IT風(fēng)險及控制測評研究

[摘 要] 隨著IT在企業(yè)的廣泛應(yīng)用，企業(yè)的經(jīng)營活動、各種數(shù)據(jù)傳遞以及財務(wù)報告的產(chǎn)生越來越多地依賴IT系統(tǒng)的自動化處理。本文通過分析信息系統(tǒng)業(yè)務(wù)流程，識別IT系統(tǒng)業(yè)務(wù)流程層面的風(fēng)險及控制，提出基于IT系統(tǒng)產(chǎn)生數(shù)據(jù)的IT風(fēng)險及控制測評指標(biāo)，從而為信息系統(tǒng)內(nèi)部控制審計提供依據(jù)。

[關(guān)鍵詞] IT；信息系統(tǒng)；風(fēng)險及控制；內(nèi)部控制測評

doi ： 10 . 3969 / j . issn . 1673 - 0194 . 2013 . 11. 034

[中圖分類號] F272；TP317.3 [文獻標(biāo)識碼] A [文章編號] 1673 - 0194（2013）11-0051-03

1 引 言

內(nèi)部控制評價是企業(yè)對自身制度的一種審視，最初的內(nèi)部控制評價是為了滿足外部審計的需要，其目標(biāo)是通過審查和評價企業(yè)的內(nèi)部控制，進一步確定審計測試范圍和抽查數(shù)量。后來，隨著企業(yè)內(nèi)部控制制度在企業(yè)內(nèi)部逐漸形成，在制度基礎(chǔ)模式下，內(nèi)部控制評價作為審計程序的一部分，其目標(biāo)主要是為審計服務(wù)，確定審計范圍，提高審計質(zhì)量和審計效率。到了20世紀(jì)中后期，由于環(huán)境的變化、不確定性的增加、競爭更加激烈等因素，導(dǎo)致企業(yè)面臨的經(jīng)營風(fēng)險越來越大，審計人員面臨的風(fēng)險也越來越大。在這樣的背景下產(chǎn)生了風(fēng)險導(dǎo)向?qū)徲嫞藭r內(nèi)部控制評價的重點在于對控制風(fēng)險的評價，其目標(biāo)主要是控制審計風(fēng)險。

隨著信息技術(shù)（Information Technology，IT）在企業(yè)的廣泛應(yīng)用，企業(yè)的經(jīng)營活動、各種數(shù)據(jù)傳遞以及財務(wù)報告的產(chǎn)生越來越多地依賴IT系統(tǒng)的自動化處理。自動化過程在給企業(yè)帶來效率的同時，也導(dǎo)致了需要有專門的內(nèi)部控制措施才能加以控制的新的風(fēng)險。為保障企業(yè)經(jīng)營目標(biāo)的實現(xiàn)，如何識別IT風(fēng)險，如何對IT控制進行評價亟待研究，以確保企業(yè)數(shù)據(jù)以及生成這些數(shù)據(jù)的信息系統(tǒng)的真實性和有效性。

本文通過分析信息系統(tǒng)業(yè)務(wù)流程，識別IT系統(tǒng)業(yè)務(wù)流程層面的風(fēng)險及控制，提出基于IT系統(tǒng)產(chǎn)生數(shù)據(jù)的IT風(fēng)險及控制測評指標(biāo)，為信息系統(tǒng)內(nèi)部控制審計提供依據(jù)。

2 研究依據(jù)

《企業(yè)內(nèi)部控制基本規(guī)范》第四十一條明確指出：“企業(yè)應(yīng)當(dāng)加強對信息系統(tǒng)開發(fā)與維護、訪問與變更、數(shù)據(jù)輸入與輸出、文件儲存與保管、網(wǎng)絡(luò)安全等方面的控制，保證信息系統(tǒng)安全穩(wěn)定運行”。在《企業(yè)內(nèi)部控制評價指引》中，強調(diào)“應(yīng)用信息系統(tǒng)加強內(nèi)部控制的企業(yè)，應(yīng)當(dāng)對信息系統(tǒng)的有效性進行評價，包括信息系統(tǒng)一般控制評價和信息系統(tǒng)應(yīng)用控制評價”。 根據(jù)《內(nèi)部審計具體準(zhǔn)則第28 號——信息系統(tǒng)審計》第四章信息技術(shù)風(fēng)險評估第十三條：“ 進行信息系統(tǒng)審計時，審計人員應(yīng)當(dāng)識別組織所面臨的與信息技術(shù)相關(guān)的內(nèi)、外部風(fēng)險，并采用適當(dāng)?shù)娘L(fēng)險評估技術(shù)與方法，分析及評價其發(fā)生的可能性及影響程度，為確定審計目標(biāo)、范圍和方法提供依據(jù)”。美國《薩班斯—奧克斯萊法》（SOX法案）的404條款要求，上市公司內(nèi)部審計師應(yīng)幫助管理層對公司IT應(yīng)用控制和IT一般性控制進行評估并出具報告。

3 IT風(fēng)險及控制流程

IT風(fēng)險及控制通常是指應(yīng)用系統(tǒng)中程序化的控制和影響相關(guān)程序或數(shù)據(jù)完整性的風(fēng)險及控制，這些風(fēng)險及控制會最終影響到財務(wù)報表的認定。

在識別IT風(fēng)險及控制時，第一步是理解公司的IT組織及結(jié)構(gòu)，包括IT管理及組織和應(yīng)用系統(tǒng)的技術(shù)管理策略等，例如整體的安全管理政策、應(yīng)用系統(tǒng)的變更控制環(huán)境、數(shù)據(jù)管理和災(zāi)難恢復(fù)流程，以及數(shù)據(jù)中心操作和問題管理領(lǐng)域等；第二步是對公司層面的IT控制進行評估，例如IT操作及應(yīng)用系統(tǒng)管理的授權(quán)及責(zé)任，統(tǒng)一的政策及程序，管理層和流程負責(zé)人所使用的風(fēng)險評估程序，有關(guān)預(yù)防、制止及發(fā)現(xiàn)欺詐的控制，監(jiān)督和分析操作或運行結(jié)果的步驟等；第三步是對IT流程層面的控制與評估。本文重點分析IT流程層面的風(fēng)險及控制。

4 IT流程層面的風(fēng)險及控制分析

企業(yè)在信息化過程中涉及IT規(guī)劃、實施、運行、維護等一系列IT流程，如果沒有制度化與標(biāo)準(zhǔn)化的約束，如果缺乏部門之間及流程之間的溝通與協(xié)調(diào)，任何操作失誤、安全漏洞或者項目隱患都有可能產(chǎn)生嚴重的后果 ，IT風(fēng)險已經(jīng)滲透到企業(yè)的各個流程層面。IT流程包括一般的IT業(yè)務(wù)流程、數(shù)據(jù)流程等。

4.1 一般的IT業(yè)務(wù)流程層面風(fēng)險及控制

業(yè)務(wù)流程包括系統(tǒng)開發(fā)、系統(tǒng)和數(shù)據(jù)訪問、系統(tǒng)運行/計算機操作、系統(tǒng)變更、終端用戶計算等，存在以下風(fēng)險及控制：

信息系統(tǒng)開發(fā)與使用違反國家法律法規(guī)，可能遭受外部處罰、經(jīng)濟損失和信譽損失。

信息系統(tǒng)開發(fā)與使用未經(jīng)適當(dāng)審核或超越授權(quán)審批，可能因重大差錯、舞弊、欺詐而導(dǎo)致?lián)p失。

信息系統(tǒng)設(shè)計功能不科學(xué)，技術(shù)方案不合理，導(dǎo)致應(yīng)用系統(tǒng)不能滿足生產(chǎn)經(jīng)營管理業(yè)務(wù)需求，可能導(dǎo)致組織經(jīng)營效率與效果低下。

信息系統(tǒng)外包服務(wù)未恰當(dāng)履行或監(jiān)控不當(dāng)，可能導(dǎo)致企業(yè)權(quán)益受損或違約損失。

信息系統(tǒng)訪問安全措施不當(dāng)，可能導(dǎo)致商業(yè)秘密泄露。

系統(tǒng)登錄訪問機制不健全、用戶權(quán)限管理不規(guī)范等，導(dǎo)致對系統(tǒng)的非法或非授權(quán)訪問。

密碼設(shè)置強度不夠，造成系統(tǒng)泄密或受到非法訪問。

系統(tǒng)問題處理不及時、不規(guī)范，不能保證系統(tǒng)問題得到及時有效解決。

信息系統(tǒng)硬件管理不當(dāng)，可能導(dǎo)致企業(yè)資產(chǎn)或股東權(quán)益受損。

系統(tǒng)變更管理不規(guī)范，未經(jīng)審批、測試，導(dǎo)致應(yīng)用系統(tǒng)運行和維護無法正常進行。

維護不規(guī)范，系統(tǒng)運行缺乏有效監(jiān)控及維護管理，影響系統(tǒng)安全穩(wěn)定運行。

備份策略和備份方案不完善，導(dǎo)致系統(tǒng)數(shù)據(jù)丟失和數(shù)據(jù)、系統(tǒng)無法恢復(fù)。

未經(jīng)審核，在財務(wù)報表生成過程中擅自使用終端用戶計算，導(dǎo)致?lián)p失。

終端用戶計算說明文檔不完整或未填寫，備份管理不完善，導(dǎo)致使用有誤。

4.2 IT數(shù)據(jù)流程層面風(fēng)險及控制

信息系統(tǒng)數(shù)據(jù)流程包括數(shù)據(jù)輸入、數(shù)據(jù)處理和數(shù)據(jù)輸出。存在以下風(fēng)險及控制：

輸入數(shù)據(jù)有錯或者重復(fù)輸入，導(dǎo)致系統(tǒng)的處理結(jié)果出錯。

進行數(shù)據(jù)處理操作的人沒有被授權(quán)，或者處理的業(yè)務(wù)沒有受時序控制，或者對處理的結(jié)果沒有進行合理性的檢驗等，會影響系統(tǒng)產(chǎn)生數(shù)據(jù)的正確性和完整性。

未經(jīng)授權(quán)的人對數(shù)據(jù)進行修改與接觸。

采集數(shù)據(jù)的接口不規(guī)范，采集的數(shù)據(jù)類型不匹配，數(shù)據(jù)的范圍不能滿足預(yù)先設(shè)定的范圍等。

5 IT風(fēng)險及控制評價指標(biāo)

根據(jù)內(nèi)部控制在信息系統(tǒng)中的作用與范圍不同，通常把信息系統(tǒng)的控制分為一般控制和應(yīng)用控制。

一般控制普遍適用于所有的應(yīng)用系統(tǒng)，一般控制評價著重考慮與信息系統(tǒng)有關(guān)的系統(tǒng)開發(fā)、程序變更、計算機運行和對數(shù)據(jù)的接觸是否符合企業(yè)內(nèi)部控制的要求，是否有利于企業(yè)內(nèi)部控制目標(biāo)的實現(xiàn)，并以此評價信息系統(tǒng)的安全性、可靠性和合理性。應(yīng)用控制是對信息系統(tǒng)的某一具體處理過程所實施的控制，它隨著所處理業(yè)務(wù)的不同而不同，一般按照信息系統(tǒng)的處理環(huán)節(jié)分為輸入控制、處理控制和輸出控制。

5.1 一般控制評價指標(biāo)

評價內(nèi)容主要包括：組織和管理控制、對程序和和數(shù)據(jù)的訪問控制、程序變更管理、程序開發(fā)和系統(tǒng)運行等幾個方面。

5.1.1 組織和管理控制

是否具有合理的崗位和職責(zé)劃分。信息系統(tǒng)部門職責(zé)及崗位職責(zé)是否明確，不相容的職務(wù)是否分離。

是否具備滿足控制要求的組織管理流程控制。管理層的分工、授權(quán)范圍是否明確，信息系統(tǒng)歸口管理部門和用戶部門之間是否建立職責(zé)分工表，管理層是否明確系統(tǒng)管理部門和用戶部門在保證系統(tǒng)正常安全運行過程中各自承擔(dān)的職責(zé)。

對信息技術(shù)人員的取得、培養(yǎng)和辭退是否建立必要的控制。信息系統(tǒng)人員招聘程序是否規(guī)范，是否定期對員工進行培訓(xùn)，辭退員工是否具有控制流程，例如搞清其辭職的原因，廢除被辭人員的身份識別碼和口令，必要時需要讓被辭人員在信息保密方面做出承諾。

5.1.2 系統(tǒng)訪問控制

系統(tǒng)是否具有身份識別控制：訪問應(yīng)用系統(tǒng)是否需要用戶名和密碼進行登錄認證。用戶名、權(quán)限管理：用戶名的添加、修改和刪除是否由管理層授權(quán)后才能進行，新增或變更用戶權(quán)限是否由權(quán)限申請人申請，經(jīng)相關(guān)部門負責(zé)人審批后，由應(yīng)用管理員在系統(tǒng)中新增或變更用戶權(quán)限。

不相容的崗位分離：系統(tǒng)管理員、應(yīng)用管理員、安全管理員是否實行不相容的職責(zé)分工。

5.1.3 系統(tǒng)的開發(fā)、變更和維護控制

授權(quán)與審批：系統(tǒng)的開發(fā)和變更是否經(jīng)管理層授權(quán)和相關(guān)部門負責(zé)人審批。

系統(tǒng)測試：新系統(tǒng)或變更的應(yīng)用程序移植到生產(chǎn)系統(tǒng)前，相關(guān)部門是否進行系統(tǒng)測試。

文檔及版本管理：是否對信息系統(tǒng)的開發(fā)文檔或變更文檔進行妥善保存，系統(tǒng)開發(fā)或變更的版本號是否進行記錄。

數(shù)據(jù)遷移控制：新舊系統(tǒng)切換時，是否對遷移結(jié)果進行測試、報告并確認。

系統(tǒng)維護控制：應(yīng)用管理員是否按規(guī)定對系統(tǒng)進行安裝、升級或安裝補丁。

5.1.4 系統(tǒng)運行控制

系統(tǒng)運行安全控制：系統(tǒng)的供電系統(tǒng)是否符合要求，系統(tǒng)運行場所是否具備防火報警系統(tǒng)、防雷電系統(tǒng)、防電磁干擾系統(tǒng)等，系統(tǒng)是否部署防火墻設(shè)備或安裝殺毒軟件。

系統(tǒng)硬件軟件控制：計算機硬件包括通信網(wǎng)絡(luò)設(shè)備的運轉(zhuǎn)情況及故障情況是否都有記錄，計算機軟件包括數(shù)據(jù)庫、操作系統(tǒng)、應(yīng)用軟件等是否具有訪問控制。

系統(tǒng)備份與恢復(fù)控制：應(yīng)用管理員是否定期對系統(tǒng)和數(shù)據(jù)進行備份，備份介質(zhì)是否和生產(chǎn)服務(wù)器異地存放，并由專人管理，訪問備份介質(zhì)是否授權(quán)并記錄，系統(tǒng)管理員是否定期對備份數(shù)據(jù)的可讀性進行測試，并對備份數(shù)據(jù)進行恢復(fù)性測試。

故障處理：對系統(tǒng)運行出現(xiàn)的故障是否具有故障處理流程和管理辦法。

系統(tǒng)應(yīng)急預(yù)案：是否制訂系統(tǒng)應(yīng)急預(yù)案，并定期對業(yè)務(wù)人員、系統(tǒng)管理員、應(yīng)用管理員進行系統(tǒng)應(yīng)急預(yù)案的培訓(xùn)。

5.2 應(yīng)用控制評價指標(biāo)

應(yīng)用控制評價可以結(jié)合企業(yè)業(yè)務(wù)流程特點，著重考慮信息系統(tǒng)中與業(yè)務(wù)流程相關(guān)的控制點，并以此評價相關(guān)應(yīng)用系統(tǒng)操作數(shù)據(jù)的真實性、準(zhǔn)確性和合規(guī)性。

應(yīng)用系統(tǒng)控制分為輸入控制、處理控制、輸出控制。

輸入控制包括原始單證審核控制、輸入數(shù)據(jù)正確性控制、輸入數(shù)據(jù)完整性控制、輸入數(shù)據(jù)糾錯控制。

處理控制包括處理權(quán)限控制、業(yè)務(wù)時序控制、合理性檢查控制、參照檢查控制、審計蹤跡控制、備份和恢復(fù)控制。

輸出控制包括輸出權(quán)限控制、輸出數(shù)據(jù)正確性控制、輸出數(shù)據(jù)審核控制、輸出資料分發(fā)控制、輸出差錯更正控制。

然后根據(jù)控制的類型分級，分別設(shè)置一級指標(biāo)、二級指標(biāo)和三級指標(biāo)，并且分別設(shè)置權(quán)重和關(guān)注點，然后進行計分、評估。系統(tǒng)一般控制和應(yīng)用控制測評指標(biāo)及權(quán)重設(shè)計如表1所示。

6 IT控制測評

6.1 IT控制測評方法

（1）審查式測評方法。對制度規(guī)范、崗位職責(zé)、操作日志、日志審計、系統(tǒng)運行監(jiān)控服務(wù)和控制設(shè)計（如身份認證、權(quán)限控制）等進行審查和評價。

（2）測試式測評方法。對信息系統(tǒng)數(shù)據(jù)輸入、數(shù)據(jù)處理、數(shù)據(jù)輸出、數(shù)據(jù)遷移、數(shù)據(jù)備份恢復(fù)在保障系統(tǒng)安全情況下組織模擬測評，對數(shù)據(jù)采集的真實性、完整性組織測評。

（3）訪談式測評方法。對信息系統(tǒng)的重要使用部門和崗位人員、上級主管部門，如財務(wù)、營銷、供應(yīng)和上級關(guān)聯(lián)系統(tǒng)報表統(tǒng)計等組織訪談測評。

（4）問卷式測評方法。對企業(yè)用戶和利益相關(guān)方組織問卷測評，如對銀行存款儲蓄的法人和自然人的存款結(jié)轉(zhuǎn)、計息，汽車加油站的加油計量和計價，電信的電話計量和計價，公路收費等組織問卷測評。

（5）數(shù)據(jù)審計結(jié)合式測評方法。系統(tǒng)內(nèi)控測評和電子數(shù)據(jù)審計相結(jié)合的測評方法，可以利用數(shù)據(jù)審計發(fā)現(xiàn)的疑點對系統(tǒng)內(nèi)控組織測評。

6.2 IT控制評價

在每項指標(biāo)測評完成后，每項測評指標(biāo)都有一個分值，然后使用矩陣分析法分別計算二級指標(biāo)和一級指標(biāo)的得分，也可以運用層次分析法和模糊綜合評價的方法，評價IT內(nèi)部控制整體情況。

7 結(jié)束語

隨著信息系統(tǒng)的廣泛應(yīng)用，企業(yè)的業(yè)務(wù)和信息技術(shù)日益融合，IT風(fēng)險及控制成為信息化管理下企業(yè)內(nèi)部控制的核心。如何識別IT風(fēng)險及控制，如何對IT控制做出評價，將是信息化環(huán)境下的IT審計的重要內(nèi)容。本文只是對IT流程層面的風(fēng)險及控制的內(nèi)容進行了分析與設(shè)計，針對不同類型IT系統(tǒng)的計量與評價方法還有待于進步研究。

主要參考文獻

[1]楊雄勝.內(nèi)部控制評價——理論·實務(wù)·案例[M].大連：大連出版社，2009.

[2][美]James A Hall. 信息系統(tǒng)審計與鑒證[M]. 李丹，譯.北京：中信出版社，2003.

[3]本書課題組.內(nèi)部控制設(shè)計、測試與評價[M]. 北京：經(jīng)濟科學(xué)出版社，2007.