杭州和利时自动化有限公司

    沈  勤（1956-）

    现任杭州和利时自动化有限公司副总经理，长期从事自动化装备制造企业的运营管理和信息系统规划与实施。
 
    摘要: 本文简要介绍企业风险管理框架和计算机信息系统环境下的外部审计要求，提出了满足企业风险控制要求的信息系统应用控制设计思路，及在装备制造企业的应用。

    关键词: 企业风险管理；IT治理；COBIT；信息系统设计

    Abstract:  This paper briefly introduces the framework for enterprise risk management and external audit requirements under IT environment, and presents the idea for applying and controlling the information system that meets the requirements of the enterprise risk management, and the application in manufacturing enterprise.

    Key words: Enterprise Risk Management；IT governance；COBIT；Information System Design

    1概述 

    随着企业信息化进程的不断推进，信息系统已经成为许多企业日常运营的主要工作平台，业务过程对信息技术的依赖也日趋严重。企业特别是成功的企业大都已构建起强大的信息系统，已经充分认识到信息技术带来的收益并利用信息技术为各利益相关方创造价值。

    信息系统及蕴含在系统中的信息已成为企业的隐性资产，成为企业核心竞争能力的重要组成部分。为了保证信息的质量、可信和安全，人们已经意识到企业管理的关键要素之一就是要保证IT的价值、管理与IT有关的风险、增加对信息控制要求。企业管理者为保障企业IT支持企业的战略目标的实现而进行的领导、组织架构设计和处理的过程就是IT治理过程，价值、风险和控制构成了IT治理的核心。为此从信息系统规划开始，就应认真思考如何构建基于风险管理的信息系统。

    COBIT（Control Objectives for Information and related Technology, 信息系统和相关技术的控制目标）可以帮助企业管理者有效建立起在IT环境下满足风险控制要求的内部控制框架，确保企业特别是上市公司符合相关法律法规、确保各相关方尤其是外部投资者和政府监管部门能够及时准确的得到企业运营信息，应对各种风险。COBIT还详细规定了信息系统控制的目标设定和度量标准，对企业构建基于风险管理的信息系统提供了很好的帮助。

    2相关标准介绍

    COBIT是美国信息系统审计与控制协会(ISACA)根据业内最佳实践经验制定的，2007年推出了第四版。COBIT包含34个信息技术过程控制，并归集为四个控制域：IT规划和组织（Planning and Organization）、系统获得和实施（Acquisition and Implementation）、交付与支持（Delivery and Support）以及信息系统运行性能监控（Monitoring），帮助企业在信息系统的全生命周期中满足其业务目标的高效实现和规避风险。COBIT目前已成为国际上公认的IT管理与控制框架，已在世界100多个国家的重要组织与企业中运用，指导这些组织有效地利用信息资源，有效地管理与信息相关的风险。

    为了实现业务目标。信息必须遵循特定的控制原则，COBIT称之为业务对信息的要求即COBIT信息准则：

    有效性：应及时、准确、一致和可用的方式来交付与业务过程有关的信息；

    效率：通过优化资源使用来交付信息；

    保密性：保护敏感信息免受未授权泄露；

    完整性：信息的正确和完整，并根据业务价值和期望进行验证；

    可用性：若业务过程现在或将来需要时，信息是可用的；

    符合性：符合业务过程必须遵循的法律法规要求和合同约定；

    可靠性：为管理者提供适当的信息，以管理组织并检验其可信度和治理职责。

    COBIT是为IT过程管理而开发的框架，非常关注控制，因此它必须有一个可测量且可获得评价指标体系，为此它为每一个IT过程设计了一个成熟度模型，提供了一个测量尺度，从0（不存在）到5（优化级）：

    0—管理过程根本不存在；（不存在）
 
    1—过程混乱，毫无组织；（初始级）

    2—过程遵循固定模式；（可重复级）

    3—过程已形成文件并发布；（已定义级）

    4—过程得到监控与测量；（可管理级）

    5—遵循最佳实践（优化级）

    过程的成熟度模型使得IT治理得以持续完善。
 
    COBIT把IT控制分为一般IT控制和应用系统控制。所谓一般IT控制是指嵌入到IT过程和服务中去的控制。包括：系统开发、变更管理、安全和计算机运行。所谓应用系统控制是指嵌入到过程应用系统的控制。包括：完整性、正确性、有效性、授权和职责分离。COBIT假设自动化应用系统的开发属于IT职责，涵盖在系统获取和实施过程域中，而运行管理和应用控制的职责不属于IT，而是属于业务部门负责，属于企业内部控制范畴。

    国际公认的内部控制领域最为权威的文献是美国反欺诈财务报告全国委员会（Committee of Sponsoring Organization，简称COSO）发布的《企业风险管理——整合框架》，如图1所示.

图1  企业风险管理整合框架

    COSO框架中也明确规定了对信息系统的控制要求：“出于对信息系统在经营企业和满足报告和合规目标方面的普遍依赖，需要对重要的系统进行控制。可以采用两个广义的信息系统类别。第一个是一般控制，它适用于许多并非全部是应用系统的情形，并且有助于确保它们持续、适当地运行。第二个是应用控制，它在应用软件中包含计算机化的步骤，以便对处理过程进行控制。一般控制和应用控制，在必要的时候与人工实施的控制结合起来，共同起作用以确保信息的完整性、准确性和有效性。”

    2008年6月，我国财政部、证监会、审计署、银监会、保监会在北京联合发布了《企业内部控制基本规范》，该规范自2009年7月1日起，先在上市公司范围内施行，同时也鼓励未上市的其他大中型企业执行。执行基本规范的上市公司，应当对公司内部控制的有效性进行自我评价，披露年度自我评价报告，并聘请具有证券、期货业务资格的中介机构对内部控制的有效性进行审计。《企业内部控制基本规范》中明确规定了”企业应当运用信息技术加强内部控制，建立与经营管理相适应的信息系统，促进内部控制流程与信息系统的有机结合，实现对业务和事项的自动控制，减少或消除人为操纵因素。”

    2008年10月中国注册审计师协会也公布了《内部审计具体准则第28号—信息系统审计》，该准则将从2009年1月1日正式实施。准则指出：“信息系统审计的目的是通过实施信息系统审计工作，对组织是否达成信息技术管理目标进行综合评价，并基于评价意见提出管理建议，协助组织信息技术管理人员有效地履行其受托责任以达成组织的信息技术管理目标。组织的信息技术管理目的是保证组织的信息技术战略充分反映该组织的业务战略目标，提高组织所依赖的信息系统的可靠性、稳定性、安全性及数据处理的完整性和准确性，提高信息系统运行的效果与效率，合理保证信息系统的运行符合法律法规及监管的相关要求。”准则明确了信息系统审计是：“对组织层面信息技术控制、信息技术一般性控制及业务流程层面相关应用控制的审计。”

    3基于风险管理的企业信息系统设计要点

    由于COSO的《企业风险管理——整合框架》和COBIT信息系统和技术控制目标已经分别成为业界公认的企业风险管理和IT审计的国际标准。所以企业在设计或改进其信息系统时应该满足COSO和COBIT的要求，并可采用COSO和COBIT提供的方法论和管理工具。

    企业信息系统的设计需要考虑的两个重点分别是业务流程的优化（包括固化在系统中的作业流程和在系统外的使用规范）和信息技术的支撑。一个好的信息系统一定是充分体现了该行业的最佳业务实践，信息系统的效益由系统蕴含的最佳业务实践决定，信息系统的效率则充分展示了系统开发者的信息技术水平和使用规范的合理性，而信息系统的风险控制则是两者的共同作用。

    从信息技术应用角度出发，基于风险管理的信息系统设计中应该重点考虑信息系统控制要求，这也是信息系统审计的重点。

    信息系统一般控制是指内控中对信息系统相关部分的控制，它用来保证由信息系统支持的流程控制是可靠的、生成的数据和报告是可信的。信息系统的应用可直接关注数据获取和处理的完整性、准确性、授权和有效性。应用控制的一个重要目标是防止错误进入系统，以及在错误发生时予以察觉和矫正。

    信息系统控制的基本内容包括：

    (1)信息安全

    · 信息安全政策

    · 逻辑安全

    · 用户授权流程

    · 关键应用系统访问管理规定

    · 操作系统安全管理规定

    · 数据库安全管理规定
 
    · 信息系统密码管理策略

    · 系统管理员管理策略

    (2)物理安全和环境控制

    · 机房管理规定

    · 机房访问日志

    · 机房访问授权清单

    (3) 病毒防御

    · 病毒防御政策

    · 病毒扫描和病毒库更新记录

    (4) 软件资产管理

    · 软件购买、审批的政策

    · 软件安装和使用的政策

    · 软件清单
 
    (5) 信息系统日常运作

    · IT部门日常工作制度

    · 非紧急事件处理程序
 
    · 紧急事件处理程序

    · 问题管理处理程序

    · 系统运行监控

    · 用户培训记录

    · IT热线

    · 数据库文件检查记录

    (6) 应用系统实施与维护

    · 应用系统开发与维护政策和制度

    · 系统需求管理

    · 系统变更管理
 
    ·  系统设计和开发

    · 系统测试管理
 
    · 系统发布管理

    · 系统上线管理

    · 系统版本管理

    · 系统实施用户培训记录

    · 系统实施评估

    (7) 数据库支持与实施

    · 数据库字典更新和维护规范

    ·数据库管理员权限和用户权限管理

    · 数据库结构修改流程

    · 后台数据库修改流程

    (8) 灾备与业务持续计划

    · 备份策略
 
    · 备份时间表和日志复合记录

    · 数据恢复测试计划
 
    · 灾难恢复应急预案

    (9) 网络支持

    · 网络使用和维护制度

    · 网络拓扑结构

    · 网络设备采购制度

    · 网络设备上线测试制度

    · 网络参数调整变更管理制度

    · 网络日常监控

    (10) 硬件支持

    · 硬件设备使用和维护制度

    · 硬件设备拓扑结构

    · 硬件设备设备采购制度

    · 硬件设备安装测试
 
    · 硬件设备升级管理

    · 硬件设备日常监控

    (11) 系统软件支持

    · 系统软件采购控制
 
    · 系统软件变更和测试

    · 系统软件参数设置

    · 管理层对变更的审批

    (12) 应用控制

    · 输入控制
 
    · 输出控制

    · 访问控制

    · 处理控制

    · 职责分离

    满足企业业务战略和业务需求是信息系统基本功能设置的基础，在业务流程建立和优化的过程中需要满足内部控制的要求，因此在信息系统需求分析阶段应认真分析外部监管要求，遵循COSO标准建立本企业的风险管理框架，并尽可能将控制要求嵌入信息系统，以保证内部控制的有效性。同时对信息系统控制的要求也是基于风险管理的信息系统设计的主要出发点和目标，在系统设计中可以遵循COBIT的指引和使用其提供的分析方法及成熟度模型。

    4应用实例

    以下就装备制造企业信息系统建设中的风险管理作一简单介绍。

    按订单组织生产的现代装备制造业生产经营具备如下特征：

    ·一般通过招投标取得订单。在招投标过程中需要根据用户需求、竞争态势、成本信息等进行报价。品牌（商誉）、产品性能与质量指标、项目管理经验、交付期、产品价格与付款、售后服务承诺等共同构成取得订单的综合要素；

    · 每张订单都有不同程度差异，需要经过系统设计（配置确认）、系统组态（应用软件开发）、现场工程实施、系统投运验收等过程；

    · 每张订单都包括产品与工程服务两项内容，受用户现场条件的制约，整个订单的交付周期波动较大，同时订单的供货范围在整个实施过程均有发生调整的可能；

    · 随着市场分布区域的迅速扩大和在建项目的不断增多，企业的组织架构应随之发生动态调整，组建跨地域的虚拟团队，以适应协同设计体系、网络生产体系、远程用户服务体系等基于互联网的崭新业务模式；

    · 随着国家现代化进程的不断推进，全球自动化产品的市场集中在中国，因而市场竞争态势日趋激烈。这就要求企业不仅要构筑一个敏捷的内部协同制造平台，还要使整个供应链上的企业共同优化资源，提高响应能力和协同工作能力。

    按照COBIT的指引，在信息系统设计中首先应考虑风险控制的要求，识别任何可能对企业目标或运营有潜在影响的事件（威胁和弱点），包括业务的管理、法律法规要求、技术管理、资产管理、供应商及客户管理、人力资源和运营管理等各方面。

    通过分析，可以确认装备制造企业业务流程中的一个重要的风险来自订单的执行过程控制，如果在执行过程中缺乏有效的项目管理，则极有可能给股东或客户造成损失。所以装备制造企业的信息系统建设应该以订单的流转为主线，加强对项目物资、进度、费用和项目实施质量的控制与监测。同时为了实现跨地域的业务团队在有效权限控制下的协同工作，信息系统的安全控制也比仅在一地工作的企业信息系统更为复杂。

    例如在项目管理模块中，应对项目的主要信息进行详细记录，并对各项目的操作权限进行严格控制。操作人员登录系统后，项目目录中只显示登陆人在项目实施中的各个阶段有权限的项目。对每一个新建的项目目录，在进行第一次项目信息维护后，即对项目建立了权限限制。

    在整个信息系统中，应该在涉及物资、资金、经营信息等各个重要环节嵌入类似控制,在此不一一介绍。
 
    另一个重要的风险来自对信息系统的安全管理，由于任何一项控制活动的实现都需要消耗一定的资源，任何一项投资都需要进行损益分析。对于装备制造企业，视其业务规模和地域分散程度，按COBIT信息安全的成熟度模型评价，建议至少达到已定义级以上。

    COBIT信息安全成熟度模型中已定义级（3级）的要求是：有安全意识且管理层也在加强安全意识。组织已定义了符合IT安全策略的IT安全程序。IT安全的责任进行了分配但没有强制执行。由于风险分析的驱动，已制定IT安全计划和安全解决方案。但是IT安全报告没有关注清晰的业务目标。实施了特殊安全测试（如入侵测试），为IT和业务部门提供了安全培训，但没有正式的计划和管理。

    5结束语

    随着企业对信息系统的依赖不断增强，各利益相关方对企业建立包括信息系统控制在内的内部控制要求将会越来越高，政府的监管力度也会越来越大，每一个企业都应尽快根据COBIT标准检查一下自己的信息系统是否符合信息系统审计的要求。

    参考文献

    [1]  ISACA, Control Objectives for Information and related Technology, www.itgi.org, 2007.

    [2] 中国证监会. 企业内部控制基本规范[EB/OL]. www.sec.com.cn. 2008.

    [3] 方红星,王宏译. 企业风险管理——整合框架（美）[M]. 2004.

    [4] 中国内部审计师协会. 内部审计具体准则第28号──信息系统审计, 2008.

    [5] Jack J.Champlain著,张金城,李海风等译.审计信息系统（美）[M]. 2004.