信息系統控制與組織的內部控制最初是沿著信息技術與管理兩條路徑并行發展的,由于信息技術與工業化的深度融合,使得信息技術從早期的輔助運用演進到與組織的各類經營活動相融合,導致了相對獨立的信息系統控制從純技術層面的控制走向了與組織治理、管理與技術控制相融合的技術經濟綜合制度體系,由此形成了信息系統內部控制。
信息技術迅猛發展與廣泛應用,改變了組織的作業環境與作業條件,形成了組織對信息技術的深度依賴。SOX法案、歐盟的《聯合規則》、我國《企業內部控制基本規范》以及《企業內部控制評價指引》、《企業內部控制審計指引》等相關法規要求組織按照相關內部控制框架(如COSO、聯合規則等)報告內部控制的有效性。CobiT不是對COSO的取代,而是在信息環境下理解、執行、報告COSO與SOA等內部控制準則、確認IT資產的一個權威框架。有效的信息系統內部控制能增加組織價值、權衡利益相關者目標以及優化經營風險。CobiT是目前國際上公認的且在160多個國家得到實踐與支持的、最權威的信息系統內部控制標準,CobiT5是信息系統審計與控制協會(ISACA)整合了現有IT標準、IT風險管理與其他IT最佳實踐、以及前五次研究成果,于2012年發布的最新CobiT版本。它以原則為基礎、目標為導向、評價為手段、促進因素為載體,為組織每一個成員審視和管理其信息系統內部控制提供了通用的交流平臺。鑒于我國信息系統內部控制的現狀,本文對比分析CobiT4.1與CobiT5,提出了相關啟示,以利于我國相關組織更好地運用該框架,提高我國信息系統內部控制質量。
一、CobiT演進的簡要回顧
CobiT作為信息系統內部控制指南與權威框架,其發展演進與組織對信息技術的運用密不可分。隨著企業信息化與電子商務、政務的廣泛推進,信息系統成為組織生存與發展的基礎,因此,信息系統的“效率、效果、完整性、保密性、一致性、合規性、可用性”需要得以保障。信息系統內部控制最初以“計算機審計”的形式存在,根據美國斯坦福研究院的調查報告,隨著會計電算化的普遍運用,從而過渡到了“信息系統審計”,但此時的“信息系統審計”在本質上是一種電子數據處理審計。為規范該類審計,1969年在美國洛杉磯成立了電子數據處理審計師協會(EDPAA)。隨后EDPAA發布一系列計算機控制規范,這些計算機控制規范即為早期的信息系統內部控制。后來,計算機被普及與網絡化,EDPAA被改組為信息系統審計與控制協會(ISACA)。ISACA成立后,根據信息技術在組織中的運用以及組織治理層與管理層對信息技術的理解與關注,先后六次發布了信息系統內部控制框架。這些框架關注的焦點以及發布時間見圖1。從圖1可見:信息系統內部控制從最初的只關注審計演進到組織整體的IT治理與管理,CobiT整合其他標準的范圍與程度也進一步擴大。
圖1 CobiT 發展進程及內容變遷
二、CobiT5與CobiT4.1“七大”差異性的分析
2012年ISACA發布的CobiT5聚焦于信息技術條件下組織治理,將組織治理、管理與其他技術控制整合,在改進CobiT4.1的基礎上吸收借鑒了ITILV3等其他國際最佳實踐,為組織持續改進IT活動提供了指南。CobiT5與CobiT4.1的重大差異性主要表現如下:
(一)吸收、借鑒并整合其他IT最佳實踐與技術規范
CobiT是組織建立、健全信息系統內部控制一個通用的、權威的指南,它具有廣泛的適用性。對比CobiT4.1,CobiT5深度整合當今各類信息技術標準與最佳實踐。
圖2 CobiT5 與其他最佳實踐關系
CobiT4.1是在對CobiT4.0升級的基礎上并于2007年發布,對組織全面管理和治理IT提供了指導,使所有的潛在用戶皆可受益;但是用戶在使用CobiT4.1時,必須同時要參考其他相關信息技術標準與實踐,如需參考ITIL用于指導提供IT服務、參考CMM用于提供流程改進解決方案、參考ISO17799用于組織信息安全與PMBOK或PRINCE2用于組織項目管理。從圖2可知,CobiT5在五個不同域中分別整合了其他信息技術標準與最佳實踐。如在新增評價、指導與監控(EDM)域中,吸收借鑒了ISO/IEC38500與ISO/IEC31000國際標準,在其他四個域中也廣泛地整合了其他相應最佳實踐。
(二)重構CobiT架構
CobiT4.1是以“業務為中心、流程為導向、控制為基礎、計量為驅動”,而CobiT5是以“原則為基礎、目標為導向、評價為手段、促進因素為載體”。CobiT4.1的基本原理見圖3,為提高組織業務目標的信息,組織需要采用一套系統化的IT流程來投資、管理與控制IT資源,來提供組織信息服務。
圖3 CobiT4.1 的基本原理
在CobiT5中,促進因素是指單一或與其他因素組合影響組織治理與管理的各種因素,具體包括流程、組織架構、文化道德與行為、信息、服務基礎設施與應有、人力資源與能力七類。各類目標層級影響與驅動這七類促進因素。對比CobiT4.1,在CobiT5中,信息與流程僅僅作為了兩個促進因素,將“業務需求”改進為“利益相關者的需求”。
(三)新增“五項原則”
CobiT是指導性規范,而不是指令性規范,其權威來自于廣泛的適用性。盡管全球已有160多個國家在借鑒與使用,為擴大其使用范圍與影響,CobiT5吸收借鑒了ITILV3的指導思想新增了“五個原則”,即:①滿足利益相關者的需求;②全面覆蓋組織的各個層面;③運用單一整合框架;④運用了整體觀;⑤將組織的治理與管理進行分離。這些原則使CobiT5具有自適應性以適應組織特定利益相關者的需求,有利于各類組織因時制宜吸收借鑒,建立健全適合于各自組織特點的信息系統內部控制,以原則性的規定來指引組織對相關流程進行有針對性地選擇與借鑒,以適應組織特定環境與需求。
(四)分離組織的IT治理與IT管理
CobiT4.1沒有把組織的IT治理與IT管理功能進行分離,盡管在CobiT4.1中有IT治理,但是該IT治理是在給定業務需求前提下的一種狹隘、低層次的IT治理。而CobiT5的IT治理對CobiT4.1中的相關流程進行了調整,同時借鑒ISO/IEC38500,使IT相關人員參與組織治理成為組織治理成員的一種真正的組織治理,即CobiT5的IT治理已經成為組織治理中的一部分,此時IT治理的目標不是僅僅局限于滿足業務需要,而是對利益相關者利益的實現。在CobiT5中,IT治理流程旨在權衡利益相關者的治理目標:價值交付、風險優化與資源優化,并包含評估IT戰略選擇,為IT提供指導,并監控產出。而IT管理流程與CobiT4.1相同,都遵循了計劃、建立、運行與監控即PBRM生命周期理論。
(五)更新流程參考模型
CobiT4.1包含有四個域,在這四個域中,監控與評價(ME)是對其他計劃與組織(PO)、獲取與執行(AI)、交付與支持(DS)三個域的監控與管理,即為圖4中的白色部分。而CobiT5包含有五個域,這五個域分為治理流程域與管理流程域兩類,治理流程域對管理流程域起著指導評價與監控的作用。白色區域為CobiT4.1涵蓋組織的IT范圍,而灰色區域為CobiT5涵蓋組織的IT范圍。顯然,CobiT4.1所涵蓋的IT范圍僅僅是CobiT5的一部分。
圖4 CobiT5 的流程參考模型簡圖
(六)將流程成熟度模型改進為流程能力評價模型
CobiT5將組織信息、IT資源、治理與管理等因素作為七個促進因素,對各促進因素從“利益相關者、目標、生命周期、良好實踐”四個維度運用滯后指標與領先指標進行評價。
CobiT4.1將流程作為IT資源與組織信息的載體,因此通過流程成熟度模型(CMM)從“能力、控制與覆蓋”三個維度、“意識和溝通、政策、計劃和程序、工具盒自動化方案、技能與經驗、責任與職責、目標與度量”六個特征將流程采用定性的方法分為六個等級水平。這些等級只是對IT流程的整體描述并不是閥值模型,通過等級描述,組織管理層可以從整體上了解組織IT流程所處的階段與擬達到的階段,對比兩個階段的差距改進流程。
CobiT5將流程作為七個促進因素之一,因此對CobiT4.1中對流程評價方法改進為流程能力評價,僅針對流程這一促進因素進行評價。如果仍采用CMM評價方法,就會導致以局部描述整體的錯誤。CobiT5的流程能力評價模型(CCM)通過九個不同程度的特征運用閥值模型將流程能力分為六個等級,只有低等級實現后才能實現更高一級的等級。CCM同時評價流程的“目標”與“最佳實踐”兩個維度的能力狀況。CCM對流程評價的等級通常低于CMM評價等級。
(七)調整與新增流程
CobiT4.1以“流程為導向”,在“計劃與組織(PO)、獲取與實施(AI)、交付與支持(DS)及監控與評價(ME)”四個域中又細分了34個流程;而在CobiT5中,流程為七大促進因素之一,在“評價、指導與監控(EDM)、調整、計劃與組織(APO)、建立、獲取與實施(BAI)、交付、服務與支持(DSS)、監控、評價與評估(MEA)”五個域中進一步細分為37個流程。對于這些流程,CobiT5進行了調整、合并與新增:
1.流程的合并。DS7與PO7、PO6與PO1、AI2與AI3、DS12與DS5共四個進行了合并。
2.流程的調整。ME4調整到CobiT5中的EDM域的流程1至5中;PO1調整到流程APO2;PO4調整到流程APO1中,上述三個流程進行了調整。
3.流程的新增。CobiT5新增了EDM1、APO1、APO4、APO8、BAI8、DSS2、DSS8共七個流程。
三、我國信息系統內部控制的現狀
2003年,中共中央辦公廳、國務院辦公廳轉發了《國家信息化領導小組關于加強信息安全保障工作的意見》(中辦發[2003]27號)標志著我國相關部門建立、健全信息系統內部控制已成為其一項重要的法規任務。隨后,國家標準化管理委員會發布了一系列關于信息安全的標準,以引導組織建立健全信息系統內部控制。
2008年,我國發布了《企業內部控制基本規范》以及《企業內部控制評價指引》、《企業內部控制審計指引》引導上市公司建立健全內部控制,同時要求加強信息系統內部控制建設。上述相關制度與規范,在一定程度上有利于我國相關組織建立健全其信息系統內部控制,但是由于信息技術發展速度遠快于相關制度法規更新的速度,同時我國相關信息系統內部控制規范在借鑒與趨同國際相關準則與標準時,要結合我國的信息化現狀,這樣就導致我國相關組織在建立與健全信息系統內部控制過程中,缺乏最新的規范與指南,難以應對嚴峻的信息安全挑戰。
四、對建立健全我國信息系統內部控制的啟示
根據我國互聯網網絡安全監測中心2012年數據顯示、針對我國政府網站、金融行業網站等重要部門和行業的攻擊呈不斷上升趨勢,網絡安全形勢進一步惡化。目前在我國,只有政府核心部門與重要行業建立了信息系統內部控制,且其主要目的旨在保護信息安全,忽視了信息系統效率性、效果性以及合規性等其他目前。因此,我國相關組織建立健全信息系統內部控制任重而道遠。
根據我國互聯網網絡安全監測中心2012年數據顯示、針對我國政府網站、金融行業網站等重要部門和行業的攻擊呈不斷上升趨勢,網絡安全形勢進一步惡化。目前在我國,只有政府核心部門與重要行業建立了信息系統內部控制,且其主要目的旨在保護信息安全,忽視了信息系統效率性、效果性以及合規性等其他目前。因此,我國相關組織建立健全信息系統內部控制任重而道遠。
1.整合內部控制準則與信息技術規范,形成以管理為重心的信息系統內部控制規范。我國信息系統內部控制相關規范與準則仍遵循兩條線:一條線是由國家標準化管理委員會發布信息系統技術規范,由信息系統技術部門負責;另一條線是財政部或行業主管部門發布內部控制準則,由管理部門負責,這兩個部門相對獨立。而CobiT5定位于組織治理層與管理層,由治理目標所引導,覆蓋組織所有的IT活動,關注于組織應該實現的目標而不是實現有效治理與管理的技術路徑。因此,我國信息系統內部控制應將內部控制與信息技術進行深度融合,融合時以技術為基礎來實現組織的有效治理與管理目標,整合與提升信息技術部門,強化業務的自動化控制與IT系統控制,以引導組織建立健全信息系統內部控制,提高組織彈性。
2.對上市公司以及關乎國家信息安全的行業進行信息系統內部控制鑒證。自2009年7月1日起,我國要求上市公司(鼓勵非上市公司)對內部控制的有效性進行自我評價,同時聘請會計師事務所對內部控制的有效性進行審計。但是在進行內部控制有效性自我評價或審計時,其主要重心在財務報告內部控制,對信息信息系統內部控制關注不足。從目標導向來看上,信息系統內部控制與財務報告內部控制是趨同的,兩者具有緊密的關聯度。財務報告內部控制旨在會計信息的可靠性。然而隨著企業信息化,會計信息系統數據的生成、傳遞都依賴于企業信息系統模塊,因此信息系統模塊運行的質量直接關系到會計信息系統的可靠性。故在上市公司內部控制有效性自我評價與審計時,應將信息系統內部控制的有效性納入評價與審計范圍,將財務報告內部控制與信息系統內部控制并重。
信息化與工業化的進一步融合,越來越多公共行業與組織(如電力系統、城市供水系統與高度自動化的工業企業)采用數字控制系統(DCS)以及監督控制和數據采集系統(SCADA)。因此,DCS/SCADA信息系統安全運行直接關系到國家公共安全。鑒于DCS/SCADA信息系統防護的特殊性與重要性,我國自2003年每年要對重要行業進行信息系統安全專項檢查。盡管每年進行的專項檢查,在一定程度上促進了相關行業建立、健全其信息系統內部控制,但是專項檢查在檢查范圍、程序、檢查人員的專業勝任能力與獨立性等方面不同于審計(鑒證)。審計是獨立第三方的一種鑒證行為。審計師利用信息系統專家對重點行業的信息系統內部控制進行鑒證,以提高信息系統內部控制的有效性、安全性,同時也提高了社會公眾對相關行業安全運行的信任。
3.進一步修訂我國審計準則,以反映財務信息的加工、生成與報告對信息系統的依賴。審計準則是指導與評價CPA進行財務審計的標準,應反映財務信息的加工、生成與報告所處的環境變化。但是,我國的審計準則并沒有適時反映信息技術對審計的影響,如審計準則第1211號、第1301號、第1421號與第1633號等。
《中國注冊會計師審計準則第1211號——通過了解被審計單位及其環境識別和評估重大錯報風險》于2006年發布2010年進行了改寫。信息系統內部控制包括信息系統一般控制與運用控制,這兩類控制分屬于COSO的五個要素中。然而,該準則僅在控制活動僅要求CPA了解而不是關注,在控制環境中沒有要求CPA對IT治理的了解與關注。
《中國注冊會計師審計準則第1301號——審計證據》于2006年發布2010年進行了改寫。審計證據包括財務報表依據的會計記錄中所含信息與其他信息,在該準則中重點突出了會計記錄中所含信息,注重實物證據與書面證據,缺乏信息技術對審計證據的取得與評價的指導。然而,隨著會計信息與企業經營信息整合程度進一步加深,信息系統環境、電子證據將有可能作為審計證據,甚至可能作為唯一審計證據,在形成審計結論與審計報告更具證據力。
《中國注冊會計師審計準則第1421號——利用專家的工作》于2006年發布2010年進行了改寫與修訂。隨著企業信息化的提高,會計信息系統的數據來源更加依賴于信息系統的其他模塊,因此在審計財務會計報表時,更加依賴信息技術專家而降低對其他專家(如資產評估師、律師)的依賴性。
《中國注冊會計師審計準則第1633號——電子商務對財務報表的影響》于2006年發布。信息系統內部控制旨在對業務活動的自動化控制與IT自身的控制。而該準則要求CPA重點關注電子商務對財務報表的影響,即只關注業務活動的自動化控制,而忽視了對IT自身控制的識別與評價。
核心關注:拓步ERP系統平臺是覆蓋了眾多的業務領域、行業應用,蘊涵了豐富的ERP管理思想,集成了ERP軟件業務管理理念,功能涉及供應鏈、成本、制造、CRM、HR等眾多業務領域的管理,全面涵蓋了企業關注ERP管理系統的核心領域,是眾多中小企業信息化建設首選的ERP管理軟件信賴品牌。
轉載請注明出處:拓步ERP資訊網http://www.guhuozai8.cn/
本文網址:http://www.guhuozai8.cn/html/consultation/10839718974.html
相關文章
