IT控制是企業內部控制的重要領域。COBIT(信息及相關技術控制目標,Control Objectives for Information and Related Technology)作為一個通用的IT控制框架,已在美國等180多個國家廣泛使用,正逐漸成為事實上的國際標準。COBIT框架以業務為中心、以流程為導向、以控制為基礎、以績效測評為驅動,將企業內部IT相關控制劃分為4個過程域、34個主要控制流程和310多個典型控制活動,以確保IT 與業務保持一致,從而實現IT價值的最大化,同時保證了IT成本的合理確認與分攤。
“DS6-IT成本確認與分攤”屬于COBIT框架(4.1版)中第三個過程域“交付與支持(DS)”中的第6個IT控制流程。從IT治理的角度看,IT成本的確認與分攤流程最關注的是IT治理5大領域中的“資源管理”領域;其次關注的是“價值交付”和“績效測評”兩個領域,該流程主要關注IT成本確認與分攤流程的效率和可靠性。
一、IT成本確認與分攤流程概述
IT成本的確認與分攤流程主要圍繞IT服務的界定、IT成本核算、IT收費和IT成本模型的維護四個活動展開。與企業內其他所有流程一樣,該流程的執行由一名流程所有者全面負責。首先,該流程所有者要識別所有的IT成本,并將它們映射到IT服務中,以支持一個透明的成本模型。將IT服務連接到業務流程中,使得業務部門能夠識別出相關服務成本的受益范圍。其次,IT成本的確認與分攤流程的所有者按照企業成本模型獲取和分攤實際成本,預測與實際成本之間的差異,并按照企業的財務報告體系進行分析和報告。再次,該流程所有者建立和使用基于服務定義的IT成本模型,以支持按服務進行內部收費率的計算。IT成本模型應該確保用戶可以識別、計量和預測服務的收費,促進資源的合理利用。最后,流程所有者定期審查和校準成本、計費模型的適當性,維護不斷發展的業務和IT活動的相關性和適當性。
設立“DS6-IT成本確認與分攤”流程的目標是:使IT滿足業務需求,確保IT成本的透明性與可理解性,并通過使用快速廣泛的IT服務改進業務流程的成本效益。該流程所有者通過關注獲取完整和準確的IT成本,來建立各業務用戶統一、公平的成本分攤體系,并及時報告IT使用和成本分攤等信息。
二、流程控制及其實現
(一)信息流控制
在當今日益復雜的信息化環境下,企業管理層需要不斷搜集簡明、及時的信息,才可能實施恰當、充分的IT成本控制。IT成本的確認與分攤所需信息的來源(輸入)和去處(輸出)如圖1所示。
圖1提供了IT成本信息審計與控制的途徑。系統所有者是IT成本的受益者。IT投資管理中的成本收益報告和IT預算提供了IT成本確認與分攤的直接依據。詳細的項目報告提供了進一步確認和分攤IT成本的基礎。服務水平協議為IT成本確認與分攤提供了合法性、合理性證據。從以上四個信息源,IT成本確認與分攤的流程所有者可以建立或維護合理的IT成本確認與分攤模型,并將IT成本確認與分攤信息傳遞給IT投資管理和IT績效評價部門或人員。
(二)職責分離
實務界通常通過RACI矩陣描述企業流程的職責分離機制。IT成本的確認與分攤中的典型業務活動的RACI矩陣如表1所示。RACI 圖中,R代表Responsible,表示執行;A代表Accountable,表示問責;C代表Consulted,表示協商;I代表Informed,表示告知。
(三)控制目標與測量指標
COBIT的基本特征之一是控制為基礎,該框架依次在三個層次上制定了控制目標及其對應的測量指標。第一層次:IT 目標和指標,定義了業務對 IT 的期望和如何測評;第二層次:流程目標和指標,定義了 IT 流程為了滿足 IT 目標必須交付的服務和如何進行評估;第三層次:活動目標和指標,確定為達到所需性能而采取的流程內活動以及如何測評。IT成本確認與分攤流程設計的三層目標及其對應測量指標如圖2所示。
(四)基于成熟度模型的流程控制評價
對流程能力進行評估是企業內部控制的關鍵要素之一。識別關鍵的IT流程和控制點后,成熟度模型用來識別各個流程成熟度的差別,并向管理層標識差距的具體情況,幫助管理層制定相應的行動方案,提高IT成本確認和分攤流程的效果,使IT更好地滿足企業業務需求:確保IT成本的透明性和可理解性,以及通過IT服務快速廣泛地使用改進成本效益,以期達到期望的成熟度級別。與其他流程一樣,IT成本確認與分攤流程可以出現于0—5的6個級別中,各個級別的關鍵屬性特征闡述如下:
0—無級別:企業管理層完全缺乏任何可識別的流程。組織甚至沒有意識到用于確認和分攤所提供的信息服務的成本。企業管理層甚至沒有傳達任何關于基本的IT成本核算存在有待處理的問題。
1—初始級:企業管理層對信息服務的整體成本有一個大致的了解,但是沒有按照每一用戶、客戶、部門、用戶組、服務功能、項目或可交付的服務對成本進行細分。企業事實上不存在成本監控,僅僅把整體成本報告給管理層。財務部門把IT成本作為一個運行開銷分攤,各業務部門提供有關IT服務成本或效益的所需信息。
2—可重復級:企業管理層對需要確認和分攤的IT成本有一個整體的認識。但是IT成本分攤是基于非正式的或原始的成本假設,如硬件成本,事實上沒有與價值驅動連接起來;成本分攤流程是可重復的,而且,企業對標準的成本確認和分攤程序沒有正式的培訓和傳達,也沒有分配收集和分攤成本的責任。
3—已定義級:財務部已經定義和文檔化了信息服務成本模型。同時定義了將IT成本與提供給用戶的服務聯系起來的流程。財務人員對將IT成本分攤到IT服務有一個適當水平的認識。各業務部門提供成本的原始信息。
4—可管理級:企業管理層已經定義信息服務成本管理的責任和義務,且被各級管理層充分理解,并得到正式的培訓支持。直接和間接的成本被及時和自動確認并報告給管理層、業務流程的所有者和用戶。通常情況下,相關部門對成本進行了監控和評估,并且在發現成本偏離預算時采取了相應的措施。將信息服務成本的報告與業務目標和SLAa聯系起來,并且得到業務流程所有者的監控。財務部門審核成本分攤流程的合理性。有一個自動的成本核算系統,但它更關注性能信息服務功能,而不是業務流程。對成本測量的目標和指標達成了一致,但未得到一致性測量。
5—優化級:所提供的IT服務的成本被識別、收集、總結并報告給管理層、業務流程所有者和所有用戶。成本被識別為可計費項,并支持一個內部服務計費系統,基于用戶的使用情況對提供的服務進行適當的收費。成本的詳細說明支持SLAs。服務成本的監控和評估被用于優化IT資源的成本。獲得的成本數據用于確認組織在預算流程中所實現的效益。通過智能報告系統,信息服務成本的報告對業務需求的變化提供早期預警。由于每個服務的處理量不同,而采用了一個可變的成本模型。基于持續改善和借鑒其他組織的成果,成本管理被細化到一個行業實踐的水平。成本優化是一個持續改進的過程。管理層審核成本管理的目標和指標,并將其作為在重新設計成本測量系統時持續改善流程的一部分。
結論
通過信息流、RACI、控制目標與測量指標,以及成熟度模型四方面的控制和評價,IT成本的確認與分攤流程得到有效管理和控制,從而降低了IT風險,減少了企業內部風險。
【參考文獻】
[1] 中國銀監會.銀行業金融機構信息系統風險管理指引[S].2006.
[2] 中國內部審計協會.信息系統審計準則[S].2008.
[3] http://www.isaca.org/cobit [EB/OL].2010-11-06 .
[4] 陳朝.我國信息化建設中信息系統審計問題研究[D].東北師范大學,2006.
[5] 呂凡.計算機輔助審計研究[D].武漢大學,2005.
[6] 陳婉玲,楊文杰.ISACA 信息系統管理準則及其啟示[J].審計研究,2006(增刊) .
[7] 胡曉明,林娟.COBIT 4.0:解讀與啟示[J].科技管理研究,2007(11) .
[8] 吳炎太.COBIT控制思想在信息系統建設中的應用[J].財會通訊,2009(19).
