赵晓青,陈 伟
(南京审计学院,南京 211815)
随着信息技术的不断发展,互联网应用范围也越来越广。电子商务、移动支付、云计算等技术在大数据时代得到了高速发展,一些第三方支付平台甚至已经扩展到了社交网络层面,互联网与金融业相结合已经形成势不可挡的趋势。刘家义审计长指出:金融是现代经济的核心,金融安全是国家经济安全的核心,防范金融风险一直是维系金融稳定的核心问题。互联网金融在传统金融风险的基础上又融入了网络安全、技术变化等风险,谢平,邹传伟(2012)指出,相对于传统金融而言,互联网金融具有交易成本低、服务效率高、覆盖范围广、发展速度快和风险系数大等特点。王永利(2013)指出,技术更替、市场变化、网络安全、系统稳定、客户信息的保密性需求和流动性的管理对互联网金融提出了更高的要求。所以,发展互联网金融的当务之急便是保证信息安全、防范互联网金融风险,维护金融市场秩序稳定与经济健康发展。
2014年3月26日,中国支付清算协会互联网专业委员会正式成立,首批发起单位主要包括主要银行、支付宝、财付通、清算组织、P2P网贷等,中国平安保险集团董事长马明哲出任专业委员会主任,此举表明互联网金融企业自身和相关部门都已非常重视该行业的发展。但就目前我国互联网金融发展的外部环境来看,相关部门针对电子商务业和非金融机构支付虽然已经出台了一些管理办法,但相关法律法规和监管体系都尚未建立起来。因此,互联网金融企业更应从自身做起,加强行业自律,完善企业的风险管理和内部控制制度,促进行业的可持续发展。
互联网金融产品对信息技术的依赖程度极高,研究互联网金融企业的风险管理和信息系统内部控制问题对于行业发展和金融稳定都有重要意义。本文重点分析了互联网金融企业的操作风险,针对企业特点从信息系统内部控制角度出发提出风险管控的对策与建议。
企业的信息系统控制通常分为一般控制和应用控制。一般控制针对整个计算机信息系统及环境要素实施,是对系统所有应用或功能模块具有普遍影响的控制措施。一般控制具体分为组织控制、系统开发与维护控制、硬件及系统软件控制、系统安全控制及操作控制,完善一般控制可为企业经营创造良好的操作环境。由于数据处理过程一般包括数据输入、数据处理和数据输出三个阶段,应用控制主要以输入控制、处理控制和输出控制为主。应用控制是为适应各种数据处理的特殊控制要求,保证数据处理完整、准确地完成而建立的内部控制。
关于信息系统内部控制问题,国外已经有了较为成熟的研究。COSO在1992年发布了《内部控制——整合框架》,但COSO框架仅在“控制活动”和“信息与沟通”要素部分规范了对信息系统的控制。2004年,COSO发布了《企业风险管理——整合框架》,但是并没有对信息系统内部控制进行进一步的研究。2013年新修订的COSO框架在“控制活动”部分指出:对信息技术(IT),组织要选择并开展一般控制以支持其目标的实现。
2004年,美国公众公司会计监督委员会(PCAOB)发布的《审计准则No.2》全面阐释了IT环境对于内部控制的重要性。2006年,PCAOB发布的《内部控制审计准则》(征求意见稿),提出要评价IT的使用范围,IT在内部控制中越来越重要。
1996年由信息系统审计与控制协会(ISACA)下属IT治理研究所最初提出COBIT(Control Objectives for Information And Related Technology),即信息及相关技术控制目标,是用来管理企业内部控制和IT安全等级,指导这些组织有效利用信息资源,有效管理与信息相关风险的权威指南,目前已经修订到第5版。
国内学者关于信息系统内部控制理论的研究也已经取得较多成果。张金城(1994)根据犯罪人员与计算机系统的关系,将犯罪人员分为外来者、计算机用户和计算机系统人员3类,从加强法制建设、完善内部控制系统和开展计算机系统审计工作3个方面提出了应对建议。胡奕明,陈箭深(1996)主要研究了信息系统的应用控制,从组织控制、开发控制、安全措施、上机操作、内部审计以及与技术控制相配合6个方面提出了完善会计信息系统内部控制制度的对策。黄正端(1996)认为应按实现控制的措施将内部控制分为程序控制和制度控制两大类。张金城(2001)分析了电子商务信息系统可能产生的各种风险,从系统控制设计、电子商务信息存取控制设计、电子商务数据加密、系统中网络端口保护、系统的主体验证、电子商务数据的完整性保护、并发控制和文档控制8个方面提出了应对策略。刘志远,刘洁(2001)从内部控制五要素入手,阐述了信息技术条件下企业内部控制的新特点与新问题。陈志斌(2007)从完善信息化生态环境的角度探讨了企业内部控制框架的建设问题。章铁生(2007)对国内外信息技术条件下的内部控制规范进行了综述,得出要重视信息集成环境下的内部控制框架建设的结论。吴炎太,林斌,孙烨(2009)从生命周期理论出发,提出要以信息系统生命周期为基础,根据信息系统不同阶段的风险特征进行信息系统风险控制。
2006年,中国银行业监督管理委员会通过的《商业银行内部控制指引》第八章明确规定了商业银行计算机信息系统内部控制的重点和要求。2008年五部委联合法发布的《企业内部控制基本规范》在“信息与沟通”部分指出,企业应当加强对信息系统开发与维护、访问与变更、数据输入与输出、文件储存与保管、网络安全等方面的控制,保证信息系统安全稳定运行。2010年,《企业内部控制应用指引第18号——信息系统》对企业信息系统开发、信息系统运行与维护做出了明确的要求。
操作风险是国际金融界高度关注的重要风险,覆盖范围极其广泛。巴塞尔银行业监管委员会将操作风险定义为:由于不完善或有问题的内部操作过程、人员、系统或外部事件而导致的直接或间接损失风险。巴塞尔银行业监督管理委员会将操作风险分为7种表现形式,即:内部欺诈,外部欺诈,雇佣制度及工作场所安全性,客户、产品及业务做法,实物资产损坏,业务中断及系统瘫痪,交割及流程管理。互联网金融本质上是一种金融技术的创新,是信息技术不断发展的产物,属于一种特殊的金融服务模式,操作风险也是自然存在的,并且在互联网金融行业中的表现形式更为复杂。
作为依靠信息技术发展的互联网金融企业,信息技术贯穿于企业运营的整个过程,交易环境信息化和操作技术自动化给企业带来了许多新的风险。
(1)互联网金融企业的经营活动都是依托开放的网络平台进行的,交易场所是虚拟的,操作人员在业务操作过程中容易受到不法分子的攻击,出现丢失数据等影响交易完成的情况。为营造良好的运营环境,网络信息安全必须得到保证,系统安全必须得到有效控制。
(2)互联网金融企业对信息系统的依赖程度极高,信息系统需要处理的电子数据量极其庞大,交易依赖系统终端和网络传输,维护智能终端的正常运行和网络信息的正常传输是避免业务中断及系统瘫痪的重要保证。尤其是类似网上银行支付的业务,一旦系统崩溃,可能给金融机构带来无法弥补的损失。必须高度重视系统开发与维护控制、硬件及系统软件控制。
(1)互联网金融企业产品和业务覆盖范围广、行业跨度大、风险系数高,涉及的操作主体较为复杂,可能出现内部欺诈、外部欺诈以及雇佣制度不当等风险。建立严格的组织控制和操作控制,把信息系统内部控制的组织和操作流程规范化,建立严格的管理体制,降低可控风险。
(2)互联网金融企业具有交易频率高、数据存储量大、对信息安全保密程度要求高等特点,庞大的数据处理量需要科学的管理信息系统。企业所有交易的完成都要进行信息的传输,数据的输入、处理和输出不当都可能导致操作风险,必须加强企业信息系统的应用控制制度建设。
信息系统是由计算机硬件、网络和通信设备、计算机软件、信息资源、信息用户和规章制度组成的以处理信息流为目的的人机一体化系统。目前,信息系统已从纯粹的财务系统整合进企业经营系统中,加强信息系统内部控制对企业的经营与管理具有重要意义。
针对互联网金融业操作风险的新问题,本文从以下两个方面提出应对措施。
3.1.1 安全控制
互联网金融企业的安全控制主要包括环境安全控制、安全保密控制和防病毒控制3个方面。环境安全控制主要是指信息传输环境的安全控制;安全保密控制主要针对软件进行,对数据和运行程序进行加密,系统执行时在进行解码,维护系统正常运行;由于互联网金融活动依赖网络技术,防病毒控制主要针对联网交易中的外来侵入问题,可以利用防病毒软件检测程序运行,定期对系统进行检查,对重要信息进行备份。
3.1.2 系统开发与维护控制、硬件及系统软件控制
信息系统运行与维护主要包括日常运行维护、系统变更和安全管理3个事项。①系统开发阶段的控制是其他控制有效发挥的前提,如果开发的系统不符合内部控制要求,授权管理不当,可能导致无法利用信息技术实施有效控制。并且信息系统开发的成本较高,规划不合理会给后期操作带来阻碍,导致企业经营管理效率低下。所以,必须在系统开发阶段进行有效控制,设计符合需要的信息系统,合理规划并利用信息技术实现有效的控制。②要定期进行系统运行和安全维护,查看是否存在软硬件毁损或信息泄露等情况,对硬件系统进行有效性检验,软件系统设置错误处置、程序保护、文件保护、安全保护、自我保护。③互联网金融企业的交易具有实时性、高频性和广泛性的特点,一旦系统发生故障,可能瞬间造成巨大损失,控制系统必须具备迅速进行灾难恢复的能力。
3.2.1 组织控制和操作控制
有序的组织控制是开展各项控制的基础,对各个管理流程的负责人员要进行职责分离,执行业务须进行业务授权,防止内部欺诈和雇佣制度风险。互联网金融交易的每一步都离不开操作,内部人员必须严格遵守上机守则与操作规程,为交易的完成创造良好的基础环境。
3.2.2 应用控制
应用控制的有效性受到组织控制和操作控制的影响,良好的组织和操作环境是实施应用控制的有效保障。其中,应用控制最关键的环节是输入控制,错误的输入直接影响处理和输出的正确性和有效性。互联网金融企业的操作流程基本为程序化控制,操作主体在进行操作时,可以采用口令识别和数据加密等技术进行控制,例如,消费者在利用第三方支付平台进行支付时,必须输入静态密码和动态密码,通过实时更新操作信息来对输入数据进行控制。
互联网金融企业比普通企业对信息系统内部控制建设有着更高的要求,为了维护行业的健康发展,企业必须正确认识信息系统中的风险易发环节,建立完善的信息系统内部控制制度和风险管理体系。
尽管互联网金融行业存在较高风险,但是在大数据时代下,它通过利用云计算等技术进行数据挖掘,拥有极大的信息优势,为社会提供了数量更多、范围更广的金融支持,比传统金融更具开放性和普惠性,推动了金融和经济的发展。所以,我们必须鼓励互联网金融企业的发展,企业更应做好信息系统内部控制制度建设工作,防范操作风险,促进行业的健康和可持续发展。
[1]郑石桥,杨婧,赵珊,等.内部控制学[M].北京:中国时代经济出版社,2013.
[2]张金城.计算机信息系统控制与审计[M].北京:北京大学出版社,2002.
[3]张金城.计算机犯罪的控制与审计[J].审计与经济研究,1994(4).
[4]胡奕明,陈箭深.会计电算化系统内部控制初探[J].会计研究,1996(10).
[5]黄正端.计算机会计系统内部控制的研究[J].会计研究,1996(11).
[6]张金城.论电子商务信息系统的风险与控制[J].审计与经济研究,2001(9).
[7]刘志远,刘洁.信息技术条件下的企业内部控制[J].会计研究,2001(12).
[8]陈志斌.信息化生态环境下企业内部控制框架研究[J].会计研究,2007(1).
[9]章铁生.信息技术条件下的内部控制规范——国际实践与启示[J].会计研究,2007(7).
[10]吴炎太,林斌,孙烨.基于生命周期的信息系统内部控制风险管理研究[J].审计研究,2009(6).
[11]郑秋霞.基于第三方支付的金融创新与金融风险研究[J].金融实务,2012(3).
[12]谢平,邹传伟.互联网金融模式研究[J].金融研究,2012(12).
[13]王永利.发展互联网金融,促进经济转型升级[J].国际金融,2013(10).
[14]张松,史经纬,雷鼎.互联网金融下的操作风险管理研究[J].新金融,2013(9).
[15]张明.警惕互联网金融行业的潜在风险[J].经济导刊,2013(9).
[16]财政部.企业内部控制基本规范[S].2008.
[17]财政部.企业内部控制应用指引——信息系统一般控制[S].2008.