时间:2021-01-29 作者:崔松 作者简介:崔松,南方传媒财务总监,高级会计师。
[大]
[中]
[小]
摘要:
随着信息技术的广泛应用,IT治理水平直接影响到信息技术在企业中的地位和所发挥作用,人们越来越关注IT内部控制在企业内部控制体系中的重要地位。COBIT(Control Objectives for Information and Related Technology)即信息和相关技术控制目标,是目前国际上普遍采用的IT治理模型,以此模型的控制标准作为指导,可以提高IT治理水平,有效管理和控制信息系统风险,实现业务目标,使信息技术更好地为企业服务。
一、COBIT模型及相关控制目标
COBIT模型是由国际信息系统审计和控制协会(ISACA)制订并发布的,经过数次修订,形成2007年版本COBIT 4.1,主要包括COBIT框架(COBIT Framework)、控制目标(Control Objectives)、管理指南(Management Gui-delines)和成熟度模型(Maturity Models)等内容。控制目标是COBIT的核心部分,根据每个IT过程所涉及的系统资源,确定了34个高层次控制目标和210个详细控制目标,是IT流程所应遵循的最佳管理目标。企业在具体运用时很难完全达到这个标准,本文根据企业实际情况,从中选取了与本案例分析相关的控制目标进行介绍。
计划与组织(PO):是以企业的发展战略为目标,结合行业对信息技术应用趋势以及行业信息...
随着信息技术的广泛应用,IT治理水平直接影响到信息技术在企业中的地位和所发挥作用,人们越来越关注IT内部控制在企业内部控制体系中的重要地位。COBIT(Control Objectives for Information and Related Technology)即信息和相关技术控制目标,是目前国际上普遍采用的IT治理模型,以此模型的控制标准作为指导,可以提高IT治理水平,有效管理和控制信息系统风险,实现业务目标,使信息技术更好地为企业服务。
一、COBIT模型及相关控制目标
COBIT模型是由国际信息系统审计和控制协会(ISACA)制订并发布的,经过数次修订,形成2007年版本COBIT 4.1,主要包括COBIT框架(COBIT Framework)、控制目标(Control Objectives)、管理指南(Management Gui-delines)和成熟度模型(Maturity Models)等内容。控制目标是COBIT的核心部分,根据每个IT过程所涉及的系统资源,确定了34个高层次控制目标和210个详细控制目标,是IT流程所应遵循的最佳管理目标。企业在具体运用时很难完全达到这个标准,本文根据企业实际情况,从中选取了与本案例分析相关的控制目标进行介绍。
计划与组织(PO):是以企业的发展战略为目标,结合行业对信息技术应用趋势以及行业信息化的最佳实践,制定企业未来信息化蓝图以及实施保障计划,全面系统地指导企业信息化的进程。该域共包含了10个关键控制过程,其中定义流程、组织关系和沟通管理目标方向两项关键控制目标与本案例相关。与该目标对应的信息化建设过程为规划阶段。
获取与实施(AI):是通过定义需求、考虑替代资源、评审技术与经济可行性、执行风险评估及成本效益分析等分析过程,决定应用系统的取得方式,按照既定方式取得、实施、变更、维护IT决解案并将其整合到业务流程中,以满足业务需求,实现IT战略目标。该域共包含了7个关键控制过程,其中详细设计、应用控制和可审计性两个关键控制目标与本案例相关。与该目标对应的信息化建设过程为开发阶段。
交付与支持(DS):包括IT服务交付、安全和持续性管理、用户服务支持、数据和操作设施管理等管理过程。该域共包含了13个关键控制过程,其中问题管理这一关键控制目标与本案例相关。与该目标对应的信息化建设过程为接收和实现阶段。
监控与评价(ME):涉及的IT资源涵盖了应用系统、信息、基础设施和人员四项内容。该域共包含了监控与评价IT绩效、监控与评价内部控制、确保遵循外部要求和提供IT治理等四项关键过程,四个控制过程的关键控制目标均与本案例相关。与该目标对应的信息化建设过程为运行和维护阶段。
二、新华集团运用COBIT模型分析信息系统风险
新华集团为满足业务运营模式的信息管控需要,实施了信息系统管理工程。在核心ERP系统上线运行过程中,运用库存管理模块进行库存成本核算时,对商品计价采用移动加权平均法,产生移动平均价非正常差异问题,影响财务核算系统输出财务报表数据的真实性、公允性和利用财务报表对期间经营情况分析的准确性、可靠性,产生了系统输出信息不能满足经营管理需求的信息系统风险。
为解决信息系统风险,新华集团运用COBIT框架的控制目标对其信息系统从系统规划、开发、接受和实现、运行和维护等四个阶段实施情况进行了客观评价和分析,找出各阶段控制缺陷,具体如下:
在信息系统规划设计阶段,忽略了定义流程、组织关系和沟通管理目标方向两项关键控制目标,这两项关键控制缺陷是信息系统产生移动平均价非正常差异的重要原因。对于定义流程和组织关系这一控制目标:在信息化建设规划设计时,忽视了落后的组织结构和业务流程难以适应先进信息流程和管理要求。没有调整现有的组织结构来适应优化后的IT流程,也没有根据新流程重新定义各职能部门相关职能和岗位职责,只是把原来的业务操作和管理模式搬上新系统。对于沟通管理目标和方向这一控制目标:在整个规划过程中基本没有体现此项控制目标的内容,信息系统内部控制体系缺失。管理层没有关注到IT内部控制在信息化管理中的重要性,信息系统内部控制制度体系的缺失也是产生移动平均价非正常差异问题的一个重要原因,由此带来了影响信息效果和符合性风险。
在信息系统开发阶段,对详细设计、应用控制和可审计性两个详细控制目标的控制存在一定的缺陷是信息系统产生移动平均价非正常差异最直接原因。在对SAP软件二次开发的详细设计时,忽视了SAP存在的对业务和流程的规范性要求,没有考虑到集团实际业务中存在的复杂性无法满足SAP软件对商品成本核算时采用移动加权平均法计价的前提条件。移动加权平均法是企业会计准则认同的计算存货成本的方法之一,企业ERP系统采用这种计价方法核算库存成本时,对企业经营管理有如下要求:第一,企业业务流程简单且经营活动以商品正常对外销售和货物正向流动为主;第二,相同商品每批次进货成本差异不大。新华集团实际经营管理特征不能够满足移动加权平均法适用的前提条件,但在核心ERP系统的采购管理子系统中,却选用了移动加权平均法对库存成本进行核算,因此产生移动平均价非正常差异。在系统设计和开发过程中,没有关注到要充分利用自动控制手段加强业务控制,没有设计相关的自动控制程序。
在信息系统的接收和实现阶段,没有按照COBIT框架问题管理这一控制过程的详细控制目标的要求,解决信息系统产生的移动平均价非正常差异问题。系统移动平均价非正常差异在系统上线初期就已经产生,但没有引起集团相关人员的重视,信息中心没有根据COBIT框架问题管理的详细控制目标要求,具体分析产生问题的根本原因,只是借鉴同行业解决同类问题的处理办法,采用人工监控、手工调整的办法加以解决,不能从根本上解决新华集团信息系统移动平均价非正常差异问题。
在信息系统运用和维护阶段,没有按照COBIT要求的监控与评价IT绩效、监控与评价内部控制、确保遵循外部要求和提供IT治理等四项关键过程实施控制。正是由于一系列控制目标的缺失,使管理层没有及时关注到集团信息系统内部控制体系缺失,业务部门也没有动力和责任关注信息系统的信息质量,使移动平均价非正常差异对系统的影响一直持续两年多的时间都没有得到根本解决。
三、新华集团运用COBIT模型管控信息系统风险
新华集团运用COBIT控制理论分析出产生信息系统风险的原因,并在此基础上结合集团实际情况,在权衡成本、收益、实施难度、业务风险等各种因素后提出以下解决方案。
(一)规范业务流程,根本解决退货仓移动平均价非正常差异。对现有的退货业务流程做适当调整,使之适应信息系统设计流程的要求
1.子公司和门店要把所有的退货单据的退货地点由原来的退货仓(8002)变更为正常仓(8000)。退货包括跨公司调拨退货(RH)、内部调拨退货(RU)、连锁总部的销售退货(RE、ZRE)。
2.货物退到8000以后进行过账收货,需要在8000下建立一个库存地点(0099)专门放置退货以便于分辨正常商品和退货。
3.考虑到系统的可用性检查的问题,需在8000进行过账收货以后,把库存冻结,事务代码(MB11,移动类型343)。确认这批退货要退供应商或转正常仓销售之后,再进行库存的解冻,事务代码(MB11,移动类型344)。
4.供库存确认以后,再用内部公司调剂(UB)调剂到8002。对转正常品销售的,完成库存的解冻后,将商品从退货库存地点(0099)转入正常库存地点。
5.8002进行收货以后,再退供应商(RN)。
上述退货流程的调整,对于子公司和门店来所有在SAP里面的操作均保持原来的方式,唯一要注意的是,要把退货地点由原来的8002变更为8000。对于连锁总部来说,除了按原流程正常操作外,增加以下流程:库存的冻结和解冻;退供商品从8000转至8002;正常销售商品从8000的退货库存地点(0099)转入正常库存地点。可见,通过调整退货流程解决退货仓移动平均价非正常差异给业务带来的影响较小,实施成本较低,并且可以避免由于复杂业务流程引起的移动平均价非正常差异的叠加放大,基本可以解决退货仓产生的移动平均价非正常差异问题。
(二)建立IT内控体系,规避移动平均价非正常差异风险
1.建立良好的控制环境,为完善信息系统内部控制体系奠定基础。
(1)统一思想认识,明确集团IT发展战略目标,通过教育宣传加深中层、基层对IT战略目标的理解,使集团全体员工充分意识到实现IT战略目标是集团实现重组战略目标和提升集团整体实力和竞争力的重要保障。集团高层应按照IT发展战略目标,制定更详细的战略实施方针和步骤,将管理责任具体明晰落实到各职能部门的中层管理人员,保证IT战略目标的顺利实现。
(2)高度重视信息系统内部控制建设,在董事会层面建立信息化建设指导协调机构,指导企业建立适合自身发展的IT流程,调整现有的组织结构来适应优化后的IT流程,并根据新流程重新定义各职能部门相关职能和各工作岗位职责,使集团组织结构、业务流程、岗位职责与集团信息化管理要求相一致,提高集团信息化管理水平,最大限度地发挥信息系统在企业发展中的作用。
(3)制定引进和培养IT人才的长远规划,适应集团信息化建设要求,实现IT战略目标。为适应信息系统在集团的普及应用,在引进人才时应考虑集团信息化管理要求,除了应具备符合岗位职责要求的专业技能,还应具有较高的IT专业知识和操作技能。对原有的的员工、特别是基层操作人员,应通过组织学习、创先争优等形式加强职业道德教育,增强其工作责任心;应特别加强对他们的IT业务知识和操作能力培训。通过有效的培训使各职能部门不同层次的用户掌握系统的使用、实施、维护技术,增强其职业胜任能力。
(4)建设良好的企业文化,在面临IT重大风险管理时,提倡跨部门团队协作精神,及时处理偏差,实现IT目标。建立适应企业风险管理体系的职责分工体系,明晰集团公司高层、中层、基层各自的管理责任并确保各个责任单位之间有效连接;落实责任追究机制,保证出现问题后能够从有效的业务流程跟踪寻找到责任的源头,及时明确责任;建立明确的奖罚制度并严格执行,提高职工工作主动性和责任心,提高执行力。从集团高层管理者做起,培养积极沟通、团结协作工作方式,并通过落实在日常管理工作逐级传递给中层管理者和基层职工,在全集团全体员工中形成互相协作、团结一致的企业文化。
2.完善IT内控制度措施,减少违规操作引起移动平均价非正常差异。
(1)建立商品主数据的管理相关制度,对商品主数据的管理、创建、更改、定期检查作出具体规定,制度主要包括以下内容:第一,商品主数据由总部数据中心统一维护,以提高数据的准确性,减少重复和不规范数据。由数据中心维护的商品主数据包括商品、商品品类及层次、供应商、客户、采购价、内部交易价、销售价、分配规则和地点组等。第二,规范商品主数据的维护流程,保证基础资料的正确性、完整性。尽量提前通过各种渠道获取商品的准确详细信息,提高新品采购计划性,以减少后续工作的延误;减少无计划无商品信息的供应商主发,尤其没有商品主数据采集能力的门店和分拨仓,不能进行供应商主发;确保一个商品主数据只对应一个供应商的原则,按不同供应商创建不同的商品主数据;商品主数据基础资料维护好之后需要设置专人审批,并同时进行数据级的技术核对;主数据的更改,特别是价格、折扣的更改,要通过相关责任人的批准方可操作;定期对商品主数据进行检查;对系统重要主数据和控制参数的调整由需求部门提出,经审核批准后交信息中心统一调整等。
(2)通过不相容岗位分离,授权审批等控制,规范单据操作行为:单据的创建和修改权限分开管理,禁止违规修改单据;取消制单保存前可修改单据码洋、实样和折扣的设定,保证单据价格严格按照主数据设定生成;涉及单据修改的,要通过相关责任人的批准方可操作;禁止使用订单去处理结算差异;公司内各地点的移库必须使用公司内部调拨单,禁止使用对外销售单进行操作;门店进行“报损报溢”处理后,应按期将报损报溢商品走商品报废流程,禁止门店利用“报损报溢”操作进行非正常的报损报溢。
(3)充分利用自动控制手段加强对业务行为的控制,在系统中设计自动检查控制程序,限制不合理业务单据的生成:对因没有及时录入进货单据和商品退货超退等原因造成的负库存,限制销售或转仓单据的生成;对移动平均价超过限定范围,成本明显异常的商品,限制销售出仓;对输入的重要业务数据设计自动校验程序;由系统按期自动生成移动平均价变动监控报告,及时发现移动平均价重大差异;对异常或违背内部控制要求的交易或数据,在系统中设计自动报警功能。
3.建立良好内部沟通机制,及时解决移动平均价非正常差异风险。
成立信息系统内部控制小组,负责建立和完善信息系统内部控制制度,规范信息系统操作流程,提高信息系统利用水平。信息系统内部控制小组由连锁公司总经理担任组长,信息中心、业务、财务、审计等部门相关人员为组员。内控小组的主要任务是由财务部专人每月对主营业务成本差异科目发生额进行分析,由信息中心指定专人每月对退货仓商品移动平均价与实际进货价进行比较分析,通过分析结果监控新的退货流程操作是否顺畅有效、影响移动平均价的内部控制制度和措施是否建立和完善并有效执行,保证移动平均价问题基本得到解决。信息系统内部控制小组与各系统应用部门充分沟通,进一步完善信息系统内部控制体系。组织召开集团信息系统沟通培训会,传达IT战略目标、服务标准、信息系统内部控制流程和相关制度;建立信息系统内部控制制度执行情况定期通报制度,将信息系统内部控制执行情况及时传递给管理层和相关职能部门,保证信息的有效传递,及时发现由信息系统内部控制缺陷引起的信息系统风险,并采取有效措施加以改进,控制信息系统风险,使信息系统能够满足业务需求,保证IT目标的实现。
(三)通过审计监督和IT绩效考核,保证IT内控体系有效执行
1.执行审计监督和评价,保证IT内控体系健全有效。
聘请熟悉IT审计业务的外部中介机构,通过调查了解集团目前信息系统内部控制的建立和实施情况,采用专业测试手段评价其有效性和健全性,找出集团信息系统内部控制的薄弱环节,并提出纠正和完善的建议和措施。集团相关职能部门对照专业指导意见,及时发现自身业务流程的控制缺陷,有针对性地完善相关内部控制措施并进行整改,加快集团建立健全信息系统内部控制体系的步伐。同时加强内部审计评价和监督,通过从外部引进IT审计专业人才和加强对现有审计人员业务培训,提高内部审计人员的IT审计专业水平,加强集团审计部门对信息系统内部控制情况的评价和监督力度。审计部门现阶段应特别关注,解决移动平均价非正常差异问题的制度、措施的完善和执行情况:如调整后退货流程是否被有效执行;对商品主数据的相关管理规定是否及时制定并有效执行;是否执行不相容岗位分离、授权审批等控制以保证单据规范操作;检查系统中自动检查控制程序能否限制不合理业务单据的生成等。及时报告并披露可能产生移动平均价非正常差异的控制缺陷,提出整改意见并跟踪整改,确保解决移动平均价非正常差异。
2.建立IT绩效考核机制,保证IT内控体系有效运行。
探索基于业务应用层级的IT绩效考核办法,保证IT内控体系有效运行,使信息技术更全面地为企业管理服务,提高集团信息化应用水平。在进行IT绩效考核制度设计时,应该建立IT绩效监控体系,用以监控信息系统对业务的贡献,衡量IT解决方案和服务交付水平对业务的贡献,并把这一监控体系整合到集团现有的绩效管理体系当中。集团在对部门和员工进行绩效考核时应将实施IT内部控制情况和实现IT绩效作为一项重要考核指标,在设计IT绩效考核体系时,可以借鉴平衡记分卡的基本思想:对考核对象的评价除了包括基本的财务评价外,还应关注信息系统流程设计和管理水平,强调信息系统的内部服务功能。平衡记分卡的指标应随着公司的贡献、客户导向、经营业绩及企业的战略目标而改变。定期评价集团信息系统整体绩效,总结信息系统、IT解决方案和服务水平对集团业务发展的贡献,分析不利影响及产生原因,并提出整改方向,将报告提请集团高层管理者确定整改部门和责任人,及时进行整改,保证信息系统能够满足集团战略发展要求。只有不断建立和完善适应集团战略发展的IT绩效考核机制,才能保证信息系统内部控制制度和措施的有效执行,降低信息系统风险,提高信息系统的利用效率和效果。
通过实施上述解决方案,规避了移动平均价非正常差异风险,系统输出的成本更加真实、准确,有效地解决系统输出数据信息失真的信息系统风险,提高信息系统输出信息的可靠性、符合性,满足了新华集团业务管理运营模式的信息管控需要。
责任编辑 武献杰
相关推荐