信息系统的一般控制和应用控制分析
【摘要】文章在借鉴国内外学者观点的基础上,从信息系统生命周期和信息处理流程的角度,提出了对信息系统一般控制和应用控制的概念、重要风险以及关键控制活动的认识和应采取的措施。

【关键词】内部控制; 信息系统; 一般控制; 应用控制
一、信息系统的一般控制
(一)概念定义
对于信息系统的一般控制,存在着不同的理解。

国内有学者认为:信息系统一般控制是应用于一个单位信息系统全部或较大范围的内部控制,其基本目标为保证数据安全、保护计算机应用程序、防止系统被非法侵入、保证在意外中断情况下的继续运行等。

有效的一般控制是保证应用控制有效的一个重要因素,它提供应用系统运行和应用控制实施的环境。

如果一般控制薄弱,将会严重地削弱相关的具体应用控制的可靠性。

《日本内部控制评价与审计准则》在基本沿袭COSO报告框架的同时,结合日本实际情况,在COSO报告三个目标和五项基本要素的基础上各增加一项,规定为四个目标和六项基本要素。

其第六项基本要素为“信息技术的应对”,并把对信息技术的控制活动分为信息技术相关的全面控制和业务处理控制。

《日本内部控制评价与审计准则》认为:信息技术相关的全面控制,意味着为保证业务处理控制有效运行的环境而进行的控制活动,通常是指与多项业务处理控制相关的政策和手续。

信息技术相关的全面控制,通常是以支持业务管理系统的信息技术基础(硬件、软件、网络等)作为单位构建的。

综合借鉴国内外学者的意见,笔者认为:信息系统的一般控制是指为保证各信息系统有效执行业务处理控制而对信息系统开发和应用环境进行的控制活动。

包括职责分工与授权审批,信息系统开发、运行维护与变更控制,信息安全、硬件管理等,它作用于所有的信息系统。

(二)重要风险
在分析信息系统一般控制面临的风险时,可以从信息系统生命周期的角度分析信息系统开发和应用环境需要关注的重要风险。

信息系统的生命周期大致可分为战略规划、计划、设计和开发、运行维护几个阶段,企业应该在对各阶段面临的风险进行风险评估的基础上,建立关键的信息系统和数据清单,确定其所有人和负责人,对其实施信息系统一般控制。

战略规划和计划阶段对应于COBIT框架中的策划和组织过程域;设计和开发
阶段对应于COBIT框架中的获取与实施过程域;运行维护阶段对应于COBIT框架中的交付与支持过程域。

COBIT框架中的监控与评价过程域所关注的风险和控制活动,贯穿于信息系统的生命周期。

在战略规划阶段,重要风险是由于缺乏信息战略规划或战略规划不当,导致信息战略规划与业务战略规划不匹配,容易出现信息系统重复建设、信息孤岛等问题,信息系统不能经济有效地支撑业务发展,影响企业目标的实现。

在计划阶段,重要风险是缺乏具体计划或者计划不合理,导致信息战略规划不能有效落实。

在设计和开发阶段,重要风险是没有有效实现业务处理和业务控制要求,出现汇总、排序、应计、待摊等计算错误,程序算法不够优化、系统响应时间和吞吐量达不到要求,处理环节间的钩稽验证机制缺失等问题,导致信息系统不能有效支持业务开展,不能有效预防和发现错误和舞弊。

在运行和维护阶段,重要风险包括信息安全风险、信息系统服务质量风险、信息系统的可持续性风险。

信息安全风险主要是由于身份管理、用户账号管理、密钥管理、恶意软件的检测和纠正、网络传输安全、数据存储安全等方面缺乏有效控制而导致信息的真实完整、安全保密无法有效保证,恶意用户非法操作和舞弊;信息系统服务质量风险主要是由于系统性能、容量不能适应业务发展,或者用户培训不够,导致IT服务交付的质量级别不符合业务需要;信息系统的可持续性风险主要由于缺乏容灾和应急措施而导致信息系统的持续运行能力缺乏保障。

(三)关键控制活动
1.不相容职责定义
在定义不相容职责时,从信息系统生命周期的角度,不仅要考虑不同阶段之间的不相容职责,也要考虑同一阶段内的不同职责。

主要有以下不相容职责。

系统开发与验收测试是不相容职责。

系统开发主要是IT服务部门的工作职责;而验收测试则是检验系统是否满足用户需求的测试,要验证用户需求是否得到满足,就只能由用户部门执行测试。

系统开发与验收测试不相容,体现了IT服务部门和业务部门的职责分离。

数据管理和应用程序管理是不相容职责。

数据管理不局限于数据库管理,也包括excel文件之类的文档管理。

应用程序管理不局限于源代码和开发文档管理,也包括可执行程序版本的管理。

应用程序和数据是信息系统的核心,为保证数据的完整性和一致性,用户应尽量避免直接访问后台数据,而应通过应用程序提供的功能读写其访问权限内的数据。

如果同一岗位既能通过修改代码或者替换运行程序版本等方式调整应用程序运行,也能直接控制后台数据,就很容易在信息系统中舞弊而不被察觉。

系统管理职责和业务操作是不相容职责。

系统管理职责关注的是信息系统的性能调优、安全防护、运行监控等技术方面的工作,而业务操作职责关注的是利用信息系统的功能完成业务处理、辅助决策。

如果系统管理职责和业务操作职责合二为一,就可能发生系统管理员赋予自己极高的业务操作权限,发生不经业务管理者实际授权批准就自行执行非法业务操作、消除操作痕迹等舞弊行为。

开发职责和业务操作是不相容职责。

系统开发者熟悉系统内部细节,如果允许系统开发者操作信息系统处理业务,就可能发生系统开发者利用预设于系统中的后门执行非法业务操作的舞弊行为。

2.授权管理
为了实现有效的信息系统控制,需要建立并执行必要的组织机构、授权管理制度。

企业可以指定专门部门或岗位(以下统称归口部门)对信息系统实施归口管理,负责信息系统开发、运行维护和变更等工作。

用户部门应当根据本部门职能定位参与信息系统建设。

3.系统开发和应用过程控制
(1)信息系统开发阶段
信息系统开发阶段最大的风险就是没有规范、可行的开发流程管理制度,导致信息系统开发成本、质量、时间进度失控,因此有必要制定并不断修订完善开发流程管理制度。

虽然信息系统的开发方式有自行开发、外购调试、外包开发等多种方式,但基本流程都包含需求分析、设计、编程、测试、上线、评价与维护等环节。

在需求分析环节,重要风险是需求本身是否合理、需求文档表述是否准确、完整。

需求本身是否合理,是指对信息系统提出的功能、性能、安全性等方面的要求能否满足业务处理和控制的需要,技术上是否可行,经济上是否有益,法律规章方面是否合法合规。

用户部门应当对信息系统的功能、性能、安全性等提出明确需求,形成规范文档,建立并执行有效的需求评审制度。

在设计环节,重要风险是设计方案不能满足用户对系统的功能和性能需求。

因此,系统设计方应当就总体设计方案与用户部门进行沟通和讨论,说明方案对用户需求的响应情况。

如果存在多种设计方案,应当详细说明各方案在成本、建设时间和用户需求响应上的差异。

归口部门和用户部门应当对选定的设计方案予以书面确认。

在编程和测试环节,重要风险是编程与设计不符。

为了控制这方面的风险,需要加强测试工作。

信息系统上线前应当进行系统测试和用户验收测试,测试方应对测试结果予以书面确认。

在系统上线环节,重要风险是没有完整可行的上线计划导致人员培训不足、数据准备不合格,系统上线混乱无序,质量和进度无法保证。

因此,企业应当制定信息系统上线计划,并经归口部门和用户部门审核。

企业应当制定培训计划,对企业高管、业务操作人员、系统管理人员等进行培训。

如果信息系统上线涉及数据迁移,企业应当制定详细的数据迁移计划,并对迁移结果进行测试。

用户部门应当参与数据迁移过程,对迁移前、后的数据予以书面确认。