对于企业架构(Enterprise Architecture)的定义,目前理论和实务界普遍认为:企业架构是从企业全局的角度审视与信息化相关的业务、信息、技术和应用间的相互作用关系以及这种关系对企业业务流程和功能的影响。美国CIO委员会认为企业架构是一个战略性的信息资源基础,它定义了任务、完成任务所必需的信息和技术,以及为了适应任务需求的改变和采用新技术所导致的迁移过程。 目前主流的企业架构框架包括Zachman框架、联邦总体架构框架FEAF(Federal Enterprise Architecture,FEAF)和TOGAF架构(the open group architecture framework)。企业架构的演进主要沿两条主线:一条是以Zachman框架的基础,开发出的主流架构框架与方法,有EAP、FEAF、TEAF等;另一条是以ISO/IEC 14252为基础开发出的美国国防部的信息管理技术架构框架TAFIM,TOGAF就是基于TAFIM开发的,并基于此框架。美国国防部又进一步开发出了DoDTRM、C4ISR,以及最新的DoDAF。目前,两条企业架构框架的演进线路,逐渐相互融合,架构框架的构成要素与定义架构过程基本趋于相同;同时,不同的行业结合各自行业的特点,根据综合通用的企业架构框架,正在进一步开发具有行业特点的架构标准框架与方法。 根据联邦总体架构框架(FEAF),企业架构主要由两部分内容组成,即业务架构和IT架构,其中IT架构又包括数据架构、应用架构和技术架构三部分。因此,企业架构通常可认为由四个部分组成,即业务架构、数据架构、应用架构和技术架构。 根据企业架构方法,内部控制系统架构主要包括业务架构、应用架构、数据架构和技术架构四个部分。 一、业务架构 业务架构是以企业战略为导向将内部控制相关策略和活动动态落实到企业关键业务功能和流程的表达。结合内部控制整体框架和《企业内部控制基本规范》,围绕内部控制的目标实现,在信息化环境下内部控制系统的业务架构由内控环境、战略控制、管理控制、信息技术和作业控制实现有效整合和集成,以满足内部控制系统的构建要求。本文认为内部控制系统的业务架构主要由内控环境、战略控制、管理控制、信息技术和作业控制等五个层面组成,如图1所示。
从图1来看,内部控制系统业务架构框架图很好地体现了信息化环境下内部控制工程的三项基本原则:(1)战略导向原则。企业实施内部控制的最终目的就是实现战略目标,而战略目标又需要根据内部环境和外部环境来设定。内部控制系统实施是以战略目标为导向进行落实,如果战略目标进行了调整,那么相应的内部控制策略也需要做相应的调整,以保证企业战略的实现。(2)系统集成原则。企业实施内部控制系统需要从整体出发,不仅要实现战略控制到管理控制、作业控制的纵向集成,还要实现资金业务、采购业务、资产管理、销售业务等控制的横向集成。(3)实时控制原则。实时控制是信息化环境下内部控制系统构建的一个基本要求。信息技术作为实现战略控制、管理控制与作业控制之间数据与业务集成的平台和手段,成为支持内部控制策略的上传下达的必要技术手段。 1.内控环境层面 内控环境层面包括内部环境和外部环境。内部环境是指企业实施内部控制的组织架构、企业文化、人力资源等软环境。内部环境的建设是内部控制系统实施的基础,对内部控制相关活动有着广泛的影响。内部环境虽然通过信息技术无法直接实现,但是内部环境与信息化环境之间却互相影响、互相促进。例如在信息化环境下企业组织架构向扁平化发展,企业上下级之间的沟通更为顺畅,企业内部办公自动化、集团即时通讯技术的不断发展,从不同方面促进了企业内部文化的交流和进步。外部环境是指企业外部的政治环境、经济环境、政策环境、舆论环境等。随着全球经济一体化和信息网络的发展,企业外部环境与信息化环境之间也建立紧密的关系。例如企业建立官方网站、发布官方微博,加强了与外部的信息沟通和交流;Internet网购、团购模式的兴起为企业增加了全新的销售渠道等。 2.战略控制层面 为了实现内部控制系统的战略导向,在管理控制层面上增加了一个闭环式的企业战略控制层面。在战略控制层面,通过目标设定、风险分析、风险评估和战略规划形成符合企业发展的战略目标。同时战略规划又与管理控制相关联,通过这一共有环节的有机衔接和互动,将战略规划和管理控制紧密结合在一起。管理控制的相关信息会快捷地反馈到战略控制中去,而战略的变化也会动态地传导到管理控制的战略计划和调整,这就使得企业战略目标自成为内部控制系统实施的目标导向和组成部分。 3.管理控制层面 在管理控制层面,根据战略规划的目标,需要制定内部控制的计划并执行,通过信息传递这一环节下达到作业控制的各具体业务中。管理控制也通过信息传递采集作业控制中的相关作业数据,以实现对内部控制执行情况的实时监控,如出现控制目标的偏离实时通过计划执行进行调整,对于重大调整可能需要上报战略控制层,必要时需要调整相关战略,以适应企业运营的动态环境。