信息系統(tǒng)面臨的風(fēng)險(xiǎn)分析

　　內(nèi)控中曾指出，要以信息系統(tǒng)來(lái)輔助整內(nèi)控的執(zhí)行和落地，那么企業(yè)內(nèi)部控制信息系統(tǒng)的應(yīng)用主要來(lái)源哪些方面的推動(dòng)? 業(yè)內(nèi)著名的內(nèi)控專家曾指出：“企業(yè)內(nèi)部控制信息系統(tǒng)的應(yīng)用主要來(lái)自于兩方面力量的推動(dòng)。首先是外部需求特別是SOX法案頒布后加強(qiáng)企業(yè)內(nèi)控對(duì)外報(bào)告需求的推動(dòng)；其次是內(nèi)部需求特別是企業(yè)加強(qiáng)風(fēng)險(xiǎn)管理、提高內(nèi)控管理與整體流程管理水平需求的推動(dòng)。” 現(xiàn)階段，國(guó)內(nèi)現(xiàn)階段基于內(nèi)控背景下的信息系統(tǒng)不是很成熟，同時(shí)，因信息系統(tǒng)審計(jì)在國(guó)內(nèi)起步比較晚，造成信息系統(tǒng)中企業(yè)存在許多的不足。主要分為：

　　1、主觀不足

　　我們知道信息系統(tǒng)分按應(yīng)用來(lái)劃分分為兩種類型一種關(guān)注企業(yè)的生產(chǎn)如MES，PDM等， 另外一種如CRM等管理型的系統(tǒng)，信息系統(tǒng)最主要的功能是實(shí)現(xiàn)自動(dòng)化，幫助管理者提高企業(yè)的效率，因此在人員方面，是信息系統(tǒng)存在的主要風(fēng)險(xiǎn)。如從信息部門的角度來(lái)看，數(shù)據(jù)庫(kù)管理人員因操作把企業(yè)的數(shù)據(jù)丟失，企業(yè)CIO因失誤導(dǎo)致信息系統(tǒng)崩潰等等一系列的因素，造成信息系統(tǒng)存在主觀上的風(fēng)險(xiǎn)。內(nèi)控的的主要根本是風(fēng)險(xiǎn)管控，而風(fēng)險(xiǎn)管控又側(cè)重于人的管理，信息系統(tǒng)又起到管理監(jiān)督的重要工具， 因此，如果管理層于信息系統(tǒng)不是很重視，那么對(duì)于CIO來(lái)講做內(nèi)控將非常困難，同時(shí)，因人為的阻礙將使信息系統(tǒng)的利用率降到最低。

　　2、客觀不足

　　在企業(yè)中CIO購(gòu)買的軟件或者硬件，任何產(chǎn)品都有它的缺點(diǎn)，這就造成企業(yè)無(wú)時(shí)無(wú)刻的存在著來(lái)自于IT方面的風(fēng)險(xiǎn)，比如企業(yè)的ERP系統(tǒng)、OA系統(tǒng)，因?qū)τ诠芾砝斫獾牟煌S多的ERP開發(fā)者更多的體現(xiàn)只是為了完成軟件的的某種功能去開發(fā)， 而沒有完全去考慮軟件設(shè)計(jì)開發(fā)的結(jié)構(gòu)，這樣導(dǎo)致整個(gè)產(chǎn)品存在著設(shè)計(jì)上漏洞，使企業(yè)的核心數(shù)據(jù)遭受具大的損失。除了在軟件應(yīng)用層方面，其它涉及到硬件、網(wǎng)絡(luò)方面同樣也存在安合隱患。 這些客觀的風(fēng)險(xiǎn)必然要需要CIO及外部人員加強(qiáng)對(duì)于信息系統(tǒng)的審計(jì)。

　　內(nèi)控環(huán)境下加強(qiáng)信息系統(tǒng)審計(jì)的必要性

　　內(nèi)控是為了提升企業(yè)的管理、效益、控制企業(yè)風(fēng)險(xiǎn)的重要規(guī)范指引。很多的企業(yè)認(rèn)為，做內(nèi)控給企業(yè)增加了負(fù)擔(dān)、加大了企業(yè) 開支，從短期的利益來(lái)看，做內(nèi)控需要投入一定的成本，但是從長(zhǎng)期的角度來(lái)析做企業(yè)內(nèi)控是為了企業(yè)更有利更加健康的發(fā)展。換個(gè)角度來(lái)看， 如果沒有內(nèi)控美國(guó)的安然事件、中國(guó)的安然事件將會(huì)再次上演，對(duì)于整個(gè)發(fā)展環(huán)境也會(huì)形成惡劣的影響，使企業(yè)在未來(lái)的運(yùn)營(yíng)中不能一個(gè)穩(wěn)定、良好的環(huán)境。 企業(yè)做內(nèi)控是為了規(guī)范自己的風(fēng)險(xiǎn)管理，正如人的健康一樣。 如果“人”就是企業(yè)，那么內(nèi)控就是“醫(yī)生”，“醫(yī)生”是幫助“人”檢查身體， 而不是去謀害“人”， 而檢查身體的一個(gè)重要工具——就是信息系統(tǒng) 。“醫(yī)生”只有借助工具，才能更好的查出病因。

　　內(nèi)控信息化的真實(shí)性、可靠性， 保證信息的真實(shí)性可靠性是對(duì)信息系統(tǒng)內(nèi)部控制的質(zhì)量要求，信息系統(tǒng)是企業(yè)各種信息的載體，是信息循環(huán)運(yùn)轉(zhuǎn)的一個(gè)有機(jī)整體，離開這個(gè)系統(tǒng)，信息只是單個(gè)的符號(hào)，不能把信息所反映的真實(shí)內(nèi)容整體性地呈現(xiàn)在信息使用者的面前。只有把一個(gè)個(gè)的信息符號(hào)真實(shí)完整的放進(jìn)企業(yè)信息系統(tǒng)的這個(gè)循環(huán)環(huán)境，保證信息的連續(xù)性和可靠性，信息系統(tǒng)才有其存在的必要性。同樣以這樣的信息系統(tǒng)建立起來(lái)的信息系統(tǒng)內(nèi)部控制才能反過(guò)來(lái)控制信息的真實(shí)性和可靠性，才能為信息使用者所接受。

　　企業(yè)做內(nèi)控，如果沒有工具的支撐，首先在流程無(wú)法進(jìn)行優(yōu)化。內(nèi)控的一個(gè)重要指標(biāo)是對(duì)于企業(yè)不規(guī)范的流程變?yōu)閮?yōu)化的流程，但優(yōu)化流程的過(guò)程當(dāng)中需要信息系統(tǒng)來(lái)支撐，沒有信息系統(tǒng)，強(qiáng)大的流程得不到有效的監(jiān)督和管理，每走一步流程都很困難，甚至有可能要中斷。 因此，沒有信息系統(tǒng)的內(nèi)控在企業(yè)中很難做，同時(shí)也不符合內(nèi)控的規(guī)定。

　　CIO如何做好信息系統(tǒng)的審計(jì)

　　信息系統(tǒng)審計(jì)是一個(gè)通過(guò)收集和評(píng)價(jià)審計(jì)證據(jù)，對(duì)信息系統(tǒng)是否能夠保護(hù)資產(chǎn)的安全、維護(hù)數(shù)據(jù)的完整、使被審計(jì)單位的目標(biāo)得以有效地實(shí)現(xiàn)、使組織的資源得到高效地使用等方面作出判斷的過(guò)程。從該定義可以看出，其審計(jì)內(nèi)容及方法是通過(guò)對(duì)系統(tǒng)內(nèi)部控制的審計(jì)，來(lái)判斷和評(píng)價(jià)系統(tǒng)的安全性、完整性、效果和效率等方面。那么在內(nèi)控背景下CIO應(yīng)該如何做好基于內(nèi)控的信息系統(tǒng)呢？

　　1、明確信息系統(tǒng)的審計(jì)目標(biāo)

　　做內(nèi)控不是CIO一個(gè)人的事情，但信息系統(tǒng)的建設(shè)還需要CIO來(lái)落實(shí)，那么企業(yè)的CIO如何來(lái)做好信息系統(tǒng)的審計(jì)呢？在內(nèi)控的背景下一定要確定信息系統(tǒng)的審計(jì)目標(biāo)，要達(dá)到什么樣的效果，怎么來(lái)做，信息化前期要有一個(gè)總體的規(guī)劃藍(lán)圖，遵照內(nèi)功的要求結(jié)合企業(yè)自身的特點(diǎn)，制定出一套符合內(nèi)控要求及企業(yè)自身戰(zhàn)略的目標(biāo)體系，只有明確了信息系統(tǒng)要做的目標(biāo)，做出的內(nèi)控信息系統(tǒng)符合標(biāo)準(zhǔn)。

　　2、根據(jù)目標(biāo)選擇重點(diǎn)區(qū)域及確定信息系統(tǒng)審計(jì)的具體范圍；

　　當(dāng)信息系統(tǒng)的目標(biāo)建立以后，CIO所要做的工作就是分解目標(biāo)，選擇企業(yè)目前最為關(guān)注的區(qū)域 如企業(yè)的業(yè)務(wù)流程管理,做內(nèi)控的根本目上的之一就是優(yōu)化企業(yè)的流程管理，而IT的入手點(diǎn)，將從流程管理入手更為切實(shí)。那么， CIO的重點(diǎn)在流程控制系統(tǒng)上下“功夫”，做出一套符合內(nèi)控要求的業(yè)務(wù)流程管理系統(tǒng) 。

　　3、借鑒跨國(guó)公司經(jīng)驗(yàn)，遵循COBIT，加強(qiáng)信息系統(tǒng)優(yōu)化；

　　CIO在做信息系統(tǒng)時(shí)，可多參照跨國(guó)公司信息系統(tǒng)建設(shè)的經(jīng)驗(yàn)，同時(shí)也可以參考國(guó)內(nèi)的上市企業(yè)，參觀并學(xué)習(xí)他們的基于內(nèi)控的信息系統(tǒng)是如何來(lái)做的，同時(shí)，在做信息系統(tǒng)時(shí)也要參照國(guó)際上的COBIT，從信息系統(tǒng)的建立初期如是規(guī)劃、實(shí)施、治理等方面做好，將IT過(guò)程，IT資源與企業(yè)的策略與目標(biāo)（準(zhǔn)則）聯(lián)系起來(lái)，形成一個(gè)三維的體系結(jié)構(gòu)。用以把信息系統(tǒng)更好的在企業(yè)內(nèi)控中發(fā)揮作用。

　　4、整合內(nèi)部控制相關(guān)的IT系統(tǒng)并進(jìn)行流程優(yōu)化。

　　經(jīng)過(guò)近幾年企業(yè)對(duì)于法規(guī)的認(rèn)知，企業(yè)開始考慮如何將各種與內(nèi)部控制相關(guān)的IT系統(tǒng)進(jìn)行整合，而整合的關(guān)鍵仍然是流程的整合。絕大多數(shù)的企業(yè)級(jí)IT應(yīng)用系統(tǒng)均是基于流程的需求而開發(fā)，但是每套IT系統(tǒng)所對(duì)應(yīng)的業(yè)務(wù)流程由于當(dāng)初系統(tǒng)實(shí)施的各自為戰(zhàn)，缺乏良好的接口整合與描述標(biāo)準(zhǔn)化。企業(yè)內(nèi)控管理部門為了更好的管理眾多的基于流程的風(fēng)險(xiǎn)與控制，必須尋找一個(gè)統(tǒng)一的平臺(tái)實(shí)現(xiàn)與各個(gè)IT系統(tǒng)所對(duì)應(yīng)流程描述的銜接。因此，信息系統(tǒng)的設(shè)計(jì)階段一定要符合企業(yè)的業(yè)務(wù)流程。

　　同時(shí)，如何在發(fā)現(xiàn)風(fēng)險(xiǎn)控制缺陷的基礎(chǔ)上進(jìn)行業(yè)務(wù)流程改進(jìn)，如何監(jiān)控新建IT系統(tǒng)的流程合規(guī)與流程績(jī)效，如何滿足企業(yè)日益增長(zhǎng)的流程優(yōu)化需要，都需要企業(yè)管理層在統(tǒng)一的信息系統(tǒng)管理流程平臺(tái)層面進(jìn)行規(guī)劃與管理。

　　通過(guò)實(shí)踐我們發(fā)現(xiàn)建立基于內(nèi)控要求的信息系統(tǒng)，為企業(yè)高管層（CEO、CFO）、內(nèi)控管理者、內(nèi)控測(cè)試人員、審計(jì)人員、其他業(yè)務(wù)人員提供一個(gè)簡(jiǎn)單易用的內(nèi)部控制活動(dòng)管理平臺(tái)。系統(tǒng)不僅能夠在現(xiàn)階段使公司在薩班斯法案及國(guó)內(nèi)內(nèi)控法規(guī)遵從過(guò)程中更好地達(dá)到對(duì)內(nèi)部控制、記錄、測(cè)試、整改、報(bào)告、披露和歸檔等方面的要求，減少手工操作，提高工作效率和工作質(zhì)量，同時(shí)使各項(xiàng)工作有機(jī)地聯(lián)系起來(lái)，在公司長(zhǎng)期戰(zhàn)略上改進(jìn)內(nèi)部控制和風(fēng)險(xiǎn)管理。