企业IT控制基本框架构建研究.docVIP

企业I T 控制基本框架构建研究 3 胡晓明 (南京财经大学会计学院　210046 【摘要】在对已有研究进行归纳和扩展的基础上, 通过界定信息质量标准、明确I T 目标、识别I T 资源, 形成一个管理部门易于理解的、关于“I T 做什么”的理念, 便于业务和I T 目标的协调; 进行基于信息系统生命周期的过程定位, 以定义所覆盖的范围和领域; 参考相关标准和相应的I T 控制目标, 形成我国企业适用的多层级过程控制集; 建立成熟度模型(C MM 、关键目标指标(KGI 和关键绩效指标(KP I 对企业行业地位、业务结果与过程进行评估、衡量, 向信息系统相关利益方提供一种共享的通用语言。 【关键词】I T 治理　I T 标准　I T 控制 一、引言 I mati Technol I T 的进步, 传统的内部控制理论已(I on Syste m s, 简称I S 的复杂度越高以及业务对I T 的依赖性越强, 。欧洲Acadys 和美国Standish Gr oup 两家咨询公司的调查表明, 许多企业虽已认识到I T 的重要性, 但并未将其视为企业的一项核心推动机制。进一步调查发现, 只有少部分企业能够对I T 价值回报作出评价; 大多数企业的I T 投资项目并不成功, 或至少存在相当数量的不健全因素。因此, 需要提供一套有效的I T 治理(I T Governance 与内部控制框架, 以提升I T 价值、管理I T 相关风险以及增加对信息的控制(Mari os Da m iaides, 2005 。W eill 和Ross 将I T 治理定义为, “指定决策权和责任框架, 鼓励正确运营I T 的行为”(W eill Ross, 2004 ; I T 治理委员会认为, I T 治理是企业管理者为保障企业I T 支持组织战略和目标而进行的领导、组织架构设计和处理的过程, 是I T 资源的保证机制, 价值、风险和控制构成了I T 治理的核心(I T Governance I nstitute, 2007 。I T 控制是指为了提供对企业战略目标合理保证并能阻止、发现、纠正I T 活动中不期望事件的政策、流程与实践, 是I T 治理的制度安排及技术性支持手段。麻省理工学院信息研究中心在对来自23个国家的250家企业进行了系统研究后指出, 面对同样的战略目标, I T 控制水平较高的企业, 其获利能力比控制水平较低的企业高出20%; 美国堪萨斯州把COB I T 标准作为虚拟政府策略的一部分, 为客户和委托人提供可靠、安全的信息, 大大降低了运营成本; 宝洁公司(Pr oct or Ga mble 在采用I TI L 标准的四年里, 节省了超过5亿美元的预算。实践证明, 善治的、标准的治理结构有助于监督、控制企业关键的I T 活动, 从而增加企业价值、降低业务风险及提供合规的控制信息。 目前我国企业的信息化建设正逐步走向深入, 传统的“人管人”为主的控制手段, 已经不适应信息时代及企业发展的需要, 企业财务报告及相关信息的产生与传递越来越依赖于I T 控制的有效性。为了摆脱I T 应用中出现的“生产力悖论”现象, 许多企业在I T 投资上逐渐显示出谨慎态度, 开始积极探索能够273本文是国家教育部社科规划基金项目“I S 审计理论与实践研究”(05JA630026 阶段性研究成果。 减少lT 应用的风险、充分挖掘I T 资源价值以及借助I T 资源提升竞争力的途径。然而, 在I T 治理的混沌时期, 我国企业还不同程度存在着I T 应用方案与业务需求之间逻辑错位、决策的技术经济论证不足、利益冲突和信息不透明以及I T 风险管理缺位等问题, 有关I T 控制体系的理论研究还比较缺乏, 尚未建立起一套相对完整的符合我国企业实际的I T 控制框架标准, 业界对I T 风险的识别、分析和控制还处于摸索阶段, I T 控制评价多以事后的监督、检查为主, 缺乏指导方针和流程定位。 因此, 在建立我国企业适用的I T 控制标准问题上, 怎样借鉴国际最佳实践? 如何解决“业务与I T 两张皮”以及“信息孤岛”现象、实现内部控制与相关I T 标准的整合与对接? 哪些地方需要改进以及需要采取怎样的管理工具以监控这种改进? 如何衡量I T 的执行状况? 这些已成为我国企业信息化建设中的现实课题。 二、国内外研究现状及分析 企业I T 控制的重要性己经引起了国内外理论界和实务界的关注, 在研究状况方面, 我们可以从标准控制、会计控制、审计控制以及风险评价等角度进行归纳综述。 (一 标准控制视角 为了确保企业管理工具支持战略目标, 国外控制模型融合了许多成熟经验并将其制度化。其中, 适用于公司治理及风险管理方面的控制模型有, 美国的COS O 、英国的C