一、引言 在全球经济一体化建立和资本流动加速的背景下,国内外竞争日益加剧,经营的潜在风险趋向多元化。尤其在全球经济复苏缓慢且不稳定,欧洲主权债务危机的阴霾仍然未消除的形势下,这些风险带来的不确定性对企业的内部控制和风险管理提出了更高的要求。事实证明,只有建立和实施科学的内部控制系统,才能提升企业风险防范能力,实现企业可持续发展战略。 内部控制系统实施过程中的核心工作之一是对企业正在运行的控制流程和控制点进行建模。所谓建模就是为了理解事物而对事物做出的一种抽象,是对事物的一种无歧义的书面描述。在手工环境下,面向流程建模方法是企业内控实施人员或内审人员最常用的建模方法之一。通过对企业内部控制流程建模,梳理内控风险点和控制缺陷,提出企业内控整改策略。 在信息技术高速发展的今天,充分利用信息技术实施内部控制系统已经成为一种趋势。在信息化环境下内部控制系统并未发生本质的变化,它是以信息资源和信息技术为主要工具,由董事会、管理层和其他人员共同实施的,基于企业的风险管理与内部控制运动,由人、信息设备和控制制度组成的人机一体化监控系统。在信息化环境下内部控制系统建模的重点是要充分考虑企业已有的制度系统和信息系统,划分人工控制和自动控制界面,甄别人工控制点和自动控制点。所建立的模型中要能够表达诸如控制流程中哪些控制点可以信息化、哪些控制点不能信息化、企业现有信息系统已经嵌入了哪些控制点、哪些控制流程需要人工控制与自动控制协同等此类问题。因此仅仅应用面向流程方法是远远不够的,还需要运用更优的建模方法进行相关的分析与建模。 本文拟采用面向服务方法学(SOAD,Service-Oriented Analysis and Design)对内部控制系统进行建模,试图摸索在信息化环境下内部控制系统建模的方法和思路,并以A上市公司实施内部控制系统为例进行分析与总结,以期能够为希望借助信息技术实施内部控制系统的企业提供一些经验和借鉴。 二、面向服务方法学(SOAD)的主要内容及思想内核 面向服务方法学(SOAD)起源于面向服务架构(SOA)的广泛应用。面向服务架构(SOA)最早是从软件体系结构的角度提出的一种架构风格,区别于DCOM、CORBA等分布式计算架构。进入21世纪以来,随着Internet技术高速发展,Web service、XML等技术广泛应用,在微软、IBM等厂商不遗余力的推崇下,面向服务架构(SOA)已经成为企业应用的核心概念之一。面向服务架构(SOA)逐步发展成包含运行环境、编程模型、架构风格和相关方法论等在内的一整套新的分布式软件系统构造方法和环境,涵盖服务的整个生命周期,包括建模、开发、整合、部署、运行和管理。 (一)服务(Service)的定义和特征分析 服务(Service)的一般解释是向消费者提供旨在满足对方特定需求的一种活动。《辞海》给出的解释为:履行职务,为大家做事。因此,从广义上讲,服务是提供者为消费者完成工作的活动或过程。在面向服务架构(SOA)方法论里,服务是面向服务分析和设计的最小单位,它可以是一个活动或一个流程。 综合理论界和实务界的研究与探讨,关于面向服务方法学中对服务的定义有很多种,其中典型的归纳如下:W3C将服务定义为服务提供者完成一组工作,为服务使用者交付所需的最终成果,最终结果通常会使使用者的状态发生变化,但也可能使提供者的状态改变,或者双方发生变化(Nicolai,2008)。叶钰等(2005)认为服务是一个粗粒度、可发现的软件实体,它以一个单独的实例存在,并通过一组松散的耦合和基于消息的模型与其他的应用或服务交互。Endrei等(2004)认为服务是一个逻辑实体,由一个或多个已发布的接口定义的契约组成。邢少敏等(2008)认为服务包含一个合约、一个或多个接口和一个实现。 (二)面向服务建模(SOM) 面向服务建模(SOM)是指通过业务领域和现有系统分析识别全局业务模型下可能存在的服务,确定合理的服务粒度。面向服务建模(SOM)的结构是以一个服务列表作为服务候选者,展示了当前业务领域下业务模型的所有合理业务拆分。主要采用自上而下、自下而上和中间对齐的步骤和方法得到服务候选者列表。 1.自上而下(领域分解) 自上而下是指从业务着手进行分析,将业务进行领域分解和流程分解,将业务流程分解成子流程或者业务活动,逐级进行,直到每个业务活动都是具备业务含义的最小单元。流程分解得到的业务活动树上的每一个节点,都是可能的服务抽取点,所有节点构成了服务候选者列表。服务候选者列表经过划分,最终形成层次化的服务目录。 2.自下而上(已有资产分析) 自下而上是指利用已有资产来发现和识别服务,已有资产包括:已有系统、套装或定制应用、行业规范或业务模型等。对已有资产的业务功能、技术平台、架构及实现方式的分析,除了能够验证服务候选者或者发现新的服务候选者,还能够通过分析已有系统、套装或定制应用的技术局限性,尽早验证服务实现决策的可行性,为服务实现决策提供重要的依据。 3.中间对齐(业务目标建模) 中间对齐是帮助发现与业务对齐的服务,并确保关键的服务在流程分解和已有资产分析的过程中没有被遗漏。业务目标建模将业务目标分解成子目标,然后分析哪些服务是用来实现这些子目标的。在这个过程中,为了可以度量这些服务的执行情况并进而评估业务目标,我们会发现关键业务指标、度量值和相关的业务事件。
