趙曉青,陳 偉
(南京審計學(xué)院,南京 211815)
隨著信息技術(shù)的不斷發(fā)展,互聯(lián)網(wǎng)應(yīng)用范圍也越來越廣。電子商務(wù)、移動支付、云計算等技術(shù)在大數(shù)據(jù)時代得到了高速發(fā)展,一些第三方支付平臺甚至已經(jīng)擴(kuò)展到了社交網(wǎng)絡(luò)層面,互聯(lián)網(wǎng)與金融業(yè)相結(jié)合已經(jīng)形成勢不可擋的趨勢。劉家義審計長指出:金融是現(xiàn)代經(jīng)濟(jì)的核心,金融安全是國家經(jīng)濟(jì)安全的核心,防范金融風(fēng)險一直是維系金融穩(wěn)定的核心問題?;ヂ?lián)網(wǎng)金融在傳統(tǒng)金融風(fēng)險的基礎(chǔ)上又融入了網(wǎng)絡(luò)安全、技術(shù)變化等風(fēng)險,謝平,鄒傳偉(2012)指出,相對于傳統(tǒng)金融而言,互聯(lián)網(wǎng)金融具有交易成本低、服務(wù)效率高、覆蓋范圍廣、發(fā)展速度快和風(fēng)險系數(shù)大等特點。王永利(2013)指出,技術(shù)更替、市場變化、網(wǎng)絡(luò)安全、系統(tǒng)穩(wěn)定、客戶信息的保密性需求和流動性的管理對互聯(lián)網(wǎng)金融提出了更高的要求。所以,發(fā)展互聯(lián)網(wǎng)金融的當(dāng)務(wù)之急便是保證信息安全、防范互聯(lián)網(wǎng)金融風(fēng)險,維護(hù)金融市場秩序穩(wěn)定與經(jīng)濟(jì)健康發(fā)展。
2014年3月26日,中國支付清算協(xié)會互聯(lián)網(wǎng)專業(yè)委員會正式成立,首批發(fā)起單位主要包括主要銀行、支付寶、財付通、清算組織、P2P網(wǎng)貸等,中國平安保險集團(tuán)董事長馬明哲出任專業(yè)委員會主任,此舉表明互聯(lián)網(wǎng)金融企業(yè)自身和相關(guān)部門都已非常重視該行業(yè)的發(fā)展。但就目前我國互聯(lián)網(wǎng)金融發(fā)展的外部環(huán)境來看,相關(guān)部門針對電子商務(wù)業(yè)和非金融機(jī)構(gòu)支付雖然已經(jīng)出臺了一些管理辦法,但相關(guān)法律法規(guī)和監(jiān)管體系都尚未建立起來。因此,互聯(lián)網(wǎng)金融企業(yè)更應(yīng)從自身做起,加強(qiáng)行業(yè)自律,完善企業(yè)的風(fēng)險管理和內(nèi)部控制制度,促進(jìn)行業(yè)的可持續(xù)發(fā)展。
互聯(lián)網(wǎng)金融產(chǎn)品對信息技術(shù)的依賴程度極高,研究互聯(lián)網(wǎng)金融企業(yè)的風(fēng)險管理和信息系統(tǒng)內(nèi)部控制問題對于行業(yè)發(fā)展和金融穩(wěn)定都有重要意義。本文重點分析了互聯(lián)網(wǎng)金融企業(yè)的操作風(fēng)險,針對企業(yè)特點從信息系統(tǒng)內(nèi)部控制角度出發(fā)提出風(fēng)險管控的對策與建議。
企業(yè)的信息系統(tǒng)控制通常分為一般控制和應(yīng)用控制。一般控制針對整個計算機(jī)信息系統(tǒng)及環(huán)境要素實施,是對系統(tǒng)所有應(yīng)用或功能模塊具有普遍影響的控制措施。一般控制具體分為組織控制、系統(tǒng)開發(fā)與維護(hù)控制、硬件及系統(tǒng)軟件控制、系統(tǒng)安全控制及操作控制,完善一般控制可為企業(yè)經(jīng)營創(chuàng)造良好的操作環(huán)境。由于數(shù)據(jù)處理過程一般包括數(shù)據(jù)輸入、數(shù)據(jù)處理和數(shù)據(jù)輸出三個階段,應(yīng)用控制主要以輸入控制、處理控制和輸出控制為主。應(yīng)用控制是為適應(yīng)各種數(shù)據(jù)處理的特殊控制要求,保證數(shù)據(jù)處理完整、準(zhǔn)確地完成而建立的內(nèi)部控制。
關(guān)于信息系統(tǒng)內(nèi)部控制問題,國外已經(jīng)有了較為成熟的研究。COSO在1992年發(fā)布了《內(nèi)部控制——整合框架》,但COSO框架僅在“控制活動”和“信息與溝通”要素部分規(guī)范了對信息系統(tǒng)的控制。2004年,COSO發(fā)布了《企業(yè)風(fēng)險管理——整合框架》,但是并沒有對信息系統(tǒng)內(nèi)部控制進(jìn)行進(jìn)一步的研究。2013年新修訂的COSO框架在“控制活動”部分指出:對信息技術(shù)(IT),組織要選擇并開展一般控制以支持其目標(biāo)的實現(xiàn)。
2004年,美國公眾公司會計監(jiān)督委員會(PCAOB)發(fā)布的《審計準(zhǔn)則No.2》全面闡釋了IT環(huán)境對于內(nèi)部控制的重要性。2006年,PCAOB發(fā)布的《內(nèi)部控制審計準(zhǔn)則》(征求意見稿),提出要評價IT的使用范圍,IT在內(nèi)部控制中越來越重要。
1996年由信息系統(tǒng)審計與控制協(xié)會(ISACA)下屬IT治理研究所最初提出COBIT(Control Objectives for Information And Related Technology),即信息及相關(guān)技術(shù)控制目標(biāo),是用來管理企業(yè)內(nèi)部控制和IT安全等級,指導(dǎo)這些組織有效利用信息資源,有效管理與信息相關(guān)風(fēng)險的權(quán)威指南,目前已經(jīng)修訂到第5版。
國內(nèi)學(xué)者關(guān)于信息系統(tǒng)內(nèi)部控制理論的研究也已經(jīng)取得較多成果。張金城(1994)根據(jù)犯罪人員與計算機(jī)系統(tǒng)的關(guān)系,將犯罪人員分為外來者、計算機(jī)用戶和計算機(jī)系統(tǒng)人員3類,從加強(qiáng)法制建設(shè)、完善內(nèi)部控制系統(tǒng)和開展計算機(jī)系統(tǒng)審計工作3個方面提出了應(yīng)對建議。胡奕明,陳箭深(1996)主要研究了信息系統(tǒng)的應(yīng)用控制,從組織控制、開發(fā)控制、安全措施、上機(jī)操作、內(nèi)部審計以及與技術(shù)控制相配合6個方面提出了完善會計信息系統(tǒng)內(nèi)部控制制度的對策。黃正端(1996)認(rèn)為應(yīng)按實現(xiàn)控制的措施將內(nèi)部控制分為程序控制和制度控制兩大類。張金城(2001)分析了電子商務(wù)信息系統(tǒng)可能產(chǎn)生的各種風(fēng)險,從系統(tǒng)控制設(shè)計、電子商務(wù)信息存取控制設(shè)計、電子商務(wù)數(shù)據(jù)加密、系統(tǒng)中網(wǎng)絡(luò)端口保護(hù)、系統(tǒng)的主體驗證、電子商務(wù)數(shù)據(jù)的完整性保護(hù)、并發(fā)控制和文檔控制8個方面提出了應(yīng)對策略。劉志遠(yuǎn),劉潔(2001)從內(nèi)部控制五要素入手,闡述了信息技術(shù)條件下企業(yè)內(nèi)部控制的新特點與新問題。陳志斌(2007)從完善信息化生態(tài)環(huán)境的角度探討了企業(yè)內(nèi)部控制框架的建設(shè)問題。章鐵生(2007)對國內(nèi)外信息技術(shù)條件下的內(nèi)部控制規(guī)范進(jìn)行了綜述,得出要重視信息集成環(huán)境下的內(nèi)部控制框架建設(shè)的結(jié)論。吳炎太,林斌,孫燁(2009)從生命周期理論出發(fā),提出要以信息系統(tǒng)生命周期為基礎(chǔ),根據(jù)信息系統(tǒng)不同階段的風(fēng)險特征進(jìn)行信息系統(tǒng)風(fēng)險控制。
2006年,中國銀行業(yè)監(jiān)督管理委員會通過的《商業(yè)銀行內(nèi)部控制指引》第八章明確規(guī)定了商業(yè)銀行計算機(jī)信息系統(tǒng)內(nèi)部控制的重點和要求。2008年五部委聯(lián)合法發(fā)布的《企業(yè)內(nèi)部控制基本規(guī)范》在“信息與溝通”部分指出,企業(yè)應(yīng)當(dāng)加強(qiáng)對信息系統(tǒng)開發(fā)與維護(hù)、訪問與變更、數(shù)據(jù)輸入與輸出、文件儲存與保管、網(wǎng)絡(luò)安全等方面的控制,保證信息系統(tǒng)安全穩(wěn)定運行。2010年,《企業(yè)內(nèi)部控制應(yīng)用指引第18號——信息系統(tǒng)》對企業(yè)信息系統(tǒng)開發(fā)、信息系統(tǒng)運行與維護(hù)做出了明確的要求。
操作風(fēng)險是國際金融界高度關(guān)注的重要風(fēng)險,覆蓋范圍極其廣泛。巴塞爾銀行業(yè)監(jiān)管委員會將操作風(fēng)險定義為:由于不完善或有問題的內(nèi)部操作過程、人員、系統(tǒng)或外部事件而導(dǎo)致的直接或間接損失風(fēng)險。巴塞爾銀行業(yè)監(jiān)督管理委員會將操作風(fēng)險分為7種表現(xiàn)形式,即:內(nèi)部欺詐,外部欺詐,雇傭制度及工作場所安全性,客戶、產(chǎn)品及業(yè)務(wù)做法,實物資產(chǎn)損壞,業(yè)務(wù)中斷及系統(tǒng)癱瘓,交割及流程管理?;ヂ?lián)網(wǎng)金融本質(zhì)上是一種金融技術(shù)的創(chuàng)新,是信息技術(shù)不斷發(fā)展的產(chǎn)物,屬于一種特殊的金融服務(wù)模式,操作風(fēng)險也是自然存在的,并且在互聯(lián)網(wǎng)金融行業(yè)中的表現(xiàn)形式更為復(fù)雜。
作為依靠信息技術(shù)發(fā)展的互聯(lián)網(wǎng)金融企業(yè),信息技術(shù)貫穿于企業(yè)運營的整個過程,交易環(huán)境信息化和操作技術(shù)自動化給企業(yè)帶來了許多新的風(fēng)險。
(1)互聯(lián)網(wǎng)金融企業(yè)的經(jīng)營活動都是依托開放的網(wǎng)絡(luò)平臺進(jìn)行的,交易場所是虛擬的,操作人員在業(yè)務(wù)操作過程中容易受到不法分子的攻擊,出現(xiàn)丟失數(shù)據(jù)等影響交易完成的情況。為營造良好的運營環(huán)境,網(wǎng)絡(luò)信息安全必須得到保證,系統(tǒng)安全必須得到有效控制。
(2)互聯(lián)網(wǎng)金融企業(yè)對信息系統(tǒng)的依賴程度極高,信息系統(tǒng)需要處理的電子數(shù)據(jù)量極其龐大,交易依賴系統(tǒng)終端和網(wǎng)絡(luò)傳輸,維護(hù)智能終端的正常運行和網(wǎng)絡(luò)信息的正常傳輸是避免業(yè)務(wù)中斷及系統(tǒng)癱瘓的重要保證。尤其是類似網(wǎng)上銀行支付的業(yè)務(wù),一旦系統(tǒng)崩潰,可能給金融機(jī)構(gòu)帶來無法彌補(bǔ)的損失。必須高度重視系統(tǒng)開發(fā)與維護(hù)控制、硬件及系統(tǒng)軟件控制。
(1)互聯(lián)網(wǎng)金融企業(yè)產(chǎn)品和業(yè)務(wù)覆蓋范圍廣、行業(yè)跨度大、風(fēng)險系數(shù)高,涉及的操作主體較為復(fù)雜,可能出現(xiàn)內(nèi)部欺詐、外部欺詐以及雇傭制度不當(dāng)?shù)蕊L(fēng)險。建立嚴(yán)格的組織控制和操作控制,把信息系統(tǒng)內(nèi)部控制的組織和操作流程規(guī)范化,建立嚴(yán)格的管理體制,降低可控風(fēng)險。
(2)互聯(lián)網(wǎng)金融企業(yè)具有交易頻率高、數(shù)據(jù)存儲量大、對信息安全保密程度要求高等特點,龐大的數(shù)據(jù)處理量需要科學(xué)的管理信息系統(tǒng)。企業(yè)所有交易的完成都要進(jìn)行信息的傳輸,數(shù)據(jù)的輸入、處理和輸出不當(dāng)都可能導(dǎo)致操作風(fēng)險,必須加強(qiáng)企業(yè)信息系統(tǒng)的應(yīng)用控制制度建設(shè)。
信息系統(tǒng)是由計算機(jī)硬件、網(wǎng)絡(luò)和通信設(shè)備、計算機(jī)軟件、信息資源、信息用戶和規(guī)章制度組成的以處理信息流為目的的人機(jī)一體化系統(tǒng)。目前,信息系統(tǒng)已從純粹的財務(wù)系統(tǒng)整合進(jìn)企業(yè)經(jīng)營系統(tǒng)中,加強(qiáng)信息系統(tǒng)內(nèi)部控制對企業(yè)的經(jīng)營與管理具有重要意義。
針對互聯(lián)網(wǎng)金融業(yè)操作風(fēng)險的新問題,本文從以下兩個方面提出應(yīng)對措施。
3.1.1 安全控制
互聯(lián)網(wǎng)金融企業(yè)的安全控制主要包括環(huán)境安全控制、安全保密控制和防病毒控制3個方面。環(huán)境安全控制主要是指信息傳輸環(huán)境的安全控制;安全保密控制主要針對軟件進(jìn)行,對數(shù)據(jù)和運行程序進(jìn)行加密,系統(tǒng)執(zhí)行時在進(jìn)行解碼,維護(hù)系統(tǒng)正常運行;由于互聯(lián)網(wǎng)金融活動依賴網(wǎng)絡(luò)技術(shù),防病毒控制主要針對聯(lián)網(wǎng)交易中的外來侵入問題,可以利用防病毒軟件檢測程序運行,定期對系統(tǒng)進(jìn)行檢查,對重要信息進(jìn)行備份。
3.1.2 系統(tǒng)開發(fā)與維護(hù)控制、硬件及系統(tǒng)軟件控制
信息系統(tǒng)運行與維護(hù)主要包括日常運行維護(hù)、系統(tǒng)變更和安全管理3個事項。①系統(tǒng)開發(fā)階段的控制是其他控制有效發(fā)揮的前提,如果開發(fā)的系統(tǒng)不符合內(nèi)部控制要求,授權(quán)管理不當(dāng),可能導(dǎo)致無法利用信息技術(shù)實施有效控制。并且信息系統(tǒng)開發(fā)的成本較高,規(guī)劃不合理會給后期操作帶來阻礙,導(dǎo)致企業(yè)經(jīng)營管理效率低下。所以,必須在系統(tǒng)開發(fā)階段進(jìn)行有效控制,設(shè)計符合需要的信息系統(tǒng),合理規(guī)劃并利用信息技術(shù)實現(xiàn)有效的控制。②要定期進(jìn)行系統(tǒng)運行和安全維護(hù),查看是否存在軟硬件毀損或信息泄露等情況,對硬件系統(tǒng)進(jìn)行有效性檢驗,軟件系統(tǒng)設(shè)置錯誤處置、程序保護(hù)、文件保護(hù)、安全保護(hù)、自我保護(hù)。③互聯(lián)網(wǎng)金融企業(yè)的交易具有實時性、高頻性和廣泛性的特點,一旦系統(tǒng)發(fā)生故障,可能瞬間造成巨大損失,控制系統(tǒng)必須具備迅速進(jìn)行災(zāi)難恢復(fù)的能力。
3.2.1 組織控制和操作控制
有序的組織控制是開展各項控制的基礎(chǔ),對各個管理流程的負(fù)責(zé)人員要進(jìn)行職責(zé)分離,執(zhí)行業(yè)務(wù)須進(jìn)行業(yè)務(wù)授權(quán),防止內(nèi)部欺詐和雇傭制度風(fēng)險?;ヂ?lián)網(wǎng)金融交易的每一步都離不開操作,內(nèi)部人員必須嚴(yán)格遵守上機(jī)守則與操作規(guī)程,為交易的完成創(chuàng)造良好的基礎(chǔ)環(huán)境。
3.2.2 應(yīng)用控制
應(yīng)用控制的有效性受到組織控制和操作控制的影響,良好的組織和操作環(huán)境是實施應(yīng)用控制的有效保障。其中,應(yīng)用控制最關(guān)鍵的環(huán)節(jié)是輸入控制,錯誤的輸入直接影響處理和輸出的正確性和有效性?;ヂ?lián)網(wǎng)金融企業(yè)的操作流程基本為程序化控制,操作主體在進(jìn)行操作時,可以采用口令識別和數(shù)據(jù)加密等技術(shù)進(jìn)行控制,例如,消費者在利用第三方支付平臺進(jìn)行支付時,必須輸入靜態(tài)密碼和動態(tài)密碼,通過實時更新操作信息來對輸入數(shù)據(jù)進(jìn)行控制。
互聯(lián)網(wǎng)金融企業(yè)比普通企業(yè)對信息系統(tǒng)內(nèi)部控制建設(shè)有著更高的要求,為了維護(hù)行業(yè)的健康發(fā)展,企業(yè)必須正確認(rèn)識信息系統(tǒng)中的風(fēng)險易發(fā)環(huán)節(jié),建立完善的信息系統(tǒng)內(nèi)部控制制度和風(fēng)險管理體系。
盡管互聯(lián)網(wǎng)金融行業(yè)存在較高風(fēng)險,但是在大數(shù)據(jù)時代下,它通過利用云計算等技術(shù)進(jìn)行數(shù)據(jù)挖掘,擁有極大的信息優(yōu)勢,為社會提供了數(shù)量更多、范圍更廣的金融支持,比傳統(tǒng)金融更具開放性和普惠性,推動了金融和經(jīng)濟(jì)的發(fā)展。所以,我們必須鼓勵互聯(lián)網(wǎng)金融企業(yè)的發(fā)展,企業(yè)更應(yīng)做好信息系統(tǒng)內(nèi)部控制制度建設(shè)工作,防范操作風(fēng)險,促進(jìn)行業(yè)的健康和可持續(xù)發(fā)展。
[1]鄭石橋,楊婧,趙珊,等.內(nèi)部控制學(xué)[M].北京:中國時代經(jīng)濟(jì)出版社,2013.
[2]張金城.計算機(jī)信息系統(tǒng)控制與審計[M].北京:北京大學(xué)出版社,2002.
[3]張金城.計算機(jī)犯罪的控制與審計[J].審計與經(jīng)濟(jì)研究,1994(4).
[4]胡奕明,陳箭深.會計電算化系統(tǒng)內(nèi)部控制初探[J].會計研究,1996(10).
[5]黃正端.計算機(jī)會計系統(tǒng)內(nèi)部控制的研究[J].會計研究,1996(11).
[6]張金城.論電子商務(wù)信息系統(tǒng)的風(fēng)險與控制[J].審計與經(jīng)濟(jì)研究,2001(9).
[7]劉志遠(yuǎn),劉潔.信息技術(shù)條件下的企業(yè)內(nèi)部控制[J].會計研究,2001(12).
[8]陳志斌.信息化生態(tài)環(huán)境下企業(yè)內(nèi)部控制框架研究[J].會計研究,2007(1).
[9]章鐵生.信息技術(shù)條件下的內(nèi)部控制規(guī)范——國際實踐與啟示[J].會計研究,2007(7).
[10]吳炎太,林斌,孫燁.基于生命周期的信息系統(tǒng)內(nèi)部控制風(fēng)險管理研究[J].審計研究,2009(6).
[11]鄭秋霞.基于第三方支付的金融創(chuàng)新與金融風(fēng)險研究[J].金融實務(wù),2012(3).
[12]謝平,鄒傳偉.互聯(lián)網(wǎng)金融模式研究[J].金融研究,2012(12).
[13]王永利.發(fā)展互聯(lián)網(wǎng)金融,促進(jìn)經(jīng)濟(jì)轉(zhuǎn)型升級[J].國際金融,2013(10).
[14]張松,史經(jīng)緯,雷鼎.互聯(lián)網(wǎng)金融下的操作風(fēng)險管理研究[J].新金融,2013(9).
[15]張明.警惕互聯(lián)網(wǎng)金融行業(yè)的潛在風(fēng)險[J].經(jīng)濟(jì)導(dǎo)刊,2013(9).
[16]財政部.企業(yè)內(nèi)部控制基本規(guī)范[S].2008.
[17]財政部.企業(yè)內(nèi)部控制應(yīng)用指引——信息系統(tǒng)一般控制[S].2008.