互聯(lián)網(wǎng)金融企業(yè)的信息系統(tǒng)內(nèi)部控制研究

楊勝丹

摘 要：互聯(lián)網(wǎng)金融風險問題是伴隨互聯(lián)網(wǎng)金融產(chǎn)業(yè)的興起應(yīng)運而生的，它一直是信息時代持續(xù)發(fā)展所關(guān)注的研究熱點。只有建立一套完善的法律法規(guī)體系，才能加強風險管控力度、規(guī)范企業(yè)行為，促進企業(yè)的健康發(fā)展。本文從互聯(lián)網(wǎng)金融企業(yè)自身特點入手，結(jié)合企業(yè)信息系統(tǒng)內(nèi)部控制的基本理論，全面分析了互聯(lián)網(wǎng)金融的發(fā)展運營可能存在的操作風險及其具體的表現(xiàn)形式，針對性地提出了一些防范操作風險的建議與措施。

關(guān)鍵詞：互聯(lián)網(wǎng)金融；風險管理；操作風險；信息系統(tǒng)；內(nèi)部控制

互聯(lián)網(wǎng)應(yīng)用范圍在信息技術(shù)的不斷發(fā)展中越來越廣。電子商務(wù)、移動支付、云計算等技術(shù)和一些第三方支付平臺在大數(shù)據(jù)時代有力推動了互聯(lián)網(wǎng)與金融業(yè)的密切結(jié)合。互聯(lián)網(wǎng)金融在技術(shù)更替、市場變化、網(wǎng)絡(luò)安全等方面的絕密性需求和流動性管理中有了更高的標準，只有信息安全、互聯(lián)網(wǎng)金融風險小，才能鞏固金融業(yè)市場經(jīng)濟的可持續(xù)發(fā)展?；ヂ?lián)網(wǎng)金融風險是傳統(tǒng)金融風險和網(wǎng)絡(luò)安全、技術(shù)變化等新風險的結(jié)合，是保障金融穩(wěn)定的關(guān)鍵。我國政府部門針對一些風險問題已經(jīng)出臺了一些管理辦法，但相關(guān)法律法規(guī)和監(jiān)管體系的建立仍有待建設(shè)。下文會從企業(yè)特點和信息系統(tǒng)內(nèi)部控制角度提出風險管控的建議與措施。

一、概述信息系統(tǒng)內(nèi)部控制

企業(yè)的信息系統(tǒng)控制針對整個計算機信息系統(tǒng)及環(huán)境因素要實行一般控制，加強了系統(tǒng)所有應(yīng)用或功能模塊的控制，有利于企業(yè)營造一個良好的操作環(huán)境；針對各種數(shù)據(jù)處理的特殊控制要求實行應(yīng)用控制，進一步保障了數(shù)據(jù)處理的完整性與準確性。

1、國內(nèi)外的研究成果

國外在信息系統(tǒng)內(nèi)部控制方面已經(jīng)有了較為成熟的成果。COSO在1992年、2004年，分別就信息系統(tǒng)的控制發(fā)布了《內(nèi)部控制——整合框架》和《企業(yè)風險管理——整合框架》，具體從框架上對“控制活動”和“信息與溝通”兩個要素部分進行了規(guī)范。2013年COSO作了新的修訂，并明確對框架內(nèi)“控制活動”部分作出強調(diào)，要加強一般控制對信息技術(shù)的一般控制。發(fā)布的《審計準則No.2》全面闡釋了IT環(huán)境對于內(nèi)部控制的重要性。不久，PCAOB、美國公眾公司會計監(jiān)督委員會（PCAOB）分別發(fā)布《內(nèi)部控制審計準則》（征求意見稿）和《審計準則No.2》，都著重強調(diào)了IT環(huán)境對內(nèi)部控制日益顯著的重要性。

近年來，國內(nèi)學者在信息系統(tǒng)內(nèi)部控制理論方面也有了一定的研究成果。張金城從犯罪人員的實際情況出發(fā)，與計算機系統(tǒng)全面結(jié)合，分別針對加強法制建設(shè)、完善內(nèi)部控制系統(tǒng)和開展計算機系統(tǒng)審計工作提出了應(yīng)對方法。胡奕明，陳箭深將信息系統(tǒng)的應(yīng)用控制具體化，就其中包含的6個主要方面提出了健全會計信息系統(tǒng)內(nèi)部控制制度的應(yīng)對性措施。內(nèi)部控制，黃正端依據(jù)實現(xiàn)控制的具體措施詳細劃分為程序控制和制度控制兩部分。針對電子商務(wù)信息系統(tǒng)容易出現(xiàn)的風險性問題，張金城提供了對應(yīng)策略，詳細從系統(tǒng)控制設(shè)計、電子商務(wù)信息存取控制設(shè)計、電子商務(wù)數(shù)據(jù)加密、系統(tǒng)中網(wǎng)絡(luò)端口保護、系統(tǒng)的主體驗證、電子商務(wù)數(shù)據(jù)的完整性保護、并發(fā)控制和文檔控制等方面著手。內(nèi)部控制五要素也成為劉志遠，劉潔的研究重點，對各企業(yè)在信息技術(shù)影響下的內(nèi)部控制未來形勢與面臨的問題作了分析。企業(yè)內(nèi)部控制框架的如何建設(shè)，怎能適應(yīng)生態(tài)環(huán)境的現(xiàn)實要求，被陳志斌提出。章鐵生認為，重視信息集成環(huán)境下的內(nèi)部控制框架建設(shè)，是國內(nèi)外信息技術(shù)條件下內(nèi)部控制規(guī)范的有效措施。生命周期理論，被吳炎太、林斌、孫燁有效運用到信息系統(tǒng)的風險控制中，認為全面掌握信息系統(tǒng)生命周期和在不同階段呈現(xiàn)的風險特征是加強控制的基礎(chǔ)。我國有關(guān)行政部門也自2006年后明文規(guī)定了商業(yè)銀行計算機信息系統(tǒng)內(nèi)部控制的目標需求和具體環(huán)節(jié)的控制措施。

二、互聯(lián)網(wǎng)金融業(yè)的操作風險

互聯(lián)網(wǎng)金融業(yè)的操作風險，在整個國際金融界中有很廣泛的覆蓋范圍。權(quán)威組織巴塞爾銀行業(yè)監(jiān)管委員會，就其操作風險做出理論分析，不完善或有問題的內(nèi)部操作過程、人員、系統(tǒng)或外部事件是引起風險的重要原因；并將操作風險的表現(xiàn)進行細化，明確劃分為七種形式?；ヂ?lián)網(wǎng)金融本質(zhì)上是一種金融技術(shù)的創(chuàng)新，作為信息技術(shù)的發(fā)展性產(chǎn)物，互聯(lián)網(wǎng)金融是金融技術(shù)和金融服務(wù)的一種模式上的創(chuàng)新，操作風險不可避免且形式復雜?；ヂ?lián)網(wǎng)金融企業(yè)也因為自身特性，在交易環(huán)境信息化和操作技術(shù)自動化方面有了更大的挑戰(zhàn)，下文就具體方面作出分析。

1、操作環(huán)境信息化方面

（1）依托網(wǎng)絡(luò)平臺是互聯(lián)網(wǎng)金融企業(yè)的主要經(jīng)營模式。把網(wǎng)絡(luò)這種虛擬的環(huán)境作為交易場所，由于操作人員在業(yè)務(wù)操作上缺乏專業(yè)性知識，容易被不法分子侵擾，造成一些重要數(shù)據(jù)丟失等現(xiàn)象，破壞了網(wǎng)絡(luò)信息安全，影響金融交易的順利完成。良好的運營環(huán)境，才是保障網(wǎng)絡(luò)信息安全和系統(tǒng)安全的有效措施。

（2）互聯(lián)網(wǎng)金融企業(yè)很大程度上都依賴信息系統(tǒng)。信息系統(tǒng)需要面對大量的電子數(shù)據(jù)，交易方式也以系統(tǒng)終端和網(wǎng)絡(luò)傳輸為主。為了避免業(yè)務(wù)中斷或是系統(tǒng)癱瘓問題的出現(xiàn)，必須保證智能終端的正常運行和網(wǎng)絡(luò)信息的正常傳輸。否則，系統(tǒng)的崩潰，尤其是類似網(wǎng)上銀行支付的業(yè)務(wù)上，只會給金融機構(gòu)的正常運營帶來無法彌補的損失。所以，從系統(tǒng)開發(fā)、硬件及系統(tǒng)軟件控制上做好信息系統(tǒng)的安全措施，是互聯(lián)網(wǎng)金融良好發(fā)展的重要推動力。

2、操作主體多元化方面

（1）互聯(lián)網(wǎng)金融企業(yè)在產(chǎn)品和業(yè)務(wù)涉及范圍廣、行業(yè)跨度大、風險系數(shù)高和操作主體復雜等背景下，容易引起內(nèi)、外部欺詐、雇傭制度不符等一系列風險問題。為了解決這一問題，必須嚴格組織控制、操作控制和管理體制，規(guī)范信息系統(tǒng)內(nèi)部控制的組織和操作流程。

（2）互聯(lián)網(wǎng)金融企業(yè)需要一整套科學的管理信息系統(tǒng)。企業(yè)內(nèi)部的交易頻率、數(shù)據(jù)存儲量、信息安全等方面的健康發(fā)展，都離不開管理信息系統(tǒng)的合理性與系統(tǒng)性。在數(shù)據(jù)的輸入、處理和輸出等一整套信息傳輸過程中，出現(xiàn)任何運行不當問題，都可能出現(xiàn)操作風險。所以，建立健全企業(yè)信息系統(tǒng)的應(yīng)用控制制度，是企業(yè)所有交易完成的保障。

三、風險管控的應(yīng)對性措施

信息系統(tǒng)使人和機器有效結(jié)合起來，以信息流的有效處理作為主要目的。伴隨經(jīng)濟技術(shù)的不斷發(fā)展，使信息系統(tǒng)將財務(wù)系統(tǒng)與企業(yè)經(jīng)營系統(tǒng)緊密聯(lián)系起來。只有信息系統(tǒng)內(nèi)部控制的不斷完善，才能確保企業(yè)的順利經(jīng)營與管理。下面就互聯(lián)網(wǎng)金融業(yè)操作可能出現(xiàn)的風險問題，提出一些建議。

1、操作環(huán)境方面

（1）安全控制?；ヂ?lián)網(wǎng)金融企業(yè)的安全控制，是對環(huán)境安全控制、安全保密控制和防病毒控制三個方面的控制。具體來說，就是對信息傳輸環(huán)境的安全控制、對數(shù)據(jù)及其運行程序進行加密并在系統(tǒng)執(zhí)行時解碼、對互聯(lián)網(wǎng)金融交易中的外來侵入問題進行防病毒軟件檢測和定期性檢查做好重要信息的備份。

（2）日常運行維護、系統(tǒng)變更和安全管理，是互聯(lián)網(wǎng)金融系統(tǒng)開發(fā)與維護控制、硬件及系統(tǒng)軟件控制信息系統(tǒng)運行與維護主要包含的三個方面。具體表述為三個方面：一是系統(tǒng)開發(fā)階段的控制是基礎(chǔ)。信息技術(shù)實施的有效控制，必須做到開發(fā)系統(tǒng)的合理化、符合內(nèi)部控制要求，授權(quán)管理得當。并且在信息系統(tǒng)開發(fā)成本較高的影響下，更要規(guī)劃合理，才能確保后期操作的順利進行和各個企業(yè)經(jīng)營管理效率的提升。所以，系統(tǒng)開發(fā)階段的有效控制，一定要依據(jù)實際情況，結(jié)合信息技術(shù)設(shè)計合理的信息系統(tǒng)。二是對軟硬件毀損或信息泄露等情況的可能性發(fā)生，要做好系統(tǒng)運行和安全維護的周期性檢查工作，將硬件系統(tǒng)的科學檢驗和軟件系統(tǒng)的程序保護、文件保護、安全保護、自我保護等工作。三是互聯(lián)網(wǎng)金融企業(yè)實時性、高頻性和廣泛性的交易方式，發(fā)生系統(tǒng)性故障時會瞬間損失巨大。所以，整個控制系統(tǒng)必須能夠迅速進行災難恢復。

2、操作風險方面

（1）組織控制和操作控制。健康有序的組織控制保證了各項控制的正常開展。對各個管理流程的負責人員要職責分離，執(zhí)行業(yè)務(wù)須進行業(yè)務(wù)授權(quán)，才能有效規(guī)避內(nèi)部欺詐和雇傭制度風險。互聯(lián)網(wǎng)金融交易的程序性操作離不開網(wǎng)絡(luò)，這種在虛擬空間進行操作有很大風險，內(nèi)部人員必須嚴格遵守上機守則與操作規(guī)程，明確職責流程，執(zhí)行業(yè)務(wù)授權(quán)，才能大大降低內(nèi)部欺詐和雇傭制度的風險，為順利交易創(chuàng)造更好的操作環(huán)境。

（2）應(yīng)用控制。組織和操作環(huán)境的有效營造，是實施應(yīng)用控制的有效保障，對應(yīng)用控制的有效運行有很大的影響。輸入控制是應(yīng)用控制的一個關(guān)鍵環(huán)節(jié)，錯誤的輸入會造成處理和輸出的不科學?；ヂ?lián)網(wǎng)金融企業(yè)實行程序化控制的操作流程，操作主體采用口令識別和數(shù)據(jù)加密等技術(shù)促進流程的運行?；ヂ?lián)網(wǎng)金融企業(yè)的可持續(xù)發(fā)展，在信息系統(tǒng)內(nèi)部控制建設(shè)上比普通企業(yè)有更高的標準，必須降低各個企業(yè)信息系統(tǒng)中易發(fā)風險環(huán)節(jié)的傾向性，建立健全信息系統(tǒng)內(nèi)部控制制度和風險管理體系。

四、結(jié)束語

在互聯(lián)網(wǎng)金融行業(yè)迅速發(fā)展的今天，高風險成為該行業(yè)的一大特點。利用云計算等技術(shù)進行數(shù)據(jù)挖掘，是大數(shù)據(jù)時代為背景形成的很大的信息優(yōu)勢，在金融方面為社會發(fā)展提供了更多、更廣的信息性支持，從開放、普惠等特性上比傳統(tǒng)金融更具優(yōu)勢，極大地促進了金融產(chǎn)業(yè)和經(jīng)濟的全面發(fā)展。所以，企業(yè)必須做好信息系統(tǒng)內(nèi)部控制制度的建設(shè)工作，有力規(guī)避各種操作風險，是互聯(lián)網(wǎng)金融行業(yè)可持續(xù)和金融企業(yè)健康運行的有力保障。

參考文獻：

[1]王麗梅.網(wǎng)絡(luò)環(huán)境下企業(yè)會計信息系統(tǒng)內(nèi)部控制的研究[J].科技信息（科學教研），2007（32）.