时间:2022-02-28 21:47:58
【关键词】 IT审计; 财务共享服务模式; 大数据; 云会计
【中图分类号】 F232 【文献标识码】 A 【文章编号】 1004-5937(2016)24-0128-04
一、引言
财务共享服务模式是依托大数据、云计算等信息新技术以财务业务流程再造为基础的分布式管理模式,目的是优化组织结构、提升核算流程效率、降低财务核算成本以及为企业创造价值,其站在市场视角为内外部客户提供专业化财务服务。在财务共享服务模式下,集团企业将日常的、共同的、分散的、大量的、重复的、可标准化的财务会计流程从下属分公司剥离出来,统一交给财务共享中心进行处理[1],实现了业务处理、数据存储的集中,同时也增加了IT风险。IT风险[2]已经成为企业的“经营风险”,包含IT环境风险、IT管理风险、IT技术风险和IT平台风险等。大数据时代基于财务共享服务模式的IT审计目的是为了找出并解决财务共享的IT风险,依托大数据、云计算等信息新技术,通过对大数据进行采集、处理、分析以发现问题。
IT审计一直受到诸多学者的重视,曹立明[3]分析了IT审计本质、目标与方法,认为IT审计是会计信息化的内在要求,并对会计信息化IT审计的目标、内容和实施条件进行分析,最后对会计信息化IT审计面临的问题进行了阐述。覃宪姬等[4]以广州地铁IT审计为例,在分析了广州地铁信息系统审计现状的基础上,构建了广州地铁IT审计框架并对其具体内容、实施步骤、审计策略以及审计方法进行了阐述。柳芳[5]从ERP系统安全性风险、业务流程风险和ERP系统管理风险入手,对ERP固有风险进行了分析并提出了相应的IT审计对策。李有华[6]将企业IT风险分为IT战略风险、IT项目风险、IT安全风险、IT服务风险、IT合规风险,并在此基础上对IT审计的内容、标准、范围、方法和制度进行了分析。
综观上述文献,大多数文献都基于传统信息系统,并从传统审计手段的角度出发对IT审计的框架、发展与实施进行研究。在大数据时代,财务共享服务模式成为大型集团企业的首要选择,其IT架构更多地运用到云计算技术,并需要大数据进行技术支撑。审计人员在财务共享服务模式下进行IT审计时将更多地运用大数据审计[7]手段进行IT审计,从数据的角度发现疑点,以减轻审计工作量,提高审计工作效率。有鉴于此,本文从大数据的角度对财务共享服务模式下IT审计的特点进行分析,梳理其数据流程,在此基础上构建IT审计框架模型,并对其实施流程进行阐述。
二、大数据时代基于财务共享服务模式的IT审计框架
(一)财务共享服务模式下IT审计的特征分析
一般认为IT内部控制包含组织层面的IT控制、一般控制和应用控制三个层面[6],审计人员通常以此为基础展开IT审计工作。财务共享服务模式下的IT审计需要充分结合财务共享IT架构特征,其IT审计范围如图1所示。同时,三个层面的IT审计在财务共享服务模式下也出现了有别于传统企业IT审计的特点。
1.组织层面的IT审计
组织层面的IT审计主要检查财务共享IT架构的设计是否合理,以及是否得到有效实施,其核心内容是管理层控制。集团企业建立财务共享服务模式的战略目标清晰,即降低财务核算成本,其IT战略规划应当以实现该目标为前提,并以此为基础进行IT部门与职能的设置。财务共享服务模式下组织层面IT审计应当对财务共享IT战略规划、IT部门与职能的设置是否符合财务共享战略目标进行检查,并对其实施的有效性进行审计。
2.一般控制层面的IT审计
一般控制层面的IT审计是为了确保IT系统运行的可持续性,能够为应用控制提供支撑,审计对象包含软硬件平台、网络等。财务共享服务模式下集团企业将财务核算业务集中,借助移动互联网、云计算等信息新技术实现了财务核算流程再造和数据的集中存储,其IT技术风险应当得到审计人员的重视。财务共享服务模式下一般控制层面的IT审计应当对数据安全、基础设施更新、访问安全和网络安全等主要风险点进行审计。
3.应用控制层面的IT审计
应用控制层面的IT审计主要检查业务系统层面所设计、执行的IT控制是否能够确保整个系统具有可信性,以及是否能够完成相关数据的产生、记录、传递、处理、分析和报告等功能。财务共享服务模式下集团公司、各分子公司的ERP、HR、OA等其他业务系统需要和财务共享中心实现数据对接与共享,为财务核算系统提供数据支撑,其间数据的产生、记录、传递、处理、分析和报告都是IT审计的关键风险点。财务共享服务模式下应用控制层面的IT审计应当对财务核算流程的设计与实施、业务系统与财务共享中心的数据对接、登录权限等内容进行重点关注。
(二)IT审计程序流程框架
COBIT(Control Objectives for Information and related Technology)即信息系统和技术控制目标,是一种用于“IT审计”的知识体系,由美国信息系统审计与控制协会(ISACA)于1996年首次提出并于2005年更新到COBIT 5.0。目前COBIT已经成为众多国家的政府部门、企业对IT的计划与组织、采购与实施、服务提供与服务支持、监督与控制等进行全面考核与认可的业界标准。由于COBIT 5.0具有普适性,因此财务共享服务模式下的IT审计可以此为基础构建IT审计流程框架。在大数据技术背景下基于财务共享服务模式的IT架构与传统IT架构有所区别,在构建IT审计流程框架时应当充分考虑到这一点。
财务共享服务模式下的IT审计流程框架包含IT审计指南和IT审计流程两部分。其中IT指南是参考COBIT 5.0得出的IT审计标准,在IT审计过程中起着指导作用,包含关键审计因素、流程能力模型、风险控制模型、IT技术可信评估和IT审计知识库等内容。IT审计流程则包含制定审计目标、风险评估、制定审计计划、设计审计程序、执行审计程序和出具审计报告六个流程,如图2所示。
(三)IT审计数据流程框架
在财务共享服务模式的IT审计中,审计大数据的产生、传递、处理和分析贯穿整个审计过程。为了充分利用大数据技术提高审计效率,审计机构可以历史数据、互联网数据等组成的大数据为基础构建审计数据中心,并建立IT审计知识库,帮助审计人员进行高效的IT审计。在审计过程中,审计人员可以通过IT审计知识库中的IT审计知识对审计对象的关键风险点进行重点关注,通过大数据审计方式对审计对象提供的相关大数据进行审计。待审计人员出具审计报告后,可将该审计项目的主要风险点、测试方式以及实质性程序等相关审计数据反馈到审计数据中心以完善IT审计知识库,形成IT审计的数据闭环,如图3所示。
三、大数据时代基于财务共享服务模式的IT审计流程
大数据时代基于财务共享服务模式的IT审计应当是一个包含审计大数据产生、传递、归集和使用的闭环系统,在审计过程中应当由IT审计指南对IT审计的计划、实施进行指导。
(一)制定审计目标
审计人员在进行财务共享服务模式下的IT审计时,应当充分考虑该模式下的特点,结合财务共享的IT战略规划,明确审计的时间、目标和范围。集团企业建立财务共享服务模式的战略目标为降低财务核算成本,为了实现该目标,其IT架构应当满足技术可信、内部控制有效、数据平台安全等基本要求,也是财务共享服务模式下IT审计的主要目标。在不同性质的IT审计中,审计人员可以按照实际的审计需求选择不同的侧重点来制定满足实际需要的审计目标。例如内部审计中,审计人员进行IT审计时更多地关心财务共享服务模式下的应用控制制度建设是否合理、是否得到有效实施;社会审计中,审计人员进行IT审计时则更加在意通过财务共享服务模式是否能够提供真实可靠的财务信息。
(二)风险评估
财务共享服务模式的IT架构相较于传统IT更多地使用了大数据、云计算等技术,因此财务共享服务模式下IT审计的审计风险与以往所有差别,例如审计人员在IT技术层面可能无法对IT技术风险有足够的了解,可以通过权威的第三方IT咨询机构获取该审计项目中财务共享下IT技术的评估报告,即IT审计指南中的IT技术可信评估。除了IT技术风险外,审计人员还应当充分考虑财务共享服务模式下独特的审计环境,结合财务共享服务模式下的业务流程再造,对财务共享中心内部控制制度建设情况进行评估,得出可能的其他审计风险以及风险发生的可能性,通过建立二维风险矩阵的方式对风险进行定性和定量的评估。
(三)制定审计计划
根据风险评估的结果,在考虑企业IT管理框架、人力资源配置等因素的基础上,审计人员应当充分结合财务共享服务模式下财务处理流程标准化程度高、业务量饱和以及财务核算成本低等特点,分别制定总体审计计划和具体审计计划,包括确定审计目的、审计范围、人力调配以及审计策略等内容。需要注意的是,财务共享服务模式下运用了大数据技术,传统审计手段很难进行有效的IT审计,应当在审计计划中明确使用大数据审计等审计手段。
(四)设计审计程序
财务共享服务模式下的IT审计程序包含IT管理层控制、IT一般控制和IT应用控制三部分。大数据技术在该步骤得到广泛运用,审计人员可以通过大数据爬虫获取互联网数据,从财务共享数据中心获取集团大数据,然后使用数据驱动测试、数据挖掘、数据多维分析等方法对大数据进行分析,实施审计程序。同时,审计人员也可以使用IT审计知识库比对其他财务共享IT审计项目,辅助确定IT审计中的主要风险点。
1.IT管理层控制
审计人员在进行IT管理层控制时可以结合COSO内部控制框架与财务共享实施情况设计调查问卷,向分子公司总经理、集团财务部员工、财务共享中心负责人等发放。然后可以根据问卷结果与财务共享负责人或IT管理层进行访谈,以评价集团企业在财务共享服务模式下IT管理层控制的有效性。
2.IT一般控制
审计人员在进行IT一般控制时可以采取问卷调查、访谈、穿行测试等方式,也可以直接通过第三方IT咨询机构获取企业IT技术评估报告,以确认该审计项目中财务共享服务模式数据安全、基础设施更新、访问安全和网络安全等主要风险处于可接受范围内,不需要整改。
3.IT应用控制
审计人员在进行IT应用控制时可能更多地会运用大数据审计的方法获取审计证据,例如对采集到的大数据进行清洗后通过SQL查询、大数据挖掘和多维分析等方法寻找审计疑点,或通过黑盒测试法进行数据驱动测试以发现IT系统运行中存在的问题。除了大数据审计的方法外,穿行测试与控制测试也能帮助审计人员找出应用控制设计与执行中存在的问题。
(五)执行审计程序
按照设计好的审计程序进行下一步工作,审计人员需要结合风险评估结果对财务共享服务模式三个层面进行控制测试,根据实际需求实施实质性程序,通过大数据审计、穿行测试等审计手段得出审计证据,并将从中得出的主要控制风险告之相关人员,记录测试和交流沟通的结果。
(六)形成审计意见,出具管理层建议
按照得到的审计证据,结合最初制定的审计目标得出最后的审计结果,并根据审计结果当中的所发现的问题向管理层出具审计意见和提供建议,在与管理层进行沟通后取得其对管理建议的相关回复。
出具审计结果后审计人员应当将相关数据反馈到IT审计知识库以形成新的IT审计知识,完成审计大数据闭环。
四、结语
财务共享服务模式的建设需要大数据、云计算等技术支撑,但同时也改变了其IT审计的审计环境。本文基于财务共享服务模式的特点构建了该模式下IT审计的审计流程框架并对其具体流程进行了分析,以期对财务共享服务模式下的IT审计提供理论指导,帮助集团企业降低或规避其财务共享服务模式下的IT风险。
【参考文献】
[1] 王德宇.财务共享服务与企业管理研究[J].山东社会科学,2015(5):160-163.
[2] 周常兰.IT风险控制整合框架的构建――风险控制四维整合框架的引入与扩展[J].经济体制改革,2014(2):102-106.
[3] 曹立明.论IT审计与会计信息化[J].中国注册会计师,2012(12):108-113.
[4] 覃宪姬,陈瑜,佟柱.信息系统审计的透视与思考――基于广州地铁审计案例的分析[J].中国内部审计,2014(8):62-69.
[5] 柳芳.基于ERP系统固有风险的IT审计对策[J].中国内部审计,2013(12):67-69.
[6] 李有华.企业IT审计方法研究及应用[J].中国内部审计,2013(10):63-65.
[关键词] IT;风险管理;责任主体;合规
doi : 10 . 3969 / j . issn . 1673 - 0194 . 2012 . 06. 022
[中图分类号] F272.35 [文献标识码] A [文章编号] 1673 - 0194(2012)06- 0045- 03
1 问题的提出
信息技术迅猛发展和深入应用使得企业的日常运营越来越依赖于IT系统,企业信息化的规划、实施、运行维护等各阶段都存在着各种风险,IT相关风险正成为管理层、监管部门重点关注的对象,IT内部控制与风险管理也逐渐成为企业内部控制与风险管理的重要组成部分。对于当前我国企业而言,谁应该成为IT风险管理的责任主体,董事会、IT战略委员会、IT监管部门、内部审计部门、外部审计、风险管理部门、IT日常管理部门等在IT风险管理中各承担哪些责任,我国企业在当前IT风险管理相关部门设置情况如何,为了弄清上述我国企业IT及其风险管理的责任主体的相关问题,笔者在理论分析和问卷调查的基础上,整理了相关的调查数据,统计并分析了我国企业在责任主体设置方面的分布特征。
2 IT风险管理责任主体的最新理论框架
与IT风险管理责任主体研究有关的最新的综合性理论框架为国际信息系统审计与控制协会(ISACA)于2009年12月颁布的IT风险管理框架。ISACA在IT风险管理框架中,定义了IT相关风险管理的一系列主体,并指出了各主体应在某一方面或某几个方面负责或承担责任。就某一特定方面而言,只有一个主体为负责部门,其他主体或承担部分责任,或没有责任。当然,该框架也说明由于每个企业的组织机构与职能部门设置情况并不完全相同,作为理论框架,只是提供原则性的指导,没有必要与某一具体企业的组织机构与职能部门完全一致,因此,在该框架中,对每个责任主体的定义只是进行了简洁描述。IT风险管理框架下的IT风险管理责任主体及承担的责任如表1所示。
资料来源:ISACA,Risk IT Framework,USA,2009.12.
3 我国企业IT风险管理相关的主要责任部门及责任探讨
如上述框架所述,不同企业的组织机构与职能部门设置情况并不完全相同,就我国而言,近年来,各方面的监管层出台了大量的规范,如《企业内部控制基本规范》、《中央企业全面风险管理指引》、《信息技术服务运维通用要求》、《商业银行信息科技风险管理指引》、《证券公司信息技术管理规范》等等,都对IT的相关风险做出了明确的规定及要求,企业已经进入了“合规年代”。当前我国企业的IT风险管理的责任部门主要包括:IT战略委员会、IT监管部门、IT日常管理部门、内部审计部门和风险管理部门。
其中,IT战略委员会应由企业的最高管理层及管理执行层包括IT管理和业务管理有关部门负责人、管理技术人员组成,定期召开会议,就企业的企业战略与IT战略的驱动与设置等议题进行讨论并做出决策,为企业IT及其风险管理提供导向与支持。IT监管部门分为企业外部和企业内部。
企业外部监管部门主要包括工业与信息化部、财政部、审计署、证监会、银监会等政府机构,从各自负责的领域对企业信息技术的相关方面提出监管标准和要求。企业内部的IT监管部门主要负责公司信息技术方面的评价、监督以及合规方面的检查。
“建立有效、健全的信息系统内部控制制度”这一责任的主要承担部门是IT日常管理部门。外部审计员对董事会负责的,协助董事会的专业委员会来确认和分析技术风险的程度,包括企业内部网与因特网在内的任何直接或间接影响财务报表或其他至关重要资料的数据或处理系统。
内部审计员协助董事会的专业委员会执行IT实务和系统的控制检查,并向委员会推荐合适的改进措施用于参考和实施。IT风险是企业风险管理体系至关重要的组成部分,与企业其他风险管理程序类似,需要运用企业风险管理的相关原则与方法,结合IT活动的特点,执行风险管理程序。
风险管理部门需要指导并参与IT相关风险管理,即识别风险、分析风险、制订IT风险工作计划、跟踪风险、应对风险,并借助于定期、不定期的检查风险防范措施的落实情况,通报检查结果,将风险管理过程纳入到日常管理中。
4 对我国企业IT风险管理相关责任部门设置的现状调查与分析
笔者于2010年7月-2010年9月进行了多次调查,调查形式分为现场纸质问卷以及远程网络问卷,其中,在2010年用友技术大会、2010年国资企业IT能力建设高峰论坛、2010年中国信息安全年会上共发放现场纸质问卷165份,回收114份,有效问卷数为97份,现场纸质问卷的有效回收率为58.79%,在线发送远程网络问卷调查邀请60次,在线回收数据14份,剔除不完整问卷2份,有效问卷数为12份,远程网络问卷的有效回收率为20%,最终用于数据分析的有效样本数为109份。
4.1 样本企业IT风险管理责任部门设置的总体情况
如表2所示,从企业来看,IT日常管理部门的设置最为普遍,有97%的企业设置了IT日常管理部门;内部审计部门设置情况较好,有82%的企业设置了内部审计部门;风险管理部门的设置情况一般,有不到七成的企业具有风险管理部门;IT战略委员会的设置情况最差,仅有不到六成的企业具有IT战略委员会。这一结果表明:我国部分企业还没有把IT纳入战略层面考虑的范畴,还停留在操作层面的IT日常管理工作上,作为传统的内部控制监督与检查部门,内部审计部门已成为绝大多数企业的常设机构,一半多的企业具有了较强的风险管理意识并将风险管理部门作为常设机构。
4.2 不同类别企业IT风险管理相关部门设置的情况
笔者按照不同经济成分企业、不同规模企业、不同上市状况企业进行了分组统计和比较,结果如表3所示。
表4表明,总体上看,三资企业类的企业IT风险管理相关部门设置情况最好,比重均为第一。其次为中央国有企业,民营企业与集体企业部门设置情况较差。具体来看,除了个别民营企业外,样本企业均有IT日常管理部门。地方国有企业最不重视IT战略委员会的职能,民营企业最不重视内部审计部门、风险管理部门的设置。无论是企业还是子公司,规模大的企业IT风险管理相关部门设置比例明显高于中小规模的企业。总体上看,无论是企业还是子公司,有香港或海外上市公司的企业IT风险管理相关部门设置比例都是最高的,除IT监管部门外,仅有大陆上市公司的企业IT风险管理相关部门设置比例第二,无上市公司的企业设置比例最低。
4.3 被调查者对企业高层应讨论IT哪些风险的看法
为了了解被调查者对企业高层应讨论IT哪些风险的看法,笔者在问卷中设计了一道多项选择题“IT的哪类风险应由企业高层会议讨论”,列出了IT投资风险、系统建设风险、系统运行维护风险三类风险,以及“都不是”与“不确定”两个选项。调查结果如表4所示。
结果表明,选择“都不是”的仅有15%,选择“不确定”的仅有8%,两者相加的比重为23%,即有将近八成的被调查者认为高层应讨论IT相关风险,这一结果说明绝大多数被调查者均认识到IT相关风险不仅是公司操作层、战术层应关注的,还应上升到战略层进行讨论。在三类风险中,被调查者认为高层应讨论IT系统建设风险的比重最大(为40%),认为应讨论IT投资风险的接近40%,说明投资风险与系统建设风险是应上升到战略层考虑的风险,而系统运行维护风险往往是战术层或操作层考虑的风险。
5 结论与建议
当前我国企业的IT风险管理的主要责任部门包括:IT战略委员会、IT监管部门、IT日常管理部门、内部审计部门和风险管理部门。我国企业IT日常管理部门的设置最为普遍,但当前我国部分企业还没有把IT纳入战略层面考虑的范畴,还停留在操作层面的IT日常管理工作上,作为传统的内部控制监督与检查部门,内部审计部门已成为绝大多数企业的常设机构。从规模特性来看,特大型企业IT风险管理相关部门设置比例明显高于非特大型的企业。从上市情况来看,有香港或海外上市公司的企业IT风险管理相关部门设置比例都是最高。被调查者认为投资风险与系统建设风险是应上升到战略层考虑的风险,而系统运行维护风险往往是战术层或操作层考虑的风险。
由此,笔者提出如下建议:
(1)要建立健全IT风险管理的组织机构,其中的重点是建立IT战略委员会,发挥IT战略委员会在战略层面IT风险管理中的作用。此外,还应重视建立风险管理部门,把全面风险管理作为专业职能部门的职责,在指导全部关键资产的风险治理机制方面发挥指导作用。
(2)做好相关人员的培训工作,风险管理意识方面,要加强对相关人员风险意识的培养,树立IT投资的成本效益观念。提高各部门负责人的战略风险意识。知识能力方面,要加强企业内部的复合型人才培养和队伍建设工作,企业自身才是IT风险管理的主体,应该注意培养自己的人才队伍,学习如何识别、收集、评估、主动控制IT风险方面的系统化知识和专业化的方法。
主要参考文献
审计人员不管是否在为欺诈而从事审计工作,都必须承担鉴别欺诈的责任,同时必须评估反欺诈程序。在美国注册会计师协会关于99号审计准则的公告中,强调审计人员必须对由于欺诈而存在的风险保持职业怀疑态度;美国公共事业公司会计监督委员会(PCAOB)同样也要求审计人员把评估与欺诈相关的活动作为内部审计功能的一个组成部分。
(一)IT过程界定信息及相关技术的控制对象(COBIT)界定了IT过程的范围,根据COBIT的规定,一个IT过程可以被归类为以下四个基本领域中的一个:计划与组织、获取与执行、传播与支持及监控与评估。
表1给出了这四个领域的34个具体的11I过程。
欺诈是否在每一个IT过程中都可能发生,目前还没有定论。为了更好的理解欺诈是否发生,所有的审计人员都应该更好地理解由犯罪学家唐纳德博士提出的欺诈三角假设。表2对他的三个因素进行了简单描述,任何人只要实施欺诈必然与这三个因素相关联。因为在任何IT过程中,不管IT系统的自动化程度如何,只要有一个以上人的参与,就必须慎重考虑欺诈发生的问题。
(二)欺诈的类型描述一般来讲,职业欺诈可以分为如下三种类型:资产挪用:任何涉及组织资产偷窃与误用的计划,如将软件及软件许可用于个人目的以获取收益。贿赂:一个人利用在商务交易中的影响力来获得与他,她对上司的责任向背的利益,例如将In殳备维护服务外报给提供回扣的服务商。虚假的陈述:财务报表的虚假陈述以使组织看起来盈利更好或更坏,如电信提供商通过虚假报告来调节每户平均收益。以上每一种欺诈还可以细分。不同类型的欺诈的知识以及跨行业的欺诈阴谋的识别大大地提高了欺诈风险评估的精确性与适用性。
二、欺诈风险评估及预防措施
欺诈风险评估开始于对与IT过程相关的欺诈活动可能性及其显著性的分级量化。只有对其工作评估的性质进行评估才能采取有效的防范措施。
(一)欺诈风险评估模型PCAOB第2号审计准则提供了一个风险或然性的样本以及相应的显著性,并具体化了三种风险水平:细微的、中度细微的及很可能的。PCAOB准则同时也将风险的显著性与影响分为三个层次:非实质性的、轻度实质性的及实质性的。图1阐述了风险的显著性与或然性之间的关系。
完成与IT过程相关的欺诈活动分级量化后,欺诈风险评估程序就能建立IT过程与各种现行的欺诈与控制之间的映射,如表3所示。欺诈风险评估使得组织能够容易的可视化欺诈的发生领域,并优先配置资源对这些潜在的欺诈高发领域加以控制与建设。随着企业、业务及IT环境的迅速改变,欺诈风险评估应该成为一项常规性的工作,或者随时确保IT过程跟上变化。甚至,为了风险评估而在识别具体的IT过程与环节时,审计人员在公司内部可以运用欺诈的历史模式作为标杆参考。
(二)欺诈的预防措施为了阻止欺诈的发生而进行的,预防是不言而喻的。如果等到产品、项目或者IT应用设计生产完成后,再采取措施代价是高昂的,也就是说在最初就应加以卓越的设计。欺诈预防现在已在审计活动中得到了实施,审计人员对组织早期的业务、过程和IT应用具备了越来越大的影响力。不管用来防范欺诈风险的控制措施是否充分,也不管欺诈风险的水平是细微还是显著,都应该设计、选择、集成相应的手段来及时地最小化欺诈风险与损失(可参考图1)。这些措施既可以内部化到内部控制中(BICs),作为常规的欺诈检测程序的一部分,或者作为欺诈风险发生的早期预警信号(EWSs)的一部分。表4提供了一些例子。
(三)欺诈的鉴别方法在完成与IT过程及相应的鉴别措施相关的欺诈风险评估后,IT审计人员便可设计ICQs来评估并测试所采取的控制措施,包括反欺诈程序。财务人员一般应评估与财务记录相关的措施以及商业运作的合规性。然而IT审计人员应该关注内部控制技术(ICTs)体系及其相关的过程。不过,欺诈鉴别中的ICQs的质量却在很大程度受到审计人员的技术胜任能力、对IT以及企业运作的洞察力和特定领域的专业知识(如软件开发编程能力、数据库管理能力、网络规划与实施技巧、IT安全等)的严重影响。而IcOs的开发很有可能成为已经建立的程序的参照物,最佳的实践以及监管的标准。
三、欺诈的调查分析殛结论
随着ICTs在商业组织中的广泛利用,这意味着当欺诈发生时,用于确认稽核的证据很容易获得。基于ICTs的审计模式中,IT审计人员只需要具备IT系统的专业知识即可,他们的任务仅仅是能否鉴别风险。从这个意义上讲,IT审计人员可以通过如下措施来调查欺诈活动:报告的生成与稽核、证据的鉴别和计算机系统使用记录的检索、实施计算机互动分析。
一、IT内部审计同IT治理和内部控制的关系
信息技术的重要性和复杂性使之影响到公司的决策及执行,IT管理也表现出越来越严重的问题,主要表现在:IT投资变得无法控制;风险控制与服务质量不能令其他部门满意;由于IT的专业性,IT战略规划常常同公司总体战略难以协调,可能导致影响公司总体战略的贯彻执行。IT治理就是为解决这些矛盾而引入的概念,现在IT治理已经在很多企业内实施,IT治理是公司治理的一个关键部分,它能使企业合理利用IT资源,促使IT投资收益最大化,使得IT在复杂的管理环境下有效进行相关风险管理,从而保障IT服务质量,推动企业整体目标的实现。IT内部审计是IT治理的重要组成部分,对IT治理起到促进作用。保险公司内部控制是指保险公司各层级的机构和人员依据各自的职责,采取适当措施,合理防范和有效控制经营管理中的各种风险,防止公司经营偏离发展战略的机制和过程。通过对内部控制的测评,确定系统信息的可依赖程度,评估控制风险的水平,减少审计工作量,节约审计成本,从而保障审计质量。内部审计是现代企业法人治理结构的内在需求,尤其是对于以经营风险为主的保险公司来讲,有效的内部审计对企业防范风险起到至关重要的作用。为有效节约审计成本,提高审计效率,外部审计也会使用内部审计工作成果。当然,两者在职能、地位、作用等方面都存在很大不同。内部审计部门是公司重要部门,内部审计是公司内部的一种独立、客观的监督和评价活动,它通过审查和评价经营活动及内部控制的适当性、合法性和有效性来促进公司总体目标的实现。内部审计人员需要熟悉公司保险经营和投资经营的运作流程,从整体上把握企业的经营管理。
二、现阶段保险行业IT内部审计特点
1.顺应政府监管的要求保险行业上市公司除中国人寿在美国上市需要执行SOX法案之外,其他保险公司需要执行保监会《保险公司内部控制基本准则》第三十条中有关于信息技术控制的专门条款,《保险公司内部控制指导原则》第八章支持保障系统中的48~53条中关于计算机信息系统控制的要求。
2.技术标准的选择一般监管部门会就IT内部控制提出基本准则和指导原则,选择具体的审计标准来达到政府的监管要求是保险公司IT内部审计需要解决的问题,现在有关IT内部控制和IT审计的国际标准很多,这些标准各具特点。一般保险公司的做法都是按照COBIT标准,根据自身特点,结合信息系统生命周期各个阶段的不同特点有选择性地实施COBIT控制模型,COBIT将IT过程、IT资源及信息与企业的策略、目标联系起来,形成一个三维的体系结构。其中,IT准则反映了企业的战略目标,从质量、成本、时间、资源利用率、系统效率、保密性、可用性等方面来保障信息的安全性和有效性;IT资源包括专业人才、应用系统、技术、设施及数据在内的信息相关的资源;IT过程从信息技术的规划与组织、采集与实施、交付与支持、监控等四个方面,确定了34个信息技术处理过程。
3.IT审计技术与方法该方法主要包括测试数据法、平行模拟法、嵌入审计模块法、虚拟实体法、受控处理法、受控再处理法和程序代码检查法。
4.有效控制IT内部审计把对审计风险的检查控制作为IT内部审计的重要质量控制目标。审计风险分为重大错误风险和检查风险,由于IT系统复杂性,检查风险是客观存在的,为避免检查风险的出现需要对IT内部审计进行有效控制。
5.采用非现场审计的方式依靠强大的信息技术的平台,IT内部审计主要采用非现场审计的方式进行。通过远程方式对审计对象相关数据和资料的不断搜集、整理和分析,把审计由事后审计变为事前统一规范、事中监督预警、事后定期分析回顾的过程。
三、保险业IT内部审计需要关注的问题
1.业务与IT联合审计IT内部审计与其他内部审计相比在技术上有其独特之处,如今IT和业务的融合越来越紧密,IT在支撑业务同时,也利用新的技术手段引领业务发展。因而IT和业务也需要进行联合审计,交付给公司管理层一个统一、全面的审计结论,使得审计结果更好地服务于公司稳定发展的总体目标。
2.从公司治理结构上解决审计独立性问题如何加强内部审计的独立性一直是内部审计探讨的重点,现在很多保险公司IT内部审计独立性从组织结构上来说还没有得到彻底解决,成立有公司决策层参加的审计委员会、有独立于IT研发和运维IT内部审计机构以保障IT内控审计和实质性审计的客观公正,是IT内部审计独立性的必然要求。
3.提高IT内部审计人员比例和素质IT审计是IT技术和审计技术相结合的边缘学科,IT审计人才是复合型人才,需要原来的IT技术人员和内部审计人员彼此钻研对方的学科,同时掌握财务、运营、商务等管理知识,在通过CISA认证的同时还需要有CFA、CIA、CISP等认证。人员素质的提高也是通过需求拉动的,只要公司有相应的需求和激励措施,人员素质的提高是指日可待的。
4.新技术和IT审计新理念、新技术的吸收运用新技术、IT审计新理念、新技术层出不穷,新理念、新技术对提高生产力、拉动经济增长、改变生活方式等具有良好的促进作用。只有加强对新理念、新技术的了解,迅速做出应对,才能适应时代的发展变化。
5.处理好IT内部审计的关系一是IT内部审计与IT研发、运维、管理关系;二是调整好内部审计与社会审计、国家审计的关系;三是摆正IT内部审计在公司内部审计中的位置。
6.成本效益原则IT内部审计同样需要遵从成本效益原则,不能进行不计成本的投入,服务公司追求股东利益最大化的整体目标,在兼顾效益的原则下进行适度审计。
关键词:商业银行;IT审计;数据;必要性;方法;展望
中图分类号:F239 文献标识码:A 文章编号:1001-828X(2013)12-0-01
一、商业银行进行信息系统审计的意义
(一)商业银行日益依赖信息系统。商业银行信息系统一般可分为信息管理类系统、渠道类系统和外部清算结算类系统。
1.信息管理类系统与决策、管理和业务相关,以提高效率和规避风险为目的,主要有贷款系统、征信系统、客户管理系统、资产负债管理系统、办公自动化系统、档案系统(票据影像缩微系统和光学字符识别OCR)、数字终端录像系统、数字视频监控系统等。
2.渠道类系统是商业银行面向市场和客户的窗口,也是对外服务使用的载体,包括人工渠道、电子渠道和第三方渠道。人工渠道有柜面服务和职能部门的业务终端(例如会计账查询系统等);电子渠道分为自助服务系统(电话银行、手机银行和网上银行)和自助服务终端(ATM和P0S);第三方渠道包括银联交易、区域性通存通兑和同城跨行通存通兑等。外部清算类系统是指有外部接口的系统,包括行间资金转账系统SHFT,主要有大额清算系统、同城交换系统、同业往来清算系统和第三方存管清算系统。
(二)大数据时代将到来。随着信息系统的大力发展,商业银行信息系统出现了爆发式的增长,银行业务越来越依赖信息系统,商业银行的竟争很大一部分是靠信息战。目前,各大银行都实现了数据的总行大集中,信息数据己经成为银行的核心竟争力之一,大数据时代即将到来。
(三)监管当局的外部要求。随着金融业对信息系统的依赖度越来越高,国家相关部门对信息系统的管控也越来越重视,自2006年8月《银行业金融机构信息系统风险管理指引》开始,银监会正式对银行科技风险进行监管,近年来推出一系列制度和措施,监管工作逐步走向规范化。通过IT审计来保证和监控全行的信息科技管控对各级监管政策法规的合规性,也成为银行业实施IT审计的重要目的之一。
二、商业银行IT审计标准
商业银行IT审计,以国际最佳实践及相应的规则做为审计依据。主要有:
1.COBIT最佳实践模型
COBIT(Control Objectives for Information and related Technology)是由信息系统审计与控制基金会最早在1996年制定的IT治理模型。这是一个在国际上公认的、权威的安全与信息技术管理和控制的标准,其最大的作用是将IT过程、IT资源与企业的策略和目标联系起来,保障企业的IT战略目标和其业务发展目标的一致性。
COBIT4.1版本中经典的体系框架包括了实施简介、实施工具集、高层控制目标框架、管理指南、具体控制目标、审计指南等一系列文档。
2.监管部门颁发的《商业银行信息科技风险管理指引》
2009年的《商业银行信息科技风险管理指引》(以下简称《指引》),定义了商业银行信息科技风险的总体框架,即在当前商业银行普遍的信息科技现状下,可能存在的重大信息科技风险的范围,使商业银行的风险管理过程,能够集中精力在相关领域。
《指引》确定了九大管理领域,即:信息科技治理;信息科技风险管理;信息安全;信息系统开发、测试和维护;信息科技运行;业务连续性管理;外包;内部审计;外部审计。这些领域覆盖了信息科技管理的大多数重要活动,这些活动中存在的风险,可能会对业务产生重大影响,因此对这些领域的风险识别和管理,应当在信息科技风险管理中优先对待。
在这九大领域中,IT审计占两个,分别是内部审计和外部审计。而《指引》本身,就是一个针对银行的框架完整的IT审计标准,银行可以参考这个标准,开展IT审计工作。
3.其他IT审计标准
除了以上两个标准,实践中还可使用其他标准,如,由于信息科技的细分领域众多,在进行某些细分领域的专项审计或单领域审计时,可以考虑单独使用某些国际或国内标准作为审计标准,从而达到更深入和专业的目的。比如,在进行信息安全方面的审计时,可参考ISO27001等国际标准或国内标准SSE-CMM;在审计IT运维、IT服务的交付和支持相关领域时,可以考虑采用ITIL作为审计标准;银行应当依据自身特点,结合本行信息科技工作的特点以及每次IT审计的目的和范围,有选择地采用审计标准。
三、银行业IT审计展望
(一)加强以风险为导向的IT审计
银行IT审计职能和角色也在过去这些年发生了不少变化,从以合规审计为主的工作,逐渐变成了活跃的内部或外部业务顾问。如前文所述,基于风险的银行IT审计工作将成为银行IT审计的主流工作方法。
(二)计算机辅助审计技术(CAATs)会在IT审计中得以广泛应用
计算机辅助审计技术是指审计人员在审计过程和审计管理活动中,以计算机为工具,来执行和完成某些审计程序和任务。
计算机辅助审计包含两个层次的内容:第一个层次是指在审计业务中利用电子表格、数据库、字处理常规软件中的一些功能,或审计人员自编的一些小程序,帮助审计人员计算、复核、分析审计数据。第二个层次是指利用专门的辅助审计软件进行项目审计。在开展行业审计时,根据审计工作方案,编制专门的审计汇总软件,自下而上,从审计底稿开始,对审计情况进行逐级汇总。对于银行业来说,实施成熟、适用的审计辅助软件,也成为IT审计的一个发展方向。
【关键词】信息化需求;IT技术文档规范;ERP;项目群
1 秦山核电信息化发展的背景
秦山核电位于浙江省海盐县,处于华东电网的负荷中心地区,是中国大陆核电的发源地。秦山核电基地现有9台运行机组的装机容量为650万千瓦,是中国堆型最丰富、装机容量最大的核电生产基地。公司制定了“资源集约化、运行标准化、技术专业化、管理精益化”目标,向“世界一流”核电运行企业迈进,除了负责秦山核电地区9台机组的运行管理工作,还负责巴基斯坦恰希玛核电1号、2号机组的运行支持及3号、4号机组的调试工作等。在2015年,秦山核电发展三十周年之际,公司以“一体两翼”作为战略目标,在做好秦山核电9台机组的稳定发电的同时,积极开拓外部市场并推出了“产品”,其一就是信息化系统建设和运维服务。
秦山核电信息化伴随着秦山核电三十多年的发展,也经历了从无到有、从简单到规范、从工具直至两化融合的历程。总体而言,秦山核电信息化阶段主要分成5个阶段:第一个阶段是1990年代初至1997年,信息化因PC电脑的开始普及而出现,这是一个“IT工具”的阶段,主要有财务记账、人事记录和档案等软件的单项应用。第二个阶段是1998年至21世纪初,这个阶段随着电脑终端的大量普及而成为“业务支撑阶段”,IT发展处于被动式的跟随业务需求而动的模式,主要发展为邮件、文件和引入国外工作管理平台等。第三个阶段是21世纪初至2009年期间,在这段期间秦山核电投用了大型的企业资产管理系统EAM,对核电厂生产管理提供了有效支撑,属于“运作阶段”。第四个阶段从2010年至今,信息化发展到了“业务伙伴阶段”,信息化随着秦山核电资源管理的集中而出现平台集中、数据集成等局面,信息化基本覆盖了核电成生产经营的主要业务方面,业务管理已无法离开信息系统的支撑,信息化建设也不可能脱离业务的主导。因此秦山核电也根据新形势的需要完成了两化融合体系的落地和实施。在不久的未来,秦山核电信息化将出现第五个阶段,那就是信息化技术引领的时代,随着核电本身业务的梳理完毕和数据标准化过程的完成,将出现用先进信息化技术来驱动更优化的业务解决方案。
2 秦山核电信息化项目管理的发展历程
秦山地区信息化经历20多年建设形成覆盖各电厂运行、生产、经营、管理等各领域的信息系统,在这发展历程中,曾经出现过信息系统数量多、信息化发展不均衡、系统繁杂标准化低的问题,信息系统从无到有、从数个到上百个,再到系统平台的逐渐统一和集成,到两化融合体系下的以公司新型能力驱动的信息化建设核心。公司信息化建设呈现遍地开花、集中建设、集成提升等发展阶段,在这些过程中,公司逐渐认识到信息化项目管理的重要性。
到2013年期间,公司制定了“资源集约化、运行标准化、技术专业化、管理精益化”目标,向“世界一流”核电运行企业迈进,信息化建设随之也要符合公司战略的引领,凸显出公司原有信息系y以“单项应用”为主、无法实现跨平台数据共享的突出矛盾。公司对信息化建设的综合集成的业务需求强烈,并要求通过信息化手段来助推公司管理提升和管理精细化。在2013年至今的时期,是公司信息化发展的规划化、标准化时期,面临这样的局面,公司信息化部门以打造IT项目的全过程管理、标准化管理为支点,在组织上、制度上、人员培养上面投入资源,实现IT项目管理的能力提升。
公司的信息化部门在面临即要承担因标准信息系统整合的任务,又要承担上级单位下达的信息化建设的任务,但因IT项目因其应用领域、规模、类型、复杂性等方面的不同而在管理上存在较大的差异,为提高IT项目管理效率及规范需建立适用于本公司规范IT项目管理的方法、手段、制度、流程和文档标准。但目前尚未形成像工程项目那样完整、成熟的项目管理理论与方法体系,现有项目管理理论和方法体系难以完全适用IT项目管理的需要。另外,信息化工作作为企业重要组成部分,每年都要接受公司内外部管理审计及安全审计,中核核电运行管理有限公司信息项目归口管理部门,需要结合企业特点,借鉴现有IT项目管理理论与方法,以及取得的成功经验,对IT项目标准化管理进行较为系统的研究,经过实践,初步建立IT项目标准化管理方法框架体系。
3 两化融合体系下的信息化项目全过程管理实践
从2014年开始,秦山核电基于EA架构方法论,开始实践信息化工作的规范化管理,将信息化工作按两化融合规划、信息安全管理、信息化建设和信息系统运维等四大维度开展工作。
在信息化建设这一IT项目管理区域中,以公司两化融合体系为运行环境,基于公司战略和需打造的新型能力为出发点,形成IT项目的主要输入。以两化融合中长期规划作为IT项目建设的总体实施路径,形成IT项目建设的年度工作计划。信息化项目的全过程管理形成了:策划输入、项目准备、项目实施、上线应用和项目后评估等阶段。
3.1 严控信息化需求管理,统筹规划项目资源
根据公司两化融合体系的落地,梳理了公司在十三五期间的主要新型能力创新点,主要是:核电生产精益化管控能力、核电运营成本精细化管控能力和核电运营风险管控能力这三大核心能力,公司信息化建设主要围绕这三大核心能力去开展信息系统建设,提升信息系统对核电核心能力的支撑和提升。
为有效信息化需求评估和实施的管控:结合公司标准化业务管理模式,优化信息化需求评估流程的,确定统建信息系统信息化需求评估方式。确定了信息需求实施任务的规范管理模式。所有涉及信息系统信息化需求评估流程调整为在ERP-BPM中实现,对于中国核电各成员单位的ERP系统的需求申请,也实现了需求的统一入口管控。流程主要环节由申请部门进行需求自评估、信息部门进行技术层面可行性分析,并给出需求审查意见,如涉及业务流程变化的还需要关键用户、业务领域审查、公司CIO审查或信息化工作办公室、中国核电审批,需求评估进行分级管理实现实时跟踪。信息化需求及项目实施过程中的变更申请严格履行程序流程,按照流程发起申请,进行充分合理的评估,得到批准后方可实施。未按流程、未完成最终审批的需求或变更一律不得实施。
根据需求的轻重缓急,考虑预算、计划、人员等资源的约束,统筹规划项目资源,安排项目开展计划及项目预算,对于完成所有前期审批的信息化项目,有预算的直接办理相关立项审批;对于无预算的信息项目,视情况安排至下一年度或等待预算落实后实施。
3.2 标准化信息项目管理流程
依据上级单位信息化工作的要求以及公司经济授权等明确信息化项目的分级、分类,以及对应的审批流程,明确项目全过程管理流程。将关于《企业内部控制应用指引》有关信息系统内部控制,以及两化融合体系的管理要求,落实到各管理细则中,通过项目实施细则,明确项目进度、成本、质量、沟通、风险等管控方式以及问题处理机制。
根据IT项目管理理论的九大知识领域,秦山核电根据核电厂工作实际,在实践中进行利用和创新,达到了符合企业实际又能满足项目标准管控的要求。
3.3 规范IT技术文件管理,形成IT最小化标准化文档模板
“IT技术文件管理规范”是管理程序的延伸,是信息技术文件规范管理要求。IT技术文件分为四层、18个类别,四层分别是管理规范级、企业级、系统级、记录级,从高到低分别是一、二、三、四级。每个类别技术文件都有确定的责任方、文件流转的信息平台、文件模板、归档移交要求。涉及信息安全的技术文件不在信息平台中管理。
规范各类文件名称命名规则及项目编码,项目编码在项目可行性期间就要给出文件编码,文件编码作为后续项目存档查询的关键信息,作为重要索引信息。
结合信息领域管理程序及制度,承接信息项目管理程序、IT技术文件管理规范的落地要求,立足于项目全过程文档规范管理,以项目前期、立项启动、需求分析、系统设计、系统开发、环境搭建、系统测试、培训、项目验收等主要环节控制要求文档。结合历年信息化建设项目文档管理工作实践,信息项目处通过梳理信息项目文档清单、查阅IT项目管理相关专业资料,总结以往项目相关文档管理做法、经验和体会,开发出了信息化项目管理最小文档。文档清单和模板内容结合信息项目建设过程中良好实践,同时借鉴IT业界标准信息化项目标准文档,经数次讨论修改,最终形成信息系统项目最小化标准文档模板24份。
3.4 借助系统平台,落实项目管理
利用SAP-ERP系统管理信息项目预算,为部门管理者提供总体预算执行情况实时显示与跟踪,为项目负责人提供从项目立项、审批、合同签订、支付等项目成本全过程管理和控制,及时掌握项目所处环节,根据项目进展实时确认工作量以及对应的成本,以反应项目进度。
通过IT项目跟踪平台,实现IT项目群管理有利于部门领导在整体上进行规划、控制和协调,指导各个项目上具体管理工作。所有新增、在建项目在IT项目跟踪平台中管理,根据对应的标准系统统一编制项目码,项目码作在文档归档时索引的关键字段。
固化里程碑节点,每个项目先制定项目里程计划,根据项目进展更新项目进度,不同进展使用不同颜色的进展条显示,定期报告反馈进展情况分析差异,发现的问题通过问题反馈机制及时采取纠正措施解决问题。
利用禅道项目管理软件,管理项目任务及团队成员,增强任务分配及完成及时性,任务工时评估,提升团队成员工作饱和度,促进项目团队工作效率。
所有项目文档归档至ECM系统,所有因项目而产生的技术规格书(技术规程文件类)、实施文件(项目文件类)、会议纪要、交付归档的项目文件,通过规范的项目编码快速检索。
3.5 项目实施团队的管理
信息化项目管理内部实行项目经理负责制,项目经理在信息项目处部门领导的指导和监督下,全面负责项目计划、预算、组织和实施,严格控制项目的质量、进度和费用,保证完成项目目标,为项目JYK考核工作负责。
对以外包方式的项目实施商及实施人员建立管理台账,定期开展项目及实施人员评价,实施单位在项目结束后进行评价,对于长期合作的实施商开展每年定期评价的方式,实施人员评r由项目经理评价,均采用积分制,积分排名优先者,优先选择作为下个项目的合作伙伴。
3.6 项目验收管理
项目验收是对整个软件开发、建设项目管理结果的综合评价,一直以来都没有一个统一的标准,随意性大。经过治理,梳理出三项验收环节控制措施:
1)制定信息化项目验收管理要点,内容包括项目实施结果与对应信息化需求符合情况、项目文档要求、文档格式标准执行、合同遗留主要问题、项目转运维落实情况、产品授权、版权要求等方面;
2)组织全方位验收会议,项目验收由业务部门/单位、信息部门、承包商、商务部门等有关联的部门参加,以保障验收效果,建立项目观察人角色,保障项目管理各环节规范落实;
3)项目完工后对承包商综合能力进行评估。
公司通过以上三方面对项目实施情况进行全面评估,同时针对集团公司要求的达到一定投资额、部分重要专项的控制要求,开展了信息化项目的档案审查、财务竣工审查等额外工作标准。
3.7 项目成果管理
项目实施的效果与项目参与人员的价值主要通过项目前成果来体现,信息人员将更多的精力投入专注于具体工作,未意识到成果总结与管理的重要性;在对报奖渠道、知识产权保护、渠道进行专项梳理中发现,存在成果报奖、等渠道了解不足,项目前期未筹划,报奖时材料来不及准备,错过报奖时机,知识产权保护意识薄弱,重视程度不够。通过组建专门团队进行信息化成果的统一管理工作,取得较大成效,信息化相关获奖成果、知识产权申报明显上升。
在公司开展信息化项目的全过程管理之后,公司已对IT项目的成果管理实现了较好的效果实现,主要是信息系统知识产权、软件版权等方面的注册和保护,这些形成的公司IT软资产、软实力对公司“一体两翼”的信息化对外服务能力有极大的增值和品牌效应。
3.8 项目后评估机制
信息化系统的实施上线,其真实价值几何最终仍然须经过业务运转的检验才能体现,因此在秦山核电的IT项目管理全过程中,规定了在信息系统上线一年后,开展由系统使用业务部门牵头的项目后评估工作。后评估工作作为信息系统建设过程的最终环节,对系统建设和上线应用进行合理评估,形成的评估结果作为对IT系统建设的有效评价,以作为推进IT系统建设提升效率和实现提高的基础。
会计电算化在IT环境下的审计是对计算机数据处理系统中出现的错误进行审计并予以纠正。随着计算机审计工作的出现,给传统的统计工作带来了挑战。由于计算机舞弊案件的出现,审计人员认识到,对审计单位出具客观公正的评价,需要借助更先进的技术,即电子数据处理系统对审计工作进行更加权威的判断。
二、电算化会计IT环境对审计的影响
(一)审计工作发生了质的改变
电算化会计IT环境的审计活动不断增加,对审计产生的本质影响,是质变还是量变?当计算机审计还没有出现时,传统的审计方法,即手工审计工作表现出显著特征时,计算机审计逐步深入到整个审计工作的各个环节,使审计工作逐步产生的本质的变化,其审计特征也发生了本质变化,这样手工审计工作逐步消失,最终被计算机审计所替代,使审计工作发生了质的变化。
计算机审计工作做为传统审计工作的新生事物,其审计过程复杂多变。由于初期人们对于计算机审计工作的认识不充分,所以其理解角度多种多样,呈现的概念繁多,人们的理解千差成别。经过多年的争论与研究,现代审计必须工作在IT环境下,它是电子计算机技术与数据处理发展的产物。
(二)电算化会计IT对审计的影响
电算化会计由打印机输出会计资料,形成会计财簿,全部数据存在磁性介质上,这样对于会计数据的审计环境发生了改变,它要求审计人员充分利用计算机的各种功能,控制测试和审核风险。存储在计算机中的数据,使人们对其安全性有疑虑,当审计数据的相关性高时,审计证据要求的数量相对较少,其可靠性必须有足够的审计证据予以支持,增强会计信息可靠性,从长远来看,纸质数据被电磁介质替代,会带来会计风险。如:企业进行帐、表、证进行审计时,由于现有存储介质的改变,使信息失真的风险随时发生。
三、电算化会计IT环境对审计影响的应对对策
(一)核验审计数据
电算化会计信息失真风险随时发生,需要在基础测试过程,利用实际的数据测试被审计单位,将测试结果与应出现的结果进行核对,是否存在误差,检验被审计单位电算化会计的可靠性。尽可能利用审计软件实现审计数据的电算化转换,由审计人员复核工作,着重对相关数据进行组合,不断完善审计计划,识别虚假、失真会计信息,保证被审计单位会计数据真实性,控制误导而引起的风险。
(二)加强内部控制防范风险
对电算化会计IT环境下的审计工作,需要制定符合性测试,对内部控制制度进行审核与评价,结合各种文档资料,对本单位的电算化系统的可行性报告进行研究,仔细调查后方可实施。根据系统流程图、使用手册对会计数据输入、初始化、安全与维护设置控制点。采用恰当的机构模式,进行不相容岗位分工控制,遵循内部牵制原则,进行合理职责分工,建立、健全设备使用控制制度,规范操作流程,保证会计信息的准确性,确定审计工作重点,减少电算化系统审计风险。
(三)制定完善的审计制度
我国审计工作制度许多规范文件,针对不同的对象采取的技术手段变化较大,一些新增的审计项目已经不在适用原有的准则,因此,制定具体的计算机系统内部控制,规范审计人员的资格、审计证据收集流程、审计过程及相关技术质量控制等内容,是当下计算机环境下审计工作的重点。
(四)进一步研究审计技术
当前计算机处理与传统审计处理有着许多不同点,同时,也产生了许多不同的审计技术,计算机审计更加注重业务的处理与证据的收集,加大对计算机审计技术的研究力度,实现利用计算机审计工作的全面实施。
如果一个企业的实践经验,能够成为全行业的指导规范,这势必是值得分享的事情。
中化集团实施的IT治理就是如此。作为中化集团IT治理的主导者,信息技术部总经理彭劲松告诉《中国经济和信息化》记者:“过去几年,中化集团不断通过IT审计完善企业内部控制机制,在IT治理上逐渐摸索出了自己的经验,现在我们正配合审计署把这些经验进一步总结提炼。”
2009年年底,审计署把中化集团确定为企业IT审计的试点单位,通过把中化集团在IT审计方面的成功经验总结提炼,最终融入审计署的相关指导规范中。
其实早在2008年上半年,审计署曾组织中国烟草总公司、中国石油化工集团、中化集团开展了信息系统审计调查。2008年下半年,审计署又组织中化集团及天津公司开展了信息系统审计项目,这是审计署第一次独立组织的信息系统审计项目。如今,中化集团凭借其信息系统审计实践,成为审计署的典型案例之一。
救火?救火!
作为国内最重要的国有骨干企业之一,中化集团业务包括石油、化工、化肥、金融以及房地产等多元化业务,下属有超过100家各种类型的大小公司,在海外还有四大集团。因为这样,支撑其运营的IT系统变得异常复杂。为了确保IT系统安全运行并使业务发展更加顺畅,相应的IT审计势在必行。
目前,中化集团已经建立起一套完备的承担全球各个公司业务的信息系统,其中以ERP系统为核心,包括内部办公自动化系统、分销管理系统、内部门户等系统在内的企业信息化平台,可以进行有效的业务管理和流程控制。但是要监控这些系统对信息技术部来说是一个极大的挑战。
过去发生技术故障,彭劲松总是要等事故发生后才从业务人员的反馈中得到信息,而且涉及大量人员,要进行电话逐一排查,不仅耗费大量的工作时间,还给相关部门造成了很大的被动,就像救火队员,火势最终是可以扑灭的,但是其带来的损失却难以估量。客观环境要求信息部门人员总是要守在电话旁边,寸步也不能离开,因为不知道什么时候业务人员或者财务人员就会打来电话。不管是业务人员下单发生问题,还是财务部报表生成不了,或者出现更严重的账目问题,都有可能造成全集团的重大损失。
用COBIT分析决策
在审计署计算机中心辅助审计处陈剑看来,企业实施IT审计的必要性通常来源于两点。其一,信息化进程的迅速推进,信息系统成为许多被审单位内部管理与控制的关键工具,因此,信息系统的可靠性、安全性已经直接影响审计工作的效率和质量。《审计署2006至2010年审计工作发展规划》提出“逐步开展对关系国计民生的重大行业、部门的联网审计,全面提高计算机应用水平”的要求。
其二,信息技术作为企业发展的重要支撑,投资额度不断加大,投资失败的风险日渐成了企业难以承受之重。为了有效控制IT运营成本,更好地提升企业价值,势必需要对相关IT活动加以控制。
对于中化集团这样规模庞大的集团企业而言,遍布全球的信息系统可能处处隐藏着一些盲点,它们随时都有可能成为企业的隐性漏洞而发生些许意外,如果发生大的意外,将可能造成无法挽回的损失。而企业的属性又决定了业务不允许被中断,并希望故障时间越短越好,越能提前预防越好。因此,如何在业务人员发现问题之前,对系统实施实时监控并预先对事故进行处理和解决,控制风险并治理好IT,是中化集团需要解决的战略问题。
“IT治理的确有必要,它是一种完整的世界观和思维范式,它引导了企业正确的IT决策。”彭劲松说,“IT治理如同ERP一样是业界最佳实践的结晶,当然最终都需要落在具体的方法论和工具上,就像ERP最终会落在SAP/Oracle等厂商的系统产品上一样。IT治理的落脚点是通过COBIT进行表现与实施的。”
作为一个全面的内部控制框架,COBIT是一个在国际上公认的先进、权威的安全与信息技术管理和控制的标准。中化集团CIO彭劲松在此方面无疑是走在前列的。彭劲松告诉记者,他是最早一批参加了由ITGov(中国IT治理研究中心)主办的“基于COBIT的IT治理”培训,并获得由ISACA颁发的COBIT国际资格认证的人。
正是基于这些对IT治理的认识,彭劲松对传统信息化建设的思维范式也产生了突破性的转变。用他的话说,就是摆脱选产品、询价格、找解决方案的传统信息化建设方法,避免被供应商牵着鼻子走的局面,取而代之的是按照科学的方法,运用COBIT工具进行分析,来帮助中化集团信息技术部做项目决策。
流程分解 井然有序
然而,当彭劲松把COBIT引入中化集团后,情况的确有了改观。基于COBIT标准,中化集团把IT目标总共定义为24个流程,然后对照自身企业需要达到的效果,从中确定其中4个流程的管理为实现目标,即确保连续、管理服务台和事件、管理性能与容量、管理数据。
在整个分析和准备的过程中,每一份调研文档、每一次会议记录、每一个工作流程都严格按照COBIT的方法备案或执行。中化集团经过一段时间的“自我诊治”,将以上4个流程的管理转化成了中化集团在IT系统管理方面最重要和紧迫的具体需求:其一是支持业务连续性的基本容灾能力;其二是应对日益复杂IT环境的基本治理能力,其中包括可靠的数据备份与恢复能力,初步的网络、系统和存储监控能力,初步的企业级IT综合监控台。归根结底是要保障中化集团全球各个公司网络系统基础设施无障碍运行。
曾经新加坡合资公司通过中化国际的一个专网账号,登录中化集团的邮件系统,随即中化集团北京总部监控图上立刻出现了一个红点。工作人员随即在监控屏幕右侧找到了发生异常的具体地点,迅速将问题锁定在新加坡公司,并确认了异常信息的性质。因为该公司具有独立的Internet出口,工作人员登录后在中化集团出现了一个新的登录端口地址,所以系统即认为是异常。换句话说,改善后的系统可以完整地处理突发的跟踪流程,即感知、隔离、诊断、采取行动、评估。
长期以来,在应用信息技术(IT)过程中,人们总是过多关注其中的技术(T),而缺少对其中的信息(I)给予足够的重视,然而,当人们欣喜地看到IT使会计信息的相关性得以加强之际,又更应当为会计信息的可靠性所受到的威胁深感担忧。为此,COSO的风险管理框架、SOX法案、CIBIT等一系列IT控制规范相继出台,而国际信息系统审计与控制协会(ISACA)的诸多标准、指南和程序更是直接将焦点对准组织的信息资产的安全之上。我国《企业内部控制基本规范》和《企业内部控制应用指引18――信息系统》等规范文件的,强调信息化环境下的会计信息的安全性与可靠性,随后,财政部于2009年的《关于全面推进我国会计信息化工作的指导意见》中,提出未来5~10年会计信息化首要的工作目标,是要建立健全会计信息化法规体系和会计信息化标准体系。国内外诸多IT控制与审计制度的不断涌现,充分说明在构建会计信息化标准化体系之中,当务之急是建立会计信息的生产与传递严密的控制与审计标准体系,为此,笔者在梳理国内外信息审计基本理论的基础上,分析信息审计在会计系统中应用的必要性,进而提出会计系统应用信息审计的若干思考,以求这一工具与方法在我国会计系统中早日得以应用。
二、信息审计研究概述
对信息审计的研究,主要集中在信息审计的基本概念、基本目标及信息审计的主要内容等方面。
(一)信息审计的基本概念 目前,信息审计内涵尚未有一个被理论界认同的概念。美国信息学家D.Ellis(1993)首次将信息审计定义为:“审查已有的信息管理系统,找出问题,提供解决问题的备选方案”(任玉珍,2009),试图将信息审计与信息系统审计合二而一,以求寻找解决问题的方案。布彻南(Buchanan,1998)和吉伯(Gibb)则将信息审计界定为:“对组织信息资源和信息流进行发现、控制和评估,以实施、维护或改进组织的信息管理的过程”,这一定义将信息审计的内容确定为信息资源与信息流两大部分至今影响至深。奥那(Orna,2004)则将信息审计的对象拓展为人、文档和信息,并认为,信息审计是通过对一个组织中的人、文档等的查证,系统地检查信息产生、利用和流动的情况,进而确定其支持目标。英国信息管理协会(Aslib)拓展了信息审计的内容,指出它是参考组织的人员和已有文献,对组织的信息资源、信息流和信息需求等方面进行的系统检查,以确定其对组织目标的贡献程度。我国学者娄策勤和高策(2009)则结合当前新的信息环境和信息理论,将信息审计看作是一种管理工具,认为它是一种发现、解决组织信息管理缺陷的管理工具。黄亦西(2005)也指出,信息审计是为了充分开发信息价值,通过对组织的信息流和信息资源的调查、评估,从而识别组织的信息需求,确定组织的信息环境,并制定相应政策的过程。
必须强调的是,信息审计中的“信息”是一个广义信息的概念,包括严格意义上的信息和数据两类。笔者认为,处于IT广泛应用的今天,信息与数据的细分必不可少,它对人们研究信息审计的对象、内容和范围至关重要,因此,笔者将对应于数据审计的信息审计称为狭义信息审计,以括号注明“狭义”。而将涵盖数据、信息的审计视为广义信息审计。
(二)信息审计的基本目标 美国学者查菲(Chaffey)和伍德(Wood,2008)指出,信息审计是用来评价当前信息质量和管理行为的水平,即“是什么”的问题。它也可作为一种状态分析的工具,用以协助构建信息政策和评价信息战略的目标是否已经实现,将信息审计看成是信息质量与管理不可或缺的工具。赖茂生(2005)认为,信息审计的目的是为了实施、维护或提高组织机构的信息管理。胡善勤则从IT视角出发,指出用以记录网络上各计算机行为的信息审计,其目标有两个:一是可定期对各种网络行为进行采集、统计和分析等,发现存在的漏洞并及时修补;二是在发生安全事故后可以进行信息分析,找到事故原因,进而采取相应的措施。可见,信息审计的根本目标,主要在于提升信息质量,由于信息质量的优劣首先取决于信息资源对企业实现目标所作的贡献,故而在当前情况下,信息审计所面对的必然是企业的IT系统(如ERP系统),基于IT视角可使人们进一步明确信息审计目标,并为企业IT环境确定信息审计的内容与范围。
(三)信息审计的主要内容 随着IT应用的深入,众多学者认为,不应把信息审计看成是一种选择,而是达到确定信息资源的价值、功能和用途,以便充分开发其战略价值的必要步骤。信息审计包括信息资源和信息需求两大内容,但它是否也应包括信息流则是众说纷纭。鉴于信息流审计和信息流程重组中的众多理论和流程具有相似性,有些学者认为信息流审计不应归属于信息审计范畴之内(高策,2009)。笔者认为,处于IT应用的初始阶段,将信息流纳入信息审计的主要内容,对于企业的系统信息流程的标准化与规范化建设具有重要的意义。这是因为,信息流与企业组织流、业务流密切相关,面对网络环境,企业流程再造的本质就是实施三者的同步发展。而从企业ERP系统应用层面来看,信息资源、信息流与信息需求三者不能单独割裂开来,只有将信息流与信息需求、信息资源同步考察,才能对企业的信息管理水平加以客观地评价,并提出相应的改进意见。
信息审计对象应当涵盖信息图谱中的数据、信息和知识三个部分,但对我国企业而言,当前的数据审计与信息审计(狭义)首当其冲,只有这二者真正得以成功实施,并取得一定实效之后,知识审计才可望顺利进行,为此,笔者重点分析数据审计与信息审计(狭义)的具体内容。
从企业经营的业务内容看,信息审计的对象可细分为采购、生产、销售、会计等各子系统的数据审计与信息审计(狭义),这样才能根据各子系统的数据特点与具体内容,对各类信息资源、信息流和信息的使用提出针对性的信息管理评价意见。不难想象,那种既想获取企业信息审计的客观公正的评价意见,又不涉足各业务内容深入考察的做法,将难以实现审计目标。
三、信息审计在会计系统中的地位与作用
会计的价值并非来自于技术,而是取决于会计信息的质量,会计信息的增值首先是通过信息流的改善以降低资源的需求量,通过高质量信息的共享对决策提供支持。为此,采用信息审计以保证会计信息的高质量,也就使会计系统信息管理与控制新增了一道坚实的屏障。
(一)会计系统信息审计与财务报表审计并行不悖 财务报表审计的目标是对财务报表是否按照适用的会计准则和相关会计制度的规定编制,是否在所有重大方面公允反映被审计单位的财务状况、经营成果和现金流量两大方面发表审计意见,以提高财务报表的可信赖程度。而对会计系统而言,作为IT时代的必然产物的信息审计,其审计对象首先是以财务为主的信息资源,以确保该信息资源的价值、功能和用途,进而实施、维护或改进组织的信息管理的过程。虽然两者都有保证信息高质量的目标,但审计内容与审计方法却大相径庭。而从两种审计的审计对象看,虽然都是针对企业的信息资源,但信息审计的范围要宽泛得多,它不仅包括企业的货币、财务等定量信息,而且还包含企业的非货币、非财务等定性信息。财务报表审计必须对被审单位财务报表的会计准则和制度的遵行性,对财务状况、经营成果和现金流量的公允性发表审计意见。而信息审计则是从对企业信息资源、信息流程和信息需求等内容的价值、功能和用途加以评价,发表审计意见。前者注重企业核心信息的合规性,后者则注重企业信息管理质量的提升。从时空上来看,前者注重对所产生财务信息的结果进行评价,而后者则是对信息管理过程进行评价。尽管信息审计之初衷在于整个企业,但在我国首先在会计系统中加以施行,则是纲举目张之举。
(二)会计系统信息审计与信息系统审计异曲同工 企业信息化的实践证明,那种认为只要企业应用信息系统或相应的信息技术就能实现信息化、提高企业信息管理水平的认识有失偏颇,企业信息化建设中的根本因素是信息资源建设问题。目前普遍存在的企业信息资源存量绝对值不足、信息需求匹配度不高、信息资源利用率低、信息资源成本高收益低等弊端。因此,信息审计的当务之急,是要对企业财务信息资源进行控制和评估,以实施、维护或改进企业信息管理的水平。
尽管有学者将信息审计对象界定为信息管理系统,但近20年来信息审计的实践及诸多研究成果表明,审计信息管理系统的任务非信息系统审计莫属,信息审计尽管与信息系统审计有着千丝万缕的联系,但两者的审计目标、对象、范围、内容却有许多不同。Ron.Weber(1999)指出,信息系统审计的目标在于判断被审的信息系统是否能够保证信息资产的安全、数据的完整以及高效地利用组织的资源并有效地实现组织目标的过程,它主要通过获取和评价所收集的证据来保证这一判断的客观公允性。信息系统是其审计对象,获取和评价所收集的证据是其手段与方法。而信息审计的审计对象是数据与信息(狭义),评价产生信息的被审系统则是其手段与方法。两者相辅相成、优势互补的同步,可以从不同途径保证会计系统和信息的高效与高质。
(三)会计系统信息审计与IT环境共生互动 自20世纪90年代初期以来,越来越多的企业流程已经将大型信息系统纳入其中。由于这一技术转变,数据和信息相对于产品的重要性正在凸显。目前很大一部分企业价值已经不在资产负债表之内,在使用大量知识和信息的领域,差异越发明显,以至于越来越多的人想抛弃已经接受的簿记原则(杰普.布勒姆等,2008)。可见,会计系统的信息资源与信息需求面临着重新确认等问题,而亨茨尔(Henczel,2001)所提出的,信息审计是通过识别组织的信息需求,从而有效地确定组织当前信息环境的过程,这一将识别信息需求作为信息审计的主要内容的观点,对重新认识会计系统的信息需求具有十分重要的意义。会计的发展取决于两个因素,一是环境的影响;二是用户对会计的信息需求,信息技术的飞速发展,促使会计系统与这一技术环境的共生和互动关系日趋明显,而经济全球化的竞争态势又驱使会计信息不能局限于眼前以财务为主的经济信息的支持。因此,会计系统面临着信息资源与信息需求的信息审计。
会计信息要力求增值,无疑应当对其数据与信息的采集、处理与生成的基本流程逐一进行分析和提炼,以便求得各流程、工序的精益求精。同时,由于目前大中型企业纷纷使用ERP系统,因而使会计子系统与其他子系统的数据联系越来越密切,而其会计子系统中的管理会计、内部审计等子系统与财务会计子系统的无缝连接越发凸显,为此,针对数以万计存储于企业数据仓库之中的信息资源文件重新进行梳理与管理势在必行。而从审计的角度看,IT环境需要IT治理和IT控制,这是因为这一环境所带来的系统、流程、技术等错综复杂的高风险局面,许多大公司由于难以应对这一高风险局面而陷入信息危机与信息犯罪的旋涡之中。作为信息安全保证的必备工具与方法手段,信息审计在当前会计系统的安全控制不足的状况下尤为必要。
四、信息审计在会计系统中应用的若干思考
尽管会计系统相对于企业其他子系统具有较为严格的信息生产程序、流程和规范,但面对与ERP系统诸多子系统的日益交融局面,会计子系统的数据与信息的管理产生许多问题,如缺少对信息的集中化管理,致使某些有用信息过于分散而难以被决策者获取与使用,又如信息过载使得信息用户难以腾出足够的时间从纷繁复杂的信息中选择其所需要的信息等。诚如信息审计专家H. Botha和J.A.Boon所指出的,需要对信息审计进行更多的研究,在实践中测试更多的方法,使信息专家能够开发出可以放心使用的可靠信息审计方法。笔者认为,当务之急是在对信息审计的必要性取得共识的基础上,探讨会计系统信息审计的主体与内容、审计方法、审计频率与审计重点等问题,以使信息审计在我国早日应用。
(一)会计系统信息审计的主体与内容 本质上说,企业信息审计是企业内部审计的一个有机组成部分,其规划、实施、完善的组织协调工作主要应由企业的内部审计机构为主体加以实施,在聘请外部专家参与信息审计的基础上,辅以企业内外部的相关审计人员来完善审计工作。但由于当前企业信息审计力量不足、缺乏专业胜任能力的人员,故应形成由企业内部审计人员与信息主管人员为主的专业团队。
如前所述,会计系统的信息审计包含会计数据审计与会计信息审计(狭义),从实务上看,前者的审计重点是会计数据的保护、采集、存储、记录和处理规范的管理,而后者的审计重点则是对会计系统所产出的财务报告和提供决策支持信息的管理。从理论研究内容上看,会计数据的审计应当研究会计数据的来源,数据的检索与分析,以及基于信息需求而对会计凭证和账簿等数据的采集、整理及记录规则等方面的管理。而会计信息审计的研究重点则是与流程、选择合适信息系统、信息获取及使用、各类会计信息对相应流程的重要程度,以及与会计信息需求的目标相适应的信息体系的构建等。
(二)信息审计的审计方法 作为人造系统,会计这一应用系统的信息审计应以信息技术为手段,围绕企业各应用子系统的应用过程与应用结果,以及系统安全的合理性、过程行为的合法性、结果数据的真实性,进行客观、适时的监测与审核,将各种违规、可疑事件及时发出警报,并提交改进信息管理的审计报告。
信息审计与信息系统审计同为内部审计的组成部分,但其各自的审计方法不尽相同,亨茨尔(Henczel,2001)强调信息审计是一个循环的过程,包括计划、数据收集、数据分析、数据评价、建议交流以及实施这样一个定期重复的过程。目前比较成熟的信息审计方法有信息地图法、集成审计法、信息流法和亨茨尔(Henczel)法等多种(娄策勤、高策,2009),针对会计系统的特点,笔者认为选用信息流法和亨茨尔(Henczel)法为宜。信息流法既重视信息资源的识别,又能同时对企业信息流进行分析,这正是目前我国会计系统信息审计起步伊始所必须的。而亨茨尔法则是在分析信息流法和集成审计法的基础上,提出了较为科学的信息审计7大步骤,即计划筹备审计计划和准备,通过案例分析取得高层支持;数据收集通过调研建立组织信息资源数据库;数据分析对收集到的数据进行标准化分析;数据评估进行数据判读,提出建议;建议交流报告信息审计结果,交流意见;实施建议开展信息审计建议改革项目;二次审计使信息审计经常化、规律化。对会计系统而言,信息流中的电子凭证审核、记账凭证形成、账簿登录、银行对账和报表编制等沿用手工会计流程的做法,能否符合信息管理与用户信息需求,十分有必要在信息审计过程中进行重新审视与评价。
由于当前尚未形成标准化的信息审计方法体系,因此在实际中,许多信息审计项目多采用了传统的财务审计方法,如成本/效益方法等,这给信息审计实践造成了很大的困惑和混乱,有的学者主张应将财务审计人员的经验与信息审计实践相融合,尽早开发出一套适用于信息审计方法体系(任玉珍,2009)。笔者认为,借鉴财务审计的基本方法与经验,固然是信息审计的实现途径之一,但信息审计方法不能落入财务报表审计方法之中,否则将有可能影响到信息审计任务的完成,两者的审计目标相去甚远,因而其审计方法也必然有很大的不同。鉴于信息系统审计与信息审计所具备的诸多共性,借鉴日益成熟的信息系统审计中的信息流程审计与数据审计的方法不失为一种事半功倍的做法。
(三)会计系统信息审计的频率与重点会计系统的信息审计,首先要明确信息用户对会计信息需求,其次是要对目前可使用信息与信息用户所需要的信息进行信息资源差异对比分析,进而根据当前状况提出消除上述差异解决方案,并制定信息提供与信息流程再造的行动计划。从以上的审计过程看,会计系统信息审计的频率与该系统的使用状况相联系,即信息审计频率与系统使用时间相对应,会计系统一旦受到升级或改进,信息审计就应当紧随其后加以进行。然而,应当注意的是,在信息资源、信息流和信息需求三大信息审计内容中,与系统升级或改进联系最紧的当属信息流。因此,信息审计的频率可以因审计内容而定,一旦会计系统的信息流受到改变,就必须对其实施审计,而信息资源与信息需求则可采用定期审计的方法,根据企业经营决策与竞争的需求,定期实施会计系统的数据审计与信息审计(狭义)。
信息审计包括数据审计与信息审计(狭义),对会计系统而言,数据审计应用研究的重点是会计数据的保护、采集、存储、记录和处理规范等方面,而其理论研究的重点则是会计数据的来源、会计数据的检索与分析、会计凭证和账簿等数据的作用,以及这些数据处理过程中的规范要求。而信息审计(狭义)应用研究的重点是会计系统所产出的财务报告和提供决策支持的信息,其理论研究的重点则是与流程、选择合适信息系统、信息获取及使用、各类会计信息对相应流程的重要程度,以及会计信息需求的目标等相关。
五、结论
疾速形成的网络化与无纸化等信息化环境,促使会计系统的信息审计成为必然,而作为信息化助推器的信息审计,其审计目标、审计内容和审计方法等又确立了其在会计系统中数据与信息安全保障体系中的重要地位。伴随着我国信息审计理论研究的开展,信息审计的成功应用可望水到渠成。届时,信息审计与信息系统审计的并驾齐驱,必然为我国会计系统信息的可靠与相关、信息管理的高质与高效提供强有力的支持。
[本文系福建省教育厅2008年度人文社科项目“我国财务会计信息化发展方向研究”(JA08003S)阶段性研究成果]
参考文献:
[1]任玉珍:《信息审计的内容框架分析》,《农业网络信息》2009年第7期。
[2]娄策勤、高策:《信息审计方法比较研究》,《图书情报工作》2009年第1期。
[3]黄亦西:《信息审计与知识审计的比较研究》,《情报杂志》2005年第10期。
[4]赖茂生:《信息资源管理的技术方法》,irm.impku.edu.en/ownload/e07.pdf,2005-12-17。
[5]胡善勤:《网络信息审计的设计与实现》,吉林大学2008年工学硕士论文。
[6]高策:《企业信息审计研究》,华中师范大学2009年硕士学位论文。
[7]戴维.查菲、史蒂夫.伍德著,赵苹、陈守龙译:《企业信息管理:用信息系统改进绩效》,中国人民大学出版社2008年版。
[8][荷]杰普.布勒姆、梅农.范多恩、皮亚士.米托尔著,程治刚、张翎、张劲译:《SOX环境下的IT治理》,东北财经大学出版社2008年版。
[9]Buchanan,S. and Gibb,F. The information audit:an integrated strategic approach. International journal of information management,1998.
[10]Orna E.Information Strategy in Practice. Aldershol:Gower,2004.
关键词:COBIT 会计信息系统 内部控制
近年来,财务软件已经逐渐代替传统的算盘成为会计工作的主要工具,大部分企业通过财务软件的使用,极大的提高了日常会计核算工作的效率,随着信息化技术的快速发展,财务软件的功能逐渐得以扩展,和企业资源管理系统集成的趋势日益明显,会计业务流程和信息化技术的这种融合使得会计信息系统的不确定增加,而对信息化技术浪潮下的内部控制研究却鲜有成果出现,COBIT(信息及相关技术控制目标)框架在全世界范围得到了推广,研究COBIT框架的主要内容,探讨在此框架下的会计信息系统内部控制具有积极的现实意义。
一、COBIT框架概述
COBIT全称为:Control Objectives for Information&relatedTechnology,中文暂译为:信息及相关技术控制目标。它是一系列关于IT管理最佳实践(框架)的集合,由美国信息系统审计与控制协会(ISAGA)下属的IT治理委员会(ITGL。InformationTechnology Govemanee Institute)于1992年创建。COBIT为管理人员、审计人员和IT用户提供了一套通用的测量、显示和处理的方法以及最佳的实践,帮助其通过在公司中使用信息技术和适当的IT治理与控制,使公司的利益最大化。2007年5月ITGL了COBIT4.1,主要由四部分组成:框架、控制目标、管理指南和成熟度模型。其主要内容及关系见图1。
从图1可以看出,COBIT框架将业务目标和IT过程紧密的结合了起来,在IT流程支撑下的业务流程首要的IT控制目标,根据其将IT活动通过分解、度量过程、审计和控制有效的结合起来。分解主要是对关键活动的分解,具体执行过程中则要加以职责和可操作性;度量过程则使用了业绩、结果和成熟度模型;通过审计和控制活动,对内部控制的结果和目标进行测试,获得最佳的控制实践。
COBIT的IT过程就是在IT总体控制目标的导向下,对组织的信息化归纳为34个IT处理流程,在控制目标的确定上,COBIT将管理活动分为4个领域:计划与组织、获取与实施、交付与支持、检测和评价,针对34个IT处理流程进一步进行分解,确定了210个具体的控制目标,在梳理控制目标的基础上,对每一控制目标的实现建立详细的管理策略等,在对业务目标分解和控制具体目标确定的基础上,COBIT又形成了管理指南,使得COBIT的可操作性大大提高。利用成熟度模型,可以对组织目前所处的盯环境进行叛断,同时,在管理指南中详细地叙述了每个过程的成熟度模型――从浑沌状态的。级到优化的5级、KGI、KPI以及要达到KGI的“重要成功因素“CSF。同时,还给出了与这个过程密切相关的盯资源,以及信息判断中哪些特征最为重要和比较重要。在文件“详细控制目标”中,则按照34个IT处理流程逐一给出“详细控制目标”。最后,COBIT还包括“信息系统审计指南”,构成比较复杂,包含了“审计道德要求”、“信息系统审计标准”、“信息系统审计指南”、“信息系统审计过程”等子文件。
目前,COBIT已经在100多个国家的超过10000家企业获得应用,全球有160余个机构在推广COBIT的知识体系和方法论。COBIT从体系化、标准化的高度,构建关于信息系统投资、建设、评估、风险控制的知识框架,超越了传统的产品与服务的概念,是IT行业乃至信息化事业的新的发展思路。COBIT模型实现了企业战略和IT战略的互动,形成了持续改进的良性循环机制,为企业提供了具有一定参考价值的解决方案,对推动信息技术的发展和应用具有十分重要的现实意义。
二、会计信息系统风险现状
会计信息系统使得传统的手工会计核算转化为计算机程序控制的会计管理活动,一方面原来大量的会计数据输入得以简化,在会计凭证记账阶段,输入关于经济业务的相关信息,按照会计准则规定选择会计科目,在凭证生成保存后,会计明细账、总账、会计报表等都可以通过初始化设置提取会计记账凭证数据而产生,会计工作效率得以大大提高。另一方面,会计信息系统的广泛使用,使得会计人员过多的依赖于计算机,在满足“借方金额=贷方金额”的输入条件后会计信息系统不会对业务发生的合理性进行判断,会计信息的质量有可能受到影响,而过多的依赖于计算机所产生的软硬件错误可能会给会计信息系统带来灾难性的后果,会计信息系统面临以下风险。
1、计划与组织风险
信息技术的快速发展推动了企业的信息化进程。传统的财务软件在初始阶段主要是满足如何把手工信息变为计算机信息,随着企业规模的扩展和竞争的加剧,会计数据在企业经营管理中的作用日益重要,会计数据向综合数据转化,企业利益相关者对会计数据“背后的故事”的需求增加,财务软件的各种辅助管理模块应运而生,发展到今天,财务软件已经和企业其他管理软件融合,会计人员提供的数据更多是帮助企业进行决策支持等。
企业在财务软件的实施过程要考虑多方面的因素,除了成本要进行控制外,软件的合规性以及可操作性等也非常重要,但是,很多企业都忽略了财务软件和其他管理软件的融合问题,比如企业物资管理采用的Oracle数据库,人力资源采用了Sybase数据库,而财务软件又采用了DB2数据库,数据库的多棒性导致了企业业务数据和会计数据匹配上存在一定的困难,进而使得会计数据的及时性和可靠性都受到影响。
在组织结构及制度的建立上,企业往往是各个部门都设有自己的“系统维护员”,而系统之间的数据对接及信息变化等缺乏相应的组织结构进行协调,造成了企业的信息化投入成本很大,但结果却是“信息孤岛”越来越多,各种信息最终在企业的经营管理过程中的有效性大大降低,信息判断的偏差很可能会导致企业经营决策判断失误,加大企业经营风险。
2、维护与支持风险
财务软件往往都由专门的软件公司提供,一般在项目实施阶段,财务软件公司会成立专门的项目组负责软件的初始化及培训工作,在项目实施结束后很少有软件公司留下专门的人员负责财务软件的后续支持工作,这在很大程度上要求企业财务人员除了具备专业的财务知识外,具备基本的计算机操作能力就成为必须,甚至有专门的系统管理人员。而在现实的企业经营中,由于会计人员专业知识结构等差异,很难有人对财务软件的后续问题提供及时的支持,大部分“系统管理员”从事于添加会计科目、增加往来单位等事项,很少对现有软件的运行风险进行综合考虑。这导致了在实际的运行过程中财务软件的使
用效率大大降低,同时,没有充分的利用财务软件进行综合数据的收集与分析也降低了会计数据的有效性。
3、审计与评估风险
2006年以来,我国政府陆续颁布了多项内部控制规范,向社会公开征求意见,内部控制已经成为理论和实践关注的热点问题,但是,在IT环境下的内部控制却还没有专门的规范,目前仅有的《企业内部控制规范xx号――计算机信息系统》(征求意见稿)、中国注册会计师准则1633号和1231号等分别对被审单位在电子商务环境的审计风险进行了描述,对于会计信息系统在审计中应关注的风险点和具体审计程序、目标等尚未有相应的规范出台。注册会计师在执行审计的过程中一般是要求被审单位将会计账薄打印出来,按照传统的审计方法进行审计,但对于计算机与网络技术的运用有什么风险、怎样才能控制并降低这些风险缺乏相应的指导,另一方面,如何利用计算机技术对财务软件数据进行收集和分析也缺乏相关的知识和工具,IT环境下注册会计师审计面临新的挑战。
三、COBIT框架下加强会计信息系统内部控制的建议
1、从战略层面考虑企业会计信息系统设置,建立IT管理部门
COBIT是基于企业业务流程的IT治理、安全与控制的框架,根据COBIT框架,会计信息系统业已成为企业整体信息系统的一个重要构成部分。企业应在战略层面考虑会计信息系统的设置,重视软件的数据采集、编码统一、人员集中等,避免出现同一材料在不同部门之间的数据传递缺乏统一的编码规范,造成数据汇总的困难。同时,随着企业经营规模的扩张,基于IT流程的计算机数据会快速膨胀,成立专门的IT数据管理部门已成为现实的需要,IT管理部门可以完成企业各种软件的标准统一、数据采集、数据分析等大量工作,提高会计信息系统数据的有效性和及时性。
2、梳理企业业务流程,建立会计信息系统风险控制机制
COBIT框架中的34个业务流程和210个控制目标为企业实施COBIT提供了具体的指导,企业可以根据具体经营情况,梳理业务流程节点,根据各节点建立相应的内部控制目标,在此基础上,建立企业会计信息系统风险控制机制,包括业务流程预警体系、计算机信息系统数据采集与存储制度、网络安全管理制度、管理员权限与人员授权管理等。充分保障会计信息系统在IT环境下运行的安全、稳定,将风险降低到可接受范围内。
2006年6月5日,上海证券交易所(下文简称上证所)率先了《上海证券交易所上市公司内部控制指引》(下文简称《指引》),对上市公司建立健全和有效实施内部控制制度提供了原则性指导,明确了公司董事会对公司内控制度所负的责任,并要求上市公司从2006年年度报告起披露内部控制自我评估报告和会计师事务所对自我评估报告的核实评价意见。
IT是内控的一部分
IT内控是公司内部控制的一部分,是审计的对象。《指引》第十条款规定了“公司使用计算机信息系统的,还应制定信息管理的内控制度”,并且列出信息管理的内控制度至少应涵盖的内容:
(一)信息处理部门与使用部门权责的划分。
分析:无论公司的信息处理部门组织结构如何,都必须与使用部门进行明确的权责划分,并且成文定义。明确定义的权责将加强信息处理部门与使用部门间的沟通和相互理解,避免推诿和责任不清造成的管理漏洞和效率低下。
(二)信息处理部门的功能及职责划分。
分析:由于信息系统的特性,信息处理部门本身的功能和职责划分是复杂的。因为功能和职责的复杂性增加了IT服务和运营的风险,所以必须建立相应机制加以管理。信息处理部门管理者首先必须明确本部门在整个公司中起到的作用和承担的角色,明确提供的服务和相应的责任,并且成文定义。
(三)系统开发及程序修改的控制。
分析:系统开发和程序修改主要包括两部分:新应用软件的开发和实施、现有应用软件的变更和维护。新应用软件获得和实施失败风险很高。为了降低这种风险,企业应该建立成体系的软件开发质量控制方法,比如标准软件开发工具和IT构件的选用。
(四)程序及资料的存取、数据处理的控制。
分析:程序和数据存取访问控制需要技术和管理两方面的共同保障。首先,信息和系统安全技术是防止非法访问的有效方法,比如各类密码保护、防火墙、数据加密存储、密钥技术等。其次,需要从管理和流程上保证程序和数据的访问安全,最重要的就是建立完善的系统用户管理制度。
(五)档案、设备、信息的安全控制。
分析:由于信息技术的广泛使用,信息安全一直是得到信息处理部门和信息使用部门极大关注的一个问题。信息资产安全的漏洞可能造成机密信息外泄、病毒入侵等问题,严重的信息安全问题可能危及整个公司的运营,造成财务和声誉上的重大损失。
(六)在网站上进行公开信息披露活动的控制。
分析:在网站上进行公开信息披露活动,需要信息处理部门与公司执行层和内部控制体系其他部门的紧密联系。为了保证信息披露的正确性和及时性,公司应该制定一套流程进行信息披露活动的管理,包括网站上的信息披露。
IT是内控的重要辅助
计算机应用系统不仅是整个企业业务的重要支撑,也是对公司运营活动进行控制的重要辅助手段。以具体运营流程为基础展开的IT控制,直接关系运营活动的实施。这类IT控制包括应用控制,即针对特定业务流程,以软件应用方案为依托进行控制活动。如对财务报表的编制和汇报进行控制,就需要对财务模块进行有效的控制。
以IT为基础和手段的控制方法,效率要明显高于传统手工或基于纸张的控制方式;利用IT固化内控流程可以简化企业的内控过程,降低内控成本,优化内控项目的成本效益比,并帮助企业达到内控效力持续性的要求。IT的规范化操作程序以及信息系统的信息备份功能,能够降低内控审计的难度。
IT管理者应该清晰地认识到IT在公司建立内部控制中的优势和承担的责任。由于信息技术的复杂性,IT部门有责任帮助和配合公司其他部门建立合适的“应用控制”。这不仅能帮助公司达到内部控制的要求,也有利于提升IT在公司中的价值。
IT内部控制不可孤立
IT内部控制应该满足第六条款所描述的“目标设定,内部环境,风险确认,风险评估,风险管理策略选择,控制活动,信息沟通,检查监督”这八个要素的要求。IT内部控制并不是孤立的,而是公司以业务目标为主导的整体内部控制项目的一部分。
简单来说,企业必须首先确定公司的主要经营活动以及与这些经营活动相关的业务流程和活动,划分内部控制的工作范围。其次,企业在工作范围内定义具体的控制对象。再次,针对控制对象,进行风险分析、评估,决定每项风险的管理策略,制定企业具体的控制程序、控制目标以及审计标准。然后,对现行的运作,实施变革以达到预定目标。最后,评价控制措施的实施后果,加以巩固或改进。
IT的内部控制必须遵循公司的内部控制机制策略,确保IT控制符合公司内部控制的基调。此外,IT控制还担当支持企业高层管理活动的责任,在企业内设定业务目标,确立企业政策,在组织资源配置及管理决策时,IT负责辅助企业制定政策方针并在组织内部传达交流。
通过上述三方面的分析,我们可以发现,IT控制可以归纳为三个层次:公司控制、应用控制和基础控制。公司层面的控制决定了IT内部控制的基调;应用层面的控制与业务流程相结合,体现在应用系统中,比如ERP和MRP;基础层面的控制则体现在IT服务过程中。
在现实中,由于IT运行环境和IT应用水平迥异,不同的公司在建立IT内部控制过程中的控制重点各不相同,复杂的局面可能会使许多企业一时无所适从。《指引》作为上证所的一份规范性文件,虽然给出了内部控制的框架,但是仍无法像管理手册或者行动指南那样说明IT如何才能达到《指引》所要求的水平。
面对已经到来的内控要求,上市公司急需一套普遍适用的IT内部控制方法论来弥补《指引》的这一缺憾:必须满足《指引》的要求,可以协助IT建立合适的内部控制机制;以IT控制为主要任务,考虑全面并被广泛认可;提供可操作的行动指南和评价体系,指导企业在进行IT控制的同时,方便审计机构制订评估标准,并利于双方就审计细节达成一致。
链接:为什么不能照搬美国萨班斯法案
首先,萨班斯法案关于内部控制的规定的操作成本太高,对规模较小的中国企业来说操作难度太大。大型美国公司仅在第一年建立内部控制系统的平均成本就高达430万美元,这对规模偏小的中国上市企业来说是不现实的……
Abstract:With the rapid development of information technology,Information technology has become an essential part of college development,and colleges and universities also expanded the scale of IT hardware and software,which puts forward higher requirements for the quality of the IT management.According to the actual situation of colleges and universities,the paper analyzes the problems existing in the IT quality management in colleges and universities,introduces the quality management concept,and explores to establish a set of IT quality management model suitable for colleges and universities. And based on this model,IT quality management system is established by the principle of step-by-step implementation.The system will standardize the IT quality management process, improve the quality of IT management level and efficiency,and provide guarantee with information construction of colleges and universities.
Key Words:ITIL;IT Service Management;Quality Management
随着高校信息化技术的蓬勃发展,高校的IT应用越来越广泛,高校对IT的质量也提出了更高的要求。高校的信息化建设已经开始了多年,信息化应用过程中和建设过程中出现的IT质量问题也逐渐成为高校信息化所关注的焦点,如何使IT系统为高校提供更可靠、更稳和更快速的响应,减少不可用事件的发生,关键在于提高IT的质量,而核心在于对IT的质量管理。
IT质量管理需要为信息化建设和应用制定质量规范和标准,制定IT质量控制流程、反馈流程和评价手段,它是提高IT质量的重要保障,是高校信息化安全、快速、稳定运行的强大支撑。本文结合高校的实际情况,探索建立了一套适合于本校IT质量管理体系,并依据实际情况进行了分步实施。
1 高校IT质量管理存在的问题
目前高校信息化建设正处于高速发展时期,新老设备的更替、新系统的上线、新老系统的整合等等都离不开信息技术的应用,信息技术对高校而言已经成为必不可少的一部分,但信息化建设却充满了各种不确定性,建设完成后的系统往往表现的差强人意[1]。具体表现为系统稳定性差、功能与用户需求差异大、IT服务严重滞后等等。造成这些后果的原因众多复杂,但究其根源在于对IT质量管理不善所致。
目前,学校IT质量管理存在的问题可以归结为以下几点。
高校的IT质量管理基本处于空白,没有建立有效的IT质量管理机制。例如,在人员组织方面,目前高校还没有专门的IT质量管理人员,即ITQA,而各个IT质量管理组织之间所承担的工作界定不够清晰;在流程管理方面,只是存在简单的质量管理流程,还没有形成规范化、流程化的IT质量管控模式,处于低效的IT质量管理阶段;在IT质量管理工具方面,还没IT质量管理的相关工具,也没有IT质量相关的运维知识,无法追踪IT质量管理的整个过程。
IT质量管理标准不健全。IT质量管理标准事关信息化建设的全局,是信息化顺利建设和实施的重要保证,高标准才能有高质量。IT质量管理标准建立是一个复杂的过程,需要以IT质量数据作为支撑,对出现的IT质量问题进行及时、集中的监控处理,同时对历史数据进行整理分析,才能建立起良好的IT质量管理标准。健全的IT质量标准才能形成可行的IT质量程序文件,才能更高效的指导IT质量管理。
IT质量信息反馈方式不够完善。IT质量信息反馈是针对出现的IT相关质量问题信息的传递、回馈,是IT用户与IT提供者之间沟通的渠道,是保证IT质量的重要支柱,目前高校内只是通过电话、邮件等传统的反馈模式进行IT质量反馈,这种反馈方式既没有对IT质量问题进行分类,也不能对问题进行及时的定位处理,IT质量问题得不到有效的解决,造成了信息化用户体验感差,严重影响了信息化建设,而新的IT质量反馈方式还没有建立。
从上述的问题不难发现,在高校信息化建设过程中,IT质量管理已经是影响信息化建设的重要因素,建立一套完整的IT质量管理体系,将使得信息化项目建设过程变得有章可循,发现影响质量的薄弱环节,有助于提高IT质量管理水平,同时也降低了IT风险,保证了信息化的顺利实施。
2 IT质量管理相关理论
2.1 IT质量管理
质量管理是指以质量为中心,顾客满意为宗旨,确定质量方针、目标和职责,并通过质量策划、质量控制、质量保证和质量改进等使其实现而实施的管理性质活动。
IT质量管理是以IT质量为中心,目的是减少IT信息化不可用事件的发生,降低相关问题产生的负面影响而实施的管理性质活动,它是全面质量管理体系中的一个组成部分,可以将其归纳入现有的质量管理框架中。IT质量管理不仅包含硬件设备的质量管理,还包括了软件质量管理、IT服务质量管理等相关内容,更主要的是包含整个信息化全生命周期各个阶段的IT质量管理,它为信息化各级领导、信息部门质量管理人员提供相关的IT质量管理框架和最佳实践,为组织的IT质量管理提供理论指导。
国内信息化已发展多年,信息化相关的质量问题也从最开始的不被关注,到如今成为关注的焦点。如何提高IT的质量一直困扰着IT行业界。IT行业是一个新兴行业,相比较传统行业而言,缺乏成形的质量管理体系和质量标准,特别是在高校中,在质量体系和标准方面几乎为空白。为了提高高校的核心竞争力,保证高校的IT系统有更快的反应速度和更高的稳定性、可靠性,则必须解决IT相关的质量问题,减少业务系统不可用事件的发生,降低所产生的不利影响。因此这就需要高校能制订适合于自身的IT质量管理标准和规范,推行有效的IT质量管理体系,为高校的业务发展,提供强大的支撑作用。
2.2 IT服务质量管理
IT服务是指为信息技术的应用、满足用户IT需求而提供的各种服务的集合。IT服务质量则为IT服务的固有特性满足要求的程度[2]。IT服务质量涉及人员、管理体系、信息资源、技术支持等多方面的内容,是多方面因素的综合体,并以需方的最终满意作为实现目标[3],它包括IT服务产品质量和IT服务过程质量。
IT服务质量管理则是以IT服务质量为中心而实施管理性质的活动,它是以用户满意为宗旨,预防为主,持续改进服务质量。近年来,IT服务在高校中被广泛关注,其重要性也不断增大,IT服务质量也有了更高的要求,这就在客观上要求建立一套IT服务质量管理体系,帮助高校改进IT服务质量,提高高校的IT服务质量。目前,IT服务质量管理的主要模型包括ITIL、ISO9000、布里德奇国家质量奖等。ITIL作为IT服务管理的最佳实践近年来在国内外高校逐渐使用,如国外的悉尼大学、普林斯顿大学;国内的有清华大学、中山大学等。
2.3 软件质量管理
软件质量是软件符合客户需求的程度,它是通过一定的属性集合来表现的,质量的好坏直接影响了用户对软件的满意度,而衡量软件质量的标准通常是软件质量属性,比如健壮性、容错性、安全性、可移植性等,而对质量属性影响的因素包括人、技术和过程。随着软件技术的发展,软件过程这一因素对软件的质量影响越来越重要,高质量的软件必定有一个成熟的软件过程,不成熟的软件开发过程可能导致低质量的软件产品[4]。
软件质量管理是以软件质量为中心而实施的管理性质的活动,主要来自于对软件开发过程的管理,它包括的主要活动有软件质量策划、软件质量控制与保证、软件质量的度量和验证,软件质量改进等。软件质量管理产生于20世纪70年代,“软件危机”之后引起了广泛的重视,发展至今,出现了CMMI[5]、ISO9000[6]等软件质量管理模型和标准,一定程度提高了软件质量管理水平,但总体来说还没有从根本上解决软件质量问题。
目前,软件质量管理在国外已经有了深入的发展,提出了相关的质量管理模型,如ISO/IEC 9126:2001等,引入了全面质量管理的思想和相关的度量标准,开发了一些支持软件质量改进的工具,如美国McCabe&Association公司的McCabeIQ、英国的自动评估工具ProcessProfessional等等。国内软件质量管理处于刚刚起步阶段,主要在软件企业当中,如东软、用友等,随着软件产品的广泛应用,金融行业也在建立自己的软件质量管理体系,如光大银行等,而在高校中建立软件质量管理体系的还较少。
3 IT质量管理体系的构建
3.1 IT质量管理框架
实践证明IT质量管理体系的建立必须在实际业务基础之上,如果不对实际的IT质量需求进行分析,没有对IT质量管理进行总体规划,则很难成功的导入IT质量管理体系。因此,成功的实施IT质量管理体系,必须符合高校IT质量管理规划,必须符合实际业务现状。目前,高校的信息化建设的特点是购买成形的产品或将开发过程外包,但为了保证最终交付物的质量,需要建立全生命周期的IT质量管理体系。高校的IT质量管理还处在探索阶段,还没有成熟的体系,本文参考了CMMI理论模型,将高校的IT质量管理框架分为过程级管理与组织级管理。
过程级管理主要由供应商与高校人员共同配合进行,它是在活动过程中的管理。过程是质量改进的核心[7],对过程的监控将有助于控制各阶段影响质量的因素,从而预防质量问题的发生,保证最终交付物的质量。高校IT日常业务主要包括三大过程:运维支持过程、软件开发与实施过程、技术硬件实施过程。运维支持过程覆盖了高校信息化系统的全生命周期,包括事件管理、问题管理、配置管理、变更管理、和部署管理等。软件开发与实施过程是高校数字化校园建设的主要业务过程,包括了需求分析、概要设计、开发、测试、部署、验收等环节。技术硬件实施过程是高校信息化基础建设的主要业务过程,包括需求调研、方案设计、物资采购、测试、部署、验收等环节。过程级管理要求对每个重要环节的所提交的交付物都要进行评审,由高校人员与供应商共同制定评审方案,共同评审,只有评审通过才能进入下一阶段。
组织级管理主要由供应商配合高校人员进行管理,它是从宏观角度进行质量管理,把握信息化相关活动的进展,是更高层次的管理。组织级管理包括组织定义、里程碑控制、问题追踪、风险控制等。组织定义是为了实施某个项目,按照一定的组织形式而组建组织机构,机构内明确了供应商与高校各部门所担任的角色,明确了分工、厘清了职责,防止扯皮现象,提高工作效率和质量。由于高校的信息化项目繁多,有必要建立一套适合于高校自身的组织定义方法,来对项目进行有效的管理。里程碑控制是项目实施过程中紧抓实施的关键节点,保持高度关注,保证关键节点的质量。里程碑节点包括完成需求调研、完成解决方案、完成系统设计、完成功能测试、上线试运行和项目验收等。问题追踪是针对项目进行过程中没有被处理完成的问题进行记录并进行追踪,直至问题被处理完成并关闭,其预防了易被忽略或遗忘的问题所导致的质量问题。风险控制是指项目管理人员针对可能出现的风险事件进行分析,并采用各种措施和方法,减少风险事件发生所造成了质量问题。组织级管理是从宏观的角度对项目进行监控,其目的在于保证项目的进度和质量了。
3.2 IT质量管理的三要素
IT质量管理的三要素,即人员、流程和工具,是构建质量管理体系的基础,只有先建设专业的人员、合理的流程、先机的工具,并将它们有机的结合起来,才能提高质量管理的水平,从而获取更高的质量效果。
人员建设:组织与人员是管理体系的基础,一切管理活动都是以人为基础来开展的。没有优秀的专业人员,任何体系都无法发挥作用。好的体系需要设置科学合理的组织结构,定义详细明确的岗位职责,它是整个IT质量管理体系的核心,它不仅可以规范了体系中人员的操作行为,同时也防止了职责不明导致的扯皮现象。对于从事IT 质量管理人员,需要做好质量管理和专业技术的培训,导入质量管理理念,培养全局意识、公正意识和服务意识等。
流程建设:流程是管理工作开展的基础,管理工作都是通过流程来实现的,工作流程的好坏直接决定了管理工作是否能良性开展,因此,需要建立科学严谨、适合于高校的工作流程。结合现有的质量管理制度和规范,建立了包括技术硬件采购质量管理流程、软件需求、设计、实施、编码、测试方案、验收等质量管理流程、技术服务质量管理流程等。每个流程设立流程经理的角色,对流程进行监控分析并持续改进来保证事物处理的高效性和正确性,同时建立质量问题知识库,方便质量知识共享。合理科学规范的工作流程,可以规范质量管理人员的职责,实现对质量管理人员工作的量化和资源的合理分配。
平台工具建设:在组织人员和工作流程建设完成的基础上,选择合适的软件平台工具,将流程固化并贯彻执行,实现流程的无纸化、电子化运转。平台工具得应用将有助于数据与资料的积累,它将为质量分析提供重要的数据支持。平台功能模块包括:采购质量管理、质量计划管理、质量过程管理、质量控制管理、服务质量管理、质量信息反馈管理、质量信息分析报告管理、需求变更管理、配置管理、测试管理等。
3.3 IT质量管理的实施步骤
结合高校数字化校园建设的要求,基于高校IT质量信息反馈体系的实施策略,制定了相关的实施步骤,包括理念导入、现状调研、方案制订、体系设计、试点实施、持续改进等六个步骤。
理念导入:对质量工作人员做好质量管理理论等相关知识的培训,培养其公正、服务 和全局意识,使质量工作人员理解IT质量管理对高校信息化的重要性,以便于后期引入IT质量管理的相关流程。
现状调研:现状调研是实施质量管理体系的基础,现状调研首先要确定高校对信息化的质量管理目标,通过调研确定质量需求,通过与当前质量管理现状进行对比,找出差距,为建立适合高校的IT质量管理体系提供依据。
方案制订:根据调研现状的结果,结合高校信息化质量管理的规划,梳理各个部门的IT质量管理人员的岗位职责,提高责任意识,提出质量管理体系实施方案和质量管理体系实施计划书,为体系的建立提供基础。
体系设计:根据调研结果和实施方案,设计适合于高校的IT质量管理体系,包括目标、方针、组织架构、工作流程、相关管理规程、软件工具、指导文件等。
试点实施:在体系设计完成后,对软件平台工具初始化,选择试点项目,并与其相关IT用户、供应商进行沟通,按照体系文件的要求,通过统一的平台工具实施对IT质量管理。通过试点实施还可以进一步修订体系文件,完善体系并提高体系的适用性和可用性。
持续改进:体系完善需要持续的改进,因此需要建立一套持续改进机制,它将有利于整个IT质量管理体系的推广,不断完善流程和组织架构、提高管理水平,使高校的信息化不断的向前发展。
4 IT质量管理体系的设计
4.1 IT质量信整体设计
结合目前高校IT质量管理体系的需求,IT质量管理构建主要包括四方面内容:组织构建、流程设计、平台工具和持续改进。IT质量管理虽然以流程为导向,但组织与人员为体系的核心,因此体系建设过程中必须首先考虑组织结构。
建立IT质量管理体系,首先要对IT质量管理部门进行了职责梳理。成立高校信息化工作小组,负责所有的信息化项目的协调、监督与评审工作。高校信息化工作小组是高校信息化工作的最高决策者,对重大信息化事件进行审批和评审,同时负责体系的规划和资源的分配等。成立质量管理组,负责监督和控制信息化项目过程中的质量问题,软硬件部署后的测试、上线后的测试、未解决问题的追踪等。成立评审小组,负责各阶段任务完成的评审工作。成立运维服务中心,作为IT用户与运维人员的联系点,统一的接收与反馈IT用户所提交的IT事件和问题,下设运维工程师与服务经理角色,运维工程师负责系统上线后的运维服务支持,服务经理负责运维服务质量的监控、运维服务的规划、运维流程的改进。建立全员参与机制,由信息化质量管理人员与骨干组成工作小组,参与质量管理,同时宣传质量管理在信息化中的重要作用,最终达到全员参与的目的[8]。
在构建IT质量管理体系框架中,规定了IT质量方针、质量管理和控制过程、各环节的评审内容、IT运维服务目录、配置管理目录等,规定了各组织和各岗位的工作职责、权限范围等。在信息化项目实施过程,需要建立项目质量策划书,对每个阶段都需要提交相应的工作产品交付物,并对交付物进行评审,保证项目过程中的质量。以软件项目为例,重要的阶段有项目启动阶段、需求调研阶段、方案设计阶段、编码阶段、测试阶段、项目验收阶段,包括的交付物有项目工作说明书、项目计划书、需求调研报告、方案设计与解决方案、测试报告、配置文档、用户手册等等,每个阶段都要对所提交的工作产品进行评审,评审未通过的不能进入下一个阶段。
质量持续改进是在全面质量管理的基础上发展的,它的核心思想是对过程进行管理,控制各个环节的质量,目前最常用的质量持续管理的模型是PDCA环。P-为制订质量计划,高校的信息化工作小组和质量管理小组共同负责制订质量计划;D-为执行质量管理,由项目人员按质量计划要求对项目进行实施;C-为质量检查,由质量小组对项目各个阶段进行质量检查;A-为对检查的结果进行评审,在项目的每个阶段结束后由评审组对所进行的工作进行评审,达到目标的进入下一个阶段,总结成功经验并推广,未通过评审的总结失败教训,对质量管理工作中不足的地方进行调整。高校的IT质量管理体系中,需导入质量持续改进的理念,在信息化项目实施过程中严格遵循PDCA的循环规律,这不仅可以提高了项目交付物的质量,也可以提升信息化质量管理的水平。
4.2 IT质量管理相关流程的建立
工作流程是管理体系架构核心,一切管理工作都是以工作流程形式开展的,其目的在于将任务进行分解后,办理人员按不同角色、一定种规则来这些任务,这样既方便了任务的监控,提高了办事效率,也提升管理水平。结合高校的实际业务,IT质量管理体系主要包括了技术硬件采购管理流程、信息化项目质量管理流程、IT服务质量管理流程、IT质量信息反馈管理等。
技术硬件采购管理流程是对采购的技术硬件过程进行控制以保证采购的产品符合标书所规定的要求的工作流程。供应商将技术硬件供与高校后,高校人员将货物数量点清无误后组织验收人员进行质量检验。质量检验人员协同相关部门对所购的货物进行质量检查,对出现质量问题的货物及时记录,并将反馈给高校的资产部门,资产部门及时与供应商联系,提出整改建议,若对高校产生经济损失,则资产部门负责与供应商协商赔偿事宜。技术硬件采购质量管理的目标在于保证采购物品符合信息化项目实施的要求,为信息化项目顺利实施作保障。
信息化项目质量管理流程是项目管理人员为确保项目能按既定的质量及目标要求而实施的管理性活动。这里的信息化项目质量管理主要指技术硬件实施类项目质量管理和软件开发与实施类项目质量管理。首先信息化工作小组与质量组经过调研后制定项目质量计划说明书,包括项目达到的质量目标、确定质量控制程序和控制手段等。其次,在项目的各个阶段过程中实施质量保证(QA),在每个阶段结束后实施质量控制(QC)。质量小组对项目的实施进行监督,保证项目按既定计划和流程实施,保障项目的质量。在项目的每个阶段结束后,质量小组负责对系统的测试而评审小组负责对交付物的评审,测试通过与评审通过后进入下一个阶段;未测试与评审通过的则找出缺陷原因,由质量组负责对问题进行追踪,直至问题解决,持续对项目质量管理中的不足进行改进。信息化项目质量管理目的在于保证项目能按最初既定目标完成,满足用户的质量要求。
IT服务质量管理流程是指IT服务提供者为IT用户提供信息化服务的质量管理流程。IT用户按IT服务提供者所提供的服务目录向提供者提出IT服务需求,包括运维支持、技术资讯、设计开发、系统集成、培训等,统一提交到运维服务中心处理,服务中心根据需求种类分派给相应的工程师处理,由服务经理对解决方案进行审批,质量小组负责测试,最终结果交由服务中心统一回复用户。
IT质量信息反馈管理流程是对信息化出现的质量问题进行记录、归类、分析原因、制定解决方案,监督整个过程直至问题被解决的管理流程。运维服务中心主动监控或用户提报信息化质量问题,由服务中心对质量问题进行记录、归类,再分派给相应的工程师进行原因分析和方案制定,最后交由实施人员按方案进行实施,直至IT质量相关问题被解决。
