IT風險及控制測評研究

[摘 要] 隨著IT在企業(yè)的廣泛應用，企業(yè)的經(jīng)營活動、各種數(shù)據(jù)傳遞以及財務報告的產(chǎn)生越來越多地依賴IT系統(tǒng)的自動化處理。本文通過分析信息系統(tǒng)業(yè)務流程，識別IT系統(tǒng)業(yè)務流程層面的風險及控制，提出基于IT系統(tǒng)產(chǎn)生數(shù)據(jù)的IT風險及控制測評指標，從而為信息系統(tǒng)內(nèi)部控制審計提供依據(jù)。

[關鍵詞] IT；信息系統(tǒng)；風險及控制；內(nèi)部控制測評

doi ： 10 . 3969 / j . issn . 1673 - 0194 . 2013 . 11. 034

[中圖分類號] F272；TP317.3 [文獻標識碼] A [文章編號] 1673 - 0194（2013）11-0051-03

1 引 言

內(nèi)部控制評價是企業(yè)對自身制度的一種審視，最初的內(nèi)部控制評價是為了滿足外部審計的需要，其目標是通過審查和評價企業(yè)的內(nèi)部控制，進一步確定審計測試范圍和抽查數(shù)量。后來，隨著企業(yè)內(nèi)部控制制度在企業(yè)內(nèi)部逐漸形成，在制度基礎模式下，內(nèi)部控制評價作為審計程序的一部分，其目標主要是為審計服務，確定審計范圍，提高審計質量和審計效率。到了20世紀中后期，由于環(huán)境的變化、不確定性的增加、競爭更加激烈等因素，導致企業(yè)面臨的經(jīng)營風險越來越大，審計人員面臨的風險也越來越大。在這樣的背景下產(chǎn)生了風險導向審計，此時內(nèi)部控制評價的重點在于對控制風險的評價，其目標主要是控制審計風險。

隨著信息技術（Information Technology，IT）在企業(yè)的廣泛應用，企業(yè)的經(jīng)營活動、各種數(shù)據(jù)傳遞以及財務報告的產(chǎn)生越來越多地依賴IT系統(tǒng)的自動化處理。自動化過程在給企業(yè)帶來效率的同時，也導致了需要有專門的內(nèi)部控制措施才能加以控制的新的風險。為保障企業(yè)經(jīng)營目標的實現(xiàn)，如何識別IT風險，如何對IT控制進行評價亟待研究，以確保企業(yè)數(shù)據(jù)以及生成這些數(shù)據(jù)的信息系統(tǒng)的真實性和有效性。

本文通過分析信息系統(tǒng)業(yè)務流程，識別IT系統(tǒng)業(yè)務流程層面的風險及控制，提出基于IT系統(tǒng)產(chǎn)生數(shù)據(jù)的IT風險及控制測評指標，為信息系統(tǒng)內(nèi)部控制審計提供依據(jù)。

2 研究依據(jù)

《企業(yè)內(nèi)部控制基本規(guī)范》第四十一條明確指出：“企業(yè)應當加強對信息系統(tǒng)開發(fā)與維護、訪問與變更、數(shù)據(jù)輸入與輸出、文件儲存與保管、網(wǎng)絡安全等方面的控制，保證信息系統(tǒng)安全穩(wěn)定運行”。在《企業(yè)內(nèi)部控制評價指引》中，強調(diào)“應用信息系統(tǒng)加強內(nèi)部控制的企業(yè)，應當對信息系統(tǒng)的有效性進行評價，包括信息系統(tǒng)一般控制評價和信息系統(tǒng)應用控制評價”。 根據(jù)《內(nèi)部審計具體準則第28 號——信息系統(tǒng)審計》第四章信息技術風險評估第十三條：“ 進行信息系統(tǒng)審計時，審計人員應當識別組織所面臨的與信息技術相關的內(nèi)、外部風險，并采用適當?shù)娘L險評估技術與方法，分析及評價其發(fā)生的可能性及影響程度，為確定審計目標、范圍和方法提供依據(jù)”。美國《薩班斯—奧克斯萊法》（SOX法案）的404條款要求，上市公司內(nèi)部審計師應幫助管理層對公司IT應用控制和IT一般性控制進行評估并出具報告。

3 IT風險及控制流程

IT風險及控制通常是指應用系統(tǒng)中程序化的控制和影響相關程序或數(shù)據(jù)完整性的風險及控制，這些風險及控制會最終影響到財務報表的認定。

在識別IT風險及控制時，第一步是理解公司的IT組織及結構，包括IT管理及組織和應用系統(tǒng)的技術管理策略等，例如整體的安全管理政策、應用系統(tǒng)的變更控制環(huán)境、數(shù)據(jù)管理和災難恢復流程，以及數(shù)據(jù)中心操作和問題管理領域等；第二步是對公司層面的IT控制進行評估，例如IT操作及應用系統(tǒng)管理的授權及責任，統(tǒng)一的政策及程序，管理層和流程負責人所使用的風險評估程序，有關預防、制止及發(fā)現(xiàn)欺詐的控制，監(jiān)督和分析操作或運行結果的步驟等；第三步是對IT流程層面的控制與評估。本文重點分析IT流程層面的風險及控制。

4 IT流程層面的風險及控制分析

企業(yè)在信息化過程中涉及IT規(guī)劃、實施、運行、維護等一系列IT流程，如果沒有制度化與標準化的約束，如果缺乏部門之間及流程之間的溝通與協(xié)調(diào)，任何操作失誤、安全漏洞或者項目隱患都有可能產(chǎn)生嚴重的后果 ，IT風險已經(jīng)滲透到企業(yè)的各個流程層面。IT流程包括一般的IT業(yè)務流程、數(shù)據(jù)流程等。

4.1 一般的IT業(yè)務流程層面風險及控制

業(yè)務流程包括系統(tǒng)開發(fā)、系統(tǒng)和數(shù)據(jù)訪問、系統(tǒng)運行/計算機操作、系統(tǒng)變更、終端用戶計算等，存在以下風險及控制：

信息系統(tǒng)開發(fā)與使用違反國家法律法規(guī)，可能遭受外部處罰、經(jīng)濟損失和信譽損失。

信息系統(tǒng)開發(fā)與使用未經(jīng)適當審核或超越授權審批，可能因重大差錯、舞弊、欺詐而導致?lián)p失。

信息系統(tǒng)設計功能不科學，技術方案不合理，導致應用系統(tǒng)不能滿足生產(chǎn)經(jīng)營管理業(yè)務需求，可能導致組織經(jīng)營效率與效果低下。

信息系統(tǒng)外包服務未恰當履行或監(jiān)控不當，可能導致企業(yè)權益受損或違約損失。

信息系統(tǒng)訪問安全措施不當，可能導致商業(yè)秘密泄露。

系統(tǒng)登錄訪問機制不健全、用戶權限管理不規(guī)范等，導致對系統(tǒng)的非法或非授權訪問。

密碼設置強度不夠，造成系統(tǒng)泄密或受到非法訪問。

系統(tǒng)問題處理不及時、不規(guī)范，不能保證系統(tǒng)問題得到及時有效解決。

信息系統(tǒng)硬件管理不當，可能導致企業(yè)資產(chǎn)或股東權益受損。

系統(tǒng)變更管理不規(guī)范，未經(jīng)審批、測試，導致應用系統(tǒng)運行和維護無法正常進行。

維護不規(guī)范，系統(tǒng)運行缺乏有效監(jiān)控及維護管理，影響系統(tǒng)安全穩(wěn)定運行。

備份策略和備份方案不完善，導致系統(tǒng)數(shù)據(jù)丟失和數(shù)據(jù)、系統(tǒng)無法恢復。

未經(jīng)審核，在財務報表生成過程中擅自使用終端用戶計算，導致?lián)p失。

終端用戶計算說明文檔不完整或未填寫，備份管理不完善，導致使用有誤。

4.2 IT數(shù)據(jù)流程層面風險及控制

信息系統(tǒng)數(shù)據(jù)流程包括數(shù)據(jù)輸入、數(shù)據(jù)處理和數(shù)據(jù)輸出。存在以下風險及控制：

輸入數(shù)據(jù)有錯或者重復輸入，導致系統(tǒng)的處理結果出錯。

進行數(shù)據(jù)處理操作的人沒有被授權，或者處理的業(yè)務沒有受時序控制，或者對處理的結果沒有進行合理性的檢驗等，會影響系統(tǒng)產(chǎn)生數(shù)據(jù)的正確性和完整性。

未經(jīng)授權的人對數(shù)據(jù)進行修改與接觸。

采集數(shù)據(jù)的接口不規(guī)范，采集的數(shù)據(jù)類型不匹配，數(shù)據(jù)的范圍不能滿足預先設定的范圍等。

5 IT風險及控制評價指標

根據(jù)內(nèi)部控制在信息系統(tǒng)中的作用與范圍不同，通常把信息系統(tǒng)的控制分為一般控制和應用控制。

一般控制普遍適用于所有的應用系統(tǒng)，一般控制評價著重考慮與信息系統(tǒng)有關的系統(tǒng)開發(fā)、程序變更、計算機運行和對數(shù)據(jù)的接觸是否符合企業(yè)內(nèi)部控制的要求，是否有利于企業(yè)內(nèi)部控制目標的實現(xiàn)，并以此評價信息系統(tǒng)的安全性、可靠性和合理性。應用控制是對信息系統(tǒng)的某一具體處理過程所實施的控制，它隨著所處理業(yè)務的不同而不同，一般按照信息系統(tǒng)的處理環(huán)節(jié)分為輸入控制、處理控制和輸出控制。

5.1 一般控制評價指標

評價內(nèi)容主要包括：組織和管理控制、對程序和和數(shù)據(jù)的訪問控制、程序變更管理、程序開發(fā)和系統(tǒng)運行等幾個方面。

5.1.1 組織和管理控制

是否具有合理的崗位和職責劃分。信息系統(tǒng)部門職責及崗位職責是否明確，不相容的職務是否分離。

是否具備滿足控制要求的組織管理流程控制。管理層的分工、授權范圍是否明確，信息系統(tǒng)歸口管理部門和用戶部門之間是否建立職責分工表，管理層是否明確系統(tǒng)管理部門和用戶部門在保證系統(tǒng)正常安全運行過程中各自承擔的職責。

對信息技術人員的取得、培養(yǎng)和辭退是否建立必要的控制。信息系統(tǒng)人員招聘程序是否規(guī)范，是否定期對員工進行培訓，辭退員工是否具有控制流程，例如搞清其辭職的原因，廢除被辭人員的身份識別碼和口令，必要時需要讓被辭人員在信息保密方面做出承諾。

5.1.2 系統(tǒng)訪問控制

系統(tǒng)是否具有身份識別控制：訪問應用系統(tǒng)是否需要用戶名和密碼進行登錄認證。用戶名、權限管理：用戶名的添加、修改和刪除是否由管理層授權后才能進行，新增或變更用戶權限是否由權限申請人申請，經(jīng)相關部門負責人審批后，由應用管理員在系統(tǒng)中新增或變更用戶權限。

不相容的崗位分離：系統(tǒng)管理員、應用管理員、安全管理員是否實行不相容的職責分工。

5.1.3 系統(tǒng)的開發(fā)、變更和維護控制

授權與審批：系統(tǒng)的開發(fā)和變更是否經(jīng)管理層授權和相關部門負責人審批。

系統(tǒng)測試：新系統(tǒng)或變更的應用程序移植到生產(chǎn)系統(tǒng)前，相關部門是否進行系統(tǒng)測試。

文檔及版本管理：是否對信息系統(tǒng)的開發(fā)文檔或變更文檔進行妥善保存，系統(tǒng)開發(fā)或變更的版本號是否進行記錄。

數(shù)據(jù)遷移控制：新舊系統(tǒng)切換時，是否對遷移結果進行測試、報告并確認。

系統(tǒng)維護控制：應用管理員是否按規(guī)定對系統(tǒng)進行安裝、升級或安裝補丁。

5.1.4 系統(tǒng)運行控制

系統(tǒng)運行安全控制：系統(tǒng)的供電系統(tǒng)是否符合要求，系統(tǒng)運行場所是否具備防火報警系統(tǒng)、防雷電系統(tǒng)、防電磁干擾系統(tǒng)等，系統(tǒng)是否部署防火墻設備或安裝殺毒軟件。

系統(tǒng)硬件軟件控制：計算機硬件包括通信網(wǎng)絡設備的運轉情況及故障情況是否都有記錄，計算機軟件包括數(shù)據(jù)庫、操作系統(tǒng)、應用軟件等是否具有訪問控制。

系統(tǒng)備份與恢復控制：應用管理員是否定期對系統(tǒng)和數(shù)據(jù)進行備份，備份介質是否和生產(chǎn)服務器異地存放，并由專人管理，訪問備份介質是否授權并記錄，系統(tǒng)管理員是否定期對備份數(shù)據(jù)的可讀性進行測試，并對備份數(shù)據(jù)進行恢復性測試。

故障處理：對系統(tǒng)運行出現(xiàn)的故障是否具有故障處理流程和管理辦法。

系統(tǒng)應急預案：是否制訂系統(tǒng)應急預案，并定期對業(yè)務人員、系統(tǒng)管理員、應用管理員進行系統(tǒng)應急預案的培訓。

5.2 應用控制評價指標

應用控制評價可以結合企業(yè)業(yè)務流程特點，著重考慮信息系統(tǒng)中與業(yè)務流程相關的控制點，并以此評價相關應用系統(tǒng)操作數(shù)據(jù)的真實性、準確性和合規(guī)性。

應用系統(tǒng)控制分為輸入控制、處理控制、輸出控制。

輸入控制包括原始單證審核控制、輸入數(shù)據(jù)正確性控制、輸入數(shù)據(jù)完整性控制、輸入數(shù)據(jù)糾錯控制。

處理控制包括處理權限控制、業(yè)務時序控制、合理性檢查控制、參照檢查控制、審計蹤跡控制、備份和恢復控制。

輸出控制包括輸出權限控制、輸出數(shù)據(jù)正確性控制、輸出數(shù)據(jù)審核控制、輸出資料分發(fā)控制、輸出差錯更正控制。

然后根據(jù)控制的類型分級，分別設置一級指標、二級指標和三級指標，并且分別設置權重和關注點，然后進行計分、評估。系統(tǒng)一般控制和應用控制測評指標及權重設計如表1所示。

6 IT控制測評

6.1 IT控制測評方法

（1）審查式測評方法。對制度規(guī)范、崗位職責、操作日志、日志審計、系統(tǒng)運行監(jiān)控服務和控制設計（如身份認證、權限控制）等進行審查和評價。

（2）測試式測評方法。對信息系統(tǒng)數(shù)據(jù)輸入、數(shù)據(jù)處理、數(shù)據(jù)輸出、數(shù)據(jù)遷移、數(shù)據(jù)備份恢復在保障系統(tǒng)安全情況下組織模擬測評，對數(shù)據(jù)采集的真實性、完整性組織測評。

（3）訪談式測評方法。對信息系統(tǒng)的重要使用部門和崗位人員、上級主管部門，如財務、營銷、供應和上級關聯(lián)系統(tǒng)報表統(tǒng)計等組織訪談測評。

（4）問卷式測評方法。對企業(yè)用戶和利益相關方組織問卷測評，如對銀行存款儲蓄的法人和自然人的存款結轉、計息，汽車加油站的加油計量和計價，電信的電話計量和計價，公路收費等組織問卷測評。

（5）數(shù)據(jù)審計結合式測評方法。系統(tǒng)內(nèi)控測評和電子數(shù)據(jù)審計相結合的測評方法，可以利用數(shù)據(jù)審計發(fā)現(xiàn)的疑點對系統(tǒng)內(nèi)控組織測評。

6.2 IT控制評價

在每項指標測評完成后，每項測評指標都有一個分值，然后使用矩陣分析法分別計算二級指標和一級指標的得分，也可以運用層次分析法和模糊綜合評價的方法，評價IT內(nèi)部控制整體情況。

7 結束語

隨著信息系統(tǒng)的廣泛應用，企業(yè)的業(yè)務和信息技術日益融合，IT風險及控制成為信息化管理下企業(yè)內(nèi)部控制的核心。如何識別IT風險及控制，如何對IT控制做出評價，將是信息化環(huán)境下的IT審計的重要內(nèi)容。本文只是對IT流程層面的風險及控制的內(nèi)容進行了分析與設計，針對不同類型IT系統(tǒng)的計量與評價方法還有待于進步研究。

主要參考文獻

[1]楊雄勝.內(nèi)部控制評價——理論·實務·案例[M].大連：大連出版社，2009.

[2][美]James A Hall. 信息系統(tǒng)審計與鑒證[M]. 李丹，譯.北京：中信出版社，2003.

[3]本書課題組.內(nèi)部控制設計、測試與評價[M]. 北京：經(jīng)濟科學出版社，2007.