萨班斯法案从根本上改变了企业的经营环境和法律环境,其目的在于通过加强内部控制,来改进公司治理状况,并最终加强公司的责任。
当前IT系统越来越多地对业务经营活动进行自动化处理,这就需要IT提供必要数量的控制程序。因此,遵循萨班斯法案的程序需要包括基于IT系统的控制程序。对大多数企业而言,IT在建立与保持有效的财务报告内部控制方面将发挥重要作用。通过运用整合的ERP系统,或综合运用各种经营管理、财务管理方面的软件,IT系统将为有效的财务报告内部控制系统提供强有力的支持。
PCAOB第二号审计标准要求了解IT在内部控制环境中的重要性。它特别指出:公司在其信息系统中运用信息技术的状况,影响着公司财务报告的内部控制。
目前我国四大电信运营商全部在美国上市,他们现在正在构建法案要求的内控系统,IT内部控制系统构建及评审是无法绕过的工作。完善内控,特别是电信企业信息化水平很高、业务流程依赖于IT流程的背景下,重视IT内部控制,完善IT内部控制十分迫切。本文讨论我国公司如何依据法案的要求在短时间内构建一套IT内控系统, 并通过有效的IT内控评价活动保证其持续健全有效, 以支持CEO 和CFO 的承诺进行初步探讨。
一、萨班斯法案的要求
世通公司造假案件和安然、安达信事件震惊了整个世界, 美国政府认为这是公司上下串通、内外勾结的严重结果, 所以法案对公司治理、内部控制及外部审计同时做出了严格的要求。明确规定要求建立独立称职的审计委员会,管理层要负责内控系统的完善和落实,并对财务报告的真实性负刑事责任 .综观整个法案, 最主要的是对公司内控系统的要求, 主要体现在302条款和404 条款。法案对公司内控系统不但规定严格, 而且实施要求和指南也在相续出台, 如SEC 于2003年6月5日根据法案的要求颁布了404条的细化条例, PCAOB于2004 年3月9日第2号审计准则, 对公司管理层提出了更明确的要求。
1、302条款的要求:
该条款要求由首席执行官和财务主管在内的企业管理层,对公司财务报告的内部控制按季度和年度就以下事项发表声明(予以证实):
对建立和维护与财务报告有关的内部控制负责。
设计了所需的内部控制,以保证这些官员能知道该公司及其并表子公司的所有重大信息,尤其是报告期内的重大信息;
与财务报告有关的内部控制的任何变更都已得到恰当的披露,这里的变更指最近一个会计季度已经产生,或者合理预期将对于财务报告有关的内部控制产生重大影响的变更。
在当前环境下,IT系统驱动着财务报告流程。诸如ERP之类的IT系统紧密地贯穿于企业经济业务的开始、授权、记录、处理和报告一整套过程中。就其本身而言,IT系统和整个财务报告流程也是紧密联系的,为了遵循萨班斯法案,也要对IT内部控制的有效性予以评估。
为强调这一点,PCAOB第2号审计标准讨论了IT以及IT在测试内部控制设计合理性及运行有效性时的重要意义,并强调指出:[部分]
…内部控制,包括与财务报告中所有重要账户及披露内容相关的控制政策与程序,都应该予以测试。
一般而言,这样的控制包括IT一般控制,以及其他控制所依赖的控制。
2、404条款管理要求
萨班斯法案的404条款要求,管理层在其年度文件中提供关于与财务报告有关的内部控制的年度评估报告。管理层的年度报告要求包括以下内容:
管理层有责任为企业建立和维护恰当的财务报告有关的内部控制。
识别管理层所采用的内部控制框架以便按要求评估公司与财务报告有关的内部控制的有效性。
对从一上个会计年度未以来,与财务报告有关的内部控制的有效性予以评估,其内容也包括有关与财务报告有关的内部控制是否有效的公开声明。
年度审计报告中,注册会计师事务所发表的财务审计报告,包括管理层对与财务报告有关的内部控制有效性评估的证明报告。
管理层关于公司针对财务报告内部控制有效性评估的书面结论,应包含在其对财务报告内部控制的报告和其对审计师的信函中。这一书面结论可采取多种形式,但是管理层对公司面向财务报告的内部控制的有效性必须发表直接意见
如果与财务报告有关的内部控制中有一个或多个重要缺陷,管理层将不能对财务报告的内部控制有效性做出评估结论,而且,管理层应该披露自最近一个会计年度未以来财务报告内部控制方面的所有重要缺陷。
面向财务报告的内部控制在这一会计期间可能存在一个或多个重要缺陷,但管理层仍可能会报告“从最近一个会计年度未起(上个会计年度未起),与财务报告有关的内部控制是有效的”。如果要做出这样的结论,管理层必须在评估日前已经改进了内部控制,消除了已有的缺陷,并在运行和测试其有效性后得到了满意的结果,测试的时间足以让管理层认为,从本会计年度起,与财务报告有关的内部控制设计合理、运行有效。
审计师需要合理地确定管理层的认定目标或审计目的(从而依此来收集审计证据),以支持管理层对内部控制有效性的评估结论。通过对审计师在这一过程中所应遵循程序的描述,PCAOB第二号审计标准接着指出:
公司在对财务报告做出确认时需要借助于企业的IT系统。为了识别管理层对财务报告所作的相关认定,审计师应考虑每个重要账户潜在错报、漏报产生的原因。在决定一个认定是否与某一重要账户余额或其披露相关时,审计师应该评价IT系统的性质、复杂程度以及企业IT的使用状况。
PCAOB第2号审计标准还专门讲述了IT在期末财务报告中运用,它指出:…要了解期末财务报告的提供过程,审计师就应在每一会计期末评估IT在该过程中的应用范围。………[部分]
因此所有企业构建IT内部控制至少都应具备以下三层通用要素:企业管理层,业务流程和共享服务。
二、我国电信运营企业面临的挑战
由于电信企业的信息化水平比较高,业务对IT的依赖程度也比较高。因此依照萨班斯法案要求,完善与财务报告有关的内部控制时,电信企业的内部控制几乎离不开IT,即使业务控制也是在IT支持环境下的控制。因此,电信企业完善内部控制几乎可以说是完善IT内部控制,包括IT一般控制和IT应用控制。但我们的现状不容乐观。
1. IT专业人士,尤其是管理层,缺乏内部控制理论与实践来满足萨班斯法案的要求。
法案的要求使很多人认为,IT专业人士应该对其负责的IT系统所产生的信息质量及完整性负责,但问题在于,大多数IT专业人士对复杂的内部控制并不精通或了解,难负其责。尽管这并不说明IT人员没有参与风险管理,但至少IT管理层没有按照组织管理层或审计师所要求的形式进行正式的、规范化的风险管理。 PCAOB指出首席信息官(CIO)们现在必须面对以下的挑战:(1)增强他们有关内部控制方面的知识;(2)理解企业所制定的总的SOX遵循计划;(3)专门针对IT控制拟定一个遵循执行计划;(4)把这个计划与总体的SOX遵循计划相整合。
2 缺乏系统的内部控制制度
事实上,每个电信企业都或多或少会都有一些IT内部控制制度,正是由于第一点原因,这些制度基本是由技术管理者制定,他们缺乏规范化风险管理的经验,这些IT控制制度可能不太规范,控制政策程序不太完善, IT控制制度一般存在于系统安全和变更管理等一些一般控制领域,缺乏从公司透明度角度出发的、结合支持业务流程的完整的内部控制制度。所以这也是在国内企业在符合萨班斯法案的道路上,问题最多的领域。
3.现有的IT内部控制不具有可审计性
一、IT审计的定义及其特点
IT审计是指对信息系统从计划、研发、实施到运行维护各个过程进行审查与评价的活动,以审查企业信息系统是否安全、可靠、有效,保证信息系统得出准确可靠的数据。IT审计的目标是保证IT系统的可用性、安全性、完整性和有效性,最终达到增强企业内部控制的目的。IT审计具有以下特点:
(一)IT审计是一个过程。它通过获取的证据判断信息系统是否能保证资产的安全、数据的完整和组织目标的实现,它贯穿于整个信息系统生命周期的全过程。
(二)IT审计的对象综合且复杂。IT审计从纵向(生命周期)看,覆盖了信息系统从开发、运行、维护到报废的全生命周期的各种业务;从横向(各阶段截面)看,它包含对软硬件的获取审计、应用程序审计、安全审计等。IT审计将审计对象从财务范畴扩展到了同经营活动有关的一切信息系统。
(三)IT审计拓宽了传统审计的目标。传统审计目标仅仅包括“对被审计单位会计报表的合法性、公允性及会计处理方法的一贯性发表审计意见”;但IT审计除了上述目标外,还包括信息资产的安全性、数据的完整性及系统的可靠性、有效性和效率性。
(四)IT审计是一种基于风险基础审计的理论和方法。IT审计从基于控制的方法演变为基于风险的方法,其内涵包括企业风险管理的整体框架,如内部环境的控制、目标的设定、风险事项的识别、风险的评估、风险的管理与应对、信息与沟通以及对风险的监控。
二、IT审计面临的挑战
IT审计和传统审计相比具有的上述特点是吸引我国众多商业银行引入IT审计的重要原因,但是这种方法的应用又会给商业银行提出巨大的挑战。
(一)传统审计线索的消失。在手工会计环境下,审计线索主要来自于纸质原始凭证、记账凭证、会计账簿和会计报表,这些书面数据之间的勾稽关系使得数据若被修改可辨识出修改的线索和痕迹,这就是传统审计线索的基本特征。但是,现在计算机网络信息系统中这些数据直接记录在磁盘和光盘上,无纸质记录,审计人员用肉眼无法直接看到这些数据如何记录,且非法修改删除原始数据也可以不留篡改的痕迹,从而为舞弊人员作案留有可乘之机。
(二)计算机信息系统的数据安全面临挑战。手工信息处理的环境下,审计人员无须将数据和会计信息的安全性问题作为审计的重要内容,但是在IT审计中,网络电子交易数据的安全是关系到交易双方切身利益的关键问题,也是商业银行计算机网络应用中的重大障碍和审计的首要问题。例如,计算机病毒的破坏、黑客用IP地址欺骗攻击网络系统来获取重要商业秘密、内部人员的计算机舞弊、数据丢失等,都是传统审计从未涉及的,但又是IT审计的重点,这对当前我国的审计工作无论是操作系统,还是制度建立等众多方面都是一个很大的挑战。
(三)IT审计专业人才匮乏。适应IT审计事业发展的人才培养和管理机制还有待建立和健全。由于IT审计固有的复杂性,这项工作需要具备会计、审计、组织管理和计算机、网络技术等综合知识的复合型人才,而且工作人员需要对内部控制和审计有深刻的理解,对信息和网络技术有敏锐的捕捉能力,在我国获得注册信息系统审计师资格的人数远远不能满足信息系统审计业务的需求。
三、IT审计应对策略
面对上述挑战,我们应当勇于实践,积极探索新形势下如何使IT审计工作能够满足商业银行发展的需求。
(一)审计线索的重建。根据计算机网络系统容易在不同地方同时形成相同“原本”数据的特点,可以重建电子审计线索:在电子化的原始数据形成时,同时在审计机构(包括内审机构)和关系紧密(签字确认)的部门形成原始数据的“原本”,或在不同部门各自形成相关的数据库(特别应当包括数量、金额和单价等主要数据项),这样不仅可以相互监督和牵制,还给计算机审计提供可信的审计线索。这种保留审计线索的方法,一方面成为有力的控制手段;另一方面可从审计线索中发现疑点。这种方法主要是应用专用的审计比较软件,同时将几个部门的同一种数据库进行自动比较,形成有差异的数据记录文件,详细审查相关的数据文件和访问有关的当事人,从而取得有力的审计证据。上述比较审计方法是在不同部门同时形成业务数据文件的情况下应用,如果企业业务数据分离存放,如销售合同与销售发票、提货单在不同的部门保存,这种实质性测试也可采用比较审计法,应用专用的审计软件,结合相关的几个业务数据文件进行比较,查出有错误疑点的记录。
(二)确保信息系统的信息安全。为了保证信息系统的信息安全,IT审计工作人员要在审计过程中评价企业的防火墙技术、网络系统的防病毒功能、数据加密措施、身份认证和授权的应用实施情况,通过面谈实地审查企业安全管理制度建立和执行的情况,查看企业是否为了预防计算机病毒,对外来的软件和传输的数据经过病毒检查,业务系统是否严禁使用游戏软件,以及是否配置了自动检测关键数据库的软件,使异常及时被发现;检测企业是否为了防范黑客入侵,网络交易的数据库采用离散结构,同时在不同的指定网点(如在交易的双方)形成完整的业务数据备份供特殊使用(如审计和监控);此外,IT审计人员还要注意检查企业的信息系统岗位责任实施、安全日志制度,审查有关计算机安全的国家法律和管理条例的执行情况。
审计人员不管是否在为欺诈而从事审计工作,都必须承担鉴别欺诈的责任,同时必须评估反欺诈程序。在美国注册会计师协会关于99号审计准则的公告中,强调审计人员必须对由于欺诈而存在的风险保持职业怀疑态度;美国公共事业公司会计监督委员会(PCAOB)同样也要求审计人员把评估与欺诈相关的活动作为内部审计功能的一个组成部分。
(一)IT过程界定信息及相关技术的控制对象(COBIT)界定了IT过程的范围,根据COBIT的规定,一个IT过程可以被归类为以下四个基本领域中的一个:计划与组织、获取与执行、传播与支持及监控与评估。
表1给出了这四个领域的34个具体的11I过程。
欺诈是否在每一个IT过程中都可能发生,目前还没有定论。为了更好的理解欺诈是否发生,所有的审计人员都应该更好地理解由犯罪学家唐纳德博士提出的欺诈三角假设。表2对他的三个因素进行了简单描述,任何人只要实施欺诈必然与这三个因素相关联。因为在任何IT过程中,不管IT系统的自动化程度如何,只要有一个以上人的参与,就必须慎重考虑欺诈发生的问题。
(二)欺诈的类型描述一般来讲,职业欺诈可以分为如下三种类型:资产挪用:任何涉及组织资产偷窃与误用的计划,如将软件及软件许可用于个人目的以获取收益。贿赂:一个人利用在商务交易中的影响力来获得与他,她对上司的责任向背的利益,例如将In殳备维护服务外报给提供回扣的服务商。虚假的陈述:财务报表的虚假陈述以使组织看起来盈利更好或更坏,如电信提供商通过虚假报告来调节每户平均收益。以上每一种欺诈还可以细分。不同类型的欺诈的知识以及跨行业的欺诈阴谋的识别大大地提高了欺诈风险评估的精确性与适用性。
二、欺诈风险评估及预防措施
欺诈风险评估开始于对与IT过程相关的欺诈活动可能性及其显著性的分级量化。只有对其工作评估的性质进行评估才能采取有效的防范措施。
(一)欺诈风险评估模型PCAOB第2号审计准则提供了一个风险或然性的样本以及相应的显著性,并具体化了三种风险水平:细微的、中度细微的及很可能的。PCAOB准则同时也将风险的显著性与影响分为三个层次:非实质性的、轻度实质性的及实质性的。图1阐述了风险的显著性与或然性之间的关系。
完成与IT过程相关的欺诈活动分级量化后,欺诈风险评估程序就能建立IT过程与各种现行的欺诈与控制之间的映射,如表3所示。欺诈风险评估使得组织能够容易的可视化欺诈的发生领域,并优先配置资源对这些潜在的欺诈高发领域加以控制与建设。随着企业、业务及IT环境的迅速改变,欺诈风险评估应该成为一项常规性的工作,或者随时确保IT过程跟上变化。甚至,为了风险评估而在识别具体的IT过程与环节时,审计人员在公司内部可以运用欺诈的历史模式作为标杆参考。
(二)欺诈的预防措施为了阻止欺诈的发生而进行的,预防是不言而喻的。如果等到产品、项目或者IT应用设计生产完成后,再采取措施代价是高昂的,也就是说在最初就应加以卓越的设计。欺诈预防现在已在审计活动中得到了实施,审计人员对组织早期的业务、过程和IT应用具备了越来越大的影响力。不管用来防范欺诈风险的控制措施是否充分,也不管欺诈风险的水平是细微还是显著,都应该设计、选择、集成相应的手段来及时地最小化欺诈风险与损失(可参考图1)。这些措施既可以内部化到内部控制中(BICs),作为常规的欺诈检测程序的一部分,或者作为欺诈风险发生的早期预警信号(EWSs)的一部分。表4提供了一些例子。
(三)欺诈的鉴别方法在完成与IT过程及相应的鉴别措施相关的欺诈风险评估后,IT审计人员便可设计ICQs来评估并测试所采取的控制措施,包括反欺诈程序。财务人员一般应评估与财务记录相关的措施以及商业运作的合规性。然而IT审计人员应该关注内部控制技术(ICTs)体系及其相关的过程。不过,欺诈鉴别中的ICQs的质量却在很大程度受到审计人员的技术胜任能力、对IT以及企业运作的洞察力和特定领域的专业知识(如软件开发编程能力、数据库管理能力、网络规划与实施技巧、IT安全等)的严重影响。而IcOs的开发很有可能成为已经建立的程序的参照物,最佳的实践以及监管的标准。
三、欺诈的调查分析殛结论
随着ICTs在商业组织中的广泛利用,这意味着当欺诈发生时,用于确认稽核的证据很容易获得。基于ICTs的审计模式中,IT审计人员只需要具备IT系统的专业知识即可,他们的任务仅仅是能否鉴别风险。从这个意义上讲,IT审计人员可以通过如下措施来调查欺诈活动:报告的生成与稽核、证据的鉴别和计算机系统使用记录的检索、实施计算机互动分析。
IT环境下内部审计工作的特点在于企业既要尽可能加强IT风险的控制,但与此同时又要最大程度的适应于现代科技潮流,因此IT环境下的内部审计工作重点就在于找到这样两者之间的平衡。对于企业的管理者而言,一方面是要切实坚强对于企业内部审计工作的关注和重视,另一方面也需要充分利用计算机辅助审计工具或者是技术来帮助内部审计工作更加高效和准确的完成。而内部审计工作在企业内的功能和作用则主要体现在以下两个具体的方面:第一个方面就是完善企业的治理机制,为企业经济效益以及机制体系的构建提供最为重要和关键的载体,和外部审计或者是管理层一样,内部审计也被视作为企业不可或缺的治理主体的,因此内部审计一方面是要尽可能的识别可能的风险来为企业降低损失,另一方面还需要在各个价值链上发挥作用来增加企业的经济附加值。第二个方面内部审计也是企业进行内部控制的重要因素和手段,这是因为内部审计过程当中需要对企业内部控制的完整性和有效性进行检查,因此能够监督内部控制工作进行的效用。
2. IT环境下内部审计的SWOT分析
2.1优势分析
优势分析主要包括两个方面,一方面是制度优势,相当多国家内的法律法规都已经为IT环境下内部审计的发展提供了一定的制度保障,对审计工作环节的各个方面以及审计工作人员的各个方面都提出了较为明确的规范要求,这对于内部审计工作的进行实际上是有着非常重要的指导和借鉴意义的。我们国家的内部审计准则则是对内部控制的基本要素,包括信息的沟通或者是管理等进行了明确的规定,并在内部审计过程当中将其作为审查工作和环节的重点。可以看到的是,随着我们国家审计领域内各种法律法规的进一步完善和健全,内部审计制度方面的优势还会更加突出和明显的。另一方面就是现实优势,IT技术毫无疑问为现代企业的管理工作带来了本质性的变革,信息技术使得信息的分析和储存都有了更加准确高效的方式,而审计软件以及审计方法的革新更是使得实时审计工作成为了可能。更重要的是,信息技术的发展和进步还使得内部审计的范围得到较大扩充,在企业管理的各个环节和领域都不断渗透,这实际上也就是对内部审计职能的强化,无论是对于企业内部管理工作的进行还是对于企业经济效益的发挥都是有着本质性的提升和帮助的。
2.2劣势分析
IT环境下内部审计的劣势同样体现在两个具体的方面:第一就是信息的缺失和不足,现代社会毫无疑问是信息时代,信息资源的重要性和作用是不容小视的,但这样一种现实状况也成为了制约内部审计工作进行的原因之一,这主要是因为在现代企业在进行信息管理的过程当中处于安全性考虑,通常都是比较排斥审计部门对财务信息进行获取的,这样一种现实状况必然导致内部审计部门在工作过程当中难以获得最为完整和准确的财务信息,最终导致审计过程受阻碍,降低审计工作效率的同时还是得审计结果大打折扣。总而言之,IT环境下企业内部各个部门之间的信息资源共享将是势在必行的,财务部门需要关注这样一个方面的问题并妥善处理之,尽可能避免因为资源信息的原因导致内部审计工作无法正常进行。第二就是人力资源的不足,早期的时候审计部门的主要职责实际上就是查错,因此审计人员多是财务会计的背景,但是上文当中已经指出,现代企业的内部审计职能是在非常大程度上得到了扩展的,因此审计人员的知识层面如果局限于原有的财务知识,而对基本的计算机技术没有认识的话,是难以胜任工作的,虽然现代相当多企业也开始重视和加强内审人员的后续教育工作,但是目前为止其实际工作能力和个人素质离实际的内审要求还是有较大距离的。
2.3机遇分析
机遇则主要体现在内部审计职能的拓展和审计质量的提升上,内部审计最初出现时的主要职能是有针对性的,主要是对企业内部的财务资料进行审计,使得企业能够在查错的基础之上为企业发展提供合理化建议,但是企业内部审计工作在发展过程当中职能是有所优化和拓展的,这主要是因为现代社会环境的千变万化以及现代经济生活的日益复杂,使得内部审计必然向着经济活动各个环节发展和渗透。当然,信息技术的发展无疑是为企业内部审计工作的进行拓展了方法和手段,为内部审计工作的进行提供了更为广阔的空间和前景。审计质量的提高则主要是因为审计软件在审计工作当中的广泛和深入应用,审计人员利用先进的审计方式,通过信息化的优势和数据支持来最大程度提高审计质量并改善管理水平,为实时监控提供了无限的可能性,加之审计软件还可以对操作权限进行控制,因此无论是对审计工作的效率、保障还是质量都是提供较大的助力的。
2.4挑战分析
IT环境下内部审计工作的挑战主要来源于外部环境和IT环境本身,在西方国家,内部审计外包实际上是非常常见的,会计事务所也会激烈竞争这样一种业务,基于这样一种模式来促进自身以及整个行业领域的发展。我们国家不少企业审计能力有限或者是根本就没有审计部门,因此通常也会引入外部审计,这实际上就是为企业自身引入了竞争对手,因此在信息化环境之下,内部审计工作人员就更加有必要不但拓展自己的专业知识并提高自身实务水平,基于此来应对来自社会或者是IT机构的竞争和挑战。IT环境本身也是存在着较大风险,IT技术本来就是双刃剑,在为企业提供良好技术支持的同时且脆弱性也是企业不可忽视的,越来越复杂的审计环境以及信息化时代背景下信息资源的开放性和共享性,都是在相当大程度上提升了企业的审计风险的,这一点也是企业内部审计工作环节当中必须要重视和考虑的。
3. IT环境下内部审计的发展措施
IT环境下内部审计的发展措施实际上是非常灵活的,可以结合外部环境的实际特点和企业自身的性质来进行选择,但是一般情况下可以通过以下四个方面工作的进行来实现发展与进步:一是在保持既有优势的基础之上进一步努力实现技术创新,在信息化时代的打背景下,创新才是最大的竞争力;二是通过信息技术来实现资源共享,使得信息资源能够得到最大化的利用,并与此同时致力于内部审计人才的培养;三是要进一步完善内部审计工作的职能,基于此来提升内部审计工作的质量和价值;最后就是要在应对外部挑战的同时防范内审的风险。
【关键词】卷烟生产企业 IT服务管理 最佳实践
【中图分类号】TP39 【文献标识码】A 【文章编号】1672-5158(2012)11-0103-03
[正文]
一、卷烟生产企业IT服务管理面临的实际困难
面对具有超大规模、高端品牌的国际卷烟全面进入中国的激烈竞争,中国卷烟生产企业在国家,总局“做大做强”“大市场、大企业、大品”“淘汰小品牌、落后产能”的战略指导下,中国超级卷烟生产企业正在逐步形成,而稳定可靠、高品质的信息化服务管理保障正是快速发展和壮大成为世界一流卷烟生产集团企业的关键。广东中烟工业有限责任公司(以下简称广东中烟工业)的“双喜”品牌是国家烟草总局“532”战略规划中的国家重点烟草品牌,在2011年产量已达300万箱,收X600亿,2012年更是预计发展到500万箱,1000亿收入,达到国际知名烟草集团规模。
正是在此重大历史机遇和挑战的背景下,广东中烟工业在最近几年高速发展中为了满足企业生产经营的实际需要投入过亿的资金先后建设了集团IDC、MES、OA、门户、人力资源、SAP ERP、一号工程等一系列信息化大型项目,但在实际IT系统运行保障中不断暴露出以下实际困难:
1、现有质量管理体系不能适应强信息化支撑的现代化工业生产烟草企业
原有的企业质量管理体系没有过多考虑信息化业务的特性,已不能适应强信息化支撑的现代化工业生产企业,缺乏与现代化工业制造企业发展配套的、有效执行落地的IT服务管理质量体系来指导和管理日常IT服务运营工作,严重滞后了广东中烟工业的发展脚步。
2、不稳定的信息化运营质量和运营风险严重限制了烟草业务规模的扩大
现代化卷烟生产企业越来越严重依赖IT系统的正常运行,特别是核心IT系统的运行故障给企业带来灾难性的影响,原有粗放式的IT管理导致信息化系统服务运营如履薄冰,不稳定的信息化运营质量和运营风险严重限制了业务规模的扩大。
3、日益增长的IT运营服务成本已成为烟草企业沉重的包袱和管理黑洞
随着企业投入到信息化建设规模越来越大,企业IT部门疲于应对烽烟四起的信息化应用需求和故障,只能不断投入更多资源来四处救火补漏,导致后续的IT运营服务成本越来越高,成为卷烟企业沉重的包袱和管理黑洞。
4、现有企业信息化管理规范与实际业务流程和需求脱节导致执行效率低下
现有企业信息化管理规范没有按照业务流程的思想设计,流于文字形式,过于空洞繁琐,不能切合实际业务流程和需求,更无法量化测量和持续改进,导致企业信息化管理规范执行效率不高甚至无法执行。
广东中烟工业企业持续高速发展急需要IT服务运行保障的标准化、规范化,信息化部门要能够为企业提供稳定、可靠和高品质IT服务运营,并能不断持续优化改进,降低IT运营成本和风险。作者作为项目负责人组织实施了以广东中烟生产二部为试点的广东中烟工业IT服务管理体系建设项目,通过本文详细分享广东中烟工业IT服务管理的最佳实践。
二、参考借鉴的国际标准
广东中烟工业各级领导和信息中心领导高度重视企业IT月艮务管理体系建设,提出信息化要为工业化服务,为企业百年大计提出了广东中烟IT服务管理体系要与国际接轨,结合企业实际业务需求借鉴国际标准和最佳实践,向世界一流烟草企业学习借鉴并持续改进超越的目标。本文作者和项目团队一起在广东中烟以生产二部为试点建立自身IT服务管理体系工作中主要借鉴了ITIL和ISO/IEC 20000国际上认可的IT服务管理最佳实践和标准体系。
(一)ITIL(国际IT服务管理最佳实践)
IT服务管理是一种以流程为导向、以客户为中心的方法,它通过整合IT服务与组织的业务,提高IT服务提供和服务支持能力和水平。目前,业界有许多IT服务管理相关的框架、规范、标准和实践参考等,其中ITIL是目前全球运用范围最广的IT月艮务管理方法和最佳实践参考。
ITIL(信息技术基础设施库,Information Technology Infrastmcture Library)是目前全球运用范围最广的IT服务管理方法。ITIL从流程、人员和技术三方面来规划企业的IT管理,强调通过这三方面的密切协同工作,形成IT组织一套专业化的综合能力,并在此基础上将IT服务的提供与企业的运营目标、需求高度协调一致。ITIL V1自20世纪80年代由CCTA(英国中央计算机与通讯局)的实践开发推出以来,已经历了两次的更新。其中,ITIL V2更新于自20世纪90年代末,由OGC(英国政府商务办公室)推出后,获得了很多大企业的一致认可,并在世界范围内得到了广泛推广。IT管理领域的重要标准,如英国国家标准BS 15000以及国际标准ISO/IEC 20000都是以ITIL V2为核心2007年5月30日,OGC正式颁布TITIL V3。
ITIL v3把IT上升到企业战略资产高度。ITIL V3的核心架构基于服务生命周期,它以服务战略作为总纲,通过服务设计、服务交付和服务运营加以实施,并借助持续服务改进不断完善整个过程。
服务战略(Service Strategy)是服务生命周期的核心,明确将服务管理作为战略性财富,并指导如何定义服务和服务战略,明确服务的价值以及服务管理与业务之间的关系。
服务设计(service Design)、服务转换(service Transition)和服务运营(service Operation)是服务的实施阶段。其中,服务设计明确了服务设计的目标和要素、服务设计的模型、成本模型、效益和风险分析,以及如何实施服务设计并对服务设计进行测量和控制;服务转换主要为如何管理组织和文化的变更提供指南,以及如何使用合适的方法、工具建立完整的知识管理体系;服务运营重点为如何实施应用、变更、运营等管理提供指导。
3、推广和试运行阶段
在管理流程和体系建立完成后,通过培训和宣传方式在公司内部推广新的IT服务管理体系,并在运行过程中收集数据和事件;同时,对公司内审人员进行培训,内审人员在咨询顾问的指导下,对试运行阶段的体系流程进行两阶段的内部审计,修正审计中发现的问题。
4、审计阶段
信息部门配合内部审计部门定期开展体系运行质量评审,在评审过程中针对管理体系执行中发现的问题和缺失进行改善。
5、持续改进阶段
定期对项目实施情况开展Qc专项活动,进行再评估和持续改善,进行追踪评审。
(二)IT服务管理体系建设中的有效措施
在广东中烟工业IT服务管理体系建设过程中,为保障项目的成功和质量,我们采取了以下有效措施:
1、前期做好项目规划和论证
前期开展了认真细致的项目规划和认证工作,充分认证了项目的必要性和收益,得到了公司高层领导和信息部门领导的高度重视和支持。
2、专业咨询公司提供有力支持
项目的成功得益于我们选择了专业顾问咨询公司提供IT服务管理体系建设的专业经验和全程支持,减少了项目的弯路和探索时间;
3、根据业务实际需求建立流程体系
流程体系的建设建立在对公司现有业务的充分调研和理解的前提下,确保所设计的流程体系和数据分类定义规划量身定做符合公司的业务发展需求,同时所设计的流程体系全程由各业务部门和信息部门项目成员全员参与设计、论证和编写,确保流程体系得到所有干系人的一致共识。
4、因地制宜采用体系融合实施方法
IT服务管理体系的建立也要符合公司的IS09000整体质量管理体系,我们采用了体系融合的实施方法论,确保IT服务管理体系既兼顾了信息化业务和信息部门的个性化需求,又完全融入到了公司整体质量管理体系中。
(1)精准定义流程及测量指标
定义了详细的流程数据规划和测量指标,确保流程数据收集和测量的可行性、有效性和标准化。
(三)IT服务管理体系执行落地的有效措施
通常管理体系最难的阶段都是落实执行,一方面是员工前期没有很好参与不认同的管理体系;还有就是组织刚开始有点热度,热情一过,一切照旧烟消云散。得益于我们前期在管理体系建设过程让各业务部门代表充分参与需求调研和体系规划讨论,信息部门的全体员工更是全程积极参与体系规划和建设,本项目我们有非常好的共识基础和管理变革的铺垫,同时我们在IT服务管理体系落地执行过程中,还采取了以下有效措施:
1、对信息部门全体员工开展多次的IT服务管理体系的理念导入和规范培训,并要求所有信息部门员工必须通过的IT服务管理体系书面测试考试。
2、选择实施了优秀的基于工作流技术的专业IT服务管理软件系统(越维OMS系统)对我们所设计的流程体系进行固化和信息化,使得我们开展IT服务质量管理流程所需要的数据和报表能够高效的被及时统计、展示和得以分析;
3、强调信息化部门定期(试运行期间每周一次,正式运行每月一次)开展管理体系QC优化与持续改进活动,并与内部审计部门合作定期(每季度一次)开展管理体系的执行合规审计工作;
4、对坚决执行IT服务管理体系,取得流程绩效优秀及持续改进成果的信息部门员工和团队提供相应的荣誉和奖励。
(四)IT服务管理体系建设实施成果
信息化工作重心由建设到运营是卷烟生产企业上规模发展的必经之路:按照《广东中烟信息化规划》计划安排以及国家局信息化有关工作要求,建设基于ITIL最佳实践、IS020000准理念的广东中烟工业IT服务管理体系是信息化工作部门今年主要成果之一。广东中烟工业IT服务管理体系作为信息化部门日常业务运作的支撑体系,实现了企业战略与IT战略的互动,并形成持续改进的良性循环机制,它的实施大大提升了信息化日常各项运维和基础工作的效率及管理水平,实现信息化管理的创新,应用系统的可靠性达到了99.7%的高可用性指标,信息系统风险得到了有效的识别和控制,信息化运营成本得到了有效的控制和优化,使广东中烟工业信息化管理水平迈上一个新的台阶。
[论文摘要]现代风险导向审计是以被审单位的经营风险为出发点,将“发现的风险因素同认定层次可能发生的错误相联系”是审计风险判断的关键。但传统的审计方法并未明确指明如何将两者相联系,也并未考虑IT带来的影响。在IT环境下,审计风险判断应以流程(包括业务流程和IT流程)为中间环节,建立基于流程的审计风险判断方法。
现代风险导向审计以被审单位的经营风险为出发点,相关的风险评估结果是评估财务报表层次和认定层次重大错报风险的基础。审计风险虽源于重大错报风险,但审计人员最终都要通过对报表各项目的审计发表财务报表审计意见,因此风险评估必须与各类交易、账户余额、列报的认定相联系。将“发现的风险因素同认定层次可能发生的错误相联系”是审计风险判断的关键。但传统的审计方法并未明确指明如何将两者相联系,而且也未关注IT环境下如何将风险因素与认定层次可能发生的错误相联系。在IT环境下,业务流程及其支持流程——IT流程,都是链接风险因素和认定层次可能发生错报的中间环节。在高度自动化的企业环境下,审计证据的证明力依赖于IT相关风险的控制情况。因此,有必要改进IT环境下的审计风险判断方法。在IT环境下,审计风险判断应以流程(包括业务流程和IT流程)为中间环节,建立基于流程的审计风险判断方法。
一、流程对审计风险判断具有重要意义
流程的概念很多,ISO/IEC 9000将之定义为一组将输入转化为输出的相互关联或相互作用的活动。企业由流程构成,Kaplan(2001)将企业定义为是一系列相互关联的活动或流程的集合,或是一个价值链。在IT环境下,流程可理解为“角色加活动”,即将流程描述为一个为实现特殊目的而合作且互相影响的角色的集合。早期人们对企业流程的理解大多局限于传统的业务领域;当IT逐渐与业务融合,并成为企业所有经营活动的驱动引擎时,流程的范围开始拓展,此时的IT流程与业务流程需要实现动态整合,即IT活动被看作是业务,并执行与业务相同的管理方式。因此,IT环境下的企业业务流程应该是广义的,同时包含IT流程和业务流程。美国公众公司会计监督委员会的第5号审计准则就指出,作为理解重大流程的一部份,审计师应理解IT如何影响公司的交易流程。
有些大的会计公司为了强调经营风险的审计方法,修改它们的审计辅助软件,以围绕业务流程组织审计证据,而不是按照传统的交易循环组织证据。关注业务流程的审计软件系统(Business-Process-Focused,BPF)通过价值链组织被审单位的信息;而传统的关注交易循环的审计软件系统(Transaction-Circle-Focused,TCF)是按照交易分类组织被审单位的信息。O’Donnell E和Jr Joseph J Schultz(2003)的研究结果表明使用BPF软件的审计人员能识别出更多的风险情形,并将风险估计在恰当的水平;而使用TCF软件的审计人员对风险的识别和估计都较差。因此他们认为不同的信息组织形式会影响审计人员的决策判断。造成这种结果的原因在于业务流程关注事件之间的关联性,它通过情景引导记忆;而传统的交易循环关注的是交易分类,它通过语义引导记忆。因此,关注业务流程可降低任务的复杂性和认知难度。随后其他的研究人员也发现围绕业务流程开展内部控制的评估任务更为有效。
二、IT环境下基于流程的审计风险判断方法
为了协助审计人员运用自上而下的风险导向审计方法,国际审计和鉴证准则委员会于2005年制定了“在整个审计
过程中运用职业判断对重大错报风险进行更准确评估的框架和模型”。具体步骤如下:(1)了解企业及其环境(包括内部控制),识别风险,并在报表层次考虑交易性质、账户余额、披露;(2)将发现的风险与认定层次可能发生的错误与舞弊相联系;(3)考虑风险的重要性;(4)考虑风险的发生概率。这个风险判断思路也同样适用于IT环境。因此借鉴自上而下的审计方法,将流程作为IT风险判断的中间环节,改进了的IT环境下的审计风险判断方法具体实施步骤如下:
1.了解企业及其环境(包括内部控制)。我国2006出台的《中国注册会计师审计准则第1211号——了解被审计单位及其环境并评估重大错报风险》列举了影响重大错报风险的因素:行业状况、监管环境以及其他外部因素,企业性质,目标和性质以及相关的经营风险,财务业绩的衡量和评级,内部控制。在IT环境下,识别和评价企业层面的风险和风险控制的有效性时,需特别考虑:(1)IT利益群体的风险及对IT利益群体控制的有效性,如IT治理;(2)企业层面的IT控制,如与IT相关的控制环境、风险评估、信息与沟通、监控、教育和培训等方面。
2.确定财务报告流程的核心要素。根据企业层面的风险评估结果识别重大账户、重要披露及与之相关联的认定。
3.识别关键业务流程。审计人员首先要识别与上述重大账户、重要披露、认定相关联的关键流程及流程所包括的主要交易,同时识别流程中易发生错误和舞弊的关键点(控制点)。为了判断业务流程能否实时预防或检测错误和舞弊,审计人员要识别出需要被测试的控制点,由于业务流程大多基于IT,因此要确定这些控制点哪些是依赖IT的,然后识别并证实关键的IT功能。
4.确定与IT功能相对应的应用系统的范围。详细列出与这些IT功能相关的应用系统和与之关联的子系统,包括交易应用系统和支持性应用系统。交易应用系统在处理组织内的数据时通常提供以下功能:(1)通过借贷关系记录交易的价值数据;(2)作为财务、经营和法规数据存放的仓库;(3)能够生成各种财务和管理报告,包括销售订单、客户发票、供应商发票以及日记账的处理。支持性应用系统并不参与交易的处理,但方便了业务活动的进行,如Email程序、传真软件、设计软件等。
然后IT审计人员与财务审计人员合作,从列示的子系统中识别出支持授权、复杂计算、维护重要账户(如存货、固定资产、贷款等)的完整性的重要应用系统。应用系统是否重要,需要考虑:交易量(交易量越多,应用系统越关键)、交易金额(金额越大,应用系统越关键)、运算的复杂性(运算越复杂,应用系统越关键)、数据和交易的敏感度(敏感度越大,应用系统越关键)。为应用系统提供IT服务,或者支持应用系统关键环节的IT一般流程即为需要进行IT一般控制测试的范围。
5.识别管理和驱动这些重大应用系统的IT流程。识别所有支持这些应用系统的基础设施,包括数据库、服务器、操作系统、网络,以及与之相关联的IT流程。判断这些IT流程的风险和相关的控制目标。识别出需要被测试的IT一般控制,进而判断其是否符合控制目标。控制测试结果将影响与之相关的IT应用控制的评价、业务流程的风险评价。对这些流程和系统进行风险和控制评估后,就可以制定风险控制矩阵。
6.评价IT控制、分析业务流程风险。结合对IT一般控制的评估结果和对业务流程中IT应用控制的评估结果,就可以分析关键业务流程的IT风险控制情况。此时的IT控制测试和人工控制测试要结合起来予以考虑,即将二者作为一个整体的测试对象。业务流程的风险是与业务流程所关联的一系列交易活动、账户群的余额、列报(包括披露)认定层次重大错报风险相联系的,因此,业务流程风险的评价结果构成了认定层次重大错报风险评估的直接基础。
7.评估电子证据证明力、设计实质性测试程序。审计人员可根据上述步骤的风险评估结果判断某一业务流程的电子审计证据的证明力并设计与业务流程有关的账户群的实质性测试程序。
通过上述7个步骤,审计人员可以将IT环境下的企业风险因素与报表层次和认定层次的重大错报风险相链接,同时也为电子审计证据证明力(即检查风险的判断)提供了依据。
参考文献
如果一个企业的实践经验,能够成为全行业的指导规范,这势必是值得分享的事情。
中化集团实施的IT治理就是如此。作为中化集团IT治理的主导者,信息技术部总经理彭劲松告诉《中国经济和信息化》记者:“过去几年,中化集团不断通过IT审计完善企业内部控制机制,在IT治理上逐渐摸索出了自己的经验,现在我们正配合审计署把这些经验进一步总结提炼。”
2009年年底,审计署把中化集团确定为企业IT审计的试点单位,通过把中化集团在IT审计方面的成功经验总结提炼,最终融入审计署的相关指导规范中。
其实早在2008年上半年,审计署曾组织中国烟草总公司、中国石油化工集团、中化集团开展了信息系统审计调查。2008年下半年,审计署又组织中化集团及天津公司开展了信息系统审计项目,这是审计署第一次独立组织的信息系统审计项目。如今,中化集团凭借其信息系统审计实践,成为审计署的典型案例之一。
救火?救火!
作为国内最重要的国有骨干企业之一,中化集团业务包括石油、化工、化肥、金融以及房地产等多元化业务,下属有超过100家各种类型的大小公司,在海外还有四大集团。因为这样,支撑其运营的IT系统变得异常复杂。为了确保IT系统安全运行并使业务发展更加顺畅,相应的IT审计势在必行。
目前,中化集团已经建立起一套完备的承担全球各个公司业务的信息系统,其中以ERP系统为核心,包括内部办公自动化系统、分销管理系统、内部门户等系统在内的企业信息化平台,可以进行有效的业务管理和流程控制。但是要监控这些系统对信息技术部来说是一个极大的挑战。
过去发生技术故障,彭劲松总是要等事故发生后才从业务人员的反馈中得到信息,而且涉及大量人员,要进行电话逐一排查,不仅耗费大量的工作时间,还给相关部门造成了很大的被动,就像救火队员,火势最终是可以扑灭的,但是其带来的损失却难以估量。客观环境要求信息部门人员总是要守在电话旁边,寸步也不能离开,因为不知道什么时候业务人员或者财务人员就会打来电话。不管是业务人员下单发生问题,还是财务部报表生成不了,或者出现更严重的账目问题,都有可能造成全集团的重大损失。
用COBIT分析决策
在审计署计算机中心辅助审计处陈剑看来,企业实施IT审计的必要性通常来源于两点。其一,信息化进程的迅速推进,信息系统成为许多被审单位内部管理与控制的关键工具,因此,信息系统的可靠性、安全性已经直接影响审计工作的效率和质量。《审计署2006至2010年审计工作发展规划》提出“逐步开展对关系国计民生的重大行业、部门的联网审计,全面提高计算机应用水平”的要求。
其二,信息技术作为企业发展的重要支撑,投资额度不断加大,投资失败的风险日渐成了企业难以承受之重。为了有效控制IT运营成本,更好地提升企业价值,势必需要对相关IT活动加以控制。
对于中化集团这样规模庞大的集团企业而言,遍布全球的信息系统可能处处隐藏着一些盲点,它们随时都有可能成为企业的隐性漏洞而发生些许意外,如果发生大的意外,将可能造成无法挽回的损失。而企业的属性又决定了业务不允许被中断,并希望故障时间越短越好,越能提前预防越好。因此,如何在业务人员发现问题之前,对系统实施实时监控并预先对事故进行处理和解决,控制风险并治理好IT,是中化集团需要解决的战略问题。
“IT治理的确有必要,它是一种完整的世界观和思维范式,它引导了企业正确的IT决策。”彭劲松说,“IT治理如同ERP一样是业界最佳实践的结晶,当然最终都需要落在具体的方法论和工具上,就像ERP最终会落在SAP/Oracle等厂商的系统产品上一样。IT治理的落脚点是通过COBIT进行表现与实施的。”
作为一个全面的内部控制框架,COBIT是一个在国际上公认的先进、权威的安全与信息技术管理和控制的标准。中化集团CIO彭劲松在此方面无疑是走在前列的。彭劲松告诉记者,他是最早一批参加了由ITGov(中国IT治理研究中心)主办的“基于COBIT的IT治理”培训,并获得由ISACA颁发的COBIT国际资格认证的人。
正是基于这些对IT治理的认识,彭劲松对传统信息化建设的思维范式也产生了突破性的转变。用他的话说,就是摆脱选产品、询价格、找解决方案的传统信息化建设方法,避免被供应商牵着鼻子走的局面,取而代之的是按照科学的方法,运用COBIT工具进行分析,来帮助中化集团信息技术部做项目决策。
流程分解 井然有序
然而,当彭劲松把COBIT引入中化集团后,情况的确有了改观。基于COBIT标准,中化集团把IT目标总共定义为24个流程,然后对照自身企业需要达到的效果,从中确定其中4个流程的管理为实现目标,即确保连续、管理服务台和事件、管理性能与容量、管理数据。
在整个分析和准备的过程中,每一份调研文档、每一次会议记录、每一个工作流程都严格按照COBIT的方法备案或执行。中化集团经过一段时间的“自我诊治”,将以上4个流程的管理转化成了中化集团在IT系统管理方面最重要和紧迫的具体需求:其一是支持业务连续性的基本容灾能力;其二是应对日益复杂IT环境的基本治理能力,其中包括可靠的数据备份与恢复能力,初步的网络、系统和存储监控能力,初步的企业级IT综合监控台。归根结底是要保障中化集团全球各个公司网络系统基础设施无障碍运行。
曾经新加坡合资公司通过中化国际的一个专网账号,登录中化集团的邮件系统,随即中化集团北京总部监控图上立刻出现了一个红点。工作人员随即在监控屏幕右侧找到了发生异常的具体地点,迅速将问题锁定在新加坡公司,并确认了异常信息的性质。因为该公司具有独立的Internet出口,工作人员登录后在中化集团出现了一个新的登录端口地址,所以系统即认为是异常。换句话说,改善后的系统可以完整地处理突发的跟踪流程,即感知、隔离、诊断、采取行动、评估。
【关键词】 COBIT;IT成本;IT控制;IT审计;成熟度模型;内部控制
IT控制是企业内部控制的重要领域。COBIT(信息及相关技术控制目标,Control Objectives for Information and Related Technology)作为一个通用的IT控制框架,已在美国等180多个国家广泛使用,正逐渐成为事实上的国际标准。COBIT框架以业务为中心、以流程为导向、以控制为基础、以绩效测评为驱动,将企业内部IT相关控制划分为4个过程域、34个主要控制流程和310多个典型控制活动,以确保IT 与业务保持一致,从而实现IT价值的最大化,同时保证了IT成本的合理确认与分摊。
“DS6-IT成本确认与分摊”属于COBIT框架(4.1版)中第三个过程域“交付与支持(DS)”中的第6个IT控制流程。从IT治理的角度看,IT成本的确认与分摊流程最关注的是IT治理5大领域中的“资源管理”领域;其次关注的是“价值交付”和“绩效测评”两个领域,该流程主要关注IT成本确认与分摊流程的效率和可靠性。
一、IT成本确认与分摊流程概述
IT成本的确认与分摊流程主要围绕IT服务的界定、IT成本核算、IT收费和IT成本模型的维护四个活动展开。与企业内其他所有流程一样,该流程的执行由一名流程所有者全面负责。首先,该流程所有者要识别所有的IT成本,并将它们映射到IT服务中,以支持一个透明的成本模型。将IT服务连接到业务流程中,使得业务部门能够识别出相关服务成本的受益范围。其次,IT成本的确认与分摊流程的所有者按照企业成本模型获取和分摊实际成本,预测与实际成本之间的差异,并按照企业的财务报告体系进行分析和报告。再次,该流程所有者建立和使用基于服务定义的IT成本模型,以支持按服务进行内部收费率的计算。IT成本模型应该确保用户可以识别、计量和预测服务的收费,促进资源的合理利用。最后,流程所有者定期审查和校准成本、计费模型的适当性,维护不断发展的业务和IT活动的相关性和适当性。
设立“DS6-IT成本确认与分摊”流程的目标是:使IT满足业务需求,确保IT成本的透明性与可理解性,并通过使用快速广泛的IT服务改进业务流程的成本效益。该流程所有者通过关注获取完整和准确的IT成本,来建立各业务用户统一、公平的成本分摊体系,并及时报告IT使用和成本分摊等信息。
二、流程控制及其实现
(一)信息流控制
在当今日益复杂的信息化环境下,企业管理层需要不断搜集简明、及时的信息,才可能实施恰当、充分的IT成本控制。IT成本的确认与分摊所需信息的来源(输入)和去处(输出)如图1所示。
图1提供了IT成本信息审计与控制的途径。系统所有者是IT成本的受益者。IT投资管理中的成本收益报告和IT预算提供了IT成本确认与分摊的直接依据。详细的项目报告提供了进一步确认和分摊IT成本的基础。服务水平协议为IT成本确认与分摊提供了合法性、合理性证据。从以上四个信息源,IT成本确认与分摊的流程所有者可以建立或维护合理的IT成本确认与分摊模型,并将IT成本确认与分摊信息传递给IT投资管理和IT绩效评价部门或人员。
(二)职责分离
实务界通常通过RACI矩阵描述企业流程的职责分离机制。IT成本的确认与分摊中的典型业务活动的RACI矩阵如表1所示。RACI 图中,R代表Responsible,表示执行;A代表Accountable,表示问责;C代表Consulted,表示协商;I代表Informed,表示告知。
(三)控制目标与测量指标
COBIT的基本特征之一是控制为基础,该框架依次在三个层次上制定了控制目标及其对应的测量指标。第一层次:IT 目标和指标,定义了业务对 IT 的期望和如何测评;第二层次:流程目标和指标,定义了 IT 流程为了满足 IT 目标必须交付的服务和如何进行评估;第三层次:活动目标和指标,确定为达到所需性能而采取的流程内活动以及如何测评。IT成本确认与分摊流程设计的三层目标及其对应测量指标如图2所示。
(四)基于成熟度模型的流程控制评价
对流程能力进行评估是企业内部控制的关键要素之一。识别关键的IT流程和控制点后,成熟度模型用来识别各个流程成熟度的差别,并向管理层标识差距的具体情况,帮助管理层制定相应的行动方案,提高IT成本确认和分摊流程的效果,使IT更好地满足企业业务需求:确保IT成本的透明性和可理解性,以及通过IT服务快速广泛地使用改进成本效益,以期达到期望的成熟度级别。与其他流程一样,IT成本确认与分摊流程可以出现于0―5的6个级别中,各个级别的关键属性特征阐述如下:
0―无级别:企业管理层完全缺乏任何可识别的流程。组织甚至没有意识到用于确认和分摊所提供的信息服务的成本。企业管理层甚至没有传达任何关于基本的IT成本核算存在有待处理的问题。
1―初始级:企业管理层对信息服务的整体成本有一个大致的了解,但是没有按照每一用户、客户、部门、用户组、服务功能、项目或可交付的服务对成本进行细分。企业事实上不存在成本监控,仅仅把整体成本报告给管理层。财务部门把IT成本作为一个运行开销分摊,各业务部门提供有关IT服务成本或效益的所需信息。
2―可重复级:企业管理层对需要确认和分摊的IT成本有一个整体的认识。但是IT成本分摊是基于非正式的或原始的成本假设,如硬件成本,事实上没有与价值驱动连接起来;成本分摊流程是可重复的,而且,企业对标准的成本确认和分摊程序没有正式的培训和传达,也没有分配收集和分摊成本的责任。
3―已定义级:财务部已经定义和文档化了信息服务成本模型。同时定义了将IT成本与提供给用户的服务联系起来的流程。财务人员对将IT成本分摊到IT服务有一个适当水平的认识。各业务部门提供成本的原始信息。
4―可管理级:企业管理层已经定义信息服务成本管理的责任和义务,且被各级管理层充分理解,并得到正式的培训支持。直接和间接的成本被及时和自动确认并报告给管理层、业务流程的所有者和用户。通常情况下,相关部门对成本进行了监控和评估,并且在发现成本偏离预算时采取了相应的措施。将信息服务成本的报告与业务目标和SLAa联系起来,并且得到业务流程所有者的监控。财务部门审核成本分摊流程的合理性。有一个自动的成本核算系统,但它更关注性能信息服务功能,而不是业务流程。对成本测量的目标和指标达成了一致,但未得到一致性测量。
5―优化级:所提供的IT服务的成本被识别、收集、总结并报告给管理层、业务流程所有者和所有用户。成本被识别为可计费项,并支持一个内部服务计费系统,基于用户的使用情况对提供的服务进行适当的收费。成本的详细说明支持SLAs。服务成本的监控和评估被用于优化IT资源的成本。获得的成本数据用于确认组织在预算流程中所实现的效益。通过智能报告系统,信息服务成本的报告对业务需求的变化提供早期预警。由于每个服务的处理量不同,而采用了一个可变的成本模型。基于持续改善和借鉴其他组织的成果,成本管理被细化到一个行业实践的水平。成本优化是一个持续改进的过程。管理层审核成本管理的目标和指标,并将其作为在重新设计成本测量系统时持续改善流程的一部分。
结论
通过信息流、RACI、控制目标与测量指标,以及成熟度模型四方面的控制和评价,IT成本的确认与分摊流程得到有效管理和控制,从而降低了IT风险,减少了企业内部风险。
【参考文献】
[1] 中国银监会.银行业金融机构信息系统风险管理指引[S].2006.
[2] 中国内部审计协会.信息系统审计准则[S].2008.
[3] 省略/cobit [EB/OL].2010-11-06 .
[4] 陈朝.我国信息化建设中信息系统审计问题研究[D].东北师范大学,2006.
[5] 吕凡.计算机辅助审计研究[D].武汉大学,2005.
[6] 陈婉玲,杨文杰.ISACA 信息系统管理准则及其启示[J].审计研究,2006(增刊) .
关键词:账号;身份认证;访问授权;审计
中图分类号:F259 文献标识码:A文章编号:1007-9599 (2011) 17-0000-01
Unified Identity Control and Audit Management Application in Large Enterprises IT System
Hu Xueyong
(Beijing Capital International Airport Company Limited,Beijing100621,China)
Abstract:In large enterprises IT system run management,through establishing unified identity control and audit management platform,implementation Account Management,Authentication,Authorization and Audit,will strengthen and upgrade information system audit of-in rules sexual and system run of security.
Keywords:Account;Authentication;Authorization;Audit
大型企业的内部运营管理以及与外部的交互合作已经高度依赖IT系统,因此IT系统的运维风险已经成为大型企业风险管理体系中重要的一部分。业内统计结果表明企业信息安全风险主要来自于内部,70%是由于内部员工的疏忽或故意行为造成的,因此如何将IT系统运行控制和审计的主体落实到实名用户,便于准确和高效的监管?如何对危险操作行为进行警示,对高危操作行为进行拦截?如何对运维过程中的所有操作进行记录,在事后进行回放?已经成为IT系统主管部门不得不面对的重要课题。
一、系统概述
建立统一身份控制和审计管理平台,通过对用户进行统一的实名管理以及统一的认证来控制用户访问主机的权限并记录用户对主机的操作行为,通过回放操作日志来实现事后的审计,监控用户会话来实现事中的监督与控制。平台架构如下图所示:
二、系统实现
如上图所示,建立统一身份控制和审计管理系统,对用户在系统上的访问行为进行严格的控制,无论本地用户还是远程用户,都需要通过该系统实现对系统的登录,以进行相应的控制和审计,该系统可以对动态令牌卡,智能卡,数字证书,生物识别技术等登录方式进行认证和访问控制,同时对访问系统的行为进行审计。
(一)账户管理。集中维护的账号包括自然人(主账号)和资源(从账号)在内的全部账号以及和账号相关的可在4A账号管理模块中集中管理的账号属性。其中主账号应包括在该平台中创建用于标识唯一自然人ID;从账号为该平台所管理的系统资源的信息,资源的范围包括系统资源(服务器、网络设备、数据库、安全设备、其他)。
(二)用户身份认证:账号认证方式支持本地静态密码认证和第三方的AD域、LDAP、radius认证;支持结合多因素认证方式;可以根据工作的需要,将用户多角色划分,可以划分成超级管理员、审计管理员、密码保管员、普通用户四种角色;可以针对不同用户设置不同的登录认证方式。
(三)用户访问控制。可以基于登陆账户、源IP地址、目的IP地址、访问次数、时间段进行访问控制;可以基于用户/用户组、目标设备/设备组、系统账号、访问协议类型设定访问控制策略;支持对任一活动的图形会话(rdp、http、https、xwin、vnc、客户端)或字符会话操作(telnet、ssh)的实时监控;支持用户组对资源服务器组的组对组的权限分配。
(四)审计管理。审计分权,可以设定不同的审计管理员是只能审计指定的设备还是审计所有设备;审计内容,系统的审计除了可以记录用户的会话操作外,还可以记录管理员在堡垒机上进行的所有操作,如:配置操作、改密操作、审计操作等;针对核心设备,可设置登录告警,告警方式可以支持短信、邮件、syslog;数据库审计,记录精确到用户账号(自然人);完整记录通过浏览器方式登录到数据库和通过后台服务器登录到数据库上进行的各种操作;完整记录sqlplus、PL/SQL Developer、Quest Toad等客户端工具的数据库访问过程;完整记录图形化操作过程,并可以对操作过程中的键盘、鼠标操作和剪贴板操作进行文本记录。
购物车(0)