財務信息化中ＩＴ風險控制目標探討

摘 要：企業財務信息化逐漸發展成為一種趨勢，信息化的過程中財務信息的安全就顯得格外重要。如何對財務信息化中的風險進行管理，在理論和實踐中都有重大意義。文章通過對財務信息化中的IT風險理論、安全控制要求以及國際IT風險管理標準的研究，對公司財務在信息化中的風險控制的目標體系構建進行探討，以期對理論和業界實踐具有一定的借鑒意義。

關鍵詞：信息化 IT風險 風險控制目標

中圖分類號：F234 文獻標識碼：A

文章編號：1004-4914(2007)10-161-02

一、IT風險與IT風險控制綜述

一般而言，IT風險是指由于IT投資而產生的那些會影響商業目標實現的事情。在涉及企業信息安全的商業世界中，如何給IT風險從理論上下定義則并不統一：英國Ernie Jordan ，Luke Silcock（2006）對IT風險給出了兩個定義，其一是對業務造成負面影響的信息技術失效，其二是某些信息技術故障對業務造成負面影響。國際標準ISO/IEC17799定義的信息安全風險是指信息資產的保密性、完整性和可用性遭到破壞的可能性。美國NIST SP800-53對信息安全的定義是：確保信息和信息系統不被非法訪問、使用、暴露、中斷、修改或者破壞，從而保證信息的機密性、完整性和可用性。劉義理、劉鵬（2003）認為IT風險是一種潛在的可能——某種IT相關威脅將利用IT資源中的一種或多種資產的缺陷而造成這些資產的損失或者破壞。還有專家認為隨著會計電算化應用的不斷擴展及深入，由于環境及數據處理等方面原因而導致的會計電算化系統客觀存在的安全缺陷以及電算化工作中存在的安全風險也逐步增大。這些安全缺陷和風險時刻都在威脅著會計信息的真實性、完整性和及時性。

對財務信息化中的IT風險控制要求而言，我國許多學者從會計電算化中內部控制的角度探討了IT風險控制的內容。徐波（2006）認為，會計電算化環境下的內部控制內容包括組織與管理控制、操作控制，組織與管理控制包括崗位設置、權限管理和檔案管理控制；操作控制則包括輸入控制、處理控制、修改控制和輸出控制。同時認為應該從數據備份、硬件安全保障和病毒防控幾個方面確保信息系統的安全。陳福軍（2006）指出，基于網絡財務信息系統的內部控制機制，包括組織與管理控制、軟件控制、應用控制、網絡安全控制、日常管理控制、人員控制和內部審計監督控制幾個方面。蔡莉（2003）、李彩蓮（2004）、黃曉暉（2006）等也都從管理、技術和人員安全對網絡環境下的安全管理進行了探討。

綜上所述，財務信息化中的IT風險可以歸納為信息化的缺陷和系統操作的漏洞對會計信息的真實性、完整性、及時性帶來的負面影響。而IT風險控制的目標要求則可以從管理、人員和技術等幾個層次來制定控制目標。管理角度可以從組織構建、管理策略、物理環境配置等幾個方面，技術角度則可以從網絡安全管理、訪問控制、系統開發與維護等幾個方面來考慮制定。人員的安全主要包括人員的篩選和人員的日常操作過程的安全意識、安全道德、安全培訓等。

二、國際IT風險管理標準控制目標

企業財務信息化風險管理的目標，總體而言是為了保證企業財務信息的機密性、完整性和可靠性。而整體目標的實現依賴于各個業務流程中，人員、操作、合法訪問、物理環境管理等各方面目標的實現。信息化風險管理的安全控制目標要求，國際上有諸多標準對此做出了詳細的規定。諸如COBIT、ISO/IEC17799、NIST等。

COBIT的第一版由信息系統審計和控制協會（ISACF）于1996年發行，現在已經發展到第四版。該標準把IT分成4個領域（計劃和組織、獲取和實施、交付和支持、監控），共計34個IT業務流程。COBIT為正在尋求控制實施最佳實踐的管理者和IT實施人員提供了超過300個詳細的控制目標，以及建立在這些目標上的廣泛的行動指南。

ISO/IEC17799：2000由BS7799的第一部分發展而來。ISO/IEC17799：2000IT風險管理控制分為11大類，其中11大類控制措施分別為安全策略、安全組織、資產管理、人員安全、物理環境安全以及法律法規遵循性管理等。該11類控制措施又具體分為36個一級控制目標，127個二級安全控制目標。

NIST SP800-53是由美國國家技術與標準局制定的總體的信息系統安全框架系列中的安全控制選擇與實施方面。該標準將IT安全控制分為管理、操作、技術三大類，17個族（Family），114個安全控制目標。17個族依次為管理類包括：風險評價、規劃、系統和服務獲取、認證，識別及安全評估；操作類：人員安全、物理和環境防護、連續性計劃、配置管理、維護、系統和信息完整性、介質保護、信息安全事件響應、安全意識與培訓等；技術層次則包括：識別與鑒定、訪問控制、審計和責任、系統和通信保護等。

通過以上三大國際標準的分析我們可以看出，COBIT以流程為主，ISO/IEC17799與NISTSP800-53則是從分類的角度進行安全控制目標的設定。鑒于國內學者和業界的研究習慣，ISO/IEC17799也是在我國應用更加廣泛的標準。筆者將從類別的角度來制定我國財務信息化中的IT風險控制目標體系。

三、財務信息化的IT風險控制目標體系構建

參照國際IT風險管理的控制目標，結合我國財務信息化的特點以及財務信息化風險來源的類別，筆者認為，企業財務信息化中的IT風險控制目標可以總體上分為11大類，并在各類別下設置與財務信息化風險相關的一級控制目標和二級控制目標。控制目標體系如下：

1.財務信息安全策略。為企業財務的信息安全提供符合業務需求和法律法規的管理方向和支持。管理層應當制定與業務目標一致的信息安全策略和IT戰略，并通過在企業內部發布、維護相應的戰略和策略，為企業的財務信息安全管理提供有力的支持。該類別下包括IT風險管理定義、安全方案管理、安全戰略規劃和IT投資管理幾個方面設定一級財務信息安全控制目標。

2.財務信息安全組織。銀行應建立一個管理架構，在組織內部推行、管理信息安全。應由管理層牽頭、組織管理論壇來討論及批準信息安全策略、指派安全角色及協調組織內部的安全實施。該類別下可以從組織結構規劃、IT審計框架定義兩個方面制定一級財務安全控制目標。其中組織結構規劃包括IT戰略委員會、IT專家顧問委員會、IT監督委員會、崗位與責任劃分、職務分離規劃、服務提供商及客戶管理等幾個方面制定二級控制目標。IT審計框架定義包括IT風險審計規劃、審計文檔管理、審計實施管理、審計實施結果評價、審計結果匯總與上報等。

3.IT資產管理。IT資產是IT治理的對象，進行IT治理首先要對IT資產進行明確的分類。IT資產分類的目的是為了確保資產的保護等級處于適當的水平，保證信息資產受到適當程度的保護。IT資產管理可以從IT資產分類、IT資產績效與能力管理兩個方面制定一級控制目標。其中IT資產分類又可以確定分類標準、明確IT資產責任主體、IT資產等級劃分、IT資產的需求管理、資源優先級管理、IT資產標簽與記號管理等方面劃定二級控制目標。IT資產績效與能力可以從績效及能力規劃、評估當前績效與能力、評估預期績效與能力三個方面劃定二級控制目標。

4.人力資源安全。為保證IT資產安全，必須制定相應的策略，以規范人員招聘、培訓、轉移、操作和解聘等活動，減少冒名頂替、人為操作錯誤、設備被偷被濫用、泄密等風險。對企業財務信息安全而言，人員的素質和能力對財務信息安全尤為關鍵，據統計，企業信息的威脅2/3以上是由于人為因素造成的。人力資源安全可以從人員招聘、人員培訓、人員操作管理以及人員解聘四個方面制定一級控制目標。

5.物理環境安全管理。IT資產中的硬件需要放置或安裝到具體物理環境的具體位置，為保證其安全性和機密性，要詳細規定放置或安裝環境需要滿足的各種條件。同時，為保證硬件本身的安全性和機密性，要對所需監控設備和水電等能源供應做出具體規定。包括安全區域確定、管理物理環境、確保設備安全等三個一級目標。安全區域要確保能防止非法訪問、危害及干擾業務運營的前提條件與信息，同時要規劃設備配置的區域安全。物理環境的管理主要是要選擇安全的物理環境，設備安全要考慮到設備配置的監控和能源（水、電、熱）服務的正常供應。

6.通信及運行管理。財務信息化的一個重要特征就是網絡化，網絡化的過程中必然涉及通信、訪問控制等，這幾個方面主要是技術的角度來防范IT風險。信息系統在運行過程中，大部分活動需要在局域網以及廣域網內進行，通信是其中的重要環節，也是面臨威脅最大的環節，這就需要制定詳細的措施對通信前、通信中、通信后的一系列活動進行嚴格的安全控制，以最大程度地降低通信給信息系統和IT資產帶來的威脅與風險，進而保證IT戰略目標和業務目標的順利實現。

通信及運行管理主要包括網絡安全管理、介質管理、數據管理等三個方面。網絡安全管理方面主要包括防范惡意代碼和移動代碼、防范垃圾郵件和間諜軟件、建立可信通道、共訪問保護和入侵檢查等。介質管理要確保介質的安全存儲、放置以及執行安全的廢棄。數據管理要確保數據的分類、查詢、傳輸過程中的安全。

7.訪問控制。對財務信息的訪問控制包括物理和邏輯兩個層面。訪問控制是指通過強制、制約、限制、約束措施，盡可能地減少或避免非法訪問、錯誤訪問、不合理訪問。訪問控制應明確每個用戶或每組用戶應有的訪問控制規定及權限，用戶及服務提供商都應明白訪問控制要達到的業務需求。包括訪問授權及變更管理、訪問日志管理、訪問控制強制機制、用戶訪問管理、系統訪問控制、網絡訪問控制、介質訪問控等幾個方面。

8.系統的獲取與維護。系統的獲取包括自研發和外包兩個方面，維護則是財務信息安全控制中周期最長的階段。系統的安全要求目的是為了確保信息系統已實施安全，包括架構、業務及用戶開發的系統。支持應用系統或服務的業務流程設計與實施對安全有很重要的影響，所以應該在開發信息系統前就要考慮系統的安全要求。 系統的獲取與維護應包括財務信息系統需求分析、確定設計方案、獲取各種資產設備、外包服務風險管理、管理服務交付、安裝與調試設備、設備維護與更新、密碼與密鑰機制管理、技術脆弱性管理等幾個方面。

9.信息安全事件管理。信息安全事件管理是指建立事件管理的責任及程序，以確保快速、有效及有序應對安全事件。首先要確立應對所有類型安全事件的程序，如：信息系統失敗及服務丟失、拒絕服務、因未完成或不準確的業務數據所引致的錯誤、泄密等。 除了正常的應急計劃（用來在第一時間恢復系統或服務）之外，程序還應包括：分析及確定事件發生的原因；避免再次發生的補救方法、計劃及措施；收集審計追蹤及其它類似證據；與受影響的、或與恢復事件的人員保持聯系；向有關部門報告處理措施及結果等。

10.業務持續性管理。業務連續性管理是指通過綜合利用預防及恢復措施，把業務因災難或安全失效（來自于天災、意外、設備失效及故意破壞）的停頓降到可接受的程度。應分析災難、安全失效及服務停頓的影響，以便制定及實施應急計劃來保證業務進程能夠在規定時間內恢復。計劃應定期修改，最終成為所有其它管理過程的不可分割的一部分。

11.符合性管理。符合性是指信息系統的設計、操作、使用及管理都要遵守相關的法律法規、機構的安全策略及標準、與第三方簽訂的合同協議等條款。符合性管理包括制定符合性計劃、機構內部人員的審查、向外部顧問咨詢、接受外部人員及機構的審計等。

以上從組織管理、人員安全、物理環境等11個方面對財務信息化中的IT風險控制目標的具體內容進行了闡述。值得一提的是企業財務信息是整體信息化中的一部分，雖然財務信息化網是企業信息化最核心的部分，但也將財務信息化中的IT風險管理與企業整體的信息化風險管理緊密結合起來。

四、結論

本文通過對企業財務信息化中IT風險的定義和國際標準中對IT風險控制目標的制定進行了理論層次的分析。財務信息化中的IT風險控制目標僅是IT風險管理的一部分。本文的研究只是從IT風險控制目標的類別以及在制定這些目標時應當考慮的方面進行了探討，對財務信息化中IT風險管理流程、風險的計算和等級劃分等則是需要繼續研究和討論的內容。這些結合在一起，將有利于形成完整的財務信息化風險的IT風險管理體系。

參考文獻：

1.劉義理，劉鵬.基于IT治理的企業IT風險管理與控制.電腦知識與技術，2005

2.徐波.會計電算化下的內部控制與安全保障.會計之友，2006

(作者單位：駐馬店市豫龍同力水泥有限公司 河南確山 463200)

(責編：若佳)