互聯網金融企業的信息系統內部控制研究

趙曉青,陳 偉

（南京審計學院，南京 211815）

0 引言

隨著信息技術的不斷發展，互聯網應用范圍也越來越廣。電子商務、移動支付、云計算等技術在大數據時代得到了高速發展，一些第三方支付平臺甚至已經擴展到了社交網絡層面，互聯網與金融業相結合已經形成勢不可擋的趨勢。劉家義審計長指出：金融是現代經濟的核心，金融安全是國家經濟安全的核心，防范金融風險一直是維系金融穩定的核心問題。互聯網金融在傳統金融風險的基礎上又融入了網絡安全、技術變化等風險，謝平，鄒傳偉（2012）指出，相對于傳統金融而言，互聯網金融具有交易成本低、服務效率高、覆蓋范圍廣、發展速度快和風險系數大等特點。王永利（2013）指出，技術更替、市場變化、網絡安全、系統穩定、客戶信息的保密性需求和流動性的管理對互聯網金融提出了更高的要求。所以，發展互聯網金融的當務之急便是保證信息安全、防范互聯網金融風險，維護金融市場秩序穩定與經濟健康發展。

2014年3月26日，中國支付清算協會互聯網專業委員會正式成立，首批發起單位主要包括主要銀行、支付寶、財付通、清算組織、P2P網貸等，中國平安保險集團董事長馬明哲出任專業委員會主任，此舉表明互聯網金融企業自身和相關部門都已非常重視該行業的發展。但就目前我國互聯網金融發展的外部環境來看，相關部門針對電子商務業和非金融機構支付雖然已經出臺了一些管理辦法，但相關法律法規和監管體系都尚未建立起來。因此，互聯網金融企業更應從自身做起，加強行業自律，完善企業的風險管理和內部控制制度，促進行業的可持續發展。

互聯網金融產品對信息技術的依賴程度極高，研究互聯網金融企業的風險管理和信息系統內部控制問題對于行業發展和金融穩定都有重要意義。本文重點分析了互聯網金融企業的操作風險，針對企業特點從信息系統內部控制角度出發提出風險管控的對策與建議。

1 信息系統內部控制理論綜述

企業的信息系統控制通常分為一般控制和應用控制。一般控制針對整個計算機信息系統及環境要素實施，是對系統所有應用或功能模塊具有普遍影響的控制措施。一般控制具體分為組織控制、系統開發與維護控制、硬件及系統軟件控制、系統安全控制及操作控制，完善一般控制可為企業經營創造良好的操作環境。由于數據處理過程一般包括數據輸入、數據處理和數據輸出三個階段，應用控制主要以輸入控制、處理控制和輸出控制為主。應用控制是為適應各種數據處理的特殊控制要求，保證數據處理完整、準確地完成而建立的內部控制。

1.1 國外研究綜述

關于信息系統內部控制問題，國外已經有了較為成熟的研究。COSO在1992年發布了《內部控制——整合框架》，但COSO框架僅在“控制活動”和“信息與溝通”要素部分規范了對信息系統的控制。2004年，COSO發布了《企業風險管理——整合框架》，但是并沒有對信息系統內部控制進行進一步的研究。2013年新修訂的COSO框架在“控制活動”部分指出：對信息技術（IT），組織要選擇并開展一般控制以支持其目標的實現。

2004年，美國公眾公司會計監督委員會（PCAOB）發布的《審計準則No.2》全面闡釋了IT環境對于內部控制的重要性。2006年，PCAOB發布的《內部控制審計準則》（征求意見稿），提出要評價IT的使用范圍，IT在內部控制中越來越重要。

1996年由信息系統審計與控制協會（ISACA）下屬IT治理研究所最初提出COBIT（Control Objectives for Information And Related Technology），即信息及相關技術控制目標，是用來管理企業內部控制和IT安全等級，指導這些組織有效利用信息資源，有效管理與信息相關風險的權威指南，目前已經修訂到第5版。

1.2 國內研究綜述

國內學者關于信息系統內部控制理論的研究也已經取得較多成果。張金城（1994）根據犯罪人員與計算機系統的關系，將犯罪人員分為外來者、計算機用戶和計算機系統人員3類，從加強法制建設、完善內部控制系統和開展計算機系統審計工作3個方面提出了應對建議。胡奕明，陳箭深（1996）主要研究了信息系統的應用控制，從組織控制、開發控制、安全措施、上機操作、內部審計以及與技術控制相配合6個方面提出了完善會計信息系統內部控制制度的對策。黃正端（1996）認為應按實現控制的措施將內部控制分為程序控制和制度控制兩大類。張金城（2001）分析了電子商務信息系統可能產生的各種風險，從系統控制設計、電子商務信息存取控制設計、電子商務數據加密、系統中網絡端口保護、系統的主體驗證、電子商務數據的完整性保護、并發控制和文檔控制8個方面提出了應對策略。劉志遠，劉潔（2001）從內部控制五要素入手，闡述了信息技術條件下企業內部控制的新特點與新問題。陳志斌（2007）從完善信息化生態環境的角度探討了企業內部控制框架的建設問題。章鐵生（2007）對國內外信息技術條件下的內部控制規范進行了綜述，得出要重視信息集成環境下的內部控制框架建設的結論。吳炎太，林斌，孫燁（2009）從生命周期理論出發，提出要以信息系統生命周期為基礎，根據信息系統不同階段的風險特征進行信息系統風險控制。

2006年，中國銀行業監督管理委員會通過的《商業銀行內部控制指引》第八章明確規定了商業銀行計算機信息系統內部控制的重點和要求。2008年五部委聯合法發布的《企業內部控制基本規范》在“信息與溝通”部分指出，企業應當加強對信息系統開發與維護、訪問與變更、數據輸入與輸出、文件儲存與保管、網絡安全等方面的控制，保證信息系統安全穩定運行。2010年，《企業內部控制應用指引第18號——信息系統》對企業信息系統開發、信息系統運行與維護做出了明確的要求。

2 互聯網金融業的操作風險

操作風險是國際金融界高度關注的重要風險，覆蓋范圍極其廣泛。巴塞爾銀行業監管委員會將操作風險定義為：由于不完善或有問題的內部操作過程、人員、系統或外部事件而導致的直接或間接損失風險。巴塞爾銀行業監督管理委員會將操作風險分為7種表現形式，即：內部欺詐，外部欺詐，雇傭制度及工作場所安全性，客戶、產品及業務做法，實物資產損壞，業務中斷及系統癱瘓，交割及流程管理。互聯網金融本質上是一種金融技術的創新，是信息技術不斷發展的產物，屬于一種特殊的金融服務模式，操作風險也是自然存在的，并且在互聯網金融行業中的表現形式更為復雜。

作為依靠信息技術發展的互聯網金融企業，信息技術貫穿于企業運營的整個過程，交易環境信息化和操作技術自動化給企業帶來了許多新的風險。

2.1 操作環境信息化問題

（1）互聯網金融企業的經營活動都是依托開放的網絡平臺進行的，交易場所是虛擬的，操作人員在業務操作過程中容易受到不法分子的攻擊，出現丟失數據等影響交易完成的情況。為營造良好的運營環境，網絡信息安全必須得到保證，系統安全必須得到有效控制。

（2）互聯網金融企業對信息系統的依賴程度極高，信息系統需要處理的電子數據量極其龐大，交易依賴系統終端和網絡傳輸，維護智能終端的正常運行和網絡信息的正常傳輸是避免業務中斷及系統癱瘓的重要保證。尤其是類似網上銀行支付的業務，一旦系統崩潰，可能給金融機構帶來無法彌補的損失。必須高度重視系統開發與維護控制、硬件及系統軟件控制。

2.2 操作主體多元化問題

（1）互聯網金融企業產品和業務覆蓋范圍廣、行業跨度大、風險系數高，涉及的操作主體較為復雜，可能出現內部欺詐、外部欺詐以及雇傭制度不當等風險。建立嚴格的組織控制和操作控制，把信息系統內部控制的組織和操作流程規范化，建立嚴格的管理體制，降低可控風險。

（2）互聯網金融企業具有交易頻率高、數據存儲量大、對信息安全保密程度要求高等特點，龐大的數據處理量需要科學的管理信息系統。企業所有交易的完成都要進行信息的傳輸，數據的輸入、處理和輸出不當都可能導致操作風險，必須加強企業信息系統的應用控制制度建設。

3 風險管控的對策與建議——加強信息系統內部控制體系建設

信息系統是由計算機硬件、網絡和通信設備、計算機軟件、信息資源、信息用戶和規章制度組成的以處理信息流為目的的人機一體化系統。目前，信息系統已從純粹的財務系統整合進企業經營系統中，加強信息系統內部控制對企業的經營與管理具有重要意義。

針對互聯網金融業操作風險的新問題，本文從以下兩個方面提出應對措施。

3.1 優化操作環境

3.1.1 安全控制

互聯網金融企業的安全控制主要包括環境安全控制、安全保密控制和防病毒控制3個方面。環境安全控制主要是指信息傳輸環境的安全控制；安全保密控制主要針對軟件進行，對數據和運行程序進行加密，系統執行時在進行解碼，維護系統正常運行；由于互聯網金融活動依賴網絡技術，防病毒控制主要針對聯網交易中的外來侵入問題，可以利用防病毒軟件檢測程序運行，定期對系統進行檢查，對重要信息進行備份。

3.1.2 系統開發與維護控制、硬件及系統軟件控制

信息系統運行與維護主要包括日常運行維護、系統變更和安全管理3個事項。①系統開發階段的控制是其他控制有效發揮的前提，如果開發的系統不符合內部控制要求，授權管理不當，可能導致無法利用信息技術實施有效控制。并且信息系統開發的成本較高，規劃不合理會給后期操作帶來阻礙，導致企業經營管理效率低下。所以，必須在系統開發階段進行有效控制，設計符合需要的信息系統，合理規劃并利用信息技術實現有效的控制。②要定期進行系統運行和安全維護，查看是否存在軟硬件毀損或信息泄露等情況，對硬件系統進行有效性檢驗，軟件系統設置錯誤處置、程序保護、文件保護、安全保護、自我保護。③互聯網金融企業的交易具有實時性、高頻性和廣泛性的特點，一旦系統發生故障，可能瞬間造成巨大損失，控制系統必須具備迅速進行災難恢復的能力。

3.2 降低操作風險

3.2.1 組織控制和操作控制

有序的組織控制是開展各項控制的基礎，對各個管理流程的負責人員要進行職責分離，執行業務須進行業務授權，防止內部欺詐和雇傭制度風險。互聯網金融交易的每一步都離不開操作，內部人員必須嚴格遵守上機守則與操作規程，為交易的完成創造良好的基礎環境。

3.2.2 應用控制

應用控制的有效性受到組織控制和操作控制的影響，良好的組織和操作環境是實施應用控制的有效保障。其中，應用控制最關鍵的環節是輸入控制，錯誤的輸入直接影響處理和輸出的正確性和有效性。互聯網金融企業的操作流程基本為程序化控制，操作主體在進行操作時，可以采用口令識別和數據加密等技術進行控制，例如，消費者在利用第三方支付平臺進行支付時，必須輸入靜態密碼和動態密碼，通過實時更新操作信息來對輸入數據進行控制。

互聯網金融企業比普通企業對信息系統內部控制建設有著更高的要求，為了維護行業的健康發展，企業必須正確認識信息系統中的風險易發環節，建立完善的信息系統內部控制制度和風險管理體系。

4 總結

盡管互聯網金融行業存在較高風險，但是在大數據時代下，它通過利用云計算等技術進行數據挖掘，擁有極大的信息優勢，為社會提供了數量更多、范圍更廣的金融支持，比傳統金融更具開放性和普惠性，推動了金融和經濟的發展。所以，我們必須鼓勵互聯網金融企業的發展，企業更應做好信息系統內部控制制度建設工作，防范操作風險，促進行業的健康和可持續發展。

[1]鄭石橋，楊婧，趙珊，等.內部控制學[M].北京：中國時代經濟出版社，2013.

[2]張金城.計算機信息系統控制與審計[M].北京：北京大學出版社，2002.

[3]張金城.計算機犯罪的控制與審計[J].審計與經濟研究，1994（4）.

[4]胡奕明，陳箭深.會計電算化系統內部控制初探[J].會計研究，1996（10）.

[5]黃正端.計算機會計系統內部控制的研究[J].會計研究，1996（11）.

[6]張金城.論電子商務信息系統的風險與控制[J].審計與經濟研究，2001（9）.

[7]劉志遠，劉潔.信息技術條件下的企業內部控制[J].會計研究，2001（12）.

[8]陳志斌.信息化生態環境下企業內部控制框架研究[J].會計研究，2007（1）.

[9]章鐵生.信息技術條件下的內部控制規范——國際實踐與啟示[J].會計研究，2007（7）.

[10]吳炎太，林斌，孫燁.基于生命周期的信息系統內部控制風險管理研究[J].審計研究,2009（6）.

[11]鄭秋霞.基于第三方支付的金融創新與金融風險研究[J].金融實務，2012（3）.

[12]謝平，鄒傳偉.互聯網金融模式研究[J].金融研究，2012（12）.

[13]王永利.發展互聯網金融，促進經濟轉型升級[J].國際金融，2013（10）.

[14]張松，史經緯，雷鼎.互聯網金融下的操作風險管理研究[J].新金融，2013（9）.

[15]張明.警惕互聯網金融行業的潛在風險[J].經濟導刊，2013（9）.

[16]財政部.企業內部控制基本規范[S].2008.

[17]財政部.企業內部控制應用指引——信息系統一般控制[S].2008.