基于IT治理信息系统内部控制对策研究.docVIP

基于IT治理的信息系统内部控制对策研究 　　【摘要】 IT治理为IT控制提供了制度环境，而IT控制的有效性又直接反映了IT治理的成效。没有企业IT控制体系的畅通，单纯的IT治理模式就无法落地。文章通过界定IT治理与IT内部控制的概念和两者的关系，提出了基于IT治理的IT内控相关措施。 　　【关键词】 IT治理；IT内部控制；对策研究 　　 　　2008年6月，堪称我国SOX法案的《企业内部控制基本规范》正式出台；2010年，《企业内部控制配套指引》全面推出，我国企业内部控制规范体系正式形成，对内部控制的重视达到了前所未有的高度。而探讨企业内部控制就必须注意到，随着IT应用的逐步深入，企业的日常运营越来越依赖于IT系统的支撑。IT的发展在给企业带来收益的同时，也给企业带来了越来越大的风险。没有正确的IT治理机制，就无法确保IT决策的正确性，无法控制信息化进程给企业带来的各种风险。而我国企业目前仍处于IT内控与风险管理的萌芽期，在基于IT治理的IT内部控制制度建设方面较为薄弱，文章主要针对此问题提出一些对策。 　　 　　一、IT治理与IT内部控制的相关概念 　　 　　（一）IT治理 　　关于IT治理的概念，不同学者有着不同的定义，以下为有代表性的几种： 　　ISACA（信息系统审计和控制协会）定义IT治理是一个由关系和过程所构成的体制，用于指导和控制企业，通过平衡信息技术与过程的风险、增加价值来确保实现企业的目标。价值、风险与控制是IT治理的核心 ； 　　全球IT治理协会（ITGI）认为IT治理主要是董事会和执行层的责任，是企业治理的重要组成部分，通过领导、组织和过程来保证IT实现和推动企业战略目标的发展； 　　Robert S . Roussey （美国南加州大学教授）认为：IT治理用于描述被委托治理实体的人员在监督、检查、控制和指导实体的过程中如何看待信息技术。IT的应用对于企业能否实现愿景、使命、战略目标至关重要 ； 　　Peter Weill 认为IT治理是在IT应用过程中，为鼓励期望行为而明确的IT决策权和责任框架 ； 　　Gartner集团（著名IT分析公司）认为，IT治理是一种新的商业范式。这种新范式的形成是由战略竞争力、全球化、业务流程共享网络和实时性的企业新需求所驱动的； 　　德勤咨询公司认为IT治理是一个含义广泛的术语，包括信息系统、技术、通讯、商业、所有利益相关者、合法性和其他问题； 　　国内学者胡克瑾（同济大学博士生导师）认为：IT治理是一个关系和过程的结构，用来指导和控制企业，通过平衡在IT及其过程中的风险和回报来增加企业价值从而达到企业的目标。 　　（二）IT治理的相关标准 　　目前在IT治理领域公认的国际标准主要有以下几种： 　　1.COBIT（信息及相关技术的控制目标）模型。它是ISACA制定的面向过程的信息系统审计和评价的标准，是基于IT治理概念的、面向IT建设过程的IT治理实现指南和审计标准。其侧重点在于IT过程控制和IT度量评价，从战略、战术、运营层面给出了对IT的评测、量度和审计方法，它的应用较为广泛，其目标对象是信息系统审计人员，企业高级IT管理人员。 　　2.ITIL（IT基础架构库）。ITIL是一套IT管理指南，列出了各个服务管理流程“最佳”的目标、活动、输入和输出以及各个流程之间的关系，主要关注IT的战术和运营层面，对IT服务的提供和支持定义了更为详细和更易理解的过程集。 　　3.ISO/IEC 17799/27001，是有关信息安全管理的国际标准。该标准可用于组织的信息安全管理体系的建立和实施，保障组织的信息安全，侧重于强调信息安全管理体系的有效性、经济性、全面性、普遍性和开放性，涵盖内容非常广泛。 　　4.COSO委员会《企业风险管理――整合框架》和SOX法案（《2002年萨班斯-奥克斯利法案》）。前者是美国COSO委员会提出的内部控制理论框架和操作框架，关注企业风险管理。从IT角度看，该框架关于IT对内部控制影响的规范主要体现在“控制活动”和“信息与沟通”要素中。后者对企业的公司治理、IT治理和IT控制提出了更严格的要求。 　　此外还有PRINCE2（受控环境下的项目）、CMM1（能力成熟度集成模型）和PMPOK等。PRINCE2重点强调项目的可控性，明确项目管理中人员、角色的具体职责，同时实现项目管理质量的不断改进。CMM1是一种用于评价软件组织能力并帮助改善软件质量的方法，已经成为评价软件组织开发过程的标准，成为软件组织过程改进的参考依据。PMPOK主要适用于所有类型的工程项目管理。这些模型从不同的角度对IT治理进行了规范。 　　（三）IT内部控制 　　当前对IT控制并没有较为权威和统一的定义，处于不同角度（例如外部审计人