企業(yè)IT控制基本框架構(gòu)建研究

1、 企業(yè)I T 控制基本框架構(gòu)建研究3胡曉明(南京財(cái)經(jīng)大學(xué)會(huì)計(jì)學(xué)院210046 【摘要】在對(duì)已有研究進(jìn)行歸納和擴(kuò)展的基礎(chǔ)上, 通過(guò)界定信息質(zhì)量標(biāo)準(zhǔn)、明確I T 目標(biāo)、識(shí)別I T 資源, 形成一個(gè)管理部門(mén)易于理解的、關(guān)于“I T 做什么”的理念, 便于業(yè)務(wù)和I T 目標(biāo)的協(xié)調(diào); 進(jìn)行基于信息系統(tǒng)生命周期的過(guò)程定位, 以定義所覆蓋的范圍和領(lǐng)域; 參考相關(guān)標(biāo)準(zhǔn)和相應(yīng)的I T 控制目標(biāo), 形成我國(guó)企業(yè)適用的多層級(jí)過(guò)程控制集; 建立成熟度模型(C MM 、關(guān)鍵目標(biāo)指標(biāo)(KGI 和關(guān)鍵績(jī)效指標(biāo)(KP I 對(duì)企業(yè)行業(yè)地位、業(yè)務(wù)結(jié)果與過(guò)程進(jìn)行評(píng)估、衡量, 向信息系統(tǒng)相關(guān)利益方提供一種共享的通用語(yǔ)言?！娟P(guān)鍵詞】I

2、 T 治理I T 標(biāo)準(zhǔn)I T 控制一、引言I mati Technol I T 的進(jìn)步, 傳統(tǒng)的內(nèi)部控制理論已(I on Syste m s, 簡(jiǎn)稱I S 的復(fù)雜度越高以及業(yè)務(wù)對(duì)I T 的依賴性越強(qiáng), 。歐洲Acadys 和美國(guó)Standish Gr oup 兩家咨詢公司的調(diào)查表明, 許多企業(yè)雖已認(rèn)識(shí)到I T 的重要性, 但并未將其視為企業(yè)的一項(xiàng)核心推動(dòng)機(jī)制。進(jìn)一步調(diào)查發(fā)現(xiàn), 只有少部分企業(yè)能夠?qū) T 價(jià)值回報(bào)作出評(píng)價(jià); 大多數(shù)企業(yè)的I T 投資項(xiàng)目并不成功, 或至少存在相當(dāng)數(shù)量的不健全因素。因此, 需要提供一套有效的I T 治理(I T Governance 與內(nèi)部控制框架, 以提升I T

3、 價(jià)值、管理I T 相關(guān)風(fēng)險(xiǎn)以及增加對(duì)信息的控制(Mari os Da m iaides, 2005 。W eill 和Ross 將I T 治理定義為, “指定決策權(quán)和責(zé)任框架, 鼓勵(lì)正確運(yùn)營(yíng)I T 的行為”(W eill &Ross, 2004 ; I T 治理委員會(huì)認(rèn)為, I T 治理是企業(yè)管理者為保障企業(yè)I T 支持組織戰(zhàn)略和目標(biāo)而進(jìn)行的領(lǐng)導(dǎo)、組織架構(gòu)設(shè)計(jì)和處理的過(guò)程, 是I T 資源的保證機(jī)制, 價(jià)值、風(fēng)險(xiǎn)和控制構(gòu)成了I T 治理的核心(I T Governance I nstitute, 2007 。I T 控制是指為了提供對(duì)企業(yè)戰(zhàn)略目標(biāo)合理保證并能阻止、發(fā)現(xiàn)、糾正I T 活

4、動(dòng)中不期望事件的政策、流程與實(shí)踐, 是I T 治理的制度安排及技術(shù)性支持手段。麻省理工學(xué)院信息研究中心在對(duì)來(lái)自23個(gè)國(guó)家的250家企業(yè)進(jìn)行了系統(tǒng)研究后指出, 面對(duì)同樣的戰(zhàn)略目標(biāo), I T 控制水平較高的企業(yè), 其獲利能力比控制水平較低的企業(yè)高出20%; 美國(guó)堪薩斯州把COB I T 標(biāo)準(zhǔn)作為虛擬政府策略的一部分, 為客戶和委托人提供可靠、安全的信息, 大大降低了運(yùn)營(yíng)成本; 寶潔公司(Pr oct or &Ga mble 在采用I TI L 標(biāo)準(zhǔn)的四年里, 節(jié)省了超過(guò)5億美元的預(yù)算。實(shí)踐證明, 善治的、標(biāo)準(zhǔn)的治理結(jié)構(gòu)有助于監(jiān)督、控制企業(yè)關(guān)鍵的I T 活動(dòng), 從而增加企業(yè)價(jià)值、降低業(yè)務(wù)風(fēng)險(xiǎn)

5、及提供合規(guī)的控制信息。目前我國(guó)企業(yè)的信息化建設(shè)正逐步走向深入, 傳統(tǒng)的“人管人”為主的控制手段, 已經(jīng)不適應(yīng)信息時(shí)代及企業(yè)發(fā)展的需要, 企業(yè)財(cái)務(wù)報(bào)告及相關(guān)信息的產(chǎn)生與傳遞越來(lái)越依賴于I T 控制的有效性。為了擺脫I T 應(yīng)用中出現(xiàn)的“生產(chǎn)力悖論”現(xiàn)象, 許多企業(yè)在I T 投資上逐漸顯示出謹(jǐn)慎態(tài)度, 開(kāi)始積極探索能夠273本文是國(guó)家教育部社科規(guī)劃基金項(xiàng)目“I S 審計(jì)理論與實(shí)踐研究”(05JA630026 階段性研究成果。 減少lT 應(yīng)用的風(fēng)險(xiǎn)、充分挖掘I T 資源價(jià)值以及借助I T 資源提升競(jìng)爭(zhēng)力的途徑。然而, 在I T 治理的混沌時(shí)期, 我國(guó)企業(yè)還不同程度存在著I T 應(yīng)用方案與業(yè)務(wù)需求之間

6、邏輯錯(cuò)位、決策的技術(shù)經(jīng)濟(jì)論證不足、利益沖突和信息不透明以及I T 風(fēng)險(xiǎn)管理缺位等問(wèn)題, 有關(guān)I T 控制體系的理論研究還比較缺乏, 尚未建立起一套相對(duì)完整的符合我國(guó)企業(yè)實(shí)際的I T 控制框架標(biāo)準(zhǔn), 業(yè)界對(duì)I T 風(fēng)險(xiǎn)的識(shí)別、分析和控制還處于摸索階段, I T 控制評(píng)價(jià)多以事后的監(jiān)督、檢查為主, 缺乏指導(dǎo)方針和流程定位。因此, 在建立我國(guó)企業(yè)適用的I T 控制標(biāo)準(zhǔn)問(wèn)題上, 怎樣借鑒國(guó)際最佳實(shí)踐? 如何解決“業(yè)務(wù)與I T 兩張皮”以及“信息孤島”現(xiàn)象、實(shí)現(xiàn)內(nèi)部控制與相關(guān)I T 標(biāo)準(zhǔn)的整合與對(duì)接? 哪些地方需要改進(jìn)以及需要采取怎樣的管理工具以監(jiān)控這種改進(jìn)? 如何衡量I T 的執(zhí)行狀況? 這些已成為我

7、國(guó)企業(yè)信息化建設(shè)中的現(xiàn)實(shí)課題。二、國(guó)內(nèi)外研究現(xiàn)狀及分析企業(yè)I T 控制的重要性己經(jīng)引起了國(guó)內(nèi)外理論界和實(shí)務(wù)界的關(guān)注, 在研究狀況方面, 我們可以從標(biāo)準(zhǔn)控制、會(huì)計(jì)控制、審計(jì)控制以及風(fēng)險(xiǎn)評(píng)價(jià)等角度進(jìn)行歸納綜述。(一 標(biāo)準(zhǔn)控制視角為了確保企業(yè)管理工具支持戰(zhàn)略目標(biāo), 國(guó)外控制模型融合了許多成熟經(jīng)驗(yàn)并將其制度化。其中, 適用于公司治理及風(fēng)險(xiǎn)管理方面的控制模型有, 美國(guó)的COS O 、英國(guó)的Cadbury 、加拿大的CoCo 、南非的King 等。但是, 這些模型框架只是針對(duì)企業(yè)的一般控制與治理, 例如COS O “ER M ( ”新框架有關(guān)I T 對(duì)內(nèi)部控制影響的規(guī)范僅在“控制活動(dòng)”及“”I T 控制系

8、統(tǒng)并未作進(jìn)一步探討。適用于I T , I TI L ( 、COB I T (信息及相關(guān)技術(shù)的控制目標(biāo) 、I ( 等。從控制內(nèi)容來(lái)看, I S I TI L , Prince2則強(qiáng)調(diào)項(xiàng)目管理, 比較而言, COB 、風(fēng)險(xiǎn)管理、資源管理和績(jī)效管理五個(gè)方面關(guān)注對(duì)企業(yè)的I T 治理(I nstitute, 2007 , 且突出了信息系統(tǒng)控制。雖然COB I T 提供了I T 的基本治理框架, 但是在I T 治理的五個(gè)方面, 尤其是對(duì)I T 控制的方法和模型的研究和描述還是非常之少; 另外, COB I T 只是一個(gè)I T 控制方面的目標(biāo)框架, 標(biāo)準(zhǔn)體系龐大, 幾乎涉及了問(wèn)題的所有層面, 雖具有通用性、

9、全面性, 但忽視了特殊性, 且沒(méi)有給出相應(yīng)的改善手段與方法。因此有學(xué)者建議將諸多I T 標(biāo)準(zhǔn)結(jié)合起來(lái)實(shí)施I T 治理, 建立詳細(xì)的I T 流程對(duì)應(yīng)關(guān)系(Hardy, 2006 。(二 會(huì)計(jì)控制視角目前大多數(shù)有關(guān)I T 控制文獻(xiàn)是研究信息化條件下的會(huì)計(jì)控制問(wèn)題。有學(xué)者探討了企業(yè)信息化對(duì)于內(nèi)部會(huì)計(jì)控制的影響, I T 背景下內(nèi)部會(huì)計(jì)控制模型及規(guī)范問(wèn)題, 并提出了一些加強(qiáng)內(nèi)部會(huì)計(jì)控制的措施(楊周南, 2003; 章鐵生, 2007; 駱良彬、張白, 2008 。然而, 在信息化的條件下, 會(huì)計(jì)信息系統(tǒng)已融入整個(gè)企業(yè)的管理信息系統(tǒng)(M I S 中, 會(huì)計(jì)控制的范圍得到延伸, 會(huì)計(jì)控制的對(duì)象涵蓋企業(yè)的全

10、部I T 資源(應(yīng)用系統(tǒng)、信息、基礎(chǔ)設(shè)施及人員 , 會(huì)計(jì)信息系統(tǒng)控制與整個(gè)企業(yè)的管理信息系統(tǒng)控制的邊界越來(lái)越模糊。會(huì)計(jì)界學(xué)者認(rèn)為內(nèi)部控制需要從財(cái)務(wù)報(bào)告導(dǎo)向到價(jià)值創(chuàng)造導(dǎo)向轉(zhuǎn)型(李心合, 2007 ; 有學(xué)者借助系統(tǒng)論和制度經(jīng)濟(jì)學(xué)的有關(guān)理論, 認(rèn)為內(nèi)部控制的內(nèi)涵可以拓展為由企業(yè)治理控制、管理控制、信息系統(tǒng)控制和企業(yè)文化控制四個(gè)要素構(gòu)成的一個(gè)更全面、更系統(tǒng)的控制框架體系(張宜霞, 2004 ; 有學(xué)者37COS O 委員會(huì)2004年提出了內(nèi)部控制新框架“ERM (企業(yè)風(fēng)險(xiǎn)管理 ”, 在內(nèi)部控制整體框架五要素的基礎(chǔ)上進(jìn)行了拓展, 增加了三個(gè)風(fēng)險(xiǎn)管理要素, 分別是內(nèi)部環(huán)境、目標(biāo)設(shè)定、事件識(shí)別、風(fēng)險(xiǎn)評(píng)估、

11、風(fēng)險(xiǎn)相應(yīng)、控制活動(dòng)、信息與溝通、監(jiān)督。COB I T (Contr ol Objectives f or I nf or mati on and Related Technol ogy :1996年4月, I S ACA 首次面向全球公開(kāi)發(fā)布了第一版COB I T 框架, 繼2000年推出COB I T3rd 之后, I T 治理委員會(huì)2005年12月推出了更新版本COB I T410, 2007年4月又推出了COB I T411。我國(guó)企業(yè)內(nèi)部控制標(biāo)準(zhǔn)委員會(huì)于2007年3月公布的企業(yè)內(nèi)部控制規(guī)范基本規(guī)范和17項(xiàng)具體規(guī)范的征求意見(jiàn)稿也預(yù)示了這種發(fā)展趨勢(shì)。 在對(duì)信息化生態(tài)環(huán)境下企業(yè)內(nèi)部控制變化趨勢(shì)

12、進(jìn)行研究的基礎(chǔ)上, 借鑒國(guó)外先進(jìn)的內(nèi)部控制框架, 構(gòu)建信息系統(tǒng)環(huán)境中的有效內(nèi)部控制機(jī)制(陳志斌, 2007 。(三 審計(jì)控制視角早在計(jì)算機(jī)剛進(jìn)入實(shí)用階段, 美國(guó)就提出了I S 審計(jì)的概念。I S ACA (信息系統(tǒng)審計(jì)與控制協(xié)會(huì) 長(zhǎng)期以來(lái)開(kāi)展了大量的理論研究, 通過(guò)制定和頒布I S 審計(jì)準(zhǔn)則、實(shí)務(wù)指南、職業(yè)道德準(zhǔn)則等專(zhuān)業(yè)標(biāo)準(zhǔn)來(lái)規(guī)范和指導(dǎo)C I S A (信息系統(tǒng)審計(jì)師 的工作(I S ACA, 2003 , 促進(jìn)了全球I S 審計(jì)事業(yè)的進(jìn)步。國(guó)際審計(jì)準(zhǔn)則20號(hào)公告電子數(shù)據(jù)處理環(huán)境對(duì)會(huì)計(jì)制度和有關(guān)的內(nèi)部控制研究與評(píng)價(jià)的影響以及美國(guó)國(guó)家審計(jì)總署(G AO 和注冊(cè)會(huì)計(jì)師協(xié)會(huì)(A I CP A 頒布的

13、美國(guó)政府審計(jì)準(zhǔn)則電算化系統(tǒng)審計(jì)、I T 對(duì)CP A 評(píng)價(jià)內(nèi)部控制的影響等一系列規(guī)范, 對(duì)信息系統(tǒng)控制與審計(jì)作出了多方面規(guī)定。另外, 日本通產(chǎn)省情報(bào)協(xié)會(huì)、英國(guó)I T 審計(jì)師協(xié)會(huì)、匈牙利國(guó)家審計(jì)署以及美國(guó)信息系統(tǒng)審計(jì)專(zhuān)家Ron A 1W eber 等在I S 審計(jì)概念框架、內(nèi)容體系以及相關(guān)應(yīng)用方面均有不同程度的研究。20世紀(jì)九十年代后期I S 審計(jì)思想傳播到我國(guó), 內(nèi)部控制從內(nèi)容側(cè)重點(diǎn)和形式上都打上了審計(jì)專(zhuān)業(yè)或行業(yè)的烙印(劉明輝, 張宜霞, 2002 , 例如中國(guó)注冊(cè)會(huì)計(jì)師協(xié)會(huì)1999年的獨(dú)立審計(jì)具體準(zhǔn)則第20號(hào)計(jì)算機(jī)信息系統(tǒng)環(huán)境下的審計(jì)、2007年的中國(guó)注冊(cè)會(huì)計(jì)師審計(jì)準(zhǔn)則第1633號(hào)電子商務(wù)對(duì)財(cái)

14、務(wù)報(bào)表審計(jì)的影響以及中國(guó)內(nèi)部審計(jì)協(xié)會(huì)2008年9月的內(nèi)部審計(jì)具體準(zhǔn)則第28號(hào)信息系統(tǒng)審計(jì)等對(duì)I T 環(huán)境下的審計(jì)作了規(guī)范和要求。許多研究者從審計(jì)的角度對(duì)I T 控制進(jìn)行了研究, 把尋求答案的目標(biāo)歸結(jié)到I S 審計(jì)上, I T 治理相結(jié)合, 并提出了一些解決I T (, , 胡克瑾, 2003; 金文, 張金城, 2005 ; , 流程下如何進(jìn)行有效控制的新流程(, ; I T 標(biāo)準(zhǔn), 以信息系統(tǒng)保障、控制、審計(jì)的完整概念框架, 規(guī)劃基于風(fēng)險(xiǎn)基礎(chǔ)I S 審計(jì)流程, (, 2006 。然而, 內(nèi)部控制已涵蓋企業(yè)管理的所有層面, I S 審計(jì)只。這一點(diǎn)從COS O 、COB I T 的轉(zhuǎn)型中可以看出

15、, 這些標(biāo)準(zhǔn)早期都是立足于審計(jì)而制定的。(四 風(fēng)險(xiǎn)評(píng)價(jià)視角從COS O 新框架的構(gòu)成要素來(lái)看, 風(fēng)險(xiǎn)評(píng)價(jià)是內(nèi)部控制的一個(gè)關(guān)鍵環(huán)節(jié), 是制定控制措施和實(shí)施控制活動(dòng)的基礎(chǔ)。在定性研究方面, 國(guó)外學(xué)者認(rèn)為, 評(píng)估風(fēng)險(xiǎn)、信息安全政策、安全和災(zāi)難計(jì)劃是掌控信息系統(tǒng)的重要途徑(ThomasW ijs man, Peter Paans, 1996 , 并提出I S 審計(jì)中風(fēng)險(xiǎn)評(píng)價(jià)的策略; 有學(xué)者分析研究I T 風(fēng)險(xiǎn)評(píng)價(jià)、內(nèi)部控制評(píng)價(jià)以及風(fēng)險(xiǎn)控制與內(nèi)部控制之間的關(guān)系(趙雪媛, 2003; 黃小毛, 陳志誠(chéng), 2005 ; 有學(xué)者探求如何幫助企業(yè)設(shè)計(jì)一套合理的風(fēng)險(xiǎn)評(píng)價(jià)體系(Andrede Korvin, 200

16、4; 楊武岐, 2005 。在定量研究方面, 有學(xué)者認(rèn)為對(duì)安全性進(jìn)行評(píng)價(jià)可使用確定性模型, 如葉貝斯模型(Ron A 1W eber, 1999 ; 有學(xué)者運(yùn)用可靠性理論和數(shù)理統(tǒng)計(jì)知識(shí)構(gòu)建內(nèi)部控制系統(tǒng)評(píng)價(jià)的數(shù)學(xué)分析模型, 判斷內(nèi)部控制的有效性(王立勇, 2004 ; 有學(xué)者還對(duì)I T 相關(guān)的風(fēng)險(xiǎn)采用多級(jí)的模糊綜合評(píng)價(jià)方法實(shí)現(xiàn)了對(duì)系統(tǒng)風(fēng)險(xiǎn)的量化, 運(yùn)用層次分析法(AHP 確定層次結(jié)構(gòu)中風(fēng)險(xiǎn)影響因素的權(quán)重系數(shù), 并改進(jìn)了評(píng)判方法和評(píng)價(jià)準(zhǔn)則, 甚至為I T 風(fēng)險(xiǎn)控制模型或方法提供了可行的數(shù)學(xué)表達(dá)形式(王禎學(xué)等, 2004 。然而, 目前信息系統(tǒng)風(fēng)險(xiǎn)評(píng)價(jià)的理論研究還主要是面向?qū)徲?jì)領(lǐng)域, 且這些評(píng)價(jià)方法

17、缺乏統(tǒng)一的標(biāo)準(zhǔn)模式指導(dǎo)。在內(nèi)部控制發(fā)展的歷史上, 理論往往落后于實(shí)踐發(fā)展的需要(M ichael Chatfield, 1977 。國(guó)外在I T 控制方面的研究雖然較早, 也制定了一些通用的I T 控制標(biāo)準(zhǔn), 但總的來(lái)說(shuō)仍然處于探索階段, 理論研究文47I S ACA (I nf or mati on Syste m Audit and Contr ol A ss ociati on :該協(xié)會(huì)成立于1969年, 最初稱為電子數(shù)字處理(EDP 審計(jì)師聯(lián)合會(huì), 1994年更名。如COS O 原先主要服務(wù)于外部審計(jì), 現(xiàn)面向企業(yè)風(fēng)險(xiǎn)管理; COB I T 由I S ACA 參與制定, 后改由I T

18、治理委員會(huì)獨(dú)立制定。 獻(xiàn)仍不多見(jiàn), 一些標(biāo)準(zhǔn)和框架還在不斷修改和完善之中。國(guó)內(nèi)關(guān)于I T 對(duì)內(nèi)部控制的影響整體而言關(guān)注還不夠(劉志遠(yuǎn)等, 2001, 陳志斌, 2007 。國(guó)內(nèi)研究主要是歸納和總結(jié)企業(yè)I T 控制的現(xiàn)狀與問(wèn)題, 而且集中于探討信息化和網(wǎng)絡(luò)環(huán)境對(duì)會(huì)計(jì)、審計(jì)職業(yè)的影響, 缺乏對(duì)I T 控制進(jìn)行具體分析、預(yù)測(cè)和評(píng)價(jià), 提出的解決策略和實(shí)施辦法往往不具有系統(tǒng)性和可操作性。因此, 相應(yīng)問(wèn)題的建議和措施也就成了空中樓閣。因此, 基于I T 治理的內(nèi)部控制的研究在國(guó)際上尚屬新興領(lǐng)域, 很多研究還不夠成熟, 很難生搬硬套國(guó)外現(xiàn)成的研究成果。從長(zhǎng)遠(yuǎn)發(fā)展的角度看, 要想在該領(lǐng)域取得實(shí)質(zhì)性突破, 還

19、需要拓展傳統(tǒng)控制理論的研究范式, 建立一套適合我國(guó)企業(yè)需要的I T 控制標(biāo)準(zhǔn)體系與理論框架。三、企業(yè)I T 控制框架的主要內(nèi)容本文主要研究最佳實(shí)踐的采用以及I T 控制框架的構(gòu)建。在最佳實(shí)踐的采用過(guò)程中, 擬以COB I T 作為主要參照標(biāo)準(zhǔn), 同時(shí)借鑒國(guó)外其他I T 標(biāo)準(zhǔn)。如在對(duì)信息系統(tǒng)安全方面進(jìn)行審核時(shí), 參照I S O17799中的相應(yīng)內(nèi)容以及C MM 標(biāo)準(zhǔn); 在涉及信息系統(tǒng)的交付和支持時(shí), 采用I TI L 中的內(nèi)容來(lái)對(duì)I T 過(guò)程進(jìn)行評(píng)價(jià)和審計(jì); 在對(duì)I T 控制的建設(shè)情況進(jìn)行評(píng)價(jià)時(shí), 參照COS O 中的相應(yīng)條款。(一 界定信息質(zhì)量標(biāo)準(zhǔn)、明確I T 目標(biāo)和識(shí)別I T 資源構(gòu)建基于I

20、 T 治理的我國(guó)企業(yè)I T 控制框架應(yīng)將I T 業(yè)務(wù)聚焦在界定信息質(zhì)量標(biāo)準(zhǔn)、明確I T 目標(biāo)和識(shí)別I T 資源上。1. 界定信息質(zhì)量標(biāo)準(zhǔn)。信息質(zhì)量不僅反映信息系統(tǒng)的運(yùn)行環(huán)境, 性、可靠性、安全性、完整性及合規(guī)性等。I T 程相關(guān)的系統(tǒng)信息以及時(shí)、連續(xù)和可行的方式傳遞; 提供適當(dāng)、可靠的信息; 地提供, ; 、慣例以及協(xié)議安排相符合。2. 明確I T I T 與業(yè)務(wù)的融合、I T 資源被合理利用、I T 風(fēng)險(xiǎn)得到適當(dāng)管理, I T 活動(dòng)實(shí)施控制程序, 以達(dá)到期望結(jié)果或目的的總體描述。具體應(yīng)包括取得并維護(hù)整體的標(biāo)準(zhǔn)化應(yīng)用系統(tǒng)、I T 基礎(chǔ)設(shè)施, 取得并滿足I T 戰(zhàn)略要求的I T 技術(shù), 確保終端

21、客戶對(duì)服務(wù)項(xiàng)目和服務(wù)水平的滿意, 確保信息的充分利用, 確保將商業(yè)運(yùn)作與控制需求轉(zhuǎn)變?yōu)橛行腋咝У淖詣?dòng)化方案, 確保不斷的將應(yīng)用程序整合到業(yè)務(wù)流程中, 確保I T 成本、收益以及服務(wù)的透明度和可理解性, 充分利用I T基礎(chǔ)設(shè)圖1企業(yè)I T 架構(gòu)施、資源和能力, 保護(hù)I T 目標(biāo)的成果, 確保未經(jīng)受權(quán)者無(wú)法獲得重要且機(jī)密的信息, 確保災(zāi)害性恢復(fù), 保證I T 服務(wù)在有需要時(shí)即可 提供, 保持信息及處理的完整性, 確保信息技術(shù)合法合規(guī), 等等。3. 識(shí)別I T 資源。企業(yè)的I T 資源包括系統(tǒng)網(wǎng)絡(luò)、系統(tǒng)硬件設(shè)備、軟件系統(tǒng)、數(shù)據(jù)庫(kù)、機(jī)房以及使用和維護(hù)系統(tǒng)的部門(mén)及人員等, 具體可分為信息、應(yīng)用程序、基

22、礎(chǔ)設(shè)施和人員四大部分。這些資源融入I T 過(guò)程后組成了一個(gè)企業(yè)的I T 架構(gòu)。(參見(jiàn)圖1(二 流程分解I T 資源是有限的, I T 風(fēng)險(xiǎn)應(yīng)該被有效控制。如何管理好I T 資源、控制I T 風(fēng)險(xiǎn)呢? 我們認(rèn)為, 通過(guò)I T 過(guò)程控制能實(shí)現(xiàn)這個(gè)目標(biāo)。因?yàn)镮 T 資源被I T 活動(dòng)所使用, 所以控制好I T 活動(dòng)就能夠管理好I T 資源, 但是企業(yè)的I T 活動(dòng)非常頻繁, 給直接控制帶來(lái)了困難; 如果將I T 活動(dòng)劃分為若干過(guò)程集, 問(wèn)題就能得以解決。因此, 控制了I T 過(guò)程也就控制了I T 活動(dòng)。按I T 活動(dòng)與企業(yè)I S 生命周期相對(duì)性, 可以進(jìn)一步將信息系統(tǒng)劃分為系統(tǒng)規(guī)劃、系統(tǒng)運(yùn)行、環(huán)境支持、監(jiān)督評(píng)價(jià)四個(gè)領(lǐng)域。應(yīng)用I T 平衡計(jì)分卡(BSC 進(jìn)行過(guò)程定位, 構(gòu)建“活動(dòng)”“過(guò)程”“領(lǐng)域”的過(guò)程集(參見(jiàn)圖2 。該過(guò)程集由業(yè)務(wù)需求