所扩展，同时有更全面的信息审计工具设置。集成审计法广泛地吸收了那些原来用于制定管理原则的工具和技术。其主要步骤包括：

・准备阶段：宣传信息审计的重要性；确保高层支持和组织问的协作；进行初步的组织调查。

・初步识别阶段：通过确定组织信息资源和信息流，进行自上而下的组织战略分析。

・分析阶段：分析、评估已经被识别的信息资源。

・会计核算阶段：对信息资源进行成本收益分析。

・综合分析阶段：报告信息审计结果和组织信息战略。

3.4 Henczel的新方法

Henczel在分析信息流法和集成审计法的基础上于2001年提出了新的信息审计方法。其主要由7步组成：

・计划筹备：审计计划和准备，通过案例分析取得高层支持。

・数据收集：通过调研建立组织信息资源数据库。

・数据分析：对收集到的数据进行标准化分析。

・数据评估：进行数据判读，提出建议。

・建议交流：报告信息审计结果，交流意见。

・实施建议：开展信息审计建议改革项目。

・二次审计：使信息审计经常化、规律化。

4　四种主要的信息审计方法比较

本文从全面性、适用性、可用性三个方面对上文提及的四种信息审计方法进行比较分析。全面性是指对信息审计方法的概念、逻辑关系和结构进行分析；适用性指信息审计方法的适用范围以及是否能进行个性化

设置；可用性指信息审计方法是否能被广泛应用。

4.1全面性

要对这四种信息审计方法进行比较分析最大的难题是目前还没有一种标准的、公认的方法和参考模型。本文为了对所选信息审计方法的全面性进行有效分析，在分析综合几种方法步骤的基础上提出了一个指导选择信息审计方法或制定个性化信息审计步骤的比较模型。

首先通过分析每一种方法中所有的步骤，对其进行分类整合列表分析。即通过分析四种信息审计方法步骤，编制一个关于信息审计阶段的清单，最终形成一个层次比较模型。经分析，四种审计方法总共拥有7个阶段：

・审计准备阶段：项目规划、准备审计案例、取得许可、信息审计动员和教育、初步分析。

・组织分析阶段：组织战略分析、组织文化分析。

・数据调查阶段：调查信息用户、识别信息资源、描绘组织信息流。

・会计核算阶段：成本、商业利益和信息资源价值。

・综合分析阶段：分析调查结果。

・审计报告阶段：报告、交流信息审计分析结果和改革建议。

・总结阶段：指导组织信息管理政策和信息战略开发、实施改革建议、创建信息审计循环机制、对信息审计追踪控制。

最后将每一种信息审计方法都汇入此模型中(见表1)进行比较分析。从表1中可以看到信息地图法主要任务集中于信息审计的核心方面，而缺乏初步设置、战略和组织分析和事后审计政策开发等。集成审计法缺乏初步设置阶段然。信息流法和Henzcel的方法十分相似，只有极小的区别，如0ma把初步分析阶段放到设置阶段之前以指导后者。

最后值得注意的是此模型是一个高层次的、近似的比较模型，并未评估这些方法每一步的实施效果，所以并不能作为最终的比较结果，这也是为什么我们还要在下面讨论这些方法的适用性和可用性。此外，本文认为全面性比较最重要的贡献是提供了一个评价比较模型框架，其不仅仅可以应用于现行的信息审计方法，而且可以应用于未来个性化方法定制流程中。

4.2适用性

适用性是指信息审计方法对组织信息管理需求而言是否合适，即是否能满足组织需求。此项比较的目的就是分析考察每一种信息审计方法针对何种审计环境更为适用。主要通过审计范围和柔性两点来评价。

4.2.1审计范围 本文采用Buchanan和Gibb提出的信息审计范围矩阵对信息审计方法进行比较分析。矩阵由Earl提出的信息战略考察内容和组织运作层级两个维度组成，如表2所示：

表2标明了每一种信息审计方法所涉及的组织层级和信息战略考察内容。信息地图法审计范围只涉及组织资源层，是典型的自下而上的审计方法，同时其缺少组织分析阶段。集成审计法、信息流法和Henczel的方法都有相同的审计范围，能从战略和资源两个方面解决信息战略的四个要素。

根据表2所示，四种方法都没有涉及到业务流程层面。集成审计法、信息流法和Henzcel的方法都有信息流描述阶段，但都没有明确地把业务流程模型分析作为其审计活动的重要组成，其仅仅把业务流程模型分析作为一个可选项。而信息地图法没有信息流分析，其基于业务单元的信息资产表，也没有具体的业务流程模型分析。

4.2.2审计方法的柔性　本文从两个维度来考察信息审计方法的柔性：第一，根据具体要求精简审计流程的能力；第二，覆盖组织审计范围的能力。信息流法和Henczel的方法都有审计准备阶段，而信息地图法和集成审计法则没有。四种方法的作者都指出其方法是可以进行个性化定制，但都没有提出具体指导方针。同样的缺陷也出现在确定组织审计范围中。信息流法和Henzcel的方法提供了一些确定审计范围的指导方针和方法，但是信息地图法和集成审计法虽然提及但没有提供具体方法。

4.3可用性

ISO 9241―11对可用性的定义为：在特定环境下产品能够被用户使用，进而有效达到特定目标的能力。本文通过技术要求和支持工具来评价信息审计方法的可用性。

4.3.1技术要求　四种方法的作者都要求众多相关技术支持――从简单的信息审计原理到远远超出信息从业人员知识范围的技术要求。如集成审计法就包括：项目管理、战略分析、系统分析、统计分析、会计分析等技术要求。

四种方法都涉及到一些基础信息审计技术，其技术区别主要集中在“组织分析”和“会计核算”两个阶段，如：信息地图法没有战略和组织分析阶段，而且用简单的成本收益比率分析替代正式的会计核算方法。集成审计法包括战略分析阶段和正式的会计阶段。信息流法含有战略分析相关内容，但其考察重点在于组织结构分析。信息流法还包括基于信息地图的成本分析。Henczel的方法包括基于集成审计法的战略分析阶段，但是采用简单的会计核算方法，集中核算高层次信息资源成本收益。

总之，集成审计法的技术要求最高，包括战略管理和会计管理的内容。信息流法和Henzcel的技术要求其次，其采用的会计审计方法较为简单。信息地图法要求的信息审计技术最为简单，但是其也限制了其信息审计范围。

4.3.2支持工具　同技术要求相似，支持工具也覆盖了战略和组织分析、数据收集分析、信息流和流程模型、信息系统分析、成本收益分析和总结报告技术等多领域。以下就每种方法提出的相关工具进行分析。

信息地图法在信息资源的识别方面最为有效。信息地图法为制作信息资产表提供了极其有效的信息资源获取、识别、描述工具。此方法也包括决定成本收益的表格被信息流法和集成审计法所采用。信息地图法工具集的局限表现在其只着重考察组织信息资源，而没有组织分析阶段和战略开发阶段工具。

信息流法的支持工具设置同样有局限性。由于其方法中缺少对初步组织分析的工具设置，Buchanan与Niekerson对此提出了设置全面性工具集合以支持信息审计每一步骤的建议。但是Oma在日后的研究报告或案例论证中并没有对这一方面的内容加以补充。

集成审计法在现有管理工具基础上提出了一个较全面的支持工具集合，涉及到集成信息审计工作的每一阶段。同时还提供了一个元数据模型用于描绘组织战略、信息战略和信息资源之间的关系，并应用会计方法于有问题的信息资源的成本收益分析。

Henczel方法的支持工具集合和信息流法和集成审计法相似。其同样缺乏组织分析和信息流模型，和集成审计法一样虽涉及到了流程模型但没有指导原则。Webster曾经指出涉及到具体的组织文化分析时，其具体操作过程描述过于模糊。

5　结语

本文选择的每一种信息审计方法都有其优势、劣势和适用性。选择一种合适的方法应该基于两点：第一，组织需求和信息审计结果范围；第二，信息审计人员的技术和经验及相应的支持工具。最终，希望本文能够帮助信息审计人员有效选择合适的信息审计方法。