沃尔玛百货有限公司会计信息系统审计案例The CASE of Accounting Information System Auditing base onWal-Mart Co., Ltd.第一部分案例主体一、案例背景1．公司背景沃尔玛百货有限公司（W AL-MART），由美国人山姆·沃尔顿于1962年创立。

在短短几十年间，它从乡村走向城市，从北美走向全球，由一家小型折扣商店发展成为世界上最大的零售企业之一。

1991年沃尔玛以326亿美元的销售额成为全美零售业的销售冠军。

2002年《财富》评选的“世界500强”中，沃尔玛更是以2189.12亿美元的销售收入位居首位。

截至2007年12月31日，全球有7000余家分店，财政年度销售额达到4000亿美元，稳居世界500强第一位。

2．信息系统背景沃尔玛取得上述惊人发展速度的原因很多，但构建属于自己的庞大、高效的管理信息系统是其中的关键因素。

沃尔玛有80000多种商品，为满足全球4000多家连锁店的配送需要，沃尔玛每年的运输总量超过780000万箱，总行程达65000万公里。

没有强大的信息系统，它根本不可能完成如此大规模的商品采购、运输、存储、物流等管理工作。

早在20世纪80年代沃尔玛就建立起自己的商用卫星系统。

在强大的技术支持下，如今的沃尔玛已形成了“四个一”，即：“天上一颗星”——通过卫星传输市场信息；“地上一张网”——有一个便于用计算机网络进行管理的采购供销网络；“送货一条龙”——通过与供应商建立的计算机化连接，供货商自己就可以对沃尔玛的货架进行补货；“管理一棵树”——利用计算机网络把顾客、分店或山姆会员店和供货商像一棵大树有机地联系在一起。

公司总部（全球采购总部设在深圳）与全球各家分店和各个供应商通过企业网（extranet 和intranet）的电脑系统进行联系。

采购额在2000亿元左右，均由总部通过信息系统在全球实施。

它们有统一的补货系统、统一的EDI条码系统、集成化查询库存系统、统一接口标准的会计信息系统、一致化收银系统等。

这样的系统能从一家商店、一个查询入口了解全世界的商店资料和商品信息。

（1）管理信息系统可以为沃尔玛采购员提供的信息是：保存两年的销售历史记录，机载了所有商品、每一个规格、品类的销售数据，包括最近各周的销量，存货多少。

这样的信息支持能够使采购员知道什么品种该增加、什么品种该淘汰；好销的品种每次进多少才能满足需求，又不致积压。

（2）管理信息系统可以为商店员工提供的信息是：单品的当前库存、己订货数量、由配销中心送货过程中的数量、最近各周的销售数量、建议订货数量以及Telxon终端所能提供的信息。

Telxon终端是一个无线扫描装置，在国外已被广泛应用于各类超市、百货商店、家庭购物中心等。

国内也有上海易初莲花、西安海星超市、广州新大新、成都百成集团等少数企业使用。

它大小如一本32开本书籍，商场员工使用它扫描商品的条形码时，能够显示价格、架存数量、库存数量、在途数量及最近各周销售数量等。

扫描枪的应用，使商场人员丢下了厚厚的补货清点手册，对实施单品管理提供了可靠的数据，而且高效、准确。

（3）管理信息系统可以为供应商提供的信息是：与提供给采购员的数据相同，这样详实的数据使生产商能细致地了解哪些规格、哪种颜色的产品好销，然后按需组织生产。

（4）为管理层提供的资料是：商品的供应成本、销售数量、金额详细信息，收入、成本、利润的变化规律、影响因素，单品会计信息、综合会计信息、区域会计信息等。

同时为其他自系统提供如下集成信息。

A．为物流配送提供物流成本信息；B．为数据挖掘系统提供详细核算信息C．为财务决策系统提供指标预测、成本趋势等辅助信息二、系统规划——以风险可控、循序渐进为宗旨沃尔玛公司对信息系统的投资是巨大的，仅仅“天上一颗星”的预算便接近7亿美元，因此，管理团队对该系统的规划比较慎重，在是否上马、如何规划其控制系统方面存在激烈的竞争。

沃尔玛公司管理信息系统主要围绕庞大的物流管理系统而展开，通过全球各家店铺、仓储、配送站等数以千计的数据采集点汇聚成商业信息数据仓库①，最后通过会计信息系统AIS 进行严格核算，形成各级管理层需要的信息资源。

系统规划阶段既要考虑信息安全和控制问题，董事会和管理层针对美国零售市场、全球需求局势及竞争态势等做出了初步的系统规划和安全控制方案。

第一，从控制环境上营造安全氛围。

控制环境是指对建立、加强或削弱特定政策、程序及其效率产生影响的各种因素，具体包括企业的董事会、管理层成员的品行、操守、价值观、素质与能力，管理人员的管理哲学与经营理念，企业文化、领导秉性、企业规章及信息沟通体系等。

在这样的软环境中，董事会和管理层的态度决定系统规划的深度，有多大的思路就有多宽的出路。

在上个世纪80年代初期，一家企业建立一个卫星系统几乎是不可想象的。

那么，沃尔玛的管理层对此是持何种态度呢？在提出要建立自己的卫星系统时，沃尔玛当家人山姆·沃尔顿是不太赞成的。

他认为目前的信息系统已经可以使沃尔玛在同业中处于领先地位，不必要再将如此多的资金投进去。

然而公司的其他高层，包括几位董事和技术总监，深知投资新技术对公司发展和控制成本、提高管理的重要性，他们勇于不断地向山姆施压，以大量的数据证明了建立卫星系统的可行性以及将会给沃尔玛带来的巨大效益。

在其他高管的不懈努力下，山姆终于被说服了。

待意见统一之后，沃尔玛立刻花费大约７亿美元建成目前拥有的计算机和卫星系统。

可以说，如果没有高层人员当初的卓识远见，如果没有他们对信息系统的强力支持，沃尔玛不可能有今天的规模和地位。

第二，充分树立风险意识。

沃尔玛在不断引进新技术的基础上仍保持着非常谨慎的态度。

每次有哪位主管想建立新系统，山姆总要求他们认真地对应用这个系统后可能带来的风险进行评估，并且谨慎的推行系统的应用范围，循序渐进，逐渐推广。

1981年，沃尔玛开始试验利用商品条码和电子扫描器实现存货自动控制，并传递到信息收集中心，供会计、财务或统计部门使用。

公司先定几家商店，在收款台安装读取商品条码的设备。

两年后，试验范围扩大到25家店。

1984年，试验范围扩大到70家店。

1985年，公司宣布将在所有的商店安装条码识别系统，当年又扩大了200多家。

到80年代末，沃尔玛所有商店和配送中心都安装了电子条码扫描系统。

一个系统从试验到全面应用相隔差不多十年时间。

其风险意识之强①参考沃尔玛官方网站。

实属典范。

三、沃尔玛会员店会计信息系统的失控教训沃尔玛虽然对整个信息系统的安全和风险考虑得比较充分，但在会计信息系统的应用和控制方面还存在认识和实践方面的不足，这可以从下面的故事中得到启发。

苏珊是个失业的会计员，家住美国得克萨斯州东部，她家的不远处便是一家规模相当大的沃尔玛会员店。

去年遛狗的时候，她注意到垃圾堆里有些进销存计划（ERP/DMS）手册。

出于好奇，她把这些手册带回家。

她发现手册里的文件标注日期是两个月前，由此断定这些信息是没有过时的。

在随后的一个月里，苏珊不断遛狗，不断收集各种手册或系统输出并被作废的资料。

显然，沃尔玛正在更新所有的文件手册，并将其移植网上。

最终，苏珊发现了关键的库存再订货模型、开票系统、销售订单子系统、支付系统和往来账目管理系统。

苏珊去了当地的图书馆，尽可能地收集、阅读有关材料和知识。

为了得以接近该会员店，她应聘了该店办公区的一名清洁工。

苏珊经常进入办场所，猜测账户密码，窥视加班员工输入的口令，最后使用特洛伊木马病毒打印出全部用户的ID和口令。

这样，她就获得了所需要的所有口令,使其拥有供货商、客户、系统操作员和系统文件库管理员等多重身份。

她进一步以清洁工的身份为掩护，转遍了该公司的所有区域。

作为客户，她可以订购足够的货物，使库存采购系统自动产生购买商品的需求。

然后，苏珊作为供应商，就可以准备好将货物以特定的价格出售，一旦付账，她就调整交易日志掩盖痕迹。

就这样，苏珊平均每月盗取12.5万元。

她进入公司工作16个月后的一天晚上，财务总监发现她驾驶一辆美洲豹汽车，去了一家高档法国餐厅，并且点菜时法语说的很流利。

于是，财务总监告诉内部审计人员密切注意，最后他们在她作案时逮到了她。

四、沃尔玛会计信息系统的一般控制沃尔玛得克萨斯州区域信息部总监卡洛克从上述事件中吸取教训，决心聘请国际知名咨询公司加特纳机构设计一套完备的控制系统，以便随时监督和控制风险。

卡洛克带领他的团队，在咨询机构的帮助下，经过2年的努力终于构建完成了较为完备的信息系统控制体系，其中的会计信息系统（AIS）控制是关键内容之一。

（一）WAL-MART AIS一般控制的理论模型所依据的理论模型包括COSO（发起人组织）模型、2004年版的ERM（企业风险管理）模型以及ISACA（信息系统审计与控制协会）推出的COBIT（信息和相关技术控制目标框架）。

1．ERM模型从企业战略、控制环境、风险偏好、风险评估、控制措施等八个方面对企业的风险管控体系进行了推荐和建议。

其内容结构如图1所示。

2．COBIT 模型包含：（1）34个IT 控制高层目标；（2）四大控制区域：规划和组织、采购和实施、交付和实施、监控；（3）300多个详细控制目标。

COBIT 的内容结构如图2所示。

（二）WAL-MART AIS 的一般控制目标图2 COBIT 模型结构示意图图1 风险管理框架卡洛克根据COSO模型和COBIT框架，W AL-MART AIS制定了详细的一般控制目标。

1．通过一般或特殊的授权规则保证下列活动的开展具备正当的手续。

（1）将原始凭证输入系统内进行处理；（2）设计、实施和使用计算机程序；（3）更改计算机程序；（4）接触和使用计算机主文件和其他重要数据文件；（5）分发系统输出报告等会计信息。

2．负责资产保管的人员无权接触记录资产情况的信息处理。

3．负责信息处理的人员不负责执行或批准经济业务。

4．电子数据处理部门内部对不相容职能进行适当分离。

5．电子数据处理部门不能纠正电子数据部门以外的错误。

6．通过适当的沟通方法和程序，使数据处理部门人员和其他部门人员能理解主管人员的一般和特殊授权要求，并保证遵循这些要求。

7．主管人员能够充分地控制授权，以保证违背要求的行为能予以记录、调查和纠正。

（三）WAL-MART AIS一般控制的内容1．组织与管理控制。

计算机会计信息系统组织与管理控制，用于建立对计算机信息系统活动进行控制的组织结构，其基本目标是减少错误和舞弊发生的可能性。

其基本要求是权责的划分和职能的分离。

组织与管理控制的主要内容包括以下几个方面：（1）系统维护部门与用户部门的职责分离。

系统维护部门的主要职责是对数据进行处理和控制。

用户部门是指产生原始数据或使用计算机处理所得信息的部门或人员。