论文部分内容阅读
项目背景:萨班斯引发的思考
ABC集团公司(应作者要求,隐去文中所涉及公司的真实名称,以ABC集团公司代之)是一家传统的制造业企业,总部设在北京。现在公司IT部门最主要的职责有两方面:第一部分是IT系统运行维护管理,包括SAP生产管理系统、Oracle财务系统、库存管理系统,以及邮件系统的运行维护管理;第二部分是IT基础架构的管理,包括机房、服务器,还有入侵检测、防病毒等IT系统一般控制的管理。
随着业务部门的需求和系统的复杂程度不断提高,IT系统暴露出来的问题也越来越多,管理层对IT部门运行效率的要求也在不断提高。公司需要对IT部门有一套切实可行的方法来指导他们的日常工作,使IT真正成为公司业务发展的驱动力。
2002年7月份在美国通过的萨班斯法案404条款,要求上市公司管理层和董事会对财务内部控制和财务报表的真实性与可靠性負直接责任。虽然从字面上看,这和IT部门的工作不直接相关,但却一夜之间就把IT部门和IT技术人员推到了内部控制和财务控制的风口浪尖。这是因为大型公司的财务系统和业务系统与IT的关系已经密不可分。
作为一家在美国上市的企业,ABC公司需要对内部控制的整个流程进行统一梳理后,接受
美国证监会每年的年审,也就是萨班斯法案的审计。
ABC公司的四个困惑
对公司的IT系统,ABC集团的管理层存在四个难以解开的困惑。
第一个困惑,是长期以来的巨额投资好像都没有明显的回报。投给IT部门的钱都派了什么用场?
第二个困惑,是公司看不到IT投资带来的回报。系统实施往往达不到预期的效果,甚至有个别系统刚上线就失败了,但就是找不到失败的原因。
第三个困惑,是如何找到一个可行的办法来管理有形或无形的信息系统资产,从而使IT真正成为驱动集团业务发展的力量。
第四个困惑,也是最现实的问题——公司要如何通过萨班斯法案的合规审计?
咨询公司的四个问题
ABC集团公司管理层决定聘请咨询公司来对他们的IT管理控制进行统一调研,辅助他们通过萨班斯法案。结果在项目招投标过程中,中标咨询公司以四个简单的问题就征服了ABC公司管理层,因为他们的四个问题正好和公司的四个困惑一一对应。
首先,公司是否在进行正确投资?公司在进行商务投资的时候会制定财务计划,商务投资具体的回报额是多少,什么时候开始,都有一个定量的计算。那么进行IT投资时,ABC公司是否有一个定量计算,投资又是否正确呢?
其次,公司是否以正确的方式进行实施?因为ABC公司不是IT企业,而是一家传统的制造业企业,其IT系统只是为了更好地支持业务。那么正确的实施,就是通过IT的应用让传统运作方式的效率大幅度提高,而不是为了拥有一个庞大的IT部门。日常工作多了一项IT的维护就好像多了一个负担,IT部门能够隐身于这个企业之中,才是IT部门运作的最高境界。
再次,管理层是否知道IT部门的运作过程?为什么系统失败以后没有办法让相关人员或部门来承担责任?实际上,ABC集团在进行IT管理控制咨询之前,IT部门的职责非常简单,公司管理层不知道IT部门如何运作,也不知道IT部门和业务部门之间到底是什么关系。
最后,公司是否明确萨班斯法案对IT的真正要求?根据管理层的要求,这个项目的目的是基于满足萨班斯法案404条款的要求,但是ABC集团也可以借助这次机会,来解决以上四个具体问题。
最终,ABC集团公司管理层和咨询方一拍即合。
实施过程:步骤环环相扣
在聘请咨询公司以前,ABC公司管理层了解了业界的很多做法,也了解了很多国际IT管控标准,包括COBIT、ITIL、ISO 17799等,在考虑能否直接把这些经验和标准作为企业的制度引进过来。
答案是否定的。因为COBIT有34个高级管理目标和318个详细的管理目标。如果把这些目标一股脑地强加给公司IT部门,IT部门可能变得更混乱,这不符合企业自身的实际情况。作为一个传统的制造型企业,ABC集团运用IT的目的很明确,即提高运行效率和通过萨班斯法案404条款的审计。在确定了项目目标以后,ABC集团公司在咨询公司的帮助下,确定了项目实施的原则:参照标准,针对需求,分步实施。
在项目原则确定以后,咨询方进入ABC集团公司,开始分阶段进行项目的实施。
调查研究
在调查研究阶段,首先要了解企业IT系统目前运行的状况。实际上,在了解企业现状的过程中,咨询方会编制两套流程图,以此来了解企业整个IT系统的运行状况,包括IT一般控制流程图和企业的IT应用控制流程图。
咨询公司把IT的一般控制分为三大类,第一大类为变更管理,变更管理又包括了程序变更、数据变更、配置变更三类。
比如实施方实施完ERP系统就走了,但后续可能有一些补丁要打,程序有一些源代码需要修改,那么在程序进行变更的时候,需要有一套流程来进行控制。也就是说,要有一套标准的流程来让程序变更是可控的,这就是程序变更中的控制。
比如ERP系统前台录入以后,发现录错了,需要修改。但由于系统已经对数据进行了处理,前台不能修改,需要IT部门来协助修改。假如前台直接给IT部门打电话,要求进行数据修改的话,从标准上来讲,这是非常危险的一个错误,数据变更中的控制问题就显示出来了。
配置变更则会落实到具体的操作系统和数据库的安全设置上,主要包括服务器的安全设置,比如一些安全参数。在变更这样一些参数的时候,有没有遵循标准的流程,就是配置变更的内部控制所关注的。
第二大类是逻辑访问控制。逻辑访问的控制包括用户,用户的账号、密码、权限是如何申请的等等。萨班斯法案404条款所要求的对企业内部控制和财务报表的可靠性发表意见,实际上对IT部门的要求就是要做到可控。因为只有管理层心中有数,业务和IT都是可控的,那么在年终给证监会提交报告的时候,公司领导才能拍胸脯说财务报告是可靠的。
第三大类就是IT运行维护管理。IT运维管理包括防病毒、运行监控、业务持续性计划以及灾难恢复计划这样一些和IT部门息息相关的工作。
咨询公司把变更管理、IT运维管理、逻辑访问控制管理统称为IT一般控制。他们通过了解、访谈来绘制一套流程图,从而了解企业的现状。而绘制流程图的目的,是为了下一步能够访问企业的各个内部控制点。
流程优化
在调查研究阶段,主要是了解现有IT的运行状况,及财务相关控制点是如何运行的。在流程优化阶段,则对流程图中体现出来的问题和欠缺进行优化。
比如变更管理,以前可能只需要一个电话,IT部门就会应要求做变更。但是实际上,根据COBIT的要求,需要有一套正规的流程。这个流程可以归纳为变更的申请、变更的审批、变更的执行,以及重大变更最后上线这样几个环节。在优化的过程中,变更的主要问题是ABC公司没有成文的规定,且没有区分变更的类型。
以程序变更为例,从变更的时效性来区分变更的类型,可以分为紧急变更和普通变更。普通变更就是时间要求不那么紧急的变更,紧急变更则相反。对紧急变更,则需要另外的一套流程,流程定下来以后,每个人都要遵守。
在咨询方找到了ABC集团公司在IT运行方面的漏洞之后,在流程图中对控制进行了优化。进行优化以后,他们编制了控制矩阵(control matrix),用它与所有的控制连接起来,每个控制一环接一环,最后能够看到财务报表输出的整个过程。比如某个销售数据出了错误,马上可以追溯到是哪个控制出了问题。这样,管理层就可以通过控制矩阵,很快找到是哪一个点出了问题,而不是像以前一样,出了问题还不知道问题是怎么产生的。
制定规则
制定规则阶段,是针对优化后的流程图和与管理层沟通过的控制矩阵,来制定整个公司的IT管控体系。制定这些规则所参考的标准,可以理解为和COBIT相似的、符合ABC集团自身情况的一个具体操作规程。
这里包括高层的管理策略,比如如何指导IT的工作,规范变更管理、逻辑访问控制、IT运维管理的操作流程等等。只有当企业不是把IT部門当作救火队来用,而是遵守一套流程,有审批和最后确认的过程时,IT才能做到可控。
还有操作层面文档的管理。为了应对萨班斯法案404条款的审计,要把IT支持的财务报表生成的每一个控制点上如何运行,做一个记录。
对控制测试文档的管理,首先是为了管理层的日常管理,但最主要的,是为了通过萨班斯法案404条款的合规审计。因为在审计过程中,审计公司会查看变更管理的流程,在了解流程之后,他们会取出一些证据,以此检测这个流程是否真的按照规范运行。在那之前,企业通过对文档的管理,为通过萨班斯法案404条款做了积极的准备。
控制测试
操作规程出来以后,就要落实到具体的工作中,看这个操作规程是否切实有效。制定规程后,将新规程交由管理层去推广,由咨询方负责培训。在企业内部推广实施三个月以后,咨询方要在外审对ABC集团进行萨班斯法案404条款审计之前自行测试一遍,包括穿行测试和主要控制点的抽样测试,并把测试结果直接报告给公司管理层,以便进行进一步的修改。
在测试的第一阶段,要从财务风险落实到IT风险,从IT风险落实到IT控制。由于是为了应对萨班斯法案404条款的审计,也就是针对财务报表的真实可靠性发表意见,所以首先把财务报表的潜在错误列举为最可能出现的几个风险。因为在绘制控制矩阵的时候,绘制了IT的应用控制风险矩阵图,所以每一个可能出现错误的财务流程,都可以追溯到IT的相关风险。比方说销售数据出现了错误,那么很可能是ERP前台录入出现了问题,也可能是数据备份出了问题,或是数据传输出了问题,于是财务相关的风险落实到了与IT相关的风险。在列出几个财务风险以后,通过控制矩阵,就可以找到与这些风险相关的控制流程,在企业内部,也就制定了与风险相关的控制。
第二阶段,要把控制分类,区分哪些是主要控制,哪些不是。如果这个控制失效,就会直接导致财务风险的发生,这个控制就会被定位为主要控制。然后需要确定主要控制的属性,因为针对每一个不同的控制类型会有不同的测试方法,属性可以决定测试的方法是什么。最后根据主要控制的类型,咨询方会制定一套测试计划。
整个测试过程的逻辑,就是从财务风险落实到IT风险,考虑如何降低和减少相关IT风险的控制难度和复杂度,分清这些控制哪些是主要控制,哪些不是主要控制。对主要控制,除了穿行测试以外还要进行抽样的具体测试。
比如说,根据流程发生的频率来进行测试,如果频率发生低的,抽取样本就高,而频率发生高的,抽取样本就低。总之,就是要保证在企业内部关系到财务风险的每一个控制,不仅有政策层面的控制,也有操作层面的控制。
项目跟进
项目的最后一个阶段,咨询方给ABC集团公司提供了一整套适合于企业IT内控管理的文档规范,以及给管理层制定了定期测试标准,对人员进行了培训。
项目小结
IT控制和IT管理不一样。我们平常所说的IT管理控制可能更倾向于IT的管理,就是由下而上的日常IT实施。比如我们要上一个系统,做一个软件,开发一个什么样的平台,IT人员要做很多工作。无论A部门的电脑出了问题还是B部门的软件出了BUG,都是对事务的一些管理。而IT控制,则是自上而下的体系。
项目结束以后,ABC集团公司成功建立了一个从上而下的IT控制体系和一套受业务驱动的规章制度。
ABC集团公司(应作者要求,隐去文中所涉及公司的真实名称,以ABC集团公司代之)是一家传统的制造业企业,总部设在北京。现在公司IT部门最主要的职责有两方面:第一部分是IT系统运行维护管理,包括SAP生产管理系统、Oracle财务系统、库存管理系统,以及邮件系统的运行维护管理;第二部分是IT基础架构的管理,包括机房、服务器,还有入侵检测、防病毒等IT系统一般控制的管理。
随着业务部门的需求和系统的复杂程度不断提高,IT系统暴露出来的问题也越来越多,管理层对IT部门运行效率的要求也在不断提高。公司需要对IT部门有一套切实可行的方法来指导他们的日常工作,使IT真正成为公司业务发展的驱动力。
2002年7月份在美国通过的萨班斯法案404条款,要求上市公司管理层和董事会对财务内部控制和财务报表的真实性与可靠性負直接责任。虽然从字面上看,这和IT部门的工作不直接相关,但却一夜之间就把IT部门和IT技术人员推到了内部控制和财务控制的风口浪尖。这是因为大型公司的财务系统和业务系统与IT的关系已经密不可分。
作为一家在美国上市的企业,ABC公司需要对内部控制的整个流程进行统一梳理后,接受
美国证监会每年的年审,也就是萨班斯法案的审计。
ABC公司的四个困惑
对公司的IT系统,ABC集团的管理层存在四个难以解开的困惑。
第一个困惑,是长期以来的巨额投资好像都没有明显的回报。投给IT部门的钱都派了什么用场?
第二个困惑,是公司看不到IT投资带来的回报。系统实施往往达不到预期的效果,甚至有个别系统刚上线就失败了,但就是找不到失败的原因。
第三个困惑,是如何找到一个可行的办法来管理有形或无形的信息系统资产,从而使IT真正成为驱动集团业务发展的力量。
第四个困惑,也是最现实的问题——公司要如何通过萨班斯法案的合规审计?
咨询公司的四个问题
ABC集团公司管理层决定聘请咨询公司来对他们的IT管理控制进行统一调研,辅助他们通过萨班斯法案。结果在项目招投标过程中,中标咨询公司以四个简单的问题就征服了ABC公司管理层,因为他们的四个问题正好和公司的四个困惑一一对应。
首先,公司是否在进行正确投资?公司在进行商务投资的时候会制定财务计划,商务投资具体的回报额是多少,什么时候开始,都有一个定量的计算。那么进行IT投资时,ABC公司是否有一个定量计算,投资又是否正确呢?
其次,公司是否以正确的方式进行实施?因为ABC公司不是IT企业,而是一家传统的制造业企业,其IT系统只是为了更好地支持业务。那么正确的实施,就是通过IT的应用让传统运作方式的效率大幅度提高,而不是为了拥有一个庞大的IT部门。日常工作多了一项IT的维护就好像多了一个负担,IT部门能够隐身于这个企业之中,才是IT部门运作的最高境界。
再次,管理层是否知道IT部门的运作过程?为什么系统失败以后没有办法让相关人员或部门来承担责任?实际上,ABC集团在进行IT管理控制咨询之前,IT部门的职责非常简单,公司管理层不知道IT部门如何运作,也不知道IT部门和业务部门之间到底是什么关系。
最后,公司是否明确萨班斯法案对IT的真正要求?根据管理层的要求,这个项目的目的是基于满足萨班斯法案404条款的要求,但是ABC集团也可以借助这次机会,来解决以上四个具体问题。
最终,ABC集团公司管理层和咨询方一拍即合。
实施过程:步骤环环相扣
在聘请咨询公司以前,ABC公司管理层了解了业界的很多做法,也了解了很多国际IT管控标准,包括COBIT、ITIL、ISO 17799等,在考虑能否直接把这些经验和标准作为企业的制度引进过来。
答案是否定的。因为COBIT有34个高级管理目标和318个详细的管理目标。如果把这些目标一股脑地强加给公司IT部门,IT部门可能变得更混乱,这不符合企业自身的实际情况。作为一个传统的制造型企业,ABC集团运用IT的目的很明确,即提高运行效率和通过萨班斯法案404条款的审计。在确定了项目目标以后,ABC集团公司在咨询公司的帮助下,确定了项目实施的原则:参照标准,针对需求,分步实施。
在项目原则确定以后,咨询方进入ABC集团公司,开始分阶段进行项目的实施。
调查研究
在调查研究阶段,首先要了解企业IT系统目前运行的状况。实际上,在了解企业现状的过程中,咨询方会编制两套流程图,以此来了解企业整个IT系统的运行状况,包括IT一般控制流程图和企业的IT应用控制流程图。
咨询公司把IT的一般控制分为三大类,第一大类为变更管理,变更管理又包括了程序变更、数据变更、配置变更三类。
比如实施方实施完ERP系统就走了,但后续可能有一些补丁要打,程序有一些源代码需要修改,那么在程序进行变更的时候,需要有一套流程来进行控制。也就是说,要有一套标准的流程来让程序变更是可控的,这就是程序变更中的控制。
比如ERP系统前台录入以后,发现录错了,需要修改。但由于系统已经对数据进行了处理,前台不能修改,需要IT部门来协助修改。假如前台直接给IT部门打电话,要求进行数据修改的话,从标准上来讲,这是非常危险的一个错误,数据变更中的控制问题就显示出来了。
配置变更则会落实到具体的操作系统和数据库的安全设置上,主要包括服务器的安全设置,比如一些安全参数。在变更这样一些参数的时候,有没有遵循标准的流程,就是配置变更的内部控制所关注的。
第二大类是逻辑访问控制。逻辑访问的控制包括用户,用户的账号、密码、权限是如何申请的等等。萨班斯法案404条款所要求的对企业内部控制和财务报表的可靠性发表意见,实际上对IT部门的要求就是要做到可控。因为只有管理层心中有数,业务和IT都是可控的,那么在年终给证监会提交报告的时候,公司领导才能拍胸脯说财务报告是可靠的。
第三大类就是IT运行维护管理。IT运维管理包括防病毒、运行监控、业务持续性计划以及灾难恢复计划这样一些和IT部门息息相关的工作。
咨询公司把变更管理、IT运维管理、逻辑访问控制管理统称为IT一般控制。他们通过了解、访谈来绘制一套流程图,从而了解企业的现状。而绘制流程图的目的,是为了下一步能够访问企业的各个内部控制点。
流程优化
在调查研究阶段,主要是了解现有IT的运行状况,及财务相关控制点是如何运行的。在流程优化阶段,则对流程图中体现出来的问题和欠缺进行优化。
比如变更管理,以前可能只需要一个电话,IT部门就会应要求做变更。但是实际上,根据COBIT的要求,需要有一套正规的流程。这个流程可以归纳为变更的申请、变更的审批、变更的执行,以及重大变更最后上线这样几个环节。在优化的过程中,变更的主要问题是ABC公司没有成文的规定,且没有区分变更的类型。
以程序变更为例,从变更的时效性来区分变更的类型,可以分为紧急变更和普通变更。普通变更就是时间要求不那么紧急的变更,紧急变更则相反。对紧急变更,则需要另外的一套流程,流程定下来以后,每个人都要遵守。
在咨询方找到了ABC集团公司在IT运行方面的漏洞之后,在流程图中对控制进行了优化。进行优化以后,他们编制了控制矩阵(control matrix),用它与所有的控制连接起来,每个控制一环接一环,最后能够看到财务报表输出的整个过程。比如某个销售数据出了错误,马上可以追溯到是哪个控制出了问题。这样,管理层就可以通过控制矩阵,很快找到是哪一个点出了问题,而不是像以前一样,出了问题还不知道问题是怎么产生的。
制定规则
制定规则阶段,是针对优化后的流程图和与管理层沟通过的控制矩阵,来制定整个公司的IT管控体系。制定这些规则所参考的标准,可以理解为和COBIT相似的、符合ABC集团自身情况的一个具体操作规程。
这里包括高层的管理策略,比如如何指导IT的工作,规范变更管理、逻辑访问控制、IT运维管理的操作流程等等。只有当企业不是把IT部門当作救火队来用,而是遵守一套流程,有审批和最后确认的过程时,IT才能做到可控。
还有操作层面文档的管理。为了应对萨班斯法案404条款的审计,要把IT支持的财务报表生成的每一个控制点上如何运行,做一个记录。
对控制测试文档的管理,首先是为了管理层的日常管理,但最主要的,是为了通过萨班斯法案404条款的合规审计。因为在审计过程中,审计公司会查看变更管理的流程,在了解流程之后,他们会取出一些证据,以此检测这个流程是否真的按照规范运行。在那之前,企业通过对文档的管理,为通过萨班斯法案404条款做了积极的准备。
控制测试
操作规程出来以后,就要落实到具体的工作中,看这个操作规程是否切实有效。制定规程后,将新规程交由管理层去推广,由咨询方负责培训。在企业内部推广实施三个月以后,咨询方要在外审对ABC集团进行萨班斯法案404条款审计之前自行测试一遍,包括穿行测试和主要控制点的抽样测试,并把测试结果直接报告给公司管理层,以便进行进一步的修改。
在测试的第一阶段,要从财务风险落实到IT风险,从IT风险落实到IT控制。由于是为了应对萨班斯法案404条款的审计,也就是针对财务报表的真实可靠性发表意见,所以首先把财务报表的潜在错误列举为最可能出现的几个风险。因为在绘制控制矩阵的时候,绘制了IT的应用控制风险矩阵图,所以每一个可能出现错误的财务流程,都可以追溯到IT的相关风险。比方说销售数据出现了错误,那么很可能是ERP前台录入出现了问题,也可能是数据备份出了问题,或是数据传输出了问题,于是财务相关的风险落实到了与IT相关的风险。在列出几个财务风险以后,通过控制矩阵,就可以找到与这些风险相关的控制流程,在企业内部,也就制定了与风险相关的控制。
第二阶段,要把控制分类,区分哪些是主要控制,哪些不是。如果这个控制失效,就会直接导致财务风险的发生,这个控制就会被定位为主要控制。然后需要确定主要控制的属性,因为针对每一个不同的控制类型会有不同的测试方法,属性可以决定测试的方法是什么。最后根据主要控制的类型,咨询方会制定一套测试计划。
整个测试过程的逻辑,就是从财务风险落实到IT风险,考虑如何降低和减少相关IT风险的控制难度和复杂度,分清这些控制哪些是主要控制,哪些不是主要控制。对主要控制,除了穿行测试以外还要进行抽样的具体测试。
比如说,根据流程发生的频率来进行测试,如果频率发生低的,抽取样本就高,而频率发生高的,抽取样本就低。总之,就是要保证在企业内部关系到财务风险的每一个控制,不仅有政策层面的控制,也有操作层面的控制。
项目跟进
项目的最后一个阶段,咨询方给ABC集团公司提供了一整套适合于企业IT内控管理的文档规范,以及给管理层制定了定期测试标准,对人员进行了培训。
项目小结
IT控制和IT管理不一样。我们平常所说的IT管理控制可能更倾向于IT的管理,就是由下而上的日常IT实施。比如我们要上一个系统,做一个软件,开发一个什么样的平台,IT人员要做很多工作。无论A部门的电脑出了问题还是B部门的软件出了BUG,都是对事务的一些管理。而IT控制,则是自上而下的体系。
项目结束以后,ABC集团公司成功建立了一个从上而下的IT控制体系和一套受业务驱动的规章制度。