构建适合我国企业的IT控制实施标准体系研究,本文主要内容关键词为:适合论文,体系论文,我国论文,标准论文,企业论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。
2010年颁布的《企业内部控制应用指引第18号——信息系统》(以下简称《信息系统指引》)是目前我国企业实施IT控制最重要的规范。然而该指引侧重于原则式指导,作为操作依据来讲,内容不够具体,没有根本解决IT控制“实施难”的问题。因此,笔者拟通过借鉴COBIT(Control Objectives for Information and Related Technology)框架,对构建适合于我国企业的IT控制实施标准做些研究探讨。
一、借鉴COBIT框架进行IT控制的可行性分析
COBIT框架是当前最为全面和成熟的IT控制框架,其要求的适用环境及条件也最为严格。COBIT依赖于较高的信息技术水平和较完善的内部治理结构。一个信息化水平低、公司治理不健全的企业,投入高昂成本以采用COBIT,其结果必然是得不偿失的。因此,在信息化程度和公司治理尚待发展的情况下,我国不适宜直接采用COBIT标准。那么对其进行合理借鉴并结合我国《信息系统指引》进行IT控制是否可行呢?
这就需要首先比较分析《信息系统指引》与COBIT框架的异同。显然,COBIT篇幅巨大,体系完整独立,单在内容总量上讲,两者并不具可比性。但《信息系统指引》基于系统生命周期设计的流程控制点逻辑完善,可与COBIT关注的IT流程进行比较,以发现优势或不足。图1列示了COBIT的IT流程与《信息系统指引》流程关注点的关联状况。
图1 COBIT与《信息系统指引》流程关注点的关联
通过流程点的对比,可以看出:第一,《信息系统指引》所涉及的控制点都能在COBIT的IT流程中找到对应,比如COBIT“定义IT战略规划”流程涉及如何制定战略规范,即涵盖了“战略规划制定”这一控制点。而COBIT中的某些流程,并未在《信息系统指引》的控制点中找到对应,如“问题管理”、“第三方服务管理”等。第二,《信息系统指引》的控制点设计侧重于系统开发、运行和维护阶段,而COBIT对系统项目前期的“计划与组织”也给予重视,在控制点设计方面也更加细化和全面,比如关注“信息架构”、“技术方向”等基础性工作。第三,COBIT将“监督与评价”作为一个独立的活动域,并设计了相应的IT流程,而《信息系统指引》单纯围绕信息系统的整个生命周期环节进行设计控制点,并未涉及独立的监控及评价。究其原因,主要在于《信息系统指引》是作为整个内控规范体系的一部分,监控及评价的内容由其他应用指引和评价指引进行规范;而COBIT却是一个独立完整的框架。
由上可以得出一个推论:我国企业如果基于COBIT的34个IT流程进行控制,也将满足《企业内部控制基本规范》和《信息系统指引》对信息系统控制的要求,能够达到合规性目标。
二、构建我国IT控制实施标准的路径分析
IT控制实施标准,是指企业实施IT控制的具体依据或操作指南,是对《信息系统指引》的细化。建立IT控制实施标准具有重要的现实意义。一方面,IT控制实施标准强调通过在内部控制整体实施过程中强化IT控制,而非独立实施IT控制的各个环节,有助于节省资源投入提高控制效率;另一方面,IT控制实施标准也可作为内部控制评价中IT控制评价部分的具体标准,有助于解决我国企业目前IT控制评价难的问题。
需要注意的是,本文提出的“IT控制实施标准”是一个相对狭义的概念。COBIT既是一个IT控制框架,也是IT控制的标准。但是本文所设想的“IT控制实施标准”远没有COBIT框架的内容丰富,其逻辑结构也没有像COBIT那样复杂。IT控制实施标准试图解决的是在内部控制实施过程中如何强化IT控制的问题,主要围绕IT风险的应对进行。框架式研究IT控制虽有必要,但并不是本文的重心。
当前,理论界和实务界普遍认为基于业务流程控制风险的方式最为有效和实用。我国现行企业内部控制规范指引强调通过梳理业务流程,找准关键风险点,进而采取有效措施加以应对。IT控制的实施过程也应当通过关注IT流程,识别潜在IT风险,进而采取措施对IT流程加以控制。具体来讲,IT控制实施标准应当解决以下几个问题:①IT流程。企业IT活动存在哪些必要的流程。②风险点。企业该主要关注哪些风险。③风险迹象。这些风险存在什么样的迹象,怎样识别。④风险级别。为分配控制资源,风险的级别或重要程度如何确定。⑤控制措施。针对风险基本的控制措施是什么。
三、我国IT控制实施标准体系的内容构成
综上所述,笔者认为可以从以下五个方面构建我国IT控制实施标准体系。
(一)IT流程
IT流程的设计应当遵循信息系统的生命周期理论。我国《信息系统指引》也是按照这一科学思路,对信息系统控制的各个要点进行了规范。然而,不无遗憾的是,《信息系统指引》只是提纲式的泛泛约束,缺少更具体的实施要求。相比之下,COBIT体系更完备,实施操作性更强。但值得注意的是,COBIT划分的域中包含“监控与评价”,并涉及4个IT流程,即“监控与评价IT绩效”、“监控与评价内部控制”、“确保遵循外部要求”和“提供IT治理”;如果将它们也作为IT控制实施标准中IT流程的内容,那么势必将与我国《企业内部控制评价指引》的实施存在或多或少的冲突。因此,除“监控与评价”域的IT流程外,COBIT关注的其他流程,应当纳入控制点的范围。具体见表1。
(二)风险点
我国内部控制制度体系始终贯穿着风险管理理念,每一处控制点都对应着相应风险,以做到有的放矢。在COBIT框架中,并没有直接提及风险点的问题,但实际上也隐含着风险管理的理念。COBIT通过制定信息标准与控制目标来规范相应的流程控制,显然这正是一个应对潜在不确定性、控制IT风险的过程,或者说,COBIT流程控制背后都对应着一类风险。因此,对于IT控制实施标准中风险点的设计,笔者将每一个流程中潜在的诸多风险归为一类,比如“定义IT战略规划”对应“战略规划风险”;这样依次共设计了30个风险点,具体见表1。
(三)风险迹象
风险迹象是风险存在的外在表象,是识别风险的关键。如何确定风险迹象呢?COBIT框架中每个流程设定的控制目标,为本文提供了一个很好的思路。控制目标一方面对应了IT流程的具体内容,另一方面指明了该流程优化所需要努力的方向。因此,我们可以据此来判断该流程控制是否已经完善,是否仍存在风险。受篇幅所限,本文仅以“定义战略规划”流程为例,说明其风险迹象的设计过程。该流程的控制目标包括IT价值管理、IT与业务的一致性、当前能力和绩效的评估、IT战略规划编制、IT战术计划和IT项目组合管理六个方面,那么该流程的风险即可从以下六方面去判断:
1.战略规划是否充分考虑了IT价值。如果在战略规划中对IT价值考虑欠缺,由此可能导致IT投资不能带来相应的效益。
2.IT是否能满足业务需求,并保持持续的一致性。在IT项目的战略规划过程中,如果未能充分掌握业务的需求状况,盲目开发或者上马系统,将可能造成系统功能与业务需求不相一致,限制IT功能发挥甚至阻滞业务活动。
3.战略规划过程中是否对IT开发的现有能力进行充分评估和掌握。企业要开发一套IT系统,在战略规划阶段必须对系统所能实现的能力和效果进行评估,以便与业务的实际需求进行比较,进而判断可行性。如果未对IT解决方案有充分了解,极可能与业务需求不匹配而导致投资损失。
4.战略规划编制是否有严格流程,并得以执行。战略规划编制如果未能严格执行,可能因忽视其他利益相关方的需求,而导致后续项目执行困难。
5.是否存在配套完善的战术计划。如果缺少详细的与战略规划相一致的战术计划,可能导致IT战略执行过程中出现混乱,不能实现预期目标。
6.战略规划是否充分考虑了投资项目的组合管理。对于同期内的多个项目,如果不能进行有效的项目组合管理,对资金分配、授权、职责等问题加以明确,将影响项目的有序实施,由此产生一系列不利影响。
当然,该六个方面只是提供了观察风险迹象的角度,并不能穷尽所有情况,具体操作仍需要相关人员的专业判断。
(四)风险级别
风险级别是衡量风险大小的指标,通过界定风险级别可以确定应对的优先次序。本文将借鉴COBIT的成熟度模型来确定风险级别。成熟度级别越低,那么该流程的完善度也越低,风险也就越高;成熟度级别越是接近优化级,那么该流程的风险就越低,具体见表2。
每一个IT流程都对应一套成熟度模型,本文仍仅以“定义IT战略规划”流程为例进行说明,详见表3。
风险级别的判定同样依赖于专业人员的主观判断。一个IT流程不可能完全与某一级别的判断标准相一致,这就需要评估人员作出综合判断,确定风险级别。
(五)控制措施
选择恰当的控制措施以应对风险在现实中是一个复杂的问题。原因在于控制措施的执行及其效果受到多种因素的影响。因而,本文中的控制措施重在提供应对风险的角度,而非具体的方案。
那么,应对风险的角度如何确定呢?本文仍然从每个流程的控制目标入手。既然流程活动的目的在于达成每个具体的控制目标,那么控制措施只要能利于控制目标的实现,就是有效的风险应对措施。仍然以“战略规划风险”为例,其控制措施可从以下角度去确定:战略规划中充分考虑IT价值管理;建立IT战略规划和业务战略规划的双向交流和协调机制;评估IT解决方案及服务交付的现有能力;与有关的利益相关方共同编制战略规划;根据IT战略计划制定一整套组合的IT战术计划;考虑IT项目组合管理等。
标签:cobit论文; 企业内部控制配套指引论文; 企业流程管理论文; 企业战略规划论文; 流程优化论文; 内部控制论文; it治理论文;