解读《企业内部控制应用指引第18号—信息系统》

信息系统内部控制：过程控制和环境控制的结合—解读《企业内部控制应用指引第18号—信息系统》

信息系统生成与经营和财务有关的信息报告，是集系统、信息和控制于一体的一种应用。由于所有信息都是数据经过输入、处理、输出形成的，因此对信息的任何控制都是对数据输入、处理、输出的控制。本文结合财政部等五部委出台的企业内部控制基本规范和《内部控制应用指引第18号—信息系统》，将信息系统内部控制按与输入、处理、输出的关系分为终端用户控制、信息处理控制、持续运行控制、硬件保护控制四项内容。其中，终端用户控制和信息处理控制是信息系统的实体内容，共同构成数据输入、处理和输出的过程控制，前者是对人的控制，后者是对系统的控制；持续运行控制和硬件保护控制是信息系统运行的必备支撑，共同构成系统运行的环境控制，前者是对软环境的控制，后者是对硬环境的控制。

一、终端用户控制

（一）授权使用制度

企业应当根据业务性质、重要性程度、涉密情况等因素确定信息系统的安全等级，建立不同等级信息的授权使用制度。一般来说，企业应通过建立权限控制矩阵来指定信息用户所能执行的功能，即控制终端用户的范围及其可执行的操作。有些用户只能查询有关数据，有些用户则有权查询和修改数据，而另一些用户甚至还可以修改程序。

在企业整体的权限调整、新终端用户的人员增设、原终端用户的权限修改和岗位调离等情况下需要进行权限变更，但必须经过以下步骤：首先，由终端用户填写权限申请表，陈述理由和要求；部门负责人根据终端用户的工作性质决定审核结果；主管领导根据部门职能和部门负责人的意见决定审核结果；最后，由系统维护人员根据审核意见修改权限控制矩阵的内容。为确保权限授予的准确、高效和有据可查，在维护之前，系统维护人员应与终端用户和部门负责人确认；维护完毕后，应尽快通知相应终端用户、部门负责人和单位主管领导，并将维护日志与授权申请书归档备查。

（二）用户管理制度

1.用户访问控制。终端用户的访问控制有系统的访问控制和系统程序及数据的访问控制两种方式。系统访问控制用来防止终端用户非法进入系统。企业应通过密码识别、生物识别、数字签名、个人标识号、身份卡及终端标识码等技术防止非法终端通过信息线路访问系统，并采取关闭终端、失败后没收ATM卡等措施限制非法用户尝试访问系统的次数。系统程序及数据访问控制用来防止终端用户不经授权修改程序和数据。企业可将关键程序及数据存储在非法入侵者无法接近的信息系统

库，或在存储和传输过程中采用加密技术来保护敏感数据；同时，在销毁机密数据时须谨慎行事，应采用碎纸机等方式彻底销毁数据。

2.职责分离控制。企业应尽可能实现以下职能的分离：①系统分析：系统分析员分析用户的信息需求，并据此制定设计或修改程序的方案；②编程：程序员编写程序来执行系统分析员的设计和修改方案；③计算机操作：操作员负责运行并监控应用程序；④数据库管理：数据库管理员综合分析和设计过程中的数据需求，维护数据资源；⑤信息系统库管理：信息系统库管理员在单独的信息系统库中存储暂时不用的程序和文件，并保留所有版本的数据和程序；⑥数据控制：数据控制小组负责维护计算机路径代码的注册、确保原始数据经过正确授权、监控信息系统工作流程、与系统维护人员并行安全控制、协调输入和输出、将输入的错误数据反馈到输入部门并跟踪监控其纠正过程、将输出信息分发给经过授权的用户；⑦终端：终端用户记录交易内容，授权处理数据，并使用系统输出的结果。

在信息系统中，最关键的职责分离是程序开发与其他职能的分离。由于系统分析员、计算机程序员、数据库管理员和系统信息库管理员了解程序和数据的细节，因此一旦应用测试完成并交给操作部门后，就不得再进入系统访问程序或数据库；同样，计算机操作员也无权了解程序逻辑和数据库结构的细节。企业应在操作人员之间轮换岗位，以避免同一个操作员总是负责同一个应用程序的运行；同时，只要有可能，不管是批处理还是实时处理，应用程序运行时应有两名合格的操作员值班。此外，数据控制小组从控制观点出发监控计算机操作员工作，故应确保数据控制小组在组织上与计算机操作部门相互独立。

二、信息处理控制

（一）系统开发控制

1.规则内嵌制度。企业可通过调试所购通用系统或者直接自行设计的方式来构建信息系统，但无论采用何种形式，均应充分考虑业务和信息的集成性，并将相应的处理规则嵌入到系统中。AICPA（美国注册会计师协会）担保服务特别委员会指出：“会计师必须摒弃原来那种‘错误—检查—纠正’的模式，转到通过设计而保证可靠性的模式上来，这样，信息系统才能为决策者提供连续可靠的信息”。会计人员选择介入信息系统设计的时机和程度是非常重要的。在信息技术开发完毕后再指出不足，其价值有限，如果能够在应用安装之前将有用的控制嵌入，则意义就会大不相同。预防风险应当比检查并纠正错误和舞弊更重要，防止错弊就是要在系统应用之前将控制嵌入到系统的记录、维护和报告过程中去。

2.分工合作制度。信息系统开发应分割成不同的部分，由不同分析员和程序员完成，这是为了防止整个系统被一个人完整掌握；应由不同开发人员非互换的交叉检查，这是为了互提建议、互相监督，以减少或避免软件缺陷；应吸收信息使用部门参与，这是因为系统最终是为信息用户服务的，他们的需要是系统开发的意义，也只有他们的需要才能为系统开发指明方向；应吸收内部审计部门参与，这是因为系

统运行的过程就是控制执行的过程，担负内部控制监督评价职能的内部审计部门无论是设计之初，还是在应用之时，都应实时关注内部控制制度的状况。

3.数据测试制度。测试数据是用来测试程序中每个逻辑路径的一组业务事件。测试数据的正确结果应该独立于所测试的系统而得出，然后与所测试系统的测试结果相比较，如果相符则可认定其程序正确。数据控制小组负责检查测试过程和测试结果，以保证测试是充分的，而且系统已准备就绪。

（二）数据录入控制

1. 数据迁移计划。初始数据的正确与否直接影响信息处理结果的真实性。因此，在新旧系统交接之时，一方面应重新设计账户体系，对新系统中不需要的一些原账户进行归并，余额为零的账户进行清理，长期挂账的账户进行调整，但无论数据如何导入，都应严格遵守会计准则和会计制度的有关规定，确保数据的完整性和准确性，禁止借机任意更改历史数据；另一方面，应遵守国家有关规定，按指定期限妥善保管历史资料，并对数据导入工作的整体方案及执行过程和结果、账户的调整清理情况及其对报表的影响进行详细记录，以备查考。

2. 用户部门负责制。由于数据库管理的系统集成性，所有数据只需录入一次。因此，首先，应确保各类事件只能由相应的用户部门单独触发，任何其他部门不能发起此类事件，亦不能修改非本部门录入的数据；有关的信息处理只能由指定的用户部门授权后进行，任何其他部门无权执行该授权。其次，各用户部门应当按照属性录入各事件，事件数据以原始、未经处理的方式存放于数据库中，按信息用户的需求进行准确报告。对数据库的管理，一方面，应严格遵循授权、记录和保管不相容的原则，准确按职能划分事件属性。例如，客户主文件由销售部门维护，外部供应商主文件由采购部门维护，物料主文件由储运部门维护，科目主文件由财务部门维护，内部供应商主文件由人力资源部门维护。另一方面，应根据数据特性及信息使用者的需求清晰界定各主文件的内容，避免遗漏项目和错误归类。例如，不应由采购部门和销售部门维护物料主文件。

3.数据校验制度。在将数据录入系统时，可采用闭环校验或键校验方式，并通过程序内设的编辑检查功能对数据内容的完整性、合理性和准确性进行控制。闭环校验是指根据输入的数据项搜索要更新的记录，并显示该记录的其他数据，使数据录入人员能验证更新记录的正确性。键校验又称重键入，即系统对两个数据员录入的同一数据进行比较，并将不同的地方高亮显示，由第二位录入员验证并纠正不同之处。编辑检查是通过内设在系统程序中的字段或类型检查、校验位检查、控制总数检查等实现对数据完整性、合理性和准确性的验证。系统应建立反馈机制，当出现错误或异常情况时，终端用户可通过计算机屏幕上的错误/异常提示得到警报，及时纠正输入中的错误；数据控制小组可通过监控错误/异常情况报告察觉问题并采取措施。为防止不慎破坏文件或不适当地使用文件，可采用文件外部标识、文件内部标识、锁定程序、只读文件标记和文件保护环等文件安全控制措施来验证是否更新了正确的文件。

（三）跟踪处理机制