沃尔玛百货有限公司 会计信息系统审计案例
The CASE of Accounting Information System Auditing base on
Wal-Mart Co., Ltd.
第一部分 案例主体
一、案例背景 1.公司背景
沃尔玛百货有限公司(WAL-MART),由美国人山姆·沃尔顿于1962年创立。在短短几十年间,它从乡村走向城市,从北美走向全球,由一家小型折扣商店发展成为世界上最大的零售企业之一。1991年沃尔玛以326亿美元的销售额成为全美零售业的销售冠军。2002年《财富》评选的“世界500强”中,沃尔玛更是以2189.12亿美元的销售收入位居首位。截至2007年12月31日,全球有7000余家分店,财政年度销售额达到4000亿美元,稳居世界500强第一位。
2.信息系统背景
沃尔玛取得上述惊人发展速度的原因很多,但构建属于自己的庞大、高效的管理信息系统是其中的关键因素。沃尔玛有80000多种商品,为满足全球4000多家连锁店的配送需要,沃尔玛每年的运输总量超过780000万箱,总行程达65000万公里。没有强大的信息系统,它根本不可能完成如此大规模的商品采购、运输、存储、物流等管理工作。早在20世纪80年代沃尔玛就建立起自己的商用卫星系统。在强大的技术支持下,如今的沃尔玛已形成了“四个一”,即:“天上一颗星”——通过卫星传输市场信息;“地上一张网”——有一个便于用计算机网络进行管理的采购供销网络;“送货一条龙”——通过与供应商建立的计算机化连接,供货商自己就可以对沃尔玛的货架进行补货;“管理一棵树”——利用计算机网络把顾客、分店或山姆会员店和供货商像一棵大树有机地联系在一起。
公司总部(全球采购总部设在深圳)与全球各家分店和各个供应商通过企业网(extranet和intranet)的电脑系统进行联系。采购额在2000亿元左右,均由总部通过信息系统在全球实施。它们有统一的补货系统、统一的EDI条码系统、集成化查询库存系统、统一接口标准的会计信息系统、一致化收银系统等。这样的系统能从一家商店、一个查询入口了解全世界的商店资料和商品信息。
(1)管理信息系统可以为沃尔玛采购员提供的信息是:保存两年的销售历史记录,机载了所有商品、每一个规格、品类的销售数据,包括最近各周的销量,存货多少。这样的信息支持能够使采购员知道什么品种该增加、什么品种该淘汰;好销的品种每次进多少才能满足需求,又不致积压。
(2)管理信息系统可以为商店员工提供的信息是:单品的当前库存、己订货数量、由配销中心送货过程中的数量、最近各周的销售数量、建议订货数量以及Telxon终端所能提供的信息。Telxon终端是一个无线扫描装置,在国外已被广泛应用于各类超市、百货商店、
9
家庭购物中心等。国内也有上海易初莲花、西安海星超市、广州新大新、成都百成集团等少数企业使用。它大小如一本32开本书籍,商场员工使用它扫描商品的条形码时,能够显示价格、架存数量、库存数量、在途数量及最近各周销售数量等。扫描枪的应用,使商场人员丢下了厚厚的补货清点手册,对实施单品管理提供了可靠的数据,而且高效、准确。
(3)管理信息系统可以为供应商提供的信息是:与提供给采购员的数据相同,这样详实的数据使生产商能细致地了解哪些规格、哪种颜色的产品好销,然后按需组织生产。
(4)为管理层提供的资料是:商品的供应成本、销售数量、金额详细信息,收入、成本、利润的变化规律、影响因素,单品会计信息、综合会计信息、区域会计信息等。同时为其他自系统提供如下集成信息。
A.为物流配送提供物流成本信息; B.为数据挖掘系统提供详细核算信息
C.为财务决策系统提供指标预测、成本趋势等辅助信息 二、系统规划——以风险可控、循序渐进为宗旨
沃尔玛公司对信息系统的投资是巨大的,仅仅“天上一颗星”的预算便接近7亿美元,因此,管理团队对该系统的规划比较慎重,在是否上马、如何规划其控制系统方面存在激烈的竞争。
沃尔玛公司管理信息系统主要围绕庞大的物流管理系统而展开,通过全球各家店铺、仓储、配送站等数以千计的数据采集点汇聚成商业信息数据仓库①,最后通过会计信息系统AIS进行严格核算,形成各级管理层需要的信息资源。系统规划阶段既要考虑信息安全和控制问题,董事会和管理层针对美国零售市场、全球需求局势及竞争态势等做出了初步的系统规划和安全控制方案。
第一,从控制环境上营造安全氛围。控制环境是指对建立、加强或削弱特定政策、程序及其效率产生影响的各种因素,具体包括企业的董事会、管理层成员的品行、操守、价值观、素质与能力,管理人员的管理哲学与经营理念,企业文化、领导秉性、企业规章及信息沟通体系等。在这样的软环境中,董事会和管理层的态度决定系统规划的深度,有多大的思路就有多宽的出路。
在上个世纪80年代初期,一家企业建立一个卫星系统几乎是不可想象的。那么,沃尔玛的管理层对此是持何种态度呢?在提出要建立自己的卫星系统时,沃尔玛当家人山姆·沃尔顿是不太赞成的。他认为目前的信息系统已经可以使沃尔玛在同业中处于领先地位,不必要再将如此多的资金投进去。然而公司的其他高层,包括几位董事和技术总监,深知投资新技术对公司发展和控制成本、提高管理的重要性,他们勇于不断地向山姆施压,以大量的数据证明了建立卫星系统的可行性以及将会给沃尔玛带来的巨大效益。在其他高管的不懈努力下,山姆终于被说服了。待意见统一之后,沃尔玛立刻花费大约7亿美元建成目前拥有的计算机和卫星系统。可以说,如果没有高层人员当初的卓识远见,如果没有他们对信息系统的强力支持,沃尔玛不可能有今天的规模和地位。
第二,充分树立风险意识。沃尔玛在不断引进新技术的基础上仍保持着非常谨慎的态度。每次有哪位主管想建立新系统,山姆总要求他们认真地对应用这个系统后可能带来的风险进行评估,并且谨慎的推行系统的应用范围,循序渐进,逐渐推广。1981年,沃尔玛开始试验利用商品条码和电子扫描器实现存货自动控制,并传递到信息收集中心,供会计、财务或统计部门使用。公司先定几家商店,在收款台安装读取商品条码的设备。两年后,试验范围扩大到25家店。1984年,试验范围扩大到70家店。1985年,公司宣布将在所有的商店安装条码识别系统,当年又扩大了200多家。到80年代末,沃尔玛所有商店和配送中心都安装了电子条码扫描系统。一个系统从试验到全面应用相隔差不多十年时间。其风险意识之强 ①
参考沃尔玛官方网站http://www.wal-martchina.com。
9
实属典范。
三、沃尔玛会员店会计信息系统的失控教训
沃尔玛虽然对整个信息系统的安全和风险考虑得比较充分,但在会计信息系统的应用和控制方面还存在认识和实践方面的不足,这可以从下面的故事中得到启发。
苏珊是个失业的会计员,家住美国得克萨斯州东部,她家的不远处便是一家规模相当大的沃尔玛会员店。去年遛狗的时候,她注意到垃圾堆里有些进销存计划(ERP/DMS)手册。出于好奇,她把这些手册带回家。她发现手册里的文件标注日期是两个月前,由此断定这些信息是没有过时的。在随后的一个月里,苏珊不断遛狗,不断收集各种手册或系统输出并被作废的资料。显然,沃尔玛正在更新所有的文件手册,并将其移植网上。最终,苏珊发现了关键的库存再订货模型、开票系统、销售订单子系统、支付系统和往来账目管理系统。苏珊去了当地的图书馆,尽可能地收集、阅读有关材料和知识。
为了得以接近该会员店,她应聘了该店办公区的一名清洁工。苏珊经常进入办场所,猜测账户密码,窥视加班员工输入的口令,最后使用特洛伊木马病毒打印出全部用户的ID和口令。这样,她就获得了所需要的所有口令,使其拥有供货商、客户、系统操作员和系统文件库管理员等多重身份。她进一步以清洁工的身份为掩护,转遍了该公司的所有区域。
作为客户,她可以订购足够的货物,使库存采购系统自动产生购买商品的需求。然后,苏珊作为供应商,就可以准备好将货物以特定的价格出售,一旦付账,她就调整交易日志掩盖痕迹。就这样,苏珊平均每月盗取12.5万元。她进入公司工作16个月后的一天晚上,财务总监发现她驾驶一辆美洲豹汽车,去了一家高档法国餐厅,并且点菜时法语说的很流利。于是,财务总监告诉内部审计人员密切注意,最后他们在她作案时逮到了她。
四、沃尔玛会计信息系统的一般控制
沃尔玛得克萨斯州区域信息部总监卡洛克从上述事件中吸取教训,决心聘请国际知名咨询公司加特纳机构设计一套完备的控制系统,以便随时监督和控制风险。
卡洛克带领他的团队,在咨询机构的帮助下,经过2年的努力终于构建完成了较为完备的信息系统控制体系,其中的会计信息系统(AIS)控制是关键内容之一。
(一)WAL-MART AIS一般控制的理论模型
所依据的理论模型包括COSO(发起人组织)模型、2004年版的ERM(企业风险管理)模型以及ISACA(信息系统审计与控制协会)推出的COBIT(信息和相关技术控制目标框架)。
1.ERM模型从企业战略、控制环境、风险偏好、风险评估、控制措施等八个方面对企业的风险管控体系进行了推荐和建议。其内容结构如图1所示。
9
图1 风险管理框架
2.COBIT模型包含:
(1)34个IT控制高层目标;
(2)四大控制区域:规划和组织、采购和实施、交付和实施、监控;
图2 COBIT模型结构示意图
(3)300多个详细控制目标。 COBIT的内容结构如图2所示。
(二)WAL-MART AIS的一般控制目标
9
卡洛克根据COSO模型和COBIT框架,WAL-MART AIS制定了详细的一般控制目标。 1.通过一般或特殊的授权规则保证下列活动的开展具备正当的手续。 (1)将原始凭证输入系统内进行处理; (2)设计、实施和使用计算机程序; (3)更改计算机程序;
(4)接触和使用计算机主文件和其他重要数据文件; (5)分发系统输出报告等会计信息。
2.负责资产保管的人员无权接触记录资产情况的信息处理。 3.负责信息处理的人员不负责执行或批准经济业务。 4.电子数据处理部门内部对不相容职能进行适当分离。 5.电子数据处理部门不能纠正电子数据部门以外的错误。
6.通过适当的沟通方法和程序,使数据处理部门人员和其他部门人员能理解主管人员的一般和特殊授权要求,并保证遵循这些要求。
7.主管人员能够充分地控制授权,以保证违背要求的行为能予以记录、调查和纠正。 (三)WAL-MART AIS一般控制的内容
1.组织与管理控制。计算机会计信息系统组织与管理控制,用于建立对计算机信息系统活动进行控制的组织结构,其基本目标是减少错误和舞弊发生的可能性。其基本要求是权责的划分和职能的分离。组织与管理控制的主要内容包括以下几个方面:
(1)系统维护部门与用户部门的职责分离。系统维护部门的主要职责是对数据进行处理和控制。用户部门是指产生原始数据或使用计算机处理所得信息的部门或人员。两者之间应尽可能保持不相容职责(业务授权、执行、保管和记录)的分离。系统维护部门不能负责业务的批准和执行,不能保管除计算机系统以外的任何资产,只执行业务记录的职能。用户即各业务部门是业务批准、执行和保管的部门。系统维护部门负责控制该部门内进行的数据处理,检查处理中发现的错误并纠正本部门产生的错误,在更正错误后重新输入并处理是系统维护部门的责任;用户部门负责更正系统维护部门以外产生的错误,并将更正后的数据更新传递到系统维护部门进行处理。
(2)系统维护部门内部的职责分离。计算机信息处理的特点是将数据集中起来统一处理,这使得本应分离的某些职责集中化。为保证系统可靠运行,防止错误和舞弊发生,沃尔玛AIS系统维护部门实施了如下内部职责分离:①计算机操作与系统开发、维护相分离;②数据库管理与其他职能相分离;③新系统开发与系统维护相分离;③系统开发的六阶段适当分离;④数据文件库与操作相分离;⑤系统日常运行与系统日常审计相分离。
(3)人事控制。计算机会计信息系统是人机系统,内部控制的好坏还取决于有关人员的素质,高素质的人员才可能建立起高质量的系统。
(4)业务授权。所有山姆店、会员店等分子系统的业务都应经过授权管理。凡不是由计算机会计信息系统生成的业务,都应在计算机处理之前通过审核与批准。
2.应用系统开发与维护控制。WAL-MART AIS在源头——系统的开发过程中即植入了较为完整的控制点,包括:(1)系统开发标准;(2)结构化系统开发方法;(3)项目管理;(4)编程规则;(5)阶段保证;(6)系统测试控制;(7)系统转换控制;(8)新系统批准程序;(9)程序变更控制;(10)系统文档控制。
3.AIS操作控制。AIS操作控制的设计和执行要达到“保证信息处理的高质量、高效率,减少差错的发生和未经批准而使用数据和程序的机会”的目的。措施包括:制定操作计划;制定机房守则、操作规程、上机日志记录等
4.AIS硬件和软件控制。主要依靠SISCO和SAP等供应商的标准和可靠性设计。 5.系统安全控制。系统安全控制是指防止影响系统安全的因素危及系统的安全,发现
9
系统中的安全问题,并解决这些问题使系统恢复正常的措施及实施。系统安全控制包括:(1)硬件安全控制;(2)程序与数据的安全控制;环境安全控制;(3)防病毒的软件接触系统。如防病毒卡等。
6.数据通信控制。沃尔玛利用自有卫星和通信系统优势,对会计信息系统进行防火墙技术、数据加密技术、一次性口令技术、回叫机制等技术安全控制。
7.系统文档控制。系统文档包括计算机会计信息系统中的凭证、账簿、报表及有关软件技术文件(如系统可行性报告、系统分析与设计说明书、程序流程图、操作手册等)。
五、沃尔玛会计信息系统的应用控制
信息总监卡洛克及同事将沃尔玛AIS应用控制划分为会计数据的输入控制、处理控制和输出结果控制三大环节。制定了包括控制目标、控制内容等在内完整体系,以图对整个集团企业的信息系统安全提供充分保障。
(一)应用控制的组织架构,如图3所示。
沃尔玛公司总裁 CEO 营销 副总裁 财务 副总裁 计算机服务 副总裁 行政 副总裁 经营 副总裁 系统开发经理 数据库管理经理 数据处理经理 系统开发 系统维护 数据控制 系统分析 数据变换 应用编程 计算机操作 图3 沃尔玛公司专营店组织架构(信息系统控制功能加强)
(二)应用控制的目的及具体目标
沃尔玛AIS应用控制的目的是对会计应用建立具体的控制过程,从而确保全部经济业务都经过授权和记录,并做完整、准确和及时的处理。应用控制的具体目标如下:
1.所有经允许处理的数据均应转换到介质上并加以处理,并且处理的结果可通过适当的方式加以输出。
2.所有输入、转换、处理和输出均应在正常的时间里准确进行。 3.所有系统的输出均反映为经批准的有效经济业务。 (三)应用控制的内容
沃尔玛AIS系统的应用控制被定义为两大业务循环下的控制,应考虑的主要因素包括: 1.输入控制
(1)经济业务在计算机处理之前经过适当的批准;
9
(2)经济业务被准确地转换为机器可读形式并记录于计算机数据文件中; (3)经济业务没有丢失或不适当地增加、复制、改动;
(4)拒绝、改正不适当的经济业务,必要时,及时重新补救。 2.会计信息处理控制
(1)经济业务(包括系统生成的)由计算机正确处理; (2)经济业务没有丢失或不适当地增加、复制、改动; (3)计算机处理的错误被及时鉴别并改正。 3.数据文件控制
(1)业务时序控制。会计业务数据处理有时序性,某一处理过程的运行结果取决于若干相关条件过程处理的完成,不可颠倒和混乱。
(2)数据有效性检验。包括文件标签校验、业务编码校验、顺序校验。
(3)程序化处理有效性检验。包括计算正确性测试、数据合理性检验、交叉汇总检查。 (4)错误更正控制。包括说明段更正、再输入更正、反向显示更正等。
(5)断点技术。包括设置会计逻辑断点、数据流程断点、业务流程断点等技术手段。 (6)账务处理控制。 4.输出控制
为了达到计算机处理的输出结果准确无误、输出结果仅限于经过批准的人员且保证及时提供给适当的经过批准的使用人员的控制目的。沃尔玛管理信息系统在会计控制方面采用了如下手段:
(1)输出授权控制。只有经过批准的人才能进行输出操作。 (2)输入过程的控制总数与输出得到的控制总数相核对。 (3)审校输出结果,检查正确性、完整性。
(4)将正常业务报告与例外报告中有关数据作对比分析。
(5)设置输出报告发送登记簿,记录报告发送份数、时间、接受人等事项。 (6)制定输出错误纠正和对重要数据进行处理的规定。
六、沃尔玛在用信息系统的调查情况
1.下属系统的数据格式较多,包括.txt/.dbf/.xls/.db/.bak及常见数据库生成的数据格式。 2.应用数据库版本较多,包括Oracle、Sysbase、SQLserver、BD2、LOxs(国内不常见,可用ODBC获取)等。
3.每个模块和子系统均有完整的流程图、设计文档等详细资料。 4.各部门、各岗位已收到审计通知,将配合这次审计。 七、信息系统控制的成功经验和失败教训 1.成功的经验
沃尔玛通过构建相对完善的控制体系,有效地减低了会计信息系统的风险,通过与国际机构合作,制定恰当控制规划、选择有效的控制措施,特别是针对输入、处理和输出控制等重点环节,进行了有针对性的细化。同时,从COSO和COBIT提供的框架体系上,获取有益的启发,对企业管理信息系统控制体系的构建提供了理论和技术支撑。
2.需要汲取的教训
沃尔玛系统仍然需要在以下几个方面总结经验,汲取教训:
(1)会计信息系统的风险往往来源于其他子系统,仅靠会计控制手段无法实现理想目标;
(2)信息系统控制效果除了取决于规划、技术与手段,还紧密依赖于员工素质和职业道德,其中信息素养和网络伦理的完善需要一个系统化过程;
9
(3)信息系统的风险控制,需要上至董事会、下至管理层和员工的共同努力,好的体制及有效执行缺一不可。
9
第二部分 案例要讨论的问题
1.沃尔玛公司会计信息系统乃至管理信息系统的控制体系的建立应由哪个部门主导,信息部门、会计部门、风险管理部门抑或联合主导?“一把手”原则是否必要,请结合案例讨论各自的理由和后果。
2.ERM和COBIT的具体内容有哪些?在沃尔玛设计会计信息系统的控制体系时吸收了其中的哪些条款,这些措施是否达到上述目的,有无改进的空间?
3.苏珊的窃取行为缘何能够得逞?沃尔玛的机制存在哪些漏洞?应如何改进?(至少举出5个方面的漏洞和解决办法)
4.沃尔玛的一般控制有哪些优势和漏洞?如何看待会计控制在系统中的作用?
5.针对沃尔玛的销售与收入循环、采购与支出循环,应如何设计其控制体系,具体目标和技术手段有哪些?
6.会计控制的传统手段有哪些?在信息系统环境下是否适用,请列举5种以上控制手段并分析。
7.进行实质性测试需要获取沃尔玛会计信息系统的数据库资料,应如何获取,讨论使用的方法和优缺点
8.请简单起草本次审计的审计计划,包括审计目标、审计内容、参与成员(小组成员)和人员分工等。
◆
9
因篇幅问题不能全部显示,请点此查看更多更全内容