互聯網金融企業的信息系統內部控制研究

楊勝丹

摘 要：互聯網金融風險問題是伴隨互聯網金融產業的興起應運而生的，它一直是信息時代持續發展所關注的研究熱點。只有建立一套完善的法律法規體系，才能加強風險管控力度、規范企業行為，促進企業的健康發展。本文從互聯網金融企業自身特點入手，結合企業信息系統內部控制的基本理論，全面分析了互聯網金融的發展運營可能存在的操作風險及其具體的表現形式，針對性地提出了一些防范操作風險的建議與措施。

關鍵詞：互聯網金融；風險管理；操作風險；信息系統；內部控制

互聯網應用范圍在信息技術的不斷發展中越來越廣。電子商務、移動支付、云計算等技術和一些第三方支付平臺在大數據時代有力推動了互聯網與金融業的密切結合。互聯網金融在技術更替、市場變化、網絡安全等方面的絕密性需求和流動性管理中有了更高的標準，只有信息安全、互聯網金融風險小，才能鞏固金融業市場經濟的可持續發展。互聯網金融風險是傳統金融風險和網絡安全、技術變化等新風險的結合，是保障金融穩定的關鍵。我國政府部門針對一些風險問題已經出臺了一些管理辦法，但相關法律法規和監管體系的建立仍有待建設。下文會從企業特點和信息系統內部控制角度提出風險管控的建議與措施。

一、概述信息系統內部控制

企業的信息系統控制針對整個計算機信息系統及環境因素要實行一般控制，加強了系統所有應用或功能模塊的控制，有利于企業營造一個良好的操作環境；針對各種數據處理的特殊控制要求實行應用控制，進一步保障了數據處理的完整性與準確性。

1、國內外的研究成果

國外在信息系統內部控制方面已經有了較為成熟的成果。COSO在1992年、2004年，分別就信息系統的控制發布了《內部控制——整合框架》和《企業風險管理——整合框架》，具體從框架上對“控制活動”和“信息與溝通”兩個要素部分進行了規范。2013年COSO作了新的修訂，并明確對框架內“控制活動”部分作出強調，要加強一般控制對信息技術的一般控制。發布的《審計準則No.2》全面闡釋了IT環境對于內部控制的重要性。不久，PCAOB、美國公眾公司會計監督委員會（PCAOB）分別發布《內部控制審計準則》（征求意見稿）和《審計準則No.2》，都著重強調了IT環境對內部控制日益顯著的重要性。

近年來，國內學者在信息系統內部控制理論方面也有了一定的研究成果。張金城從犯罪人員的實際情況出發，與計算機系統全面結合，分別針對加強法制建設、完善內部控制系統和開展計算機系統審計工作提出了應對方法。胡奕明，陳箭深將信息系統的應用控制具體化，就其中包含的6個主要方面提出了健全會計信息系統內部控制制度的應對性措施。內部控制，黃正端依據實現控制的具體措施詳細劃分為程序控制和制度控制兩部分。針對電子商務信息系統容易出現的風險性問題，張金城提供了對應策略，詳細從系統控制設計、電子商務信息存取控制設計、電子商務數據加密、系統中網絡端口保護、系統的主體驗證、電子商務數據的完整性保護、并發控制和文檔控制等方面著手。內部控制五要素也成為劉志遠，劉潔的研究重點，對各企業在信息技術影響下的內部控制未來形勢與面臨的問題作了分析。企業內部控制框架的如何建設，怎能適應生態環境的現實要求，被陳志斌提出。章鐵生認為，重視信息集成環境下的內部控制框架建設，是國內外信息技術條件下內部控制規范的有效措施。生命周期理論，被吳炎太、林斌、孫燁有效運用到信息系統的風險控制中，認為全面掌握信息系統生命周期和在不同階段呈現的風險特征是加強控制的基礎。我國有關行政部門也自2006年后明文規定了商業銀行計算機信息系統內部控制的目標需求和具體環節的控制措施。

二、互聯網金融業的操作風險

互聯網金融業的操作風險，在整個國際金融界中有很廣泛的覆蓋范圍。權威組織巴塞爾銀行業監管委員會，就其操作風險做出理論分析，不完善或有問題的內部操作過程、人員、系統或外部事件是引起風險的重要原因；并將操作風險的表現進行細化，明確劃分為七種形式。互聯網金融本質上是一種金融技術的創新，作為信息技術的發展性產物，互聯網金融是金融技術和金融服務的一種模式上的創新，操作風險不可避免且形式復雜。互聯網金融企業也因為自身特性，在交易環境信息化和操作技術自動化方面有了更大的挑戰，下文就具體方面作出分析。

1、操作環境信息化方面

（1）依托網絡平臺是互聯網金融企業的主要經營模式。把網絡這種虛擬的環境作為交易場所，由于操作人員在業務操作上缺乏專業性知識，容易被不法分子侵擾，造成一些重要數據丟失等現象，破壞了網絡信息安全，影響金融交易的順利完成。良好的運營環境，才是保障網絡信息安全和系統安全的有效措施。

（2）互聯網金融企業很大程度上都依賴信息系統。信息系統需要面對大量的電子數據，交易方式也以系統終端和網絡傳輸為主。為了避免業務中斷或是系統癱瘓問題的出現，必須保證智能終端的正常運行和網絡信息的正常傳輸。否則，系統的崩潰，尤其是類似網上銀行支付的業務上，只會給金融機構的正常運營帶來無法彌補的損失。所以，從系統開發、硬件及系統軟件控制上做好信息系統的安全措施，是互聯網金融良好發展的重要推動力。

2、操作主體多元化方面

（1）互聯網金融企業在產品和業務涉及范圍廣、行業跨度大、風險系數高和操作主體復雜等背景下，容易引起內、外部欺詐、雇傭制度不符等一系列風險問題。為了解決這一問題，必須嚴格組織控制、操作控制和管理體制，規范信息系統內部控制的組織和操作流程。

（2）互聯網金融企業需要一整套科學的管理信息系統。企業內部的交易頻率、數據存儲量、信息安全等方面的健康發展，都離不開管理信息系統的合理性與系統性。在數據的輸入、處理和輸出等一整套信息傳輸過程中，出現任何運行不當問題，都可能出現操作風險。所以，建立健全企業信息系統的應用控制制度，是企業所有交易完成的保障。

三、風險管控的應對性措施

信息系統使人和機器有效結合起來，以信息流的有效處理作為主要目的。伴隨經濟技術的不斷發展，使信息系統將財務系統與企業經營系統緊密聯系起來。只有信息系統內部控制的不斷完善，才能確保企業的順利經營與管理。下面就互聯網金融業操作可能出現的風險問題，提出一些建議。

1、操作環境方面

（1）安全控制。互聯網金融企業的安全控制，是對環境安全控制、安全保密控制和防病毒控制三個方面的控制。具體來說，就是對信息傳輸環境的安全控制、對數據及其運行程序進行加密并在系統執行時解碼、對互聯網金融交易中的外來侵入問題進行防病毒軟件檢測和定期性檢查做好重要信息的備份。

（2）日常運行維護、系統變更和安全管理，是互聯網金融系統開發與維護控制、硬件及系統軟件控制信息系統運行與維護主要包含的三個方面。具體表述為三個方面：一是系統開發階段的控制是基礎。信息技術實施的有效控制，必須做到開發系統的合理化、符合內部控制要求，授權管理得當。并且在信息系統開發成本較高的影響下，更要規劃合理，才能確保后期操作的順利進行和各個企業經營管理效率的提升。所以，系統開發階段的有效控制，一定要依據實際情況，結合信息技術設計合理的信息系統。二是對軟硬件毀損或信息泄露等情況的可能性發生，要做好系統運行和安全維護的周期性檢查工作，將硬件系統的科學檢驗和軟件系統的程序保護、文件保護、安全保護、自我保護等工作。三是互聯網金融企業實時性、高頻性和廣泛性的交易方式，發生系統性故障時會瞬間損失巨大。所以，整個控制系統必須能夠迅速進行災難恢復。

2、操作風險方面

（1）組織控制和操作控制。健康有序的組織控制保證了各項控制的正常開展。對各個管理流程的負責人員要職責分離，執行業務須進行業務授權，才能有效規避內部欺詐和雇傭制度風險。互聯網金融交易的程序性操作離不開網絡，這種在虛擬空間進行操作有很大風險，內部人員必須嚴格遵守上機守則與操作規程，明確職責流程，執行業務授權，才能大大降低內部欺詐和雇傭制度的風險，為順利交易創造更好的操作環境。

（2）應用控制。組織和操作環境的有效營造，是實施應用控制的有效保障，對應用控制的有效運行有很大的影響。輸入控制是應用控制的一個關鍵環節，錯誤的輸入會造成處理和輸出的不科學。互聯網金融企業實行程序化控制的操作流程，操作主體采用口令識別和數據加密等技術促進流程的運行。互聯網金融企業的可持續發展，在信息系統內部控制建設上比普通企業有更高的標準，必須降低各個企業信息系統中易發風險環節的傾向性，建立健全信息系統內部控制制度和風險管理體系。

四、結束語

在互聯網金融行業迅速發展的今天，高風險成為該行業的一大特點。利用云計算等技術進行數據挖掘，是大數據時代為背景形成的很大的信息優勢，在金融方面為社會發展提供了更多、更廣的信息性支持，從開放、普惠等特性上比傳統金融更具優勢，極大地促進了金融產業和經濟的全面發展。所以，企業必須做好信息系統內部控制制度的建設工作，有力規避各種操作風險，是互聯網金融行業可持續和金融企業健康運行的有力保障。

參考文獻：

[1]王麗梅.網絡環境下企業會計信息系統內部控制的研究[J].科技信息（科學教研），2007（32）.