【摘 要】 文章在借鉴国内外学者观点的基础上,从信息系统生命周期和信息处理流程的角度,提出了对信息系统一般控制和应用控制的概念、重要风险以及关键控制活动的认识和应采取的措施。
　　【关键词】 内部控制; 信息系统; 一般控制; 应用控制
　　
　　一、信息系统的一般控制
　　
　　(一)概念定义
　　对于信息系统的一般控制,存在着不同的理解。
　　国内有学者认为:信息系统一般控制是应用于一个单位信息系统全部或较大范围的内部控制,其基本目标为保证数据安全、保护计算机应用程序、防止系统被非法侵入、保证在意外中断情况下的继续运行等。有效的一般控制是保证应用控制有效的一个重要因素,它提供应用系统运行和应用控制实施的环境。如果一般控制薄弱,将会严重地削弱相关的具体应用控制的可靠性。
　　《日本内部控制评价与审计准则》在基本沿袭coso报告框架的同时,结合日本实际情况,在coso报告三个目标和五项基本要素的基础上各增加一项,规定为四个目标和六项基本要素。其第六项基本要素为“信息技术的应对”,并把对信息技术的控制活动分为信息技术相关的全面控制和业务处理控制。《日本内部控制评价与审计准则》认为:信息技术相关的全面控制,意味着为保证业务处理控制有效运行的环境而进行的控制活动,通常是指与多项业务处理控制相关的政策和手续。信息技术相关的全面控制,通常是以支持业务管理系统的信息技术基础(硬件、软件、网络等)作为单位构建的。
　　综合借鉴国内外学者的意见,笔者认为:信息系统的一般控制是指为保证各信息系统有效执行业务处理控制而对信息系统开发和应用环境进行的控制活动。WWW.11665.cOM包括职责分工与授权审批,信息系统开发、运行维护与变更控制,信息安全、硬件管理等,它作用于所有的信息系统。
　　(二)重要风险
　　在分析信息系统一般控制面临的风险时,可以从信息系统生命周期的角度分析信息系统开发和应用环境需要关注的重要风险。信息系统的生命周期大致可分为战略规划、计划、设计和开发、运行维护几个阶段,企业应该在对各阶段面临的风险进行风险评估的基础上,建立关键的信息系统和数据清单,确定其所有人和负责人,对其实施信息系统一般控制。
　　战略规划和计划阶段对应于cobit框架中的策划和组织过程域;设计和开发阶段对应于cobit框架中的获取与实施过程域;运行维护阶段对应于cobit框架中的交付与支持过程域。cobit框架中的监控与评价过程域所关注的风险和控制活动,贯穿于信息系统的生命周期。
　　在战略规划阶段,重要风险是由于缺乏信息战略规划或战略规划不当,导致信息战略规划与业务战略规划不匹配,容易出现信息系统重复建设、信息孤岛等问题,信息系统不能经济有效地支撑业务发展,影响企业目标的实现。
　　在计划阶段,重要风险是缺乏具体计划或者计划不合理,导致信息战略规划不能有效落实。
　　在设计和开发阶段,重要风险是没有有效实现业务处理和业务控制要求,出现汇总、排序、应计、待摊等计算错误,程序算法不够优化、系统响应时间和吞吐量达不到要求,处理环节间的钩稽验证机制缺失等问题,导致信息系统不能有效支持业务开展,不能有效预防和发现错误和舞弊。
　　在运行和维护阶段,重要风险包括信息安全风险、信息系统服务质量风险、信息系统的可持续性风险。信息安全风险主要是由于身份管理、用户账号管理、密钥管理、恶意软件的检测和纠正、网络传输安全、数据存储安全等方面缺乏有效控制而导致信息的真实完整、安全保密无法有效保证,恶意用户非法操作和舞弊;信息系统服务质量风险主要是由于系统性能、容量不能适应业务发展,或者用户培训不够,导致it服务交付的质量级别不符合业务需要;信息系统的可持续性风险主要由于缺乏容灾和应急措施而导致信息系统的持续运行能力缺乏保障。
　　(三)关键控制活动
　　1.不相容职责定义
　　在定义不相容职责时,从信息系统生命周期的角度,不仅要考虑不同阶段之间的不相容职责,也要考虑同一阶段内的不同职责。主要有以下不相容职责。
　　系统开发与验收测试是不相容职责。系统开发主要是it服务部门的工作职责;而验收测试则是检验系统是否满足用户需求的测试,要验证用户需求是否得到满足,就只能由用户部门执行测试。系统开发与验收测试不相容,体现了it服务部门和业务部门的职责分离。
　　数据管理和应用程序管理是不相容职责。数据管理不局限于数据库管理,也包括excel文件之类的文档管理。应用程序管理不局限于源代码和开发文档管理,也包括可执行程序版本的管理。应用程序和数据是信息系统的核心,为保证数据的完整性和一致性,用户应尽量避免直接访问后台数据,而应通过应用程序提供的功能读写其访问权限内的数据。如果同一岗位既能通过修改代码或者替换运行程序版本等方式调整应用程序运行,也能直接控制后台数据,就很容易在信息系统中舞弊而不被察觉。
　　系统管理职责和业务操作是不相容职责。系统管理职责关注的是信息系统的性能调优、安全防护、运行监控等技术方面的工作,而业务操作职责关注的是利用信息系统的功能完成业务处理、辅助决策。如果系统管理职责和业务操作职责合二为一,就可能发生系统管理员赋予自己极高的业务操作权限,发生不经业务管理者实际授权批准就自行执行非法业务操作、消除操作痕迹等舞弊行为。
　　开发职责和业务操作是不相容职责。系统开发者熟悉系统内部细节,如果允许系统开发者操作信息系统处理业务,就可能发生系统开发者利用预设于系统中的后门执行非法业务操作的舞弊行为。
　　2.授权管理
　　为了实现有效的信息系统控制,需要建立并执行必要的组织机构、授权管理制度。
　　企业可以指定专门部门或岗位(以下统称归口部门)对信息系统实施归口管理,负责信息系统开发、运行维护和变更等工作。用户部门应当根据本部门职能定位参与信息系统建设。
　　3.系统开发和应用过程控制
　　(1)信息系统开发阶段
　　信息系统开发阶段最大的风险就是没有规范、可行的开发流程管理制度,导致信息系统开发成本、质量、时间进度失控,因此有必要制定并不断修订完善开发流程管理制度。虽然信息系统的开发方式有自行开发、外购调试、外包开发等多种方式,但基本流程都包含需求分析、设计、编程、测试、上线、评价与维护等环节。
　　在需求分析环节,重要风险是需求本身是否合理、需求文档表述是否准确、完整。需求本身是否合理,是指对信息系统提出的功能、性能、安全性等方面的要求能否满足业务处理和控制的需要,技术上是否可行,经济上是否有益,法律规章方面是否合法合规。用户部门应当对信息系统的功能、性能、安全性等提出明确需求,形成规范文档,建立并执行有效的需求评审制度。
　　在设计环节,重要风险是设计方案不能满足用户对系统的功能和性能需求。因此,系统设计方应当就总体设计方案与用户部门进行沟通和讨论,说明方案对用户需求的响应情况。如果存在多种设计方案,应当详细说明各方案在成本、建设时间和用户需求响应上的差异。归口部门和用户部门应当对选定的设计方案予以书面确认。
　　在编程和测试环节,重要风险是编程与设计不符。为了控制这方面的风险,需要加强测试工作。信息系统上线前应当进行系统测试和用户验收测试,测试方应对测试结果予以书面确认。
　　在系统上线环节,重要风险是没有完整可行的上线计划导致人员培训不足、数据准备不合格,系统上线混乱无序,质量和进度无法保证。因此,企业应当制定信息系统上线计划,并经归口部门和用户部门审核。企业应当制定培训计划,对企业高管、业务操作人员、系统管理人员等进行培训。如果信息系统上线涉及数据迁移,企业应当制定详细的数据迁移计划,并对迁移结果进行测试。用户部门应当参与数据迁移过程,对迁移前、后的数据予以书面确认。

　　在系统评价环节,重要风险是未能及时有效掌握系统运行情况,不能及时发现系统的错误和不足,当问题暴露出来时,已是积重难返。因此,信息系统上线后,企业应当对系统运行中的问题和系统未能满足用户需求的情况进行记录,定期总结和分析,对系统进行调整和完善。
　　为了加强信息系统开发过程管理,企业可采用项目管理的方式对开发全过程监控。
　　如果企业将信息系统的开发外包,应对外包服务进行管理。
　　(2)信息系统运行维护阶段
　　1)保证信息系统安全的控制活动。在信息系统运行维护阶段,信息系统安全方面的首要风险是没有系统安全等级的概念或者未能合理确定系统安全等级,没有分等级的系统安全控制措施,导致不能抓住重点,以有效成本保障系统安全。因此,企业应当根据信息系统业务性质、重要性程度、部署方式、涉密情况等确定系统的安全等级,针对不同等级采用相应的制度和技术手段确保系统安全。
　　用户身份被假冒造成非授权访问,或者用户对操作进行事后抵赖,是常见的安全问题。提高用户的安全保密意识,做好用户身份识别和授权管理,是系统安全控制的重点。因此,企业应当对重要岗位员工进行信息系统安全保密培训,与其签署安全保密协议。企业应当采用密码控制、数字证书、生物识别等技术手段进行用户身份识别。企业应当建立用户管理制度,加强访问权限管理,避免将不相容职责授予同一用户,定期对系统中的用户进行审查,避免有授权不当或非授权用户存在。例如:工商银行的网上银行系统采用u盾或者电子银行口令卡,配合用户自设的网银密码,完成用户身份认证。
　　网络应用消除了地理空间的阻隔,对企业拓展业务地域贡献很大,但也把企业暴露于新的风险:数据可能在传输中泄漏、丢失、篡改;对来自互联网的入侵攻击缺乏综合防范。因此,对于存在网络应用的企业,应当综合利用防火墙、路由器等网络设备,漏洞扫描、入侵检测等软件技术,以及远程访问安全策略等手段加强网络安全,防范来自互联网的攻击和非法侵入。对于在互联网传输的涉密或者关键业务数据,企业应当采取必要的技术手段确保信息传递的保密性、准确性、完整性。
　　为了有效控制系统安全风险,需要有效利用it技术手段提供的安全机制和功能,并对硬件配置调整、软件参数修改严加控制。因此,企业应当充分利用操作系统、数据库系统、应用系统提供的安全机制设置安全参数,加强系统访问安全。企业应当采取安装安全软件等措施防范信息系统受到病毒等恶意软件感染和破坏。对于重要的计算机设备,企业应当禁止并利用技术手段防止用户擅自安装、卸载软件或者改变软件系统配置,并定期对上述情况进行检查。
　　2)保证信息系统服务质量的控制活动。信息系统服务质量风险主要是由于系统性能、容量不能适应业务发展的需要。为了控制性能和容量不足的风险,需要监控系统负荷,及时进行硬件设备扩容、软件系统性能优化等工作。
　　3)保证信息系统可持续性的控制活动。信息系统的可持续性风险主要由于缺乏容灾和应急措施,而导致信息系统的持续运行能力缺乏保障。为了控制系统中止运行的风险,企业应当采用日常检测、设立容错冗余、编制应急预案等预防性措施,确保信息系统的持续运行。企业应当根据业务性质和风险程度,编制信息系统灾难恢复计划,并定期复核、修正该计划;需要制定并落实合理的备份制度,明确备份范围、备份频度、备份方法、备份责任人、备份存放地点、备份有效性检查等内容。
　　4)对信息系统变更的控制活动。企业可能由于系统开发不完善、用户需求变动或者应用环境的变化而对已经上线实施的信息系统进行变更。对于信息系统的变更,企业应当按照系统开发的控制要求实施控制。
　　
　　二、信息系统的应用控制
　　
　　(一)概念定义
　　对于信息系统的应用控制,存在着不同的理解。
　　国内有学者认为:信息系统应用控制是被用于具体应用系统的控制,一个应用系统一般由多个相关计算机程序组成,有些应用系统可能是复杂的综合系统,牵涉到多个计算机程序和组织单元。与此相应,应用控制包括包含在计算机编码中的日常控制及与用户活动相关的政策和流程。
　　《日本内部控制评价与审计准则》认为:信息技术相关的业务处理控制,是指在管理业务的系统中,为确保经批准的业务全部正确地进行处理、记录,内含于业务流程之中的信息技术相关的全部控制。这些业务处理控制,也可以采用手工操作来实施,但由于其内含于系统之中,使更高效率且准确的处理成为可能。
　　综合借鉴国内外学者的意见,笔者认为:信息系统的应用控制是为保证特定业务流程正常运转而对具体应用系统进行的控制活动,包括业务处理流程整体控制、输入控制、处理控制和输出控制等。应用控制既可通过程序编码将控制规则固化于应用系统中以自动化控制方式实现,也可通过手工方式实现。
　　(二)重要风险
　　在分析信息系统应用控制面临的风险时,可以从信息处理流程的角度考虑。信息系统应用控制所面临的风险,首先是贯穿于业务处理各环节的风险,包括业务流程本身设计不合理,业务处理授权、职责分离不当;然后是输入、处理、输出各环节的风险。
　　信息系统中的业务处理流程设计不合理通常表现为:业务处理因人设事,审批环节臃肿而流于形式,处理效率低下;业务处理仅有一条执行线索,未充分考虑某些处理环节可合并执行的可能性,业务流程耗时过长;业务处理环节间缺乏反馈控制机制,不能及时调整以应对出现的问题和异常情况。
　　业务处理授权、职责分离不当通常表现为:没有在信息系统中执行合理、有效的业务处理环节授权管理,可能导致同一用户具有不相容业务环节或功能的操作权限,影响企业业务数据的正确性,并可能导致舞弊行为出现,进而对企业造成损失。
　　输入环节的风险主要是没有严格的系统录入控制和数据源头控制,可能导致进入系统中的数据不准确和不完整。
　　处理环节的风险主要是信息系统处理不正确,例如汇总、过滤、排序、应计、分摊等处理计算错误,可能导致企业业务不能正常运转,对企业造成重大损失。例如:2009年2月12日,南京市鼓楼区法院接到诉状,南京市民王萍将中国建设银行南京市鼓楼支行告上法庭。理由是:建行江苏省分行因利息计算系统错误侵占了自己的利益。
　　输出环节的风险主要是信息输出的内容、方式、时间、频度、接收者缺乏控制,可能导致信息缺乏决策相关性或信息泄密。
　　(三)关键控制活动
　　应用控制可手工执行,也可由应用系统自动执行。为了提高效率,应尽可能地把业务处理规则、控制规则嵌入应用系统,实现自动控制。对于可以完全由计算机处理的事项,企业应当设计为信息系统控制。
　　业务流程整体控制。业务流程全局合理性的控制,在信息系统中通过工作流的定义、执行、调度、监控实现。业务流程模板等主数据、流程参数对业务流程优化至关重要。要控制业务处理流程设计不合理的风险,就需要企业识别信息系统中的重要主数据和控制参数,建立规范的管理流程,对重要主数据和控制参数的创建、维护进行审批控制,确保其正确性、完整性和一致性。
　　业务处理授权和不相容职责分离的控制。这种控制在信息系统中主要通过用户权限管理和操作日志实现。权限管理需要实现功能权限管理和数据权限管理相结合。功能权限决定了用户是否可以执行某项功能,通常表现为不同职权的用户所能使用的菜单项、按钮组合不同。数据权限决定了用户可处理的数值范围,例如不同职权用户可处理的订单金额上限不同、可给予客户的折扣金额上限不同。操作日志功能可详细记录系统每个账户的登录时间、操作内容,从而确保操作的可审计性。
　　输入(源头)控制。输入控制确保只有有效的、经授权的信息才能进入系统,确保数据的准确性、有效性和完整性。在信息系统中通过各种输入校验实现,例如使用循环冗余校验码、检查数据取值的合理性、参照完整性检查、合计数与明细数一致性检查、借贷平衡检查等。企业开发信息系统,应当针对手工录入、批量导入、接收其他系统数据等不同数据来源,采取针对性的控制手段。
　　系统处理控制。处理控制确保系统按规定对数据进行处理,包括:能够对经济业务进行正常处理;业务数据在处理过程中没有丢失、增加、重复或不恰当的改变;处理中错误能够发现并得到及时更正。常用的控制措施有:处理权限控制,合理性检验控制,业务时序控制,审计跟踪控制,备份及恢复控制。处理控制主要依赖于程序自身的算法正确性,需要加强系统测试。
　　输出控制。输出控制可分为输出正确性控制、输出权限控制和输出资料分发控制。常用的输出正确性控制措施有:合计数控制、抽样统计控制、数据稽核控制等。输出权限控制使只有特定的、经过授权的用户才可以执行输出操作,而且不同权限的人应该只能输出相应权限的内容。输出资料分发控制使资料只能分发给有权接受资料的人。输出控制也主要依赖于程序自身的算法正确性,需要加强系统测试。●
　　
　　【参考文献】
　　[1] 审计署审计科研所.信息系统内部控制测评研究[eb/ol]./n1057/n1102/n619286/n619304/
　　1289617.html.
　　[2] 李玉环,译.日本内部控制评价与审计准则[m].东北财经大学出版社,2007.
　　[3] 中国工商银行.中国工商银行网上银行安全策略[eb/ol]..cn/icbc//工行学苑/网上安全/default.htm.
　　[4] 宋馥李.江苏建行被指计算系统有误多收贷款人利息[eb/ol].http://finance.sina.com.cn/china/dfjj/
　　20090302/13325918450.shtml.