基于企業架構視角的內部控制系統模型研究

周衛華

學術研究

基于企業架構視角的內部控制系統模型研究

周衛華

一、引言

《內部控制基本規范》及配套指引全面實施以來，在一定程度上將促進我國企業的穩定健康發展。但是從目前內部控制實施效果來看，我國上市公司內部控制建設的整體水平仍然不高。本文認為，內部控制作為一個復雜的系統，首先要從整體的角度出發規劃內部控制系統藍圖，并確保嵌入到企業整體運行系統中，才能獲得較好的設計與運行效果。尤其是在信息化環境下，內部控制需要利用信息資源和信息技術工具，實現傳統環境下無法實現的一些控制模式，達到內部控制的轉化、集成和提升。利用企業架構（EA）方法來對內部控制系統模型進行規劃和設計，可以防止內部控制凌駕于企業管理之上，實現內部控制與企業管理相融合，并最終成為企業管理中的重要部分。

二、企業架構的相關概念及主要內容

（一）企業架構的相關概念

架構（Architecture）一詞最初來源于建筑行業，是指通過一系列構件的組合來承載上層傳遞的壓力。上世紀90年代，架構（Architecture）的概念首次被引用到IT行業中來，作為軟件系統建設和軟件開發人員提供指導的一種框架。企業架構（Enterprise Architecture）的概念最早由美國學者John Zachman提出，1987年他發表“企業及信息系統架構的框架”（the Framework for Enterprise Architecture and Information System Architecture）一文，開創性地認為由于信息系統實施的復雜性和規模的擴大，在定義和控制信息系統所有組成部分的整合和界面時，必須使用某種邏輯構建（Logical Construct）或架構（Architecture）。1997年在總結了十年間的研究與實踐基礎上，他提出了擴充的、更完整的框架，并改稱為“企業架構框架”（Framework for Enterprise Architecture）。

對于企業架構的定義，目前理論和實務界普遍認為：企業架構是從企業全局的角度審視與信息化相關的業務、信息、技術和應用間的相互作用關系以及這種關系對企業業務流程和功能的影響（王武魁，2006）。美國CIO委員會認為企業架構是一個戰略性的信息資源基礎，它定義了任務、完成任務所必需的信息和技術，以及為了適應任務需求的改變和采用新技術所導致的遷移過程。

目前主流的企業架構框架包括Zachman框架、聯邦總體架構框架FEAF（Federal Enterprise Architecture，FEAF）和TOGAF架構（the open group architecture framework）。企業架構的演進主要沿兩條主線：一條是以Zachman 框架的基礎，開發出的主流架構框架與方法，有EAP、FEAF、TEAF等；另一條是以ISO/IEC 14252為基礎開發出的美國國防部的信息管理技術架構框架TAFIM，TOGAF就是基于TAFIM開發的，并基于此框架。美國國防部又進一步開發出了DoDTRM、C4ISR，以及最新的DoDAF。目前，兩條企業架構框架的演進線路，逐漸相互融合，架構框架的構成要素與定義架構過程基本趨于相同；同時，不同的行業結合各自行業的特點，根據綜合通用的企業架構框架，正在進一步開發具有行業特點的架構標準框架與方法。

（二）企業架構的主要內容

根據聯邦總體架構框架（FEAF），企業架構主要由兩部分內容組成，即業務架構和IT架構，其中IT架構又包括數據架構、應用架構和技術架構三部分。因此，企業架構通常可認為由四個部分組成，即業務架構、數據架構、應用架構和技術架構。

1.業務架構是企業架構的基礎

業務架構是企業關鍵業務戰略以及它們對業務功能和流程的影響的表達，包含企業業務模式、組織結構、業務流程等。業務模式是企業創造價值的核心業務邏輯，包括核心業務的組合及相互的關系。組織結構是企業的骨架系統，是企業的運籌體系和實現戰略的手段。業務流程是企業價值產出過程，是企業內部水平方向上的管理線路。

2.數據架構是企業架構的核心

企業數據一般有兩種類型，一類是結構化數據，即能夠用數字或統一的數學模型加以描述的數據，結構化數據是企業應用系統管理的核心數據資源；另一種類型是非結構化數據，即各種類型的文檔，如企業各部門管理制度規范、項目或技術文檔等。數據架構是在整個企業層面分析結構化數據類型和數據之間的關系，以及通過數據與業務間的關系分析數據在應用系統中的創建源頭與引用關系。數據架構從信息技術和數據管理層面，對未來數據資源在不同層面進行規劃和建立標準，使得數據在管理和使用方面有章可循，這些數據方面的標準和共識，將用于對具體項目實施的設計決策。建立數據架構可以保障數據的穩定性、一致性、及時性、保密性和安全性，從而確保高質量、準確和完整的數據，同時充分地支持應用，靈活適應業務和技術的變化，使數據資源能夠有效地共享和使用，以真正成為企業的資產。

3.應用架構是企業信息技術規劃的縮影

應用架構是根據企業的業務能力要求，從整體上描述應用系統的部署和相互之間的關系，明確每個應用系統的定位和目標，提高資源利用效率，提升資源整合價值，快速、靈活、低成本地支持業務的發展。應用架構不僅能夠連接業務架構中的職能、流程、組織，還能連接數據架構中數據的管理和使用，并且對信息基礎設施提出具體的要求。

4.技術架構是數據和應用的支撐

技術架構是支撐應用與數據的基礎結構，是一系列技術和組件，以及相應標準的集合。技術架構規劃是根據數據與應用對信息技術基礎環境的要求，基于當前技術基礎結構的基礎，定義未來技術基礎結構，并對技術基礎結構的構成元素、技術模型和產品選型進行細化說明，最終形成企業信息技術標準。

本文借鑒聯邦總體架構框架（FEAF）的方法對內部控制系統架構展開研究。

三、內部控制系統架構建模的必要性和可行性分析

根據企業架構的理論與方法分析，本文認為內部控制系統架構是指從企業模型全局的角度研究內部控制系統整體規劃，明確內部控制系統與信息化相關的業務、信息、技術和應用間的相互作用關系，建立人工控制與自動控制的映射關系，勾勒人工控制與自動控制的邊界，實現人機一體化的統馭控制。內部控制系統架構作為企業架構的一部分，規劃企業內部控制系統的藍圖，研究內部控制系統的建設路徑，為內部控制系統實施提供全面指導。根據企業架構方法，內部控制系統架構主要包括業務架構、應用架構、數據架構和技術架構四個部分。

（一）內部控制系統架構建模的必要性

1.內部控制系統架構是內部控制向管理控制發展的必然結果

從內部控制的理論研究和實踐探索來看，內部控制正在由會計審計意義上的內部控制向管理學意義上的內部控制發展，其概念外延逐漸擴大，涵蓋的內容日益增多，已經覆蓋到企業管理控制的各個方面，幾乎是管理控制的同義詞。因此內部控制系統的實施和落實必須從企業管理控制的層次出發，不能再局限于會計控制或財務報告控制等。也就是說，內部控制不再是一種局部控制，而是一種全局控制。因此，從范圍來看內部控制系統需要一個整體架構，如果還是從局部角度去理解和實施內部控制系統，則很難滿足內部控制的發展要求，也容易與企業當前運行的管理控制系統發生沖突。

2.內部控制系統架構是內部控制系統建設的必由之路

從內部控制發展角度來看，信息技術和信息系統作為內部控制實施的支撐不僅已經成為理論界和實務界的一種共識，而且在法規和制度層面也提出了相應的要求。但是由于內部控制的內涵、內容和范圍不斷膨脹，將內部控制與信息技術相結合加強內部控制實效，已成為內部控制系統實施最復雜的方法。本文認為，亟需研究制定內部控制系統架構，以解答在信息化環境下哪些內部控制可以通過信息技術實現、哪些內部控制需要人工和信息技術共同實現、哪些內部控制只能由人工完成以及內部控制各模塊之間的關系是什么等諸多問題。只有理清以上相關問題之后，才能明確內部控制系統實施的目標，保證內部控制系統發揮最大作用。

3.內部控制系統架構是管理層、內控實施人員、信息技術人員理解和溝通的基礎

從管理系統實施經驗來看，在信息化環境下內部控制系統實施不僅需要管理當局的支持，而且需要實施人員與信息技術人員的相互配合。內部控制系統架構正好成為企業管理當局、實施人員和信息技術人員理解和溝通的平臺，其建立了從業務到應用、從應用到數據和技術的映射關系，起到了內部控制與信息技術之間的橋梁作用。同時，內部控制系統架構作為企業架構的一部分，將融合到企業架構中去，與企業管理系統有效集成，從而實現內部控制與企業管理的互融互通。只有當內部控制作為企業管理的一部分后，內部控制系統才能顯現出最佳的效果。

（二）內部控制系統架構建模的可行性

1.企業管理進入到企業架構新時代

企業架構思想在由John Zachma 在1987年提出以后，經過二十多年的發展，其應用已日臻成熟。目前福布斯全球排名前50的企業有80%已經應用TOGAF等企業架構框架 ，并通過企業架構理論及其開發方法論（ADM）定義企業愿景、目標、組織架構、職能角色、IT架構等，成為企業戰略規定的最佳實踐指引。雖然企業架構思想在我國起步較晚，但是隨著我國經濟高速發展和全球一體化進程，目前企業架構已經進入到我國企業信息化領域。2009年The Open Group中國分會正式成立，吸納了我國大型企業及IT廠商作為會員，逐步開展相關的培訓和論壇活動，推動企業架構理念的傳播。

2.面向服務架構（SOA）已成為企業架構實施的主要技術手段

面向服務架構（Serviceoriented Architecture，SOA）是指為了解決在Internet環境下業務集成的需要，通過連接能完成特定任務的獨立功能實體實現的一種軟件體系結構。企業架構如同戰略規劃，可以幫助企業執行業務戰略規劃及IT戰略規劃。目前企業架構與面向服務架構（SOA）的融合發展正成為企業信息化領域的發展趨勢。按照Gartner的預測，面向服務架構將成為占有絕對優勢的軟件工程實踐方法，它將結束傳統的整體軟件體系架構長達40年的統治地位，并逐步成為企業應用信息化的架構標準（王立彥、張繼東，2007）。通過面向服務架構（SOA）的應用，企業在依據企業架構框架進行業務架構規劃時，就可以為技術架構實現面向服務的方式提供鋪墊，使之能夠建立符合標準、易于擴展而且面向服務的應用架構。

綜上所述，企業架構在方法論體系和具體技術環節上已經日趨成熟，內部控制系統架構完全可以借鑒企業架構的理論和方法進行構建，不僅可以實現內部控制總體規劃，保障內部控制整體效果，而且可以作為企業管理系統的一部分，以有效集成到企業架構中，確保內部控制系統架構符合企業戰略目標和整體規劃。

圖1　信息化環境下內部控制系統業務架構框架圖

四、內部控制系統架構的建模過程

根據企業架構方法，內部控制系統架構主要包括業務架構、應用架構、數據架構和技術架構四個部分。

（一）業務架構

業務架構是以企業戰略為導向將內部控制相關策略和活動動態落實到企業關鍵業務功能和流程的表達。結合內部控制整體框架和《企業內部控制基本規范》，圍繞內部控制的目標實現，在信息化環境下內部控制系統的業務架構由內控環境、戰略控制、管理控制、信息技術和作業控制實現有效整合和集成，以滿足內部控制系統的構建要求。本文認為內部控制系統的業務架構主要由內控環境、戰略控制、管理控制、信息技術和作業控制等五個層面組成，如圖1所示。

從圖1來看，內部控制系統業務架構框架圖很好地體現了信息化環境下內部控制工程的三項基本原則：（1）戰略導向原則。企業實施內部控制的最終目的就是實現戰略目標，而戰略目標又需要根據內部環境和外部環境來設定。內部控制系統實施是以戰略目標為導向進行落實，如果戰略目標進行了調整，那么相應的內部控制策略也需要做相應的調整，以保證企業戰略的實現。（2）系統集成原則。企業實施內部控制系統需要從整體出發，不僅要實現戰略控制到管理控制、作業控制的縱向集成，還要實現資金業務、采購業務、資產管理、銷售業務等控制的橫向集成。（3）實時控制原則。實時控制是信息化環境下內部控制系統構建的一個基本要求。信息技術作為實現戰略控制、管理控制與作業控制之間數據與業務集成的平臺和手段，成為支持內部控制策略的上傳下達的必要技術手段。

1.內控環境層面

內控環境層面包括內部環境和外部環境。內部環境是指企業實施內部控制的組織架構、企業文化、人力資源等軟環境。內部環境的建設是內部控制系統實施的基礎，對內部控制相關活動有著廣泛的影響。內部環境雖然通過信息技術無法直接實現，但是內部環境與信息化環境之間卻互相影響、互相促進。例如在信息化環境下企業組織架構向扁平化發展，企業上下級之間的溝通更為順暢，企業內部辦公自動化、集團即時通訊技術的不斷發展，從不同方面促進了企業內部文化的交流和進步。外部環境是指企業外部的政治環境、經濟環境、政策環境、輿論環境等。隨著全球經濟一體化和信息網絡的發展，企業外部環境與信息化環境之間也建立緊密的關系。例如企業建立官方網站、發布官方微博，加強了與外部的信息溝通和交流；Internet網購、團購模式的興起為企業增加了全新的銷售渠道等。

2.戰略控制層面

為了實現內部控制系統的戰略導向，在管理控制層面上增加了一個閉環式的企業戰略控制層面。在戰略控制層面，通過目標設定、風險分析、風險評估和戰略規劃形成符合企業發展的戰略目標。同時戰略規劃又與管理控制相關聯，通過這一共有環節的有機銜接和互動，將戰略規劃和管理控制緊密結合在一起。管理控制的相關信息會快捷地反饋到戰略控制中去，而戰略的變化也會動態地傳導到管理控制的戰略計劃和調整，這就使得企業戰略目標自成為內部控制系統實施的目標導向和組成部分。

3.管理控制層面

在管理控制層面，根據戰略規劃的目標，需要制定內部控制的計劃并執行，通過信息傳遞這一環節下達到作業控制的各具體業務中。管理控制也通過信息傳遞采集作業控制中的相關作業數據，以實現對內部控制執行情況的實時監控，如出現控制目標的偏離實時通過計劃執行進行調整，對于重大調整可能需要上報戰略控制層，必要時需要調整相關戰略，以適應企業運營的動態環境。

4.信息技術層面

信息技術層面作為內部控制系統的支撐，連接著管理控制層面和作業控制層面。從信息化環境下內部控制系統實施的目標來看，內部控制要發揮作用，有兩點非常重要：一是企業戰略可能隨經營環境的變化進行動態調整，其調整變化應及時反饋到企業內部控制中去；二是企業信息的輸入、輸出和反饋、控制是實時的和動態的。要做到以上兩點，只有建立在信息技術的支撐之上才能實現。

信息技術層面對內部控制系統的支撐作用具體體現在以下四個方面：一是支撐戰略控制的決策支持功能的實現，通過數據倉庫（DW）、數據挖掘（DM）等商業智能技術的應用為管理決策提供更有價值的信息；二是支撐管理控制層面各環節的動態運轉和動態功能的實現；三是支撐業務控制層面各項具體業務控制系統的運轉；四是支撐內部控制系統與其他核心業務系統的整合，無縫連接內部控制系統和業務運營系統的流程和數據集成。信息技術作為內部控制的一種技術層面，在管理控制與作業控制之間能夠起到承上啟下的作用，主要在管理控制與作業控制的銜接上能夠發揮積極作用。

5.作業控制層面

在作業控制層面，通過信息技術的支撐和連接，將管理控制過程與資金管理、資產管理、銷售管理、采購管理、合同管理、外包管理等核心的業務功能整合在一起，追求整體效率和效益的提高，使企業在物流、資金流和信息流高度統一。在日常的業務管理中實現戰略目標和實時控制，以適應柔性生產、扁平化管理和產品個性化的市場要求。通過這種整合，一方面保證內部控制系統的深度、廣度和實時性，另一方面真正實現了事前計劃、事中控制和事后反饋的全過程管理。

（二）應用架構

應用架構是內部控制系統內部各子系統的定位和目標以及與其他核心業務系統相互之間的關系的表達。內部控制系統是為了實現一定的內部控制目標，由所有相互作用、相互依賴的控制要素按照一定的規則和結構結合在一起，形成的具有特定功能的有機整體（王海林，2008）。由于內部控制的復雜性，內部控制系統不能實現完全自動控制，而是人工控制和自動控制相結合的系統，也可以認為是半自動控制系統。另外，內部控制系統并非全部獨立存在，其部分模塊和功能需要融合到其他核心業務系統中，以實現最佳的控制效果。王海林（2008）在探討IT環境下企業內部控制模式中，指出內部控制系統應該包括標準系統、風險分析系統、診斷系統和交互控制系統四大要素。張瑞君（2008）提出IT環境下實時內部控制系統至少應包括探測器、分析器、執行器和受控對象等基本要素。

根據現代控制理論，本文構建了內部控制系統的應用架構，如圖2所示。

圖2　信息環境下內部控制系統應用架構圖

根據圖2所示，在信息化環境下內部控制系統由采集系統、規則庫系統、風險分析系統、控制系統、監督系統、決策系統、數據倉庫等組成，通過信息流和控制流與HR系統、SCM系統、ERP系統、CRM系統、AIS系統、OA系統等核心業務系統進行集成。信息化環境為內部控制系統提供了實時獲取信息、存儲信息、傳遞信息的技術環境，其由操作平臺、信息網絡、數據庫和計算機設備構成。

1.控制對象

內部控制系統的控制對象是企業價值鏈上的經營活動或者業務流程。業務流程是由一個個業務活動組成的，其目的是實現戰略目標，向客戶提供價值。因此控制對象既包括經營管理中的全部活動，也包括單一具體活動，如采購材料、資產管理、銷售商品、費用報銷、擔保審核等。業務流程內嵌于HR系統、SCM系統、ERP系統、CRM系統、AIS系統、OA系統等核心業務系統中，通過物流和資金流的流動形成對應的信息流。

2.采集系統

在常規的預習中，學生往往只是通讀課本，并不是帶著問題去預習，也就失去了思考的意識。為此在預習方案的設計中，要注意引導學生改瀏覽型為思考型，使預習成為有意義預習。因此在預習方案中，可以把預習方案設計為知識回顧—問題引出—新課的自我論證—利用新知解決問題四個環節。通過知識回顧環節可以為學生的獨立思考提供知識儲備；在問題引入環節，通過問題的設計，可以讓學生明白本節課學習那些內容，使學生帶著思考去預習，逐步形成獨立思考意識；在新課的自我論證及利用新知解決問的環節，可以提出一些淺顯易懂的問題讓學生能夠利用以往的知識，通過自己的獨立思考及初步總結能夠完成，讓學生獲得成功的體驗，提高學習的興趣。

采集系統是收集控制對象行動結果信息的子系統，其基本功能是在企業經營活動中，實時采集和獲取企業經營過程產生的信息，按照一定的處理規則加工和處理，并按照特定的格式保存在數據倉庫中，為風險分析系統提供數據支持。采集系統采集信息的過程是全自動的，既包括會計信息也包括業務信息。由于采集信息的速度和數量直接影響到控制的效率和質量，在信息化環境下應確定采集的內容，以保證采集經營活動信息的深度、廣度和及時性。

3.規則庫系統

規則庫系統是內部控制標準、規范、框架和制度所規定的控制指令和程序組成的數據庫。按照規則的結構劃分，控制規則分為結構化規則和非結構化規則。結構化規則可以用結構化語言描述，并可嵌入信息系統中支持自動控制。非結構化規則如道德規范等沒有嚴格的評判標準，不同人可以有不同的理解，因此控制過程中需要人為參與。

4.風險分析系統

風險是致使企業管理過程中不能達到內部控制目標的干擾要素。風險分析系統通過對采集系統實時獲取的信息進行分析和評估，根據規則庫系統判斷業務流程存在的風險，以明確什么可以做，什么不可以做，并將控制信息傳達給控制系統。風險分析系統的工作原理是將數據庫中提取的反應經營活動的實際信息與規則庫系統中的控制標準或控制準則進行對比分析，如果控制對象偏離了既定的準則和標準，則告訴控制系統阻止該經濟業務繼續進行或提示該經濟業務已偏離了既定的準則和標準。

5.控制系統

控制系統是執行內部控制活動的人機交互系統。控制系統根據風險分析系統反饋的控制指令，由管理者在其控制權限內對發生的經濟業務進行控制。控制指令分為柔性控制和剛性控制，柔性控制是非結構化控制規則的實現，剛性控制是結構化控制規則的實現。在柔性控制情況下，系統通過自動提示的方式提醒管理者參與控制過程，由管理者完成偏差的消除。在剛性控制情況下，系統直接阻止經濟業務的進行，以達到自動控制的目的。

6.監督系統

監督系統是內部控制執行過程中產生的數據和結果進行監測和督察的過程。監督系統將企業經營活動的結果與企業戰略決策進行比對，并定期將比對結果上報企業管理當局，分析內部控制的效果，以便于企業管理當局及時調整內部控制政策，適應不斷變化的內外部環境。

圖3　信息化環境下內部控制系統數據架構圖

決策系統是在監督系統的基礎上通過應用數據挖掘（DW）、聯機數據分析（OLAP）等輔助決策技術，為企業管理當局在內部控制決策過程中提供必要的數據支持。決策系統是企業管理當局實施戰略控制的支撐系統，其通過企業的長期規劃和決策指標制定控制標準，并結合實際運行過程中的數據分析，及時做出控制標準制定和調整決策。

（三）數據架構

數據架構的目標為建立數據模型和管理規則，是內部控制系統的應用與管理的基礎。內部控制系統數據架構基于企業內部控制規范和相關標準進行設計，通過技術架構進行開發實現。內部控制系統數據模型包括概念數據模型、邏輯數據模型和物理數據模型。概念數據模型是一個高層次的數據模型，它定義了重要的業務概念和彼此的關系，由核心的數據實體或其集合以及實體間的業務關系組成。邏輯數據模型是對概念數據模型的進一步分解和細化，描述實體、屬性及其實體關系，一般遵從“第三范式”以達到最小的數據冗余。物理數據模型描述模型實體的細節，對數據冗余與性能進行平衡，需要考慮所使用的數據庫產品、字段類型、長度、索引等因素，以確定數據庫平臺和應用程序的架構。在企業內部控制基本規范及配套指引的指導下，通過分析十八項內部控制配套指引的具體內容，構建內部控制系統概念數據模型，如圖3所示。

1.內部控制系統數據架構是以發展戰略的制定、計劃、分解、實現、反饋和控制為主線形成的數據結構。首先通過發展目標到預算指標，其次通過全面預算將預算指標落實到業務外包、采購業務、銷售業務、工程項目等各個控制活動中，最后通過內部信息傳遞、財務報告反饋戰略執行信息。

2.內部控制系統數據架構中的各個數據領域之間存在一定的關系，并不是相互獨立和零散的。例如業務外包、采購業務、銷售業務、工程項目、資金活動、研究開發、資產管理等數據領域都包含全面預算的相關控制數據，同時也包含合同管理的相關控制數據。數據架構反應了內部控制數據領域之間的關聯關系，為從集成的角度實施內部控制提供了良好的基礎。

3.內部控制系統數據架構中的相關數據來自于不同系統中，而并非由內部控制系統本身產生。例如人力資源數據來自企業的人力資源系統，銷售數據來自企業的ERP系統或CRM系統，資金數據來自企業的資金管理系統，全面預算數據來自企業的預算管理系統等。因此內部控制系統數據架構反應了內部控制系統對企業各領域數據的抽取和共享過程。

（四）技術架構

技術架構是支撐內部控制應用與數據的信息化基礎架構，包括一系列信息技術、信息組件、信息標準的集合。信息化環境下企業的業務運作越來越依賴于信息系統，為適應業務需求逐步建立了ERP、SCM、CRM、AIS等多個信息系統，各系統之間雖然采用的技術不盡相同，但相互聯系和相互制約，從而形成了企業信息化生態系統。企業如何正確把握自己的生態系統，并在競爭中發展壯大是企業面臨的新問題。內部控制系統在企業信息化生態系統中需要找到自己的位置，和其他系統相互依存形成一定的協作。因此，內部控制系統必須充分整合和集成企業現有系統實現統馭控制，一方面要從信息技術基礎環境、信息技術架構、信息技術標準等方面進行規劃，另一方面要整合現有的數據、技術和應用，形成企業信息化技術標準。

內部控制系統技術架構如圖4所示。

圖4　內部控制系統技術架構圖

1.內部控制系統技術架構反應了內部控制系統對企業管理系統的技術整合過程。由于采用不同時期、不同平臺、不同技術體系的系統和應用程序，企業已存在的ERP、SCM、CRM、AIS等信息系統很可能是異構的。內部控制系統技術架構需要整合已存在的異構系統，通過標準的技術和接口實現異構系統之間的連接和通信。

2.內部控制系統技術架構反應了內部控制系統對企業管理系統的應用整合過程。企業已存在的ERP、SCM、CRM、AIS等信息系統都已有各自的機構、用戶、角色和權限等，以致同一個用戶在各信息系統都需要建一個賬戶，分配相應的權限。內部控制系統技術架構需要整合各系統的機構、用戶、角色和權限，保證同一個用戶在企業信息化生態系統中只建立和保存一個賬戶，分配角色和權限等也是統一的。只有這樣才能實現內部控制要求的職務分離和權限分離。

3.內部控制系統技術架構反應了內部控制系統對企業管理系統的業務整合過程。企業目前的業務流程分散在已部署的ERP、SCM、CRM、AIS等各個系統中，各系統的業務流程由于系統壁壘無法實現有效銜接，例如ERP的銷售數據無法直接傳遞到AIS系統中等。目前業界提出的業務財務一體化就是解決業務管理和會計核算之間的銜接問題。根據內部控制的相關要求，從戰略控制到預算控制、從預算控制到業務控制、從信息傳遞控制到財務報告控制等各環節都需要銜接和整合，以實現內部控制的整體效應。

五、總結

內部控制是一個復雜的系統，內部控制系統的構建和實施不只是一個管理系統的設計、開發、部署和應用的過程，而是對企業進行業務規劃和整合的過程。本文運用和演繹了企業架構（EA）方法，提出了內部控制系統架構的概念，旨在從頂層設計的角度規劃內部控制系統的模型，分別描述了內部控制系統的業務架構、應用架構、數據架構和技術架構。通過對內部控制系統架構的研究和分析，內部控制系統的設計和實施需要從整合和規劃的角度出發，集成現有的系統和數據，才能實現內部控制系統的最終目標。利用企業架構方法對內部控制系統架構進行建模，可以從企業整體規劃和整合的角度去思考內部控制系統的建模，從而實現真正嵌入到企業實際運轉的管理系統中。

作者單位：中國財政科學研究院

主要參考文獻

1.李峰. 簡約企業架構.計算機與現代化. 2011（07）

2.李屹， 王學穎. 企業架構EA成熟度模型比較研究（I）.沈陽師范大學學報（自然科學版）. 2009（04）

3.李屹， 王學穎. 企業架構EA成熟度模型比較研究（Ⅱ）.沈陽師范大學學報（自然科學版）. 2010（01）

4.葉鈺等. 面向服務體系結構及其系統構建研究.計算機應用研究.2006（2）

5.于振梅. 基于SOA模式的企業架構設計.中山大學學報論叢. 2006（08）

6.周衛華. 內部控制實施機制研究——基于系統工程視角.財會月刊.2011（34）

7.曾森， 范玉順. 面向服務的企業架構.計算機應用研究.2008（02）

8.趙剛. 企業架構的發展歷史與概念.中國計算機用戶.2006（09）

9.王武魁. 林業電子政務信息系統企業架構框架總體設計.北京林業大學學報.2008（01）

10.王海林. IT環境下企業內部控制模式探討.會計研究.2008（11）

11.張瑞君. 財務管理信息化. 中信出版社.2008