沈  勤（1956-）

    現任杭州和利時自動化有限公司副總經理，長期從事自動化裝備制造企業的運營管理和信息系統規劃與實施。
 
    摘要: 本文簡要介紹企業風險管理框架和計算機信息系統環境下的外部審計要求，提出了滿足企業風險控制要求的信息系統應用控制設計思路，及在裝備制造企業的應用。

    關鍵詞: 企業風險管理；IT治理；COBIT；信息系統設計

    Abstract:  This paper briefly introduces the framework for enterprise risk management and external audit requirements under IT environment, and presents the idea for applying and controlling the information system that meets the requirements of the enterprise risk management, and the application in manufacturing enterprise.

    Key words: Enterprise Risk Management；IT governance；COBIT；Information System Design

    1概述 

    隨著企業信息化進程的不斷推進，信息系統已經成為許多企業日常運營的主要工作平臺，業務過程對信息技術的依賴也日趨嚴重。企業特別是成功的企業大都已構建起強大的信息系統，已經充分認識到信息技術帶來的收益并利用信息技術為各利益相關方創造價值。

    信息系統及蘊含在系統中的信息已成為企業的隱性資產，成為企業核心競爭能力的重要組成部分。為了保證信息的質量、可信和安全，人們已經意識到企業管理的關鍵要素之一就是要保證IT的價值、管理與IT有關的風險、增加對信息控制要求。企業管理者為保障企業IT支持企業的戰略目標的實現而進行的領導、組織架構設計和處理的過程就是IT治理過程，價值、風險和控制構成了IT治理的核心。為此從信息系統規劃開始，就應認真思考如何構建基于風險管理的信息系統。

    COBIT（Control Objectives for Information and related Technology, 信息系統和相關技術的控制目標）可以幫助企業管理者有效建立起在IT環境下滿足風險控制要求的內部控制框架，確保企業特別是上市公司符合相關法律法規、確保各相關方尤其是外部投資者和政府監管部門能夠及時準確的得到企業運營信息，應對各種風險。COBIT還詳細規定了信息系統控制的目標設定和度量標準，對企業構建基于風險管理的信息系統提供了很好的幫助。

    2相關標準介紹

    COBIT是美國信息系統審計與控制協會(ISACA)根據業內最佳實踐經驗制定的，2007年推出了第四版。COBIT包含34個信息技術過程控制，并歸集為四個控制域：IT規劃和組織（Planning and Organization）、系統獲得和實施（Acquisition and Implementation）、交付與支持（Delivery and Support）以及信息系統運行性能監控（Monitoring），幫助企業在信息系統的全生命周期中滿足其業務目標的高效實現和規避風險。COBIT目前已成為國際上公認的IT管理與控制框架，已在世界100多個國家的重要組織與企業中運用，指導這些組織有效地利用信息資源，有效地管理與信息相關的風險。

    為了實現業務目標。信息必須遵循特定的控制原則，COBIT稱之為業務對信息的要求即COBIT信息準則：

    有效性：應及時、準確、一致和可用的方式來交付與業務過程有關的信息；

    效率：通過優化資源使用來交付信息；

    保密性：保護敏感信息免受未授權泄露；

    完整性：信息的正確和完整，并根據業務價值和期望進行驗證；

    可用性：若業務過程現在或將來需要時，信息是可用的；

    符合性：符合業務過程必須遵循的法律法規要求和合同約定；

    可靠性：為管理者提供適當的信息，以管理組織并檢驗其可信度和治理職責。

    COBIT是為IT過程管理而開發的框架，非常關注控制，因此它必須有一個可測量且可獲得評價指標體系，為此它為每一個IT過程設計了一個成熟度模型，提供了一個測量尺度，從0（不存在）到5（優化級）：

    0—管理過程根本不存在；（不存在）
 
    1—過程混亂，毫無組織；（初始級）

    2—過程遵循固定模式；（可重復級）

    3—過程已形成文件并發布；（已定義級）

    4—過程得到監控與測量；（可管理級）

    5—遵循最佳實踐（優化級）

    過程的成熟度模型使得IT治理得以持續完善。
 
    COBIT把IT控制分為一般IT控制和應用系統控制。所謂一般IT控制是指嵌入到IT過程和服務中去的控制。包括：系統開發、變更管理、安全和計算機運行。所謂應用系統控制是指嵌入到過程應用系統的控制。包括：完整性、正確性、有效性、授權和職責分離。COBIT假設自動化應用系統的開發屬于IT職責，涵蓋在系統獲取和實施過程域中，而運行管理和應用控制的職責不屬于IT，而是屬于業務部門負責，屬于企業內部控制范疇。

    國際公認的內部控制領域最為權威的文獻是美國反欺詐財務報告全國委員會（Committee of Sponsoring Organization，簡稱COSO）發布的《企業風險管理——整合框架》，如圖1所示.

圖1  企業風險管理整合框架

    COSO框架中也明確規定了對信息系統的控制要求：“出于對信息系統在經營企業和滿足報告和合規目標方面的普遍依賴，需要對重要的系統進行控制。可以采用兩個廣義的信息系統類別。第一個是一般控制，它適用于許多并非全部是應用系統的情形，并且有助于確保它們持續、適當地運行。第二個是應用控制，它在應用軟件中包含計算機化的步驟，以便對處理過程進行控制。一般控制和應用控制，在必要的時候與人工實施的控制結合起來，共同起作用以確保信息的完整性、準確性和有效性。”

    2008年6月，我國財政部、證監會、審計署、銀監會、保監會在北京聯合發布了《企業內部控制基本規范》，該規范自2009年7月1日起，先在上市公司范圍內施行，同時也鼓勵未上市的其他大中型企業執行。執行基本規范的上市公司，應當對公司內部控制的有效性進行自我評價，披露年度自我評價報告，并聘請具有證券、期貨業務資格的中介機構對內部控制的有效性進行審計。《企業內部控制基本規范》中明確規定了”企業應當運用信息技術加強內部控制，建立與經營管理相適應的信息系統，促進內部控制流程與信息系統的有機結合，實現對業務和事項的自動控制，減少或消除人為操縱因素。”

    2008年10月中國注冊審計師協會也公布了《內部審計具體準則第28號—信息系統審計》，該準則將從2009年1月1日正式實施。準則指出：“信息系統審計的目的是通過實施信息系統審計工作，對組織是否達成信息技術管理目標進行綜合評價，并基于評價意見提出管理建議，協助組織信息技術管理人員有效地履行其受托責任以達成組織的信息技術管理目標。組織的信息技術管理目的是保證組織的信息技術戰略充分反映該組織的業務戰略目標，提高組織所依賴的信息系統的可靠性、穩定性、安全性及數據處理的完整性和準確性，提高信息系統運行的效果與效率，合理保證信息系統的運行符合法律法規及監管的相關要求。”準則明確了信息系統審計是：“對組織層面信息技術控制、信息技術一般性控制及業務流程層面相關應用控制的審計。”

    3基于風險管理的企業信息系統設計要點

    由于COSO的《企業風險管理——整合框架》和COBIT信息系統和技術控制目標已經分別成為業界公認的企業風險管理和IT審計的國際標準。所以企業在設計或改進其信息系統時應該滿足COSO和COBIT的要求，并可采用COSO和COBIT提供的方法論和管理工具。

    企業信息系統的設計需要考慮的兩個重點分別是業務流程的優化（包括固化在系統中的作業流程和在系統外的使用規范）和信息技術的支撐。一個好的信息系統一定是充分體現了該行業的最佳業務實踐，信息系統的效益由系統蘊含的最佳業務實踐決定，信息系統的效率則充分展示了系統開發者的信息技術水平和使用規范的合理性，而信息系統的風險控制則是兩者的共同作用。

    從信息技術應用角度出發，基于風險管理的信息系統設計中應該重點考慮信息系統控制要求，這也是信息系統審計的重點。

    信息系統一般控制是指內控中對信息系統相關部分的控制，它用來保證由信息系統支持的流程控制是可靠的、生成的數據和報告是可信的。信息系統的應用可直接關注數據獲取和處理的完整性、準確性、授權和有效性。應用控制的一個重要目標是防止錯誤進入系統，以及在錯誤發生時予以察覺和矯正。

    信息系統控制的基本內容包括：

    (1)信息安全

    · 信息安全政策

    · 邏輯安全

    · 用戶授權流程

    · 關鍵應用系統訪問管理規定

    · 操作系統安全管理規定

    · 數據庫安全管理規定
 
    · 信息系統密碼管理策略

    · 系統管理員管理策略

    (2)物理安全和環境控制

    · 機房管理規定

    · 機房訪問日志

    · 機房訪問授權清單

    (3) 病毒防御

    · 病毒防御政策

    · 病毒掃描和病毒庫更新記錄

    (4) 軟件資產管理

    · 軟件購買、審批的政策

    · 軟件安裝和使用的政策

    · 軟件清單
 
    (5) 信息系統日常運作

    · IT部門日常工作制度

    · 非緊急事件處理程序
 
    · 緊急事件處理程序

    · 問題管理處理程序

    · 系統運行監控

    · 用戶培訓記錄

    · IT熱線

    · 數據庫文件檢查記錄

    (6) 應用系統實施與維護

    · 應用系統開發與維護政策和制度

    · 系統需求管理

    · 系統變更管理
 
    ·  系統設計和開發

    · 系統測試管理
 
    · 系統發布管理

    · 系統上線管理

    · 系統版本管理

    · 系統實施用戶培訓記錄

    · 系統實施評估

    (7) 數據庫支持與實施

    · 數據庫字典更新和維護規范

    ·數據庫管理員權限和用戶權限管理

    · 數據庫結構修改流程

    · 后臺數據庫修改流程

    (8) 災備與業務持續計劃

    · 備份策略
 
    · 備份時間表和日志復合記錄

    · 數據恢復測試計劃
 
    · 災難恢復應急預案

    (9) 網絡支持

    · 網絡使用和維護制度

    · 網絡拓撲結構

    · 網絡設備采購制度

    · 網絡設備上線測試制度

    · 網絡參數調整變更管理制度

    · 網絡日常監控

    (10) 硬件支持

    · 硬件設備使用和維護制度

    · 硬件設備拓撲結構

    · 硬件設備設備采購制度

    · 硬件設備安裝測試
 
    · 硬件設備升級管理

    · 硬件設備日常監控

    (11) 系統軟件支持

    · 系統軟件采購控制
 
    · 系統軟件變更和測試

    · 系統軟件參數設置

    · 管理層對變更的審批

    (12) 應用控制

    · 輸入控制
 
    · 輸出控制

    · 訪問控制

    · 處理控制

    · 職責分離

    滿足企業業務戰略和業務需求是信息系統基本功能設置的基礎，在業務流程建立和優化的過程中需要滿足內部控制的要求，因此在信息系統需求分析階段應認真分析外部監管要求，遵循COSO標準建立本企業的風險管理框架，并盡可能將控制要求嵌入信息系統，以保證內部控制的有效性。同時對信息系統控制的要求也是基于風險管理的信息系統設計的主要出發點和目標，在系統設計中可以遵循COBIT的指引和使用其提供的分析方法及成熟度模型。

    4應用實例

    以下就裝備制造企業信息系統建設中的風險管理作一簡單介紹。

    按訂單組織生產的現代裝備制造業生產經營具備如下特征：

    ·一般通過招投標取得訂單。在招投標過程中需要根據用戶需求、競爭態勢、成本信息等進行報價。品牌（商譽）、產品性能與質量指標、項目管理經驗、交付期、產品價格與付款、售后服務承諾等共同構成取得訂單的綜合要素；

    · 每張訂單都有不同程度差異，需要經過系統設計（配置確認）、系統組態（應用軟件開發）、現場工程實施、系統投運驗收等過程；

    · 每張訂單都包括產品與工程服務兩項內容，受用戶現場條件的制約，整個訂單的交付周期波動較大，同時訂單的供貨范圍在整個實施過程均有發生調整的可能；

    · 隨著市場分布區域的迅速擴大和在建項目的不斷增多，企業的組織架構應隨之發生動態調整，組建跨地域的虛擬團隊，以適應協同設計體系、網絡生產體系、遠程用戶服務體系等基于互聯網的嶄新業務模式；

    · 隨著國家現代化進程的不斷推進，全球自動化產品的市場集中在中國，因而市場競爭態勢日趨激烈。這就要求企業不僅要構筑一個敏捷的內部協同制造平臺，還要使整個供應鏈上的企業共同優化資源，提高響應能力和協同工作能力。

    按照COBIT的指引，在信息系統設計中首先應考慮風險控制的要求，識別任何可能對企業目標或運營有潛在影響的事件（威脅和弱點），包括業務的管理、法律法規要求、技術管理、資產管理、供應商及客戶管理、人力資源和運營管理等各方面。

    通過分析，可以確認裝備制造企業業務流程中的一個重要的風險來自訂單的執行過程控制，如果在執行過程中缺乏有效的項目管理，則極有可能給股東或客戶造成損失。所以裝備制造企業的信息系統建設應該以訂單的流轉為主線，加強對項目物資、進度、費用和項目實施質量的控制與監測。同時為了實現跨地域的業務團隊在有效權限控制下的協同工作，信息系統的安全控制也比僅在一地工作的企業信息系統更為復雜。

    例如在項目管理模塊中，應對項目的主要信息進行詳細記錄，并對各項目的操作權限進行嚴格控制。操作人員登錄系統后，項目目錄中只顯示登陸人在項目實施中的各個階段有權限的項目。對每一個新建的項目目錄，在進行第一次項目信息維護后，即對項目建立了權限限制。

    在整個信息系統中，應該在涉及物資、資金、經營信息等各個重要環節嵌入類似控制,在此不一一介紹。
 
    另一個重要的風險來自對信息系統的安全管理，由于任何一項控制活動的實現都需要消耗一定的資源，任何一項投資都需要進行損益分析。對于裝備制造企業，視其業務規模和地域分散程度，按COBIT信息安全的成熟度模型評價，建議至少達到已定義級以上。

    COBIT信息安全成熟度模型中已定義級（3級）的要求是：有安全意識且管理層也在加強安全意識。組織已定義了符合IT安全策略的IT安全程序。IT安全的責任進行了分配但沒有強制執行。由于風險分析的驅動，已制定IT安全計劃和安全解決方案。但是IT安全報告沒有關注清晰的業務目標。實施了特殊安全測試（如入侵測試），為IT和業務部門提供了安全培訓，但沒有正式的計劃和管理。

    5結束語

    隨著企業對信息系統的依賴不斷增強，各利益相關方對企業建立包括信息系統控制在內的內部控制要求將會越來越高，政府的監管力度也會越來越大，每一個企業都應盡快根據COBIT標準檢查一下自己的信息系統是否符合信息系統審計的要求。

    參考文獻

    [1]  ISACA, Control Objectives for Information and related Technology, www.itgi.org, 2007.

    [2] 中國證監會. 企業內部控制基本規范[EB/OL]. www.sec.com.cn. 2008.

    [3] 方紅星,王宏譯. 企業風險管理——整合框架（美）[M]. 2004.

    [4] 中國內部審計師協會. 內部審計具體準則第28號──信息系統審計, 2008.

    [5] Jack J.Champlain著,張金城,李海風等譯.審計信息系統（美）[M]. 2004.