基于SOAD的内部控制系统建模研究——以A上市公司为例,本文主要内容关键词为:为例论文,建模论文,控制系统论文,上市公司论文,SOAD论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。
一、引言
在全球经济一体化建立和资本流动加速的背景下,国内外竞争日益加剧,经营的潜在风险趋向多元化。尤其在全球经济复苏缓慢且不稳定,欧洲主权债务危机的阴霾仍然未消除的形势下,这些风险带来的不确定性对企业的内部控制和风险管理提出了更高的要求。事实证明,只有建立和实施科学的内部控制系统,才能提升企业风险防范能力,实现企业可持续发展战略。
内部控制系统实施过程中的核心工作之一是对企业正在运行的控制流程和控制点进行建模。所谓建模就是为了理解事物而对事物做出的一种抽象,是对事物的一种无歧义的书面描述。在手工环境下,面向流程建模方法是企业内控实施人员或内审人员最常用的建模方法之一。通过对企业内部控制流程建模,梳理内控风险点和控制缺陷,提出企业内控整改策略。
在信息技术高速发展的今天,充分利用信息技术实施内部控制系统已经成为一种趋势。在信息化环境下内部控制系统并未发生本质的变化,它是以信息资源和信息技术为主要工具,由董事会、管理层和其他人员共同实施的,基于企业的风险管理与内部控制运动,由人、信息设备和控制制度组成的人机一体化监控系统。在信息化环境下内部控制系统建模的重点是要充分考虑企业已有的制度系统和信息系统,划分人工控制和自动控制界面,甄别人工控制点和自动控制点。所建立的模型中要能够表达诸如控制流程中哪些控制点可以信息化、哪些控制点不能信息化、企业现有信息系统已经嵌入了哪些控制点、哪些控制流程需要人工控制与自动控制协同等此类问题。因此仅仅应用面向流程方法是远远不够的,还需要运用更优的建模方法进行相关的分析与建模。
本文拟采用面向服务方法学(SOAD,Service-Oriented Analysis and Design)对内部控制系统进行建模,试图摸索在信息化环境下内部控制系统建模的方法和思路,并以A上市公司实施内部控制系统为例进行分析与总结,以期能够为希望借助信息技术实施内部控制系统的企业提供一些经验和借鉴。
二、面向服务方法学(SOAD)的主要内容及思想内核
面向服务方法学(SOAD)起源于面向服务架构(SOA)的广泛应用。面向服务架构(SOA)最早是从软件体系结构的角度提出的一种架构风格,区别于DCOM、CORBA等分布式计算架构。进入21世纪以来,随着Internet技术高速发展,Web service、XML等技术广泛应用,在微软、IBM等厂商不遗余力的推崇下,面向服务架构(SOA)已经成为企业应用的核心概念之一。面向服务架构(SOA)逐步发展成包含运行环境、编程模型、架构风格和相关方法论等在内的一整套新的分布式软件系统构造方法和环境,涵盖服务的整个生命周期,包括建模、开发、整合、部署、运行和管理。
(一)服务(Service)的定义和特征分析
服务(Service)的一般解释是向消费者提供旨在满足对方特定需求的一种活动。《辞海》给出的解释为:履行职务,为大家做事。因此,从广义上讲,服务是提供者为消费者完成工作的活动或过程。在面向服务架构(SOA)方法论里,服务是面向服务分析和设计的最小单位,它可以是一个活动或一个流程。
综合理论界和实务界的研究与探讨,关于面向服务方法学中对服务的定义有很多种,其中典型的归纳如下:W3C将服务定义为服务提供者完成一组工作,为服务使用者交付所需的最终成果,最终结果通常会使使用者的状态发生变化,但也可能使提供者的状态改变,或者双方发生变化(Nicolai,2008)。叶钰等(2005)认为服务是一个粗粒度、可发现的软件实体,它以一个单独的实例存在,并通过一组松散的耦合和基于消息的模型与其他的应用或服务交互。Endrei等(2004)认为服务是一个逻辑实体,由一个或多个已发布的接口定义的契约组成。邢少敏等(2008)认为服务包含一个合约、一个或多个接口和一个实现。
(二)面向服务建模(SOM)
面向服务建模(SOM)是指通过业务领域和现有系统分析识别全局业务模型下可能存在的服务,确定合理的服务粒度。面向服务建模(SOM)的结构是以一个服务列表作为服务候选者,展示了当前业务领域下业务模型的所有合理业务拆分。主要采用自上而下、自下而上和中间对齐的步骤和方法得到服务候选者列表。
1.自上而下(领域分解)
自上而下是指从业务着手进行分析,将业务进行领域分解和流程分解,将业务流程分解成子流程或者业务活动,逐级进行,直到每个业务活动都是具备业务含义的最小单元。流程分解得到的业务活动树上的每一个节点,都是可能的服务抽取点,所有节点构成了服务候选者列表。服务候选者列表经过划分,最终形成层次化的服务目录。
2.自下而上(已有资产分析)
自下而上是指利用已有资产来发现和识别服务,已有资产包括:已有系统、套装或定制应用、行业规范或业务模型等。对已有资产的业务功能、技术平台、架构及实现方式的分析,除了能够验证服务候选者或者发现新的服务候选者,还能够通过分析已有系统、套装或定制应用的技术局限性,尽早验证服务实现决策的可行性,为服务实现决策提供重要的依据。
3.中间对齐(业务目标建模)
中间对齐是帮助发现与业务对齐的服务,并确保关键的服务在流程分解和已有资产分析的过程中没有被遗漏。业务目标建模将业务目标分解成子目标,然后分析哪些服务是用来实现这些子目标的。在这个过程中,为了可以度量这些服务的执行情况并进而评估业务目标,我们会发现关键业务指标、度量值和相关的业务事件。
通过以上三个步骤,可以发现服务候选者列表,并按照业务范围划分为服务目录。图1展示了面向服务建模的过程。
面向服务建模(SOM)还要考虑的一个因素是服务的粒度。服务粒度设计的太小会影响服务的松耦合性,不符合服务的粗粒度特征;服务粒度设计的太大也不利于服务的组合和增值,不符合服务的可复用性和可组合性特征。目前对于服务粒度的设计并没有一个统一的标准,需要根据具体的需求和场景来确定。
(三)面向服务方法学的思想内核
面向服务方法学的出发点和基本目标是以面向服务的思想对业务流程和功能在传统方法学基础上进行更高层次的抽象和建模,使得业务与技术之间的距离更加接近,以业务驱动服务和服务驱动技术,更好地为企业实现业务整合和资源整合的信息系统。其基本思想是:首先对企业的业务领域和业务功能领域进行划分,按照自上而下的方式进行领域分解,勾勒目标企业的业务结构,再逐步分解到业务流程直至业务活动,发现主要的服务候选者;其次是对现有系统按照自下而上的方式进行已有资产分析,验证服务候选者和发现新的服务候选者;最后对业务目标进行建模,通过中间对齐的方式帮助发现与业务对齐的服务,并确保关键的服务在流程分解和已有资产分析的过程中没有被遗漏。
面向服务方法学是一种来源于面向服务架构的全新方法学,相对于面向对象方法学、结构化设计等传统方法学具有更高层次的抽象性,使得业务与技术之间的鸿沟更小。随着互联网的不断发展,开放和标准的网络协议被普遍支持,服务作为一个自包含的功能,通过明确定义的接口(契约)来与另一个服务交互。服务的概念伴随着网络和分布式计算环境的发展而产生,现在服务要改变人们认识客观世界的认知方法,对现有的业务、流程按照面向服务建模以更好的帮助客观需求在信息化环境中更好地实现,同时推动新的分布式应用的发展。
三、面向服务方法学应用于内部控制系统建模优势分析
将面向服务思想应用于内部控制系统建模,通过将内部控制服务化和系统化来开发和实施内部控制系统具有一定的可行性和可操作性,其具体应用优势如下:
(一)两者具有一定的内在融合性和一致性
首先,内部控制管理是目标为导向的,内部控制最终要实现企业经营有效性、财务报表可靠性、经营合法合规性和资产安全性等目标;其次,内部控制的要求和规范是紧紧围绕着以上目标按照自上而下的顺序逐步构建,涉及企业各个层次包括会计、财务、销售、采购、研发、生产、人力资源等;再次,在实践中企业一般都已建立了一定的管理制度和管理系统,内部控制系统的实施并不是要推翻企业现有的管理体系,而是要融入到企业现有的管理体系中,实施过程是按照自下而上的顺序逐步完成。面向服务方法学试图通过建立服务的概念实现企业目前已存在的管理系统统一和融合,其所包含的自上而下、自下而上、业务对齐的建模思想与内部控制管理的思想不谋而合。从系统论的角度,内部控制系统的构成要素由一系列的控制点、控制线、控制面和控制体组成,根据具体情况将控制点、控制线、控制面分别作为服务来建模和实现,通过服务之间标准的通信和互动实现服务之间的集成达到控制体的整体效果。
从上述分析来看,将面向服务方法学应用于内部控制管理不存在理论上的冲突和技术上的障碍,两者具体有一定的内在融合性和一致性。将内部控制系统的控制点、控制线和控制面作为一种服务,通过服务之间的标准调用实现控制集成,共同服务于内部控制目标的实现。面向服务具有规划、标准、整合等思想的业务应用集成理念,内部控制的实施正是需要这样的思想,实现企业管理上的整合和集成。因此面向服务方法为内部控制系统建模提供了可行的实践路径。
(二)面向服务的契约性可以实现内部控制系统的集成管理
利用面向服务的契约性,将内部控制的控制规则和标准暴露成为一个服务,将服务交互和调用所需要公开和约定的相关信息作为契约予以确定,这样内部控制相关各业务之间可以实现集成。内部控制系统要实现集成控制需要跨越多个系统的障碍,例如预算系统、资金系统、账务系统、采购系统及销售系统等等。在各企业中以上系统的构建和信息化程度完全不一样,即使在同一个企业中各业务系统由于建设的时期不同所采用的技术也不尽相同,因此要想实现异构系统之间的通信和交互,面向服务方法是目前业界最合适的解决思路。
例如要实现“按照预算某部门12月份材料采购额不能大于10万元,超过10万元需要财务总监审批”的控制规则,传统的实现方式是在采购系统中采用硬编码的方式内置“某部门12月份材料采购额不能大于10万元”的规则和逻辑。如果12月份的采购额没有超过10万元,采购系统还能够实现控制;如果12月份的采购额确实需要超过10万元,采购系统是不允许执行的,即使财务总监已经审批,但是由于采购系统无法识别财务总监审批的结果,因此在系统中无法操作,只能通过非正常手段调整系统。涉及采购后续的资金支付、账务核算都会出现类似问题。如果将某部门材料采购的合规性作为预算系统的一项服务暴露出来,由采购系统、资金系统、账务系统共享和调用则能解决此问题。采购系统在执行采购操作的时候调用预算系统的采购合规性审核服务,即可获得采购审批的结果,如果12月份低于10万元则可直接采购,如果12月份超过10万元则需要获得财务总监的审批结果,同时资金系统和账务系统在资金控制和账务控制上也可以直接获得审批结果,以完成资金支付操作和账务处理操作。
(三)面向服务的粗粒度性能够简化内部控制系统设计的复杂性
从服务的定义来看,服务是一个粗粒度的逻辑实体。面向服务的粗粒度性源于软件工程理论的“关注点分离”的思想,即将一个大的、复杂的软件问题分解为一系列单个关注点,每个关注点所需要解决的问题是更小的相关片断的集合,每一段逻辑只处理一个特定的关注点。这个思想在结构化分析与设计、面向对象分析与设计等不同的软件开发方法学中都得到了一定的体现。只不过相对于它们来说,面向服务方法学不是以细粒度的对象和基于私有接口协议的组件为基础的,而是以粗粒度、基于开放标准协议的服务为基础的。例如我们可以将预算执行控制作为一个服务进行公开,采购、研发、资金、核算等系统在实现预算相关的内部控制时候都可以统一的调用和访问预算执行控制服务,判断是否可以执行相关业务,这样大大降低了预算执行控制在采购、研发、资金、核算等系统中实现的复杂度,也提高了内部控制的集成和共享。
四、A上市公司内部控制系统建模过程
A上市公司是证监会2011年上市公司内控规范试点单位之一,笔者作为内控实施项目的成员,深度参与了其内部控制系统的建设过程。从项目伊始,A上市公司决定充分利用信息技术实施内部控制系统。由于A上市公司已上线运行多套信息系统,如何充分利用现有信息系统,确定哪些控制点可以信息化、哪些控制点通过人工完成等是内部控制系统建模的重点内容。
(一)A上市公司信息化环境分析
A上市公司经过多年发展,在各业务板块下的分子公司逐步开发和应用了财务系统、ERP系统等各类信息系统,形成了以分子公司信息化为主的信息系统生态环境。但是目前由于各分子公司的通信和网络相互割裂,不能互联,母公司无法实时掌握各分子公司的运营数据。A上市公司目前已上线运行的信息系统如表1所示。
采购控制 采购计划 供应商选择 采购定价 订立合同 质量检验 付款
供应商资格 风险评估 资质授信 合同订立 合同审核 合同签订
取得发票 付款申请 资金支付
A上市公司信息化环境主要存在以下几个方面的问题:
1.信息化建设缺乏统筹管理
从我们调研的情况来看,母公司未成立信息化部门,也未设立首席信息官职位,因此集团内部对信息化缺乏统一规划和管理,集团信息化缺乏战略,信息化人才匮乏。信息系统建设缺乏统筹管理,资金投入分散,整体性不强,综合效能展现不足。
2.信息资源分散,存在信息孤岛
由于母公司缺乏信息化战略和整体规划,分子公司信息化各自为政,互不相通。信息资源的统一管理机制缺乏,信息资源开发利用程度不高,尚未在决策支持、业务规范、流程优化、综合管理等方面得到深化应用。
3.信息安全风险较高
虽然各分子公司已经使用了用友、金蝶等财务软件和ERP系统等软件,但是软件系统内的用户权限未进行不相容设置,大部分用户都具备所有操作权限,数据被篡改风险较高。同时各分子公司均未建立合理的数据备份机制,一旦出现服务器崩溃等异常情况,容易造成数据丢失。
(二)A上市公司内部控制系统建模
A上市公司属于多元化投资企业,在以纺织服装为主营业务的基础上,逐步向房地产开发、产业投资等领域扩张。因此其内部控制系统面临对多行业的战略控制问题,即如何将企业发展战略分解并灌输到各个业务板块中,保证各业务板块在风险可控的条件下运行。针对A上市公司内部控制系统的规划和梳理,形成了货币资金管理、投资活动、筹资活动、采购业务、存货管理、固定资产管理、销售业务、工程项目、业务外包、财务报告、预算管理、合同管理和关联交易等核心控制流程。
限于篇幅,以下对A公司采购控制业务进行建模,阐述内部控制系统建模的过程。按照面向服务建模方法,以上述梳理的采购业务控制流程为基础,分为3个步骤进行建模。
1.自顶向下领域分解
按照层次分析法,对实现内部控制目标的相关领域进行层层分解。综合内部控制规范及配套指引和A公司采购业务控制流程,A公司采购业务控制流程建模图如图2所示。从图2可以看出,采购控制流程一共分解为三层,第二层流程包括采购计划、供应商选择、采购定价、订立合同、质量检验、付款等控制环节,其中供应商选择环节又分解为供应商资格、风险评估、资质授信等业务活动,订立合同控制环节分解为合同订立、合同审核、合同签订等业务活动,付款控制环节分解为取得发票、付款结算和资金支付等业务活动。由此我们可以初步得到一个控制服务的候选服务列表,如表2所示。
2.自底向上分析
自底向上分析是根据A公司目前已有的管理制度、信息系统、业务规范等来抽象、识别和发现服务。以纺织分公司为例,公司已经使用金蝶K3系统和环思ERP系统。因此根据自底向上分析的方法和步骤,采购控制服务流程自底向上建模如图3所示。
从图3中可以看出,在第一步自顶向下分析中得出的候选服务中,大部分服务可以通过现有ERP系统和财务系统获得,质量检验控制服务需要通过人工控制实现。具体分析如表3所示。
通过自顶向下的分析进行领域和流程建模,再经过自底向上的已有资产分析,我们基本可确定供应商识别、风险评估、资质授信、采购定价、合同审核、合同签订、付款申请和资金支付可通过信息系统实现自动控制服务,采购计划、合同订立、合同签订、质量检验、取得发票作为人工控制服务。
3.中间对齐分析
中间对齐通过对内部控制目标进行建模,将内部控制目标进行分解并与以上识别和发现的服务进行对比,帮助发现在第一步和第二步建模的过程中是否有遗漏的服务。对采购流程内部控制目标建模如图4所示。
将采购流程内部控制目标与采购流程候选服务列表进行中间对齐后,如表4所示。
A公司采购控制系统
通过表4我们可以发现,在经过中间对齐步骤后,将采购流程内部控制目标与采购流程内部控制候选服务的对比,我们发现在采购实现战略目标和提高经营效率效果目标方面,还需要增加一个采购数据实时监控服务,以保证企业管理当局实时掌握各类采购数据。在会计核算真实完整目标方面,也需要增加支付核算控制服务和应付账款控制服务,以保证财务报告真实完整性目标的实现。
通过对A公司采购控制流程的建模,我们可以初步捋清A公司采购控制的控制点和控制线,而且明确出哪些控制点嵌入到信息系统中、哪些控制点由人工控制,以及人工控制和自动控制之间的关系和流程衔接。综合上述分析,A公司采购控制系统的整体控制过程如图5所示。从图5我们可以看出,A公司采购控制系统由监督平台、人工控制、环思ERP、合同控制、金蝶K3等人工系统和信息系统共同组成,基本达到在信息化环境下充分利用信息系统实现内部控制系统的目标。
四、总结
面向服务方法(SOAD)是在信息化环境下比较适合内部控制系统建设的一种逻辑建模方法。其主要优点是能够基于企业现有的管理系统、制度系统和信息系统,以服务的粒度对控制流程和控制点建模,甄别人工控制点和自动控制点,清晰划分人工控制和自动控制界面,实现人工控制与自动控制的融合和协同。
标签:内部控制论文; 企业流程管理论文; 合同管理论文; 采购合同论文; 业务建模论文; 信息化管理论文; 技术合同论文; 信息化规划论文; 流程优化论文; 控制环境论文; 管理控制论文; 业务管理论文; 内部环境论文; 采购公司论文; 采购流程论文; 建模软件论文; 控制活动论文; 信息安全论文; 资金业务论文;