1引言
2002年美国国会颁布一系列法案,其中重要的404条款要求在美国上市的国内外公司建立起完善的内部控制体系,并要求在年度报告中对其内部控制体系实施的有效性进行评价,并由会计师事务所对其有效性进行审计并发表意见。上市公司的日常业务运营和财务管理的信息系统是企业运行的重要信息化管理平台,因此信息系统的控制有效性将直接关系到财务报表的准确性和完整性,信息系统的内控有效性也成为内部评价和外部审计的重中之重。与日俱增的在美国上市的国内公司已将IT内部控制的评价和审计作为企业合规工作的重要内容。
2008年5月,财政部联合审计署、银监会、证监会、保监会发布企业内部控制基本规范,并于2010年4月联合发布了企业内部控制配套指引,自2011年1月1日起在境内外同时上市的公司施行,自2012年1月1日起在上海证券交易所、深圳证券交易所施行,择机在创业板和中小企业公司施行,并鼓励非上市的大中型企业提前执行,其中的企业内部控制指引第18号明确提出了对信息系统控制的规范要求,成为我国信息系统内部控制要求的里程碑。
2实现IT内控的标准和方法
根据SOX法案及企业内部控制规范的要求,其最终的控制目标是促进企业有效实施内部控制,利用信息化手段提高现代化管理水平,减少人为因素的操作失误,从而提高信息系统的安全性、可靠性、合理性以及相关信息的保密性、完整性和可用性。
1996年,美国内部控制与审计协会向全球公开发布了业界普遍使用的COBIT(即信息及相关技术控制目标),成为业界普遍遵循的标准之一。COBIT包括4个域、34个IT控制流程和318个详细的控制目标,从规划与组织、获取与实施、交付与支持、监控与评估4个环节进行了有效的风险管理和控制。
英国政府部门CCTA(central computing and TelecommunIcations Agency)在1980年制定了IT基础架构库(Information Technology Infrastructure Library,ITIL),目前由英国商务部OGC(Of gice of Government commerce)负责管理,主要适用于IT服务管理(Information Technology Service management)。ITIL为企业的IT服务管理实践提供了一个客观、严谨、可量化的标准,从而使IT运营管理规范化,IT操作流程规范化。
除此之外,还有一些国内外标准,根据行业、类别不同可供企业参考,如《商业银行信息科技风险管理指引》、ISO 27001等。
3借助IT服务管理(ITSM)平台实现IT内控
IT服务管理平台将ITIL的理论实施到系统平台中,将人员、角色和流程充分融合,并有效分离各职责角色进行系统权限控制,通过申请、上报、审批、实施、后评价等环节进行电子化控制,实现了IT流程的自动流转,将业务部门与IT部门以及IT部门内部之间的流程紧密联系起来,从而有效地实现了IT内控的目标。
IT服务管理平台可以将ITIL与COBIT及相关IT标准的控制点有机结合起来,按照企业的内部IT控制制度要求量身定制,从而满足上市企业的合规要求。ITIL这套标准已经被国内外的很多企业采用,全球已经有上万家企业参考此标准中的管理方法进行IT流程及系统的管理,国内很多企业已经成功实施基于ITIL标准设计的IT服务管理平台系统(如IBM的maximo ITSM以及HP的Openview)。
4 IT服务管理系统的实施应用
4.1背景说明
S集团是一家在美上市的中国公司,业务发展迅速,分子公司众多,IT控制需要满足SOX法案及企业内控规范的要求,然而其各IT系统平台分散,很难实现有效的跟踪和管理。目前IT流程流转是通过打印的纸质文档进行申请和审批,传递和执行效率较低,进度可控性差。另外,随着集团的业务发展,信息系统的开发、新旧系统的切换、数据中心及IT基础架构的建设要求日益增多,没有全国集中的IT运维管理平台,针对IT的运维管理处于被动状态,给信息系统发展及信息技术人员管理带来较大的压力,削弱了IT内控执行有效性。
4.2 系统实施
为了改善上述被动局面,企业决定建立统一的IT服务管理平台,实现事件管理、问题管理、变更管理、发布管理、需求管理、服务请求管理、合规管理的电子化控制。下面针对各管理模块的内容进行简要分析。
4.2.1事件管理
根据集团组织架构的要求,实现了事件管理流程的三级架构(集团、分公司、子公司)管理,可以逐级上报和逐级退回,在每一层级都可以实现事件流程的单独闭环操作。在每个层级可以根据系统分类(如分为财务系统、oa系统、业务系统等)或岗位职责角色(如分为一般用户、服务台、事件分析员、事件经理等)、不同的技术支持组(如分为系统权限维护组、网络维护组、应用系统问题处理组等),不同人员角色根据权限进行操作,互相分离又互相支持,及时有效地处理系统故障,从而保证企业核心业务应用系统的正常运转,实现了事件管理的内部控制目标。此外IT人员还可以根据不同的操作权限通过“事件创建问题”,“事件创建变更”、“事件创建需求”,实现与其他模块的自动流转,提高事件处理效率,规范IT流程操作。
4.2.2问题管理
问题管理用于集中的系统事件的处理,将同类的系统事件进行归集和分类,统一由IT人员分析和处理直至解决。其设计与实现与事件管理流程类似,按照职责权限不同设置为问题分析员和问题经理,问题分析员负责问题的解决和处理,问题经理协调问题管理的进度和时间安排,确保问题在合理的服务管理级别内解决,保障企业信息系统的正常运行,从而实现了问题管理的内部控制目标。
4.2.3变更管理
根据集团组织架构的要求,变更管理实现了集团总部及分子公司层级的变更控制,变更流程包括变更申请、变更构建、变更审批、变更实施和变更关闭,按照各流程环节的角色要求设置了变更请求人、变更受理人、变更实施人、变更经理,并且根据变更的重要程度和紧急程度设置变更顾问委员会和紧急变更委员会,分别负责重大变更的审批和紧急情况下的变更审批,保证了变更管理流程的申请、授权、实施、评价过程的自动控制流转和职责分离,从而实现了变更管理的内部控制目标。
4.2.4发布管理
发布管理主要针对集团信息系统变更后的管理,其主要集中在集团总部信息技术部门,根据组织架构特点,形成了发布创建、发布计划、发布审批、发布构建和发布实施的完整流程。按照各流程环节的不同角色设置了发布请求人、发布受理人、发布实施人、发布审批人,并根据发布的重要程度和紧急程度设置了发布顾问委员会和紧急发布顾问委员会,负责重大发布和紧急发布的审批。发布变更有效保证了程序发布各过程中的职责角色分离和申请授权控制。此外发布管理与变更管理、需求管理及软件生命周期管理平台建立了接口,可以由发布流程创建变更申请,需求的结果是发布实施,当发布实施完成时,对应的需求状态也会同步更新,变更管理中对应的软件生命周期平台中的发布单也进行同步更新,从而有效地实现了系统业务系统需求提出、程序变更、程序开发、程序发布、程序实施完成的控制流转,从而实现了发布管理的内部控制目标。
4.2.5需求管理
需求管理将业务部门与IT部门之间的控制流程紧密结合,实现了从业务部门需求提出、需求审批到信息技术部门审批需求分析的系统控制流转。该流程根据角色和职责要求设置了业务需求申请人、业务需求负责人、信息技术部门需求受理人、需求部门需求审批人,通过对角色职责设置有效进行了审批和授权职责的分离,保障业务需求开发的合理性,从而实现了需求管理的内部控制目标。
4.2.6服务请求管理
该流程可以实现应用系统和IT重要设备等权限或口令的申请、更改的审批授权。根据申请和审批角色不同,设置了服务请求申请人、业务部门负责审批人、服务请求接收协调人、信息技术部门审批人和信息技术部门受理人,从而实现了权限的申请、审批和授权,乃至各级架构的权限审批处理和权限上报审批处理,保障了权限及口令管理的合理性和安全性,实现了服务请求管理的内部控制目标。
4.2.7合规管理
此流程设置了IT人员日常信息系统维护任务,根据各职责角色不同,设置了日常操作人员、日常操作审批人、日常任务管理员。日常任务管理员可以按照集团及各分子公司的日常运维内容和频率进行设置,使系统可以自动产生任务,并设置任务提醒功能,针对IT操作人员任务的执行完成情况由操作人员的上级主管负责审批其执行有效性,确保IT维护人员定期执行巡检任务,保障信息系统运行的有效性,从而实现了合规管理流程的内部控制目标。
通过实施上述各管理模块,不仅实现了ITIL与COBIT相融合的目标,也完成了集团企业组织架构的重新梳理和优化、完成了系统各人员组和人员角色的梳理,保障了人员职责角色在IT内控执行过程中的有效分离,保障了集团及各分子公司信息的一致性,保留了审计痕迹。因此外部审计师和内部审计师可在集团层面通过IT服务管理平台数据对信息系统变更、权限申请、信息系统维护等环节执行有效性进行审计,节约了时间和人力成本,增强了上市公司信息系统合规的执行力度,降低了信息系统控制风险,对保证公司审计报告的有效性起到了积极的作用。
5结束语
企业通过实施IT服务管理平台,能够将其组织及人员架构、职责及IT内部控制流程和制度进行重新整理,建立完善的IT运行维护管理规范,实现IT流程的电子化控制,提高IT运维效率和IT内控整体执行有效性,有效降低了企业的IT合规成本。为上市公司信息技术部门、内部审计人员及企业管理人员提供了IT内控实施的参考案例。
本文作者:冯兴智 来源:E-Works