应里孟,周海燕

(温州大学　城市学院,浙江　温州　325035)

信息系统内部关键控制点的识别与监控

应里孟,周海燕

(温州大学城市学院,浙江温州325035)

[摘要]关键控制是信息系统内部控制体系中需要识别和监控的重点,在识别关键控制时,需要充分考虑关键控制的特征,并运用自上而下和自下而上的方法进行识别。在针对关键控制监控时,需要区分IT固定部分的控制和IT可配置部分的控制。

[关键词]信息系统；内部控制；持续监控

[DOI]10.13939/j.cnki.zgsc.2016.10.132

1识别关键控制需要考虑的因素

1.1复杂性

需要专门技能或者培训的控制,通常更加容易失败。

1.2需要判断的程度

需要进行高度的判断的控制,这高度取决于进行判断者的经验和训练,而且通常是与有意义的风险相关的。

1.3手工控制与自动化控制

手工控制相对于自动化的控制而言,更加容易受到人工错误的影响,因此,通常相比于自动化的控制,会受到不同层次的监控(例如,在进行抽样的时候,它们可能会进行更加频繁的评价,或者采用更大的样本)。但是,当自动化的控制失败的时候,它们可能会在相同的情况下重复失败,因此,当它们针对有意义的风险的时候,需要对其进行一个恰当水平的监控。

1.4已知的控制失败

针对先前出现的控制失败,采取了能够应对该控制失败出现的原因有效的采取纠正行动,那么这就是一个需要增加监控活动的明显指标。

1.5相关人员的胜任能力或经验

在执行一个给定控制的时候,相关人员胜任能力或经验不充分,则可能增加控制失败的可能性。

1.6经理层潜在的越权可能性

控制可能被经理层越权,导致与组织目标背道而驰,这可能意味着需要引起具体的监控关注。

1.7控制失败检测的可能性

如果内部控制系统中的其他控制,能够在系统中出现的控制失败变得重要之前,将它们检测出来,那么可能减少了确定这个控制列为关键控制的需求。相反,如果可以合理地相信,一个控制失败可以变得重要,但目前并没有被检测出来,并得到及时的纠正,那么就增加了将该控制列为关键控制的需求。

2识别关键控制的方法

2.1自上而下法

该方法是从对某个定义好的领域或流程的一个非常高层的描述开始的。从最高层级开始,根据对有意义的风险集的定义来确定哪些地方的风险需被减缓,然后再向后追溯,直至所有相关的控制被识别出来。在必要的时候,还要对那些风险如何表现出来,或者这些风险如何被控制尚不清楚的领域进行更加详细的分析。

2.2自下而上法

该方法是从对一个领域或流程的高层描述开始,然后对该领域的详细的流程和交易进行记录。通过这些信息,就可以确定风险可以出现的具体位置,以及对具体的风险是如何进行控制的。

无论使用何种方法,对关键控制的识别可以通过考虑那些可能增加信息系统内部控制系统潜在管理失败的风险的控制来实现。

3对关键控制的监控

3.1对IT固定部分的控制进行持续监控

IT固定部分的控制是由软件厂商设计并构建在系统中的,或者在系统自开发的情况下,由软件开发团队所开发的系统。因此,它们不容易在系统实施之后进行修改。这些控制通常是采用硬编码的方式嵌入信息系统之中的。

首先,应对IT固定部分的控制进行测试,并建立一个持续监控标准。由于IT固定部分的控制是针对那些用于标准应用系统配置的文件、表格、流程、报告和数据。它们通常是在系统实施阶段进行测试的,这种测试的结果可以用作持续监控的标准,还可作为后续控制测试的参照。如果是在信息系统实施之后才着手实施持续监控,那么就需要针对每个关键控制进行测试,形成持续监控标准。此类持续监控标准具有相对稳定性,由于它能以定量的形式存在,所以最易于进行持续监控。不过,由于此类数据事关信息系统的安全,所以需要建立起一套系统变更管理流程,而且该流程也需要进行持续监控。针对该系统变更的持续监控可以提供对IT固定部分的控制持续有效发挥作用提供认证。这种持续监控可以确保只有经过授权的人员才可以对该系统做出变更；所有的变更都必须经过批准、测试,并且被系统所有者采纳；可能受到变更影响的控制持续有效地发挥作用。每隔一定的周期,可能需要进行专项评价,这取决于系统变更和风险评估的频率。

其次,对IT固定部分的控制进行持续监控。对IT固定部分的控制的持续监控很大程度上依赖于软件开发和实施,以及变更管理的控制。对IT固定部分的控制的持续监控,是在实施对变更管理流程的持续监控之后才实施的。自动化的变更管理工具和设施可以用于识别所有的系统变更。所识别出来的变更然后与变更请求和批准日志相比较,以确定该变更管理流程得到了遵循,控制也没有受到规避。该流程中的例外情况会被持续监控系统标记出来,以供相关人员进行评价和采取后续行动。

3.2对IT可配置部分的控制进行持续监控

IT可配置部分的控制是指能够让用户对构建在信息系统或者流程中的控制进行更新、变更,或者对使该控制运行生效或失效,而不需要对程序进行修改的控制。IT可配置部分的控制设置通常是包含在一个可配置的表格中。许多财务、制造和基础系统都是使用可配置的表格,让应用系统的用户能够根据他们的具体需求对信息系统进行个性化定制。IT可配置部分的设置也可能允许用户对信息系统中内嵌的工作流功能整体上生效或者失效进行设置。

首先,对IT可配置部分的控制进行测试,来建立一个持续监控标准。IT固定部分的控制和IT可配置部分的控制之间的关键差异在于,前者是设计好的,这样在系统实施之后,就不能对它们作出修改；后者却很容易根据不同企业的特定需求进行定制(不需要对系统进行变更)。这可以给信息系统提供足够的柔性,让同一个系统能够适应不同部门,甚至是在不同国家、不同行业运行的分公司。在信息系统开发和实施的时候,可以预先建立起一部分IT可配置部分的控制的持续监控标准。若在信息系统投入运行之后再行设定持续监控标准,则需要对这些关键控制的配置及其设计和运行进行一次专项评价。

其次,对关键的IT可配置部分的控制进行持续监控。适用于对IT可配置部分的控制的持续监控工具和技术包括：对IT固定部分的控制进行监控的工具和技术进行拓展,使之能用于对IT可配置部分的控制的持续监控；生成一个关于当前可配置设计的报告,并采集经理层对这些设置的批准和更新的电子化的日志文件；周期性地将当前的配置与先前扫描的结果进行比较。其中出现的任何的变化都需要进行复核,来决定该变更管理流程是否得到了遵守。

4对关键控制实施持续监控需要考虑的因素

持续监控目的是帮助确保控制是根据期望来运行,通常是由经理层参照由内部审计师所开展持续审计来执行的。下列属性将帮助制定和实施一个成功的持续监控项目：业务流程所有者提供的良好支持；IT管理部门的充分支持；一个对该监控项目的范围和目标的良好定义；选择用于监控的业务流程或者IT流程中的恰当的数据特征；用于持续监控流程的直接信息和间接信息的恰当性；识别恰当的软件报告工具,用于这个所选择的处理环境；项目团队成员拥有使用所选择的工具的知识。

参考文献:

[1]阳杰,庄明来.内部控制持续监控系统研究的理论框架[J].江西社会科学,2012(5):232-235.

[2]阳杰,应里孟,周海燕.论内部控制持续监控系统的功能结构[J].财会月刊,2013(23)：94-95.

[基金项目]本文系教育部人文社会科学研究青年基金项目“内部控制信息化对外部审计绩效的影响及其机理研究”(项目编号：14YJC790148),浙江省哲学社会科学重点研究基地(浙江省信息化与经济社会发展研究中心)课题“浙江数字化审计质量管控机制研究”(项目编号：14JDXX01YB)的阶段性研究成果。