企业体系结构视角下的内部控制系统建模过程_内部控制论文

企业架构视角的内部控制系统的建模过程，本文主要内容关键词为：建模论文,控制系统论文,视角论文,架构论文,过程论文，此文献不代表本站观点，内容供学术参考，文章仅供参考阅读下载。

      对于企业架构（Enterprise Architecture）的定义，目前理论和实务界普遍认为：企业架构是从企业全局的角度审视与信息化相关的业务、信息、技术和应用间的相互作用关系以及这种关系对企业业务流程和功能的影响。美国CIO委员会认为企业架构是一个战略性的信息资源基础，它定义了任务、完成任务所必需的信息和技术，以及为了适应任务需求的改变和采用新技术所导致的迁移过程。

      目前主流的企业架构框架包括Zachman框架、联邦总体架构框架FEAF（Federal Enterprise Architecture，FEAF）和TOGAF架构（the open group architecture framework）。企业架构的演进主要沿两条主线：一条是以Zachman框架的基础，开发出的主流架构框架与方法，有EAP、FEAF、TEAF等；另一条是以ISO/IEC 14252为基础开发出的美国国防部的信息管理技术架构框架TAFIM，TOGAF就是基于TAFIM开发的，并基于此框架。美国国防部又进一步开发出了DoDTRM、C4ISR，以及最新的DoDAF。目前，两条企业架构框架的演进线路，逐渐相互融合，架构框架的构成要素与定义架构过程基本趋于相同；同时，不同的行业结合各自行业的特点，根据综合通用的企业架构框架，正在进一步开发具有行业特点的架构标准框架与方法。

      根据联邦总体架构框架（FEAF），企业架构主要由两部分内容组成，即业务架构和IT架构，其中IT架构又包括数据架构、应用架构和技术架构三部分。因此，企业架构通常可认为由四个部分组成，即业务架构、数据架构、应用架构和技术架构。

      根据企业架构方法，内部控制系统架构主要包括业务架构、应用架构、数据架构和技术架构四个部分。

      一、业务架构

      业务架构是以企业战略为导向将内部控制相关策略和活动动态落实到企业关键业务功能和流程的表达。结合内部控制整体框架和《企业内部控制基本规范》，围绕内部控制的目标实现，在信息化环境下内部控制系统的业务架构由内控环境、战略控制、管理控制、信息技术和作业控制实现有效整合和集成，以满足内部控制系统的构建要求。本文认为内部控制系统的业务架构主要由内控环境、战略控制、管理控制、信息技术和作业控制等五个层面组成，如图1所示。

      

      从图1来看，内部控制系统业务架构框架图很好地体现了信息化环境下内部控制工程的三项基本原则：（1）战略导向原则。企业实施内部控制的最终目的就是实现战略目标，而战略目标又需要根据内部环境和外部环境来设定。内部控制系统实施是以战略目标为导向进行落实，如果战略目标进行了调整，那么相应的内部控制策略也需要做相应的调整，以保证企业战略的实现。（2）系统集成原则。企业实施内部控制系统需要从整体出发，不仅要实现战略控制到管理控制、作业控制的纵向集成，还要实现资金业务、采购业务、资产管理、销售业务等控制的横向集成。（3）实时控制原则。实时控制是信息化环境下内部控制系统构建的一个基本要求。信息技术作为实现战略控制、管理控制与作业控制之间数据与业务集成的平台和手段，成为支持内部控制策略的上传下达的必要技术手段。

      1.内控环境层面

      内控环境层面包括内部环境和外部环境。内部环境是指企业实施内部控制的组织架构、企业文化、人力资源等软环境。内部环境的建设是内部控制系统实施的基础，对内部控制相关活动有着广泛的影响。内部环境虽然通过信息技术无法直接实现，但是内部环境与信息化环境之间却互相影响、互相促进。例如在信息化环境下企业组织架构向扁平化发展，企业上下级之间的沟通更为顺畅，企业内部办公自动化、集团即时通讯技术的不断发展，从不同方面促进了企业内部文化的交流和进步。外部环境是指企业外部的政治环境、经济环境、政策环境、舆论环境等。随着全球经济一体化和信息网络的发展，企业外部环境与信息化环境之间也建立紧密的关系。例如企业建立官方网站、发布官方微博，加强了与外部的信息沟通和交流；Internet网购、团购模式的兴起为企业增加了全新的销售渠道等。

      2.战略控制层面

      为了实现内部控制系统的战略导向，在管理控制层面上增加了一个闭环式的企业战略控制层面。在战略控制层面，通过目标设定、风险分析、风险评估和战略规划形成符合企业发展的战略目标。同时战略规划又与管理控制相关联，通过这一共有环节的有机衔接和互动，将战略规划和管理控制紧密结合在一起。管理控制的相关信息会快捷地反馈到战略控制中去，而战略的变化也会动态地传导到管理控制的战略计划和调整，这就使得企业战略目标自成为内部控制系统实施的目标导向和组成部分。

      3.管理控制层面

      在管理控制层面，根据战略规划的目标，需要制定内部控制的计划并执行，通过信息传递这一环节下达到作业控制的各具体业务中。管理控制也通过信息传递采集作业控制中的相关作业数据，以实现对内部控制执行情况的实时监控，如出现控制目标的偏离实时通过计划执行进行调整，对于重大调整可能需要上报战略控制层，必要时需要调整相关战略，以适应企业运营的动态环境。

      4.信息技术层面

      信息技术层面作为内部控制系统的支撑，连接着管理控制层面和作业控制层面。从信息化环境下内部控制系统实施的目标来看，内部控制要发挥作用，有两点非常重要：一是企业战略可能随经营环境的变化进行动态调整，其调整变化应及时反馈到企业内部控制中去；二是企业信息的输入、输出和反馈、控制是实时的和动态的。要做到以上两点，只有建立在信息技术的支撑之上才能实现。

      信息技术层面对内部控制系统的支撑作用具体体现在以下四个方面：一是支撑战略控制的决策支持功能的实现，通过数据仓库（DW）、数据挖掘（DM）等商业智能技术的应用为管理决策提供更有价值的信息；二是支撑管理控制层面各环节的动态运转和动态功能的实现；三是支撑业务控制层面各项具体业务控制系统的运转；四是支撑内部控制系统与其他核心业务系统的整合，无缝连接内部控制系统和业务运营系统的流程和数据集成。信息技术作为内部控制的一种技术层面，在管理控制与作业控制之间能够起到承上启下的作用，主要在管理控制与作业控制的衔接上能够发挥积极作用。

      5.作业控制层面

      在作业控制层面，通过信息技术的支撑和连接，将管理控制过程与资金管理、资产管理、销售管理、采购管理、合同管理、外包管理等核心的业务功能整合在一起，追求整体效率和效益的提高，使企业在物流、资金流和信息流高度统一。在日常的业务管理中实现战略目标和实时控制，以适应柔性生产、扁平化管理和产品个性化的市场要求。通过这种整合，一方面保证内部控制系统的深度、广度和实时性，另一方面真正实现了事前计划、事中控制和事后反馈的全过程管理。

      二、应用架构

      应用架构是内部控制系统内部各子系统的定位和目标以及与其他核心业务系统相互之间的关系的表达。内部控制系统是为了实现一定的内部控制目标，由所有相互作用、相互依赖的控制要素按照一定的规则和结构结合在一起，形成的具有特定功能的有机整体（王海林，2008）。由于内部控制的复杂性，内部控制系统不能实现完全自动控制，而是人工控制和自动控制相结合的系统，也可以认为是半自动控制系统。另外，内部控制系统并非全部独立存在，其部分模块和功能需要融合到其他核心业务系统中，以实现最佳的控制效果。王海林（2008）在探讨IT环境下企业内部控制模式中，指出内部控制系统应该包括标准系统、风险分析系统、诊断系统和交互控制系统四大要素。张瑞君（2008）提出IT环境下实时内部控制系统至少应包括探测器、分析器、执行器和受控对象等基本要素。

      根据现代控制理论，本文构建了内部控制系统的应用架构，如下页图2所示。

      根据图2所示，在信息化环境下内部控制系统由采集系统、规则库系统、风险分析系统、控制系统、监督系统、决策系统、数据仓库等组成，通过信息流和控制流与HR系统、SCM系统、ERP系统、CRM系统、AIS系统、OA系统等核心业务系统进行集成。信息化环境为内部控制系统提供了实时获取信息、存储信息、传递信息的技术环境，其由操作平台、信息网络、数据库和计算机设备构成。

      

      1.控制对象

      内部控制系统的控制对象是企业价值链上的经营活动或者业务流程。业务流程是由一个个业务活动组成的，其目的是实现战略目标，向客户提供价值。因此控制对象既包括经营管理中的全部活动，也包括单一具体活动，如采购材料、资产管理、销售商品、费用报销、担保审核等。业务流程内嵌于HR系统、SCM系统、ERP系统、CRM系统、AIS系统、OA系统等核心业务系统中，通过物流和资金流的流动形成对应的信息流。

      2.采集系统

      采集系统是收集控制对象行动结果信息的子系统，其基本功能是在企业经营活动中，实时采集和获取企业经营过程产生的信息，按照一定的处理规则加工和处理，并按照特定的格式保存在数据仓库中，为风险分析系统提供数据支持。采集系统采集信息的过程是全自动的，既包括会计信息也包括业务信息。由于采集信息的速度和数量直接影响到控制的效率和质量，在信息化环境下应确定采集的内容，以保证采集经营活动信息的深度、广度和及时性。

      3.规则库系统

      规则库系统是内部控制标准、规范、框架和制度所规定的控制指令和程序组成的数据库。按照规则的结构划分，控制规则分为结构化规则和非结构化规则。结构化规则可以用结构化语言描述，并可嵌入信息系统中支持自动控制。非结构化规则如道德规范等没有严格的评判标准，不同人可以有不同的理解，因此控制过程中需要人为参与。

      4.风险分析系统

      风险是致使企业管理过程中不能达到内部控制目标的干扰要素。风险分析系统通过对采集系统实时获取的信息进行分析和评估，根据规则库系统判断业务流程存在的风险，以明确什么可以做，什么不可以做，并将控制信息传达给控制系统。风险分析系统的工作原理是将数据库中提取的反应经营活动的实际信息与规则库系统中的控制标准或控制准则进行对比分析，如果控制对象偏离了既定的准则和标准，则告诉控制系统阻止该经济业务继续进行或提示该经济业务已偏离了既定的准则和标准。

      5.控制系统

      控制系统是执行内部控制活动的人机交互系统。控制系统根据风险分析系统反馈的控制指令，由管理者在其控制权限内对发生的经济业务进行控制。控制指令分为柔性控制和刚性控制，柔性控制是非结构化控制规则的实现，刚性控制是结构化控制规则的实现。在柔性控制情况下，系统通过自动提示的方式提醒管理者参与控制过程，由管理者完成偏差的消除。在刚性控制情况下，系统直接阻止经济业务的进行，以达到自动控制的目的。

      6.监督系统

      监督系统是内部控制执行过程中产生的数据和结果进行监测和督察的过程。监督系统将企业经营活动的结果与企业战略决策进行比对，并定期将比对结果上报企业管理当局，分析内部控制的效果，以便于企业管理当局及时调整内部控制政策，适应不断变化的内外部环境。

      7.决策系统

      决策系统是在监督系统的基础上通过应用数据挖掘（DW）、联机数据分析（OLAP）等辅助决策技术，为企业管理当局在内部控制决策过程中提供必要的数据支持。决策系统是企业管理当局实施战略控制的支撑系统，其通过企业的长期规划和决策指标制定控制标准，并结合实际运行过程中的数据分析，及时做出控制标准制定和调整决策。

      三、数据架构

      数据架构的目标为建立数据模型和管理规则，是内部控制系统的应用与管理的基础。内部控制系统数据架构基于企业内部控制规范和相关标准进行设计，通过技术架构进行开发实现。内部控制系统数据模型包括概念数据模型、逻辑数据模型和物理数据模型。概念数据模型是一个高层次的数据模型，它定义了重要的业务概念和彼此的关系，由核心的数据实体或其集合以及实体间的业务关系组成。逻辑数据模型是对概念数据模型的进一步分解和细化，描述实体、属性及其实体关系，一般遵从“第三范式”以达到最小的数据冗余。物理数据模型描述模型实体的细节，对数据冗余与性能进行平衡，需要考虑所使用的数据库产品、字段类型、长度、索引等因素，以确定数据库平台和应用程序的架构。在企业内部控制基本规范及配套指引的指导下，通过分析十八项内部控制配套指引的具体内容，构建内部控制系统概念数据模型，如图3所示。

      

      1.内部控制系统数据架构是以发展战略的制定、计划、分解、实现、反馈和控制为主线形成的数据结构。首先通过发展目标到预算指标，其次通过全面预算将预算指标落实到业务外包、采购业务、销售业务、工程项目等各个控制活动中，最后通过内部信息传递、财务报告反馈战略执行信息。

      2.内部控制系统数据架构中的各个数据领域之间存在一定的关系，并不是相互独立和零散的。例如业务外包、采购业务、销售业务、工程项目、资金活动、研究开发、资产管理等数据领域都包含全面预算的相关控制数据，同时也包含合同管理的相关控制数据。数据架构反映了内部控制数据领域之间的关联关系，为从集成的角度实施内部控制提供了良好的基础。

      3.内部控制系统数据架构中的相关数据来自于不同系统中，而并非由内部控制系统本身产生。例如人力资源数据来自企业的人力资源系统，销售数据来自企业的ERP系统或CRM系统，资金数据来自企业的资金管理系统，全面预算数据来自企业的预算管理系统等。因此内部控制系统数据架构反映了内部控制系统对企业各领域数据的抽取和共享过程。

      四、技术架构

      技术架构是支撑内部控制应用与数据的信息化基础架构，包括一系列信息技术、信息组件、信息标准的集合。信息化环境下企业的业务运作越来越依赖于信息系统，为适应业务需求逐步建立了ERP、SCM、CRM、AIS等多个信息系统，各系统之间虽然采用的技术不尽相同，但相互联系和相互制约，从而形成了企业信息化生态系统。企业如何正确把握自己的生态系统，并在竞争中发展壮大是企业面临的新问题。内部控制系统在企业信息化生态系统中需要找到自己的位置，和其他系统相互依存形成一定的协作。因此，内部控制系统必须充分整合和集成企业现有系统实现统驭控制，一方面要从信息技术基础环境、信息技术架构、信息技术标准等方面进行规划，另一方面要整合现有的数据、技术和应用，形成企业信息化技术标准。

      

      内部控制系统技术架构如图4所示。

      1.内部控制系统技术架构反映了内部控制系统对企业管理系统的技术整合过程。由于采用不同时期、不同平台、不同技术体系的系统和应用程序，企业已存在的ERP、SCM、CRM、AIS等信息系统很可能是异构的。内部控制系统技术架构需要整合已存在的异构系统，通过标准的技术和接口实现异构系统之间的连接和通信。

      2.内部控制系统技术架构反映了内部控制系统对企业管理系统的应用整合过程。企业已存在的ERP、SCM、CRM、AIS等信息系统都已有各自的机构、用户、角色和权限等，以致同一个用户在各信息系统都需要建一个账户，分配相应的权限。内部控制系统技术架构需要整合各系统的机构、用户、角色和权限，保证同一个用户在企业信息化生态系统中只建立和保存一个账户，分配角色和权限等也是统一的。只有这样才能实现内部控制要求的职务分离和权限分离。

      3.内部控制系统技术架构反映了内部控制系统对企业管理系统的业务整合过程。企业目前的业务流程分散在已部署的ERP、SCM、CRM、AIS等各个系统中，各系统的业务流程由于系统壁垒无法实现有效衔接，例如ERP的销售数据无法直接传递到AIS系统中等。目前业界提出的业务财务一体化就是解决业务管理和会计核算之间的衔接问题。根据内部控制的相关要求，从战略控制到预算控制、从预算控制到业务控制、从信息传递控制到财务报告控制等各环节都需要衔接和整合，以实现内部控制的整体效应。

标签：内部控制论文;  企业架构论文;  管理控制论文;  战略控制论文;  内部环境论文;  控制环境论文;  业务管理论文;  信息化规划论文;  过程管理论文;  信息化管理论文;  过程控制论文;  业务建模论文;  数据整合论文;  信息架构论文;  数据建模论文;  信息安全论文;