陳耿 李婷婷 韓志耕

【摘 要】 互聯(lián)網(wǎng)的普及使得企業(yè)的生存與發(fā)展越來越依賴于現(xiàn)代信息系統(tǒng)，現(xiàn)代信息系統(tǒng)重要性的與日俱增要求信息系統(tǒng)審計在模型及方法體系上均要做出適應(yīng)性的拓展甚至變更。針對該問題，文章提出了現(xiàn)代信息系統(tǒng)審計模型ISACM，該模型將現(xiàn)代信息系統(tǒng)審計的職能明確分為審計、控制和管理三個關(guān)聯(lián)的方面。與此同時，基于ISACM模型構(gòu)建了現(xiàn)代信息系統(tǒng)審計的一般性方法體系，進一步明確審計職能——三項審計類別涉及真實性審計、安全性審計、績效審計;三級控制層面包括決策層面、業(yè)務(wù)層面和技術(shù)層面;三個管理維度分別是IT治理、應(yīng)急管理和業(yè)務(wù)連續(xù)性管理，以期為互聯(lián)網(wǎng)環(huán)境下的現(xiàn)代信息系統(tǒng)審計提供指引。

【關(guān)鍵詞】 互聯(lián)網(wǎng)環(huán)境; 現(xiàn)代信息系統(tǒng)審計; ISACM模型; 一般性方法體系

【中圖分類號】 F239.1? 【文獻標識碼】 A? 【文章編號】 1004-5937（2019）09-0125-05

一、引言

互聯(lián)網(wǎng)的普及使得信息系統(tǒng)（IS）由“信息孤島”的現(xiàn)象轉(zhuǎn)變成開放、復(fù)雜的狀態(tài)，意味著信息系統(tǒng)由傳統(tǒng)IS轉(zhuǎn)變?yōu)楝F(xiàn)代IS，其中傳統(tǒng)IS特指利用計算機實現(xiàn)對產(chǎn)品生產(chǎn)制造過程的自動控制，實現(xiàn)企業(yè)內(nèi)部管理的自動化;現(xiàn)代IS是在傳統(tǒng)IS基礎(chǔ)上進一步擴展，企業(yè)還會利用互聯(lián)網(wǎng)開展電子商務(wù)，實現(xiàn)企業(yè)生產(chǎn)、交易、管理的系統(tǒng)化，如阿里巴巴、卓越等電子商務(wù)公司。據(jù)智研咨詢統(tǒng)計結(jié)果顯示，截至2016年12月，我國60%以上的企業(yè)部署了企業(yè)信息化系統(tǒng)，其中50.4%、28.2%、25.9%的企業(yè)建設(shè)使用了辦公自動化（OA）系統(tǒng)、企業(yè)資源計劃（ERP）系統(tǒng)和客戶關(guān)系管理（CRM）系統(tǒng)，相比于上一年提升了13.4個百分點，且預(yù)測整體呈快速的上升趨勢。此外，2018年7月中國互聯(lián)網(wǎng)信息中心（CNNIC）在公布的第42次《中國互聯(lián)網(wǎng)絡(luò)發(fā)展狀況統(tǒng)計報告》中指出，2018年1—5月電子商務(wù)平臺收入達1 164億元，同比增長39.1%，電子商務(wù)保持快速增長、增速平穩(wěn)態(tài)勢，服務(wù)模式、技術(shù)形態(tài)和賦能效力均在不斷地創(chuàng)新突破。由此可見，企業(yè)的生存和發(fā)展越來越依靠信息系統(tǒng)，信息系統(tǒng)顯得愈加重要。盡管如此，信息系統(tǒng)也暴露出諸多安全問題，2001年爆發(fā)的安然事件就是代表性的事件。為防止企業(yè)利用信息系統(tǒng)進行舞弊，對現(xiàn)代信息系統(tǒng)進行審計顯得格外重要。

現(xiàn)代信息系統(tǒng)主要利用電子商務(wù)平臺進行交易，信息系統(tǒng)變得復(fù)雜化、開放化，如何針對此類系統(tǒng)進行審計亟待解決。目前信息系統(tǒng)審計相關(guān)的依據(jù)主要是國際信息系統(tǒng)審計協(xié)會（IASCA）制定的信息系統(tǒng)審計準則、COSO內(nèi)部控制及風(fēng)險管理框架以及COBIT控制框架。其中信息系統(tǒng)審計準則是由基本準則、審計指南和作業(yè)程序三個層次組成，明確審計人員的基本要求以及具體的審計程序，是一套通用的審計準則;COSO框架主要包括內(nèi)部控制和企業(yè)風(fēng)險管理整合框架兩個方面，旨在使企業(yè)風(fēng)險管理過程流程化，為企業(yè)目標實現(xiàn)提供合理保證;COBIT框架重視信息系統(tǒng)控制問題，提出了一般控制和應(yīng)用控制兩要素審計方法，為企業(yè)管理層、IT與審計之間交流架起橋梁。三種審計依據(jù)各有側(cè)重地對信息系統(tǒng)審計進行一定程度的指導(dǎo)，但針對現(xiàn)代企業(yè)信息系統(tǒng)，以上任意一種審計依據(jù)都無法滿足審計需求，因此，有必要重新探索信息系統(tǒng)審計方法體系，以便為現(xiàn)代信息系統(tǒng)審計工作提供一個可行的實務(wù)指南。

二、文獻回顧

（一）基于ISACA信息系統(tǒng)審計準則體系的相關(guān)研究

ISACA信息系統(tǒng)審計準則體系從多個層次為審計人員提供指引。由于我國目前還未建立起一套完整的信息系統(tǒng)審計準則，因此，國內(nèi)部分學(xué)者主要基于ISACA信息系統(tǒng)審計準則進行相關(guān)的研究，諸如通過解讀國際信息系統(tǒng)審計準則的相關(guān)內(nèi)容，提出用于制定我國信息系統(tǒng)審計準則的建議。劉杰[1]通過比較國內(nèi)外信息系統(tǒng)審計準則，指出我國準則的弊端，并提出相關(guān)政策建議;張文秀等[2]指出在我國借鑒國際信息系統(tǒng)審計規(guī)范的過程中要注意國家文化的特征，要探討適合我國國情的審計準則;陳婉玲等[3]借鑒ISACA的信息系統(tǒng)審計準則，提出頂層設(shè)計方案，指出我國可以按照工作流程或?qū)徲嫻ぷ魅蝿?wù)進行準則制定。通過文獻回顧，可以了解到信息系統(tǒng)審計準則對審計工作具有指導(dǎo)作用，我國信息系統(tǒng)審計需要從基本準則、審計職能和作業(yè)程序等諸多方面進行規(guī)范。

（二）基于COBIT框架體系的相關(guān)研究

COBIT框架體系重視信息系統(tǒng)的控制以防范風(fēng)險。周德銘等[4]在借鑒國外信息系統(tǒng)過程控制審計框架基礎(chǔ)上，提出四維結(jié)構(gòu)的信息系統(tǒng)審計控制審計框架;王會金[5]提出中觀信息系統(tǒng)審計風(fēng)險控制框架體系，為相關(guān)系統(tǒng)安全提供理論支持與實踐指導(dǎo);張文秀等[6]構(gòu)建我國信息系統(tǒng)審計框架，提出面向系統(tǒng)和面向數(shù)據(jù)的信息系統(tǒng)審計，進一步深入了我國信息系統(tǒng)審計的研究與應(yīng)用;金文等[7]提出以信息系統(tǒng)生命周期為出發(fā)點，構(gòu)建符合COBIT定義的信息技術(shù)過程和管理、控制與審計模型。上述研究主要依據(jù)COBIT標準構(gòu)建我國信息系統(tǒng)審計框架，通常COBIT便于人們了解和分析信息系統(tǒng)建設(shè)與應(yīng)用過程，幫助審計師明確審計軌跡[7]。

（三）基于COSO框架體系的相關(guān)研究

COSO框架主要包括內(nèi)部控制和企業(yè)風(fēng)險管理整合框架兩個方面，凸顯企業(yè)內(nèi)控和風(fēng)險管理的重要性。王培華等[8]基于COSO-ERM框架，構(gòu)建審計機關(guān)廉政風(fēng)險防控體系，進行風(fēng)險分類管理，以便于查找各部門、崗位的關(guān)鍵風(fēng)險點，評估風(fēng)險等級，健全防控長效機制;施金龍等[9]認為應(yīng)該加強中小企業(yè)內(nèi)部控制，并基于COSO內(nèi)控框架研究其存在的問題及成因，最后提出一系列完善內(nèi)控的措施;席龍勝[10]在審計質(zhì)量控制基礎(chǔ)上引入COSO風(fēng)險管理框架，建立新的審計質(zhì)量控制體系，認為審計應(yīng)該轉(zhuǎn)向以控制風(fēng)險為目標的主動型質(zhì)量管理;陳震晗[11]基于COSO-ERM框架研究企業(yè)風(fēng)險導(dǎo)向?qū)徲嬆Ｐ停⑻岢鰬?yīng)用模型的初步方案，為審計研究提供新的方向?？梢?，目前基于COSO框架的文獻研究主要是針對各企業(yè)內(nèi)部控制問題，并提出相關(guān)建議，表現(xiàn)企業(yè)內(nèi)部控制的重要作用。

從以上討論可以看出，雖然目前在信息系統(tǒng)審計準則、框架體系上已有諸多研究，然而，互聯(lián)網(wǎng)的普及所帶來的企業(yè)生產(chǎn)方式、經(jīng)營模式和管理方法的巨大變化，使得企業(yè)信息系統(tǒng)面臨著前所未有的風(fēng)險，信息系統(tǒng)審計的職能需要得到提升。本文提出的ISACM（Information System Auditing、Control and Management）現(xiàn)代信息系統(tǒng)審計模型及方法體系，除了提供信息系統(tǒng)審計的審計職能外，還具備控制和管理職能，對已有的信息系統(tǒng)審計模型和方法體系做出了內(nèi)涵拓展和外延變更，方便為“互聯(lián)網(wǎng)+”環(huán)境下的現(xiàn)代信息系統(tǒng)審計實務(wù)提供指引。

三、ISACM模型構(gòu)建

本節(jié)在分析現(xiàn)代信息系統(tǒng)審計應(yīng)該具備的審計、控制和管理三種職能的基礎(chǔ)上，給出適用于信息系統(tǒng)審計的ISACM模型，該模型能夠多角度表征現(xiàn)代信息系統(tǒng)審計的作用，充分反映信息系統(tǒng)審計的職責(zé)所在，最大限度地滿足現(xiàn)代信息系統(tǒng)審計的需求。

（一）審計職能

所謂審計職能，是一種狹義的審計，就是以相關(guān)規(guī)定、標準等為評價依據(jù)，評價被審計對象的信息資產(chǎn)和信息系統(tǒng)是否安全、可信，反映的財務(wù)收支和經(jīng)濟活動的電子軌跡是否合法、合規(guī)、合理和有效，從而督促被審計對象遵紀守法，提高經(jīng)濟效益。

相比于傳統(tǒng)的信息系統(tǒng)審計，現(xiàn)代信息系統(tǒng)審計的審計職能表現(xiàn)得更加復(fù)雜、開放，不僅關(guān)注信息系統(tǒng)的真實性，而且對信息系統(tǒng)的安全性愈加重視。如圖1所示，基于審計目標，本文將現(xiàn)代信息系統(tǒng)審計的審計職能劃分為真實性審計、安全性審計和績效審計三種基本類型。

（二）控制職能

控制職能的一般定義是指組織的管理者對組織的運行狀況加以監(jiān)督，通過控制可發(fā)現(xiàn)當初的計劃與實際的偏差，采取有力的行動糾正偏差，保證計劃的實行，確保原來的目標得以實現(xiàn)。

針對現(xiàn)代化企業(yè)的業(yè)務(wù)經(jīng)營活動、各種數(shù)據(jù)傳遞以及財務(wù)報告等的產(chǎn)生與傳遞越來越多地依賴信息系統(tǒng)自動化處理的現(xiàn)象，美國麻省理工學(xué)院皮特·威爾博士通過研究發(fā)現(xiàn)：面對同樣的戰(zhàn)略目標，信息系統(tǒng)內(nèi)部控制水平較高的企業(yè)的獲利能力高出20%，這足以說明信息系統(tǒng)內(nèi)部控制的作用變得越來越大。為此信息系統(tǒng)審計師需要對信息系統(tǒng)內(nèi)部控制功能實施鑒證，以驗證其是否具備信息系統(tǒng)審計的控制職能。如圖2所示，此處將現(xiàn)代信息系統(tǒng)審計的控制職能劃分為決策、業(yè)務(wù)和技術(shù)三個層面，以保證信息系統(tǒng)內(nèi)部控制的全方位性。

（三）管理職能

管理職能是指信息系統(tǒng)審計師有義務(wù)和責(zé)任對企業(yè)的信息資產(chǎn)安全與信息系統(tǒng)運行狀況提供決策咨詢，確保信息系統(tǒng)發(fā)展與企業(yè)的戰(zhàn)略一致，在工作中發(fā)現(xiàn)問題，對制度、管理和控制等方面有針對性地提供咨詢服務(wù)，預(yù)防出現(xiàn)大的信息技術(shù)風(fēng)險和管理漏洞，企業(yè)各管理層提供服務(wù)，不斷改進經(jīng)營管理水平。

信息技術(shù)使企業(yè)受益的同時也帶來了相應(yīng)的風(fēng)險（《企業(yè)內(nèi)部控制基本規(guī)范》中提到了識別企業(yè)內(nèi)外部風(fēng)險的六個核心因素），信息系統(tǒng)風(fēng)險已經(jīng)成為企業(yè)風(fēng)險的主要來源之一。為保證企業(yè)信息資產(chǎn)的安全、有效，現(xiàn)代企業(yè)的風(fēng)險管理必須成為信息系統(tǒng)審計的基本職能。如圖3所示，本文將現(xiàn)代信息系統(tǒng)審計的管理職能劃分為IT治理、應(yīng)急管理、業(yè)務(wù)連續(xù)性管理三個方面，通過對信息資產(chǎn)實施全方位、全過程的風(fēng)險管理，幫助企業(yè)提高抗風(fēng)險的能力。

根據(jù)以上信息系統(tǒng)審計三種職能分析，本文構(gòu)建出如圖4所示的現(xiàn)代信息系統(tǒng)審計模型ISACM，該模型通過多角度展現(xiàn)現(xiàn)代信息系統(tǒng)審計的內(nèi)涵，能夠充分反映信息系統(tǒng)審計的職責(zé)所在，并最大限度地滿足現(xiàn)代信息系統(tǒng)審計的需求。

四、ISACM一般性方法體系

從審計職能、控制職能和管理職能出發(fā)，本節(jié)詳述ISACM模型的一般性方法體系，以期為具體的審計實務(wù)提供方法指引。

（一）三項審計類別

1.真實性審計

現(xiàn)代企業(yè)除了將大量信息存儲于信息系統(tǒng)，同時也廣泛利用信息系統(tǒng)開展業(yè)務(wù)。為此，除了需要對電子數(shù)據(jù)進行真實性審計，還需要對信息系統(tǒng)業(yè)務(wù)行為開展真實性審計，以鑒證信息系統(tǒng)在使用過程中是否存在舞弊，諸如是否被利用實施虛假交易等。信息系統(tǒng)真實性審計的目標是判斷信息系統(tǒng)行為和電子數(shù)據(jù)是否真實、完整和合法，從而為財務(wù)審計提供依據(jù)。

對現(xiàn)代信息系統(tǒng)而言，真實性審計的對象應(yīng)關(guān)注三個模塊，分別是財務(wù)系統(tǒng)、業(yè)務(wù)系統(tǒng)和電子商務(wù)系統(tǒng)。審計內(nèi)容是各自處理流程的真實性和合法性，以及系統(tǒng)數(shù)據(jù)輸入環(huán)節(jié)的真實和合法性，同時還要審查三種系統(tǒng)之間的邏輯一致性，以保證電子數(shù)據(jù)的真實可靠。

2.安全性審計

信息系統(tǒng)的安全隱患除了來自企業(yè)內(nèi)部，還有因互聯(lián)網(wǎng)的開放性所導(dǎo)致的各種外部威脅，諸如網(wǎng)絡(luò)攻擊、數(shù)據(jù)竊取、計算機病毒等，這些安全隱患均可能會中止企業(yè)的正常經(jīng)營活動，給企業(yè)帶來損失。信息系統(tǒng)安全性審計的目標是審查企業(yè)信息系統(tǒng)和電子數(shù)據(jù)的安全性、可靠性、可用性、保密性等，預(yù)防來自互聯(lián)網(wǎng)對信息系統(tǒng)的威脅和來自企業(yè)內(nèi)部對信息系統(tǒng)的危害。

安全性審計是真實性審計的基礎(chǔ)與前提。對現(xiàn)代信息系統(tǒng)而言，安全性審計的對象應(yīng)關(guān)注電子數(shù)據(jù)、操作系統(tǒng)、數(shù)據(jù)庫、網(wǎng)絡(luò)、設(shè)備、主機以及環(huán)境等方面的安全。審計內(nèi)容是審核上述審計對象的各項安全指標，判斷它們是否達到信息系統(tǒng)整體安全運行的需求。

3.績效審計

信息系統(tǒng)的成功運用能給企業(yè)帶來高收益，然而信息系統(tǒng)實施復(fù)雜、建設(shè)耗時較長、成本較高，屬高風(fēng)險投資項目。盲目上馬信息系統(tǒng)項目有可能會讓企業(yè)陷入投資黑洞。因此，對于現(xiàn)代企業(yè)，信息系統(tǒng)績效審計的目標是審核信息系統(tǒng)的投資、開發(fā)和應(yīng)用是否合理，信息系統(tǒng)的使用是否有效、能否為企業(yè)創(chuàng)造價值。

信息系統(tǒng)績效審計的對象是信息系統(tǒng)的投入與產(chǎn)出。審計內(nèi)容是審核信息系統(tǒng)投入和產(chǎn)出之間的關(guān)系是否達到預(yù)期，這涉及到對信息系統(tǒng)的經(jīng)濟性、效率性和效果性進行評價和監(jiān)督。通過信息系統(tǒng)績效審計，能夠更好地發(fā)揮信息系統(tǒng)審計的審計職能，為企業(yè)的投資者、債權(quán)人、經(jīng)營者、管理者等提供更充分的決策參考。

（二）三級控制層面

由于信息化環(huán)境下企業(yè)內(nèi)部控制被嵌入到信息系統(tǒng)中，審計人員需要關(guān)注信息系統(tǒng)內(nèi)部控制，以鑒證信息系統(tǒng)內(nèi)控運行的效果。信息系統(tǒng)內(nèi)部控制主要體現(xiàn)在三個層面：決策層面、業(yè)務(wù)層面和技術(shù)層面。

1.決策層面

企業(yè)在設(shè)計信息系統(tǒng)內(nèi)控時，應(yīng)符合企業(yè)整體的目標、政策和戰(zhàn)略決策。如圖5所示，信息技術(shù)環(huán)境下企業(yè)內(nèi)部控制在決策層面應(yīng)該重點關(guān)注五要素。其中，IT內(nèi)部控制環(huán)境主要關(guān)注IT治理架構(gòu)、IT組織與職責(zé)、IT決策機制等基礎(chǔ)內(nèi)容;IT風(fēng)險評估借助風(fēng)險識別、風(fēng)險分析和風(fēng)險應(yīng)對來把握風(fēng)險;IT控制活動使用IT技術(shù)類措施和IT管理類措施，對風(fēng)險做出防范;IT監(jiān)督借助系統(tǒng)日志和內(nèi)部監(jiān)管措施對信息系統(tǒng)整體運行進行全方面的審核，對IT控制的有效性做出評價;信息與溝通用于實現(xiàn)內(nèi)部信息系統(tǒng)與外部環(huán)境的結(jié)合，以便應(yīng)對多方面的變化，實現(xiàn)更有效的控制。

2.業(yè)務(wù)層面

業(yè)務(wù)層面控制實現(xiàn)對業(yè)務(wù)流程的檢查，相關(guān)的控制關(guān)注點如圖6所示。其中，信息安全策略用于保證業(yè)務(wù)正常運營，涉及到問題管理、應(yīng)急管理、第三方管理、職責(zé)分離等內(nèi)容。信息安全流程用于對整個流程進行控制，從而有效地保障信息安全，包括賬號管理、備份管理、數(shù)據(jù)中心管理、設(shè)備安全、系統(tǒng)安全等內(nèi)容。用戶培訓(xùn)包括操作人員培訓(xùn)、管理人員培訓(xùn)、專業(yè)人員培訓(xùn)等，以明確各自在信息化環(huán)境中應(yīng)承擔(dān)的職責(zé)。

3.技術(shù)層面

技術(shù)層面控制體現(xiàn)在系統(tǒng)的生命周期（如圖7所示）全過程。其中，總體規(guī)劃階段關(guān)注系統(tǒng)的發(fā)展戰(zhàn)略、系統(tǒng)總體結(jié)構(gòu)方案以及系統(tǒng)建設(shè)的資源分配計劃等內(nèi)容，以確保系統(tǒng)投入符合企業(yè)整體規(guī)劃;需求分析階段主要檢查用戶需求、業(yè)務(wù)流程、數(shù)據(jù)流程等分析報告;系統(tǒng)設(shè)計階段檢查相應(yīng)的系統(tǒng)設(shè)計說明書，以檢驗系統(tǒng)設(shè)計是否符合實際需求;系統(tǒng)實現(xiàn)測試階段應(yīng)該對具體軟件、運行環(huán)境、技術(shù)文檔等進行檢查、測試，確保系統(tǒng)運行的可行性;系統(tǒng)運行維護階段重要關(guān)注系統(tǒng)操作規(guī)范、變更流程的制定，并且重視成本效益原則，考察系統(tǒng)維護成本的合理性。

（三）三個管理維度

信息系統(tǒng)管理是以信息系統(tǒng)風(fēng)險為導(dǎo)向，動員和組織各類資源，綜合采取各種技術(shù)手段和管理手段，對信息資產(chǎn)實施全員、全方位、全生命周期管控的過程。圖8給出了信息系統(tǒng)管理的三個維度，分別是IT治理、應(yīng)急管理和業(yè)務(wù)連續(xù)性管理。其中，應(yīng)急管理和業(yè)務(wù)連續(xù)性管理側(cè)重企業(yè)執(zhí)行力，強調(diào)企業(yè)管理各環(huán)節(jié)對信息系統(tǒng)價值和風(fēng)險作用的影響。

1.IT治理

IT治理集中在董事會和執(zhí)行管理層，其主要職能是平衡信息技術(shù)與過程風(fēng)險，確保IT戰(zhàn)略與企業(yè)戰(zhàn)略的一致性。IT治理強調(diào)董事會決策對信息系統(tǒng)價值和風(fēng)險作用的影響，側(cè)重決策。為保證有效的IT治理，設(shè)立IT治理委員會和內(nèi)部信息系統(tǒng)審計是IT治理最重要的環(huán)節(jié)。

2.應(yīng)急管理

應(yīng)急管理可使企業(yè)在信息安全事件發(fā)生時危害度最小化。應(yīng)急響應(yīng)的經(jīng)典方法是準備、檢測、遏制、根除、恢復(fù)、跟蹤（PDCERF），企業(yè)可根據(jù)其制定合適的應(yīng)急響應(yīng)體系。審計人員可以通過審查企業(yè)應(yīng)急管理情況，對企業(yè)潛在風(fēng)險做出判斷，以評估企業(yè)的信息系統(tǒng)安全。

3.業(yè)務(wù)連續(xù)性管理

業(yè)務(wù)連續(xù)性管理可確保企業(yè)業(yè)務(wù)的正常運行，主要包括業(yè)務(wù)連續(xù)性計劃和災(zāi)難恢復(fù)計劃，前者是企業(yè)應(yīng)對種種不可控因素的一種預(yù)防和反應(yīng)機制，立足于預(yù)防;后者如何以最短時間、最少損失去恢復(fù)停頓業(yè)務(wù)的處理預(yù)案，立足于事后的補救。審計人員應(yīng)關(guān)注企業(yè)的業(yè)務(wù)連續(xù)性計劃是否符合企業(yè)的特性、對外部環(huán)境變化的反應(yīng)程度等問題，考察災(zāi)難恢復(fù)計劃制定的有效性、判斷其是否符合成本效益原則。

五、結(jié)語

本文借助分析現(xiàn)代信息系統(tǒng)審計必須具備的審計、控制和管理職能，提出了適用于現(xiàn)代信息系統(tǒng)審計的ISACM模型，詳細探討了基于ISACM模型的現(xiàn)代信息系統(tǒng)審計一般性方法體系，涉及真實性審計、安全性審計和績效審計三項審計類別，涵蓋決策、技術(shù)和業(yè)務(wù)三個控制層面，關(guān)注IT治理、應(yīng)急和業(yè)務(wù)連續(xù)性三個管理維度，為互聯(lián)網(wǎng)環(huán)境下的現(xiàn)代信息系統(tǒng)審計實務(wù)提供理論模型和方法指引。

【參考文獻】

[1] 劉杰.我國信息系統(tǒng)審計準則構(gòu)建研究[J].財會月刊，2014（17）：43-47.

[2] 張文秀，GERT VAN DER PIJL.國外信息系統(tǒng)審計規(guī)范、國家文化差異與制度移植[J].審計研究，2012（5）：14-21，35.

[3] 陳婉玲，袁若賓.COBIT及其在信息系統(tǒng)控制與審計中的應(yīng)用[J].審計研究，2006（S1）：93-96，104.

[4] 周德銘，曹洪澤.信息系統(tǒng)結(jié)構(gòu)控制審計框架研究[J].審計研究，2014（5）：32-37.

[5] 王會金.論信息系統(tǒng)審計準則在我國的需求與發(fā)展[J].南京審計學(xué)院學(xué)報，2012，9（6）：1-7.

[6] 張文秀，齊興利，黃溶冰.基于COBIT的信息系統(tǒng)審計框架研究[J].南京審計學(xué)院學(xué)報，2010，7（4）：29-34.

[7] 金文，張金城.基于COBIT的信息系統(tǒng)管理、控制與審計的模型構(gòu)建研究[J].審計研究，2005（4）：75-79.

[8] 王培華，湯小莉，駱怡.COSO-ERM框架下如何構(gòu)建審計機關(guān)廉政風(fēng)險防控機制[J].財會月刊，2018（7）：156-159.

[9] 施金龍，管明.基于COSO框架的中小企業(yè)內(nèi)部控制問題探究[J].財會通訊，2016（11）：112-114.

[10] 席龍勝.基于COSO風(fēng)險管理框架的審計質(zhì)量控制分析[J].商丘師范學(xué)院學(xué)報，2011，27（2）：68-73.

[11] 陳震晗.基于COSO—ERM框架的企業(yè)風(fēng)險導(dǎo)向?qū)徲嬆Ｐ统跆絒J].中國內(nèi)部審計，2009（10）：41-43.