基于层级结构的企业IT控制系统评价体系构建_胡晓明.pdfVIP

基于层级结构的企业IT * 控制系统评价体系构建 胡晓明 ( 210046 212013) 南京财经大学会计学院 江苏大学财经学院 【 】IT IT ， 、 。 IT 摘要 控制是适用于所有 服务活动的控制过程 是一个自上而下 目标驱动的结构 本文将 控制分为 、 ， 、 IT 。 治理层 管理层和业务层等三个层级 基于层级结构 风险分解构建 控制评价体系 评价过程包括业务层评 ， IT ， 。 价和企业层评价两大两部分 从低层级的 流程到高层级的战略目标 逐级逐层迭代评价 【 】IT 关键词 控制 层级结构 系统评价 、 IT ，IT ( 、 、 企业信息系统的复杂度越高 业务对 的依赖性越强 资源 系统应用 信息 基础设施和人 员) 。 IT ， IT ， 带来的风险也就越大 在 治理的混沌时期 我国企业还不同程度的存在着 风险管理缺失问题 IT 、 ， 、 ， 业界对 风险的识别 分析和控制还处于摸索阶段 系统评价多以事后 静态为主 且控制过程不具有 ( 、 ，2009)。 ， IT ， IT ， 可审计性 周常兰 陈宝峰 在现阶段 开展 控制系统评价研究 构建 控制系统评价体系 IT 、 IT 、 。 对于完善我国企业 控制架构 防范 风险 实现发展战略具有重要的理论价值与现实指导意义 一、IT 控制的层级结构及评价体系 ( )IT 一 控制的层级结构 IT IT ， 、 ， 控制是适用于所有 服务活动的风险管理过程 是一个自上而下 目标驱动的结构 其一般框架 IT 、IT IT (Hardy ，2006)。 ，IT 、 包涵 治理 管理与技术以及 作业流程等相关内容 由此 控制可分为治理层 ， IT ， ， 管理层和业务层等三个对应层级 其中治理层是 控制的基础 旨在实现战略目标 主要解决如何保障 IT 、 IT 、 ; ， 价值 管理 相关风险 增强对信息的控制等问题 管理层面向可理解的执行活动 与现有系统应用 ， ， IT ， 、 、 实施状况相关联 突出技术控制 旨在实现 目标 主要关注程序开发与变更 计算机操作流程 数据 IT ①