信息系統(tǒng)內(nèi)部控制風(fēng)險(xiǎn)分析

龔習(xí)良

隨著信息技術(shù)的廣泛應(yīng)用，信息技術(shù)在企業(yè)經(jīng)營中發(fā)揮著越來越重要的作用，信息系統(tǒng)已經(jīng)成為企業(yè)經(jīng)營管理不可缺少的平臺。如何加強(qiáng)企業(yè)信息系統(tǒng)內(nèi)部控制風(fēng)險(xiǎn)管理，對于實(shí)現(xiàn)企業(yè)的戰(zhàn)略目標(biāo)和業(yè)務(wù)目標(biāo)，提高企業(yè)經(jīng)營效率，降低信息系統(tǒng)風(fēng)險(xiǎn)及企業(yè)經(jīng)營風(fēng)險(xiǎn)，具有重要的現(xiàn)實(shí)意義。本文將從一般控制和應(yīng)用控制兩個(gè)方面對信息系統(tǒng)風(fēng)險(xiǎn)進(jìn)行分析。

一、我國信息系統(tǒng)內(nèi)部控制規(guī)范

1.企業(yè)內(nèi)部控制基本規(guī)范

為了推進(jìn)我國資本市場的持續(xù)健康發(fā)展，2008年6月28日，財(cái)政部、證監(jiān)會、審計(jì)署、銀監(jiān)會、保監(jiān)會聯(lián)合發(fā)布了《企業(yè)內(nèi)部控制基本規(guī)范》，使我國企業(yè)內(nèi)部控制規(guī)范上了一個(gè)臺階?！镀髽I(yè)內(nèi)部控制基本規(guī)范》共七章五十條，各章分別是：總則、內(nèi)部環(huán)境、風(fēng)險(xiǎn)評估、控制活動、信息與溝通、內(nèi)部監(jiān)督和附則。此次的內(nèi)部控制基本規(guī)范，增加了基于信息系統(tǒng)的內(nèi)部控制政策與程序，強(qiáng)調(diào)了信息系統(tǒng)安全性。其中，第七條明確指出：“企業(yè)應(yīng)當(dāng)運(yùn)用信息技術(shù)加強(qiáng)內(nèi)部控制，建立與經(jīng)營管理相適應(yīng)的信息系統(tǒng)，促進(jìn)內(nèi)部控制流程與信息系統(tǒng)的有機(jī)結(jié)合，實(shí)現(xiàn)對業(yè)務(wù)和事項(xiàng)的自動控制，減少或消除人為操縱因素”。第四十一條強(qiáng)調(diào)：“企業(yè)應(yīng)當(dāng)利用信息技術(shù)促進(jìn)信息的集成與共享，充分發(fā)揮信息技術(shù)在信息與溝通中的作用；應(yīng)當(dāng)加強(qiáng)對信息系統(tǒng)開發(fā)和維護(hù)、訪問與變更、數(shù)據(jù)輸入與輸出、文件儲存與保管、網(wǎng)絡(luò)安全等方面的控制，保證信息系統(tǒng)安全穩(wěn)定運(yùn)行”。

2.企業(yè)內(nèi)部控制應(yīng)用指引——信息系統(tǒng)

2010年4月26日，財(cái)政部、證監(jiān)會、審計(jì)署、銀監(jiān)會、保監(jiān)會聯(lián)合發(fā)布了《企業(yè)內(nèi)部控制配套指引》。該配套指引包括18項(xiàng)《企業(yè)內(nèi)部控制應(yīng)用指引》、《企業(yè)內(nèi)部控制評價(jià)指引》和《企業(yè)內(nèi)部控制審計(jì)指引》，其中一項(xiàng)為《企業(yè)內(nèi)部控制應(yīng)用指引第18號——信息系統(tǒng)》。

（1）基本思想

《信息系統(tǒng)內(nèi)控指引》根據(jù)COSO報(bào)告、COBIT框架及財(cái)政部的《企業(yè)內(nèi)部控制基本規(guī)范》進(jìn)行擬定。依據(jù)COBIT框架的業(yè)務(wù)要求緯度確定本指引的目標(biāo)，依據(jù)COBIT框架的IT過程緯度并結(jié)合《企業(yè)內(nèi)部控制基本規(guī)范》確定具體條款。

（2）主要內(nèi)容

《信息系統(tǒng)內(nèi)控指引》分為3章，共15條。第一章是總則，主要明確了《信息系統(tǒng)內(nèi)控指引》的目標(biāo)、信息系統(tǒng)的定義、信息系統(tǒng)相關(guān)的重大風(fēng)險(xiǎn)、對信息系統(tǒng)建設(shè)進(jìn)行規(guī)劃和管理的責(zé)任等。第二章是信息系統(tǒng)的開發(fā)，主要包括：開發(fā)流程、開發(fā)方式、系統(tǒng)設(shè)計(jì)、操作權(quán)限、數(shù)據(jù)校驗(yàn)、日志管理、系統(tǒng)測試、數(shù)據(jù)遷移、系統(tǒng)上線等。第三章是信息系統(tǒng)的運(yùn)行與維護(hù)，主要包括：系統(tǒng)運(yùn)行、變更管理、保密管理、安全管理、權(quán)限管理、系統(tǒng)備份和硬件管理。

《企業(yè)內(nèi)部控制基本規(guī)范》和《信息系統(tǒng)內(nèi)控指引》的制定與發(fā)布，將有利于提高上市公司對信息系統(tǒng)的管理水平和風(fēng)險(xiǎn)防范能力，為我國各行各業(yè)的企業(yè)制定信息系統(tǒng)內(nèi)部控制細(xì)則提供了普遍適用的基礎(chǔ)平臺，有利于企業(yè)進(jìn)一步提高風(fēng)險(xiǎn)意識，促進(jìn)企業(yè)持續(xù)健康發(fā)展。

二、信息系統(tǒng)一般控制風(fēng)險(xiǎn)分析

信息系統(tǒng)控制是指為了保證信息系統(tǒng)的正確性、可靠性和安全性，提高信息系統(tǒng)運(yùn)營效率，確保信息的準(zhǔn)確可靠，利用各種手段和技術(shù)，對信息系統(tǒng)實(shí)施管理和控制的過程。信息系統(tǒng)控制的對象是信息系統(tǒng)，由計(jì)算機(jī)硬件、軟件、信息、人員和運(yùn)行規(guī)程等組成。

信息系統(tǒng)內(nèi)部控制包括信息系統(tǒng)一般控制和信息系統(tǒng)應(yīng)用控制兩個(gè)方面。信息系統(tǒng)的一般控制是指對信息系統(tǒng)的開發(fā)和應(yīng)用環(huán)境進(jìn)行的控制。信息系統(tǒng)生命周期通常分為系統(tǒng)規(guī)劃、系統(tǒng)分析、系統(tǒng)設(shè)計(jì)、系統(tǒng)實(shí)施、系統(tǒng)運(yùn)行維護(hù)共五個(gè)階段。根據(jù)我國發(fā)布的《企業(yè)內(nèi)部控制應(yīng)用指引第18號——信息系統(tǒng)》，以及信息系統(tǒng)生命周期的劃分，信息系統(tǒng)一般控制風(fēng)險(xiǎn)可以從系統(tǒng)控制環(huán)境、系統(tǒng)開發(fā)、系統(tǒng)變更、系統(tǒng)運(yùn)行維護(hù)、系統(tǒng)安全管理等方面進(jìn)行分析。信息系統(tǒng)一般控制主要風(fēng)險(xiǎn)見表1。

1.系統(tǒng)控制環(huán)境

系統(tǒng)控制環(huán)境是信息系統(tǒng)內(nèi)部控制的重要方面，企業(yè)人事制度與審計(jì)制度對信息系統(tǒng)內(nèi)部控制有重要影響。信息系統(tǒng)規(guī)劃是信息系統(tǒng)內(nèi)部控制的一個(gè)關(guān)鍵控制點(diǎn)，如果信息系統(tǒng)規(guī)劃不合理或目標(biāo)選擇不恰當(dāng)，可能形成信息孤島或造成信息系統(tǒng)重復(fù)建設(shè)，甚至導(dǎo)致系統(tǒng)建設(shè)失敗。

表1 信息系統(tǒng)一般控制主要風(fēng)險(xiǎn)

2.系統(tǒng)開發(fā)

企業(yè)應(yīng)當(dāng)建立規(guī)范的信息系統(tǒng)開發(fā)流程管理制度，明確相關(guān)部門和崗位的職責(zé)、權(quán)限。系統(tǒng)上線往往風(fēng)險(xiǎn)很大，是系統(tǒng)開發(fā)的關(guān)鍵環(huán)節(jié)。企業(yè)應(yīng)當(dāng)制定詳細(xì)全面的信息系統(tǒng)上線計(jì)劃，上線計(jì)劃一般包括人員培訓(xùn)、數(shù)據(jù)準(zhǔn)備、進(jìn)度安排、應(yīng)急預(yù)案等內(nèi)容。系統(tǒng)上線涉及新舊系統(tǒng)切換的，企業(yè)應(yīng)當(dāng)在上線計(jì)劃中明確應(yīng)急預(yù)案，保證新系統(tǒng)失效時(shí)能夠順利切換回舊系統(tǒng)。

3.系統(tǒng)變更

隨著企業(yè)的發(fā)展，企業(yè)對信息系統(tǒng)的需求會發(fā)生變化。為了不斷地滿足企業(yè)的需求，必須對信息系統(tǒng)進(jìn)行完善或變更。對于信息系統(tǒng)的變更，企業(yè)應(yīng)當(dāng)建立相應(yīng)的系統(tǒng)變更管理制度，加強(qiáng)對系統(tǒng)變更的控制。

4.系統(tǒng)運(yùn)行維護(hù)

信息系統(tǒng)上線后，企業(yè)應(yīng)當(dāng)對系統(tǒng)運(yùn)行情況及出現(xiàn)的問題進(jìn)行記錄和分析，制定故障處理預(yù)案，對系統(tǒng)進(jìn)行優(yōu)化和完善。企業(yè)應(yīng)當(dāng)建立并執(zhí)行系統(tǒng)數(shù)據(jù)定期備份制度，明確備份范圍、備份頻度、備份方法、備份責(zé)任人、備份存放地點(diǎn)、備份有效性檢查等內(nèi)容。

表2 會計(jì)信息系統(tǒng)應(yīng)用控制主要風(fēng)險(xiǎn)

5.系統(tǒng)安全管理

系統(tǒng)安全管理包括用戶管理、訪問權(quán)限管理、硬件設(shè)備管理、網(wǎng)絡(luò)安全管理等內(nèi)容。企業(yè)應(yīng)當(dāng)建立用戶管理制度，加強(qiáng)對重要業(yè)務(wù)系統(tǒng)的訪問權(quán)限管理，定期審閱系統(tǒng)賬號，避免授權(quán)不當(dāng)或存在非授權(quán)賬號，確保不相容職務(wù)相互分離、制約和監(jiān)督。企業(yè)應(yīng)當(dāng)綜合利用防火墻、路由器等網(wǎng)絡(luò)設(shè)備，漏洞掃描、入侵檢測等軟件技術(shù)以及遠(yuǎn)程訪問安全策略等手段，加強(qiáng)網(wǎng)絡(luò)安全，防范來自網(wǎng)絡(luò)的攻擊和非法侵入。

三、會計(jì)信息系統(tǒng)應(yīng)用控制風(fēng)險(xiǎn)分析

信息系統(tǒng)應(yīng)用控制是指利用信息系統(tǒng)對業(yè)務(wù)處理實(shí)施的控制。根據(jù)業(yè)務(wù)處理環(huán)節(jié)劃分，信息系統(tǒng)應(yīng)用控制包括輸入控制、處理控制和輸出控制等內(nèi)容。

信息系統(tǒng)應(yīng)用控制與具體的業(yè)務(wù)應(yīng)用相關(guān)聯(lián)，不同的應(yīng)用系統(tǒng)會有不同的應(yīng)用控制。下面以會計(jì)信息系統(tǒng)為例，對會計(jì)信息系統(tǒng)應(yīng)用控制主要風(fēng)險(xiǎn)進(jìn)行分析。

會計(jì)信息系統(tǒng)包括總賬管理、應(yīng)收款管理、應(yīng)付款管理、報(bào)表管理、固定資產(chǎn)管理、采購管理、銷售管理、庫存管理、成本管理、預(yù)算管理等模塊。涉及收入、成本費(fèi)用、資產(chǎn)管理、財(cái)務(wù)信息披露等方面。會計(jì)信息系統(tǒng)應(yīng)用控制主要風(fēng)險(xiǎn)見表2。

[1]財(cái)政部.企業(yè)內(nèi)部控制基本規(guī)范.http：//law.esnai.com/law_show.aspx?LawID=47401.

[2]財(cái)政部.企業(yè)內(nèi)部控制應(yīng)用指引第18號——信息系統(tǒng).http：//finance.ifeng.com/stock/roll/20100709/2391431.shtml.

[3]林斌，覃東，吳炎太.信息技術(shù)內(nèi)部控制操作指引與典型案例研究[M].大連：大連出版社，2010.

[4]COSO.內(nèi)部控制——整合框架[M].方紅星，譯.大連：東北財(cái)經(jīng)大學(xué)出版社，2008.

[5]IT Governanec Institute.COBIT4.1[EB/OL].http：//www.i saca.org.