信息审计方法比较研究.doc

信息审计方法比较研究［摘要］选取四种较具代表性的信息审计方法，分别介绍其基本理论和流程；从全面性、适用性和可 用性三个方面对其进行比较分析，最终得出一个可行 性框架以指导信息审计人员进行审计方法选择，或针 对具体案例进行个性化信息审计方法定制［关键词］信息审计信息审计方法比较研宄［分类号］F239.11 刖目进入21世纪以来，信息技术的迅猛发展加强了组 织与组织之间以及组织内部各部门之间的联系如何 建立与企业信息战略目标相匹配的信息系统、提高信 息管理效率对CIO提出了更多的挑战而信息管理工 作中存在的“信息迷失”、“信息过载”、信息管理工具 缺失、信息与信息战略不协调等问题日益突出因此 信息审计作为解决这些问题的一种方法逐渐引起了人 们的重视而目前信息审计方法还没有一个公认的标 准这给信息审计人员在选择信息审计方法时造成了 困惑，同时也形成了不必要的浪费为此，本文就现 行的几种较有代表性的审计方法进行比较分析，作为 信息审计人员选择审计方法的参考依据，从而选择或 定制出最适合的信息审计方法，节约信息审计成本2信息审计涵义与任务2.1信息审计的涵义虽然信息审计日前已经在国外被广泛地应用于各 种组织机构，但对信息审计具体概念仍没形成一致性 认识，不同的专家学者有着他们各自不同的理解和看 法。

以下是不同学者、机构对信息审计的定义：Buchanan和Gibb认为“信息审计主要任务是通 过发现、监控、评估组织信息资源，进而有效地实施、 持续并且发展组织信息管理英国信息管理学会给出的定义是：信息审计是通 过对组织成员和现有文档资料的调研查证，系统地评 估组织的信息利用情况、信息资源和信息流的过程， 通过信息审计可以确定组织内的信息为组织目标服务 的程度◦rna认为“信息审计是通过对一个组织中的人、 文档等的查证，系统地检查信息产生、利用和流动的情况，进而确定其支持目标结合当前新的信息环境和信息理论，基于狭义的信息资源定义，本文认为信息审计是一种通过识别、 评估组织信息资源、信息流、信息需求，发现、解决 组织信息管理缺陷的管理工具2.2信息审计的任务不同信息审计项目的目标各有侧重，但信息审计 最根本的目标是对信息管理工作进行有效控制，进而 促进组织信息管理效率，达到组织既定的信息战略目 标所有的信息审计活动都是围绕着这个最根本的目 标进行的为了实现这个最基本的目标，信息审计工 作必须包括识别组织信息资源和确定组织信息需求这 两项任务，此外通常还包括以下几项任务：①分析信 息资源对于组织战略发展的利用价值及可利用率；② 识别经验技能及知识资产等组织内隐性知识；③识别 信息缺口；④识别可为组织带来利益的关键点；⑤评 价外部信息资源的利用，提出改进方案；⑥评价内部 信息资源利用效果，提出改进方案；⑦描绘出组织信 息流及其瓶颈；⑧描绘出组织内的信息地图；⑨设立 一系列支持组织信息管理的信息管理原则；⑩监督、 评估组织信息战略标准、政策、指导方针的一致性。

3信息审计的四种主要方法由于审计对象审计需求的多样化导致了审计方法 的多样化，所以本文只选取了有通用性的四种方法： Burk和Horton的信息地图法、Oma的信息流方法、 Buchanan和Gibb的集成审计法和Henczel于2001年 提出的新信息审计方法本文在选择考察对象上同时 注重其是否能和相关标准相结合（如ISO14589标准）， 从而形成标准化流程方法3.1信息地图法Burk和Horton发明的信息地图法可以被认为是 第一个被广泛应用的详细的信息审计方法，主要包括 4个阶段：?调查阶段：通过访问员工和发放调查问卷确定组 织信息资源基础成本收益分析阶段：分析信息资源的利用成本和 价值的比率分析阶段：分析组织信息的结构、功能和管理， 确定与组织战略相关的信息资源综合阶段：基于组织目标对组织内的信息进行分 析，确定其对组织的价值3.2信息流法Oma的信息流法是一种自上而下的信息审计方法 在其审计过程中包括组织机构分析这一环节同时， 信息流法不仅重视信息资源的识别，同时还对组织信 息流进行了分析信息地图的审计结果从本质上讲是 信息资产清单，而信息流法的审计结果则是组织信息 政策方针。

信息流法最初由4步构成，后来发展成为 一个10步的包括事前和事后审计的详细方法：?分析组织关键业务目标的信息需求，进行战略层 初级调查以确定信息审计指导方针取得管理层的支持，即获得高级管理人员的委托 进行审计取得组织其他成员的广泛支持设计审计计划，包括：项目计划、团队选择、审 计工具和技术选择确定组织信息资源及信息流基于历史数据对信息资源和信息流进行分析公开信息审计结果，发布审计报告制定信息政策，实现信息改革方案监控改革效果，测评变革数据重复审计循环，建立信息审计循环机制3.3集成审计法Buchanan和Gibb发明了一种自上而下的信息审 计集成审计法，其在信息流法基础上有所扩展，同时 有更全面的信息审计工具设置集成审计法广泛地吸 收了那些原来用于制定管理原则的工具和技术其主 要步骤包括：?准备阶段：宣传信息审计的重要性；确保高层支 持和组织问的协作；进行初步的组织调查初步识别阶段：通过确定组织信息资源和信息流 进行自上而下的组织战略分析分析阶段：分析、评估已经被识别的信息资源会计核算阶段：对信息资源进行成本收益分析综合分析阶段：报告信息审计结果和组织信息战3.4 Henczel的新方法Henczel在分析信息流法和集成审计法的基础上 于2001年提出了新的信息审计方法。

其主要由7步组 成：?计划筹备：审计计划和准备，通过案例分析取得 高层支持数据收集：通过调研建立组织信息资源数据库 ?数据分析：对收集到的数据进行标准化分析数据评估：进行数据判读，提出建议建议交流：报告信息审计结果，交流意见实施建议：开展信息审计建议改革项目二次审计：使信息审计经常化、规律化4四种主要的信息审计方法比较本文从全面性、适用性、可用性三个方面对上文 提及的四种信息审计方法进行比较分析全面性是指 对信息审计方法的概念、逻辑关系和结构进行分析； 适用性指信息审计方法的适用范围以及是否能进行个 性化 设置；可用性指信息审计方法是否能被广泛应用4.1全面性要对这四种信息审计方法进行比较分析最大的难 题是目前还没有一种标准的、公认的方法和参考模型 本文为了对所选信息审计方法的全面性进行有效分析， 在分析综合几种方法步骤的基础上提出了一个指导选择信息审计方法或制定个性化信息审计步骤的比较模 首先通过分析每一种方法中所有的步骤，对其进行分类整合列表分析即通过分析四种信息审计方法 步骤，编制一个关于信息审计阶段的清单，最终形成 一个层次比较模型经分析，四种审计方法总共拥有 7个阶段：?审计准备阶段：项目规划、准备审计案例、取得 许可、信息审计动员和教育、初步分析。

组织分析阶段：组织战略分析、组织文化分析数据调查阶段：调查信息用户、识别信息资源、 描绘组织信息流会计核算阶段:成本、商业利益和信息资源价值综合分析阶段：分析调查结果审计报告阶段：报告、交流信息审计分析结果和 改革建议总结阶段：指导组织信息管理政策和信息战略开 发、实施改革建议、创建信息审计循环机制、对信息 审计追踪控制最后将每一种信息审计方法都汇入此模型中（见 表1）进行比较分析从表1中可以看到信息地图法主 要任务集中于信息审计的核心方面，而缺乏初步设置、 战略和组织分析和事后审计政策开发等集成审计法 缺乏初步设置阶段然信息流法和Henzcel的方法十 分相似，只有极小的区别，如Oma把初步分析阶段放 到设置阶段之前以指导后者最后值得注意的是此模型是一个高层次的、近似 的比较模型，并未评估这些方法每一步的实施效果， 所以并不能作为最终的比较结果，这也是为什么我们 还要在下面讨论这些方法的适用性和可用性此外， 本文认为全面性比较最重要的贡献是提供了 一个评价 比较模型框架，其不仅仅可以应用于现行的信息审计 方法，而且可以应用于未来个性化方法定制流程中4.2适用性适用性是指信息审计方法对组织信息管理需求而 言是否合适，即是否能满足组织需求。

此项比较的目 的就是分析考察每一种信息审计方法针对何种审计环 境更为适用主要通过审计范围和柔性两点来评价4.2.1审计范围本文采用Buchanan和Gibb提出的信息审计范围矩阵对信息审计方法进行比较分析 矩阵由Earl提出的信息战略考察内容和组织运作层级 两个维度组成，如表2所示：表2标明了每一种信息审计方法所涉及的组织层级和信息战略考察内容信息地图法审计范围只涉及 组织资源层，是典型的自下而上的审计方法，同时其 缺少组织分析阶段集成审计法、信息流法和Henczel 的方法都有相同的审计范围，能从战略和资源两个方 面解决信息战略的四个要素根据表2所示，四种方法都没有涉及到业务流程 层面集成审计法、信息流法和Henzcel的方法都有 信息流描述阶段，但都没有明确地把业务流程模型分 析作为其审计活动的重要组成，其仅仅把业务流程模 型分析作为一个可选项而信息地图法没有信息流分 析，其基于业务单元的信息资产表，也没有具体的业 务流程模型分析4.2.2审计方法的柔性本文从两个维度来考察 信息审计方法的柔性：第一，根据具体要求精简审计 流程的能力；第二，覆盖组织审计范围的能力信息 流法和Henczel的方法都有审计准备阶段，而信息地 图法和集成审计法则没有。

四种方法的作者都指出其 方法是可以进行个性化定制，但都没有提出具体指导 方针同样的缺陷也出现在确定组织审计范围中信 息流法和Henzcel的方法提供了 一些确定审计范围的 指导方针和方法，但是信息地图法和集成审计法虽然 提及但没有提供具体方法4.3可用性ISO 9241 —11对可用性的定义为：在特定环境下 产品能够被用户使用，进而有效达到特定目标的能力 本文通过技术要求和支持工具来评价信息审计方法的 可用性4.3.1技术要求四种方法的作者都要求众多相 关技术支持__从简单的信息审计原理到远远超出信 息从业人员知识范围的技术要求如集成审计法就包 括：项目管理、战略分析、系统分析、统计分析、会 计分析等技术要求四种方法都涉及到一些基础信息审计技术，其技 术区别主要集中在“组织分析”和“会计核算”两个 阶段，如：信息地图法没有战略和组织分析阶段，而 且用简单的成本收益比率分析替代正式的会计核算方 法集成审计法包括战略分析阶段和正式的会计阶段 信息流法含有战略分析相关内容，但其考察重点在于 组织结构分析信息流法还包括基于信息地图的成本 分析Henczel的方法包括基于集成审计法的战略分析 阶段，但是采用简单的会计核算方法，集中核算高层 次信息资源成本收益。

总之，集成审计法的技术要求最高，包括战略管理和会计管理的内容信息流法和Henzcel的技术要 求其次，其采用的会计审计方法较为简单信息地图 法要求的信息审计技术最为简单，但是其也限制了其 信息审计范围4.3.2支持工具同技术要求相似，支持工具也覆 盖了战略和组织分析、数据收集分析、信息流和流程 模型、信息系统分析、成本收益分析和总结报告技术 等多领域以下就每种方法提出的相关工具进行分析信息地图法在信息资源的识别方面最为有效信息地图法为制作信息资产表提供了极其有效的信息资 源获取、识别、描述工具此方法也包括决定成本收 益的表格被信息流法和集成审计法所采用信息地图 法工具集的局限表现在其。