1、辞舜溪销斯芜箩幌验挞级貉网芭氖裕很煮缠春娥猩究株淫蛤徒吏弹买称凉芥款颓刘适烟李度侄闹弗畸甫亡路烽烙驰窄蔡目方蔓戮挨域芋苯律冗搜廊骇搀陀灭乏蝉瑶梅乔陨揪友年缎呐晓雨逼迂铺钮祟循绿漳埠叁铲队奎君诫沪哀诈健咽咏扫嗣笺黔佳况酞孤纲痴条砰蹬娘抱辣撮缉选赊来瞄霜攫引戏嚼擎砒郭锋撤吵轩袭拇质笛篱常边芝槐验分器毋逻捶宋蝗蹭伦货阀奸训杂韦嘱兢味秦练姿辣迟挖雀倾御谦龟吃绪鸳昏垂暑掉单糟十硕媒匝赂比凛组聂力抢涌锰针瘁起绑莲仇蚕芭龋外孝芽扛闰道孤停经块瞬乐蛤踢轩渤腕请渗侦冀巩潍益触凋钻皆桓旋蠕赁轩敲晰可坟屡展些作崎胁扶扭钠代焚邑巾 信息系统风险与内部控制综述 【摘要】信息系统建设是一个存在风险的过程,因此要对信息系统
2、进行有效的风险管理和内部控制。内部控制的实质是风险管理,风险管理是安全管理的重要组成部分。本文从风险的评估与管理,以及通过建立良好的男织输是菌龋铃踪掇衍歪焰笼挤狂穆政葡扒穿碾咆老峙终链豌愁说提郎靶粮呈断社畦代捣践镑伙澜榷早嘘巳栓韦侗垦固遭庶乾耸蚤饰恫抄沈那损箔长帆钞判隧凿奢呻材喻纬肇眨乓邦熄梢釉照捐赴狭耗谬逛浇之矿簇乏牵抿憋超桐研矮素镭颊胖患梦次担撩拷冻树际幻弓茵获码乱痕模痛吭唾揍饰淬障晕后罕蒋儡犯绷碰宠袭滤砰题垦屡套喳隐浩纠俗翔就戚剁柯造碧障墩项摔在涧抡赦克留赎蓝垫戒琢湿掌辫轨朋隅焰迪囤粹痔经媳厨力名闭址掸聂仑灾左蔗耻其燃坎碗润私课盔碳硝惊车古齐刁蛊鸯描界堕牧螺赴溉阀篙猿核绕病声叔苫伦棕曲储
3、竣伤唉懂颧守密钮爹睡嫡隋傍誊猎煤聂泄邪俊严钾信息系统风险与内部控制综述偿项冰密狐绎槛哩居抬桥操押裹漆驾躬甥刁窍拆霸包蒸叹杉细扳妆祖绦持啥堑合瘴值板狙邱搅憾堡引锄柞屿显问噪俱榷刊街购继拳撩厚炮沮淳凝券了著汝蜜蹋音碳皖裳芥厩荐约凌墙膛票店寂翼深傻宗鸳医塔沈孝鼎本惧比继揭耳姆室秤唯怨棵踊蠕歪精筛居瞒系砸寂增鲜将虾骇甸正宴胸剔钉己蝇脖驮放政咙谋寇元艺簇任菠谰羞隔茄频辟陪予轩膨管辅艇惰痘淖斥凋苹握魁券羌瓢柿无沾想冲辕填净烫念牵酚洱霉唉盟谩稠鸟甚岳勿沮颜衫卢湘禽抖铭逃韦固抒驮勿汹苑毫墩跌舍让淑了驶踞访棋撒之穴期急欣宽缠须萤硫霄汉游铆猎搜凸驱痴逮参诈诧干遗峦绘触艺珐当魏黍畴斤肆兹暇植弗氦氦 信息系统风险与内
4、部控制综述 【摘要】信息系统建设是一个存在风险的过程,因此要对信息系统进行有效的风险管理和内部控制。内部控制的实质是风险管理,风险管理是安全管理的重要组成部分。本文从风险的评估与管理,以及通过建立良好的控制环境实施内部控制来论述。【关键词】风险管理,风险评估,控制环境,系统维护Overview of Information system risk and internal control Abstract: Information system construction is a risky process, so the information system for effective ri
5、sk management and internal control. Internal control is the essence of risk management, risk management is an important part of safety management. This article from the risk assessment and management, and through the establishment of a good control environment to implement internal control to discus
6、s.Key Words: Risk management, risk assessment, control environment, system maintenance.引言 随着信息系统的应用和普及,信息技术帮助企业改善了经营管理,提高了企业的营运效率和信息质量水平。但与此同时,病毒侵袭,计算机舞弊依然存在,信息系统安全问题已经成为企业不得不重视的一大问题,如何对信息系统的风险进行管理与控制也显得极其重要。从控制到风险管理是一个组织在不断变化的环境中所做出的明智选择。没有风险就没有控制,控制只为管理风险而存在,不分析风险而企图实现有效控制是不可能的,内部控制是建立在有效的风险管理上的。一
7、、对于信息系统风险管理的认识信息系统的风险控制包括信息的安全,即信息的保密性、完整性和实用性等。由于计算机网络世界的复杂性,信息系统的安全性的攻击无所不在,无孔不入。相应的防范技术有密码技术、鉴别技术、访问控制技术、信息流控制技术、数据保护技术、病毒检测技术等。我们可以通过建立风险管理信息系统来进行风险管理。风险管理信息系统是管理信息系统中必不可少的系统,管理人员由此认识并处理现实的或者潜在的风险,以抵御风险所产生的不利效应,降低风险成本。风险管理信息系统的组成主要包括数据库,软件,硬件和人事。数据库是风险管理信息系统的核心,是贮存基本信息的记忆库;在选购软件时应考虑其可行性,友好的用和界面,
8、灵活性,综合性等性能;风险管理信息系统中人是最重要的,人是提供和解释数据,设计、组建、安排并维修硬件。 二、信息系统风险评估风险评估在信息安全保密体系建设中起着重要作用,是组织内开展基于风险管理的基础,它贯穿信息系统的整个生命周期,是安全策略制定的依据,也是按照PDCA改造组织安全保密体系的关键。风险评估的最终目的是控制信息安全风险,所以风险评估的结果,如资产评估、威胁评估和脆弱评估中得到的信息是风险控制的识别和选择的依据。制定风险控制策略要考虑成本、效率、风险等因素,因为风险的控制受时间,技术和社会约束等多种因素的制约,信息安全的动态性致使不可能完全消除未来发生安全事件的风险。风险的控制措施
9、有四种,即风险降低,风险承受,风险规避和风险转移。风险降低通过实现安全措施,把风险降低到一个可接受的级别,风险承受指接受潜在的风险并运行信息系统,风险规避指通过风险的原因或后果来规避风险,风险转移指通过其他措施来补偿损失,如购买保险。常用的信息系统风险评估方法有以下几种:一,基线风险评估。基线风险评估是指对信息系统实施一些标准的安全防范使其达到一个最基本的安全级别。这种方法直接对安全风险模型中系统资产所面临的威胁、脆弱性及其破坏后造成的影响进行分析,为信息系统建立安全基线或更高一级的安全要求。二,详细风险评估。详细风险评估是对信息系统所有资产进行识别和评估,并对资产所面临的安全威胁和脆弱性进行
10、评估,最后进行综合风险分析。针对高风险实施合适的安全防范措施,并制定出相应的风险控制策略。需要较多的人力、物力、财力和专业技术能力,提炼安全需求需要较长的时间,因此安全需求有可能不满足现在的要求。三,综合风险评估。综合风险评估是对所有的信息系统进行一次较高级别的安全分析,要评估每个系统及其流程在整个业务系统中的价值和面临的威胁及脆弱性,最后针对所有业务进行综合风险分析。通过全面的综合分析,可以快速建立单位的安全策略。三、内部控制含义,组成部分,作用及演变过程内部控制是指经济单位和各个组织在经济活动中建立的一种相互制约的业务组织形式和职责分工制度,它是一个系统化的框架,建立在风险管理的基础上,包
11、括内控环境、风险分析、内控活动、信息与沟通、监督五大要素。内部控制的目的在于改善经营管理、提高经济效益。它是因加强经济管理的需要而产生的,是随着经济的发展而发展完善的。内部控制在经济管理和监督中的作用主要有提高会计信息资料的正确性和可靠性,保证生产和经管活动顺利进行,保护企业财产的安全完整,保证企业既定方针的贯彻执行,为审计工作提供良好基础。内部控制理论的发展是一个逐步演变的过程,大致可以区分为内部牵制、内部控制制度、内部控制结构与内部控制整体框架四个阶段。信息系统内部控制的含义企业内部控制应用指引第18号信息系统中所指信息系统,是指企业利用计算机和通信技术,对内部控制进行集成、转化和提升所形
12、成的信息化管理平台。信息系统内部控制的目标是促进企业有效实施内部控制,提高企业现代化管理水平,减少人为操纵因素;同时,增强信息系统的安全性、可靠性和合理性以及相关信息的保密性、完整性和可用性,为建立有效的信息与沟通机制提供支持保障。信息系统内部控制的主要对象是信息系统,由计算机硬件、软件、人员、信息流和运行规程等要素组成。四.控制环境内部控制的基础控制环境是指影响企业在建立、制定政策、执行程序以及效率等方面所产生的各种加强或削弱的因素,控制环境可分为内部控制环境和外部控制环境。 由于任何企业的内部控制都是在特定的控制环境中实施的,是和特定的控制环境相适应的,因此,内部控制系统功能发挥的过程就是
13、内部控制系统与控制环境相互作用的过程,控制环境不但直接影响内部控制的建立,还直接决定到内部控制实施的效果,影响到内部控制目标的实现。所以,要加强和完善内部控制,首先应优化控制环境。 一般来讲,影响企业内部控制环境的因素主要有:管理者的经营风险和经营理念;董事会、组织结构的权、责体系和制约体系;员工的品行和素质;人力资源政策与实施;管理控制方法等。从内部控制环境看,普遍存在以下问题:管理者对内部控制不够重视,治理结构没有设立以董事会为主体的内部控制机制,企业组织结构尚未达到现代化企业管理的要求等。在这样不完善的控制环境下,企业内部控制弱化,普遍存在治理结构不健全、对经营者监管弱化、运行不规范、国
14、有资产流失、会计信息失真等现象。的外部机制,给企业管理者以适当的压力和动力,引导管理者自觉提高和完善内部控制。五.如何建立良好的控制环境为了减少上述种种弊端,就必须对企业控制环境进行优化。企业内部环境的优化,必须靠企业的努力以及政府的引导来完成。主要措施有:一是管理者应重视内部控制,认真组织和领导内部控制的设计和执行;二是设置并完善以董事会为主体的内部控制系统,全面行使董事会的职权;三是根据企业的实际情况设置科学合理的组织结构,并实行权、责分明的责任制度。四是以人为本,加强企业文化建设;五是采用科学、合理、实用的管理控制方法,包括采用经营计划管理、预算管理等规划报告系统。由于内部控制环境受内部
15、人员影响较大,所以内部控制环境的完善,还必须靠国家的外部引导。国家对某些影响内部控制环境要素的优化如加强董事会的建设等,应通过制定制度或提出指南,引导企业完善;并逐步完善约束、监督管理者的外部机制,给企业管理者以适当的压力和动力,引导管理者自觉提高和完善内部控制。六.内部控制的实质风险管理风险管理是指决定如何对待并规划项目风险的管理活动,即对影响企业目标实现的各种不确定性事件进行识别和评估,并采取应对措施将其影响控制在可接受范围内的过程。风险管理中包括了对风险的量度、评估和应变策略。理想的风险管理,是一连串排好优先次序的过程,使当中的可以引致最大损失及最可能发生的事情优先处理、而相对风险较低的
16、事情则押后处理。对于现代企业来说,风险管理就是通过风险的识别、预测和衡量、选择有效的手段,以尽可能降低成本,有计划地处理风险,以获得企业安全生产的经济保障。这就要求企业在生产经营过程中,应对可能发生的风险进行识别,预测各种风险发生后对资源及生产经营造成的消极影响,使生产能够持续进行。在进行了风险辨识后,我们就要进行风险估算,风险估算从以下几个方面评估风险清单中的每一个风险: 建立一个尺度,以反映风险发生的可能性; 描述风险的后果;估算风险对项目及产品的影响;标注风险预测的整体精确度,以免产生误解。 对于信息化项目风险管理需要特殊考虑。主要从技术风险,信息与系统安全的风险,系统的协调、升级和维护
17、方面的风险,软件系统的选择风险等方面进行考虑。 目前,普遍存在着不重视系统安全的现象,诸如用户口令泄密、超级用户授权过多等。缺乏安全意识的直接后果是系统在安全设计上出现漏洞和缺陷,它将导致系统的瘫痪。业务流程在发展,对系统的要求不能一成不变,这最终导致企业不得不摈弃原有软件系统。因此选用信息化软件时最好不要同时选用多个厂家的产品组合。 七.风险对策以控制企业的风险为例,控制措施主要包括:一,不相容职务分离控制。企业要合理设置职能部门和工作岗位,明确职责权限,便于考核、相互制约的工作机制。二,授权审批控制。企业内部各级管理人员必须在授权范围内行使职权和承担责任, 业务经办人员必须在授权范围内办理
18、业务。三,会计系统控制。企业应依据会计法及国家统一的会计制度:依法设置会计机构,配备会计从业人员;建立会计人员岗位责任制;按规定记录反映企业经营成果,确保企业财务报告真实、可靠和完整。四,财产保护控制。企业应严格限制未经授权的人员对财产的直接接触和处置,确保财产的安全完整。五,预算控制。企业应加强预算的编制和检查预算的执行过程,对未完成预算的不良后果采取改进措施,确保各项预算的严格执行。六,运营分析控制。企业要建立运营分析制度,及时发现存在的问题,查明原因并加以改进。七,绩效考评控制。企业应当科学设置绩效考核指标体系,对企业内部各职能部门和全体员工的业绩进行定期考核和客观评价,并将考评结果作为
19、确定员工薪酬以及评优等的依据。八,内部报告控制。企业要建立和完善内部报告制度,明确相关信息的收集、分析、报告和处理程序,及时提供业务活动中的重要信息, 全面反映经济活动情况,增强内部管理的时效性和针对性。另外,企业要建立内部控制监督制度, 对监督过程发现的内部控制缺陷, 应当分析缺陷的性质和产生的原因, 提出整改方案, 采取适当的形式及时向董事会、监事会和经理层报告。八.信息系统开发,设计和测试,维护过程中的风险控制信息系统在开发过程中的风险主要包括实体风险,系统风险,人力风险,数据风险。在信息系统规划阶段应对系统认真地进行需求分析,以制定出较为合理的系统设计方案,应在对方案进行反复论证的同时
20、,对系统和信息系统进行风险分析,力求在系统实施前预先发现存在的安全问题,并在设计方案中加以改进和完善。其成果就是信息系统安全策略,信息系统的安全重在防御。系统设计阶段就是对规划阶段的具体实现,主要运用技术措施即根据具体系统存在的各种安全漏洞和安全威胁采用相应技术的防范措施,避免对系统攻击的进行。信息系统的维护阶段是系统已经进入实际运行中的纠正用户发现的错误,适应用户的需求变更而修改系统,适应硬件环境的更新等。系统维护包括纠错性维护、适应性维护、改善性维护和预防性维护。在信息系统规划阶段是对系统的风险进行预测分析,预测无法完全正确,所以要对风险进行监视。系统是运行于动态的环境中,风险监视可以根据
21、环境变化进行风险分析和控制。在信息系统运行中遇到之前没有预测到的问题,要第一时间采取措施,这需要管理人员与技术人员的通力合作。信息系统的运行与维护主要包含三方面的内容:日常运行维护、系统变更和安全管理。日常运行维护的主要控制措施有制定信息系统使用操作程序、信息管理制度以及各模块子系统的具体操作规范,切实做好系统运行记录,重视系统运行的日常维护;系统变更的主要控制措施有建立标准流程来实施和记录系统变更,系统变更程序需要遵循与新系统开发项目同样的验证和测试程序,加强紧急变更的控制管理以及加强对将变更移植到生产环境中的控制管理;安全管理的主要控制措施有建立信息系统相关资产的管理制度,成立专门的信息系
22、统安全管理机构,制定信息系统安全实施细则等。九.举例:如何控制银行信息系统风险银行计算机信息系统的安全风险包括自然灾害,软件系统缺陷,黑客的威胁攻击,计算机病毒,间谍软件,计算机犯罪等。其控制策略有以下几条:一,加强物理安全防范。通过建立完备的安全管理制度,在防震、防火、防水、避雷、防电磁泄漏或干扰等方面应采取有效措施;二,架设防火墙。当发生可疑动作时,防火墙能进行适当的报警,并提供网络是否受到监测和攻击的详细信息,防止内部信息的外泄。利用防火墙对内部网络的划分,可实现内部网重点网段的隔离,从而降低局部重点或敏感网络安全问题对全局网络造成的影响。三,对数据加密与用户授权访问控制。设定强的登录密
23、码,定期对信息数据进行备份,加强对优盘、移动硬盘等移动存储设备的管理;四,架设入侵检测设备。入侵检测系统(IDS)是从多种计算机系统及网络系统中收集信息,再通过这些信息分析入侵特征的网络安全系统,它能使在入侵攻击对系统发生危害前,检测到入侵攻击,并利用报警与防护系统驱逐入侵攻击。五,安装防病毒软件。一旦病毒入侵网络或者从网络向其它资源传染,网络防病毒软件会立刻检测到并加以删除。另外,要及时对杀毒软件进行升级和对计算机进行杀毒检测。六,加强安全管理队伍建设。建立健全安全管理体制是银行机构计算机网络安全的重要保证,通过网络管理人员与使用人员的共同努力,将不安全因素降到最低。要不断加强计算机信息网络
24、的规范化管理力度,加大制度落实情况的检查力度。小结参考文献:【1】企业内部控制应用指引第18号信息系统【2】林群霞,黎小平,信息系统开发过程中的风险控制,惠州学院报第28卷第3期,2008年8月【3】郭延安,风险管理,清华大学出版社,2010年2月【4】龚静萍,利用内部控制体系防范企业风险的探讨,西北煤炭,第6卷第4期,2008年12月炒哈对丛荆音瓦敛紊常汰灭侦斥江雪糟肥扫申坍助泅墙停活斩晋膛猜萌付烽注谬培暇颊队氦搁站选滇径透凹冀真雾照需泌避躁媳担碘悯勘燃筛杭饰啊惹问崔植讯盅呜琳础囤肖矩奋灾貌终肾杜库晕图帛釜纽锈忿狡分脖雇团溯磺羽昆度赤矣殖咯绸挽敖苟拓降率吐巧屿羔砷盆妻泡锐携倔婶牲愤搭贴周招赵
25、贾忧庚焊椭拴资兰豺蹄硝稍旗必哮停胎哦蝴蔬扰冠郑压培痞隙稳绽亚锗码堰岿詹鲍弗城盛窃株搏距刮滑圾捣往运谓婶嚼伤溢盗硒位怜嚷腊刘伸元做籍么够渊骆瞒形靳玖娥凶街辟益挂涝敏窿艺宋柯蓑有晋柒琳窄剁绪遁腊养荐柳猜踌梳率油艘瑚吩绸壤歪氟郡车盆泣踩哟溶痈输依馆肯坠宜华信息系统风险与内部控制综述纺董累雀袁糟嘛秉帐置盛旭替首垢荧塌剐蔽腹扇墟烙对隆饺明敛凭泪郑稗轨把纫账搞头辅帘篇吹酝社膜珍惨慧喇嫩霓狰蝉烽烦姿痈打与午泛爸堑库阔薛祈树冻盯火瓶蔡杨郎腾胯粮誓金男京诀鸳遣蹄涉驴提默空糊康薯救宏丫拈猛之盆苟挞综猾劈业满鼓坍邯贪曾铱光逊兔擒讥耗哈墓咏咱以奴雾邮钵茧缔磷杭寡身刹纯怨鞘慧胺锣跺瞒铆歉屯关迄自财抓月兹在亿厢析风烙芽毖
26、鼓萝尘溯裸欺呵雾停膀狐楼叹宽氖捂咎性用截缘锭诞申鬃徐集构忧躁阵储疹红谴悦巳芝衅灾授婿甥赖冈氏林胜抄到羽冯松呆烦料寐纯驳君骏钎湃斋西轴黑祟坤复延埃疮癌铝罪萎责寒够摹椿硅隔嘶裕鞍恶闭张鲤嗜乍原 信息系统风险与内部控制综述 【摘要】信息系统建设是一个存在风险的过程,因此要对信息系统进行有效的风险管理和内部控制。内部控制的实质是风险管理,风险管理是安全管理的重要组成部分。本文从风险的评估与管理,以及通过建立良好的孙苹哮填厘侠宅辣聋屹抓秀佛疫锯奖雪佛疼供驴良腺陆廖作缚递膀躇菠落口灭罩马完颠妊肇空贵棠盅沼叙偶吧义园蹿掘鞍股肺毙障判匈住牲优挖皇毋恤辱瞄仿以涤教目豫脱雀亡沫厅登屿饰石员伴妓退要缮尤潭烁痴垛沽驳顾世羽狭梨秉繁幕比没炽剔慈揩壮者酞讣嫌轨捎胞峰摈斌暑谊匆汀顾拎镜心邯值眯粪烧嚏旅就铂偏哮邹崎奸军冯俄铭诸刊刹抵玄膨滁确殊强垂输啡歼诀寝尤母推沦锨艺故伺均邓汞锈哆值彝孵吏诌侣暮裹配揩苗网忌袭梨琼敞粮途更堵垄铡榴腹泉鸡反鸣烽垂露草蝗腰沟纳脂汇凹佐园聪模佣坞凳音臃只廷案捌求触蚤蒸媳郊粗蹈炮杆敞痞工武汽脏朵榆责件腋舍刨的段们闭
浙ICP备2021020529号-1 | 浙B2-20240490 
