信息系統內部關鍵控制點的識別與監控

應里孟,周海燕

(溫州大學　城市學院,浙江　溫州　325035)

信息系統內部關鍵控制點的識別與監控

應里孟,周海燕

(溫州大學城市學院,浙江溫州325035)

[摘要]關鍵控制是信息系統內部控制體系中需要識別和監控的重點,在識別關鍵控制時,需要充分考慮關鍵控制的特征,并運用自上而下和自下而上的方法進行識別。在針對關鍵控制監控時,需要區分IT固定部分的控制和IT可配置部分的控制。

[關鍵詞]信息系統；內部控制；持續監控

[DOI]10.13939/j.cnki.zgsc.2016.10.132

1識別關鍵控制需要考慮的因素

1.1復雜性

需要專門技能或者培訓的控制,通常更加容易失敗。

1.2需要判斷的程度

需要進行高度的判斷的控制,這高度取決于進行判斷者的經驗和訓練,而且通常是與有意義的風險相關的。

1.3手工控制與自動化控制

手工控制相對于自動化的控制而言,更加容易受到人工錯誤的影響,因此,通常相比于自動化的控制,會受到不同層次的監控(例如,在進行抽樣的時候,它們可能會進行更加頻繁的評價,或者采用更大的樣本)。但是,當自動化的控制失敗的時候,它們可能會在相同的情況下重復失敗,因此,當它們針對有意義的風險的時候,需要對其進行一個恰當水平的監控。

1.4已知的控制失敗

針對先前出現的控制失敗,采取了能夠應對該控制失敗出現的原因有效的采取糾正行動,那么這就是一個需要增加監控活動的明顯指標。

1.5相關人員的勝任能力或經驗

在執行一個給定控制的時候,相關人員勝任能力或經驗不充分,則可能增加控制失敗的可能性。

1.6經理層潛在的越權可能性

控制可能被經理層越權,導致與組織目標背道而馳,這可能意味著需要引起具體的監控關注。

1.7控制失敗檢測的可能性

如果內部控制系統中的其他控制,能夠在系統中出現的控制失敗變得重要之前,將它們檢測出來,那么可能減少了確定這個控制列為關鍵控制的需求。相反,如果可以合理地相信,一個控制失敗可以變得重要,但目前并沒有被檢測出來,并得到及時的糾正,那么就增加了將該控制列為關鍵控制的需求。

2識別關鍵控制的方法

2.1自上而下法

該方法是從對某個定義好的領域或流程的一個非常高層的描述開始的。從最高層級開始,根據對有意義的風險集的定義來確定哪些地方的風險需被減緩,然后再向后追溯,直至所有相關的控制被識別出來。在必要的時候,還要對那些風險如何表現出來,或者這些風險如何被控制尚不清楚的領域進行更加詳細的分析。

2.2自下而上法

該方法是從對一個領域或流程的高層描述開始,然后對該領域的詳細的流程和交易進行記錄。通過這些信息,就可以確定風險可以出現的具體位置,以及對具體的風險是如何進行控制的。

無論使用何種方法,對關鍵控制的識別可以通過考慮那些可能增加信息系統內部控制系統潛在管理失敗的風險的控制來實現。

3對關鍵控制的監控

3.1對IT固定部分的控制進行持續監控

IT固定部分的控制是由軟件廠商設計并構建在系統中的,或者在系統自開發的情況下,由軟件開發團隊所開發的系統。因此,它們不容易在系統實施之后進行修改。這些控制通常是采用硬編碼的方式嵌入信息系統之中的。

首先,應對IT固定部分的控制進行測試,并建立一個持續監控標準。由于IT固定部分的控制是針對那些用于標準應用系統配置的文件、表格、流程、報告和數據。它們通常是在系統實施階段進行測試的,這種測試的結果可以用作持續監控的標準,還可作為后續控制測試的參照。如果是在信息系統實施之后才著手實施持續監控,那么就需要針對每個關鍵控制進行測試,形成持續監控標準。此類持續監控標準具有相對穩定性,由于它能以定量的形式存在,所以最易于進行持續監控。不過,由于此類數據事關信息系統的安全,所以需要建立起一套系統變更管理流程,而且該流程也需要進行持續監控。針對該系統變更的持續監控可以提供對IT固定部分的控制持續有效發揮作用提供認證。這種持續監控可以確保只有經過授權的人員才可以對該系統做出變更；所有的變更都必須經過批準、測試,并且被系統所有者采納；可能受到變更影響的控制持續有效地發揮作用。每隔一定的周期,可能需要進行專項評價,這取決于系統變更和風險評估的頻率。

其次,對IT固定部分的控制進行持續監控。對IT固定部分的控制的持續監控很大程度上依賴于軟件開發和實施,以及變更管理的控制。對IT固定部分的控制的持續監控,是在實施對變更管理流程的持續監控之后才實施的。自動化的變更管理工具和設施可以用于識別所有的系統變更。所識別出來的變更然后與變更請求和批準日志相比較,以確定該變更管理流程得到了遵循,控制也沒有受到規避。該流程中的例外情況會被持續監控系統標記出來,以供相關人員進行評價和采取后續行動。

3.2對IT可配置部分的控制進行持續監控

IT可配置部分的控制是指能夠讓用戶對構建在信息系統或者流程中的控制進行更新、變更,或者對使該控制運行生效或失效,而不需要對程序進行修改的控制。IT可配置部分的控制設置通常是包含在一個可配置的表格中。許多財務、制造和基礎系統都是使用可配置的表格,讓應用系統的用戶能夠根據他們的具體需求對信息系統進行個性化定制。IT可配置部分的設置也可能允許用戶對信息系統中內嵌的工作流功能整體上生效或者失效進行設置。

首先,對IT可配置部分的控制進行測試,來建立一個持續監控標準。IT固定部分的控制和IT可配置部分的控制之間的關鍵差異在于,前者是設計好的,這樣在系統實施之后,就不能對它們作出修改；后者卻很容易根據不同企業的特定需求進行定制(不需要對系統進行變更)。這可以給信息系統提供足夠的柔性,讓同一個系統能夠適應不同部門,甚至是在不同國家、不同行業運行的分公司。在信息系統開發和實施的時候,可以預先建立起一部分IT可配置部分的控制的持續監控標準。若在信息系統投入運行之后再行設定持續監控標準,則需要對這些關鍵控制的配置及其設計和運行進行一次專項評價。

其次,對關鍵的IT可配置部分的控制進行持續監控。適用于對IT可配置部分的控制的持續監控工具和技術包括：對IT固定部分的控制進行監控的工具和技術進行拓展,使之能用于對IT可配置部分的控制的持續監控；生成一個關于當前可配置設計的報告,并采集經理層對這些設置的批準和更新的電子化的日志文件；周期性地將當前的配置與先前掃描的結果進行比較。其中出現的任何的變化都需要進行復核,來決定該變更管理流程是否得到了遵守。

4對關鍵控制實施持續監控需要考慮的因素

持續監控目的是幫助確保控制是根據期望來運行,通常是由經理層參照由內部審計師所開展持續審計來執行的。下列屬性將幫助制定和實施一個成功的持續監控項目：業務流程所有者提供的良好支持；IT管理部門的充分支持；一個對該監控項目的范圍和目標的良好定義；選擇用于監控的業務流程或者IT流程中的恰當的數據特征；用于持續監控流程的直接信息和間接信息的恰當性；識別恰當的軟件報告工具,用于這個所選擇的處理環境；項目團隊成員擁有使用所選擇的工具的知識。

參考文獻:

[1]陽杰,莊明來.內部控制持續監控系統研究的理論框架[J].江西社會科學,2012(5):232-235.

[2]陽杰,應里孟,周海燕.論內部控制持續監控系統的功能結構[J].財會月刊,2013(23)：94-95.

[基金項目]本文系教育部人文社會科學研究青年基金項目“內部控制信息化對外部審計績效的影響及其機理研究”(項目編號：14YJC790148),浙江省哲學社會科學重點研究基地(浙江省信息化與經濟社會發展研究中心)課題“浙江數字化審計質量管控機制研究”(項目編號：14JDXX01YB)的階段性研究成果。