企业IT控制基本框架构建研究.docx
《企业IT控制基本框架构建研究.docx》由会员分享,可在线阅读,更多相关《企业IT控制基本框架构建研究.docx(14页珍藏版)》请在冰豆网上搜索。
企业IT控制基本框架构建研究
企业IT控制基本框架构建研究
3
胡晓明
(南京财经大学会计学院 210046【摘要】在对已有研究进行归纳和扩展的基础上,通过界定信息质量标准、明确IT目标、识别IT资源,形成一个管理部门易于理解的、关于“IT做什么”的理念,便于业务和IT目标的协调;进行基于信息系统生命周期的过程定位,以定义所覆盖的范围和领域;参考相关标准和相应的IT控制目标,形成我国企业适用的多层级过程控制集;建立成熟度模型(CMM、关键目标指标(KGI和关键绩效指标(KPI对企业行业地位、业务结果与过程进行评估、衡量,向信息系统相关利益方提供一种共享的通用语言。
【关键词】IT治理 IT标准 IT控制
一、引言
ImatiTechnolIT的进步,传统的内部控制理论已(IonSystems,简称IS的复杂度越高以及业务对IT的依赖性越强,。
欧洲Acadys和美国StandishGroup两家咨询公司的调查表明,许多企业虽已认识到IT的重要性,但并未将其视为企业的一项核心推动机制。
进一步调查发现,只有少部分企业能够对IT价值回报作出评价;大多数企业的IT投资项目并不成功,或至少存在相当数量的不健全因素。
因此,需要提供一套有效的IT治理(ITGovernance与内部控制框架,以提升IT价值、管理IT相关风险以及增加对信息的控制(MariosDamiaides,2005。
Weill和Ross将IT治理定义为,“指定决策权和责任框架,鼓励正确运营IT的行为”(Weill&Ross,2004;IT治理委员会认为,IT治理是企业管理者为保障企业IT支持组织战略和目标而进行的领导、组织架构设计和处理的过程,是IT资源的保证机制,价值、风险和控制构成了IT治理的核心(ITGovernanceInstitute,2007。
IT控制是指为了提供对企业战略目标合理保证并能阻止、发现、纠正IT活动中不期望事件的政策、流程与实践,是IT治理的制度安排及技术性支持手段。
麻省理工学院信息研究中心在对来自23个国家的250家企业进行了系统研究后指出,面对同样的战略目标,IT控制水平较高的企业,其获利能力比控制水平较低的企业高出20%;美国堪萨斯州把COBIT标准作为虚拟政府策略的一部分,为客户和委托人提供可靠、安全的信息,大大降低了运营成本;宝洁公司(Proctor&Gamble在采用ITIL标准的四年里,节省了超过5亿美元的预算。
实践证明,善治的、标准的治理结构有助于监督、控制企业关键的IT活动,从而增加企业价值、降低业务风险及提供合规的控制信息。
目前我国企业的信息化建设正逐步走向深入,传统的“人管人”为主的控制手段,已经不适应信息时代及企业发展的需要,企业财务报告及相关信息的产生与传递越来越依赖于IT控制的有效性。
为了摆脱IT应用中出现的“生产力悖论”现象,许多企业在IT投资上逐渐显示出谨慎态度,开始积极探索能够273本文是国家教育部社科规划基金项目“IS审计理论与实践研究”(05JA630026阶段性研究成果。
减少lT应用的风险、充分挖掘IT资源价值以及借助IT资源提升竞争力的途径。
然而,在IT治理的混沌时期,我国企业还不同程度存在着IT应用方案与业务需求之间逻辑错位、决策的技术经济论证不足、利益冲突和信息不透明以及IT风险管理缺位等问题,有关IT控制体系的理论研究还比较缺乏,尚未建立起一套相对完整的符合我国企业实际的IT控制框架标准,业界对IT风险的识别、分析和控制还处于摸索阶段,IT控制评价多以事后的监督、检查为主,缺乏指导方针和流程定位。
因此,在建立我国企业适用的IT控制标准问题上,怎样借鉴国际最佳实践?
如何解决“业务与IT两张皮”以及“信息孤岛”现象、实现内部控制与相关IT标准的整合与对接?
哪些地方需要改进以及需要采取怎样的管理工具以监控这种改进?
如何衡量IT的执行状况?
这些已成为我国企业信息化建设中的现实课题。
二、国内外研究现状及分析
企业IT控制的重要性己经引起了国内外理论界和实务界的关注,在研究状况方面,我们可以从标准控制、会计控制、审计控制以及风险评价等角度进行归纳综述。
(一标准控制视角
为了确保企业管理工具支持战略目标,国外控制模型融合了许多成熟经验并将其制度化。
其中,适用于公司治理及风险管理方面的控制模型有,美国的COSO、英国的Cadbury、加拿大的CoCo、南非的King等。
但是,这些模型框架只是针对企业的一般控制与治理,例如COSO“ERM(”新框架②有关IT对内部控制影响的规范仅在“控制活动”及“”IT控制系统并未作进一步探讨。
适用于IT,ITIL(、COBIT(信息及相关技术的控制目标、I((等。
从控制内容来看,ISITIL,Prince2则强调项目管理,比较而言,COB、风险管理、资源管理和绩效管理五个方面关注对企业的IT治理(Institute,2007,且突出了信息系统控制。
虽然COBIT提供了IT的基本治理框架,但是在IT治理的五个方面,尤其是对IT控制的方法和模型的研究和描述还是非常之少;另外,COBIT只是一个IT控制方面的目标框架,标准体系庞大,几乎涉及了问题的所有层面,虽具有通用性、全面性,但忽视了特殊性,且没有给出相应的改善手段与方法。
因此有学者建议将诸多IT标准结合起来实施IT治理,建立详细的IT流程对应关系(Hardy,2006。
(二会计控制视角
目前大多数有关IT控制文献是研究信息化条件下的会计控制问题。
有学者探讨了企业信息化对于内部会计控制的影响,IT背景下内部会计控制模型及规范问题,并提出了一些加强内部会计控制的措施(杨周南,2003;章铁生,2007;骆良彬、张白,2008。
然而,在信息化的条件下,会计信息系统已融入整个企业的管理信息系统(MIS中,会计控制的范围得到延伸④,会计控制的对象涵盖企业的全部IT资源(应用系统、信息、基础设施及人员,会计信息系统控制与整个企业的管理信息系统控制的边界越来越模糊。
会计界学者认为内部控制需要从财务报告导向到价值创造导向转型(李心合,2007;有学者借助系统论和制度经济学的有关理论,认为内部控制的内涵可以拓展为由企业治理控制、管理控制、信息系统控制和企业文化控制四个要素构成的一个更全面、更系统的控制框架体系(张宜霞,2004;有学者
37②
③④COSO委员会2004年提出了内部控制新框架“ERM(企业风险管理”,在内部控制整体框架五要素的基础上进行了拓展,增加了三个风险管理要素,分别是内部环境、目标设定、事件识别、风险评估、风险相应、控制活动、信息与沟通、监督。
COBIT(ControlObjectivesforInformationandRelatedTechnology:
1996年4月,ISACA首次面向全球公开发布了第一版COBIT框架,继2000年推出COBIT3rd之后,IT治理委员会2005年12月推出了更新版本COBIT410,2007年4月又推出了COBIT411。
我国企业内部控制标准委员会于2007年3月公布的《企业内部控制规范———基本规范》和17项具体规范的征求意见稿也预示了这种发展趋势。
在对信息化生态环境下企业内部控制变化趋势进行研究的基础上,借鉴国外先进的内部控制框架,构建信息系统环境中的有效内部控制机制(陈志斌,2007。
(三审计控制视角
早在计算机刚进入实用阶段,美国就提出了IS审计的概念。
ISACA(信息系统审计与控制协会⑤长期以来开展了大量的理论研究,通过制定和颁布IS审计准则、实务指南、职业道德准则等专业标准来规范和指导CISA(信息系统审计师的工作(ISACA,2003,促进了全球IS审计事业的进步。
国际审计准则20号公告《电子数据处理环境对会计制度和有关的内部控制研究与评价的影响》以及美国国家审计总署(GAO和注册会计师协会(AICPA颁布的《美国政府审计准则———电算化系统审计》、《IT对CPA评价内部控制的影响》等一系列规范,对信息系统控制与审计作出了多方面规定。
另外,日本通产省情报协会、英国IT审计师协会、匈牙利国家审计署以及美国信息系统审计专家RonA1Weber等在IS审计概念框架、内容体系以及相关应用方面均有不同程度的研究。
20世纪九十年代后期IS审计思想传播到我国,内部控制从内容侧重点和形式上都打上了审计专业或行业的烙印(刘明辉,张宜霞,2002,例如中国注册会计师协会1999年的《独立审计具体准则第20号———计算机信息系统环境下的审计》、2007年的《中国注册会计师审计准则第1633号———电子商务对财务报表审计的影响》以及中国内部审计协会2008年9月的《内部审计具体准则第28号———信息系统审计》等对IT环境下的审计作了规范和要求。
许多研究者从审计的角度对IT控制进行了研究,把寻求答案的目标归结到IS审计上,IT治理相结合,并提出了一些解决IT(,,胡克瑾,2003;金文,张金城,2005;,流程下如何进行有效控制的新流程(,;IT标准,以信息系统保障、控制、审计的完整概念框架,规划基于风险基础IS审计流程,(,2006。
然而,内部控制已涵盖企业管理的所有层面,IS审计只。
这一点从COSO、COBIT的转型中可以看出,这些标准早期都是立足于审计而制定的⑥。
(四风险评价视角
从COSO新框架的构成要素来看,风险评价是内部控制的一个关键环节,是制定控制措施和实施控制活动的基础。
在定性研究方面,国外学者认为,评估风险、信息安全政策、安全和灾难计划是掌控信息系统的重要途径(ThomasWijsman,PeterPaans,1996,并提出IS审计中风险评价的策略;有学者分析研究IT风险评价、内部控制评价以及风险控制与内部控制之间的关系(赵雪媛,2003;黄小毛,陈志诚,2005;有学者探求如何帮助企业设计一套合理的风险评价体系(AndredeKorvin,2004;杨武岐,2005。
在定量研究方面,有学者认为对安全性进行评价可使用确定性模型,如叶贝斯模型(RonA1Weber,1999;有学者运用可靠性理论和数理统计知识构建内部控制系统评价的数学分析模型,判断内部控制的有效性(王立勇,2004;有学者还对IT相关的风险采用多级的模糊综合评价方法实现了对系统风险的量化,运用层次分析法(AHP确定层次结构中风险影响因素的权重系数,并改进了评判方法和评价准则,甚至为IT风险控制模型或方法提供了可行的数学表达形式(王祯学等,2004。
然而,目前信息系统风险评价的理论研究还主要是面向审计领域,且这些评价方法缺乏统一的标准模式指导。
在内部控制发展的历史上,理论往往落后于实践发展的需要(MichaelChatfield,1977。
国外在IT控制方面的研究虽然较早,也制定了一些通用的IT控制标准,但总的来说仍然处于探索阶段,理论研究文
47⑤
⑥ISACA(InformationSystemAuditandControlAssociation:
该协会成立于1969年,最初称为电子数字处理(EDP审计师联合会,1994年更名。
如COSO原先主要服务于外部审计,现面向企业风险管理;COBIT由ISACA参与制定,后改由IT治理委员会独立制定。
献仍不多见,一些标准和框架还在不断修改和完善之中。
国内关于IT对内部控制的影响整体而言关注还不够(刘志远等,2001,陈志斌,2007。
国内研究主要是归纳和总结企业IT控制的现状与问题,而且集中于探讨信息化和网络环境对会计、审计职业的影响,缺乏对IT控制进行具体分析、预测和评价,提出的解决策略和实施办法往往不具有系统性和可操作性。
因此,相应问题的建议和措施也就成了空中楼阁。
因此,基于IT治理的内部控制的研究在国际上尚属新兴领域,很多研究还不够成熟,很难生搬硬套国外现成的研究成果。
从长远发展的角度看,要想在该领域取得实质性突破,还需要拓展传统控制理论的研究范式,建立一套适合我国企业需要的IT控制标准体系与理论框架。
三、企业IT控制框架的主要内容
本文主要研究最佳实践的采用以及IT控制框架的构建。
在最佳实践的采用过程中,拟以COBIT作为主要参照标准,同时借鉴国外其他IT标准。
如在对信息系统安全方面进行审核时,参照ISO17799中的相应内容以及CMM标准;在涉及信息系统的交付和支持时,采用ITIL中的内容来对IT过程进行评价和审计;在对IT控制的建设情况进行评价时,参照COSO中的相应条款。
(一界定信息质量标准、明确IT目标和识别IT资源
构建基于IT治理的我国企业IT控制框架应将IT业务聚焦在界定信息质量标准、明确IT目标和识别IT资源上。
1.界定信息质量标准。
信息质量不仅反映信息系统的运行环境,性、可靠性、安全性、完整性及合规性等。
IT程相关的系统信息以及时、连续和可行的方式传递;提供适当、可靠的信息;地提供,;、惯例以及协议安排相符合。
2.明确ITIT与业务的融合、IT资源被合理利用、IT风险得到适当管理,IT活动实施控制程序,以达到期望结果或目的的总体描述。
具体应包括取得并维护整体的标准化应用系统、IT基础设施,取得并满足IT战略要求的IT技术,确保终端客户对服务项目和服务水平的满意,确保信息的充分利用,确保将商业运作与控制需求转变为有效且高效的自动化方案,确保不断的将应用程序整合到业务流程中,确保IT成本、收益以及服务的透明度和可理解性,充分利用IT
基础设图1 企业IT架构施、资源和能力,保护IT目标的成果,确保未经受权者无法获得重
要且机密的信息,确保灾害性恢复,保证IT服务在有需要时即可
提供,保持信息及处理的完整性,确保信息技术合法合规,等等。
3.识别IT资源。
企业的IT资源包括系统网络、系统硬件设
备、软件系统、数据库、机房以及使用和维护系统的部门及人员
等,具体可分为信息、应用程序、基础设施和人员四大部分。
这些
资源融入IT过程后组成了一个企业的IT架构。
(参见图1
(二流程分解
IT资源是有限的,IT风险应该被有效控制。
如何管理好IT资源、控制IT风险呢?
我们认为,通过IT过程控制能实现这个目标。
因为IT资源被IT活动所使用,所以控制好IT活动就能够管理好IT资源,但是企业的IT活动非常频繁,给直接控制带来了困难;如果将IT活动划分为若干过程集,问题就能得以解决。
因此,控制了IT过程也就控制了IT活动。
按IT活动与企业IS生命周期相对性,可以进一步将信息系统划分为系统规划、系统运行、环境支持、监督评价四个领域。
应用IT平衡计分卡(BSC进行过程定位,构建“活动”→“过程”→“领域”的过程集(参见图2。
该过程集由业务需求驱动,并覆盖关键IT活动范围(关键控制点。
5
7
(三控制设计
控制目标是达到IT过程有效控制的最低要求,以识别需要控制的关键控制点。
过程控制包括业务控制和IT控制。
目前,大多数企业的业务过程实现了信息化、自动化,但仍存在人工步骤,比如,授权批准、职务分离和管理协调等,这些应属于业务控制范畴。
IT控制是指适用于所有IT服务活动的控制,具体可划分为一般控制和应用控制(参见图3。
与通常认识不同的是,一般控制是指运用于IT过程和服务、与基础设施相关的控制,具体包括程序开发与变更、计算机操作流程和数据访问等;应用控制是指运用于业务活动中的控制,包括完整性、准确性、有效性控制及授权与职务划分等。
同时,通过构建RACI表以明确关键控制活动的负担者(R、责任人(A、咨询人(C及告知人(I
。
图2 流程分解
(四,,如果不能描述就不能衡量(罗伯特・卡普兰、大卫・诺顿,2004,创立了用于描述的战略地图。
对于IT控制来说同样如此,如果我们不能描述(评价好IT过程,也就不能衡量IT目标及执行情况;如果不能衡量,那么也就不能管理好IT资源。
1.成熟度(CMM模型。
识别关键IT过程和控制后,基于主观标准(满意度用成熟度模型对过程能力进行评价(侧重于定性方法,发现性能缺口并显示给管理部门,以便改进活动计划,达到期望的目标能力水平。
成熟度的基本模型参见图4
。
图4 成熟度模型图例
2.实施状况衡量。
基于客观标准通过定义关键目标指标(KGI和关键绩效指标(KPI对过程进行评估(侧重于定量方法,以对过程中可能存在的风险进行预警。
KGI属于基础性或称为“滞后性”指6
7
标,用来测度某一环节战略目标、IT目标、IT过程以及活动目标是否达到,相应指标体系应包括关键战略目标指标、关键IT目标指标、关键IT过程指标以及关键活动目标指标等四个层次。
KPI是一种“先导性”指标,用来测度某一环节的执行效果。
KPI与KGI二者在某一特定层面上存在着重要的因果关联性,是管理部门校正执行状况并使其与目标保持一致的衡量标准。
通常运用分层评价方法(AHP构建基于IT治理的企业IT控制的指标评价体系(KPI/KGI。
目标、过程与衡量之间的关系可以表述为(参见图5,目标被自上而下的定义,其中战略目标决定并支持一系列的IT目标,IT目标将决定所需的不同过程目标,并且每一个过程目标将建立若干活动目标。
目标的获得由实施状况指标来衡量,并且它可以驱动更高级别的目标。
比如:
过程目标关键目标指标(KGI是一个IT目标关键绩效指标(KPI的驱动。
图5 目标与衡量之间的关系3.IS审计。
IS审计过程域的核心在于监管和评估过程,提供独立的IT控制审计报告⑦。
IS审计监督作为一个独立的过程,通过审核相关技术、管理和评价文档,依据信息质量标准、IT目标以及衡量指标,制定具体的审计计划,实施切合实际和技术可行的IS审计测试程序,获得可信的IS审计鉴证报告,用以帮助监控、评估特定过程的风险和有效性。
企业IT控制框架结构参见图6。
四、结语我国企业目前IT投资额总体上呈逐年增长的趋势,体现了“全民参与”的格局。
一般认为,投入越多,说明信息化程度越高。
IC(国际数据资讯公D司公布的统计数字显示,2005年全球在IT方面的总投资额超过了1万亿美元,在近二十年的时间里,美国企业每投入1美元就有一半以上花在IT支出上(杰普·布勒姆等,2008。
从诺兰模型看,改革开放三十年来,我国企业信息化建设完成了从计算机时代图6 企业IT控制框架向信息时代的转型,部分企业已经或即将进入从投资中获得实际收益的优化阶段,即信息化建设更加注重各系统间、各应用间的集成、协调发展,IT投资的增长内涵与速度将更趋理性。
在参照国外相关IT标准,从系统性、目标性、层次性和过程性等高度,构建结构化、程式化的IT控制框架结构,为过程结构及其高水⑦IT控制审计报告是指IS审计人员根据审计计划对被审计信息系统实施必要的审计程序后,就IT控制的适当性、合法性和有效性出具的书面文件。
771994-2009ChinaAcademicJournalElectronicPublishingHouse.Allrightsreserved.
平适应业务的方法提供了一个IT端对端的见解,减少对人的依赖,以降低因信息化和透明化带来的利益冲突所形成的制度面成本,对于建立和完善我国企业IT控制规范具有一定的方法参考和理论借鉴价值。
构建我国的IT控制框架并在实践中不断完善,这将是一个不断学习、借鉴、探索并提高的过程。
“借鉴”不等于“效仿”由于国内外治理环境还存在相当差异,比如我国IT治理结构明显有别于美国等发达国,家。
因此,我国应着眼于商业目标与IT目标、IT流程的衔接,增加与其他标准的接口,整合多种新思想和国际最佳实践,构建适用的、协同的中国IT标准,实现我国公司治理与IT治理及其相关领域的有机结合,同时,避免各标准体系局部覆盖和冲突,使各体系之间能够合理有效地兼容和互补,从而支撑业务的运营。
主要参考文献陈志斌.2007.信息化生态环境下的企业内部控制框架研究.会计研究,1:
30-37黄小毛,陈志诚.2005.论IS中的风险与内部控制.价值工程,12:
87-89胡晓明.2006.基于信息时代的IS审计若干理论与应用问题探讨.当代财经,2:
125-128郝晓玲,胡克瑾.2003.信息系统审计的体系框架初探.同济大学学报,5:
71-75罗伯特·卡普兰,大卫·诺顿.2004.平衡计分卡.广东经济出版社骆良彬,张白.2008.企业信息化过程中内部控制问题研究.会计研究,5:
69-75刘明辉,张宜霞.2002.内部控制的经济学思考.会计研究,8:
54-56李心合.2007.内部控制:
从财务报告导向到价值创造导向.会计研究,4:
54-60李自洁,李若山.2007.集团企业ERP的风险分析与控制:
论计算机日志连续审计模型,研究与发展管理,6:
72-77刘志远.2001.信息技术条件下的企业内部控制.会计研究,12:
32-36杰普·布勒姆,梅农·范多恩,皮亚士·米托尔.2008.SOX环境下的IT治理.东北财经大学出版社金文,张金城.2005.基于COBIT的信息系统管理、控制与审计的模型构建研究.审计研究,4:
75-79孙强,李长征.2003.信息系统审计:
安全风
升级会员 