曲傳祥

摘要

隨著企業(yè)信息化的深入和與業(yè)務(wù)深度融合，信息系統(tǒng)風(fēng)險(xiǎn)逐漸轉(zhuǎn)化成了業(yè)務(wù)風(fēng)險(xiǎn)和企業(yè)的經(jīng)營風(fēng)險(xiǎn)，對企業(yè)的經(jīng)營活動(dòng)有重大影響。也就要求企業(yè)有適當(dāng)?shù)目刂剖侄?，降低信息化所帶來的風(fēng)險(xiǎn)，這就需要信息系統(tǒng)應(yīng)用控制。信息系統(tǒng)應(yīng)用控制可以提高企業(yè)管理水平，減少人為操縱因素；增強(qiáng)信息系統(tǒng)的安全性、可靠性和合理性以及相關(guān)信息的保密性、完整性和可用性。

【關(guān)鍵詞】企業(yè)信息系統(tǒng) 應(yīng)用控制 設(shè)計(jì)

信息系統(tǒng)應(yīng)用控制（Application Controls）包括企業(yè)信息系統(tǒng)中的程序化步驟以及用以控制不同種類處理的相關(guān)的手工操作程序。這些控制結(jié)合一起可以保證信息系統(tǒng)的安全性、完整性、準(zhǔn)確性和有效性。結(jié)合企業(yè)信息系統(tǒng)建設(shè)與控制設(shè)計(jì)的工作實(shí)踐，信息系統(tǒng)應(yīng)用控制設(shè)計(jì)工作程序主要包括以下五個(gè)環(huán)節(jié)：

1系統(tǒng)功能調(diào)研

系統(tǒng)功能調(diào)研的目的是為了確認(rèn)應(yīng)用系統(tǒng)是否納入應(yīng)用控制設(shè)計(jì)范圍。在調(diào)研過程中，要從信息系統(tǒng)需求分析報(bào)告出發(fā)，根據(jù)原則和標(biāo)準(zhǔn)將信息系統(tǒng)劃分為財(cái)務(wù)關(guān)聯(lián)信息系統(tǒng)和非財(cái)務(wù)關(guān)聯(lián)信息系統(tǒng)，信息系統(tǒng)應(yīng)用控制的重點(diǎn)就在財(cái)務(wù)關(guān)聯(lián)信息系統(tǒng)。以下前三項(xiàng)條件全部滿足者為重要關(guān)聯(lián)信息系統(tǒng)，若三項(xiàng)條件不全部滿足，則考慮與外圍系統(tǒng)的接口情況。

1.1業(yè)務(wù)重要性判斷

按照企業(yè)內(nèi)部管控規(guī)范，并結(jié)合與財(cái)務(wù)的關(guān)聯(lián)程度，在各業(yè)務(wù)領(lǐng)域建立的信息系統(tǒng)開展業(yè)務(wù)重要性認(rèn)定。

1.2對財(cái)務(wù)數(shù)據(jù)影響程度的判斷

對財(cái)務(wù)數(shù)據(jù)的影響根據(jù)會(huì)計(jì)科目和財(cái)務(wù)報(bào)告所披露的內(nèi)容進(jìn)行判斷，分為直接影響和間接影響。直接影響為該系統(tǒng)直接對會(huì)計(jì)科目產(chǎn)生影響，間接影響為該系統(tǒng)的數(shù)據(jù)會(huì)間接對會(huì)計(jì)科目產(chǎn)生影響

1.3對系統(tǒng)依賴程度的判斷

判斷信息系統(tǒng)是否涉及復(fù)雜計(jì)算、檢查及處理過程。在信息系統(tǒng)同時(shí)符合以下標(biāo)準(zhǔn)和條件的屬于信息系統(tǒng)復(fù)雜的計(jì)算和處理過程，且無法全部依賴人工操作：

（1）信息系統(tǒng)涉及多個(gè)崗位及人員，需多崗位協(xié)同操作才能完成一項(xiàng)業(yè)務(wù)的處理；

（2）信息系統(tǒng)本身含有復(fù)雜的計(jì)算公式，最終輸出結(jié)果依賴固化在信息系統(tǒng)中的公式計(jì)算獲得，如依靠人工計(jì)算，則無法應(yīng)付日常業(yè)務(wù)操作，且結(jié)果不準(zhǔn)確的風(fēng)險(xiǎn)非常高。

1.4考慮與已有外圍系統(tǒng)接口情況

在判斷信息系統(tǒng)是否為財(cái)務(wù)關(guān)聯(lián)系統(tǒng)時(shí)，盡管有部分系統(tǒng)不完全滿足上述三條標(biāo)準(zhǔn)，但還應(yīng)考慮與外圍系統(tǒng)接口的影響。信息系統(tǒng)集成度的提高，該條判斷標(biāo)準(zhǔn)將會(huì)越來越受到關(guān)注。

2差異分析

通過分析、討論，比對分析系統(tǒng)設(shè)計(jì)（藍(lán)圖）和原企業(yè)業(yè)務(wù)流程圖業(yè)務(wù)處理范圍、控制要求等，確定控制設(shè)計(jì)的流程范圍、完善系統(tǒng)藍(lán)圖控制設(shè)計(jì)，最終給出系統(tǒng)設(shè)計(jì)（藍(lán)圖）與業(yè)務(wù)流程對照表、差異分析報(bào)告等。對原有業(yè)務(wù)流程和系統(tǒng)系統(tǒng)設(shè)計(jì)（藍(lán)圖）進(jìn)行對比，對比的內(nèi)容包括：處理業(yè)務(wù)環(huán)節(jié)是否一致、對財(cái)務(wù)數(shù)據(jù)影響（科目）是否一致、業(yè)務(wù)流程負(fù)責(zé)部門是否相同。

（1）根據(jù)信息系統(tǒng)需求分析說明書或項(xiàng)目設(shè)計(jì)說明書，逐級建立系統(tǒng)設(shè)計(jì)（藍(lán)圖）與己有業(yè)務(wù)流程的對應(yīng)關(guān)系。

（2）在己建立系統(tǒng)業(yè)務(wù)流程與企業(yè)業(yè)務(wù)流程對照關(guān)系的基礎(chǔ)上，對系統(tǒng)業(yè)務(wù)流程設(shè)計(jì)的合理性進(jìn)行審閱，并出具審閱調(diào)整意見?？紤]因素包括系統(tǒng)流程信息是否完整、要環(huán)節(jié)是否缺失、實(shí)施證據(jù)是否規(guī)范完整、系統(tǒng)可否實(shí)現(xiàn)審批環(huán)節(jié)、復(fù)核環(huán)節(jié)、復(fù)雜計(jì)算環(huán)節(jié)、指標(biāo)控制、權(quán)限控制環(huán)節(jié)、相關(guān)業(yè)務(wù)關(guān)聯(lián)環(huán)節(jié)、權(quán)限控制環(huán)節(jié)等的自動(dòng)化。

（3）根據(jù)系統(tǒng)流程設(shè)計(jì)及功能設(shè)計(jì)，完善現(xiàn)有業(yè)務(wù)流程，將系統(tǒng)設(shè)計(jì)（藍(lán)圖）以業(yè)務(wù)對照關(guān)系為依據(jù)融入本單位的業(yè)務(wù)流程中，從而形成一套完整的適用于信息系統(tǒng)上線單位的業(yè)務(wù)流程。

3風(fēng)險(xiǎn)分析

風(fēng)險(xiǎn)分析主要從信息處理流程角度進(jìn)行分析，并將應(yīng)用控制層面信息系統(tǒng)相關(guān)風(fēng)險(xiǎn)分為四類：

3.1輸入環(huán)節(jié)

未有嚴(yán)格的系統(tǒng)錄入控制、數(shù)據(jù)源頭、接口數(shù)據(jù)控制，可能導(dǎo)致進(jìn)入系統(tǒng)中的數(shù)據(jù)不準(zhǔn)確和不完整。包括錄入錯(cuò)誤、重復(fù)錄入、漏記、網(wǎng)絡(luò)或系統(tǒng)故障導(dǎo)致數(shù)據(jù)傳輸失敗（包括未傳輸、傳輸數(shù)據(jù)錯(cuò)誤、重復(fù)傳輸）、系統(tǒng)間對照關(guān)系維護(hù)錯(cuò)誤導(dǎo)致數(shù)據(jù)傳輸失敗等情況，導(dǎo)致相關(guān)業(yè)務(wù)數(shù)據(jù)、財(cái)務(wù)數(shù)據(jù)不完整不準(zhǔn)確。

3.2處理環(huán)節(jié)

信息系統(tǒng)處理不正確，例如匯總、過濾、排序、應(yīng)計(jì)、分?jǐn)?、自?dòng)核對、標(biāo)準(zhǔn)應(yīng)用等處理計(jì)算錯(cuò)誤，可能導(dǎo)致企業(yè)業(yè)務(wù)不能正常運(yùn)轉(zhuǎn)，對企業(yè)造成重大損失。

處理環(huán)節(jié)比較復(fù)雜，按照風(fēng)險(xiǎn)與信息系統(tǒng)及業(yè)務(wù)的關(guān)聯(lián)度不同可將風(fēng)險(xiǎn)再細(xì)分為信息系統(tǒng)自身引入的風(fēng)險(xiǎn)、信息系統(tǒng)上線導(dǎo)致業(yè)務(wù)流程變化而引入的新風(fēng)險(xiǎn)或?qū)е略酗L(fēng)險(xiǎn)發(fā)生變化，以及原有業(yè)務(wù)未發(fā)生變化的風(fēng)險(xiǎn)等三類。

3.3輸出環(huán)節(jié)

信息輸出的內(nèi)容、方式、時(shí)間、頻度、接收者缺乏控制，可能導(dǎo)致信息重復(fù)輸出、信息缺乏決策相關(guān)性或信息泄密。

輸出環(huán)節(jié)可以是系統(tǒng)本身的報(bào)表展示，也可以是通過接口傳輸，作為其他系統(tǒng)的輸入信息。其輸出的信息可以是一項(xiàng)業(yè)務(wù)的最終結(jié)果，也可以成為是中間結(jié)果，后續(xù)還需進(jìn)行加工處理，但無論是上述哪種情況，輸出環(huán)節(jié)的風(fēng)險(xiǎn)均可劃分為信息輸出的內(nèi)容不完整、不準(zhǔn)確，存在遺漏或重復(fù)輸出，以及對信息輸出的接收者缺乏控制，可能導(dǎo)致信息泄密。

3.4系統(tǒng)處理授權(quán)環(huán)節(jié)

未執(zhí)行合理、有效的業(yè)務(wù)處理環(huán)節(jié)授權(quán)管理，影響數(shù)據(jù)確性、保密性，并可能導(dǎo)致舞弊行為出現(xiàn)，進(jìn)而造成企業(yè)損失。該環(huán)節(jié)面臨非授權(quán)訪問、修改系統(tǒng)信息的風(fēng)險(xiǎn)、同時(shí)擁有同一業(yè)務(wù)鏈條上的多個(gè)權(quán)限，且利用這些權(quán)限可進(jìn)行舞弊等多種風(fēng)險(xiǎn)。

對上述環(huán)節(jié)識別出的信息系統(tǒng)相關(guān)風(fēng)險(xiǎn)，根據(jù)風(fēng)險(xiǎn)評估標(biāo)準(zhǔn)，從風(fēng)險(xiǎn)發(fā)生可能性和影響程度兩個(gè)維度進(jìn)行分析，確定風(fēng)險(xiǎn)的重要性水平。對于風(fēng)險(xiǎn)評估結(jié)果為中高的風(fēng)險(xiǎn)，其對應(yīng)業(yè)務(wù)流程為也確認(rèn)為重要或一般流程，需要進(jìn)行控制設(shè)計(jì)；對于風(fēng)險(xiǎn)評估結(jié)果為低的風(fēng)險(xiǎn)，不進(jìn)行應(yīng)用控制設(shè)計(jì)，僅根據(jù)系統(tǒng)設(shè)計(jì)（藍(lán)圖）完善相應(yīng)業(yè)務(wù)流程。endprint

4控制設(shè)計(jì)

根據(jù)風(fēng)險(xiǎn)評估結(jié)果開展控制設(shè)計(jì)，通過系統(tǒng)跟單測試確認(rèn)控制措施的可行性，整理形成系統(tǒng)風(fēng)險(xiǎn)控制文檔。

4.1輸入環(huán)節(jié)控制設(shè)計(jì)

當(dāng)采用手工輸入方式，一般采取獨(dú)立于信息錄入人員的崗位依據(jù)原始單據(jù)對系統(tǒng)錄入信息進(jìn)行復(fù)核，并簽字確認(rèn)的控制措施，其為依賴于系統(tǒng)的手工控制。該控制措施廣泛應(yīng)用于系統(tǒng)錄入環(huán)節(jié)。當(dāng)采用系統(tǒng)接口從其他系統(tǒng)自動(dòng)讀取的方式進(jìn)行信息錄入時(shí)，需要重點(diǎn)關(guān)注系統(tǒng)間數(shù)據(jù)映射表維護(hù)的準(zhǔn)確性，該環(huán)節(jié)主要采取的控制方式為固有控制、自動(dòng)控制、職責(zé)分離控制以及訪問控制。對于系統(tǒng)接口應(yīng)單獨(dú)進(jìn)行控制設(shè)計(jì)，具體應(yīng)涵蓋自動(dòng)控制、依賴系統(tǒng)的手工控制、職責(zé)分離控制、訪問控制五個(gè)方面。在不同的業(yè)務(wù)場景下，控制措施應(yīng)該根據(jù)實(shí)務(wù)進(jìn)行細(xì)化。

4.2處理環(huán)節(jié)控制設(shè)計(jì)

處理環(huán)節(jié)較輸入環(huán)節(jié)更為復(fù)雜，其隨不同的系統(tǒng)和業(yè)務(wù)而由較太差異?？刂品绞脚c輸入環(huán)節(jié)的設(shè)計(jì)在原理上是一致的，但是處理環(huán)節(jié)需要考慮信息系統(tǒng)上線以后，業(yè)務(wù)處理發(fā)生了變化，其控制措施如何更改的情況。新上線系統(tǒng)的控制設(shè)計(jì)應(yīng)建立在原有流程和控制的基礎(chǔ)上，對系統(tǒng)上線對業(yè)務(wù)流程和控制的影響進(jìn)行分析，最終形成整合后的系統(tǒng)控制文檔。

4.3輸出環(huán)節(jié)控制設(shè)計(jì)

輸出環(huán)節(jié)控制一般依賴于系統(tǒng)的固有控制，不單獨(dú)進(jìn)行控制設(shè)計(jì)，在此不做詳細(xì)的介紹。

4.4系統(tǒng)處理與授權(quán)環(huán)節(jié)控制設(shè)計(jì)

系統(tǒng)處理與授權(quán)環(huán)節(jié)的控制即信息系統(tǒng)的權(quán)限管理，在實(shí)際應(yīng)用中，權(quán)限一般分為關(guān)鍵權(quán)限和非關(guān)鍵權(quán)限，權(quán)限管理主要集中在關(guān)鍵權(quán)限。

信息系統(tǒng)權(quán)限控制設(shè)計(jì)及管理因遵循以下原則：需求導(dǎo)向及最小授權(quán)原則，未明確允許即禁止，職責(zé)分離原則。

需求導(dǎo)向及最小授權(quán)原則：對于用戶的權(quán)限，應(yīng)當(dāng)以其實(shí)際工作需求為依據(jù)，且僅應(yīng)當(dāng)授予能夠完成其工作任務(wù)的最小權(quán)限。

未明確允許即禁止：除非用戶有對于權(quán)限的需求得到了相關(guān)領(lǐng)導(dǎo)的明確批準(zhǔn)，否則不應(yīng)當(dāng)授予任何權(quán)限。

職責(zé)分離原則：對于同一組不相容權(quán)限，任何用戶不能同時(shí)具有兩種（或兩種以上）的權(quán)限。

在對系統(tǒng)處理授權(quán)環(huán)節(jié)進(jìn)行控制設(shè)計(jì)時(shí)，應(yīng)首先了解該信息系統(tǒng)權(quán)限的設(shè)計(jì)及分配情況，不同的信息系統(tǒng)在權(quán)限設(shè)置和管理上可能會(huì)形成基于用戶、角色、任務(wù)的不同分類。

權(quán)限管理由訪問控制和職責(zé)分離兩個(gè)方面的內(nèi)容組成：

訪問控制：是指用戶能夠訪問哪些應(yīng)用系統(tǒng)內(nèi)的資源或執(zhí)行哪些任務(wù)（或功能）的范圍，從控制的角度考慮在系統(tǒng)中所擁有的功能權(quán)限和數(shù)據(jù)權(quán)限是否超出了其工作需要。訪問控制包括三個(gè)要素：主體、客體和控制策略。

主體（Subject）是指提出訪問資源具體請求。是某一操作動(dòng)作的發(fā)起者，但不一定是動(dòng)作的執(zhí)行者，可能是某一用戶，也可以是用戶啟動(dòng)的進(jìn)程、服務(wù)和設(shè)備等。

客體（Object）是指被訪問資源的實(shí)體。所有可以被操作的信息、資源、對象都可以是客體。客體可以是信息、文件、記錄等集合體，也可以是網(wǎng)絡(luò)上硬件設(shè)施、無限通信中的終端，甚至可以包含另外一個(gè)客體。

控制策略（Attribution）是主體對客體的相關(guān)訪問規(guī)則集合，即屬性集合。訪問策略體現(xiàn)了一種授權(quán)行為，也是客體對主體某些操作行為的默認(rèn)。

職責(zé)分離：職責(zé)分離是把一個(gè)業(yè)務(wù)（子）流程的工作內(nèi)容分為幾個(gè)職責(zé)不相容的部分并由不同的人來完成，職責(zé)分離的兩個(gè)基本設(shè)想為：兩個(gè)或以上的人或部門無意識地犯同樣錯(cuò)誤的概率很?。粌蓚€(gè)或以上的人或部門有意識地合伙舞弊的可能性大大低于單獨(dú)一個(gè)人或部門舞弊的可能性。

職責(zé)分離是組織機(jī)構(gòu)安全運(yùn)作的必要條件，為了在計(jì)算信息系統(tǒng)中實(shí)現(xiàn)職責(zé)分離機(jī)制，首先需要在現(xiàn)實(shí)世界與計(jì)算機(jī)系統(tǒng)之間進(jìn)行良好的映射：現(xiàn)實(shí)領(lǐng)域中的工作人員映射為信息系統(tǒng)中的用戶，工作人員的工作職責(zé)映射為信息系統(tǒng)中用戶擁有的權(quán)限集，工作人員能執(zhí)行什么工作職責(zé)，用戶就執(zhí)行什么權(quán)限集。因此，在給用戶分配權(quán)限、用戶執(zhí)行權(quán)限時(shí)，就要注意需要分離的職責(zé)在信息系統(tǒng)中所映射的權(quán)限集的并集不能由同一個(gè)用戶同時(shí)擁有或執(zhí)行。

職責(zé)分離的實(shí)現(xiàn)可以從業(yè)務(wù)流程的維度和企業(yè)組織結(jié)構(gòu)的維度兩個(gè)緯度進(jìn)行展開。從業(yè)務(wù)流程的維度（橫向）出發(fā)，職責(zé)分離涉及的環(huán)節(jié)包括交易的發(fā)起、復(fù)核（或授權(quán)）、記錄、實(shí)物保管、稽核檢查、主文件維護(hù)、系統(tǒng)管理等多個(gè)方面。

從企業(yè)組織結(jié)構(gòu)的維度（縱向）出發(fā)，職責(zé)分離包括兩個(gè)方面：

（1）凡必須由企業(yè)組織結(jié)構(gòu)中不同的人完成的職責(zé)，也應(yīng)當(dāng)視為必須分離的職^

（2）上述權(quán)限除第一個(gè)層面為錄入權(quán)限外，其他均為審批權(quán)限，各個(gè)層級的審批關(guān)注點(diǎn)或?qū)徟痤~有所不同。否則，應(yīng)考慮管理權(quán)限下發(fā)，簡化業(yè)務(wù)流程冗余環(huán)節(jié)。

在實(shí)際業(yè)務(wù)中，往往因?yàn)閸徫辉O(shè)置、業(yè)務(wù)特殊性等原因而導(dǎo)致本應(yīng)互斥的關(guān)鍵權(quán)限無法拆分，在此種情況下，首先應(yīng)判斷是否可采取崗位交叉審核、管理權(quán)限上移等方式進(jìn)行調(diào)整，如無法調(diào)整的情況下，可允許其擁有相應(yīng)互斥權(quán)限，但需增加額外的控制措施（抽查、輪崗等）以降低同一人員同時(shí)擁有互斥權(quán)限而導(dǎo)致的舞弊風(fēng)險(xiǎn)。

為了保證系統(tǒng)權(quán)限分配滿足相關(guān)控制要求，需要定期進(jìn)行權(quán)限的測試檢查，對發(fā)現(xiàn)問題及時(shí)組織整改。

4.5形成系統(tǒng)控制文檔

對初步完成的控制設(shè)計(jì)還需要與信息、業(yè)務(wù)相關(guān)人員進(jìn)行確認(rèn)，同時(shí)對于系統(tǒng)測試需通過系統(tǒng)的跟單測試確認(rèn)控制設(shè)計(jì)的可行性和適用性。

在完成控制設(shè)計(jì)和確認(rèn)的基礎(chǔ)上，整理編寫相關(guān)工作文檔，主要包括：系統(tǒng)業(yè)務(wù)流程目錄、系統(tǒng)關(guān)鍵控制文檔（含配置清單）、系統(tǒng)權(quán)限控制文檔。

5控制執(zhí)行

通過測試檢查系統(tǒng)控制的執(zhí)行情況，驗(yàn)證系統(tǒng)設(shè)計(jì)的有效性，形成適用于普遍推廣應(yīng)用的控制設(shè)計(jì)文檔，并組織專項(xiàng)培訓(xùn)，確保系統(tǒng)控制的得到嚴(yán)格執(zhí)行。

一般來說，系統(tǒng)控制的執(zhí)行應(yīng)與系統(tǒng)上線同步開始，在系統(tǒng)運(yùn)行一個(gè)月后，具備測試檢查所需充足樣本量的前提下，開展控制執(zhí)行情況的測試檢查。

參考資料

[1] IT Governance Institute. C0BIT5.1.

[2] 財(cái)政部，證監(jiān)會(huì)，審計(jì)署，銀監(jiān)會(huì)，保監(jiān) 會(huì).企業(yè)內(nèi)部控制應(yīng)用指引.

[3] 中國石油天然氣集團(tuán)公司.信息系統(tǒng)內(nèi)部 控制設(shè)計(jì)原理及方法研究.

[4] Tuttle B，Vandervelde SD.An empirical examination of CobiT as an internal control framework for information technology. International Journal of Accounting Information Systems. 2007.endprint