基于信息熵的信息系统内部控制评价指标研究摘要：文章在参考COBIT框架的基础上，根据不同学者对信息系统内部控制的研究，设置了41个信息系统内部控制评价指标；运用调查问卷的方式收集数据并应用信息熵理论的熵权法对数据进行处理，从而客观地确定各指标的权重。通过本文的研究实现了对信息系统内部控制质量的定量评价，也为信息系统内部控制审计提供一定的理论依据。关键词：信息系统；内部控制；信息熵；评价指标：C931.6文献标识码：A：1673-1069（2016）17-44-51概述随着信息技术在企业中的普及，企业的组织管理、经营活动、各类数据的传输以及相关信息的产生更多地依赖信息系统的自动化处理。信息系统已经成为企业管理的重要平台，信息系统内部控制也成为了企业内部控制的重要组成部分。《企业内部控制基本规范》第四十一条明确指出：“企业应当加强对信息系统开发与维护、访问与变更、数据输入与输出、文件储存与保管、网络安全等方面的控制，保证信息系统安全稳定运行”。根据《内部审计具体准则第28号――信息系统审计》第四章信息技术风险评估第十三条：“进行信息系统审计时，审计人员应当识别组织所面临的与信息技术相关的内、外部风险，并采用适当的风险评估技术与方法，分析及评价其发生的可能性及影响程度，为确定审计目标、范围和方法提供依据”。作为审计所关注的重点领域，对信息系统实施内部控制可以有效地发现问题，规避风险。鉴于内部控制对维护信息系统安全、抑制信息系统风险、增加企业价值所起的决定性作用，业界给予信息系统内部控制方面的研究关注度日益增多。盛巧玲、吴炎太（2013）基于信息系统生命周期，参考COBIT的IT过程及运用层次分析法建立了信息系统内部控制评价指标体系，并借鉴能力成熟度模型提供了指标评分依据。陈翔（2010）结合信息系统生命周期和信息处理流程，定义了信息系统一般控制和应用控制的概念，分析了两者具有的风险，并提出了对关键控制活动的认识和应采取的措施。信息系统是企业业务流程的重要组成部分，是企业实现经营和创造利润的重要资源，信息系统的安全性将决定着企业的未来发展。信息系统内部控制是维护信息系统安全的有效措施。信息系统内部控制可以看成一个离散系统，而信息熵可以用于对离散系统进行分析研究。近些年，也有不少学者运用信息熵作为研究方法。阮旭华（2011）构建了高校财务风险评估指标体系，并在此基础上探析了将信息熵法应用于评估高校财务风险的可行性。周薇、李筱（2010）基于信息熵来确定评价指标的客观权重，并结合主观权重，得出综合评价方法；再运用大学生综合素质评价体系为例说明综合评价方法的实用性与可行性。熊金石、秦洪涛等人（2013）把信息熵作为确定安全风险评估指标权重的方法，消除了专家在排序阶段的主观随意性。信息技术的广泛应用在给企业发展带来好处的同时，信息系统的安全问题也变得尤为突出，信息系统内部控制作为应对信息系统风险的有效措施具有了现实的研究意义。信息熵理论的熵权法作为确定评价指标权重的方法也具有客观性。为此，本文基于信息熵理论对信息系统内部控制评价指标作了全新的研究，也为信息系统内部控制审计提供一定的理论依据。2信息系统内部控制风险评估指标构建信息系统内部控制包括：一般控制和应用控制。一般控制是确保组织信息系统正常运行的制度和工作程序，其主要目标是保护数据与应用程序的安全，并确保在异常中断情况下计算机信息系统能持续运行。应用控制是为应对各类业务数据处理的特殊控制需求，保证业务数据处理过程中数据的完整、准确，主要包括输入控制、处理控制和输出控制。COBIT（ControlObjectivesforInformationandrelatedTechnology）：即信息系统和技术控制目标。COBIT共含有34个信息技术过程控制，并划分为四个控制域：规划和组织、获得和实施、交付与支持以及监控与评价，是国际上公认的信息系统和技术管理与控制标准。本文在参考COBIT框架以及充分认识企业信息系统内部控制的内涵及其构成的基础上，通过实地调研并根据科学性、系统优化性、整体性、可行性等原则，从一般控制和应用控制两方面设置指标，见附表1。3利用信息熵计算信...