企業(yè)IT控制基本框架構(gòu)建研究

1、 企業(yè)I T 控制基本框架構(gòu)建研究3胡曉明(南京財經(jīng)大學會計學院210046 【摘要】在對已有研究進行歸納和擴展的基礎上, 通過界定信息質(zhì)量標準、明確I T 目標、識別I T 資源, 形成一個管理部門易于理解的、關于“I T 做什么”的理念, 便于業(yè)務和I T 目標的協(xié)調(diào); 進行基于信息系統(tǒng)生命周期的過程定位, 以定義所覆蓋的范圍和領域; 參考相關標準和相應的I T 控制目標, 形成我國企業(yè)適用的多層級過程控制集; 建立成熟度模型(C MM 、關鍵目標指標(KGI 和關鍵績效指標(KP I 對企業(yè)行業(yè)地位、業(yè)務結(jié)果與過程進行評估、衡量, 向信息系統(tǒng)相關利益方提供一種共享的通用語言?！娟P鍵詞】I

2、 T 治理I T 標準I T 控制一、引言I mati Technol I T 的進步, 傳統(tǒng)的內(nèi)部控制理論已(I on Syste m s, 簡稱I S 的復雜度越高以及業(yè)務對I T 的依賴性越強, 。歐洲Acadys 和美國Standish Gr oup 兩家咨詢公司的調(diào)查表明, 許多企業(yè)雖已認識到I T 的重要性, 但并未將其視為企業(yè)的一項核心推動機制。進一步調(diào)查發(fā)現(xiàn), 只有少部分企業(yè)能夠?qū) T 價值回報作出評價; 大多數(shù)企業(yè)的I T 投資項目并不成功, 或至少存在相當數(shù)量的不健全因素。因此, 需要提供一套有效的I T 治理(I T Governance 與內(nèi)部控制框架, 以提升I T

3、 價值、管理I T 相關風險以及增加對信息的控制(Mari os Da m iaides, 2005 。W eill 和Ross 將I T 治理定義為, “指定決策權(quán)和責任框架, 鼓勵正確運營I T 的行為”(W eill &Ross, 2004 ; I T 治理委員會認為, I T 治理是企業(yè)管理者為保障企業(yè)I T 支持組織戰(zhàn)略和目標而進行的領導、組織架構(gòu)設計和處理的過程, 是I T 資源的保證機制, 價值、風險和控制構(gòu)成了I T 治理的核心(I T Governance I nstitute, 2007 。I T 控制是指為了提供對企業(yè)戰(zhàn)略目標合理保證并能阻止、發(fā)現(xiàn)、糾正I T 活

4、動中不期望事件的政策、流程與實踐, 是I T 治理的制度安排及技術性支持手段。麻省理工學院信息研究中心在對來自23個國家的250家企業(yè)進行了系統(tǒng)研究后指出, 面對同樣的戰(zhàn)略目標, I T 控制水平較高的企業(yè), 其獲利能力比控制水平較低的企業(yè)高出20%; 美國堪薩斯州把COB I T 標準作為虛擬政府策略的一部分, 為客戶和委托人提供可靠、安全的信息, 大大降低了運營成本; 寶潔公司(Pr oct or &Ga mble 在采用I TI L 標準的四年里, 節(jié)省了超過5億美元的預算。實踐證明, 善治的、標準的治理結(jié)構(gòu)有助于監(jiān)督、控制企業(yè)關鍵的I T 活動, 從而增加企業(yè)價值、降低業(yè)務風險

5、及提供合規(guī)的控制信息。目前我國企業(yè)的信息化建設正逐步走向深入, 傳統(tǒng)的“人管人”為主的控制手段, 已經(jīng)不適應信息時代及企業(yè)發(fā)展的需要, 企業(yè)財務報告及相關信息的產(chǎn)生與傳遞越來越依賴于I T 控制的有效性。為了擺脫I T 應用中出現(xiàn)的“生產(chǎn)力悖論”現(xiàn)象, 許多企業(yè)在I T 投資上逐漸顯示出謹慎態(tài)度, 開始積極探索能夠273本文是國家教育部社科規(guī)劃基金項目“I S 審計理論與實踐研究”(05JA630026 階段性研究成果。 減少lT 應用的風險、充分挖掘I T 資源價值以及借助I T 資源提升競爭力的途徑。然而, 在I T 治理的混沌時期, 我國企業(yè)還不同程度存在著I T 應用方案與業(yè)務需求之間

6、邏輯錯位、決策的技術經(jīng)濟論證不足、利益沖突和信息不透明以及I T 風險管理缺位等問題, 有關I T 控制體系的理論研究還比較缺乏, 尚未建立起一套相對完整的符合我國企業(yè)實際的I T 控制框架標準, 業(yè)界對I T 風險的識別、分析和控制還處于摸索階段, I T 控制評價多以事后的監(jiān)督、檢查為主, 缺乏指導方針和流程定位。因此, 在建立我國企業(yè)適用的I T 控制標準問題上, 怎樣借鑒國際最佳實踐? 如何解決“業(yè)務與I T 兩張皮”以及“信息孤島”現(xiàn)象、實現(xiàn)內(nèi)部控制與相關I T 標準的整合與對接? 哪些地方需要改進以及需要采取怎樣的管理工具以監(jiān)控這種改進? 如何衡量I T 的執(zhí)行狀況? 這些已成為我

7、國企業(yè)信息化建設中的現(xiàn)實課題。二、國內(nèi)外研究現(xiàn)狀及分析企業(yè)I T 控制的重要性己經(jīng)引起了國內(nèi)外理論界和實務界的關注, 在研究狀況方面, 我們可以從標準控制、會計控制、審計控制以及風險評價等角度進行歸納綜述。(一 標準控制視角為了確保企業(yè)管理工具支持戰(zhàn)略目標, 國外控制模型融合了許多成熟經(jīng)驗并將其制度化。其中, 適用于公司治理及風險管理方面的控制模型有, 美國的COS O 、英國的Cadbury 、加拿大的CoCo 、南非的King 等。但是, 這些模型框架只是針對企業(yè)的一般控制與治理, 例如COS O “ER M ( ”新框架有關I T 對內(nèi)部控制影響的規(guī)范僅在“控制活動”及“”I T 控制系

8、統(tǒng)并未作進一步探討。適用于I T , I TI L ( 、COB I T (信息及相關技術的控制目標 、I ( 等。從控制內(nèi)容來看, I S I TI L , Prince2則強調(diào)項目管理, 比較而言, COB 、風險管理、資源管理和績效管理五個方面關注對企業(yè)的I T 治理(I nstitute, 2007 , 且突出了信息系統(tǒng)控制。雖然COB I T 提供了I T 的基本治理框架, 但是在I T 治理的五個方面, 尤其是對I T 控制的方法和模型的研究和描述還是非常之少; 另外, COB I T 只是一個I T 控制方面的目標框架, 標準體系龐大, 幾乎涉及了問題的所有層面, 雖具有通用性、

9、全面性, 但忽視了特殊性, 且沒有給出相應的改善手段與方法。因此有學者建議將諸多I T 標準結(jié)合起來實施I T 治理, 建立詳細的I T 流程對應關系(Hardy, 2006 。(二 會計控制視角目前大多數(shù)有關I T 控制文獻是研究信息化條件下的會計控制問題。有學者探討了企業(yè)信息化對于內(nèi)部會計控制的影響, I T 背景下內(nèi)部會計控制模型及規(guī)范問題, 并提出了一些加強內(nèi)部會計控制的措施(楊周南, 2003; 章鐵生, 2007; 駱良彬、張白, 2008 。然而, 在信息化的條件下, 會計信息系統(tǒng)已融入整個企業(yè)的管理信息系統(tǒng)(M I S 中, 會計控制的范圍得到延伸, 會計控制的對象涵蓋企業(yè)的全

10、部I T 資源(應用系統(tǒng)、信息、基礎設施及人員 , 會計信息系統(tǒng)控制與整個企業(yè)的管理信息系統(tǒng)控制的邊界越來越模糊。會計界學者認為內(nèi)部控制需要從財務報告導向到價值創(chuàng)造導向轉(zhuǎn)型(李心合, 2007 ; 有學者借助系統(tǒng)論和制度經(jīng)濟學的有關理論, 認為內(nèi)部控制的內(nèi)涵可以拓展為由企業(yè)治理控制、管理控制、信息系統(tǒng)控制和企業(yè)文化控制四個要素構(gòu)成的一個更全面、更系統(tǒng)的控制框架體系(張宜霞, 2004 ; 有學者37COS O 委員會2004年提出了內(nèi)部控制新框架“ERM (企業(yè)風險管理 ”, 在內(nèi)部控制整體框架五要素的基礎上進行了拓展, 增加了三個風險管理要素, 分別是內(nèi)部環(huán)境、目標設定、事件識別、風險評估、

11、風險相應、控制活動、信息與溝通、監(jiān)督。COB I T (Contr ol Objectives f or I nf or mati on and Related Technol ogy :1996年4月, I S ACA 首次面向全球公開發(fā)布了第一版COB I T 框架, 繼2000年推出COB I T3rd 之后, I T 治理委員會2005年12月推出了更新版本COB I T410, 2007年4月又推出了COB I T411。我國企業(yè)內(nèi)部控制標準委員會于2007年3月公布的企業(yè)內(nèi)部控制規(guī)范基本規(guī)范和17項具體規(guī)范的征求意見稿也預示了這種發(fā)展趨勢。 在對信息化生態(tài)環(huán)境下企業(yè)內(nèi)部控制變化趨勢

12、進行研究的基礎上, 借鑒國外先進的內(nèi)部控制框架, 構(gòu)建信息系統(tǒng)環(huán)境中的有效內(nèi)部控制機制(陳志斌, 2007 。(三 審計控制視角早在計算機剛進入實用階段, 美國就提出了I S 審計的概念。I S ACA (信息系統(tǒng)審計與控制協(xié)會 長期以來開展了大量的理論研究, 通過制定和頒布I S 審計準則、實務指南、職業(yè)道德準則等專業(yè)標準來規(guī)范和指導C I S A (信息系統(tǒng)審計師 的工作(I S ACA, 2003 , 促進了全球I S 審計事業(yè)的進步。國際審計準則20號公告電子數(shù)據(jù)處理環(huán)境對會計制度和有關的內(nèi)部控制研究與評價的影響以及美國國家審計總署(G AO 和注冊會計師協(xié)會(A I CP A 頒布的

13、美國政府審計準則電算化系統(tǒng)審計、I T 對CP A 評價內(nèi)部控制的影響等一系列規(guī)范, 對信息系統(tǒng)控制與審計作出了多方面規(guī)定。另外, 日本通產(chǎn)省情報協(xié)會、英國I T 審計師協(xié)會、匈牙利國家審計署以及美國信息系統(tǒng)審計專家Ron A 1W eber 等在I S 審計概念框架、內(nèi)容體系以及相關應用方面均有不同程度的研究。20世紀九十年代后期I S 審計思想傳播到我國, 內(nèi)部控制從內(nèi)容側(cè)重點和形式上都打上了審計專業(yè)或行業(yè)的烙印(劉明輝, 張宜霞, 2002 , 例如中國注冊會計師協(xié)會1999年的獨立審計具體準則第20號計算機信息系統(tǒng)環(huán)境下的審計、2007年的中國注冊會計師審計準則第1633號電子商務對財

14、務報表審計的影響以及中國內(nèi)部審計協(xié)會2008年9月的內(nèi)部審計具體準則第28號信息系統(tǒng)審計等對I T 環(huán)境下的審計作了規(guī)范和要求。許多研究者從審計的角度對I T 控制進行了研究, 把尋求答案的目標歸結(jié)到I S 審計上, I T 治理相結(jié)合, 并提出了一些解決I T (, , 胡克瑾, 2003; 金文, 張金城, 2005 ; , 流程下如何進行有效控制的新流程(, ; I T 標準, 以信息系統(tǒng)保障、控制、審計的完整概念框架, 規(guī)劃基于風險基礎I S 審計流程, (, 2006 。然而, 內(nèi)部控制已涵蓋企業(yè)管理的所有層面, I S 審計只。這一點從COS O 、COB I T 的轉(zhuǎn)型中可以看出

15、, 這些標準早期都是立足于審計而制定的。(四 風險評價視角從COS O 新框架的構(gòu)成要素來看, 風險評價是內(nèi)部控制的一個關鍵環(huán)節(jié), 是制定控制措施和實施控制活動的基礎。在定性研究方面, 國外學者認為, 評估風險、信息安全政策、安全和災難計劃是掌控信息系統(tǒng)的重要途徑(ThomasW ijs man, Peter Paans, 1996 , 并提出I S 審計中風險評價的策略; 有學者分析研究I T 風險評價、內(nèi)部控制評價以及風險控制與內(nèi)部控制之間的關系(趙雪媛, 2003; 黃小毛, 陳志誠, 2005 ; 有學者探求如何幫助企業(yè)設計一套合理的風險評價體系(Andrede Korvin, 200

16、4; 楊武岐, 2005 。在定量研究方面, 有學者認為對安全性進行評價可使用確定性模型, 如葉貝斯模型(Ron A 1W eber, 1999 ; 有學者運用可靠性理論和數(shù)理統(tǒng)計知識構(gòu)建內(nèi)部控制系統(tǒng)評價的數(shù)學分析模型, 判斷內(nèi)部控制的有效性(王立勇, 2004 ; 有學者還對I T 相關的風險采用多級的模糊綜合評價方法實現(xiàn)了對系統(tǒng)風險的量化, 運用層次分析法(AHP 確定層次結(jié)構(gòu)中風險影響因素的權(quán)重系數(shù), 并改進了評判方法和評價準則, 甚至為I T 風險控制模型或方法提供了可行的數(shù)學表達形式(王禎學等, 2004 。然而, 目前信息系統(tǒng)風險評價的理論研究還主要是面向?qū)徲嬵I域, 且這些評價方法

17、缺乏統(tǒng)一的標準模式指導。在內(nèi)部控制發(fā)展的歷史上, 理論往往落后于實踐發(fā)展的需要(M ichael Chatfield, 1977 。國外在I T 控制方面的研究雖然較早, 也制定了一些通用的I T 控制標準, 但總的來說仍然處于探索階段, 理論研究文47I S ACA (I nf or mati on Syste m Audit and Contr ol A ss ociati on :該協(xié)會成立于1969年, 最初稱為電子數(shù)字處理(EDP 審計師聯(lián)合會, 1994年更名。如COS O 原先主要服務于外部審計, 現(xiàn)面向企業(yè)風險管理; COB I T 由I S ACA 參與制定, 后改由I T

18、治理委員會獨立制定。 獻仍不多見, 一些標準和框架還在不斷修改和完善之中。國內(nèi)關于I T 對內(nèi)部控制的影響整體而言關注還不夠(劉志遠等, 2001, 陳志斌, 2007 。國內(nèi)研究主要是歸納和總結(jié)企業(yè)I T 控制的現(xiàn)狀與問題, 而且集中于探討信息化和網(wǎng)絡環(huán)境對會計、審計職業(yè)的影響, 缺乏對I T 控制進行具體分析、預測和評價, 提出的解決策略和實施辦法往往不具有系統(tǒng)性和可操作性。因此, 相應問題的建議和措施也就成了空中樓閣。因此, 基于I T 治理的內(nèi)部控制的研究在國際上尚屬新興領域, 很多研究還不夠成熟, 很難生搬硬套國外現(xiàn)成的研究成果。從長遠發(fā)展的角度看, 要想在該領域取得實質(zhì)性突破, 還

19、需要拓展傳統(tǒng)控制理論的研究范式, 建立一套適合我國企業(yè)需要的I T 控制標準體系與理論框架。三、企業(yè)I T 控制框架的主要內(nèi)容本文主要研究最佳實踐的采用以及I T 控制框架的構(gòu)建。在最佳實踐的采用過程中, 擬以COB I T 作為主要參照標準, 同時借鑒國外其他I T 標準。如在對信息系統(tǒng)安全方面進行審核時, 參照I S O17799中的相應內(nèi)容以及C MM 標準; 在涉及信息系統(tǒng)的交付和支持時, 采用I TI L 中的內(nèi)容來對I T 過程進行評價和審計; 在對I T 控制的建設情況進行評價時, 參照COS O 中的相應條款。(一 界定信息質(zhì)量標準、明確I T 目標和識別I T 資源構(gòu)建基于I

20、 T 治理的我國企業(yè)I T 控制框架應將I T 業(yè)務聚焦在界定信息質(zhì)量標準、明確I T 目標和識別I T 資源上。1. 界定信息質(zhì)量標準。信息質(zhì)量不僅反映信息系統(tǒng)的運行環(huán)境, 性、可靠性、安全性、完整性及合規(guī)性等。I T 程相關的系統(tǒng)信息以及時、連續(xù)和可行的方式傳遞; 提供適當、可靠的信息; 地提供, ; 、慣例以及協(xié)議安排相符合。2. 明確I T I T 與業(yè)務的融合、I T 資源被合理利用、I T 風險得到適當管理, I T 活動實施控制程序, 以達到期望結(jié)果或目的的總體描述。具體應包括取得并維護整體的標準化應用系統(tǒng)、I T 基礎設施, 取得并滿足I T 戰(zhàn)略要求的I T 技術, 確保終端

21、客戶對服務項目和服務水平的滿意, 確保信息的充分利用, 確保將商業(yè)運作與控制需求轉(zhuǎn)變?yōu)橛行腋咝У淖詣踊桨? 確保不斷的將應用程序整合到業(yè)務流程中, 確保I T 成本、收益以及服務的透明度和可理解性, 充分利用I T基礎設圖1企業(yè)I T 架構(gòu)施、資源和能力, 保護I T 目標的成果, 確保未經(jīng)受權(quán)者無法獲得重要且機密的信息, 確保災害性恢復, 保證I T 服務在有需要時即可 提供, 保持信息及處理的完整性, 確保信息技術合法合規(guī), 等等。3. 識別I T 資源。企業(yè)的I T 資源包括系統(tǒng)網(wǎng)絡、系統(tǒng)硬件設備、軟件系統(tǒng)、數(shù)據(jù)庫、機房以及使用和維護系統(tǒng)的部門及人員等, 具體可分為信息、應用程序、基

22、礎設施和人員四大部分。這些資源融入I T 過程后組成了一個企業(yè)的I T 架構(gòu)。(參見圖1(二 流程分解I T 資源是有限的, I T 風險應該被有效控制。如何管理好I T 資源、控制I T 風險呢? 我們認為, 通過I T 過程控制能實現(xiàn)這個目標。因為I T 資源被I T 活動所使用, 所以控制好I T 活動就能夠管理好I T 資源, 但是企業(yè)的I T 活動非常頻繁, 給直接控制帶來了困難; 如果將I T 活動劃分為若干過程集, 問題就能得以解決。因此, 控制了I T 過程也就控制了I T 活動。按I T 活動與企業(yè)I S 生命周期相對性, 可以進一步將信息系統(tǒng)劃分為系統(tǒng)規(guī)劃、系統(tǒng)運行、環(huán)境支持、監(jiān)督評價四個領域。應用I T 平衡計分卡(BSC 進行過程定位, 構(gòu)建“活動”“過程”“領域”的過程集(參見圖2 。該過程集由業(yè)務需求