信息系统控制与组织的内部控制最初是沿着信息技术与管理两条路径并行发展的,由于信息技术与工业化的深度融合,使得信息技术从早期的辅助运用演进到与组织的各类经营活动相融合,导致了相对独立的信息系统控制从纯技术层面的控制走向了与组织治理、管理与技术控制相融合的技术经济综合制度体系,由此形成了信息系统内部控制。
信息技术迅猛发展与广泛应用,改变了组织的作业环境与作业条件,形成了组织对信息技术的深度依赖。SOX法案、欧盟的《联合规则》、我国《企业内部控制基本规范》以及《企业内部控制评价指引》、《企业内部控制审计指引》等相关法规要求组织按照相关内部控制框架(如COSO、联合规则等)报告内部控制的有效性。CobiT不是对COSO的取代,而是在信息环境下理解、执行、报告COSO与SOA等内部控制准则、确认IT资产的一个权威框架。有效的信息系统内部控制能增加组织价值、权衡利益相关者目标以及优化经营风险。CobiT是目前国际上公认的且在160多个国家得到实践与支持的、最权威的信息系统内部控制标准,CobiT5是信息系统审计与控制协会(ISACA)整合了现有IT标准、IT风险管理与其他IT最佳实践、以及前五次研究成果,于2012年发布的最新CobiT版本。它以原则为基础、目标为导向、评价为手段、促进因素为载体,为组织每一个成员审视和管理其信息系统内部控制提供了通用的交流平台。鉴于我国信息系统内部控制的现状,本文对比分析CobiT4.1与CobiT5,提出了相关启示,以利于我国相关组织更好地运用该框架,提高我国信息系统内部控制质量。
一、CobiT演进的简要回顾
CobiT作为信息系统内部控制指南与权威框架,其发展演进与组织对信息技术的运用密不可分。随着企业信息化与电子商务、政务的广泛推进,信息系统成为组织生存与发展的基础,因此,信息系统的“效率、效果、完整性、保密性、一致性、合规性、可用性”需要得以保障。信息系统内部控制最初以“计算机审计”的形式存在,根据美国斯坦福研究院的调查报告,随着会计电算化的普遍运用,从而过渡到了“信息系统审计”,但此时的“信息系统审计”在本质上是一种电子数据处理审计。为规范该类审计,1969年在美国洛杉矶成立了电子数据处理审计师协会(EDPAA)。随后EDPAA发布一系列计算机控制规范,这些计算机控制规范即为早期的信息系统内部控制。后来,计算机被普及与网络化,EDPAA被改组为信息系统审计与控制协会(ISACA)。ISACA成立后,根据信息技术在组织中的运用以及组织治理层与管理层对信息技术的理解与关注,先后六次发布了信息系统内部控制框架。这些框架关注的焦点以及发布时间见图1。从图1可见:信息系统内部控制从最初的只关注审计演进到组织整体的IT治理与管理,CobiT整合其他标准的范围与程度也进一步扩大。
图1 CobiT 发展进程及内容变迁
二、CobiT5与CobiT4.1“七大”差异性的分析
2012年ISACA发布的CobiT5聚焦于信息技术条件下组织治理,将组织治理、管理与其他技术控制整合,在改进CobiT4.1的基础上吸收借鉴了ITILV3等其他国际最佳实践,为组织持续改进IT活动提供了指南。CobiT5与CobiT4.1的重大差异性主要表现如下:
(一)吸收、借鉴并整合其他IT最佳实践与技术规范
CobiT是组织建立、健全信息系统内部控制一个通用的、权威的指南,它具有广泛的适用性。对比CobiT4.1,CobiT5深度整合当今各类信息技术标准与最佳实践。
图2 CobiT5 与其他最佳实践关系
CobiT4.1是在对CobiT4.0升级的基础上并于2007年发布,对组织全面管理和治理IT提供了指导,使所有的潜在用户皆可受益;但是用户在使用CobiT4.1时,必须同时要参考其他相关信息技术标准与实践,如需参考ITIL用于指导提供IT服务、参考CMM用于提供流程改进解决方案、参考ISO17799用于组织信息安全与PMBOK或PRINCE2用于组织项目管理。从图2可知,CobiT5在五个不同域中分别整合了其他信息技术标准与最佳实践。如在新增评价、指导与监控(EDM)域中,吸收借鉴了ISO/IEC38500与ISO/IEC31000国际标准,在其他四个域中也广泛地整合了其他相应最佳实践。
(二)重构CobiT架构
CobiT4.1是以“业务为中心、流程为导向、控制为基础、计量为驱动”,而CobiT5是以“原则为基础、目标为导向、评价为手段、促进因素为载体”。CobiT4.1的基本原理见图3,为提高组织业务目标的信息,组织需要采用一套系统化的IT流程来投资、管理与控制IT资源,来提供组织信息服务。
图3 CobiT4.1 的基本原理
在CobiT5中,促进因素是指单一或与其他因素组合影响组织治理与管理的各种因素,具体包括流程、组织架构、文化道德与行为、信息、服务基础设施与应有、人力资源与能力七类。各类目标层级影响与驱动这七类促进因素。对比CobiT4.1,在CobiT5中,信息与流程仅仅作为了两个促进因素,将“业务需求”改进为“利益相关者的需求”。
(三)新增“五项原则”
CobiT是指导性规范,而不是指令性规范,其权威来自于广泛的适用性。尽管全球已有160多个国家在借鉴与使用,为扩大其使用范围与影响,CobiT5吸收借鉴了ITILV3的指导思想新增了“五个原则”,即:①满足利益相关者的需求;②全面覆盖组织的各个层面;③运用单一整合框架;④运用了整体观;⑤将组织的治理与管理进行分离。这些原则使CobiT5具有自适应性以适应组织特定利益相关者的需求,有利于各类组织因时制宜吸收借鉴,建立健全适合于各自组织特点的信息系统内部控制,以原则性的规定来指引组织对相关流程进行有针对性地选择与借鉴,以适应组织特定环境与需求。
(四)分离组织的IT治理与IT管理
CobiT4.1没有把组织的IT治理与IT管理功能进行分离,尽管在CobiT4.1中有IT治理,但是该IT治理是在给定业务需求前提下的一种狭隘、低层次的IT治理。而CobiT5的IT治理对CobiT4.1中的相关流程进行了调整,同时借鉴ISO/IEC38500,使IT相关人员参与组织治理成为组织治理成员的一种真正的组织治理,即CobiT5的IT治理已经成为组织治理中的一部分,此时IT治理的目标不是仅仅局限于满足业务需要,而是对利益相关者利益的实现。在CobiT5中,IT治理流程旨在权衡利益相关者的治理目标:价值交付、风险优化与资源优化,并包含评估IT战略选择,为IT提供指导,并监控产出。而IT管理流程与CobiT4.1相同,都遵循了计划、建立、运行与监控即PBRM生命周期理论。
(五)更新流程参考模型
CobiT4.1包含有四个域,在这四个域中,监控与评价(ME)是对其他计划与组织(PO)、获取与执行(AI)、交付与支持(DS)三个域的监控与管理,即为图4中的白色部分。而CobiT5包含有五个域,这五个域分为治理流程域与管理流程域两类,治理流程域对管理流程域起着指导评价与监控的作用。白色区域为CobiT4.1涵盖组织的IT范围,而灰色区域为CobiT5涵盖组织的IT范围。显然,CobiT4.1所涵盖的IT范围仅仅是CobiT5的一部分。
图4 CobiT5 的流程参考模型简图
(六)将流程成熟度模型改进为流程能力评价模型
CobiT5将组织信息、IT资源、治理与管理等因素作为七个促进因素,对各促进因素从“利益相关者、目标、生命周期、良好实践”四个维度运用滞后指标与领先指标进行评价。
CobiT4.1将流程作为IT资源与组织信息的载体,因此通过流程成熟度模型(CMM)从“能力、控制与覆盖”三个维度、“意识和沟通、政策、计划和程序、工具盒自动化方案、技能与经验、责任与职责、目标与度量”六个特征将流程采用定性的方法分为六个等级水平。这些等级只是对IT流程的整体描述并不是阀值模型,通过等级描述,组织管理层可以从整体上了解组织IT流程所处的阶段与拟达到的阶段,对比两个阶段的差距改进流程。
CobiT5将流程作为七个促进因素之一,因此对CobiT4.1中对流程评价方法改进为流程能力评价,仅针对流程这一促进因素进行评价。如果仍采用CMM评价方法,就会导致以局部描述整体的错误。CobiT5的流程能力评价模型(CCM)通过九个不同程度的特征运用阀值模型将流程能力分为六个等级,只有低等级实现后才能实现更高一级的等级。CCM同时评价流程的“目标”与“最佳实践”两个维度的能力状况。CCM对流程评价的等级通常低于CMM评价等级。
(七)调整与新增流程
CobiT4.1以“流程为导向”,在“计划与组织(PO)、获取与实施(AI)、交付与支持(DS)及监控与评价(ME)”四个域中又细分了34个流程;而在CobiT5中,流程为七大促进因素之一,在“评价、指导与监控(EDM)、调整、计划与组织(APO)、建立、获取与实施(BAI)、交付、服务与支持(DSS)、监控、评价与评估(MEA)”五个域中进一步细分为37个流程。对于这些流程,CobiT5进行了调整、合并与新增:
1.流程的合并。DS7与PO7、PO6与PO1、AI2与AI3、DS12与DS5共四个进行了合并。
2.流程的调整。ME4调整到CobiT5中的EDM域的流程1至5中;PO1调整到流程APO2;PO4调整到流程APO1中,上述三个流程进行了调整。
3.流程的新增。CobiT5新增了EDM1、APO1、APO4、APO8、BAI8、DSS2、DSS8共七个流程。
三、我国信息系统内部控制的现状
2003年,中共中央办公厅、国务院办公厅转发了《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)标志着我国相关部门建立、健全信息系统内部控制已成为其一项重要的法规任务。随后,国家标准化管理委员会发布了一系列关于信息安全的标准,以引导组织建立健全信息系统内部控制。
2008年,我国发布了《企业内部控制基本规范》以及《企业内部控制评价指引》、《企业内部控制审计指引》引导上市公司建立健全内部控制,同时要求加强信息系统内部控制建设。上述相关制度与规范,在一定程度上有利于我国相关组织建立健全其信息系统内部控制,但是由于信息技术发展速度远快于相关制度法规更新的速度,同时我国相关信息系统内部控制规范在借鉴与趋同国际相关准则与标准时,要结合我国的信息化现状,这样就导致我国相关组织在建立与健全信息系统内部控制过程中,缺乏最新的规范与指南,难以应对严峻的信息安全挑战。
四、对建立健全我国信息系统内部控制的启示
根据我国互联网网络安全监测中心2012年数据显示、针对我国政府网站、金融行业网站等重要部门和行业的攻击呈不断上升趋势,网络安全形势进一步恶化。目前在我国,只有政府核心部门与重要行业建立了信息系统内部控制,且其主要目的旨在保护信息安全,忽视了信息系统效率性、效果性以及合规性等其他目前。因此,我国相关组织建立健全信息系统内部控制任重而道远。
根据我国互联网网络安全监测中心2012年数据显示、针对我国政府网站、金融行业网站等重要部门和行业的攻击呈不断上升趋势,网络安全形势进一步恶化。目前在我国,只有政府核心部门与重要行业建立了信息系统内部控制,且其主要目的旨在保护信息安全,忽视了信息系统效率性、效果性以及合规性等其他目前。因此,我国相关组织建立健全信息系统内部控制任重而道远。
1.整合内部控制准则与信息技术规范,形成以管理为重心的信息系统内部控制规范。我国信息系统内部控制相关规范与准则仍遵循两条线:一条线是由国家标准化管理委员会发布信息系统技术规范,由信息系统技术部门负责;另一条线是财政部或行业主管部门发布内部控制准则,由管理部门负责,这两个部门相对独立。而CobiT5定位于组织治理层与管理层,由治理目标所引导,覆盖组织所有的IT活动,关注于组织应该实现的目标而不是实现有效治理与管理的技术路径。因此,我国信息系统内部控制应将内部控制与信息技术进行深度融合,融合时以技术为基础来实现组织的有效治理与管理目标,整合与提升信息技术部门,强化业务的自动化控制与IT系统控制,以引导组织建立健全信息系统内部控制,提高组织弹性。
2.对上市公司以及关乎国家信息安全的行业进行信息系统内部控制鉴证。自2009年7月1日起,我国要求上市公司(鼓励非上市公司)对内部控制的有效性进行自我评价,同时聘请会计师事务所对内部控制的有效性进行审计。但是在进行内部控制有效性自我评价或审计时,其主要重心在财务报告内部控制,对信息信息系统内部控制关注不足。从目标导向来看上,信息系统内部控制与财务报告内部控制是趋同的,两者具有紧密的关联度。财务报告内部控制旨在会计信息的可靠性。然而随着企业信息化,会计信息系统数据的生成、传递都依赖于企业信息系统模块,因此信息系统模块运行的质量直接关系到会计信息系统的可靠性。故在上市公司内部控制有效性自我评价与审计时,应将信息系统内部控制的有效性纳入评价与审计范围,将财务报告内部控制与信息系统内部控制并重。
信息化与工业化的进一步融合,越来越多公共行业与组织(如电力系统、城市供水系统与高度自动化的工业企业)采用数字控制系统(DCS)以及监督控制和数据采集系统(SCADA)。因此,DCS/SCADA信息系统安全运行直接关系到国家公共安全。鉴于DCS/SCADA信息系统防护的特殊性与重要性,我国自2003年每年要对重要行业进行信息系统安全专项检查。尽管每年进行的专项检查,在一定程度上促进了相关行业建立、健全其信息系统内部控制,但是专项检查在检查范围、程序、检查人员的专业胜任能力与独立性等方面不同于审计(鉴证)。审计是独立第三方的一种鉴证行为。审计师利用信息系统专家对重点行业的信息系统内部控制进行鉴证,以提高信息系统内部控制的有效性、安全性,同时也提高了社会公众对相关行业安全运行的信任。
3.进一步修订我国审计准则,以反映财务信息的加工、生成与报告对信息系统的依赖。审计准则是指导与评价CPA进行财务审计的标准,应反映财务信息的加工、生成与报告所处的环境变化。但是,我国的审计准则并没有适时反映信息技术对审计的影响,如审计准则第1211号、第1301号、第1421号与第1633号等。
《中国注册会计师审计准则第1211号——通过了解被审计单位及其环境识别和评估重大错报风险》于2006年发布2010年进行了改写。信息系统内部控制包括信息系统一般控制与运用控制,这两类控制分属于COSO的五个要素中。然而,该准则仅在控制活动仅要求CPA了解而不是关注,在控制环境中没有要求CPA对IT治理的了解与关注。
《中国注册会计师审计准则第1301号——审计证据》于2006年发布2010年进行了改写。审计证据包括财务报表依据的会计记录中所含信息与其他信息,在该准则中重点突出了会计记录中所含信息,注重实物证据与书面证据,缺乏信息技术对审计证据的取得与评价的指导。然而,随着会计信息与企业经营信息整合程度进一步加深,信息系统环境、电子证据将有可能作为审计证据,甚至可能作为唯一审计证据,在形成审计结论与审计报告更具证据力。
《中国注册会计师审计准则第1421号——利用专家的工作》于2006年发布2010年进行了改写与修订。随着企业信息化的提高,会计信息系统的数据来源更加依赖于信息系统的其他模块,因此在审计财务会计报表时,更加依赖信息技术专家而降低对其他专家(如资产评估师、律师)的依赖性。
《中国注册会计师审计准则第1633号——电子商务对财务报表的影响》于2006年发布。信息系统内部控制旨在对业务活动的自动化控制与IT自身的控制。而该准则要求CPA重点关注电子商务对财务报表的影响,即只关注业务活动的自动化控制,而忽视了对IT自身控制的识别与评价。
核心关注:拓步ERP系统平台是覆盖了众多的业务领域、行业应用,蕴涵了丰富的ERP管理思想,集成了ERP软件业务管理理念,功能涉及供应链、成本、制造、CRM、HR等众多业务领域的管理,全面涵盖了企业关注ERP管理系统的核心领域,是众多中小企业信息化建设首选的ERP管理软件信赖品牌。
转载请注明出处:拓步ERP资讯网http://www.toberp.com/
本文网址:http://www.toberp.com/html/consultation/10839718974.html
相关文章
