基于IT治理的信息系统内部控制对策研究
来源:用户上传
作者: 韩玲 郭宗文
【摘要】 IT治理为IT控制提供了制度环境,而IT控制的有效性又直接反映了IT治理的成效。没有企业IT控制体系的畅通,单纯的IT治理模式就无法落地。文章通过界定IT治理与IT内部控制的概念和两者的关系,提出了基于IT治理的IT内控相关措施。
【关键词】 IT治理;IT内部控制;对策研究
2008年6月,堪称我国SOX法案的《企业内部控制基本规范》正式出台;2010年,《企业内部控制配套指引》全面推出,我国企业内部控制规范体系正式形成,对内部控制的重视达到了前所未有的高度。而探讨企业内部控制就必须注意到,随着IT应用的逐步深入,企业的日常运营越来越依赖于IT系统的支撑。IT的发展在给企业带来收益的同时,也给企业带来了越来越大的风险。没有正确的IT治理机制,就无法确保IT决策的正确性,无法控制信息化进程给企业带来的各种风险。而我国企业目前仍处于IT内控与风险管理的萌芽期,在基于IT治理的IT内部控制制度建设方面较为薄弱,文章主要针对此问题提出一些对策。
一、IT治理与IT内部控制的相关概念
(一)IT治理
关于IT治理的概念,不同学者有着不同的定义,以下为有代表性的几种:
ISACA(信息系统审计和控制协会)定义IT治理是一个由关系和过程所构成的体制,用于指导和控制企业,通过平衡信息技术与过程的风险、增加价值来确保实现企业的目标。价值、风险与控制是IT治理的核心 ;
全球IT治理协会(ITGI)认为IT治理主要是董事会和执行层的责任,是企业治理的重要组成部分,通过领导、组织和过程来保证IT实现和推动企业战略目标的发展;
Robert S . Roussey (美国南加州大学教授)认为:IT治理用于描述被委托治理实体的人员在监督、检查、控制和指导实体的过程中如何看待信息技术。IT的应用对于企业能否实现愿景、使命、战略目标至关重要 ;
Peter Weill 认为IT治理是在IT应用过程中,为鼓励期望行为而明确的IT决策权和责任框架 ;
Gartner集团(著名IT分析公司)认为,IT治理是一种新的商业范式。这种新范式的形成是由战略竞争力、全球化、业务流程共享网络和实时性的企业新需求所驱动的;
德勤咨询公司认为IT治理是一个含义广泛的术语,包括信息系统、技术、通讯、商业、所有利益相关者、合法性和其他问题;
国内学者胡克瑾(同济大学博士生导师)认为:IT治理是一个关系和过程的结构,用来指导和控制企业,通过平衡在IT及其过程中的风险和回报来增加企业价值从而达到企业的目标。
(二)IT治理的相关标准
目前在IT治理领域公认的国际标准主要有以下几种:
1.COBIT(信息及相关技术的控制目标)模型。它是ISACA制定的面向过程的信息系统审计和评价的标准,是基于IT治理概念的、面向IT建设过程的IT治理实现指南和审计标准。其侧重点在于IT过程控制和IT度量评价,从战略、战术、运营层面给出了对IT的评测、量度和审计方法,它的应用较为广泛,其目标对象是信息系统审计人员,企业高级IT管理人员。
2.ITIL(IT基础架构库)。ITIL是一套IT管理指南,列出了各个服务管理流程“最佳”的目标、活动、输入和输出以及各个流程之间的关系,主要关注IT的战术和运营层面,对IT服务的提供和支持定义了更为详细和更易理解的过程集。
3.ISO/IEC 17799/27001,是有关信息安全管理的国际标准。该标准可用于组织的信息安全管理体系的建立和实施,保障组织的信息安全,侧重于强调信息安全管理体系的有效性、经济性、全面性、普遍性和开放性,涵盖内容非常广泛。
4.COSO委员会《企业风险管理――整合框架》和SOX法案(《2002年萨班斯-奥克斯利法案》)。前者是美国COSO委员会提出的内部控制理论框架和操作框架,关注企业风险管理。从IT角度看,该框架关于IT对内部控制影响的规范主要体现在“控制活动”和“信息与沟通”要素中。后者对企业的公司治理、IT治理和IT控制提出了更严格的要求。
此外还有PRINCE2(受控环境下的项目)、CMM1(能力成熟度集成模型)和PMPOK等。PRINCE2重点强调项目的可控性,明确项目管理中人员、角色的具体职责,同时实现项目管理质量的不断改进。CMM1是一种用于评价软件组织能力并帮助改善软件质量的方法,已经成为评价软件组织开发过程的标准,成为软件组织过程改进的参考依据。PMPOK主要适用于所有类型的工程项目管理。这些模型从不同的角度对IT治理进行了规范。
(三)IT内部控制
当前对IT控制并没有较为权威和统一的定义,处于不同角度(例如外部审计人员和企业管理人员)对IT控制有着不同的理解,对其应当包含的内容和控制目标等的认识也不尽相同。总体来说,早期的IT控制概念来源于审计领域的EDP(电子数据处理系统)控制,主要指的是EDP环境下的会计控制,包括一般控制和应用控制两个类别。其目标主要是为保证计算机系统处理的数据质量。这种控制包含两个层面:一是对信息系统处理数据的控制;二是在信息系统中设计某些内部控制措施。随着IT在企业中的应用越来越普及,IT控制的概念也逐渐变得更为宽泛,包括了IT在企业中多种形式的应用,IT控制包含的范围已超过了EDP控制对会计信息质量目标的单纯追求,是由期望达到的(IT控制目标)和达到这些目标的方法(控制程序)构成,有效的IT控制设计与实施指明了一个组织将IT条件下的风险降至可接受水平的途径(孟秀转,2007),IT控制实质上是企业运作过程中涉及IT这部分资产的购入、使用及维护等不同阶段的相关内部控制过程(余瑾,2006)。
从上述概念中可以看出,对IT治理不管用何种界定,其内容都包括通过有关责任与权利的划分对企业战略起到支持作用,从而确保企业价值最大化的目标。IT控制则是在现有的IT治理环境下企业所采取的一列政策、程序和措施的总称 。IT治理相对IT控制来讲,处于基础地位,是IT控制发挥作用的先决条件,而IT治理目标的实现又需要IT控制发挥作用。
二、IT内部控制主要内容及存在的主要问题
从内容上来划分,IT控制分为一般控制和应用控制,贯穿于整个信息化生命周期内,涉及信息化各个领域。
(一)IT内部控制的主要内容
我国《企业内部控制基本规范》对信息系统的控制重点体现在组织控制、系统开发控制、系统操作控制、系统运维控制和会计系统控制等几方面。
1.组织控制。就IT角度而言,组织控制主要是指职责分离。职责分离包含两个方面,一是业务部门与IT部门关于IT职责的分工,二是IT部门内部职责的分工。业务部门与IT部门的职责分工较为规范,但IT部门内部职责分工则在实际工作中普遍存在一个人同时有好几个不同权限的问题,在人手不足的情况下,每个人要参与多项工作,相应的权限也就较多。
2.系统开发、变更与运维控制。包括职责分离,确保系统的合规合法性和可行性,开发过程的人员控制、系统设计控制、系统的日常维护和系统功能的改进与扩充等。
3.操作控制。信息系统操作控制的主要内容包括操作权限控制和操作规程控制两个方面。
4.硬件管理控制。计算机系统对工作环境的要求比较高,对系统的自然环境、作业环境都应有严格的控制措施,主要应包括计算机系统硬件管理制度。
5.会计信息化及其控制。主要指企业实现会计信息化后给企业内部控制带来的新的风险。包括数据存储介质变换带来的风险、操作人员权限控制不当带来的错误和舞弊的风险、对软件质量过于依赖带来的风险等。
(二)IT内部控制中存在的主要风险
首先,我国企业和西方企业所处的政治经济环境不同,人文背景不同,在信息化建设上仍然属于“人治时代”,信息化的随意性较大。有些企业虽然已经制定了信息化的相关制度,但整体而言仍然缺少对信息化进行整体规划、实施与控制的决策机制和责任担当框架。信息化成功与否往往在很大程度上取决于企业高层和董事会对信息化的理解和影响,一旦管理者的个人影响力发生变化,IT规划建设就会失控,从而导致组织的信息化风险,这是IT治理风险的宏观体现。
其次,在具体实践中,企业信息化水平越来越高,其业务与财务报告流程对IT的依赖程度也随之越来越高。一方面财务报告的内部控制几乎离不开IT控制,另一方面即使业务层面的管理控制也是IT支撑环境下的控制。但信息技术是一把双刃剑,随着不安全因素的增多,信息安全的潜在风险也越来越大。从技术层面讲,系统缺陷、人为误操作、系统攻击等不可预料的各种IT风险逐渐增多;从信息安全架构层面讲,没有一个系统化、程序化和文件化的管理体系,就不可能有效防范信息安全风险。企业在建立安全有效的IT控制方面正面临着巨大的挑战,需要重视起来。
三、基于IT治理加强IT内部控制的相关对策
IT系统已经不仅仅是企业日常运营的重要支撑,它同时还是对企业活动进行控制的重要手段。以具体运营流程为基础展开的IT控制,直接关系到日常运营活动的实施效果。事实上,有效的IT控制设计与实施指明了一个组织将信息技术条件下的风险降至可接受水平的途径①。因而,在企业IT治理机制下加强IT内部控制应当是突破口。
(一)从理论层面看,要构建企业IT内部控制体系
科学合理的IT控制体系应当具有前瞻性的、全局性的控制机制,能融合防范与应对信息安全、IT治理、IT管理、IT服务、IT应用、IT项目、IT基础设施、业务连续性、IT外包方面的风险,并能有效地指导组织控制IT风险,使IT战略与企业战略相匹配,促进IT为组织持续地创造价值,以实现有效益的信息化。应当在充分考虑我国信息化建设的实际情况下,确定信息系统控制目标,将信息系统项目运作的全部过程置于有效的管理与控制之下,建立适用的、协同的IT治理标准模式,制定相关管理指南,提供集成的IT管理,指导我们建立起相应的机制,对处理过程进行有效监控,保证有关企业信息处理过程的高效、有序。
(二)从企业信息化建设角度看,应当由整个企业来进行IT内部控制组织体系的构建
企业应当组建科学合理的多层次内部控制组织机构,在《企业内部控制规范》和《企业内部控制配套指引》的规定下,参照上述第一点理论建设的国内外研究成果,选取适合自身特点的控制流程,建立自己的IT内部控制框架并组织实施。
(三)从用户实践层面看,针对本文第二部分所提到的几大内容进行具体控制
信息工具的变革带来了内部控制手段的创新,严格的职责分离可以有效地避免错误和舞弊行为的发生,如IT部门与业务部门之间、IT部门内部之间、系统开发部门内部等都应有明确的岗位责任。系统开发环节应当注重成本与效益原则,判断是否具有可行性;加强开发过程的人员控制、系统设计控制和文档控制等。在操作控制方面主要集中在操作权限控制和操作规程控制上两方面。每个岗位的人员只能按照所授予权限进行作业,不得越权接触系统。权限控制不仅仅通过规章制度来执行,更重要的是要由系统制定全县标准体系,使之不被越权操作,例如用户身份鉴定、口令设置、密码保护、电子签章等。应用控制方面主要重视输入控制、处理过程控制、输出控制等。
建立合理的IT治理架构是实现有效IT控制的基础,IT治理为IT控制提供了制度环境;而IT控制的有效性又直接反映了IT治理的成效。企业只有在建立了完整的IT规范、有了明确的方向基础上,IT控制才能达到高层管理者的要求。反之,没有企业IT控制体系的畅通,单纯的IT治理模式也只能是一个美好的蓝图,而缺乏实际的内容。
内部控制体系建设是一个长期的过程,其中IT内部控制更是由于对硬件环境、软件环境、工作人员素质等方面有较高要求而面临很多困难,还需要董事会、高管层和企业全体员工共同努力,才能真正落实和贯彻。
【主要参考文献】
[1] ITGI. Control Objective for Information and Related Technology (COBIT) 3rd Edition [Z]. America, 2000.
[2] ROBERT SROUSSEY. Challenges Facing the Profession Information Technology[J]. Enterprise Innovation& Risk, 2003(5): 26-27.
[3] PETER WEILL, JEANNE W ROSS. IT Governance on One Page. CISR Working Paper, www. ssrn. com, 2004.
[4] 陶黎娟.IT环境下我国财务报告内部控制研究[D].厦门大学博士论文,2009:68.
[5] 唐志豪,等.IT治理研究述评[J].会计研究,2008(5).
[6] 胡晓明.基于IT治理的我国信息系统控制与审计体系构建思考[J].科技管理研究,2008(9).
转载注明来源:https://www.xzbu.com/3/view-768189.htm