基于IT治理的信息系統(tǒng)內(nèi)部控制對(duì)策研究

　　【摘要】 IT治理為IT控制提供了制度環(huán)境，而IT控制的有效性又直接反映了IT治理的成效。沒有企業(yè)IT控制體系的暢通，單純的IT治理模式就無(wú)法落地。文章通過界定IT治理與IT內(nèi)部控制的概念和兩者的關(guān)系，提出了基于IT治理的IT內(nèi)控相關(guān)措施。
　　【關(guān)鍵詞】 IT治理；IT內(nèi)部控制；對(duì)策研究
　　
　　2008年6月，堪稱我國(guó)SOX法案的《企業(yè)內(nèi)部控制基本規(guī)范》正式出臺(tái)；2010年，《企業(yè)內(nèi)部控制配套指引》全面推出，我國(guó)企業(yè)內(nèi)部控制規(guī)范體系正式形成，對(duì)內(nèi)部控制的重視達(dá)到了前所未有的高度。而探討企業(yè)內(nèi)部控制就必須注意到，隨著IT應(yīng)用的逐步深入，企業(yè)的日常運(yùn)營(yíng)越來(lái)越依賴于IT系統(tǒng)的支撐。IT的發(fā)展在給企業(yè)帶來(lái)收益的同時(shí)，也給企業(yè)帶來(lái)了越來(lái)越大的風(fēng)險(xiǎn)。沒有正確的IT治理機(jī)制，就無(wú)法確保IT決策的正確性，無(wú)法控制信息化進(jìn)程給企業(yè)帶來(lái)的各種風(fēng)險(xiǎn)。而我國(guó)企業(yè)目前仍處于IT內(nèi)控與風(fēng)險(xiǎn)管理的萌芽期，在基于IT治理的IT內(nèi)部控制制度建設(shè)方面較為薄弱，文章主要針對(duì)此問題提出一些對(duì)策。
　　
　　一、IT治理與IT內(nèi)部控制的相關(guān)概念
　　
　　（一）IT治理
　　關(guān)于IT治理的概念，不同學(xué)者有著不同的定義，以下為有代表性的幾種：
　　ISACA（信息系統(tǒng)審計(jì)和控制協(xié)會(huì)）定義IT治理是一個(gè)由關(guān)系和過程所構(gòu)成的體制，用于指導(dǎo)和控制企業(yè)，通過平衡信息技術(shù)與過程的風(fēng)險(xiǎn)、增加價(jià)值來(lái)確保實(shí)現(xiàn)企業(yè)的目標(biāo)。價(jià)值、風(fēng)險(xiǎn)與控制是IT治理的核心 ；
　　全球IT治理協(xié)會(huì)（ITGI）認(rèn)為IT治理主要是董事會(huì)和執(zhí)行層的責(zé)任，是企業(yè)治理的重要組成部分，通過領(lǐng)導(dǎo)、組織和過程來(lái)保證IT實(shí)現(xiàn)和推動(dòng)企業(yè)戰(zhàn)略目標(biāo)的發(fā)展；
　　Robert S . Roussey （美國(guó)南加州大學(xué)教授）認(rèn)為：IT治理用于描述被委托治理實(shí)體的人員在監(jiān)督、檢查、控制和指導(dǎo)實(shí)體的過程中如何看待信息技術(shù)。IT的應(yīng)用對(duì)于企業(yè)能否實(shí)現(xiàn)愿景、使命、戰(zhàn)略目標(biāo)至關(guān)重要 ；
　　Peter Weill 認(rèn)為IT治理是在IT應(yīng)用過程中，為鼓勵(lì)期望行為而明確的IT決策權(quán)和責(zé)任框架 ；
　　Gartner集團(tuán)（著名IT分析公司）認(rèn)為，IT治理是一種新的商業(yè)范式。這種新范式的形成是由戰(zhàn)略競(jìng)QhXjkZ1+010gU7kEatQiHImBMv5Vkdwtueb+mQzsX5U=爭(zhēng)力、全球化、業(yè)務(wù)流程共享網(wǎng)絡(luò)和實(shí)時(shí)性的企業(yè)新需求所驅(qū)動(dòng)的；
　　德勤咨詢公司認(rèn)為IT治理是一個(gè)含義廣泛的術(shù)語(yǔ)，包括信息系統(tǒng)、技術(shù)、通訊、商業(yè)、所有利益相關(guān)者、合法性和其他問題；
　　國(guó)內(nèi)學(xué)者胡克瑾（同濟(jì)大學(xué)博士生導(dǎo)師）認(rèn)為：IT治理是一個(gè)關(guān)系和過程的結(jié)構(gòu)，用來(lái)指導(dǎo)和控制企業(yè)，通過平衡在IT及其過程中的風(fēng)險(xiǎn)和回報(bào)來(lái)增加企業(yè)價(jià)值從而達(dá)到企業(yè)的目標(biāo)。
　　（二）IT治理的相關(guān)標(biāo)準(zhǔn)
　　目前在IT治理領(lǐng)域公認(rèn)的國(guó)際標(biāo)準(zhǔn)主要有以下幾種：
　　1.COBIT（信息及相關(guān)技術(shù)的控制目標(biāo)）模型。它是ISACA制定的面向過程的信息系統(tǒng)審計(jì)和評(píng)價(jià)的標(biāo)準(zhǔn)，是基于IT治理概念的、面向IT建設(shè)過程的IT治理實(shí)現(xiàn)指南和審計(jì)標(biāo)準(zhǔn)。其側(cè)重點(diǎn)在于IT過程控制和IT度量評(píng)價(jià)，從戰(zhàn)略、戰(zhàn)術(shù)、運(yùn)營(yíng)層面給出了對(duì)IT的評(píng)測(cè)、量度和審計(jì)方法，它的應(yīng)用較為廣泛，其目標(biāo)對(duì)象是信息系統(tǒng)審計(jì)人員，企業(yè)高級(jí)IT管理人員。
　　2.ITIL（IT基礎(chǔ)架構(gòu)庫(kù)）。ITIL是一套IT管理指南，列出了各個(gè)服務(wù)管理流程“最佳”的目標(biāo)、活動(dòng)、輸入和輸出以及各個(gè)流程之間的關(guān)系，主要關(guān)注IT的戰(zhàn)術(shù)和運(yùn)營(yíng)層面，對(duì)IT服務(wù)的提供和支持定義了更為詳細(xì)和更易理解的過程集。
　　3.ISO/IEC 17799/27001，是有關(guān)信息安全管理的國(guó)際標(biāo)準(zhǔn)。該標(biāo)準(zhǔn)可用于組織的信息安全管理體系的建立和實(shí)施，保障組織的信息安全，側(cè)重于強(qiáng)調(diào)信息安全管理體系的有效性、經(jīng)濟(jì)性、全面性、普遍性和開放性，涵蓋內(nèi)容非常廣泛。
　　4.COSO委員會(huì)《企業(yè)風(fēng)險(xiǎn)管理——整合框架》和SOX法案（《2002年薩班斯-奧克斯利法案》）。前者是美國(guó)COSO委員會(huì)提出的內(nèi)部控制理論框架和操作框架，關(guān)注企業(yè)風(fēng)險(xiǎn)管理。從IT角度看，該框架關(guān)于IT對(duì)內(nèi)部控制影響的規(guī)范主要體現(xiàn)在“控制活動(dòng)”和“信息與溝通”要素中。后者對(duì)企業(yè)的公司治理、IT治理和IT控制提出了更嚴(yán)格的要求。
　　此外還有PRINCE2（受控環(huán)境下的項(xiàng)目）、CMM1（能力成熟度集成模型）和PMPOK等。PRINCE2重點(diǎn)強(qiáng)調(diào)項(xiàng)目的可控性，明確項(xiàng)目管理中人員、角色的具體職責(zé)，同時(shí)實(shí)現(xiàn)項(xiàng)目管理質(zhì)量的不斷改進(jìn)。CMM1是一種用于評(píng)價(jià)軟件組織能力并幫助改善軟件質(zhì)量的方法，已經(jīng)成為評(píng)價(jià)軟件組織開發(fā)過程的標(biāo)準(zhǔn)，成為軟件組織過程改進(jìn)的參考依據(jù)。PMPOK主要適用于所有類型的工程項(xiàng)目管理。這些模型從不同的角度對(duì)IT治理進(jìn)行了規(guī)范。
　　（三）IT內(nèi)部控制
　　當(dāng)前對(duì)IT控制并沒有較為權(quán)威和統(tǒng)一的定義，處于不同角度（例如外部審計(jì)人員和企業(yè)管理人員）對(duì)IT控制有著不同的理解，對(duì)其應(yīng)當(dāng)包含的內(nèi)容和控制目標(biāo)等的認(rèn)識(shí)也不盡相同。總體來(lái)說(shuō)，早期的IT控制概念來(lái)源于審計(jì)領(lǐng)域的EDP（電子數(shù)據(jù)處理系統(tǒng)）控制，主要指的是EDP環(huán)境下的會(huì)計(jì)控制，包括一般控制和應(yīng)用控制兩個(gè)類別。其目標(biāo)主要是為保證計(jì)算機(jī)系統(tǒng)處理的數(shù)據(jù)質(zhì)量。這種控制包含兩個(gè)層面：一是對(duì)信息系統(tǒng)處理數(shù)據(jù)的控制；二是在信息系統(tǒng)中設(shè)計(jì)某些內(nèi)部控制措施。隨著IT在企業(yè)中的應(yīng)用越來(lái)越普及，IT控制的概念也逐漸變得更為寬泛，包括了IT在企業(yè)中多種形式的應(yīng)用，IT控制包含的范圍已超過了EDP控制對(duì)會(huì)計(jì)信息質(zhì)量目標(biāo)的單純追求，是由期望達(dá)到的（IT控制目標(biāo)）和達(dá)到這些目標(biāo)的方法（控制程序）構(gòu)成，有效的IT控制設(shè)計(jì)與實(shí)施指明了一個(gè)組織將IT條件下的風(fēng)險(xiǎn)降至可接受水平的途徑（孟秀轉(zhuǎn)，2007），IT控制實(shí)質(zhì)上是企業(yè)運(yùn)作過程中涉及IT這部分資產(chǎn)的購(gòu)入、使用及維護(hù)等不同階段的相關(guān)內(nèi)部控制過程（余瑾，2006）。
　　從上述概念中可以看出，對(duì)IT治理不管用何種界定，其內(nèi)容都包括通過有關(guān)責(zé)任與權(quán)利的劃分對(duì)企業(yè)戰(zhàn)略起到支持作用，從而確保企業(yè)價(jià)值最大化的目標(biāo)。IT控制則是在現(xiàn)有的IT治理環(huán)境下企業(yè)所采取的一列政策、程序和措施的總稱 。IT治理相對(duì)IT控制來(lái)講，處于基礎(chǔ)地位，是IT控制發(fā)揮作用的先決條件，而IT治理目標(biāo)的實(shí)現(xiàn)又需要IT控制發(fā)揮作用。
　　
　　二、IT內(nèi)部控制主要內(nèi)容及存在的主要問題
　　
　　從內(nèi)容上來(lái)劃分，IT控制分為一般控制和應(yīng)用控制，貫穿于整個(gè)信息化生命周期內(nèi)，涉及信息化各個(gè)領(lǐng)域。
　　（一）IT內(nèi)部控制的主要內(nèi)容
　　我國(guó)《企業(yè)內(nèi)部控制基本規(guī)范》對(duì)信息系統(tǒng)的控制重點(diǎn)體現(xiàn)在組織控制、系統(tǒng)開發(fā)控制、系統(tǒng)操作控制、系統(tǒng)運(yùn)維控制和會(huì)計(jì)系統(tǒng)控制等幾方面。
　　1.組織控制。就IT角度而言，組織控制主要是指職責(zé)分離。職責(zé)分離包含兩個(gè)方面，一是業(yè)務(wù)部門與IT部門關(guān)于IT職責(zé)的分工，二是IT部門內(nèi)部職責(zé)的分工。業(yè)務(wù)部門與IT部門的職責(zé)分工較為規(guī)范，但I(xiàn)T部門內(nèi)部職責(zé)分工則在實(shí)際工作中普遍存在一個(gè)人同時(shí)有好幾個(gè)不同權(quán)限的問題，在人手不足的情況下，每個(gè)人要參與多項(xiàng)工作，相應(yīng)的權(quán)限也就較多。
　　2.系統(tǒng)開發(fā)、變更與運(yùn)維控制。包括職責(zé)分離，確保系統(tǒng)的合規(guī)合法性和可行性，開發(fā)過程的人員控制、系統(tǒng)設(shè)計(jì)控制、系統(tǒng)的日常維護(hù)和系統(tǒng)功能的改進(jìn)與擴(kuò)充等。
　　3.操作控制。信息系統(tǒng)操作控制的主要內(nèi)容包括操作權(quán)限控制和操作規(guī)程控制兩個(gè)方面。
　　4.硬件管理控制。計(jì)算機(jī)系統(tǒng)對(duì)工作環(huán)境的要求比較高，對(duì)系統(tǒng)的自然環(huán)境、作業(yè)環(huán)境都應(yīng)有嚴(yán)格的控制措施，主要應(yīng)包括計(jì)算機(jī)系統(tǒng)硬件管理制度。
　　
　　5.會(huì)計(jì)信息化及其控制。主要指企業(yè)實(shí)現(xiàn)會(huì)計(jì)信息化后給企業(yè)內(nèi)部控制帶來(lái)的新的風(fēng)險(xiǎn)。包括數(shù)據(jù)存儲(chǔ)介質(zhì)變換帶來(lái)的風(fēng)險(xiǎn)、操作人員權(quán)限控制不當(dāng)帶來(lái)的錯(cuò)誤和舞弊的風(fēng)險(xiǎn)、對(duì)軟件質(zhì)量過于依賴帶來(lái)的風(fēng)險(xiǎn)等。
　　（二）IT內(nèi)部控制中存在的主要風(fēng)險(xiǎn)
　　首先，我國(guó)企業(yè)和西方企業(yè)所處的政治經(jīng)濟(jì)環(huán)境不同，人文背景不同，在信息化建設(shè)上仍然屬于“人治時(shí)代”，信息化的隨意性較大。有些企業(yè)雖然已經(jīng)制定了信息化的相關(guān)制度，但整體而言仍然缺少對(duì)信息化進(jìn)行整體規(guī)劃、實(shí)施與控制的決策機(jī)制和責(zé)任擔(dān)當(dāng)框架。信息化成功與否往往在很大程度上取決于企業(yè)高層和董事會(huì)對(duì)信息化的理解和影響，一旦管理者的個(gè)人影響力發(fā)生變化，IT規(guī)劃建設(shè)就會(huì)失控，從而導(dǎo)致組織的信息化風(fēng)險(xiǎn)，這是IT治理風(fēng)險(xiǎn)的宏觀體現(xiàn)。
　　其次，在具體實(shí)踐中，企業(yè)信息化水平越來(lái)越高，其業(yè)務(wù)與財(cái)務(wù)報(bào)告流程對(duì)IT的依賴程度也隨之越來(lái)越高。一方面財(cái)務(wù)報(bào)告的內(nèi)部控制幾乎離不開IT控制，另一方面即使業(yè)務(wù)層面的管理控制也是IT支撐環(huán)境下的控制。但信息技術(shù)是一把雙刃劍，隨著不安全因素的增多，信息安全的潛在風(fēng)險(xiǎn)也越來(lái)越大。從技術(shù)層面講，系統(tǒng)缺陷、人為誤操作、系統(tǒng)攻擊等不可預(yù)料的各種IT風(fēng)險(xiǎn)逐漸增多；從信息安全架構(gòu)層面講，沒有一個(gè)系統(tǒng)化、程序化和文件化的管理體系，就不可能有效防范信息安全風(fēng)險(xiǎn)。企業(yè)在建立安全有效的IT控制方面正面臨著巨大的挑戰(zhàn)，需要重視起來(lái)。
　　
　　三、基于IT治理加強(qiáng)IT內(nèi)部控制的相關(guān)對(duì)策
　　
　　IT系統(tǒng)已經(jīng)不僅僅是企業(yè)日常運(yùn)營(yíng)的重要支撐，它同時(shí)還是對(duì)企業(yè)活動(dòng)進(jìn)行控制的重要手段。以具體運(yùn)營(yíng)流程為基礎(chǔ)展開的IT控制，直接關(guān)系到日常運(yùn)營(yíng)活動(dòng)的實(shí)施效果。事實(shí)上，有效的IT控制設(shè)計(jì)與實(shí)施指明了一個(gè)組織將信息技術(shù)條件下的風(fēng)險(xiǎn)降至可接受水平的途徑①。因而，在企業(yè)IT治理機(jī)制下加強(qiáng)IT內(nèi)部控制應(yīng)當(dāng)是突破口。
　　（一）從理論層面看，要構(gòu)建企業(yè)IT內(nèi)部控制體系
　　科學(xué)合理的IT控制體系應(yīng)當(dāng)具有前瞻性的、全局性的控制機(jī)制，能融合防范與應(yīng)對(duì)信息安全、IT治理、IT管理、IT服務(wù)、IT應(yīng)用、IT項(xiàng)目、IT基礎(chǔ)設(shè)施、業(yè)務(wù)連續(xù)性、IT外包方面的風(fēng)險(xiǎn)，并能有效地指導(dǎo)組織控制IT風(fēng)險(xiǎn)，使IT戰(zhàn)略與企業(yè)戰(zhàn)略相匹配，促進(jìn)IT為組織持續(xù)地創(chuàng)造價(jià)值，以實(shí)現(xiàn)有效益的信息化。應(yīng)當(dāng)在充分考慮我國(guó)信息化建設(shè)的實(shí)際情況下，確定信息系統(tǒng)控制目標(biāo)，將信息系統(tǒng)項(xiàng)目運(yùn)作的全部過程置于有效的管理與控制之下，建立適用的、協(xié)同的IT治理標(biāo)準(zhǔn)模式，制定相關(guān)管理指南，提供集成的IT管理，指導(dǎo)我們建立起相應(yīng)的機(jī)制，對(duì)處理過程進(jìn)行有效監(jiān)控，保證有關(guān)企業(yè)信息處理過程的高效、有序。
　　（二）從企業(yè)信息化建設(shè)角度看，應(yīng)當(dāng)由整個(gè)企業(yè)來(lái)進(jìn)行IT內(nèi)部控制組織體系的構(gòu)建
　　企業(yè)應(yīng)當(dāng)組建科學(xué)合理的多層次內(nèi)部控制組織機(jī)構(gòu)，在《企業(yè)內(nèi)部控制規(guī)范》和《企業(yè)內(nèi)部控制配套指引》的規(guī)定下，參照上述第一點(diǎn)理論建設(shè)的國(guó)內(nèi)外研究成果，選取適合自身特點(diǎn)的控制流程，建立自己的IT內(nèi)部控制框架并組織實(shí)施。
　　（三）從用戶實(shí)踐層面看，針對(duì)本文第二部分所提到的幾大內(nèi)容進(jìn)行具體控制
　　信息工具的變革帶來(lái)了內(nèi)部控制手段的創(chuàng)新，嚴(yán)格的職責(zé)分離可以有效地避免錯(cuò)誤和舞弊行為的發(fā)生，如IT部門與業(yè)務(wù)部門之間、IT部門內(nèi)部之間、系統(tǒng)開發(fā)部門內(nèi)部等都應(yīng)有明確的崗位責(zé)任。系統(tǒng)開發(fā)環(huán)節(jié)應(yīng)當(dāng)注重成本與效益原則，判斷是否具有可行性；加強(qiáng)開發(fā)過程的人員控制、系統(tǒng)設(shè)計(jì)控制和文檔控制等。在操作控制方面主要集中在操作權(quán)限控制和操作規(guī)程控制上兩方面。每個(gè)崗位的人員只能按照所授予權(quán)限進(jìn)行作業(yè)，不得越權(quán)接觸系統(tǒng)。權(quán)限控制不僅僅通過規(guī)章制度來(lái)執(zhí)行，更重要的是要由系統(tǒng)制定全縣標(biāo)準(zhǔn)體系，使之不被越權(quán)操作，例如用戶身份鑒定、口令設(shè)置、密碼保護(hù)、電子簽章等。應(yīng)用控制方面主要重視輸入控制、處理過程控制、輸出控制等。
　　建立合理的IT治理架構(gòu)是實(shí)現(xiàn)有效IT控制的基礎(chǔ)，IT治理為IT控制提供了制度環(huán)境；而IT控制的有效性又直接反映了IT治理的成效。企業(yè)只有在建立了完整的IT規(guī)范、有了明確的方向基礎(chǔ)上，IT控制才能達(dá)到高層管理者的要求。反之，沒有企業(yè)IT控制體系的暢通，單純的IT治理模式也只能是一個(gè)美好的藍(lán)圖，而缺乏實(shí)際的內(nèi)容。
　　內(nèi)部控制體系建設(shè)是一個(gè)長(zhǎng)期的過程，其中IT內(nèi)部控制更是由于對(duì)硬件環(huán)境、軟件環(huán)境、工作人員素質(zhì)等方面有較高要求而面臨很多困難，還需要董事會(huì)、高管層和企業(yè)全體員工共同努力，才能真正落實(shí)和貫徹。
　　
　　【主要參考文獻(xiàn)】
　　［1］ ITGI. Control Objective for Information and Related Technology （COBIT） 3rd Edition ［Z］. America， 2000.
　　［2］ ROBERT SROUSSEY. Challenges Facing the Profession Information Technology［J］. Enterprise Innovation& Risk， 2003（5）： 26-27.
　　［3］ PETER WEILL， JEANNE W ROSS. IT Governance on One Page. CISR Working Paper， www. ssrn. com， 2004.
　　［4］ 陶黎娟.IT環(huán)境下我國(guó)財(cái)務(wù)報(bào)告內(nèi)部控制研究［D］.廈門大學(xué)博士論文，2009：68.
　　［5］ 唐志豪，等.IT治理研究述評(píng)［J］.會(huì)計(jì)研究，2008（5）.
　　［6］ 胡曉明.基于IT治理的我國(guó)信息系統(tǒng)控制與審計(jì)體系構(gòu)建思考［J］.科技管理研究，2008（9）.