信息系統(tǒng)審計論文中觀經(jīng)濟主體信息系統(tǒng)審計的理論分析.doc

信息系統(tǒng)審計論文：中觀經(jīng)濟主體信息系統(tǒng)審計的理論分析及實施路徑探索摘要中觀經(jīng)濟主體信息系統(tǒng)審計從屬于中觀審計與IT審計的交叉研究范域。近年來,中觀經(jīng)濟主體信息系統(tǒng)審計問題并未引起理論界的廣泛重視。鑒于此,本文從中觀審計與信息系統(tǒng)審計入手,對中觀經(jīng)濟主體信息系統(tǒng)審計的概念與特點作了深入的探究,并在此基礎上,借鑒COBIT模型與ITIL模型分析了中觀經(jīng)濟主體信息系統(tǒng)審計的實施路徑。關鍵詞中觀審計;信息系統(tǒng)審計;實施路徑;COBIT模型國民經(jīng)濟按層次可分為宏觀經(jīng)濟和微觀經(jīng)濟,介于宏觀經(jīng)濟整體和微觀經(jīng)濟單位之間的還有中觀經(jīng)濟,包括行業(yè)經(jīng)濟、地區(qū)經(jīng)濟等。德國奧斯登大學教授彼德斯早在20世紀70年代,就提出中觀經(jīng)濟是有別于宏觀和微觀經(jīng)濟的一個獨立層次。隨著近年來經(jīng)濟發(fā)展的加速,新興的經(jīng)濟形式給傳統(tǒng)的經(jīng)濟活動注入了新的血液,新興經(jīng)濟活動是非“宏”非“微”,亦“宏”亦“微”的中介狀態(tài)的經(jīng)濟結構,經(jīng)濟學界稱之為中觀經(jīng)濟1。作為經(jīng)濟發(fā)展產(chǎn)物的審計,隨之則產(chǎn)生了相應的內(nèi)涵與外延,即中觀審計。本文以中觀審計為研究基礎,對中觀經(jīng)濟主體信息系統(tǒng)的管理與控制作以初步論述,旨在為中觀審計理論的發(fā)展提供支持。1、 中觀審計理論的一般概述中觀審計是指對中觀經(jīng)濟主體的經(jīng)濟行為所實施的審計,中觀審計的產(chǎn)生具有必然性,恰恰由于中觀審計的存在,才打破了傳統(tǒng)宏觀微觀審計界域不能完全覆蓋社會經(jīng)濟審計的整體界域這一局限性,實現(xiàn)了宏觀達于微觀,微觀通于宏觀,其中都要經(jīng)過中觀的有效轉化。那么,何為中觀審計呢?筆者認為,中觀審計是在我國特有的經(jīng)濟活動條件下,由國家審計機關,以法律規(guī)范為依據(jù),運用科學系統(tǒng)的程序方法,對中觀經(jīng)濟行為、運行機制以及在此基礎上為達到一定經(jīng)濟目標所采取的經(jīng)濟政策、決策的結果所實施的一種監(jiān)督活動2。中觀審計有其特定的對象范圍。既然中觀審計是對中觀經(jīng)濟計劃、中觀經(jīng)濟政策、決策和中觀經(jīng)濟活動所實施的審計,那么,行業(yè)、部門、系統(tǒng)、經(jīng)濟區(qū)與特定聯(lián)合體的發(fā)展戰(zhàn)略目標、計劃、經(jīng)濟政策、決策以及中觀經(jīng)濟管理即為中觀審計的對象范圍。中觀審計具備三方面的特征: (1)中觀審計是以協(xié)調(diào)宏觀與微觀審計,促進整個國民經(jīng)濟良性發(fā)展為主導思想; (2)中觀審計是以提高中觀經(jīng)濟主體的經(jīng)濟效益為指導方向; (3)中觀審計是以對中觀經(jīng)濟行為及其運行機制進行監(jiān)控為具體目的。當前的行業(yè)審計已顯示了中觀審計的特征,例如,審計一個行業(yè)的財政經(jīng)濟狀況,研究一個行業(yè)的重大且?guī)в袃A向性問題,提出改善行業(yè)管理的措施建議;還例如,抓住本地區(qū)綜合效益影響較大的因素,對于地區(qū)自然、地理環(huán)境、產(chǎn)品結構以及各種客觀條件進行分析、論證,查明阻礙經(jīng)濟發(fā)展的各種原因,提出促進經(jīng)濟效益提高的政策建議等?！叭绻f宏觀經(jīng)濟管理是硬控制,微觀經(jīng)濟管理是軟控制,那么,中觀經(jīng)濟管理則是二者兼而有之,又軟又硬的中性控制3”?？梢?中觀控制也是整個經(jīng)濟控制系統(tǒng)的一個分系統(tǒng),研究探討中觀審計正是為了加強中觀控制,由于其主體范圍所處的獨特地位,決定了中觀審計一方面服務于宏觀控制,另一方面強化微觀控制。根據(jù)中觀控制的對象和目的,中觀審計應有如下任務: (1)保證有效地傳遞宏觀政策、決策和有關信息,防止和減少出現(xiàn)偏差和失誤; (2)保證有效地促進微觀經(jīng)濟活動,以及協(xié)調(diào)宏觀經(jīng)濟目標和經(jīng)濟總目標、宏觀經(jīng)濟目標和微觀經(jīng)濟目標之間的矛盾關系; (3)保證有效地防止和減少中觀經(jīng)濟政策或決策失誤,以及其相應權力的泛濫; (4)保證有效地防止和減少中觀經(jīng)濟活動的失控; (5)保證有效地防止和減少中觀經(jīng)濟比例關系的失調(diào)。二、信息系統(tǒng)審計的產(chǎn)生與內(nèi)涵信息系統(tǒng)是以信息基礎設施為基本運行環(huán)境,由人、信息、技術設備和運行規(guī)程組成,通過信息采集、傳輸、加工處理和存儲,以企業(yè)戰(zhàn)略競優(yōu)、提高效率為目標,支持企業(yè)高層決策、中層控制和基層運作的集成化人機系統(tǒng)。信息系統(tǒng)在使用過程中,隨著生存環(huán)境的變化,需要不斷維護、修改,因而在整個生命周期中,必須對信息系統(tǒng)進行嚴格管理與控制,并對信息系統(tǒng)實施審計4。信息系統(tǒng)審計直到21世紀初才進入我國。信息系統(tǒng)審計是在電子數(shù)據(jù)處理審計(EDP審計)的基礎上發(fā)展起來的。雖然目前學術界對信息系統(tǒng)審計概念并沒有統(tǒng)一的意見,但主流概念有兩種: (1)Weber在1999年提出的“信息系統(tǒng)審計是一個獲取并評價證據(jù),以判斷信息系統(tǒng)是否能夠保證資產(chǎn)的安全、數(shù)據(jù)的完整以及有效率地利用組織的資源并有效地實現(xiàn)組織目標的過程”; (2)日本通產(chǎn)省在1996年提出的“為了信息系統(tǒng)的安全、可靠與有效,由獨立于審計對象的信息系統(tǒng)審計師,以第三方的客觀立場對以計算機為核心的信息系統(tǒng)進行綜合的檢查與評價,向信息系統(tǒng)審計對象的最高領導,提出問題與建議的一連串的活動”。從信息系統(tǒng)構成要素來看,信息系統(tǒng)是由硬件平臺、軟件平臺、應用系統(tǒng)、數(shù)據(jù)文件、人和運行規(guī)程組成的;從信息系統(tǒng)生命周期來看,信息系統(tǒng)的生命周期可劃分為系統(tǒng)規(guī)劃、系統(tǒng)分析、系統(tǒng)設計、系統(tǒng)實施、系統(tǒng)運行和系統(tǒng)維護六個階段5。從信息系統(tǒng)管理來看,對信息系統(tǒng)的審計伴隨信息系統(tǒng)生命周期的始終。信息系統(tǒng)審計的內(nèi)容包括: (1)軟硬件獲取審計,其可確定軟硬件獲取政策是否合理且是否滿足企業(yè)的需求; (2)系統(tǒng)開發(fā)審計,其可確定各項系統(tǒng)開發(fā)活動是否完全遵循既定的政策與規(guī)劃且是否實施了有效的全面質量控制等; (3)系統(tǒng)維護審計,其可確定系統(tǒng)維護后是否經(jīng)過充分測試以及系統(tǒng)維護后文檔資料是否及時更新等; (4)應用系統(tǒng)審計,其可確定應用系統(tǒng)的各項處理功能是否有效以及應用系統(tǒng)的控制是否健全有效等; (5)信息系統(tǒng)控制審計,其可確認信息系統(tǒng)的各項控制措施是否健全以及信息系統(tǒng)的各項控制措施是否得到有效執(zhí)行; (6)信息系統(tǒng)安全審計,其可確認被審計單位的各項信息系統(tǒng)安全控制措施是否健全,確認信息系統(tǒng)的安全措施是否得到有效執(zhí)行,以及判定被審計單位的信息系統(tǒng)安全策略與程序是否能最大限度地降低信息系統(tǒng)的安全風險。三、中觀經(jīng)濟主體信息系統(tǒng)審計的客觀依據(jù)與現(xiàn)實任務中觀經(jīng)濟主體信息系統(tǒng)審計從屬于中觀審計與信息系統(tǒng)審計的交叉研究范域,中觀經(jīng)濟主體信息系統(tǒng)審計的研究對象可從兩個層次分析,第一層次是中觀經(jīng)濟主體的特定區(qū)域范圍,第二層次是中觀經(jīng)濟主體特定區(qū)域內(nèi)的信息系統(tǒng)板塊。具體來說,中觀經(jīng)濟主體信息系統(tǒng)的研究對象就是那些發(fā)生特定經(jīng)濟行為的行業(yè)、部門、系統(tǒng)、經(jīng)濟區(qū)以及特殊的經(jīng)濟聯(lián)合體等中觀主體的網(wǎng)絡信息系統(tǒng)。與微觀經(jīng)濟主體相比,中觀經(jīng)濟主體的涉及范圍較大,運行機制復雜,因而在我國乃至全世界的大多數(shù)中觀經(jīng)濟主體均無法離開為自己量身定做的信息系統(tǒng)這一基礎設施。例如,我國的鐵道部門的鐵路客票發(fā)售與預定系統(tǒng),我國金融行業(yè)的金融業(yè)務信息系統(tǒng),我國公安系統(tǒng)的公安綜合網(wǎng)絡信息系統(tǒng),我國部分地區(qū)創(chuàng)建的區(qū)域物流信息系統(tǒng),以及我國大型集團公司正在運行的集團財務信息系統(tǒng),等等6,7。中觀經(jīng)濟主體是特定范圍下多個微觀經(jīng)濟個體的有機組合,信息技術在中觀經(jīng)濟主體整體范圍內(nèi)的運用,為中觀經(jīng)濟主體內(nèi)部資源的有機整合以及自身功能的高效運行提供了方便,提升了工作效率。例如,由Sy-base的數(shù)據(jù)庫產(chǎn)品Adaptive Server Enterprise、Repli-cation Server,中間件產(chǎn)品Open Client、Open Server,以及開發(fā)工具PowerBuilder、PowerDesigner構成的全國聯(lián)網(wǎng)車站售票信息系統(tǒng)強化了火車票售票、預訂、退票、異地售票、統(tǒng)計等多種功能,實現(xiàn)了票額、坐席、制票、計算、結算和統(tǒng)計等計算機管理,為鐵路客戶服務提供了有效的調(diào)控手段。實施中觀經(jīng)濟主體信息系統(tǒng)審計是完全有必要的,這是因為由多臺計算機所構成的信息系統(tǒng)區(qū)域網(wǎng)絡所涉及的應用技術以及運行規(guī)程固然要比微觀個體的信息系統(tǒng)復雜得多,脆弱得多。例如, 2008年11月28日,由上海開往鄭州的D 82次列車的8號車廂46號位售出兩張坐票,一張是上海鄭州,另一張是南京鄭州,由于鐵道行業(yè)信息系統(tǒng)打票的錯誤,從而造成了乘客的沖突與矛盾。由此可見,信息系統(tǒng)給中觀經(jīng)濟主體帶來巨大便利的同時,由于系統(tǒng)參與人員的錯誤操作、濫用、不正當使用以及不法分子的惡意利用等原因,也使得信息系統(tǒng)隨之產(chǎn)生了不可估量的風險。為了避免信息系統(tǒng)可能出現(xiàn)的風險,中觀經(jīng)濟主體需要引入一種新的管理機制來對信息系統(tǒng)的安全性、可用性、投資效果、實施進程和實施效果等進行評估、指導和改進。中觀經(jīng)濟主體所實施的這種機制即為中觀經(jīng)濟主體信息系統(tǒng)審計,此種審計超越了傳統(tǒng)微觀審計的范疇。所謂中觀經(jīng)濟主體信息系統(tǒng)審計,是指IT審計師依據(jù)特定的規(guī)范,運用科學系統(tǒng)的程序方法,對中觀經(jīng)濟主體信息系統(tǒng)網(wǎng)絡的運行規(guī)程與應用政策所實施的一種監(jiān)督活動,旨在增強中觀經(jīng)濟主體特定信息網(wǎng)絡的有效性、安全性、機密性與一致性,以此保障中觀經(jīng)濟主體信息系統(tǒng)的高效運行。中觀經(jīng)濟主體信息系統(tǒng)審計的具體內(nèi)容有: (1)網(wǎng)絡信息系統(tǒng)的軟硬件管理審計。此審計環(huán)節(jié)可確定軟硬件的配置是否滿足中觀經(jīng)濟主體區(qū)域性整體功能辦公的要求,以及確定區(qū)域內(nèi)部是否有科學規(guī)范的管理制度等; (2)信息系統(tǒng)的開發(fā)與維護審計。此審計環(huán)節(jié)可確定中觀經(jīng)濟主體網(wǎng)絡信息系統(tǒng)的開發(fā)階段是否在區(qū)域內(nèi)部經(jīng)過全面的測試,開發(fā)過程是否有全面的控制措施,維護計劃是否具有創(chuàng)新性,維護工作是否有記錄與總結等; (3)網(wǎng)絡信息系統(tǒng)的應用與控制審計。此審計環(huán)節(jié)可確定信息系統(tǒng)區(qū)域網(wǎng)絡內(nèi)的各項處理功能是否有效,各項控制措施是否健全并得到有效執(zhí)行等;(4)網(wǎng)絡信息系統(tǒng)的安全審計與災難恢復計劃審計。此審計環(huán)節(jié)可確定中觀審計主體的各項信息系統(tǒng)安全控制措施是否健全,信息系統(tǒng)安全策略與程序是否能最大限度地降低信息系統(tǒng)的安全風險,中觀經(jīng)濟主體的災難恢復計劃是否適應區(qū)域有機整體的需求,相應各個有機組成的信息資源是否做有備份,異地微觀個體信息數(shù)據(jù)的存儲是否安全等。中觀經(jīng)濟主體信息系統(tǒng)審計是以傳統(tǒng)審計理論為基礎的,并在繼承中觀審計的基本理論與基本方法的同時,結合信息系統(tǒng)審計的特點在審計程序上加以創(chuàng)新。中觀經(jīng)濟主體信息系統(tǒng)審計的主體一般是中觀經(jīng)濟主體內(nèi)部的IT審計師、外部IT審計事務所所委托審計師和國家審計機構。中觀經(jīng)濟主體信息系統(tǒng)審計不是單純強調(diào)對中觀經(jīng)濟主體的軟硬件審計,它的審計對象涵蓋中觀主體范疇內(nèi)整個信息系統(tǒng)所有活動和中間產(chǎn)物,并包括與信息系統(tǒng)實施相關的外部環(huán)境。與微觀個體信息系統(tǒng)審計相比,中觀經(jīng)濟主體信息系統(tǒng)審計所涉及的范圍廣而對象多,且區(qū)域內(nèi)紛亂的組成個體之間盤結著錯綜的勾稽關系與系統(tǒng)契約關系;與宏觀性質的審計相比,中觀經(jīng)濟主體信息系統(tǒng)審計又具有中觀化、具體化的特點。可見,中觀經(jīng)濟主體信息系統(tǒng)審計的存在給傳統(tǒng)的審計監(jiān)督活動注入了新鮮血液。在當前的經(jīng)濟情形下,中觀經(jīng)濟主體信息系統(tǒng)審計承載著其特有的目標與任務。中觀經(jīng)濟主體信息系統(tǒng)審計的目標是站在客觀公正的角度上,收集中觀經(jīng)濟領域所屬主體的信息系統(tǒng)控制與審計信息,生成審計報告,通過審計報告促成信息系統(tǒng)生命周期活動和成果的改善。從中觀經(jīng)濟主體信息系統(tǒng)審計的最終目標來看,中觀經(jīng)濟主體信息系統(tǒng)審計的行為過程僅僅是一種手段。借鑒中觀經(jīng)濟主體的特點,結合信息系統(tǒng)審計的控制內(nèi)容,筆者認為中觀經(jīng)濟主體信息系統(tǒng)審計的任務為: (1)實現(xiàn)中觀經(jīng)濟主體信息資產(chǎn)的安全性; (2)保證中觀經(jīng)濟主體信息數(shù)據(jù)的完整性; (3)維護中觀經(jīng)濟主體信息系統(tǒng)的機密性、可用性和一致性; (4)加強中觀經(jīng)濟主體信息系統(tǒng)的可靠性、有效性與效率性。中觀經(jīng)濟主體信息系統(tǒng)審計的任務遠遠要比微觀主體的信息系統(tǒng)審計任務艱巨,這是因為中觀經(jīng)濟主體本身就存在著復雜的運行機制,中觀經(jīng)濟有機主體下所屬的微觀個體之間存在著紛繁復雜的網(wǎng)狀結構關系,在雜亂的網(wǎng)絡系統(tǒng)中構建以整體為對象的信息系統(tǒng)資源,勢必將會在人員、應用、技術、設備與數(shù)據(jù)的管理與控制方面存在脆弱性。此外,IT審計師對中觀經(jīng)濟主體信息系統(tǒng)業(yè)務處理的評判過程也要比微觀個體復雜得多,這主要因為中觀經(jīng)濟主體是微觀個體的集合體,但微觀個體可能處于不同的行業(yè),跨越不同的地域,由承載不同功能的計算機所組成的非區(qū)域化信息網(wǎng)絡,必將會對IT審計師的信息業(yè)務處理水平帶來全新的挑戰(zhàn)。因而,探索中觀經(jīng)濟主體信息系統(tǒng)的審計模式將會成為推動未來審計理論發(fā)展的新趨勢。4、 中觀經(jīng)濟主體信息系統(tǒng)審計的實施路徑構建我國對信息系統(tǒng)審計的研究起步較晚,傳統(tǒng)的審計方法已不能滿足信息系統(tǒng)審計實踐的要求。鑒于此點考慮,筆者引用國外信息系統(tǒng)控制的兩個模型對我國中觀經(jīng)濟主體信息系統(tǒng)審計機制運行路徑的構建拋磚引玉,供理論界借鑒。(1) COBIT模型在中觀經(jīng)濟主體信息系統(tǒng)審計中的應用美國信息系統(tǒng)審計與控制協(xié)會(ISACA)在1996年提出了COBIT模型(ControlObjectives for Informa-tion and related Technology)。COBIT是國際上公認的最先進、最權威的安全與信息技術管理和控制的規(guī)范體系,目前發(fā)展至第四版。COBIT模型由執(zhí)行概要、框架、執(zhí)行工具集、管理指南、控制目標和審計指南六部分組成。執(zhí)行摘要為企業(yè)管理層闡明了COBIT模型中關鍵的概念和原則,給出了執(zhí)行的總體概況;框架是COBIT模型的主體部分,解釋了IT流程是如何傳遞業(yè)務需要的信息和如何控制信息技術,其由管理指南、審計指南和控制目標三部分組成;執(zhí)行工具集主要包括了管理理念、IT控制工具、執(zhí)行指南、常見問題和管理案例等用于處理的可供選擇的輔助工具和軟件;管理指南給出了度量信息系統(tǒng)的指標體系,并由成熟度模型、關鍵成功因素、關鍵目標指標、關鍵績效指標四部分組成;控制目標是COBIT模型的關鍵組成部分,其是一個多層的架構,通過域、過程、任務活動三層體系實現(xiàn)總體目標的分解,通過特定的活動來實施控制以達到預定的系統(tǒng)目標8。COBIT在信息系統(tǒng)控制方面,不但提供了一系列可行的系統(tǒng)控制策略與IT控制路徑,而且提供了信息系統(tǒng)的審計指南,實現(xiàn)了對信息系統(tǒng)整個生命周期活動的過程管理。中觀經(jīng)濟主體信息系統(tǒng)審計是中觀審計人員對信息系統(tǒng)的控制與管理,是以風險為導向的IT審計。COBIT模型的每個信息技術處理過程都涉及具體的控制目標、具體的IT資源以及規(guī)范的IT控制路徑。COBIT模型按照信息系統(tǒng)的生命周期劃分為規(guī)劃與組織、獲取與實施、交付與支持、控制與監(jiān)督四個域,根據(jù)域設計了34個高層次控制目標以及318個具體控制目標,這些微觀控制目標為IT審計師實施中觀經(jīng)濟主體信息系統(tǒng)提供了全面的參考模板。中觀審計人員可以以COBIT模型的相關理論與具體指標為準繩,了解中觀經(jīng)濟主體信息系統(tǒng)的運行情況以及內(nèi)外部環(huán)境,確認被審信息系統(tǒng)在各個層面上是否達到控制標準,創(chuàng)造性地把COBIT理論作為評價被審信息系統(tǒng)重大錯報風險水平以及開展審計測試的操作規(guī)范。此外,CO-BIT模型中的管理指南給出了度量信息系統(tǒng)安全、可靠與有效的指標體系,給出了為管理者提供評估樣板的度量模型,中觀IT審計人員可以根據(jù)COBIT模型中的IT業(yè)務活動的指標體系與度量模型了解被審計信息系統(tǒng)的固有風險水平。(二) ITIL模型在中觀經(jīng)濟主體信息系統(tǒng)審計中的應用ITIL(信息技術基礎設施庫)是Information Tech-nology Infrastructure Library的縮寫。ITIL是英國政府商務部(OGC)在20世紀90年代初期發(fā)布的一套IT服務管理最佳實踐指南。ITIL列出了各個信息系統(tǒng)服務管理流程“最佳”的目標、活動、輸入和輸出的方法、實施過程以及各個流程之間的關系。ITIL模型對信息系統(tǒng)服務的提供和支持定義了更為詳細和更易理解的過程集。ITIL模型旨在解決所有可能出現(xiàn)的弊端,并提供了一個指導性框架,這個框架可以保留組織現(xiàn)有信息系統(tǒng)管理方法中的合理部分,同時增加必要的技術,并且方便了各種信息系統(tǒng)職能間的溝通和協(xié)調(diào)。但ITIL并不是一套理論模式,而是以全球最佳實際經(jīng)驗為依據(jù),基于高質量、合理定義、可重復流程等運作為基礎,確立的可持續(xù)改進的路徑規(guī)劃。ITIL的實施,可以使信息系統(tǒng)部門對發(fā)生在財務、銷售、市場、制造等業(yè)務上的流程進行改變,做出及時反應,增強信息系統(tǒng)服務效率?；贗TIL的IT服務管理,繼承了三個特點: (1)描述已經(jīng)得到證明的IT服務計劃和運營的實踐框架,基于經(jīng)驗,而非理論研究; (2)對于公共組織和個人組織公平地給予指導獨立于組織使用的軟件與硬件; (3)屬于公共的方法論,使用時無須任何費用,具有全球的用戶網(wǎng)絡服務IT管理軟件/服務生命周期的地位9。盡管ITIL的主要“目標聽眾”是IT人員和服務管理人員,其提供了信息系統(tǒng)服務各個環(huán)節(jié)的行為方法與實施過程。但是, ITIL模型仍然為中觀經(jīng)濟主體信息系統(tǒng)的審計人員提供了審計指南。在當前未有任何審計部門出臺的IT審計準則的情況下,我們的中觀經(jīng)濟主體信息系統(tǒng)審計人員可以借鑒30ITIL模型的具體方法與步驟作為審計路徑加以參照,據(jù)此判定各個環(huán)節(jié)的信息系統(tǒng)流程管理的制度設計與執(zhí)行程度,判斷信息系統(tǒng)與各個業(yè)務部門的相互作用效率,確認信息系統(tǒng)對業(yè)務功能效果及流程設計的深層次影響等諸多方面。中觀經(jīng)濟主體信息系統(tǒng)審計人員所需借鑒ITIL的方面有: (1)服務級別管理流程,其可為審計人員提供包括定義、匹配、存檔和管理客戶要求的各個級別服務的審計流程; (2)可用性管理流程,其可為審計人員提供定義關于IT服務可用性的客戶需求的審計流程,以及確定IT基礎設施對傳送特定級別的可用性的能力的審計流程; (3)突出事件管理流程,其可為審計人員提供通過服務臺管理異常的突發(fā)事件的審計流程;(4)問題管理流程,其可為審計人員提供包括問題控制方法、錯誤控制方法等的審計流程; (5)變更管理流程,其可為審計人員提供用于控制和管理變更請求的審計流程; (6)配置管理流程,其可為審計人員提供包括規(guī)劃、確認、控制、維護和核實服務中的配置項,通過記錄和報告它們的狀態(tài),支持變更管理和評定改變這些配置項對IT的潛在影響的審計流程;(7)應用發(fā)布管理流程,其可為審計人員提供如何應用包括規(guī)劃、設計、建設、配置和測試