企业IT控制基本框架构建研究.

《企业IT控制基本框架构建研究.》由会员分享，可在线阅读，更多相关《企业IT控制基本框架构建研究.（17页珍藏版）》请在金锄头文库上搜索。

1、 企业I T 控制基本框架构建研究3胡晓明(南京财经大学会计学院210046 【摘要】在对已有研究进行归纳和扩展的基础上, 通过界定信息质量标准、明确I T 目标、识别I T 资源, 形成一个管理部门易于理解的、关于“I T 做什么”的理念, 便于业务和I T 目标的协调; 进行基于信息系统生命周期的过程定位, 以定义所覆盖的范围和领域; 参考相关标准和相应的I T 控制目标, 形成我国企业适用的多层级过程控制集; 建立成熟度模型(C MM 、关键目标指标(KGI 和关键绩效指标(KP I 对企业行业地位、业务结果与过程进行评估、衡量, 向信息系统相关利益方提供一种共享的通用语言。【关键词】I

2、 T 治理I T 标准I T 控制一、引言I mati Technol I T 的进步, 传统的内部控制理论已(I on Syste m s, 简称I S 的复杂度越高以及业务对I T 的依赖性越强, 。欧洲Acadys 和美国Standish Gr oup 两家咨询公司的调查表明, 许多企业虽已认识到I T 的重要性, 但并未将其视为企业的一项核心推动机制。进一步调查发现, 只有少部分企业能够对I T 价值回报作出评价; 大多数企业的I T 投资项目并不成功, 或至少存在相当数量的不健全因素。因此, 需要提供一套有效的I T 治理(I T Governance 与内部控制框架, 以提升I T

3、 价值、管理I T 相关风险以及增加对信息的控制(Mari os Da m iaides, 2005 。W eill 和Ross 将I T 治理定义为, “指定决策权和责任框架, 鼓励正确运营I T 的行为”(W eill &Ross, 2004 ; I T 治理委员会认为, I T 治理是企业管理者为保障企业I T 支持组织战略和目标而进行的领导、组织架构设计和处理的过程, 是I T 资源的保证机制, 价值、风险和控制构成了I T 治理的核心(I T Governance I nstitute, 2007 。I T 控制是指为了提供对企业战略目标合理保证并能阻止、发现、纠正I T 活动中不期

4、望事件的政策、流程与实践, 是I T 治理的制度安排及技术性支持手段。麻省理工学院信息研究中心在对来自23个国家的250家企业进行了系统研究后指出, 面对同样的战略目标, I T 控制水平较高的企业, 其获利能力比控制水平较低的企业高出20%; 美国堪萨斯州把COB I T 标准作为虚拟政府策略的一部分, 为客户和委托人提供可靠、安全的信息, 大大降低了运营成本; 宝洁公司(Pr oct or &Ga mble 在采用I TI L 标准的四年里, 节省了超过5亿美元的预算。实践证明, 善治的、标准的治理结构有助于监督、控制企业关键的I T 活动, 从而增加企业价值、降低业务风险及提供合规的控制

5、信息。目前我国企业的信息化建设正逐步走向深入, 传统的“人管人”为主的控制手段, 已经不适应信息时代及企业发展的需要, 企业财务报告及相关信息的产生与传递越来越依赖于I T 控制的有效性。为了摆脱I T 应用中出现的“生产力悖论”现象, 许多企业在I T 投资上逐渐显示出谨慎态度, 开始积极探索能够273本文是国家教育部社科规划基金项目“I S 审计理论与实践研究”(05JA630026 阶段性研究成果。 减少lT 应用的风险、充分挖掘I T 资源价值以及借助I T 资源提升竞争力的途径。然而, 在I T 治理的混沌时期, 我国企业还不同程度存在着I T 应用方案与业务需求之间逻辑错位、决策的

6、技术经济论证不足、利益冲突和信息不透明以及I T 风险管理缺位等问题, 有关I T 控制体系的理论研究还比较缺乏, 尚未建立起一套相对完整的符合我国企业实际的I T 控制框架标准, 业界对I T 风险的识别、分析和控制还处于摸索阶段, I T 控制评价多以事后的监督、检查为主, 缺乏指导方针和流程定位。因此, 在建立我国企业适用的I T 控制标准问题上, 怎样借鉴国际最佳实践? 如何解决“业务与I T 两张皮”以及“信息孤岛”现象、实现内部控制与相关I T 标准的整合与对接? 哪些地方需要改进以及需要采取怎样的管理工具以监控这种改进? 如何衡量I T 的执行状况? 这些已成为我国企业信息化建设

7、中的现实课题。二、国内外研究现状及分析企业I T 控制的重要性己经引起了国内外理论界和实务界的关注, 在研究状况方面, 我们可以从标准控制、会计控制、审计控制以及风险评价等角度进行归纳综述。(一 标准控制视角为了确保企业管理工具支持战略目标, 国外控制模型融合了许多成熟经验并将其制度化。其中, 适用于公司治理及风险管理方面的控制模型有, 美国的COS O 、英国的Cadbury 、加拿大的CoCo 、南非的King 等。但是, 这些模型框架只是针对企业的一般控制与治理, 例如COS O “ER M ( ”新框架有关I T 对内部控制影响的规范仅在“控制活动”及“”I T 控制系统并未作进一步探

8、讨。适用于I T , I TI L ( 、COB I T (信息及相关技术的控制目标 、I ( 等。从控制内容来看, I S I TI L , Prince2则强调项目管理, 比较而言, COB 、风险管理、资源管理和绩效管理五个方面关注对企业的I T 治理(I nstitute, 2007 , 且突出了信息系统控制。虽然COB I T 提供了I T 的基本治理框架, 但是在I T 治理的五个方面, 尤其是对I T 控制的方法和模型的研究和描述还是非常之少; 另外, COB I T 只是一个I T 控制方面的目标框架, 标准体系庞大, 几乎涉及了问题的所有层面, 虽具有通用性、全面性, 但忽视

9、了特殊性, 且没有给出相应的改善手段与方法。因此有学者建议将诸多I T 标准结合起来实施I T 治理, 建立详细的I T 流程对应关系(Hardy, 2006 。(二 会计控制视角目前大多数有关I T 控制文献是研究信息化条件下的会计控制问题。有学者探讨了企业信息化对于内部会计控制的影响, I T 背景下内部会计控制模型及规范问题, 并提出了一些加强内部会计控制的措施(杨周南, 2003; 章铁生, 2007; 骆良彬、张白, 2008 。然而, 在信息化的条件下, 会计信息系统已融入整个企业的管理信息系统(M I S 中, 会计控制的范围得到延伸, 会计控制的对象涵盖企业的全部I T 资源(

10、应用系统、信息、基础设施及人员 , 会计信息系统控制与整个企业的管理信息系统控制的边界越来越模糊。会计界学者认为内部控制需要从财务报告导向到价值创造导向转型(李心合, 2007 ; 有学者借助系统论和制度经济学的有关理论, 认为内部控制的内涵可以拓展为由企业治理控制、管理控制、信息系统控制和企业文化控制四个要素构成的一个更全面、更系统的控制框架体系(张宜霞, 2004 ; 有学者37COS O 委员会2004年提出了内部控制新框架“ERM (企业风险管理 ”, 在内部控制整体框架五要素的基础上进行了拓展, 增加了三个风险管理要素, 分别是内部环境、目标设定、事件识别、风险评估、风险相应、控制活

11、动、信息与沟通、监督。COB I T (Contr ol Objectives f or I nf or mati on and Related Technol ogy :1996年4月, I S ACA 首次面向全球公开发布了第一版COB I T 框架, 继2000年推出COB I T3rd 之后, I T 治理委员会2005年12月推出了更新版本COB I T410, 2007年4月又推出了COB I T411。我国企业内部控制标准委员会于2007年3月公布的企业内部控制规范基本规范和17项具体规范的征求意见稿也预示了这种发展趋势。 在对信息化生态环境下企业内部控制变化趋势进行研究的基础上

12、, 借鉴国外先进的内部控制框架, 构建信息系统环境中的有效内部控制机制(陈志斌, 2007 。(三 审计控制视角早在计算机刚进入实用阶段, 美国就提出了I S 审计的概念。I S ACA (信息系统审计与控制协会 长期以来开展了大量的理论研究, 通过制定和颁布I S 审计准则、实务指南、职业道德准则等专业标准来规范和指导C I S A (信息系统审计师 的工作(I S ACA, 2003 , 促进了全球I S 审计事业的进步。国际审计准则20号公告电子数据处理环境对会计制度和有关的内部控制研究与评价的影响以及美国国家审计总署(G AO 和注册会计师协会(A I CP A 颁布的美国政府审计准则

13、电算化系统审计、I T 对CP A 评价内部控制的影响等一系列规范, 对信息系统控制与审计作出了多方面规定。另外, 日本通产省情报协会、英国I T 审计师协会、匈牙利国家审计署以及美国信息系统审计专家Ron A 1W eber 等在I S 审计概念框架、内容体系以及相关应用方面均有不同程度的研究。20世纪九十年代后期I S 审计思想传播到我国, 内部控制从内容侧重点和形式上都打上了审计专业或行业的烙印(刘明辉, 张宜霞, 2002 , 例如中国注册会计师协会1999年的独立审计具体准则第20号计算机信息系统环境下的审计、2007年的中国注册会计师审计准则第1633号电子商务对财务报表审计的影响

14、以及中国内部审计协会2008年9月的内部审计具体准则第28号信息系统审计等对I T 环境下的审计作了规范和要求。许多研究者从审计的角度对I T 控制进行了研究, 把寻求答案的目标归结到I S 审计上, I T 治理相结合, 并提出了一些解决I T (, , 胡克瑾, 2003; 金文, 张金城, 2005 ; , 流程下如何进行有效控制的新流程(, ; I T 标准, 以信息系统保障、控制、审计的完整概念框架, 规划基于风险基础I S 审计流程, (, 2006 。然而, 内部控制已涵盖企业管理的所有层面, I S 审计只。这一点从COS O 、COB I T 的转型中可以看出, 这些标准早期

15、都是立足于审计而制定的。(四 风险评价视角从COS O 新框架的构成要素来看, 风险评价是内部控制的一个关键环节, 是制定控制措施和实施控制活动的基础。在定性研究方面, 国外学者认为, 评估风险、信息安全政策、安全和灾难计划是掌控信息系统的重要途径(ThomasW ijs man, Peter Paans, 1996 , 并提出I S 审计中风险评价的策略; 有学者分析研究I T 风险评价、内部控制评价以及风险控制与内部控制之间的关系(赵雪媛, 2003; 黄小毛, 陈志诚, 2005 ; 有学者探求如何帮助企业设计一套合理的风险评价体系(Andrede Korvin, 2004; 杨武岐,

16、2005 。在定量研究方面, 有学者认为对安全性进行评价可使用确定性模型, 如叶贝斯模型(Ron A 1W eber, 1999 ; 有学者运用可靠性理论和数理统计知识构建内部控制系统评价的数学分析模型, 判断内部控制的有效性(王立勇, 2004 ; 有学者还对I T 相关的风险采用多级的模糊综合评价方法实现了对系统风险的量化, 运用层次分析法(AHP 确定层次结构中风险影响因素的权重系数, 并改进了评判方法和评价准则, 甚至为I T 风险控制模型或方法提供了可行的数学表达形式(王祯学等, 2004 。然而, 目前信息系统风险评价的理论研究还主要是面向审计领域, 且这些评价方法缺乏统一的标准模式指导。在内部控制发展的历史上, 理论往往落后于实践发展的需要(M ichael Chatfield, 1977 。国外在I T 控制方面的研究虽然较早, 也制定了一些通用的I T 控制标准, 但总的来说仍然