央行信息系统绩效审计评价方法研究-基于平衡计分卡和层次分析法
- 格式:pdf
- 大小:1.06 MB
- 文档页数:4
2015年第9期(总第434期)金融理论与实践收稿日期:2015-06-25作者简介:唐朝霞(1982—),女,山东潍坊人,硕士研究生,工程师,研究方向:信息安全,信息技术审计等。
央行信息系统绩效审计评价方法研究——基于平衡计分卡和层次分析法唐朝霞(中国人民银行济南分行,山东济南250021)摘要:随着中国人民银行业务信息化程度的不断提高,其各级机构对信息系统的依赖不断加大,内审部门作为央行风险管理防线之一,需要发挥审计监督职能,并适时对信息系统进行绩效评价,以促进信息系统持续、有效运行。
从研究平衡计分卡和层次分析法原理入手,结合人民银行信息系统特点,设计了人民银行信息系统绩效审计与评价指标体系,并选择人民银行信息系统进行了实证检验,初步形成了一套较为成熟的人民银行信息系统绩效审计评价方法。
关键词:中央银行;信息系统;绩效审计;绩效评价文章编号:1003-4625(2015)09-0111-04中图分类号:F832.31文献标识码:AAbstract:As the business information degree of PBOC continues to improve,agencies of PBOC at all levels relies on information system greatly.Audit department was one part of risk management defense in PBOC.It should play the audit oversight function and take the performance evaluation on the information system timely,so the information system could run continually and effectively.This paper started from the research of balanced scorecard and principle of analytic hierarchy process.The author designed the performance audit of information system and evaluation system of PBOC with combined the characteristics of information system of PBOC,which formed a more mature evaluation approach of performance audit of information system of PBOC initially.Key words:central bank;information system;performance audit;performance evaluation随着信息技术的发展和信息化程度的不断提高,信息已经成为推动人民银行各项事业发展的重要基础性资源。
信息技术在人民银行各业务领域的广泛应用,使得人民银行各级机构对信息系统的依赖不断加大。
信息系统改变了人民银行各项业务运行模式,方便了各部门业务处理,提高了工作效率,但同时,由于信息系统的负面效应和对信息系统内部控制的不当,使得信息化过程、信息系统及业务应用均蕴藏着较大的风险,信息系统错误、故障或突然停止运行都将对人民银行各项业务的正常运转产生重大影响。
因此,保护好信息系统平台,维护好信息应用系统的安全,确保业务活动的持续有序运行等越来越受到各级人民银行的关注。
人民银行内审部门作为风险管理的第三道防线,为确保信息系统的持续、安全、有效运行,需要各级内审部门充分发挥审计监督作用,强化对信息系统风险的审计与关注,并不断探索开展信息系统绩效审计评价。
一、信息系统绩效审计的基本概念根据审计内容所涵盖的信息系统生命周期阶段的不同,可以将信息系统绩效审计分为狭义的信息系统绩效审计和广义的信息系统绩效审计。
狭义的信息系统绩效审计是指将信息系统建设项目完成后的验收效果、运行情况、成本效益等作为内容进行审计与评价;广义的信息系统绩效审计是指对贯穿于信息系统整个生命周期的各个阶段(包括规划与组织、设计与开发、交付与运行、实施与维护、以及日常评测与改进等)开展的绩效评价。
不管是狭义的信息系统绩效审计还是广义的信息系统绩效审计,其目的都是提升信息系统建设及运行效率,促进组织目标实现。
当前对于信息系统绩效审计的研究,基本上集中于绩效评价所使用的指标体系的选定和评价方法上。
通过平衡计分卡为绩效评价提供有关指标,运用层次分析法等来量化各评价指标权重的做法是当前绩效审计领域应用最广泛的绩效评价方法,这种做法同样能够对信息化整体做出科学、合理111且定量的评价。
二、平衡计分卡和层次分析法简介(一)平衡计分卡概述平衡计分卡(The Balanced Score Card,以下简称BSC)打破了传统的只注重财务指标的业绩管理方法,建立能够反映多个方面的绩效指标,同时对他们进行检查考评的制度。
BSC作为一种新型的绩效衡量体系,除了需评价传统的财务业绩外,还提出了三个新的需考核的领域,即客户、内部运营、学习成长,从而将组织的战略落实为可操作的衡量指标和目标值,实现了财务与非财务、短期与长期、内部与外部、前置与滞后的平衡。
(二)层次分析法概述所谓层次分析法(Analytic Hierarchy Process,以下简称AHP),是指将一个复杂的多目标决策问题作为一个系统,将目标分解为多个目标或准则,进而分解为多指标(或准则、约束)的若干层次,通过定性指标模糊量化方法计算出层次单排序(权数)和总排序,以作为目标(多指标)、多方案优化决策的系统方法。
其用法是构造判断矩阵,求出其最大特征值及其所对应的特征向量,归一化后,即为某一层次指标对于上一层次某相关指标的相对重要性权值[1]。
三、运用BSC及AHP开展人民银行信息系统绩效审计评价研究(一)信息系统绩效评价内容分析根据国际绩效评价的“3E”标准,绩效评价应主要是从经济性、效率性和效果性三个方面来分析。
对于信息系统来说,绩效审计评价则主要是针对信息系统建设资金使用情况、信息系统的功能价值和建成的信息系统对促进组织目标实现的作用来进行。
要对上述内容进行评价,需要综合考虑信息系统建设的多个方面,设计多个维度的绩效评价指标。
根据平衡计分卡原理,结合人民银行信息系统特点,本文主要从信息系统的资金投入、内部控制、客户服务及发展成长四个层面来研究信息系统绩效评价内容和指标的设计,以此反映信息系统建设项目的经济性、效率性和效果性[2]。
1.资金投入信息化项目建设必定需要投入大量的资金,因此对信息系统的绩效评价,可首先考虑信息系统项目建设的成本问题。
即首先从资金投入方面进行分析。
(1)开发成本。
指信息系统开发过程中所产生的资源耗费。
对于自建信息系统项目,该部分成本包括前期调研、需求分析、可行性研究、设计、开发等阶段发生的资源消耗和人员工资福利以及整个项目开发期间发生的其他费用支出。
对于购买商业成熟软件构建的信息系统,该部分成本则仅包括软件购买成本和其他相关费用。
(2)实施成本。
指在信息系统项目实施过程中发生的一次性大量费用,主要包括系统环境构建、网络通信设施部署、辅助软件和硬件采购、相关检验测试、安全保障等方面所需要的费用。
(3)运行成本。
指信息系统正常运行过程所耗费的成本,包括通信费、管理费、操作人员工资福利、设备和材料损耗、资产折旧等费用。
(4)系统维护成本。
指为保证信息系统正常运行所耗费的成本,主要包括设备更新与维护费用、技术支持费用、维保人员工资福利、后续开发费用等。
(5)其他成本。
指因意外发生而导致的相关成本,主要包括重大灾难损失、应急处理消耗和系统恢复成本等。
2.内部控制信息系统控制是指为保证信息系统的可靠性、稳定性、安全性和数据处理的完整性和准确性而采取的一系列方法、手段与措施的总称。
如果缺乏信息系统方面的控制,如果没有严格责任分离或不适当的用户授权,将增加舞弊现象存在的可能性。
当前信息系统方面的重大控制缺陷主要表现在程序控制、软件开发/实施、职责分离、用户对系统的访问授权、对数据访问的监管和控制等方面。
从内部控制方面对信息系统进行绩效评价应主要考虑所采取的控制措施对于信息系统促成组织目标实现的保障功能。
可以从管理层控制、一般控制、应用控制三个方面对信息系统控制进行绩效评价。
管理层控制主要包括IT战略规划、IT组织与职责分工、IT风险管理、IT管理制度体系、IT内审等内容;一般控制主要包括系统开发与程序变更管理、系统访问安全管理、IT日常操作管理、物理安全管理等内容;应用控制主要包括输入控制、验证控制、接口控制、权限控制、职责分工等内容。
3.客户服务信息系统直面社会群体,其最直接的作用是服务于目标使用群体。
因此目标使用群体对信息系统的满意度是对信息系统进行绩效评价必不可少的内容。
从客户服务方面进行信息系统绩效评价应以系统使用群体满意度评价为重点。
信息系统的使用群体包括内部使用群体和外部使用群体。
不管是内部使用群体还是外部使用群体,信息系统的功能满足1122015年第9期(总第434期)金融理论与实践业务需求是基本要求,可操作性、高容错率、易于掌握是信息系统应具有的基本特征,使用群体的感受则是高层次要求。
使用群体的感受又包括对信息系统的形式感受、结果感受以及整体感受。
形式感受指对信息系统操作界面、布局、色彩等的直观感受,结果感受指对信息系统运行所提供结果的深层次感受,整体感受指对信息系统功能等的总体感受。
4.可持续性要使信息系统能够不断适应组织目标调整和变动,时刻与组织目标相一致,保持信息系统的可持续性是最基本的要求。
一方面,保持系统的可持续性最重要的是保持系统不断发展成长。
发展成长包括系统可扩展性、兼容性和可成长性。
可扩展性是指信息系统采用开放性设计允许更多的功能在必要时可以随意添加。
兼容性是指信息系统能够稳定地工作在不同的操作系统之中,不会发生出错或意外退出等故障。
可成长性是指信息系统随组织和业务的不断发展而不断改进完善。
另一方面,要保持系统的可持续性还应在紧急情况发生后,确保应急处置及时性和采取的应急措施的有效性,以及在系统发生故障后,保证维修处理的合规性和故障解决率等。
在信息系统绩效评价中,可持续性评价是最具有技术性的内容。
如何对信息系统的可扩展性、兼容性、可成长性、应急处置及时性和有效性、维修的合规性和效果性进行分析评价是当前亟须解决的重要问题。
从实践角度来看,信息系统的发展受到组织发展和信息化技术发展的影响,同时,信息系统的可持续性影响着组织的发展目标实现。