二、信息技术基础设施变化带来的新风险

　　COSO的NO.309指出，技术的一般控制包括：对信息技术基础设施的控制、对安全管理的控制和对技术获得、开发和维护的控制。NO.310指出技术需要在一个基础设施中运行，这种基础设施包括连接各部分的网络、各种计算资源和电力。这些基础设施可能由企业中不同的业务单元来共享，也可能外包给第三方服务企业来管理，如："云计算"的服务商提供的服务。

　　COSO的NO.310中提出了一个新的概念，利用"云计算"技术将基础设施外包给第三方企业。这意味着企业自身将无法控制由基础设施带来的风险。那么，企业如何利用"云计算"？它又会带来哪些新的风险呢？

　　云计算是网络计算、分布式计算、并行计算、效用计算、网络存储、虚拟化、负载均衡等传统计算机技术和网络技术发展融合的产物。它旨在通过网络把多个成本相对较低的计算实体整合成一个具有强大计算能力的完美系统，并借助SaaS（SoftwareasaService，软件即服务）、IaaS（InfrastructureasaService，基础设施即服务）等先进的商业模式，把强大的计算能力分布到终端用户手中。

　　软件即服务（SaaS）的服务模式为：SaaS服务提供商将应用软件统一部署在自己的服务器上，用户根据自身需求，通过互联网向提供商订购应用软件服务，服务提供商根据客户所定应用软件的数量、使用时间的长短等因素收费，并且通过浏览器向客户提供应用软件服务。我国最大的财务软件提供商--用友软件正在尝试以这种方式给用户提供服务。

　　基础设施即服务（IaaS）的服务模式为：把厂商由多台服务器组成的"云端"基础设施作为计量服务提供给客户。IaaS将内存、I/O设备、存储和计算能力整合成一个虚拟的资源池，为整个业界提供所需要的存储资源和虚拟化服务器等服务，用户付费使用厂商的硬件设施。IaaS的优点是用户仅仅需要低成本硬件，按自身需求租用相应计算能力和存储能力，大大降低了用户在硬件上的开销，同时有利于用户的规模扩充和发展。

　　"云计算"在给用户提供低成本、方便服务的同时，也带来了新的风险。如：某些滥用和恶意使用云计算的风险；不安全应用程序接口的风险；"云计算"提供商不怀好意的内部人员，从组织内部发起攻击的风险；基础设施共享带来的风险；数据可能丢失或泄漏的风险；账户或服务被窃听或劫持的风险。

　　三、注重来自企业外部与内部的风险

　　COSO的NO.313指出，安全的威胁来自内部与外部两个方面。外部威胁对那些依赖网络进行运营的企业尤其重要。企业、客户与怀有恶意的人可能在世界的另一侧，也可能同在一个房间。信息技术的一些隐藏应用方式和访问通道可能忽视了安全管理的重要性。在今天高度互联的商业环境中，外部的威胁已经变得无与伦比的重要，应该继续努力去应对它。NO.314指出，来自于前任或对企业不满员工的内部威胁具有与众不同的特点，因为他们既有动力来反对企业，同时又装备得更好，为了取得破坏的成功，他们更了解企业的安全管理系统和过程。

　　在我国，越来越多的企业正在依赖互联网从事经营活动，如：各大银行都有网上银行、销售商品的网站越来越多。可以说，在互联网上我们可以买到任何我们需要的商品。与传统企业不同，这些企业经营活动直接受互联网的影响，网络上不怀好意的黑客，很可能通过各种我们意想不到的手段攻击这些企业的网站，这样的例子在国外有很多。因此，不论是通过技术手段，还是通过管理制度，防范来自外部的风险是这些企业必然的选择。除了外部的威胁以外，内部的威胁也同样存在，内部不怀好意的人由于对企业内部使用的技术、管理的方式、方法都很熟悉，能够发现企业管理中的漏洞，从而趁虚而入，借机破坏。因此，合理进行人员分工，建立各种保密制度，以最大程度防止来自内部的风险。

　　四、信息技术下内控方式细节的改变

　　COSO的NO.219阐述了内部控制的方法：

　　1.Verifications--核对；2.Reconciliations--调节；3.AuthorizationsandApprovals--授权与审批；4.PhysicalControls--实地控制；5.ControlsoverStandingData--对静态数据的控制；6.SupervisoryControls--监视控制。

　　COSO的NO.471指出，从1992年以来，在控制活动的实施中，信息技术所扮演的角色在演进，对于1992年提出的关于控制活动的基本概念没有变化，但技术改变了很多控制活动的细节。

　　核对和调节是COSO在修改草案中提出的两种主要的控制方法。在手工环境下，这完全是正确的。但在计算机环境下，却有一些改变。在计算机环境下，对于两种有联系业务数据一致性的控制，一般采用核对的方法，如：在应付管理系统中，应付单或采购发票与付款单的核对；在应收管理系统中，应收单或销售发票与收款单的核对，通过这样的核对保证每笔应付账款或应收账款都可以准确地确认是否付款了或收款了，以便达到内部控制精确性的要求。但对于保证一种业务各个环节上数据的一致性，采用的不是核对的方法，而是采用直接调用数据的方法，不需要核对，应该说，这是比核对更好的一种方法，既节省成本，又准确。如：在计算机环境下，可以由原始凭证直接生成记账凭证，由记账凭证直接生成各种总账、明细账和报表。手工环境下的账证核对、账账核对、账表核对，在计算机环境下已经不存在了。这样的改变，也提出了一个新的问题，在计算机环境下内部控制的重点应该是什么？以上面提出的问题为例，应该是原始凭证或记账凭证的录入及各种转换环节的公式设置。在原始凭证或记账凭证的录入中可以利用信息技术进行数据正确性和完整性的控制。

　　总之，由于信息技术自身的日益发展和企业对其应用日益普遍和深入，信息技术为企业带来新的盈利模式、管理模式和控制模式的同时，也为企业带来了新的风险。我们一方面要充分利用信息技术，同时也要采用新的措施，控制其带来的风险。

　　【参考文献】

　　[1]吴德本，姚健，邓志武.云计算综述[J].计算机应用，2012（3）.

　　[2]刘璇，张向前."淘宝网"盈利模式分析[J].经济问题探索，2012（1）.

　　[3]杨竹.关于淘宝网C2C电子商务可税性研究[J].商业研究，2012（2）.

　　[4]吴辉.浅议COSO框架对ERP软件的要求[J].中国信息化，2008（8）.

　　[5]范瑞.企业内部控制信息化实现的途径探析[J].财务与会计，2011（4）.

 

---

期刊库（http://www.zgqkk.com），是一个专门从事期刊推广、投稿辅导的网站。
　　本站提供如何投稿辅导，寻求投稿辅导合作，快速投稿辅导，投稿辅导格式指导等解决方案：省级投稿辅导/国家级投稿辅导/核心期刊投稿辅导//职称投稿辅导。

---

　　【免责声明】本文仅代表作者本人观点，与投稿辅导_期刊发表_中国期刊库专业期刊网站无关。投稿辅导_期刊发表_中国期刊库专业期刊网站站对文中陈述、观点判断保持中立，不对所包含内容的准确性、可靠性或完整性提供任何明示或暗示的保证。请读者仅作参考，并请自行承担全部责任。