解读《企业内部控制应用指引第18号-信息系统》.docVIP

信息系统内部控制：过程控制和环境控制的结合—解读《企业内部控制应用指引第18号—信息系统》 信息系统生成与经营和财务有关的信息报告，是集系统、信息和控制于一体的一种应用。由于所有信息都是数据经过输入、处理、输出形成的，因此对信息的任何控制都是对数据输入、处理、输出的控制。本文结合财政部等五部委出台的企业内部控制基本规范和《内部控制应用指引第18号—信息系统》，将信息系统内部控制按与输入、处理、输出的关系分为终端用户控制、信息处理控制、持续运行控制、硬件保护控制四项内容。其中，终端用户控制和信息处理控制是信息系统的实体内容，共同构成数据输入、处理和输出的过程控制，前者是对人的控制，后者是对系统的控制；持续运行控制和硬件保护控制是信息系统运行的必备支撑，共同构成系统运行的环境控制，前者是对软环境的控制，后者是对硬环境的控制。 ? 一、终端用户控制 （一）授权使用制度 企业应当根据业务性质、重要性程度、涉密情况等因素确定信息系统的安全等级，建立不同等级信息的授权使用制度。一般来说，企业应通过建立权限控制矩阵来指定信息用户所能执行的功能，即控制终端用户的范围及其可执行的操作。有些用户只能查询有关数据，有些用户则有权查询和修改数据，而另一些用户甚至还可以修改程序。 在企业整体的权限调整、新终端用户的人员增设、原终端用户的权限修改和岗位调离等情况下需要进行权限变更，但必须经过以下步骤：首先，由终端用户填写权限申请表，陈述理由和要求；部门负责人根据终端用户的工作性质决定审核结果；主管领导根据部门职能和部门负责人的意见决定审核结果；最后，由系统维护人员根据审核意见修改权限控制矩阵的内容。为确保权限授予的准确、高效和有据可查，在维护之前，系统维护人员应与终端用户和部门负责人确认；维护完毕后，应尽快通知相应终端用户、部门负责人和单位主管领导，并将维护日志与授权申请书归档备查。 （二）用户管理制度 1.用户访问控制。终端用户的访问控制有系统的访问控制和系统程序及数据的访问控制两种方式。系统访问控制用来防止终端用户非法进入系统。企业应通过密码识别、生物识别、数字签名、个人标识号、身份卡及终端标识码等技术防止非法终端通过信息线路访问系统，并采取关闭终端、失败后没收ATM卡等措施限制非法用户尝试访问系统的次数。系统程序及数据访问控制用来防止终端用户不经授权修改程序和数据。企业可将关键程序及数据存储在非法入侵者无法接近的信息系统库，或在存储和传输过程中采用加密技术来保护敏感数据；同时，在销毁机密数据时须谨慎行事，应采用碎纸机等方式彻底销毁数据。 2.职责分离控制。企业应尽可能实现以下职能的分离：①系统分析：系统分析员分析用户的信息需求，并据此制定设计或修改程序的方案；②编程：程序员编写程序来执行系统分析员的设计和修改方案；③计算机操作：操作员负责运行并监控应用程序；④数据库管理：数据库管理员综合分析和设计过程中的数据需求，维护数据资源；⑤信息系统库管理：信息系统库管理员在单独的信息系统库中存储暂时不用的程序和文件，并保留所有版本的数据和程序；⑥数据控制：数据控制小组负责维护计算机路径代码的注册、确保原始数据经过正确授权、监控信息系统工作流程、与系统维护人员并行安全控制、协调输入和输出、将输入的错误数据反馈到输入部门并跟踪监控其纠正过程、将输出信息分发给经过授权的用户；⑦终端：终端用户记录交易内容，授权处理数据，并使用系统输出的结果。 在信息系统中，最关键的职责分离是程序开发与其他职能的分离。由于系统分析员、计算机程序员、数据库管理员和系统信息库管理员了解程序和数据的细节，因此一旦应用测试完成并交给操作部门后，就不得再进入系统访问程序或数据库；同样，计算机操作员也无权了解程序逻辑和数据库结构的细节。企业应在操作人员之间轮换岗位，以避免同一个操作员总是负责同一个应用程序的运行；同时，只要有可能，不管是批处理还是实时处理，应用程序运行时应有两名合格的操作员值班。此外，数据控制小组从控制观点出发监控计算机操作员工作，故应确保数据控制小组在组织上与计算机操作部门相互独立。 ? 二、信息处理控制 （一）系统开发控制 1.规则内嵌制度。企业可通过调试所购通用系统或者直接自行设计的方式来构建信息系统，但无论采用何种形式，均应充分考虑业务和信息的集成性，并将相应的处理规则嵌入到系统中。AICPA（美国注册会计师协会）担保服务特别委员会指出：“会计师必须摒弃原来那种‘错误—检查—纠正’的模式，转到通过设计而保证可靠性的模式上来，这样，信息系统才能为决策者提供连续可靠的信息”。会计人员选择介入信息系统设计的时机和程度是非常重要的。在信息技术开发完毕后再指出不足，其价值有限，如果能够在应用安装之前将有用的控制嵌入，则意义就会大不相同。预防风险应当比检查并纠正错误和舞弊更重要，防