【毕业设计.论文】基于层级结构的企业IT控制系统评价体系构建.pdfVIP

基于层级结构的企业 IT 控制系统评价体系构建 胡晓明 (南京财经大学会计学院 210046 江苏大学财经学院 212013) 【摘要】IT控制是适用于所有IT服务活动的控制过程，是一个自上而下、目标驱动的结构。本文将 IT控制分为 治理层、管理层和业务层等三个层级，基于层级结构、风险分解构建 IT控制评价体系。评价过程包括业务层评 价和企业层评价两大两部分，从低层级的IT流程到高层级的战略 目标，逐级逐层迭代评价。 【关键词】IT控制 层级结构 系统评价 企业信息系统的复杂度越高、业务对 IT的依赖性越强，IT资源 (系统应用、信息、基础设施和人 员)带来的风险也就越大。在 IT治理的混沌时期，我国企业还不同程度 的存在着 IT风险管理缺失问题， 业界对 IT风险的识别、分析和控制还处于摸索阶段，系统评价多以事后、静态为主，且控制过程不具有 可审计性 (周常兰、陈宝峰，2009)。在现阶段，开展 IT控制系统评价研究，构建 IT控制系统评价体系， 对于完善我国企业 IT控制架构、防范 IT风险、实现发展战略具有重要的理论价值与现实指导意义。 一 、 IT控制的层级结构及评价体系 (一)IT控制的层级结构 IT控制是适用于所有 IT服务活动的风险管理过程，是一个 自上而下、目标驱动的结构，其一般框架 包涵 IT治理、IT管理与技术以及 IT作业流程等相关内容 (Hardy，2006)。由此，IT控制可分为治理层、 管理层和业务层等三个对应层级，其中治理层是 IT控制的基础，旨在实现战略 目标，主要解决如何保障 IT价值、管理 IT相关风险、增强对信息的控制等问题；管理层面向可理解的执行活动，与现有系统应用 实施状况相关联，突出技术控制，旨在实现 IT目标，主要关注程序开发与变更、计算机操作流程、数据 访问以及相应的信息与沟通等属于 IT一般控制①范畴的内容；业务层则立足于企业 日常交易业务，强调 操作控制，旨在实现流程 目标，重点关注 IT流程及活动的完整性、准确性、有效性控制及授权与职务划 分等属于 IT应用控制②范畴的内容。(MariosDamiaides，2005；胡晓明，2009)在该结构中战略 目标位于 顶层，决定着其他两层级的目标集合，构成从企业战略到 IT实践的过程。目标和风险始终贯穿于整个 IT 控制各层级，战略风险分解为若干经营风险，经营风险再分解为若干流程风险，通过对风险级别分解，逐 步实现控制 目标；系统评价则是基于IT流程评价、由单项 (业务层)评价到综合 (企业层)评价、自下 而上层层迭代的过程。(参见图1) 本文得到 “江苏高校优势学科建设工程资助项 目”的支持。 ① IT一般控制是指运用于 IT管理和技术、与基础设施相关的控制。 ② IT应用控制是指运用于 IT作业流程、与 日常交易活动相关的控制。 44 管理层：一般控制 ＼ 目标 ／ 程序开发与变更 评 风 计算机操作流程 价 险 数据访问等 迭 级 代 别 ＼＼、— — —— √ f 、＼＼ 流程 ＼ 业务层：应用控制 ＼ 目标 ／ 完整性 准确性 、 右 特杜 罄相I 图1 层级结构与 IT控制 (二)IT控制系统评价思路 借鉴 目前