当前位置:首页->交流->实务
信息化环境下内部审计如何开展风险评估与控制
2009-01-08 16:50:21

“信息化环境下的内部审计”专题:

信息化环境下内部审计如何开展风险评估与控制

刘心远
中远(香港)集团有限公司
 
 
    随着时代的进步,信息技术的发展,企业在日常经营及管理过程中,大量的使用信息技术为企业提供数据处理、数据保存、协助管理层进行商业决定,同时也提高了工作的效率。在有别于过往传统的经营管理模式及环境下,企业的风险类别及风险程度也有所不同。因此在信息环境下内部审计所开展的风险评估和其针对性的风险控制技巧也有了“质”的变化。在了解风险评估及风险控制前,必须清楚什么叫信息化环境?有什么特点及特色?对内审的评审有什么影响?
 
一、信息化环境的产生
 
    在信息技术未曾普遍之前,企业主要是通过文字、音像来记录企业所有的活动,因此效率较低及边际成本较高。经过信息化处理后,所有数据通过电子信号的形式进行运算,操作及储存,通过网络进行全球化的数据交换及流通,大大提高了工作的效率。但同时也在信息环境下产生了新的、独特的风险。而产生的原因是在信息系统之下,1)所有的数据是在封闭的环境下进行操作,人为的操作主要是在输入数据,设定输出所需的数据及格式,而中间计算、换算及数据编辑的过程则由系统自行进行,因此对其中间运算过程较难进行核对及核实,存在风险。2) 信息系统是靠数据及通过网络进行操作及传送,存在其自身的脆弱性,较为容易感染病毒、受到侵害、攻击,以及软件、硬件、网络等方面出现的错误等等风险。3) 由于信息的环境属于开放式的,因此在此会存在漏洞,从而使企业面临资产的毁损、资产被盗、信息及信息系统的破坏、信息系统的崩溃等风险。整体来说,在信息化环境下的固有风险较过往有较大的增加。
 
二、信息化环境下的风险介绍及评估
 
    风险是指因事件的发生导致安全事件的发生及其对组织造成的影响。在信息环境下所衍生的,有独特性的风险主要有5种:
1) 计算器操作风险
2) 数据管理系统风险
3) 新系统开发和维护风险
4) 电子商务风险
5) 计算器应用风险
    对于上述5种信息化环境下所衍生的风险,下文中会逐一介绍:
 
    1) 计算器操作风险。主要是指与计算器操作所产生的风险,其中包括数据的不同处理方式、计算器中心的风险及控制、网络和大型通用机的多用户的操作系统、操作系统的控制及个人计算器的使用。数据的处理方式主要有集中式数据处理和分布式数据处理。集中式数据处理是由中心机房的一台或多台大型计算器上执行,为企业内所有用户提供服务。而其风险在于不兼容的岗位职能有效分离,如系统开发和系统操作的职能未能有效分离,最终会导致掌握应用程序逻辑的人和控制原始代码的人可以在运行过程中对系统进行非授权变更,对企业造成损失。而这些变更可以是临时的,当运行终止时,会不留下任何痕迹。如将系统开发的职能分成系统分析和应用编程,其风险为程序舞弊,当系统原设计人员同时具有单独行使维护职责时,可以将未经授权的代码隐藏其中而不被发现。而分布式数据处理是将计算器服务分解成若干小单元并由用户处理输入、输出及数据管理及转换,其风险是资源的无效使用,审计轨迹的破坏、职责不当分离、程序错误及系统故障可能性的增加等风险。
    计算器中心的风险是指当灾难发生时会导致组织失去数据处理设备及其功能,导致企业失去营运能力和丢失重要数据的风险。尽管灾难发生的机率较低,但是所造成的后果极其严重。除了环境及自然因子外,对于访问的人员也存在数据被盗、被破坏的风险。灾难恢复计划的有效性及可操作性存在风险;操作系统是计算器的控制程序,使用户及应用程序可以共享和访问共同的计算器资源,其风险在于操作系统的完整性遭到破坏,其安全性受到影响,导致操作系统无法正常解读用户的要求,完成用户的指令。
    个人计算器系统是由最终用户进行控制及操作,通常使用交互式数据处理,一般通过使用商业应用软件输入输据,加载主机或网络服务器以备进一步处理,从主机或网络服务器下载数据进行本地处理,允许用户开发、上载或下载自己的软件。因为个人计算器主要由最终用户进行操作,因此其风险在对于最终用户缺乏有效控制,不当的上载/下载较容易使个人计算器系统遭到破坏,从而甚至影响主机或服务器。另个人计算器的较易暴露在非法访问、篡改或破获的风险下,一旦受到非授权用户的侵入,将无法阻止对方窃取,篡改储存在内部硬盘上的数据。
 
    2) 数据管理系统风险。数据管理方法分为平面文件模型和数据库模型。平面文件模型为传统模型,其特点是单个文件之间互不关联,用户只能占有自己的文件而不与其它用户进行共享。数据库模型则是将公司的数据集中在统一的数据库中,所有用户可以通过访问数据以达到其目的。
平面文件模型的文件由于是个用户自己创造及占有,因此其风险是当用户的需求发生变化时,用户无法获得额外的信息,存在较强的任务-数据依赖性。用户的信息收制于用户拥有和控制的数据。
数据库模型为了保持数据的整合和共享,数据库必须保持在线并且对所有用户开放,因此其风险在于数据会因非授权的侵入者和超越访问权限的授权用户的进入而导致数据残缺、被盗、误用及破坏。同时数据的备份也面临着遭遇非授权的侵入者和超越访问权限的授权用户的恶意破坏、硬件故障、程序错误、火灾、水灾及地震所造成的数据毁坏风险。
 
    3) 新系统开发和维护风险。新系统的开发其最终目的是使企业能提升对客户的快速反应能力,满足用户导向的需求,提高生产力,消除库存及无附加值的活动,改善客户服务和管理决策及协调公司内部活动。而新系统的开发通常照SDLC系统开发生命周期的模式进行。由于系统开发生命周期由7个步骤完成,因此在每个步骤都存在相应的风险:
  • 系统规划阶段。风险在于如何将个别的系统项目或应用程序与企业的战略目标保持一致。由于系统规划阶段涉及企业管理层及各部门管理人员的参与,而各人又代表自身的利益进行规划,在目标及资源分配上较易产生冲突。
  • 系统分析阶段。重点在于对当前系统的调查及分析用户需求。风险在于系统分析人员较容易陷入对现有庞大系统的分析中而不能自拔。
  • 概念设计阶段。重点在于提出若干满足系统需求的概念系统以供用户选择。风险在于系统人员对新系统造成先入为主的限制,导致最终的选择不是最好的选择。
  • 评估和选择阶段。重点是进行确定最佳系统的优化过程。由于在这阶段系统由大量的不确定性,因此风险是决策的准确性。因决策的错误所带来对企业的伤害是致命的。
  • 详细设计阶段。重点是通过对拟开发系统进行详细的说明,满足系统分析时明确的系统需求,同时也和概念设计保持一致。风险在于完成详细设计并进行测试时,未曾发觉设计中的错误、遗留和模糊点,导致日后系统正式运行时产生错误。
  • 系统实施阶段。重点是通过建立数据结构,导入数据,对应用程序进行编码和测试,购买安装设备,培训雇员,整理系统文文件并安装新系统。风险是在实际过程未能按要求、预算及时间建立系统,从而影响企业的经营,并需要承担额外的成本。
  • 系统维护阶段。重点是修改系统,使之适应用户需求的变化。由于维护会占用企业较多的资源,其成本费用也较高,一些较大的修改所形成的财务费用较其原始成本大几倍。风险是对于维修的控制是否有效。对于未经控制的程序修改会因程序错误而增加企业财务误报的风险。而有些细微的程序错误会引起错误信息的产生和散发而不被发现。造成系统故障,破坏数据处理甚至导致运行停止。
    4) 电子商务系统风险。电子商务系统主要涉及数据的电子处理及传送,其中包括电子交易、电子资金转帐、电子数据交换(EDI)、局域网、公共网及互联网的服务。其潜在风险主要是未授权访问和设备故障。未授权访问会导致企业的信息被截取,企业的数据及系统受到攻击。而设备故障则会造成数据混乱,引起数据和程序的丢失。
 
    5) 计算器应用风险。计算器应用主要是指在应用控制测试和数据导出过程中使用计算器辅助审计工具和技术的问题。在应用控制方面分为输入控制、处理控制及输出控制,而风险各有不同。
  • 输入控制主要是指数据采集部份负责将数据输入到系统中进行处理,通过控制保证这些交易是合法的、准确的和完整的。由于需要人工输入,因此存在输入数据错漏的风险。
  • 处理控制是指数据从一个程序到另一个程序,通过控制确保系统每一个运行都完整而正确地对批数据进行了处理。风险在于在系统处理过程中产生记录丢失、未有处理及处理多次的风险。
  • 输出控制是指系统输出的管理问题。其风险在于输出数据的丢失、误导、破坏。而这些暴露会会导致对操作系统的严重干扰,企业的隐私权被侵犯,包装商业机密、专利技术等等,为企业带来损失。
三、内部审计如何控制风险
 
    在了解信息环境下的风险种类及进行评估后,内部审计如何针对这些风险进行控制将会是首要的任务。
 
1) 计算器操作风险的控制。
  • 严格执行不兼容职能的分离,将系统开发和系统操作分开;将数据库管理和其它计算器中心职能分开;维持最少二人维护的原则;
  • 定期对计算器中心的物理环境进行常规检查,确保地理位置,周遭环境都不存在潜在危险;对于公用设备、通信器材都应有较好的隐蔽性及保护性;人员的访问要有限制并做好记录;
  • 根据企业的要求,做好切实可行的灾难恢复计划并进行测试,定期对企业的数据进行备份并储存于第二现场;
  • 对操作系统,做好登录程序,建立访问标识,对系统资源的访问通知访问控制列表进行控制,设定访问权限;
  • 对于抵抗病毒等破坏性程序,企业应推广使用正版软件,更新时必须经过病毒扫瞄程序,杜绝员工随意从网上下载程序,进立企业的防火墙,限制用户权限尽在从服务器下载、只读及执行三方面,禁止员工直接在服务器上进行更新及写入的权力;
2) 数据管理系统风险的控制。主要通过访问控制和备份控制。
  • 建立用户模式、数据库权限表、用户定义等程序来限制用户的对数据的访问;
  • 将数据加密,加强保护;
  • 通过生物特征测定装置以控制用户的登录;
  • 做好直接存取备份、批次存取备份工作;
  • 建立交易记录、检查点、恢复模快以备系统发生故障后的及时恢复。
3) 新系统开发及维护风险的控制。通过对开发和维护的控制,能有效的确保新系统能符合企业的要求。
  • 在系统规划阶段成立指导委员会,其中包括内部审计师,解决新系统引发的冲突、审查项目的优先权、进行资金预算、检查开发过程中各项目的进展情况及在检查点进行决策;
  • 在系统分析阶段内部审计师在参与分析的过程中确定现有系统中审计模块的有效程度;
  • 在概念设计阶段内部审计师须决定系统的可审计性及其设计特征,对于一些特殊的审计功能必须在此阶段予以详细说明;
  • 在评估与选则阶段内部审计师津可能关注建议系统的可行性,明确其可节省成本情况、使用合理的利率进行现金流的现值计算等;
  • 在详细设计阶段内部审计师应提供专业的技术知识、规定文文件标准及检验控制的适当性;
  • 在系统维护阶段内部审计师应加强对于维护活动授权的控制,确保所有维护活动都是在正式授权下进行的。
4) 对于电子商务系统的风险,企业可以通过
  • 建立防火墙、数据加密、预设信息序列编号、信息登陆日记等方法控制未授权访问的风险;
  • 响应检查和奇偶校验的方法来防至数据传送中出现丢失的风险;
5) 在计算器应用方面,从三方面进行风险控制,
  • 在输入控制方面,通过加强对原始凭证控制、数据编码控制、批控制、校验控制、输入错误更正和通用数据输入系统来控制输入风险;
  • 在处理控制方面,通过计算控制总数并核对系统处理记录的总数、将数据处理中的每一条记录的交易代码和控制记录中的交易代码相比较、将数据中每一条记录的序号和前一条记录相比较、形成自动交易列表及将错误列表进行控制。
  • 在输出方面,控制打印程序、对敏感数据的校对、核实、报告分发进行授权控制、对于输出废页的处理、以及对于打印输出在待打印状态的控制。
四、总结
 
    在信息环境下,内部审计所面临的风险较传统的风险,无论在性质上、种类上、数量上有很大的区别,这不仅仅要求内部审计工作者具备财务及营运上的专业知识,更需要内部审计工作者增加、增强信息环境、信息处理等方面的概念及知识,才能更好的、更有效的在信息环境下发挥内部审计的作用,为企业的长远发展作好风险的评估及控制。