互联网金融企业的信息系统内部控制研究.docx

1、 互联网金融企业的信息系统内部控制研究 杨胜丹摘 要：互联网金融风险问题是伴随互联网金融产业的兴起应运而生的，它一直是信息时代持续发展所关注的研究热点。只有建立一套完善的法律法规体系，才能加强风险管控力度、规范企业行为，促进企业的健康发展。本文从互联网金融企业自身特点入手，结合企业信息系统内部控制的基本理论，全面分析了互联网金融的发展运营可能存在的操作风险及其具体的表现形式，针对性地提出了一些防范操作风险的建议与措施。关键词：互联网金融；风险管理；操作风险；信息系统；内部控制互联网应用范围在信息技术的不断发展中越来越广。电子商务、移动支付、云计算等技术和一些第三方支付平台在大数据时代有力推动了

2、互联网与金融业的密切结合。互联网金融在技术更替、市场变化、网络安全等方面的绝密性需求和流动性管理中有了更高的标准，只有信息安全、互联网金融风险小，才能巩固金融业市场经济的可持续发展。互联网金融风险是传统金融风险和网络安全、技术变化等新风险的结合，是保障金融稳定的关键。我国政府部门针对一些风险问题已经出台了一些管理办法，但相关法律法规和监管体系的建立仍有待建设。下文会从企业特点和信息系统内部控制角度提出风险管控的建议与措施。一、概述信息系统内部控制企业的信息系统控制针对整个计算机信息系统及环境因素要实行一般控制，加强了系统所有应用或功能模块的控制，有利于企业营造一个良好的操作环境；针对各种数据处

3、理的特殊控制要求实行应用控制，进一步保障了数据处理的完整性与准确性。1、国内外的研究成果国外在信息系统内部控制方面已经有了较为成熟的成果。COSO在1992年、2004年，分别就信息系统的控制发布了内部控制整合框架和企业风险管理整合框架，具体从框架上对“控制活动”和“信息与沟通”两个要素部分进行了规范。2013年COSO作了新的修订，并明确对框架内“控制活动”部分作出强调，要加强一般控制对信息技术的一般控制。发布的审计准则No.2全面阐释了IT环境对于内部控制的重要性。不久，PCAOB、美国公众公司会计监督委员会（PCAOB）分别发布内部控制审计准则（征求意见稿）和审计准则No.2，都着重强调

4、了IT环境对内部控制日益显著的重要性。近年来，国内学者在信息系统内部控制理论方面也有了一定的研究成果。张金城从犯罪人员的实际情况出发，与计算机系统全面结合，分别针对加强法制建设、完善内部控制系统和开展计算机系统审计工作提出了应对方法。胡奕明，陈箭深将信息系统的应用控制具体化，就其中包含的6个主要方面提出了健全会计信息系统内部控制制度的应对性措施。内部控制，黄正端依据实现控制的具体措施详细划分为程序控制和制度控制两部分。针对电子商务信息系统容易出现的风险性问题，张金城提供了对应策略，详细从系统控制设计、电子商务信息存取控制设计、电子商务数据加密、系统中网络端口保护、系统的主体验证、电子商务数据的

5、完整性保护、并发控制和文档控制等方面着手。内部控制五要素也成为刘志远，刘洁的研究重点，对各企业在信息技术影响下的内部控制未来形势与面临的问题作了分析。企业内部控制框架的如何建设，怎能适应生态环境的现实要求，被陈志斌提出。章铁生认为，重视信息集成环境下的内部控制框架建设，是国内外信息技术条件下内部控制规范的有效措施。生命周期理论，被吴炎太、林斌、孙烨有效运用到信息系统的风险控制中，认为全面掌握信息系统生命周期和在不同阶段呈现的风险特征是加强控制的基础。我国有关行政部门也自2006年后明文规定了商业银行计算机信息系统内部控制的目标需求和具体环节的控制措施。二、互联网金融业的操作风险互联网金融业的操

6、作风险，在整个国际金融界中有很广泛的覆盖范围。权威组织巴塞尔银行业监管委员会，就其操作风险做出理论分析，不完善或有问题的内部操作过程、人员、系统或外部事件是引起风险的重要原因；并将操作风险的表现进行细化，明确划分为七种形式。互联网金融本质上是一种金融技术的创新，作为信息技术的发展性产物，互联网金融是金融技术和金融服务的一种模式上的创新，操作风险不可避免且形式复杂。互联网金融企业也因为自身特性，在交易环境信息化和操作技术自动化方面有了更大的挑战，下文就具体方面作出分析。1、操作环境信息化方面（1）依托网络平台是互联网金融企业的主要经营模式。把网络这种虚拟的环境作为交易场所，由于操作人员在业务操作

7、上缺乏专业性知识，容易被不法分子侵扰，造成一些重要数据丢失等现象，破坏了网络信息安全，影响金融交易的顺利完成。良好的运营环境，才是保障网络信息安全和系统安全的有效措施。（2）互联网金融企业很大程度上都依赖信息系统。信息系统需要面对大量的电子数据，交易方式也以系统终端和网络传输为主。为了避免业务中断或是系统瘫痪问题的出现，必须保证智能终端的正常运行和网络信息的正常传输。否则，系统的崩溃，尤其是类似网上银行支付的业务上，只会给金融机构的正常运营带来无法弥补的损失。所以，从系统开发、硬件及系统软件控制上做好信息系统的安全措施，是互联网金融良好发展的重要推动力。2、操作主体多元化方面（1）互联网金融企

8、业在产品和业务涉及范围广、行业跨度大、风险系数高和操作主体复杂等背景下，容易引起内、外部欺诈、雇佣制度不符等一系列风险问题。为了解决这一问题，必须严格组织控制、操作控制和管理体制，规范信息系统内部控制的组织和操作流程。（2）互联网金融企业需要一整套科学的管理信息系统。企业内部的交易频率、数据存储量、信息安全等方面的健康发展，都离不开管理信息系统的合理性与系统性。在数据的输入、处理和输出等一整套信息传输过程中，出现任何运行不当问题，都可能出现操作风险。所以，建立健全企业信息系统的应用控制制度，是企业所有交易完成的保障。三、风险管控的应对性措施 信息系统使人和机器有效结合起来，以信息流的有效处理作

9、为主要目的。伴随经济技术的不断发展，使信息系统将财务系统与企业经营系统紧密联系起来。只有信息系统内部控制的不断完善，才能确保企业的顺利经营与管理。下面就互联网金融业操作可能出现的风险问题，提出一些建议。1、操作环境方面（1）安全控制。互联网金融企业的安全控制，是对环境安全控制、安全保密控制和防病毒控制三个方面的控制。具体来说，就是对信息传输环境的安全控制、对数据及其运行程序进行加密并在系统执行时解码、对互联网金融交易中的外来侵入问题进行防病毒软件检测和定期性检查做好重要信息的备份。（2）日常运行维护、系统变更和安全管理，是互联网金融系统开发与维护控制、硬件及系统软件控制信息系统运行与维护主要包

10、含的三个方面。具体表述为三个方面：一是系统开发阶段的控制是基础。信息技术实施的有效控制，必须做到开发系统的合理化、符合内部控制要求，授权管理得当。并且在信息系统开发成本较高的影响下，更要规划合理，才能确保后期操作的顺利进行和各个企业经营管理效率的提升。所以，系统开发阶段的有效控制，一定要依据实际情况，结合信息技术设计合理的信息系统。二是对软硬件毁损或信息泄露等情况的可能性发生，要做好系统运行和安全维护的周期性检查工作，将硬件系统的科学检验和软件系统的程序保护、文件保护、安全保护、自我保护等工作。三是互联网金融企业实时性、高频性和广泛性的交易方式，发生系统性故障时会瞬间损失巨大。所以，整个控制系

11、统必须能够迅速进行灾难恢复。2、操作风险方面（1）组织控制和操作控制。健康有序的组织控制保证了各项控制的正常开展。对各个管理流程的负责人员要职责分离，执行业务须进行业务授权，才能有效规避内部欺诈和雇佣制度风险。互联网金融交易的程序性操作离不开网络，这种在虚拟空间进行操作有很大风险，内部人员必须严格遵守上机守则与操作规程，明确职责流程，执行业务授权，才能大大降低内部欺诈和雇佣制度的风险，为顺利交易创造更好的操作环境。（2）应用控制。组织和操作环境的有效营造，是实施应用控制的有效保障，对应用控制的有效运行有很大的影响。输入控制是应用控制的一个关键环节，错误的输入会造成处理和输出的不科学。互联网金融

12、企业实行程序化控制的操作流程，操作主体采用口令识别和数据加密等技术促进流程的运行。互联网金融企业的可持续发展，在信息系统内部控制建设上比普通企业有更高的标准，必须降低各个企业信息系统中易发风险环节的倾向性，建立健全信息系统内部控制制度和风险管理体系。四、结束语在互联网金融行业迅速发展的今天，高风险成为该行业的一大特点。利用云计算等技术进行数据挖掘，是大数据时代为背景形成的很大的信息优势，在金融方面为社会发展提供了更多、更广的信息性支持，从开放、普惠等特性上比传统金融更具优势，极大地促进了金融产业和经济的全面发展。所以，企业必须做好信息系统内部控制制度的建设工作，有力规避各种操作风险，是互联网金融行业可持续和金融企业健康运行的有力保障。参考文献：1王丽梅.网络环境下企业会计信息系统内部控制的研究J.科技信息（科学教研），2007（32）. -全文完-