时间:2020-03-11 作者:吴炎太 龚习良 刘伟贤 (作者单位:广东金融学院计算机系浙江尖峰集团股份有限公司 中国联通广东分公司)
[大]
[中]
[小]
摘要:
2010年4月26日,财政部等部门联合发布了《企业内部控制配套指引》,其中的《企业内部控制应用指引第18号——信息系统》对加强企业信息系统内部控制风险管理具有重要的指导作用。信息系统控制包括信息系统一般控制和信息系统应用控制。下面以A公司为例,从一般控制和应用控制两个方面,探讨如何加强企业信息系统内部控制风险管理。
一、信息系统一般控制风险管理
A公司是一家在美国上市的电信运营企业的省级分公司,其信息系统已经达到了较高的应用水平。A公司的信息系统主要包括三大系统域:运营支撑系统域(OSS)、业务支撑系统域(BSS)和管理支撑系统域(MSS)。运营支撑系统域属于生产管理系统,面向服务和资源,为综合运营提供支持;业务支撑系统域属于业务管理系统,为市场营销、客户服务等企业经营活动提供全面支撑;管理支撑系统域属于管理支持系统,为企业管理活动提供有力的支撑和保障。A公司自2005年开始着手内部控制建设工作,经过几年的摸索、实践,已逐步建立和健全了具有自身特点和控制重点的内部控制体系。
信息系统内部控制是A公司内部控制的重要组成部分,在内部控制建设过程中,A公司对2200多个风险点(其中信息系统关键控制点349个...
2010年4月26日,财政部等部门联合发布了《企业内部控制配套指引》,其中的《企业内部控制应用指引第18号——信息系统》对加强企业信息系统内部控制风险管理具有重要的指导作用。信息系统控制包括信息系统一般控制和信息系统应用控制。下面以A公司为例,从一般控制和应用控制两个方面,探讨如何加强企业信息系统内部控制风险管理。
一、信息系统一般控制风险管理
A公司是一家在美国上市的电信运营企业的省级分公司,其信息系统已经达到了较高的应用水平。A公司的信息系统主要包括三大系统域:运营支撑系统域(OSS)、业务支撑系统域(BSS)和管理支撑系统域(MSS)。运营支撑系统域属于生产管理系统,面向服务和资源,为综合运营提供支持;业务支撑系统域属于业务管理系统,为市场营销、客户服务等企业经营活动提供全面支撑;管理支撑系统域属于管理支持系统,为企业管理活动提供有力的支撑和保障。A公司自2005年开始着手内部控制建设工作,经过几年的摸索、实践,已逐步建立和健全了具有自身特点和控制重点的内部控制体系。
信息系统内部控制是A公司内部控制的重要组成部分,在内部控制建设过程中,A公司对2200多个风险点(其中信息系统关键控制点349个)进行了详细分析,制定了对应的控制措施。
信息系统内部控制包括一般控制和应用控制。在一般控制方面,A公司强调对信息系统整个生命周期的管理,从系统规划、系统分析、系统设计、系统实施、系统运行维护等系统生命周期的各个阶段,加强对信息系统风险的管理。
1.系统规划阶段的风险管理
为了有效降低系统开发风险,提高系统开发的成功率,企业进行信息化建设时,应当根据企业发展战略,结合企业的业务范围、企业文化、技术能力、组织架构、地域分布等特点,制定信息系统战略规划,并对规划方案进行可行性研究。如果方案可行,才能进行后续的开发工作;否则,必须终止或修改方案直到方案可行为止。
A公司的信息系统规划工作由信息化部(IT管理部门)负责,信息系统战略规划方案经信息化部及公司决策机构批准后才能实施。为了加强对系统开发的管理,A公司制定了《信息系统项目建设规程》、《信息系统开发管理细则》等制度。
2.系统分析阶段的风险管理
没有明确的需求分析,往往会导致开发的系统不能满足用户的要求而返工,这样的例子在国内企业屡见不鲜;没有明确的需求分析,还会造成软件商与应用企业之间的责任不明确。因此,系统最终用户部门应当对信息系统的功能、性能、控制要求、安全性等提出明确需求并形成书面需求文档(即系统需求规格说明书);系统最终用户及流程责任人应当积极参与系统需求分析工作。
A公司在系统开发过程中,由相关业务部门(系统最终用户部门)提出系统需求,信息化部(IT管理部门)和开发商积极参与讨论;A公司的《系统需求规格说明书》必须经过信息化部、相关业务部门(系统最终用户部门)以及开发商的签字确认,并且作为系统开发、系统测试及系统验收的依据。
3.系统设计阶段的风险管理
系统设计是系统开发的重要环节。在系统设计过程中,应当利用信息技术优势,优化流程,完善控制点,将处理规则嵌入到系统程序中,实现手工处理环境下难以实现的控制功能,以更加高效地预防、发现和纠正错误和舞弊。在系统设计完成后,应当对系统设计方案进行审核和评价,以保证系统设计方案的正确性,不要将系统设计的错误带到系统实施阶段。
在系统开发过程中,A公司要求开发商提交《系统概要设计》,并组织相关的技术人员和业务人员(系统最终用户)进行审核确认,确保开发商提供的《系统概要设计》涵盖了实际的业务需求。
4.系统实施阶段的风险管理
系统实施是系统开发过程中投入人力、物力和财力最多的一个阶段,系统实施阶段的主要任务包括:购置和安装计算机系统与网络系统、编程、测试、人员培训、数据准备、试运行、系统上线等,其中,测试和上线是系统实施的两个重要环节。
(1)系统测试
按照测试的复杂程度划分,测试分为模块测试、子系统测试和系统总体测试。按照测试的主体划分,测试分为开发人员自行测试和用户验收测试。企业应当制定详尽的测试计划,包括测试数据、测试标准以及测试步骤等。没有准备详尽的测试计划、测试标准以及测试步骤,可能导致测试不全面、不完整,会加大系统错误不能被及时发现的风险。没有进行模块测试、子系统测试和系统测试,可能会导致系统功能不完善;没有用户验收测试,则可能会导致系统功能与用户需求不一致。
在系统上线之前,A公司成立了由开发商、信息化部、相关业务部门(系统最终用户部门)的人员组成的、独立于开发人员的系统测试小组,负责对系统进行测试,并且要求系统测试环境与公司生产经营环境相互分离,以避免系统测试对公司生产经营系统的影响。
(2)上线
为了降低系统上线的风险,企业应当制定系统上线计划。系统上线涉及新旧系统切换的,应在上线计划中明确应急预案,保证在新系统失效时能够顺利切换回旧系统。信息系统上线涉及数据迁移的,则应制定详细的数据迁移计划,并对迁移结果进行测试和确认。
在A公司,新系统具备上线条件后,由项目组负责制定系统上线计划和方案,内容包括上线步骤、时间、所需资源等;对于存在新旧系统切换的项目,还要制定切换计划、切换方案、回退方案等;系统上线前,由项目组负责提出上线申请,经相关业务部门(系统最终用户部门)和信息化部审批之后方可上线。
5.系统运行维护阶段的风险管理
系统运行维护阶段的任务是进行系统的运行管理、维护和评价,具体包括:权限管理、备份管理、问题管理、故障/灾难恢复、变更管理、第三方管理、系统评价等内容。为了加强对系统运行维护的管理,A公司制定了《信息系统运行维护规程》、《信息系统变更管理细则》、《数据备份管理细则》、《信息系统管理职责分工标准》、《信息安全管理规程》等一系列制度。
(1)权限管理
企业应当建立用户管理制度,加强对重要业务系统的访问权限管理。对于岗位发生变化或离岗的用户,系统管理人员应当及时调整其在系统中的访问权限或者关闭账号。企业应当建立信息系统开发和应用的岗位责任制,明确相关部门和岗位的职责、权限,确保信息系统开发和应用过程中的不相容岗位相互分离、制约和监督。如果未对IT人员进行适当的职责分工,可能导致控制失效,无法有效防止破坏或舞弊行为的发生。
A公司非常重视对用户权限的管理,其各个应用系统均由系统负责人制定系统职责分工表,并经相关部门分管领导审批同意后执行。
(2)备份
企业应当建立并执行系统数据定期备份制度,明确备份范围、备份频度、备份方法、备份责任人、备份存放地点、备份有效性检查等内容。如果没有建立有效的备份,在需要利用备份数据恢复系统时,将无法恢复系统;备份数据应当异地存放,否则,一旦发生灾难,可能导致备份数据无法获取。
A公司各个系统均有明确的备份策略,由系统管理员负责制订,并经过数据所属部门经理的审批;备份策略包括备份周期、备份方法、恢复方法、备份数据保留时间和备份介质存放要求等;另外,公司还定期安排人员对备份情况进行检查,并将检查结果记录在《备份操作记录表》中。
(3)故障/灾难恢复
灾难恢复计划是顺利应对灾难的保证,企业应当根据业务性质和风险程度,制定信息系统灾难恢复计划。企业应当采用日常检测、设立容错冗余、编制应急预案等预防性措施,确保信息系统的持续运行。
(4)变更管理
变更管理包括数据变更和系统变更。对于数据变更,企业应当建立数据变更(包括数据导入、数据提取、数据修改等)的申请、审核和审批、处理和确认的规范。一经发现已输入数据有误,必须按照信息系统操作规定加以修正。未经授权的数据变更,可能导致数据错误或舞弊。
对于信息系统的变更,企业应当按照系统开发的控制要求实施控制。系统变更应当有严格的审批手续并经业务部门和IT管理部门负责人的审批,防止未经授权的系统变更的发生。
(5)系统评价
系统评价一般是根据使用者的反映以及系统的运行情况,对系统的功能、效率和效益作出客观的评价,从而提出系统改进和扩充的方向。企业应当定期评价信息系统负荷情况,必要时应当进行硬件设备扩容、软件系统性能优化等工作。
二、信息系统应用控制风险管理
信息系统应用控制是指利用信息系统对业务处理实施的控制,信息系统应用控制与具体的业务处理联系在一起。以下结合会计信息系统,对信息系统应用控制进行探讨。
会计信息系统是A公司管理支撑系统域中的一个非常重要的应用系统。会计信息系统应用控制包括资本性支出、收入、成本费用、资金及资产管理、财务信息披露等多个方面,下面以财务信息披露为例,对会计信息系统应用控制的风险管理方法进行讨论。
1.录入凭证的风险控制
在会计信息系统中输入会计凭证时,应当对会计凭证的日期进行控制。会计科目的设置应当由专人负责,防止被非法修改;在填制会计凭证时,系统应当对会计科目的合法性进行检查,防止非法科目进入会计凭证。为了防止凭证借贷金额不平衡,在保存凭证时,系统应当对凭证借贷金额进行平衡检查。为了保证记账凭证的正确无误,审核人(凭证审核人与制单人不能为同一人)应当对凭证认真审核,只有经过审核的凭证才能记账。
在输入会计凭证时,A公司对凭证日期和会计科目均有严格的控制:系统自动带出当前日期作为凭证的创建日期,该日期不能被修改;所有会计科目都由专人统一维护在系统配置中,其他人不得随意修改。
2.记账过程的风险控制
记账往往要持续比较长的时间,如果记账过程因突然断电或其他原因造成中断,会造成会计信息不完整、不准确。因此,为了降低记账过程的风险,记账前应进行数据备份,这样即使在记账过程中出现中断,也可以将系统恢复到记账前的状态,然后重新记账。记账后可以通过账证核对和账账核对进行数据检查,以保证账簿数据的正确性。
在记账过程中,A公司利用系统的自动检查功能对所有要记账的凭证的各项数据进行合法性检查,并检查会计凭证是否都选择了正确的记账会计期间,如果检查未通过,系统会出现提示信息,并拒绝下一步的操作,以防止错误的信息过账。
3.适当的职责分工
在信息系统应用过程中,企业应当进行适当的职责分工,按照工作职责对用户进行合理授权,避免将不相容职责的处理权限授予同一用户。不相容岗位应当相互分离、制约和监督,如凭证制单人与审核人不能为同一人、出纳不能填制记账凭证和记账等。
4.凭证模板的风险控制
A公司由主管会计负责定义凭证模板;在定义凭证模板时,系统自动进行完整性检查,如果必须输入的项目(如:科目代码)为空,系统会报告错误信息并提示输入;对于币种、客户等辅助信息,系统会自动进行有效性检查,以防止非法信息的输入。
对于公式型凭证模板,应当在所有相关的会计凭证均已录入完成并正确过账之后才能进行凭证生成的操作,从而保证所引用的会计账户信息的完整性与准确性;生成该类凭证时,系统应当有提示信息,从而提高会计操作的正确性,防止错误凭证的生成。对于应用凭证模板生成的记账凭证,应当认真进行审核,防止错误凭证过账。
5.固定资产折旧的风险控制
对于固定资产折旧数据,A公司安排专人负责管理;在计提折旧之前,系统会检查是否给所有的资产都指定了成本中心和折旧科目,如果有资产未指定成本中心,则在运行折旧计算程序时,系统会报告错误信息并中止折旧计算。月末,系统会自动检查是否当期所有资产都已作折旧处理;对未作折旧处理的资产,重新运行折旧计算程序计提折旧;对已经作折旧处理的资产,防止重复计提折旧。
三、启示
1.应用信息技术,减少人工控制,提高管理效率
A公司在信息系统开发过程中,充分利用信息技术优势,将业务处理规则嵌入到系统程序中,固化了相应的流程。一方面使得公司的各项管理工作制度化,规范了员工和管理者的行为,从而促进了管理水平的提升,为业务的发展奠定了坚实的基础;另一方面增加了系统控制,减少了人工控制,从而减少了人为的干预和差错,大大提高了公司的管理效率。
2.以信息系统生命周期为基础,加强信息系统一般控制
A公司的生产经营完全依赖信息系统的支持,在强化管理控制的同时也会产生新的风险,因此必须加强对信息系统的控制。A公司通过加强对系统开发过程的管理、强化信息系统安全管理等手段加强对信息系统的一般控制。
3.优化业务流程,完善控制点,加强信息系统应用控制
A公司对各项业务进行了认真研究和梳理,充分利用信息技术,优化了业务流程,完善了控制点,制定了《A公司内部控制制度规范》,并用文字、流程图、风险控制文档等多种形式,将各项业务和事项的风险类型、控制目标、关键控制点、控制措施、控制频率加以规定和说明,形成了与经营管理制度有机结合的内部控制规范。《A公司内部控制制度规范》的制定为信息系统应用控制提供了依据,有力地强化了信息系统的应用控制。
4.通过CRM系统与会计信息系统的信息集成,确保会计数据与业务数据一致
为了确保业务信息能准确、及时地从业务管理系统传递到会计信息系统,提高信息系统的数据处理效率,A公司完成了CRM系统(包括代理商佣金系统、卡资源管理系统等)与会计信息系统的接口建设工作,实现了CRM系统与会计信息系统的信息集成,解决了“一套数据,重复录入的问题,确保了业务系统与会计系统数据一致,提高了会计数据的准确性与及时性。
[基金项目:教育部人文社科规划项目“内部控制、过度投资与财务危机——基于中国资本市场的研究”(09YJA790199);广州市社会科学“十一五”规划课题“政府在线审计研究——以广州市为例”(10Y38)]
责任编辑 李斐然
相关推荐