32
附 录B
多视角表示业务流程的内部控制
摘要
控制的过程,其目的是帮助一个组织完成具体的控制目标,是最重要的一个过程,因为它可以决定组织是否符合其内部或外部需求。内部控制从不同的角度出现。目前,专家认为,在一个角度控制周遭的一次,造成效率低下和重复。这个软件工程研究的目的是提出一个多视角代表的内部控制框架,为了获得一个集中和向下按压而全面的内部控制机制。开展这项研究,我们还需要代表了许多不同利益相关者视角的内部控制。基于文献综述的数学和心理分析,我们寻找最适合多视角表示的内部控制,并评估了许多表示选项使用AHP(层次分析法)敏感性分析的方法。这种方法已经被应用到一个研究小组已经称为回答一份问卷。
关键词:业务流程管理;内部控制;多视角控制表示;内部控制视角
1 引言
全球经济环境持续发展和生成义务和约束公司,尤其是那些公开上市。在组织层面、内部控制目标与财务报告的可靠性,及时反馈运营和战略目标的实现和遵守法律法规的建立,建立内部控制是一个过程,涉及的利益相关者的组织,每个国家都有自己的特定的角度(即总经理、会计、信息技术专家,内部审计师,安全人管理器,等等)。这一观点决定的方式选择利益相关者将会影响内部控制的组织的业务流程。在一个典型的组织,我们可以区分的视角最公认的是:管理、安全、审计、合规、质量保证。
这些观点,内部控制专家已经提出了许多国家和国际标准,以及实践操作手册,也被称为最佳实践的框架(例如,ISO 27000安全,COSO组织治理,COBIT对IT治理,会计法规遵循和SOX)协助实施。许多挑战之一采用记录组织流程的内部控制是满足这些需求的许多不同的观点,在一个结构化的方法。尽管意识到内部控制的重要性和最近的研究提案多视角领域的业务流程分析[1],目前还没有方法,有助于实现考虑多个视角的内部控制业务流程表示。如今,内部控制表示通常是太具体,只面向一个角度(例如财务或审计)。这往往导致重复在一个组织的内部控制,这引起了很多不同,通常是不相关或相
33
互矛盾,过程分别表示和维护业务。这在大型组织会加重,受到部门或分支机构之间缺乏沟通,或两者兼而有之。本研究提出开发多视角框架(参见图1)研究问题3代表业务流程控制企业业务流程使用的存储库。
本文的组织结构如下:我们首先提出一个总结内部控制的各种表示方法发表在文学,紧随其后的是一个框架列表选择的建议和我们的选择最适合我们的要求。我们下一个描述一个可能实现初始原型的表示。最后,然后我们现在我们计划的研究活动,以及未来前景改善这个最初的提议。
2 内部控制现有的方法
文献提出了几种方法来解决的问题表示业务流程中的内部控制。这些方法目前只考虑一个利益相关者。在总结这些方法之前,我们介绍了内部控制的概念及其相关概念。
2.1 内部控制的定义
一般来说,一个控制可以被定义为一系列的活动来确保过程是可预测的,稳定的,和以一致的方式操作,或多或少接受利益相关者[16]。这个定义提出了一个通用的概念控制哪些严重依赖于生产和工程领域,流程是,在大多数情况下,可衡量的(与物理指标如温度、压力、负载,等等)。通常,这些控件实时操作[17]。
在商业领域,内部控制是基于相同的概念和它们一样重要在生产和工程领域,除了他们不经常在实时测量。这主要是因为,在生产和工程领域,过程都是短期的和更严格控制的时间流程的业务领域。例如,在一个装配线(生产过程中部分被添加到一个产品以顺序的方式创建一个成品),控制必须迅速作出反应,并报告任何故障的实时监督。否则,该组织可以遭受巨大损失。相比之下,业务领域的内部控制的目的是确保业务流程[15]:结合组织的目标和战略愿景、遵守内部政策、立法或其他外部约束、是有效的和有效的(确保一定程度的质量),运行在一个安全的方式,保护企业的资产。在文学、内部控制分为三个类别[3],根据业务流程级别(战略、组织、或操作):
战略控制确保应用程序组织的政策。
组织控制的框架内运作的战略控制到位;然而,他们是特定于一个特定的实体(项目、产品功能、责任中心、等等)。
操作控制是来自组织的控制,并确保组织经营不断。
34
战略、组织和操作控制关注两个问题:1)按计划实施的策略吗?和2)策略的目的是产生的结果吗?[3]。
几种控制方法(COSO、COBIT CMMI等)应用内部控制的概念,特别是在金融丑闻和欺诈行为,发生在2000年(安然等)和萨班斯奥克斯利法案的引入法案(SOX)[18]。这些方法都是基于实现,需要在一个组织的内部控制,以及这些控件的结构。事实上,这些方法表明,内部控制必须指定:
目的是通过实施内部控制问题。这允许之间的链接,,内部控制和组织的业务目标。 这种情况下的风险,内部控制不是建立或尊重。这使得它可以衡量内部控制的重要性要到位,证明其实现成本。
所有的实践建立内部控制。
如果内部控制是特定于给定的过程,或者通用的一套流程。 谁负责确保内部控制执行效果最佳?
在业务层面内部控制的应用(战略、组织、或操作)。
控制方法指导组织建立内部控制的过程。然而,他们没有描述,从技术上讲,如何建立或调整内部控制具体情况。他们经常提供指导,可以作为总体方向的过程中实现特定的内部控制。每个组织选择适合他们的需求的内部控制,并应用在他们的流程中。
2.2 现有的内部控制方法
在本节中,我们目前文献中存在的内部控制视角,并展示如何将这些观点整合在组织。我们也显示控制的目标如何从一个到另一个角度来看,不同的特征是常见的文学中存在的内部控制方法。
然而,共存的内部控制一个组织有不同的目标,这可能会有所不同从一个角度到另一个地方。例如,内部控制的主要目标从安全角度是保护资产舞弊和不当使用。从内部审计的角度来看,控制的主要目的是测量的一致性程度通过定性措施结果的基础上扩展清单[20],甚至通过将分数与审计证据和调整这些分数根据每个元素的整合[21]。这源自审计活动本身的性质,它被定义为一个控制和咨询活动由领域专家来提高质量和业务流程的整合。为此,审计师需要知道控制是实现业务支持转运和遵从性(或合格)的程度。从质量保证的角度来看,组织有相关的性能和质量等关注他们的流程,鉴于组织和不断增长的的流程和程序的复杂性之间的竞争日趋激烈,企业都在不断寻求采用的质量标准,如ISO9001[22],最佳实践框架,例如CMMI[23],以提高其产品的质量,或质量的
35
方法,如六西格玛(6σ)和精益生产[24]。
纵观所有这些观点,我们看到,大部分文献中公布的过程控制方法是模型驱动的[2,6,14,15,25],即过程控制,当使用图形表示建模组织的业务流程定义。卡里米,沃尔特等。[6,25]提出了模型驱动的方法旨在建立政策和安全控制。这些方法提出了图形化建模的业务流程中的安全控制,有注释,为了让企业和安全专家合作,并在相同的抽象级别定义安全控制。沃尔特等。[25]通过书面的XACML(可扩展访问控制标记语言)的物理安全约束定义在XML中实现了一个声明的访问控制策略语言和处理模型,描述如何根据定义的规则衡量授权请求方式反映这些控件在政策.
图3给出了两个不同的模型驱动方法,其中作者注释中的业务流程[2,11](图3(a))中描述的过程或活动创建特殊形状[12](图3(b)),以图形方式表示的例子内部控制。这些图形表示是后来翻译成一个可执行的脚本,是准备部署的应用服务器(如Apache,JBoss,等)。一旦部署完成,该脚本使用的是模型检测技术验证。
无论使用表示的类型,在文献中发现的内部控制方法不考虑控制的观点。每个控件使用相同的注释,或形状来表示。在这个世界上有许多相互竞争的观点,这使得它很难区分个人的观点,并可能导致利益相关方之间的混乱,当他们参与的组织流程实施内部控制的过程。
在本文的下一部分,我们提出了一个多视角的图形表示,结合许多不同的控制角度尽可能的形式解决这个问题。所提出的方法的基础上通过蒙萨尔韦,Abran[在04月所出版的概念[1],提出了识别利益相关者首选的具体BPM构建一个多视角的BPM符号。在描述中更详细地提出的多维框架,一个合成是必需的目前用于以图形方式表示的分层信息的许多不同的方法(例如内部控制)。
3.层次信息表达途径
信息可视化是一个研究领域,已日益深入人心,近年来。它被定义为抽象数据的交互式可视化表示形式的研究,以加强人类认知。层次信息的可视化构成了一个特定的研究领域,其中的数据是使用树结构来表示。在本节中,我们提出了一个综合的流行层次框架,并试图回答以下问题比较建议:哪个层次框架最适合用于可视化的内部控制的多视角的代表性?
36