浅谈信息系统内部控制体系的风险点

陈晓红，韩一民，杨立发

（中国船舶重工集团公司第七○三研究所，哈尔滨 150078）

一、风险管理的目的

通过具有前瞻性的、充分地考虑各类风险的不确定性及其对目标的影响，制定行之有效的应对措施，为组织在运营和决策中有效应对各类突发事件和风险提供支持和保障，可使组织能有效的配置资源、优化过程，及时、恰当、有效地应对风险，提高风险应对的效率和效果，更好地实现组织的目标。

二、风险管理原则

（一）风险管理创造并保护价值

以控制损失、创造价值为目标的风险管理，，有助于组织实现目标、取得具体可见的成绩和改善各方面的业绩。风险是客观存在的，任何组织都面临风险，组织的所有活动都涉及风险，风险会影响组织目标的实现。在组织的运营活动中，机遇和威胁并存，风险管理就是趋利避害，创造价值。因此风险管理过程越来越多地被认为是既要关注不确定因素带来的消极影响，又要关注这些不确定因素的积极影响。

（二）风险管理嵌入组织的管理过程

风险管理不是独立于组织活动和各项管理过程的单独活动，而是组织管理过程不可缺少的重要组织部分。

（三）风险管理支持决策过程

组织的所有决策都应考虑风险和风险管理。风险管理旨在将风险控制在组织可接受的范围内，有助于判断风险应当是否充分、有效、有助于决定行动的优先顺序并选择可行的行动方案，从而帮助决策者做出合理的决策。

（四）明确风险管理涉及的不确定性

风险管理的不确定性指：1.发生与否不确定；2.发生的时间不确定；3.发生的状况不确定；4.发生的后果严重性程度不确定。

风险管理就是要确定这些不确定性，做出对策，降低风险的影响，确保目标的实现。

（五）风险管理是基于最可用的信息

风险管理过程是以信息为基础的。风险的各个过程要收集大量的信息，确保风险识别的充分性和风险决策的有效性。组织应该建立获取风险有效信息的渠道，可以通过各种渠道，包括经验、反馈、观察、预测、专家判断等获取有效、有用的信息，确保风险管理过程的充分性和有效性。在利用收集到的各种信息时，要考虑各种信息来源的局限性，确保信息对策的有效支持。

（六）风险管理考虑人文因素

组织应该在内部营造一种具有风险意识的企业文化，培育风险管理文化，树立正确的风险管理理念，增强员工风险管理意识，将风险管理意识转化为员工的共同认识和自觉行动，促进企业建立系统、规范、高效的风险管理机制。全体员工尤其是各级管理人员和业务操作人员应通过多种形式，努力传播企业风险管理文化，牢固树立风险无处不在、风险无时不在的意识。

（七）风险管理是透明的和包容的

在组织的风险管理过程中，风险管理的决策者要参与风险管理过程，要和风险管理过程的人员充分的沟通，要在风险管理的各个环节明确要求和准则，及时掌握风险动态，做出准确的决策。风险管理过程要进行充分的协商和沟通，确保各方的观点能采纳，确保各方的利益能保证。当组织在重大风险事件的风险决策过程中，各方尤其要充分沟通，确保决策的有限性和针对性。

（八）风险管理是动态的，迭代的和适应变化的

由于内部和外部事件的发生、环境和知识的改变，以及监视和评审的实施，有的风险会发生变化，一些新的风险可能会出现，另一些风险可能会消失。组织应持续不断地对各种变化保持敏感并做出适当反应。

（九）风险管理有利于组织持续改进

风险管理要能够提高组织的风险管理意识，改进对机会和威胁的识别，有效配置资源，改善运营效果和效率，增强组织的生存和持续发展的能力。

三、信息系统主要风险点

（一）信息系统开发的主要风险点

一是缺乏信息系统规划与方案，或规划与方案不合理；二是信息系统投资决策及预算管理失误；三是信息系统开发工作组织定位不合理、职责设置不明确、流程与政策不明晰；四是缺乏有胜任能力和工作热情的信息系统人员；五是缺乏有效的信息系统质量管理、风险管理、绩效测评等体系；六是业务功能和需求调研不充分；七是信息系统设计流程或方法不当；八是信息系统基础设施不完整或达不到标准要求；九是信息系统测试不充分或不科学，或缺乏有效的验收工作；十是操作手册不详细、用户培训等知识转移和数据工作不到位。

（二）信息系统运营维护的主要风险点

1.信息系统响应时间和停机时间过长，其性能和容量无法满足业务需求，可能影响工作效率。

2.信息从灾难中恢复时间过长，或者无法恢复，是信息系统服务中断，可能影响工作的正常运行。

3.信息系统安全管理技术与制度不健全，可能将信息资产的脆弱性暴露在危险境地，给单位带来无法挽回的损失。

4.运行维护遇到的事件、问题无法在规定时间内得到有效解决，影响信息系统的有效运行，使相关业务无法正常开展。

5.缺乏一个准确而全面的配置库，无法确保硬件和软件配置信息的完整性，可能导致信息系统维护工作无序、低效。

（三）信息系统岗位职责的主要风险点

1.信息系统部门的组织模式不合理，如权利集中度与分散度不平衡，可能无法有效调动各方面积极性，及时响应信息系统运行需求。

2.信息系统组织层级过多，汇报关系过于复杂，可能导致各层管理者之间沟通不畅，影响信息系统建设与维护效率。

3.信息系统组织内部角色和职责定义不清，存在重叠或空白，可能造成推诿扯皮现象，影响信息系统团队的合作

4.信息系统部门和最终部门未实现充分的职责分离，可能无法及时发现工作中的错误与舞弊问题。

四、信息系统相关资产管理风险

（一）采购与验收环节的主要风险点

1.采购申请不符合实际需要，采购申请不当，资产采购决策失误，可能造成资产损失或资源浪费。

2.供应商选择的风险。定期对一般供应商和定点供应商进行评定，可能未明确参与评价的部门，从而对供应商的评价不够全面，对于供应商的评价结果及采取的措施没有在一定范围内进行公示，因而缺乏有效的监督，会使评价工作没有起到应有的效果。

3.验收小组验收过程不规范，可能导致资产损失或资源浪费。

4.资产建账不及时、不准确、不完整可能导致资产流失、信息失真、帐物不符。

（二）资产核对环节的主要风险点

1.未按规定组织资产核对，资产核对不及时、不准确、不完整可能造成资产流失。

2.资产核对差异报批与处理不及时或不规范，可能造成资产帐物不符。

（三）资产处置环节的主要风险点

1.资产处置业务流程管理混乱，职责分工不明确、流程不清晰，对处置业务没有引起足够重视而任意处置资产，易于产生资产流失。

2.员工为谋取私利，未履行岗位职责，未经过适当的申请、审批、鉴定等程序，擅自处置资产，可能导致出售价格过低、资产损失。

3.资产处置的相关凭证未提交财务部门，导致帐物不符。