基于ＣＯＢＩＴ框架的供应链管理系统内部控制.docxVIP

基于ＣＯＢＩＴ框架的供应链管理系统内部控制 一、供应链管理系统风险 IT的迅猛发展及其在供应链管理系统中的进一步应用带来了层出不穷的新问题，供应链管理系统也不可避免受到其深远的影响， IT环境下的供应链管理系统很难避免非法侵袭，极有可能遭受非法访问甚至黑客或病毒的侵扰。这种攻击可能来自于系统内部，也可能来自系统外部，而且一旦发生将造成巨大损失。 二、供应链管理系统内部控制的目标 供应链管理系统作为企业一个重要的信息系统，为了实现供应链管理系统的控制目标，必须设置各种手段。此外，因为现代企业面临经营环境的不确定性、政府政策修订、市场竞争与IT的发展等各种外部因素可能导致经营活动发生不可预测的变化，加上行为因素也会影响控制系统的效用。所以说，实现控制目标并非易事需要统筹规划、分清主次、掌握原则、全面实施。 COBIT，译为“信息及相关技术控制目标”，是IT治理的一个开放性标准。目前已成为国际上公认的最先进、最权威的信息技术管理和控制的标准。通过实现控制目标，可以保证对组织的IT环境已建立了一套充分的控制机制。所有的控制措施不必在同等程度上满足业务对信息的各种不同需求如：主要、次要、空白。所有的控制措施不必在同等程度上影响各种不同的IT资源。 三、供应链管理系统内部控制域内容 1．供应链管理系统获得和实施控制 供应链管理系统获得和实施控制包含了获得和维护技术设施、开发和维护技术系统等。 （1） 获得和维护技术设施 为满足业务需求的业务应用软件系统提供合适的运行平台,重点要考虑的因素有：硬件设施的标准和未来的应用方向是否符合实际需要；对硬件的评估；安装、维护和变更的控制；升级、切换和移植的计划管理；内部和外部技术设施和资源的使用；确认与硬件供应商的关系以及它们的相应责任；变更管理；硬件设施总拥有成本；系统软件的安全性。COBIT所提出九个方面的考虑覆盖了硬件设施从采购、安装调试到日常维护的整个过程。目前，国内的企业在硬件的采购和安装调试方面往往控制得比较好，但是在系统应用过程中，维护和系统变更等方面没有规范可控的程序去应对。 （2） 开发和维护技术系统 企业对信息系统的依赖性使得业务运行的稳定对系统的敏感性越来越强。系统一方面在给企业的业务运作和管理带来收益的同时，它的复杂性在另一方面也给企业信息系统的管理带来了很大的压力。此时，企业应该把IT管理部门作为一个企业的经营和管理中不可缺少的业务部门来看待。从业务部门管理的角度来看，需要有相应的流程来实现业务需求；从IT部门管理的角度来看，业务就是为系统用户或使用部门提供满足他们业务需求的信息服务，确保信息应用和技术解决手段能够得到很好的利用。 在COBIT中，这种控制体现在企业是否有结构化的手段来制定和开发用户手册、运作流程、服务要求和培训材料等。另外还必须考虑其他方面的因素：业务流程设计，程序的需求与技术交付的同等重要性，开发编制程序的及时性，用户程序和控制，运作管理程序和控制，培训材料，变更管理。 2．供应链管理系统交付和支持控制 供应链管理系统交付和支持控制（Delivery and Support）包含了控制系统安全、数据管理、设施管理等。 （1） 控制系统安全 尽管访问信息时有严格的限制，但是消除这种限制却非常简单，所要做的只是获得一组数字或字母。业务需求除了要求系统从功能上满足外，同时也必须反应出业务运行中的秩序和相应的控制机制。COBIT关注和审核的对象包括：对信息机密程度和有关隐私信息的定义；授权，身份甄别和系统访问的控制；系统用户的识别和授权的相关信息；密钥管理；防火墙的管理等。 （2） 数据管理 数据是信息服务中最基本的组成元素。确保数据在输入、更新和存储过程中的完整性、准确性和有效性是信息服务管理中的核心环节。在这个过程中，COBIT的主要控制目标涵盖了数据的整个生命周期中的不同阶段和特征：它包括数据的格式；源文档的控制、数据输入、处理和输出的控制；数据存储媒质的识别、移动和数据存放点的管理；数据备份和恢复、数据验证和完整性的管理、数据所有权的定义、数据管理政策、数据模型和数据标准、整个系统应用平台上的数据的一致性；以及涉及数据管理的法律和法规要求等。 （3） 设施管理 系统设施的有效管理是IT及时有效交付的保证。在这个过程中，信息服务部门需要提供合适的物理环境来保护IT设备和相关人员免受人为的和非人为的危害。为了确保有效性，COBIT的控制目标就是为了让企业有合适的系统安置环境以及对安置环境有很好的物理控制，并且对定期的控制有效性进行评估。在控制目标的审核中，COBIT重点关注：对设施访问的控制；物