信息系統(tǒng)內(nèi)部關(guān)鍵控制點(diǎn)的識(shí)別與監(jiān)控

應(yīng)里孟++周海燕

[摘要]關(guān)鍵控制是信息系統(tǒng)內(nèi)部控制體系中需要識(shí)別和監(jiān)控的重點(diǎn)，在識(shí)別關(guān)鍵控制時(shí)，需要充分考慮關(guān)鍵控制的特征，并運(yùn)用自上而下和自下而上的方法進(jìn)行識(shí)別。在針對(duì)關(guān)鍵控制監(jiān)控時(shí)，需要區(qū)分IT固定部分的控制和IT可配置部分的控制。

[關(guān)鍵詞]信息系統(tǒng)；內(nèi)部控制；持續(xù)監(jiān)控

1 識(shí)別關(guān)鍵控制需要考慮的因素

1.1 復(fù)雜性

需要專門技能或者培訓(xùn)的控制，通常更加容易失敗。

1.2 需要判斷的程度

需要進(jìn)行高度的判斷的控制，這高度取決于進(jìn)行判斷者的經(jīng)驗(yàn)和訓(xùn)練，而且通常是與有意義的風(fēng)險(xiǎn)相關(guān)的。

1.3 手工控制與自動(dòng)化控制

手工控制相對(duì)于自動(dòng)化的控制而言，更加容易受到人工錯(cuò)誤的影響，因此，通常相比于自動(dòng)化的控制，會(huì)受到不同層次的監(jiān)控（例如，在進(jìn)行抽樣的時(shí)候，它們可能會(huì)進(jìn)行更加頻繁的評(píng)價(jià)，或者采用更大的樣本）。但是，當(dāng)自動(dòng)化的控制失敗的時(shí)候，它們可能會(huì)在相同的情況下重復(fù)失敗，因此，當(dāng)它們針對(duì)有意義的風(fēng)險(xiǎn)的時(shí)候，需要對(duì)其進(jìn)行一個(gè)恰當(dāng)水平的監(jiān)控。

1.4 已知的控制失敗

針對(duì)先前出現(xiàn)的控制失敗，采取了能夠應(yīng)對(duì)該控制失敗出現(xiàn)的原因有效的采取糾正行動(dòng)，那么這就是一個(gè)需要增加監(jiān)控活動(dòng)的明顯指標(biāo)。

1.5 相關(guān)人員的勝任能力或經(jīng)驗(yàn)

在執(zhí)行一個(gè)給定控制的時(shí)候，相關(guān)人員勝任能力或經(jīng)驗(yàn)不充分，則可能增加控制失敗的可能性。

1.6 經(jīng)理層潛在的越權(quán)可能性

控制可能被經(jīng)理層越權(quán)，導(dǎo)致與組織目標(biāo)背道而馳，這可能意味著需要引起具體的監(jiān)控關(guān)注。

1.7 控制失敗檢測(cè)的可能性

如果內(nèi)部控制系統(tǒng)中的其他控制，能夠在系統(tǒng)中出現(xiàn)的控制失敗變得重要之前，將它們檢測(cè)出來，那么可能減少了確定這個(gè)控制列為關(guān)鍵控制的需求。相反，如果可以合理地相信，一個(gè)控制失敗可以變得重要，但目前并沒有被檢測(cè)出來，并得到及時(shí)的糾正，那么就增加了將該控制列為關(guān)鍵控制的需求。

2 識(shí)別關(guān)鍵控制的方法

2.1 自上而下法

該方法是從對(duì)某個(gè)定義好的領(lǐng)域或流程的一個(gè)非常高層的描述開始的。從最高層級(jí)開始，根據(jù)對(duì)有意義的風(fēng)險(xiǎn)集的定義來確定哪些地方的風(fēng)險(xiǎn)需被減緩，然后再向后追溯，直至所有相關(guān)的控制被識(shí)別出來。在必要的時(shí)候，還要對(duì)那些風(fēng)險(xiǎn)如何表現(xiàn)出來，或者這些風(fēng)險(xiǎn)如何被控制尚不清楚的領(lǐng)域進(jìn)行更加詳細(xì)的分析。

2.2 自下而上法

該方法是從對(duì)一個(gè)領(lǐng)域或流程的高層描述開始，然后對(duì)該領(lǐng)域的詳細(xì)的流程和交易進(jìn)行記錄。通過這些信息，就可以確定風(fēng)險(xiǎn)可以出現(xiàn)的具體位置，以及對(duì)具體的風(fēng)險(xiǎn)是如何進(jìn)行控制的。

無論使用何種方法，對(duì)關(guān)鍵控制的識(shí)別可以通過考慮那些可能增加信息系統(tǒng)內(nèi)部控制系統(tǒng)潛在管理失敗的風(fēng)險(xiǎn)的控制來實(shí)現(xiàn)。

3 對(duì)關(guān)鍵控制的監(jiān)控

3.1 對(duì)IT固定部分的控制進(jìn)行持續(xù)監(jiān)控

IT固定部分的控制是由軟件廠商設(shè)計(jì)并構(gòu)建在系統(tǒng)中的，或者在系統(tǒng)自開發(fā)的情況下，由軟件開發(fā)團(tuán)隊(duì)所開發(fā)的系統(tǒng)。因此，它們不容易在系統(tǒng)實(shí)施之后進(jìn)行修改。這些控制通常是采用硬編碼的方式嵌入信息系統(tǒng)之中的。

首先，應(yīng)對(duì)IT固定部分的控制進(jìn)行測(cè)試，并建立一個(gè)持續(xù)監(jiān)控標(biāo)準(zhǔn)。由于IT固定部分的控制是針對(duì)那些用于標(biāo)準(zhǔn)應(yīng)用系統(tǒng)配置的文件、表格、流程、報(bào)告和數(shù)據(jù)。它們通常是在系統(tǒng)實(shí)施階段進(jìn)行測(cè)試的，這種測(cè)試的結(jié)果可以用作持續(xù)監(jiān)控的標(biāo)準(zhǔn)，還可作為后續(xù)控制測(cè)試的參照。如果是在信息系統(tǒng)實(shí)施之后才著手實(shí)施持續(xù)監(jiān)控，那么就需要針對(duì)每個(gè)關(guān)鍵控制進(jìn)行測(cè)試，形成持續(xù)監(jiān)控標(biāo)準(zhǔn)。此類持續(xù)監(jiān)控標(biāo)準(zhǔn)具有相對(duì)穩(wěn)定性，由于它能以定量的形式存在，所以最易于進(jìn)行持續(xù)監(jiān)控。不過，由于此類數(shù)據(jù)事關(guān)信息系統(tǒng)的安全，所以需要建立起一套系統(tǒng)變更管理流程，而且該流程也需要進(jìn)行持續(xù)監(jiān)控。針對(duì)該系統(tǒng)變更的持續(xù)監(jiān)控可以提供對(duì)IT固定部分的控制持續(xù)有效發(fā)揮作用提供認(rèn)證。這種持續(xù)監(jiān)控可以確保只有經(jīng)過授權(quán)的人員才可以對(duì)該系統(tǒng)做出變更；所有的變更都必須經(jīng)過批準(zhǔn)、測(cè)試，并且被系統(tǒng)所有者采納；可能受到變更影響的控制持續(xù)有效地發(fā)揮作用。每隔一定的周期，可能需要進(jìn)行專項(xiàng)評(píng)價(jià)，這取決于系統(tǒng)變更和風(fēng)險(xiǎn)評(píng)估的頻率。

其次，對(duì)IT固定部分的控制進(jìn)行持續(xù)監(jiān)控。對(duì)IT固定部分的控制的持續(xù)監(jiān)控很大程度上依賴于軟件開發(fā)和實(shí)施，以及變更管理的控制。對(duì)IT固定部分的控制的持續(xù)監(jiān)控，是在實(shí)施對(duì)變更管理流程的持續(xù)監(jiān)控之后才實(shí)施的。自動(dòng)化的變更管理工具和設(shè)施可以用于識(shí)別所有的系統(tǒng)變更。所識(shí)別出來的變更然后與變更請(qǐng)求和批準(zhǔn)日志相比較，以確定該變更管理流程得到了遵循，控制也沒有受到規(guī)避。該流程中的例外情況會(huì)被持續(xù)監(jiān)控系統(tǒng)標(biāo)記出來，以供相關(guān)人員進(jìn)行評(píng)價(jià)和采取后續(xù)行動(dòng)。

3.2 對(duì)IT可配置部分的控制進(jìn)行持續(xù)監(jiān)控

IT可配置部分的控制是指能夠讓用戶對(duì)構(gòu)建在信息系統(tǒng)或者流程中的控制進(jìn)行更新、變更，或者對(duì)使該控制運(yùn)行生效或失效，而不需要對(duì)程序進(jìn)行修改的控制。IT可配置部分的控制設(shè)置通常是包含在一個(gè)可配置的表格中。許多財(cái)務(wù)、制造和基礎(chǔ)系統(tǒng)都是使用可配置的表格，讓應(yīng)用系統(tǒng)的用戶能夠根據(jù)他們的具體需求對(duì)信息系統(tǒng)進(jìn)行個(gè)性化定制。IT可配置部分的設(shè)置也可能允許用戶對(duì)信息系統(tǒng)中內(nèi)嵌的工作流功能整體上生效或者失效進(jìn)行設(shè)置。

首先，對(duì)IT可配置部分的控制進(jìn)行測(cè)試，來建立一個(gè)持續(xù)監(jiān)控標(biāo)準(zhǔn)。IT固定部分的控制和IT可配置部分的控制之間的關(guān)鍵差異在于，前者是設(shè)計(jì)好的，這樣在系統(tǒng)實(shí)施之后，就不能對(duì)它們作出修改；后者卻很容易根據(jù)不同企業(yè)的特定需求進(jìn)行定制（不需要對(duì)系統(tǒng)進(jìn)行變更）。這可以給信息系統(tǒng)提供足夠的柔性，讓同一個(gè)系統(tǒng)能夠適應(yīng)不同部門，甚至是在不同國家、不同行業(yè)運(yùn)行的分公司。在信息系統(tǒng)開發(fā)和實(shí)施的時(shí)候，可以預(yù)先建立起一部分IT可配置部分的控制的持續(xù)監(jiān)控標(biāo)準(zhǔn)。若在信息系統(tǒng)投入運(yùn)行之后再行設(shè)定持續(xù)監(jiān)控標(biāo)準(zhǔn)，則需要對(duì)這些關(guān)鍵控制的配置及其設(shè)計(jì)和運(yùn)行進(jìn)行一次專項(xiàng)評(píng)價(jià)。

其次，對(duì)關(guān)鍵的IT可配置部分的控制進(jìn)行持續(xù)監(jiān)控。適用于對(duì)IT可配置部分的控制的持續(xù)監(jiān)控工具和技術(shù)包括：對(duì)IT固定部分的控制進(jìn)行監(jiān)控的工具和技術(shù)進(jìn)行拓展，使之能用于對(duì)IT可配置部分的控制的持續(xù)監(jiān)控；生成一個(gè)關(guān)于當(dāng)前可配置設(shè)計(jì)的報(bào)告，并采集經(jīng)理層對(duì)這些設(shè)置的批準(zhǔn)和更新的電子化的日志文件；周期性地將當(dāng)前的配置與先前掃描的結(jié)果進(jìn)行比較。其中出現(xiàn)的任何的變化都需要進(jìn)行復(fù)核，來決定該變更管理流程是否得到了遵守。

4 對(duì)關(guān)鍵控制實(shí)施持續(xù)監(jiān)控需要考慮的因素

持續(xù)監(jiān)控目的是幫助確?？刂剖歉鶕?jù)期望來運(yùn)行，通常是由經(jīng)理層參照由內(nèi)部審計(jì)師所開展持續(xù)審計(jì)來執(zhí)行的。下列屬性將幫助制定和實(shí)施一個(gè)成功的持續(xù)監(jiān)控項(xiàng)目：業(yè)務(wù)流程所有者提供的良好支持；IT管理部門的充分支持；一個(gè)對(duì)該監(jiān)控項(xiàng)目的范圍和目標(biāo)的良好定義；選擇用于監(jiān)控的業(yè)務(wù)流程或者IT流程中的恰當(dāng)?shù)臄?shù)據(jù)特征；用于持續(xù)監(jiān)控流程的直接信息和間接信息的恰當(dāng)性；識(shí)別恰當(dāng)?shù)能浖?bào)告工具，用于這個(gè)所選擇的處理環(huán)境；項(xiàng)目團(tuán)隊(duì)成員擁有使用所選擇的工具的知識(shí)。

參考文獻(xiàn)：

[1]陽杰，莊明來.內(nèi)部控制持續(xù)監(jiān)控系統(tǒng)研究的理論框架[J].江西社會(huì)科學(xué)，2012（5）：232-235.

[2]陽杰，應(yīng)里孟，周海燕.論內(nèi)部控制持續(xù)監(jiān)控系統(tǒng)的功能結(jié)構(gòu)[J].財(cái)會(huì)月刊，2013（23）：94-95.