韩 清
(国网上海市电力公司物资公司 200002)
【摘要】在国网系统内部广泛应用信息化给企业监管带来新的挑战和课题,本文试图以高度集成的信息化软件的自身优势和存在的一些管控问题为切入点,对企业系统数据测试、关注信息系统控制及控制数据、利用日志和关联性充分追溯数据源等环节,开展并探讨企业有效的监管方法。
【关键词】信息化系统 内部控制 企业监管 财务管理
一、引言
目前,在国网公司内部,信息化系统得到广泛应用,越来越多的分公司、子公司通过信息化实施系统,将物流、资金流和信息流高度整合, 信息化系统在数据分析和业务流程管理等方面为企业决策提供了有效的保障和支持,同时,也给企业监管带来了新的挑战,需要企业在实践中深入分析和研究,不断探索有效的监管方法。一方面,信息化系统对企业采购、生产、销售、财务等各个模块集成使用,明确各个业务流程之间的相互牵制和控制等措施,但企业监管的设置和内控制度的完善,在信息化系统内是无法完成的;另一方面,信息化环境下,企业监管的数据来源从单一的财务数据转向采购、销售等业务数据,监管范围和技术性均进一步扩大,增加了企业监管的风险。
二、信息化环境下企业监管面临的困难和挑战
(一)企业信息化监管的难度
1. 监管对象的系统性。从被监管企业来看,这种系统性主要表现为纵向系统和横向系统。纵向系统是指在整个公司内部实时汇集整个公司本部及其基层单位相关信息,从单个企业监管转向关注整个公司在线、实时财务数据的动态。横向系统是指在单个企业内部,电力销售、物资采购、运检与调度、财务等各个职能模块的整合,从传统的财务数据转向企业业务数据,难度增加。
2. 监管数据来源的多元性难度。首先,随着社会公众对监管期望值的增加,日趋关注企业贯彻落实国家宏观政策的情况,这对监管实践关注的重点从财务收支扩大到企业投、融资决策等各个方面。监管信息来源从财务、业务数据进一步扩展到企业会议纪要、收发文等非财务、业务数据信息。其次,企业监督除了对数据本身的合法性、真实性和效益性进行监督之外,还要对产生数据的信息系统的合法性、有效性进行企业监管,难度增加。
3. 监管信息的复杂性。被监管单位往往因为保密和安全的原因不能提前提供数据,获取财务、业务信息往往滞后;又因为人力资源不足,非数据信息的有效获取较难,例如,对企业会议纪要、合同、业务台账等非数据信息在系统内涉及极少。在监管中往往通过人工阅读或在被监管单位的OA 系统中以检索的方式查找涉及监管方面的信息,这种方式比较耗费时间而且极有可能遗漏相关信息,难度增加。
(二)企业信息化监管存在的常见现象
1. 企业监管的时间和人员难以保证。公司信息化程度比较高,所有的管理和业务基本都实现了信息化,所以对应的信息系统非常庞大。监管人员不仅要在监管前期花费大量的时间完成数据采集分析任务,还要在短期内全面了解被监管单位所有信息系统的建设和运行情况,在现有人员配置的情况下,很难保证信息化监管的效果,尤其是各软件本身的操作流程还有后台数据的采集,都对监管人员提出了很高的要求,因此短期内很难完成监督任务。
2. 企业信息系统监管发现的问题难以评价。目前,企业信息化监管已经作为企业内部控制的一部分,对企业信息系统的经济性、可靠性和安全性进行重点检查并予以评价。然而,目前我国缺乏一些信息系统相关的法规和行业标准,因此评价系统比较难。
三、信息化环境下的企业监管重点
信息化系统的监管使企业的内部经营管理环境和内部控制方式发生了变化。相当一部分监管已建立于系统的应用程序中,由系统内自动执行相关检验、核对、判断、监督以及各种功能权限的控制;企业形成了系统控制与管理控制并重、人机控制相结合的综合性控制,内部管理权限的严密性以及关键风险点的设置成为企业监管的重点。
(一)管理制度监管重点
制度管理是企业各信息化系统安全运行、合理高效利用和数据真实完整的重要前提。了解被监管单位各系统相关的管理制度,可以从总体上了解系统的管理运行情况,初步分析信息化系统可能存在的风险控制点。管理制度分析的主要内容如下:
1. 管理制度的完整性。即管理制度是否足够保证信息化系统运行正常,包括三方面:一是对系统管理员和岗位操作员进行管理的人员类管理制度;二是对信息化的业务操作进行管理的流程类管理制度;三是对硬件设施网络设施、应用系统进行管理的技术类管理制度,重点是基础数据和关键数据的录入和审核制度。
2. 管理制度执行的有效性。每项制度的各项规定是否明确、是否具有可操作性,制度之间的相关规定是否统一,每项制度是否得到有效执行。
(二)系统权限监管重点
系统权限主要从信息化系统权限设计与企业的组织架构、各系统角色与权限、各系统用户与角色对应、岗位的职责控制这几个层层递进的方面来进行。各系统一般由财务管理、供应链、人力资源等多个模块高度集成,每一模块都有相应的关键控制点,关注信息化系统权限配置,分析是否存在履行不相容的职责和操作权限。其主要内容如下:
1. 信息化系统权限设计与企业的组织架构、员工职责相结合。信息化系统权限用于系统检查用户操作权限。在各系统用户进行某项操作时,系统需要执行相应事务码对应的功能,该事务码是系统用于检查权限的标识。权限设计是企业整体权限实施的核心,是企业内部控制的基础。
2. 信息化系统各模块划分和权限设置,以及设有期限,重点关注敏感角色的权限配置情况。要有监管系统用户与角色的对应关系表和用户授权结果表,首先需要摸清企业是否应用了超级用户,有哪些人是超级用户,超级用户的权限内容和期限,是否有对应的日志记录可使其被监督;关注拥有多重角色的用户和超级用户。重点监管拥有多重角色的用户的系统权限是否具有可能被逐渐放大甚至有失控的危险,特别关注超级用户是否有可能直接篡改业务数据等行为。
(三)系统运行监管重点
信息化系统运行分析包括运行环境和运维方式两个方面。运行环境是信息化系统运行的载体,信息化运行环境的稳定性、安全性是信息化系统数据信息可靠性的有效保障。运维方式反映了企业的经营规模、安全目标和管理体系的匹配程度。
1. 信息化运行环境的构成监管。主要包括应用软件环境、数据库环境、硬件环境、网络环境、安全环境等,其中重点是数据库环境。信息化运行环境监管,主要是了解信息化系统是集中部署还是分布式部署,是由一套软件系统构成还是多套系统软件构成。
2. 信息化系统日常运维方式监管。主要是监管信息化系统运行中的突发事件和重大问题,解决情况和造成的影响。
(四)业务流程监管重点
信息化系统的业务流程基于企业的业务流程,贯穿企业各种业务的各种管理对象,形成资金流、物流、信息流的变化过程,是信息化系统的核心内容。
1. 获取信息化系统整体业务流程的规划设计文档、业务流程图和数据流图,了解信息化系统整体业务流程和各子系统间业务数据的关系,重点关注企业的业务流程和各子系统之间的数据控制和关联性,以及核心业务流程与法律、法规和制度的符合程度。
2. 了解信息化整体业务流程和各子系统间业务数据的关系,重点关注信息化系统业务流程处理的对象实质是数据,以及各个子系统之间根据企业内部生产经营的业务流程关系,利用数据接口进行与流程相对应的数据共享与处理。如了解到物流系统基础数据中的供应商同时也进入财务管理系统,是应付账款的核算单元,在监管中可以在物流系统中抽取供应商明细表核对应付账款中的往来情况。
四、信息化环境下企业监管有效方法
随着信息系统在上海市电力公司的广泛应用,企业需要全面了解目前常用信息化软件的功能模块结构、设计原理、业务数据处理和流程特点,熟悉软件内部控制的关键控制点,通过分析相关系统控制方面存在的问题,制定企业监管的有效方法。
(一)对各信息化软件系统数据进行测试
在监管实施过程中,可利用信息系统自身的查询、分析等功能进行测试,对获取的数据结果进行分析和评价,与系统自身查询检索得到的数据结果进行对比分析,进而对该系统数据的可靠性、完整性、关联性进行评估,审查有无人为调整数据和有关设置的可能。
(二)对各系统日志进行有效利用
系统日志可以反映操作人员登录、退出和业务操作的过程,能够反映各业务部门职责的设置、审批与复核的情况。通过对日志的监控,可实现不相容岗位和职务的分离以及相关人员的相互制约、相互监督,防止越权操作和舞弊行为的发生。如监管人员通过审查系统日志,可了解到相关人员有无进行越权操作以及该业务是否至少由2 个以上工作人员进行办理。日志为业务操作行为留下记录,是内部控制的重要环节和依据。
(三)全面关注信息系统控制及控制数据
公司各系统根据输入数据、控制数据及处理逻辑自动执行业务处理,使得业务处理高度自动化,企业的运营管理高度依赖信息系统。企业的内部监管方式由内部控制与各信息系统控制紧密结合,内部控制风险很大程度上取决于各信息系统控制的风险。这些重要特征集中体现在:很多内部控制点的控制方法、控制标准已预先制定并嵌入在系统中,这些嵌入系统的控制方法和控制标准一般采用程序代码或各式各样的参数、配置数据等控制数据的形式实现。因此,这些控制数据直接关系着系统控制是否可靠、有效。控制数据分为反映业务处理逻辑的控制数据和反映内控制度的控制数据,对控制数据的检查成为对系统关键控制点检查分析的重要手段。
(四)利用关联性充分追溯数据源
各模块紧密集成,业务流程环环相扣,数据高度融合、共享,数据之间都有着紧密的关联,业务信息与物资、人员、资金信息高度融合,除财务信息外还包括详细的原始业务信息。因此,反映业务活动的数据之间都有着紧密的联系。对各系统数据分析可以直接追溯到各具体业务环节,最大限度地还原每一笔业务的细节信息,从不同角度展现数据之间的关联关系。如物资采购模块中存在以下数据关联:订单、发票、发货单环环相扣,相互追溯;采购过程中发货、开票、付款等业务活动产生的单据和对应的财务模块中的凭证有对应关系,可以相互追溯;物资订单、财务凭证可以直接关联到供应商等主数据。
五、数据挖掘分析在企业监管中的应用
数据挖掘技术应用到企业监管,主要是通过数据挖掘技术方法对监管数据进行处理, 最大限度地去除无用数据,提高分析速度,确保监管数据的真实性、完整性和一致性。主要从数据挖掘的常用分析方法进行分析。
(一)分类分析监管应用
分类分析的主要功能是根据数据的属性将数据分派到不同的组中。在实际应用中,需要运用一定的统计方法从数据库中选出已经分好类的样本数据库进行分析,然后根据数据属性对没有分类的数据进行分类。
(二)聚簇分析监管应用
聚类分析是一组未明确分类的数据,其主要是根据一些聚簇规则(或数据的相似性)把数据按相似特征归成若干类,即“物以类聚”。它的基本要求是属于同一个类别的数据之间相似性尽可能大,而不同类别数据之间相似性尽可能小,从而发现数据的数据属性和分布模式间的规律,找出对数据的描述。也可以通过当年、当月数据与历年数据比较等,分析出被监管单位数据的真实性及准确性。
(三)关联分析监管应用
关联分析主要是发现数据间的相互关系,通过挖掘发现一组数据项与另一组数据项的密切度或关联关系进行分析,并通过对关联数据的分析,检查数据处理是否符合业务逻辑、相关法律法规和内控制度,校验系统内数据的钩稽关系,发现系统控制存在的问题。
(四)序列分析监管应用
序列分析主要发现数据项出现的时间上或序列上的规律,从监督数据库中挖掘出被监管单位正常行为和异常行为的频繁序列模式,发现检查数据之间的前后( 因果) 联系。可以根据历史数据,对序列模式加以运用,如,对具有连续取值特征的凭证号进行空号、断号和重号等情况进行检查,从而查出异常现象。
六、信息化环境下企业监管的建议
1. 后台数据分析和前台业务分析相结合。公司各业务数据往往是海量数据,盲目分析会耗费大量的时间,有目的性的去找出重点字段,重点表,为深入开展数据分析打下坚实的基础,因此,在分析后台数据库数据字典,了解字段含义的同时,必须结合前台业务操作,对整个业务流程有所掌握,才能找出数据库中监管所需。因此,只有将前台业务分析和后台数据分析相结合,才能将企业监管的作用发挥到最大。
2. 业务监管人员和计算机专业人员相结合。目前企业监管中,信息化监管队伍一般由企业监督人员独自组成,而且人员配置较少。因此,只有将计算机专业人员和具有丰富经验的业务监管人员有机结合,对企业的信息系统、数据字典全面了解,让计算机专业尽可能地为业务监管服务,充分发挥企业监管的作用。
3. 数据分析和信息系统、企业内控等监管相结合。企业监管不仅需要从海量的电子数据中挖掘有价值的监管线索,更需要开展企业信息系统的检查,要在识别信息系统风险的基础上,按照信息系统监管对应用控制,一般控制和项目管理的原则,围绕组织管理、开发建设、职责分离、运行维护、安全防范等关键环节,实施监管,将信息系统和数据分析、企业内控等监管相结合,完成在信息化环境下的企业监管,使企业健康、有序地发展。
随着企业信息化建设的不断推进,被监管单位信息系统日趋成熟完善,监管人员要充分了解企业海量各系统数据中蕴含的极其丰富、复杂的信息,全面准确地分析被监管单位的经济活动,仅仅依靠传统的统计分析方法和数据检索查询机制是非常困难的,必须探索和创新信息化的监管方法,从企业信息化监管入手,加强内控风险的薄弱环节,筛选对应的系统数据表,这是数据多视角、多方式结合分析的一种企业监管的有效方法。
[1] 荆霞 , 张金城 , 黄作明. 基于数据挖掘的审计数据分析[J]. 中国管理信息化,2011,14(17).
[2] 王悦. 浅谈会计舞弊在信息化环境下特点及防范[J]. 新财经,2011(6).
[3] 抚苏. 大数据的未来值得期待[J]. 电脑报 ,2013(35).
[4] 维克托·迈尔- 舍尔维恩, 肯尼斯·库克耶.大数据时代[M].杭州:浙江人民出版社,2013.