淺談信息系統內部控制體系的風險點

陳曉紅，韓一民，楊立發(fā)

（中國船舶重工集團公司第七○三研究所，哈爾濱 150078）

一、風險管理的目的

通過具有前瞻性的、充分地考慮各類風險的不確定性及其對目標的影響，制定行之有效的應對措施，為組織在運營和決策中有效應對各類突發(fā)事件和風險提供支持和保障，可使組織能有效的配置資源、優(yōu)化過程，及時、恰當、有效地應對風險，提高風險應對的效率和效果，更好地實現組織的目標。

二、風險管理原則

（一）風險管理創(chuàng)造并保護價值

以控制損失、創(chuàng)造價值為目標的風險管理，，有助于組織實現目標、取得具體可見的成績和改善各方面的業(yè)績。風險是客觀存在的，任何組織都面臨風險，組織的所有活動都涉及風險，風險會影響組織目標的實現。在組織的運營活動中，機遇和威脅并存，風險管理就是趨利避害，創(chuàng)造價值。因此風險管理過程越來越多地被認為是既要關注不確定因素帶來的消極影響，又要關注這些不確定因素的積極影響。

（二）風險管理嵌入組織的管理過程

風險管理不是獨立于組織活動和各項管理過程的單獨活動，而是組織管理過程不可缺少的重要組織部分。

（三）風險管理支持決策過程

組織的所有決策都應考慮風險和風險管理。風險管理旨在將風險控制在組織可接受的范圍內，有助于判斷風險應當是否充分、有效、有助于決定行動的優(yōu)先順序并選擇可行的行動方案，從而幫助決策者做出合理的決策。

（四）明確風險管理涉及的不確定性

風險管理的不確定性指：1.發(fā)生與否不確定；2.發(fā)生的時間不確定；3.發(fā)生的狀況不確定；4.發(fā)生的后果嚴重性程度不確定。

風險管理就是要確定這些不確定性，做出對策，降低風險的影響，確保目標的實現。

（五）風險管理是基于最可用的信息

風險管理過程是以信息為基礎的。風險的各個過程要收集大量的信息，確保風險識別的充分性和風險決策的有效性。組織應該建立獲取風險有效信息的渠道，可以通過各種渠道，包括經驗、反饋、觀察、預測、專家判斷等獲取有效、有用的信息，確保風險管理過程的充分性和有效性。在利用收集到的各種信息時，要考慮各種信息來源的局限性，確保信息對策的有效支持。

（六）風險管理考慮人文因素

組織應該在內部營造一種具有風險意識的企業(yè)文化，培育風險管理文化，樹立正確的風險管理理念，增強員工風險管理意識，將風險管理意識轉化為員工的共同認識和自覺行動，促進企業(yè)建立系統、規(guī)范、高效的風險管理機制。全體員工尤其是各級管理人員和業(yè)務操作人員應通過多種形式，努力傳播企業(yè)風險管理文化，牢固樹立風險無處不在、風險無時不在的意識。

（七）風險管理是透明的和包容的

在組織的風險管理過程中，風險管理的決策者要參與風險管理過程，要和風險管理過程的人員充分的溝通，要在風險管理的各個環(huán)節(jié)明確要求和準則，及時掌握風險動態(tài)，做出準確的決策。風險管理過程要進行充分的協商和溝通，確保各方的觀點能采納，確保各方的利益能保證。當組織在重大風險事件的風險決策過程中，各方尤其要充分溝通，確保決策的有限性和針對性。

（八）風險管理是動態(tài)的，迭代的和適應變化的

由于內部和外部事件的發(fā)生、環(huán)境和知識的改變，以及監(jiān)視和評審的實施，有的風險會發(fā)生變化，一些新的風險可能會出現，另一些風險可能會消失。組織應持續(xù)不斷地對各種變化保持敏感并做出適當反應。

（九）風險管理有利于組織持續(xù)改進

風險管理要能夠提高組織的風險管理意識，改進對機會和威脅的識別，有效配置資源，改善運營效果和效率，增強組織的生存和持續(xù)發(fā)展的能力。

三、信息系統主要風險點

（一）信息系統開發(fā)的主要風險點

一是缺乏信息系統規(guī)劃與方案，或規(guī)劃與方案不合理；二是信息系統投資決策及預算管理失誤；三是信息系統開發(fā)工作組織定位不合理、職責設置不明確、流程與政策不明晰；四是缺乏有勝任能力和工作熱情的信息系統人員；五是缺乏有效的信息系統質量管理、風險管理、績效測評等體系；六是業(yè)務功能和需求調研不充分；七是信息系統設計流程或方法不當；八是信息系統基礎設施不完整或達不到標準要求；九是信息系統測試不充分或不科學，或缺乏有效的驗收工作；十是操作手冊不詳細、用戶培訓等知識轉移和數據工作不到位。

（二）信息系統運營維護的主要風險點

1.信息系統響應時間和停機時間過長，其性能和容量無法滿足業(yè)務需求，可能影響工作效率。

2.信息從災難中恢復時間過長，或者無法恢復，是信息系統服務中斷，可能影響工作的正常運行。

3.信息系統安全管理技術與制度不健全，可能將信息資產的脆弱性暴露在危險境地，給單位帶來無法挽回的損失。

4.運行維護遇到的事件、問題無法在規(guī)定時間內得到有效解決，影響信息系統的有效運行，使相關業(yè)務無法正常開展。

5.缺乏一個準確而全面的配置庫，無法確保硬件和軟件配置信息的完整性，可能導致信息系統維護工作無序、低效。

（三）信息系統崗位職責的主要風險點

1.信息系統部門的組織模式不合理，如權利集中度與分散度不平衡，可能無法有效調動各方面積極性，及時響應信息系統運行需求。

2.信息系統組織層級過多，匯報關系過于復雜，可能導致各層管理者之間溝通不暢，影響信息系統建設與維護效率。

3.信息系統組織內部角色和職責定義不清，存在重疊或空白，可能造成推諉扯皮現象，影響信息系統團隊的合作

4.信息系統部門和最終部門未實現充分的職責分離，可能無法及時發(fā)現工作中的錯誤與舞弊問題。

四、信息系統相關資產管理風險

（一）采購與驗收環(huán)節(jié)的主要風險點

1.采購申請不符合實際需要，采購申請不當，資產采購決策失誤，可能造成資產損失或資源浪費。

2.供應商選擇的風險。定期對一般供應商和定點供應商進行評定，可能未明確參與評價的部門，從而對供應商的評價不夠全面，對于供應商的評價結果及采取的措施沒有在一定范圍內進行公示，因而缺乏有效的監(jiān)督，會使評價工作沒有起到應有的效果。

3.驗收小組驗收過程不規(guī)范，可能導致資產損失或資源浪費。

4.資產建賬不及時、不準確、不完整可能導致資產流失、信息失真、帳物不符。

（二）資產核對環(huán)節(jié)的主要風險點

1.未按規(guī)定組織資產核對，資產核對不及時、不準確、不完整可能造成資產流失。

2.資產核對差異報批與處理不及時或不規(guī)范，可能造成資產帳物不符。

（三）資產處置環(huán)節(jié)的主要風險點

1.資產處置業(yè)務流程管理混亂，職責分工不明確、流程不清晰，對處置業(yè)務沒有引起足夠重視而任意處置資產，易于產生資產流失。

2.員工為謀取私利，未履行崗位職責，未經過適當的申請、審批、鑒定等程序，擅自處置資產，可能導致出售價格過低、資產損失。

3.資產處置的相關憑證未提交財務部門，導致帳物不符。