论文部分内容阅读
摘 要:从企业信息系统集成建设和应用的实际来看,信息系统间接口是出现问题最多的地方,也是内部控制应重点关注的地方。比起单一信息系统,信息系统集成后,内部控制的关注程度和系统并行方案均将发生变化,更增加了信息系统接口的控制设计与实施工作。本文重点就以上三个方面进行了初步的探讨和分析。
关键词: 信息系统 集成 内部控制 接口 并行
一、引言
随着社会经济的发展和企业信息化程度的提高,利用信息系统替代原有手工业务操作,是企业提高工作效率、降低生产和经营成本、增加竞争力不可或缺的手段,但由于信息系统本身的通用性和专业性两者不可兼得,靠单一信息系统无法支撑企业全部业务的运转,不同业务通常采用不同的专业信息系统。因此,一个企业内部多套信息系统并存的情况已经成为一种常态。例如财务部门可能使用金蝶、用友、SAP系统,而物资采购可能使用I2系统,办公有ORACLE或者OA系统等等,当然有条件的企业也可以自行开发业务相应的信息系统,或者在成熟的套件基础上再进行客户化的定制开发。在信息技术不断进步和企业内部需求提升的促进作用下,目前大多数企业已经开始对各现有信息系统进行整合和集成,以达到加快业务间协调运转效率、打破信息孤岛、减少信息冗余、提高业务数据分析应用价值等的目的。同时,企业内部控制也应关注信息系统集成带来的影响,并对现有控制措施进行调整以适应新的业务模式需求。
二、对信息系统内部控制关注程度的变化分析
信息系统内部控制分为信息系统总体控制和信息系统应用控制。信息系统总体控制是指企业信息技术的开发、实施、运行、维护及管理方面的控制。而信息系统的应用控制是指,企业业务管理流程及专业管理流程中影响财务数据的交易处理环节或系统处理环节的控制。企业一般从信息系统需求分析报告出发,将信息系统划分为财务关联信息系统和非财务关联信息系统,其中财务关联信息系统纳入应用控制设计范围内,非财务关联信息系统仅涉及总体控制,不在应用控制设计范围内。在对单一信息系统的财务关联性进行判断时,需要考虑以下三个因素:一是业务的重要性,即是否进行有关重要交易事项的处理;二是对财务数据的影响程度,即是否生成关键的表单或数据直接或间接的作为财务记账的依据;三是业务对该系统的依赖程度,即是否存在相应的计算、检查、核对过程的控制。部分信息系统在通过上述判断后已被划分为非财务关联信息系统,然而通过信息系统集成,该信息系统的重要性有可能发生变化,从而成为财务关联信息系统。举例来说,石油勘探行业的油气水井生产系统,有复杂的计算程序来处理生产数据,但其涉及的油气生产领域不属于内控关注的重要领域,因此作为单一信息系统,油气水井生产系统不属于财务关联信息系统,仅执行信息系统总体控制相关要求,不需开展应用控制层面的设计和实施工作。然而,当油气水井生产系统与ERP系统或财务系统集成后,其油气生产业务数据会自动传递到ERP系统或财务系统,作为成本核算和分摊的依据,将影响生产成本会计科目计算的准确性和完整性,该系统在集成后对财务数据产生直接影响,需要作为财务关联信息系统,应补充完善应用控制层面的控制措施。
三、信息系统间接口数据传输和处理的控制设计
信息系统集成可视为采用系统接口从其他系统自动读取的方式进行信息录入,对于系统接口应单独进行控制设计。在开展接口控制设计工作前,应首先了解系统间接口的实施情况,包括系统间接口的传输方向、是单向传输还是双向传输,以及传输和处理的具体数据信息。在控制设计时,需要重点关注系统间数据映射表维护的完整性和准确性,该环节主要采取的控制方式为自动控制、依赖于系统的手工控制、职责分离控制以及访问控制。其中自動控制包含自动提示未成功上传的数据,以及系统拒绝数据二次上传,以此来避免数据的丢失和重复上传;依赖于系统的手工控制包括定期检查接口传输日志,对于数据类型不匹配的映射关系无法生效,以及数据映射关系生效前需经过适当审核,这些控制措施为系统间数据对照关系的完整性和准确性提供了保证;职责分离控制是指,维护数据映射关系的用户不能拥有审批数据映射关系的权限,访问控制是指,访问接口数据的权限需经过适当授权,这两项权限控制措施可有效的降低利用接口权限分配不当进行舞弊的风险。此外,企业也应加强信息系统间接口的运行维护,尤其是突发问题的及时处理和备案记录。由于不同信息系统的承建单位或团队不同,在信息系统接口应用遇到问题时,往往存在互相扯皮的现象,因此,企业在信息系统集成工作的初期,就应考虑未来信息系统接口的运维方式,建立详细可行的应急预案,在日常运维工作中,应加强对系统接口运行的监控,并通过技术手段提高接口运行的稳定性。同时,业务人员也应严格执行接口日志传输记录的检查工作,以及源系统与目标系统的对账工作,必要时可考虑适当提高检查频率。需要关注的是,企业在制定信息系统集成工作规划时,就应充分考量信息系统接口实施后对原有业务执行效率和效果的提升程度,与接口实施成本之间的关系。信息系统接口实施是一把双刃剑,虽然可以一定程度上提升业务执行的效率和效果,但其也加大了接口本身的运行和维护风险。
四、信息系统并行验证方案的制定
尽管信息系统的自动控制效果和效率远高于人工控制,比如系统自动计算结果、自动比对数据等,但由于信息系统实施时还可能涉及到大量的系统配置工作,该配置工作一般由人工完成,且业务人员在信息系统使用之初也需要有一定学习和适应的过程,因此,在信息系统正式使用前,一般都需要有至少三个月的新旧系统并行期来发现系统配置时可能存在的错误,让业务人员熟悉系统操作。需要指出的是,新旧系统的并行应为实时数据和业务操作的并行,这比利用历史数据批量导入效果更好。在单一信息系统实施时,新旧信息系统并行较为简单。如果原有业务为手工操作,则手工操作与信息系统操作并行即可。如果是使用新信息系统替代原有信息系统,则新旧信息系统之间并行即可。但当信息系统集成后,并行方案将变得比较复杂,需要具体情况具体分析:1.集成的多个信息系统中,仅有部分信息系统被新系统取代,其他信息系统维持不变,此时,接口也将发生变化。简化说明如下:企业在用的A系统和B1系统通过接口进行了集成,此时要实施B2系统替代B1系统,相应的原A系统与B1系统的接口也将被A系统与B2系统的接口所取代。虽然B1系统与B2系统可以进行并行验证,但接口无法并行验证,即A系统无法同时向B1和B2系统传输或读取数据。为了进行系统并行验证,最为理想的是复制A系统,使A系统和B1系统的集成信息系统与A的复制系统和B2系统的集成信息系统进行并行验证。然而,在企业实际操作中,如果A系统的实施本身就很复杂,且覆盖的业务单位非常多,复制A系统用来进行接口的验证往往不符合成本效益原则。作为替代方案,在接口测试并正式启用后,应对实际传输数据进行一定时期(至少为一个月)的复核,确保接口功能可以正常使用。2.当信息系统集成涉及到企业外部,例如供应商、银行等的系统时,由于接口数据传输的特殊性,无论是采用实时数据还是历史数据进行并行将均不可行。例如,企业的资金管理系统如果与银行系统进行了集成,用于支付资金、转账等业务,该业务只能一次完成,不可能重复进行,因此并行方案一般为接口正式启用后,对每笔业务进行复核以检查该接口功能是否可以正常使用。同时,在该接口启用前,需要与外部供应商或银行进行充分沟通,并制定应急预案,一旦接口出现问题后,有可行的回退措施和问题解决方案。
五、结语
信息系统集成程度的提升,既丰富了原有信息系统内部控制的理论和实务操作,也对其是一次极大的挑战,尤其是系统接口的控制设计方面,尽管主要考虑因素和控制设计的原则都是一致的,但不同系统接口实现方式的差异,会导致具体接口控制的形式也不相同。同时,信息系统并行验证方案也将根据系统实施的实际情况有所变化调整。这些还都需要我们在实际工作中不断的探讨和总结。
参考文献:
[1]财政部会计司. 2010 .企业内部控制规范讲解.经济科学出版社,371~384.
关键词: 信息系统 集成 内部控制 接口 并行
一、引言
随着社会经济的发展和企业信息化程度的提高,利用信息系统替代原有手工业务操作,是企业提高工作效率、降低生产和经营成本、增加竞争力不可或缺的手段,但由于信息系统本身的通用性和专业性两者不可兼得,靠单一信息系统无法支撑企业全部业务的运转,不同业务通常采用不同的专业信息系统。因此,一个企业内部多套信息系统并存的情况已经成为一种常态。例如财务部门可能使用金蝶、用友、SAP系统,而物资采购可能使用I2系统,办公有ORACLE或者OA系统等等,当然有条件的企业也可以自行开发业务相应的信息系统,或者在成熟的套件基础上再进行客户化的定制开发。在信息技术不断进步和企业内部需求提升的促进作用下,目前大多数企业已经开始对各现有信息系统进行整合和集成,以达到加快业务间协调运转效率、打破信息孤岛、减少信息冗余、提高业务数据分析应用价值等的目的。同时,企业内部控制也应关注信息系统集成带来的影响,并对现有控制措施进行调整以适应新的业务模式需求。
二、对信息系统内部控制关注程度的变化分析
信息系统内部控制分为信息系统总体控制和信息系统应用控制。信息系统总体控制是指企业信息技术的开发、实施、运行、维护及管理方面的控制。而信息系统的应用控制是指,企业业务管理流程及专业管理流程中影响财务数据的交易处理环节或系统处理环节的控制。企业一般从信息系统需求分析报告出发,将信息系统划分为财务关联信息系统和非财务关联信息系统,其中财务关联信息系统纳入应用控制设计范围内,非财务关联信息系统仅涉及总体控制,不在应用控制设计范围内。在对单一信息系统的财务关联性进行判断时,需要考虑以下三个因素:一是业务的重要性,即是否进行有关重要交易事项的处理;二是对财务数据的影响程度,即是否生成关键的表单或数据直接或间接的作为财务记账的依据;三是业务对该系统的依赖程度,即是否存在相应的计算、检查、核对过程的控制。部分信息系统在通过上述判断后已被划分为非财务关联信息系统,然而通过信息系统集成,该信息系统的重要性有可能发生变化,从而成为财务关联信息系统。举例来说,石油勘探行业的油气水井生产系统,有复杂的计算程序来处理生产数据,但其涉及的油气生产领域不属于内控关注的重要领域,因此作为单一信息系统,油气水井生产系统不属于财务关联信息系统,仅执行信息系统总体控制相关要求,不需开展应用控制层面的设计和实施工作。然而,当油气水井生产系统与ERP系统或财务系统集成后,其油气生产业务数据会自动传递到ERP系统或财务系统,作为成本核算和分摊的依据,将影响生产成本会计科目计算的准确性和完整性,该系统在集成后对财务数据产生直接影响,需要作为财务关联信息系统,应补充完善应用控制层面的控制措施。
三、信息系统间接口数据传输和处理的控制设计
信息系统集成可视为采用系统接口从其他系统自动读取的方式进行信息录入,对于系统接口应单独进行控制设计。在开展接口控制设计工作前,应首先了解系统间接口的实施情况,包括系统间接口的传输方向、是单向传输还是双向传输,以及传输和处理的具体数据信息。在控制设计时,需要重点关注系统间数据映射表维护的完整性和准确性,该环节主要采取的控制方式为自动控制、依赖于系统的手工控制、职责分离控制以及访问控制。其中自動控制包含自动提示未成功上传的数据,以及系统拒绝数据二次上传,以此来避免数据的丢失和重复上传;依赖于系统的手工控制包括定期检查接口传输日志,对于数据类型不匹配的映射关系无法生效,以及数据映射关系生效前需经过适当审核,这些控制措施为系统间数据对照关系的完整性和准确性提供了保证;职责分离控制是指,维护数据映射关系的用户不能拥有审批数据映射关系的权限,访问控制是指,访问接口数据的权限需经过适当授权,这两项权限控制措施可有效的降低利用接口权限分配不当进行舞弊的风险。此外,企业也应加强信息系统间接口的运行维护,尤其是突发问题的及时处理和备案记录。由于不同信息系统的承建单位或团队不同,在信息系统接口应用遇到问题时,往往存在互相扯皮的现象,因此,企业在信息系统集成工作的初期,就应考虑未来信息系统接口的运维方式,建立详细可行的应急预案,在日常运维工作中,应加强对系统接口运行的监控,并通过技术手段提高接口运行的稳定性。同时,业务人员也应严格执行接口日志传输记录的检查工作,以及源系统与目标系统的对账工作,必要时可考虑适当提高检查频率。需要关注的是,企业在制定信息系统集成工作规划时,就应充分考量信息系统接口实施后对原有业务执行效率和效果的提升程度,与接口实施成本之间的关系。信息系统接口实施是一把双刃剑,虽然可以一定程度上提升业务执行的效率和效果,但其也加大了接口本身的运行和维护风险。
四、信息系统并行验证方案的制定
尽管信息系统的自动控制效果和效率远高于人工控制,比如系统自动计算结果、自动比对数据等,但由于信息系统实施时还可能涉及到大量的系统配置工作,该配置工作一般由人工完成,且业务人员在信息系统使用之初也需要有一定学习和适应的过程,因此,在信息系统正式使用前,一般都需要有至少三个月的新旧系统并行期来发现系统配置时可能存在的错误,让业务人员熟悉系统操作。需要指出的是,新旧系统的并行应为实时数据和业务操作的并行,这比利用历史数据批量导入效果更好。在单一信息系统实施时,新旧信息系统并行较为简单。如果原有业务为手工操作,则手工操作与信息系统操作并行即可。如果是使用新信息系统替代原有信息系统,则新旧信息系统之间并行即可。但当信息系统集成后,并行方案将变得比较复杂,需要具体情况具体分析:1.集成的多个信息系统中,仅有部分信息系统被新系统取代,其他信息系统维持不变,此时,接口也将发生变化。简化说明如下:企业在用的A系统和B1系统通过接口进行了集成,此时要实施B2系统替代B1系统,相应的原A系统与B1系统的接口也将被A系统与B2系统的接口所取代。虽然B1系统与B2系统可以进行并行验证,但接口无法并行验证,即A系统无法同时向B1和B2系统传输或读取数据。为了进行系统并行验证,最为理想的是复制A系统,使A系统和B1系统的集成信息系统与A的复制系统和B2系统的集成信息系统进行并行验证。然而,在企业实际操作中,如果A系统的实施本身就很复杂,且覆盖的业务单位非常多,复制A系统用来进行接口的验证往往不符合成本效益原则。作为替代方案,在接口测试并正式启用后,应对实际传输数据进行一定时期(至少为一个月)的复核,确保接口功能可以正常使用。2.当信息系统集成涉及到企业外部,例如供应商、银行等的系统时,由于接口数据传输的特殊性,无论是采用实时数据还是历史数据进行并行将均不可行。例如,企业的资金管理系统如果与银行系统进行了集成,用于支付资金、转账等业务,该业务只能一次完成,不可能重复进行,因此并行方案一般为接口正式启用后,对每笔业务进行复核以检查该接口功能是否可以正常使用。同时,在该接口启用前,需要与外部供应商或银行进行充分沟通,并制定应急预案,一旦接口出现问题后,有可行的回退措施和问题解决方案。
五、结语
信息系统集成程度的提升,既丰富了原有信息系统内部控制的理论和实务操作,也对其是一次极大的挑战,尤其是系统接口的控制设计方面,尽管主要考虑因素和控制设计的原则都是一致的,但不同系统接口实现方式的差异,会导致具体接口控制的形式也不相同。同时,信息系统并行验证方案也将根据系统实施的实际情况有所变化调整。这些还都需要我们在实际工作中不断的探讨和总结。
参考文献:
[1]财政部会计司. 2010 .企业内部控制规范讲解.经济科学出版社,371~384.