完善我国企业IT控制的思考.docxVIP

完善我国企业IT控制的思考 开展IT环境下的内部控制研究需要剖析我国企业信息化建设发展历程及IT控制缺陷，本文探讨建立IT控制相关法规，构建适用的、协同的中国IT标准，以促进IT与业务的集成，支持实现IT价值。下载 信息技术在企业中的应用，催生了企业信息化群落。我国企业信息化建设可以追溯到20世纪60年代，由于当时计算机价格高昂以及技术水平普遍落后于国外发达国家（或地区），只有国防、气象等极其有限的领域涉及数据处理技术，计算机在企业中的应用仅限于生产控制和大型复杂计算。直到80年代伊始，计算机价格大幅度下降，才促使企业计算技术的应用逐渐推广开来。所以，中国的IT发展主要是从计算机时代开始的，并未完整经历数据处理时代（麦可法兰等，2003）。一般认为，投入越多，说明信息化程度越高。IDC（国际数据资讯）公司公布的统计数字显示，2005年全球在IT方面的总投资额超过了1万亿美元，在近20年的时间里，美国企业每投入1美元就有一半以上花在IT支出上（杰普布勒姆等，2008）。改革开放30年来，我国企业IT投资额总体上呈逐年增长的趋势，体现了“全民参与”的格局，企业信息化建设完成了从计算机时代向信息时代的转型，部分企业已经或即将进入从投资中获得实际收益的优化阶段（胡晓明，2009），信息化建设更加注重各系统间、各应用间的集成、协调发展，IT投资的增长内涵与速度将更趋理性。 一、现代企业的竞争手段：有效的IT治理系统 现代企业的竞争是制度优劣的竞争，制度是决定发展速度最根本的因素，中国企业必须补制度管理的课。从模仿经济学的角度看，次发达国家往往模仿发达国家的技术，而不模仿发达国家的制度，结果必然导致“后发劣势”。如何使IT治理在企业内部控制环境中发挥作用，已成为信息时代理论界与实务界需要解决的新问题。 （一）传统内部控制面临信息时代的挑战 在IT环境下，内部控制对信息系统依赖性大大增强。信息化发展使人与人的关系部分转化为人机关系，信息以电磁信号形式存储于磁性介质，身份识别与授权审批方式与程序发生了根本性的改变。信息系统的复杂性使得内部控制范围相应扩大，除了包括手工系统下的组织控制、职责分离等内容外，还包括信息系统安全的控制、系统权限的控制、系统开发与维护的控制、修改程序的控制等。信息化强调数据共享，然而，也正是数据共享凸现了信息安全问题。据资料介绍，在西方国家信息化建设之初，因计算机舞弊，美国每年损失几十亿美元、英国每年损失25亿美元、德国损失50亿美元。一项来自英国的调查结果显示，员工无效使用IT资源可致企业每天损失17亿英镑。一家咨询集团曾对美国24家大型企业开发的客户/服务器系统进行了调查，结果表明，其中68%的项目超过了预定的开发周期，55%的项目其费用超过预算，88%的项目必须进行系统再设计；另有一家美国著名的调查公司SPR对美英两国的企业信息系统工程进行了类似的调查，报告显示，有30%50%的客户/服务器项目中途放弃开发。 （二）IT治理是正确决策的行为 如果发现企业的制度、规则等存在缺陷，毫无疑问，那是治理没有奏效；反之，如果存在一种东西能使事情做得更好，那么，这种东西就是治理。IT治理是有关IT决策的权责利安排，它从企业整体利益出发构建IT系统，力求实现业务与信息的集成（唐志豪等，2008）；IT治理是一种行为，任何战略的实施都要落实到具体的行为上。Weill和Ross将IT治理定义为“指定决策权和责任框架，鼓励正确运营IT的行为”（Weill & Ross，2004）。IT治理将合理的制度安排、控制程序嵌入到IT系统中，对IT资源进行有效管理和利用，使得IT系统具备内在的控制机制。麻省理工学院信息研究中心在对来自23个国家的250家企业进行了系统研究后指出，面对同样的战略目标，IT治理水平较高的企业，其获利能力比治理水平低的企业高出20%；美国堪萨斯州把COBIT标准作为虚拟政府策略的一部分，为客户和委托人提供可靠、安全的信息，大大降低了运营成本；宝洁公司在采用ITIL标准的四年里，节省了超过5亿美元的预算。实践证明，善治的、标准的治理结构有助于监督、控制企业关键的IT活动，从而增加企业价值、降低业务风险及提供合规的控制信息。 （三）IT控制是IT治理的制度安排及技术性支持手段 传统的“人管人”为主的控制手段已经不适应信息时代及企业发展的需要。面对信息时代，企业财务报告及相关信息的产生与传递越来越依赖于IT控制的有效性。信息系统现已成为管理层编制财务报告和披露相关信息的工具，基于权力制约和岗位分工的内部控制发展成为以信息流为基础的IT控制（章铁生，2007）。IT控制是由期望达到的（IT控制目标）和达到这些目标的方法（控制程序）构成，是IT治理的制度安排及技术性支持手段。IT控制目标是指通过对具体的IT活动实施控制程序，以达到期望结果或目的的总体描述。有效的IT控制设计与实施指明了一个组织将IT环境下的风险降至可接受水平的途径。 （四）提升IT控制的有效性势在必行 IT给企业带来效率的同时也带来控制风险，一方面，IT投资日益膨胀；另一方面，IT资源被大量浪费。企业IT系统和IT控制若存在风险，会影响所有（或大部分）财务报表的可靠性，甚至影响企业的生存。1987年，诺贝尔经济学奖得主罗伯特索洛说：“你可以在世界任何角落和生活的各个领域看到计算机时代的影响，但是在经济统计年鉴上除外”。也就是说，投入的影响随处可见，就是在产出中看不出来。为了摆脱IT应用中出现的“生产力悖论”现象，对IT环境下的企业内部控制问题进行研究势在必行。 二、我国企业IT控制缺陷分析 虽然我国企业信息化进程已达到或接近西方发达国家水平，但是现阶段我国大部分企业在IT控制方面还存在相当问题，主要表现在以下几方面： （一）信息孤岛 目前，我国的有关内部控制规范仍然是传统的出于职责分离和权力制约的内部控制理论，IT对内部控制的影响大体还停留在COSO报告层面（章铁生，2007）。有关IT的控制规范基本上也是在信息孤岛状态下提出的，纯粹从硬件和软件角度来看IT，而不是从应用层面去考虑。尽管部门内部各业务环节的信息化集成使人们初步尝到了集成的好处，但企业内或是企业间各个信息系统分离，财务系统与企业其他系统之间的集成对信息质量的影响还没有得到应有关注，数据难以整合，信息不到位，特别是决策信息不到位。目前，部分企业盲目引进最先进的软硬件，造成的后果或是仅在局部环节处理上保证IT提高效率，或是形成设备的闲置和投资的浪费，国外学者将这种现象称为“银弹”、“魔弹”（Daly，2002）。 （二）IT和业务两张皮 目前，我国企业IT管理活动的主要职能被放在IT服务部门，IT服务部门承担IT管理的大部分责任，为业务部门提供技术基础设施，制度基本是由技术管理者制定，他们缺乏规范化的风险管理经验，IT控制制度一般存在于系统安全和变更管理等控制领域，缺乏从公司透明度角度出发的、结合支持业务流程的完整的内部控制制度。技术部门充当消防员的角色在各个业务部门间来回穿梭，业务部门只有享受这种技术的权利却不对IT资源与业务的不匹配负相关责任。从治理结构看，整个IT管理活动缺乏利益相关者的有效参与，很难让IT资源真正融合为企业运行的内在组成部分，IT和业务两张皮必然导致企业IT资源效用不能有效发挥。各标准体系局部覆盖和冲突，使各体系之间不能合理有效地兼容、互补，无法支撑业务的运营。 （三）从控制到偏离 目前，每个企业或多或少都有一些IT控制制度，很多企业错误地把这些静态的控制制度等同于控制体系。对于实现企业目标，“我们一直是这样做的”通常是不正规的、未经验证方式的代名词。人们希望以此处理完所有事情，一次性将所有问题彻底解决。随着经济技术和公司企业运行模式的变化和发展，这些IT控制制度可能不太规范，控制政策程序不太完善。面对厚厚的规章制度，是否执行、执行是否有效却没有得到应有的关注，各种指标体系设计没有在信息化投入与产出间建立效能基本标准。在董事会里面，董事们谈兼并收购、产品开发、融资，就是不谈IT治理，很少涉及“IT是做什么的”议题（事实上，国外的调查也显示，只有三分之一的董事会会谈及IT治理的问题）。IT运行中常见的问题有，使用者不执行规范，违反流程；实物处理与信息反馈的顺序颠倒；信息录入缺乏准确性和完整性；人为建立垃圾数据等，都会影响信息的应用程度。企业慢慢发现自己处在一个下降的螺旋中：从控制到偏离（杰普布勒姆等，2008）。 在内部控制发展的历史上，理论往往落后于实践发展的需要（Michael Chatfield，1977），我国关于IT对内部控制的影响整体而言关注还不够（刘志远等，2001；陈志斌，2007）。现有的文献主要是归纳和总结企业IT控制的现状与问题，而且集中于探讨信息化和网络环境对会计、审计职业的影响，提出的解决策略和实施办法往往不具有系统性和可操作性。因此，相应问题的建议和措施也就成了空中楼阁。 三、完善我国企业IT控制的思考 信息化建设的成功与失败，除了与IT投资、技术的引入有关外，深化IT控制至关重要。完善我国企业IT控制必须从全局着眼，建立IT控制的相关法规，构建适用的、协同的中国IT标准，采用“先固化再优化”原则，促进IT与业务的集成，注重IT控制实施状况的衡量，构建一套系统化、标准化、可审计、可持续改进的IT控制体系。 （一）建立IT控制的相关法规 建章立制要在前，“拨乱反正式”的管理风格代价很大。我国应颁布一部有关IT的法规，通过IT立法加强IT资产组合管理以及投资监督，强制企业执行IT控制，促进技术手段和法律手段的有效结合，减少IT资源的浪费。我国内部控制制度建设是政府主导推动的，财政部等部委应充分借鉴COBIT等国外IT控制模型，进行优化组合，优势互补，及时发布相关应用指南或专门研究报告，规划出我国IT治理环境下的内部控制模型。 （二）构建适用的、协同的中国IT标准 中国正在兴起“新技术民族主义”，制定自己的标准就是摆脱对国外技术依赖的重要方法之一（苏迈德，2004）。构建我国的IT控制框架并在实践中不断完善，这将是一个不断学习、借鉴、探索并提高的过程。“借鉴”不等于“效仿”，由于国内外治理环境还存在相当差异（比如我国IT治理结构明显有别于美国等发达国家），为了避免产生“后发劣势”，我国应着眼于商业目标与IT目标、IT流程的衔接，整合多种新思想和国际最佳实践，增加与其他标准的接口，结合我国公司治理与IT治理及企业内部控制相关规范，构建适用的、协同的、易于操作的中国IT标准（胡晓明，2008）。理想的框架是连接制度与技术的桥梁，必须指向正确的目标，即从IT中产生更多价值，帮助确定恰当的优先顺序，使战略与期望的行动联系起来，避免各标准体系局部覆盖和冲突，从而支撑业务的运营。 （三）采用“先固化再优化”原则 有效IT治理的结果是可以转换的，IT最佳实践存在巨大动力促使IT领域不断向优秀的流程框架和IT治理方向发展。成功实施IT治理的另一个重要原则就是“先固化再优化”。将控制流程固化在信息系统中可采用分阶段部署的办法，逐步实现从“一直这样做”到IT最佳实践的转变。如采用试点项目方式，新系统在项目实施之初，可适当地安排较多学习时间，帮助认识、吸收，并不要与其他项目过多地对接。这样新系统就很容易被掌握，之后再在整个企业中推广。从试点项目着手还允许逐步采用PMO（项目管理办公室）或资产组合管理系统，而不必花费大量时间将传统项目和数据转换到新系统中运行。企业可以在某段时间同步运行新旧两种系统，以促进这种转变。 （四）促进IT与业务的集成 随着信息技术的深入应用、支出的日益增加，IT与业务的中间界线越来越模糊。信息时代，经济评估是人类的共同语言，业务和IT也应该使用相同的语言。它让所有人了解到流程是成功的关键，企业应建立一种透明的流程，使该流程中的IT经理和参与者以及与IT交互工作的业务部门都能够理解和接受。企业应根据企业的战略目标来确定企业信息化的准则，了解需要投入的IT资源、可以达到的IT目标以及每个IT流程的运转情况。CIO（首席信息官）必须率先寻找能够创造价值的IT流程，促进“信息孤岛”转变成“信息大陆”。IT控制能将信息系统的规划和组织、获取和实现、交付和支持以及监控系统绩效等四个过程一体化和标准化，以确保IT资源被合理利用，支持企业决策。在IT投资方面，企业应“过滤”不良投入，“提纯”有效投入，确保缩小信息系统的“蝴蝶效应”。 （五）注重IT控制实施状况的衡量 要实现高效的IT控制，必须解决“哪些决策能确保有效管理和运用IT？如何制定这些决策？如何监督这些决策？”这三个问题。Weill和Ross发现，第三个问题通常被公司漠视或忽略。目前的IT控制已经从三叶草（IT战略、IT治理、IT管理）变成了四叶草（IT战略、IT治理、IT管理、IT衡量），实现高效IT控制的关键在于实施状况的评估。著名的CMM（能力成熟度模型）被广泛用于衡量企业IT成熟度水平，企业可以通过成熟度模型了解信息化管理和控制所处的状态，了解自身的薄弱环节，使得企业具有信息化管理和控制的概念。结合不同行业、不同对象特征，以标杆库和标杆值为参照，选择、设计和改良IT控制评价指标，将措施型指标和结果型指标结合使用，围绕“信息流”构建绩效和目标评价体系（KPI/KGI），强化对流程的规范和引导；同时，企业必须有足够的证据证明IT控制的有效性，以服务于信息系统审计。 （六）崇尚协化 实施有效的IT控制要求处理好与企业文化的关系。在企业信息化过程中，企业成员的道德伦理、价值观念、工作态度都会发生变化，尤其是员工的诚信程度和职业道德水平，是影响企业内部控制环境的一个非常重要的因素（骆良彬等，2008）。企业文化建设是把双刃剑，它是企业获得成功的巨大驱动力，当然也可能成为实施有效变