企业IT控制基本框架构建研究..doc

企业I T 控制基本框架构建研究3胡晓明(南京财经大学会计学院210046 【摘要】在对已有研究进行归纳和扩展的基础上, 通过界定信息质量标准、明确I T 目标、识别I T 资源, 形成一个管理部门易于理解的、关于“I T 做什么”的理念, 便于业务和I T 目标的协调; 进行基于信息系统生命周期的过程定位, 以定义所覆盖的范围和领域; 参考相关标准和相应的I T 控制目标, 形成我国企业适用的多层级过程控制集; 建立成熟度模型(C MM 、关键目标指标(KGI 和关键绩效指标(KP I 对企业行业地位、业务结果与过程进行评估、衡量, 向信息系统相关利益方提供一种共享的通用语言。【关键词】I T 治理I T 标准I T 控制一、引言I mati Technol I T 的进步, 传统的内部控制理论已(I on Syste m s, 简称I S 的复杂度越高以及业务对I T 的依赖性越强, 。欧洲Acadys 和美国Standish Gr oup 两家咨询公司的调查表明, 许多企业虽已认识到I T 的重要性, 但并未将其视为企业的一项核心推动机制。进一步调查发现, 只有少部分企业能够对I T 价值回报作出评价; 大多数企业的I T 投资项目并不成功, 或至少存在相当数量的不健全因素。因此, 需要提供一套有效的I T 治理(I T Governance 与内部控制框架, 以提升I T 价值、管理I T 相关风险以及增加对信息的控制(Mari os Da m iaides, 2005 。W eill 和Ross 将I T 治理定义为, “指定决策权和责任框架, 鼓励正确运营I T 的行为”(W eill &Ross, 2004 ; I T 治理委员会认为, I T 治理是企业管理者为保障企业I T 支持组织战略和目标而进行的领导、组织架构设计和处理的过程, 是I T 资源的保证机制, 价值、风险和控制构成了I T 治理的核心(I T Governance I nstitute, 2007 。I T 控制是指为了提供对企业战略目标合理保证并能阻止、发现、纠正I T 活动中不期望事件的政策、流程与实践, 是I T 治理的制度安排及技术性支持手段。麻省理工学院信息研究中心在对来自23个国家的250家企业进行了系统研究后指出, 面对同样的战略目标, I T 控制水平较高的企业, 其获利能力比控制水平较低的企业高出20%; 美国堪萨斯州把COB I T 标准作为虚拟政府策略的一部分, 为客户和委托人提供可靠、安全的信息, 大大降低了运营成本; 宝洁公司(Pr oct or &Ga mble 在采用I TI L 标准的四年里, 节省了超过5亿美元的预算。实践证明, 善治的、标准的治理结构有助于监督、控制企业关键的I T 活动, 从而增加企业价值、降低业务风险及提供合规的控制信息。目前我国企业的信息化建设正逐步走向深入, 传统的“人管人”为主的控制手段, 已经不适应信息时代及企业发展的需要, 企业财务报告及相关信息的产生与传递越来越依赖于I T 控制的有效性。为了摆脱I T 应用中出现的“生产力悖论”现象, 许多企业在I T 投资上逐渐显示出谨慎态度, 开始积极探索能够273本文是国家教育部社科规划基金项目“I S 审计理论与实践研究”(05JA630026 阶段性研究成果。 减少lT 应用的风险、充分挖掘I T 资源价值以及借助I T 资源提升竞争力的途径。然而, 在I T 治理的混沌时期, 我国企业还不同程度存在着I T 应用方案与业务需求之间逻辑错位、决策的技术经济论证不足、利益冲突和信息不透明以及I T 风险管理缺位等问题, 有关I T 控制体系的理论研究还比较缺乏, 尚未建立起一套相对完整的符合我国企业实际的I T 控制框架标准, 业界对I T 风险的识别、分析和控制还处于摸索阶段, I T 控制评价多以事后的监督、检查为主, 缺乏指导方针和流程定位。因此, 在建立我国企业适用的I T 控制标准问题上, 怎样借鉴国际最佳实践? 如何解决“业务与I T 两张皮”以及“信息孤岛”现象、实现内部控制与相关I T 标准的整合与对接? 哪些地方需要改进以及需要采取怎样的管理工具以监控这种改进? 如何衡量I T 的执行状况? 这些已成为我国企业信息化建设中的现实课题。二、国内外研究现状及分析企业I T 控制的重要性己经引起了国内外理论界和实务界的关注, 在研究状况方面, 我们可以从标准控制、会计控制、审计控制以及风险评价等角度进行归纳综述。(一 标准控制视角为了确保企业管理工具支持战略目标, 国外控制模型融合了许多成熟经验并将其制度化。其中, 适用于公司治理及风险管理方面的控制模型有, 美国的COS O 、英国的Cadbury 、加拿大的CoCo 、南非的King 等。但是, 这些模型框架只是针对企业的一般控制与治理, 例如COS O “ER M ( ”新框架有关I T 对内部控制影响的规范仅在“控制活动”及“”I T 控制系统并未作进一步探讨。适用于I T , I TI L ( 、COB I T (信息及相关技术的控制目标 、I ( 等。从控制内容来看, I S I TI L , Prince2则强调项目管理, 比较而言, COB 、风险管理、资源管理和绩效管理五个方面关注对企业的I T 治理(I nstitute, 2007 , 且突出了信息系统控制。虽然COB I T 提供了I T 的基本治理框架, 但是在I T 治理的五个方面, 尤其是对I T 控制的方法和模型的研究和描述还是非常之少; 另外, COB I T 只是一个I T 控制方面的目标框架, 标准体系庞大, 几乎涉及了问题的所有层面, 虽具有通用性、全面性, 但忽视了特殊性, 且没有给出相应的改善手段与方法。因此有学者建议将诸多I T 标准结合起来实施I T 治理, 建立详细的I T 流程对应关系(Hardy, 2006 。(二 会计控制视角目前大多数有关I T 控制文献是研究信息化条件下的会计控制问题。有学者探讨了企业信息化对于内部会计控制的影响, I T 背景下内部会计控制模型及规范问题, 并提出了一些加强内部会计控制的措施(杨周南, 2003; 章铁生, 2007; 骆良彬、张白, 2008 。然而, 在信息化的条件下, 会计信息系统已融入整个企业的管理信息系统(M I S 中, 会计控制的范围得到延伸, 会计控制的对象涵盖企业的全部I T 资源(应用系统、信息、基础设施及人员 , 会计信息系统控制与整个企业的管理信息系统控制的边界越来越模糊。会计界学者认为内部控制需要从财务报告导向到价值创造导向转型(李心合, 2007 ; 有学者借助系统论和制度经济学的有关理论, 认为内部控制的内涵可以拓展为由企业治理控制、管理控制、信息系统控制和企业文化控制四个要素构成的一个更全面、更系统的控制框架体系(张宜霞, 2004 ; 有学者37COS O 委员会2004年提出了内部控制新框架“ERM (企业风险管理 ”, 在内部控制整体框架五要素的基础上进行了拓展, 增加了三个风险管理要素, 分别是内部环境、目标设定、事件识别、风险评估、风险相应、控制活动、信息与沟通、监督。COB I T (Contr ol Objectives f or I nf or mati on and Related Technol ogy :1996年4月, I S ACA 首次面向全球公开发布了第一版COB I T 框架, 继2000年推出COB I T3rd 之后, I T 治理委员会2005年12月推出了更新版本COB I T410, 2007年4月又推出了COB I T411。我国企业内部控制标准委员会于2007年3月公布的企业内部控制规范基本规范和17项具体规范的征求意见稿也预示了这种发展趋势。 在对信息化生态环境下企业内部控制变化趋势进行研究的基础上, 借鉴国外先进的内部控制框架, 构建信息系统环境中的有效内部控制机制(陈志斌, 2007 。(三 审计控制视角早在计算机刚进入实用阶段, 美国就提出了I S 审计的概念。I S ACA (信息系统审计与控制协会 长期以来开展了大量的理论研究, 通过制定和颁布I S 审计准则、实务指南、职业道德准则等专业标准来规范和指导C I S A (信息系统审计师 的工作(I S ACA, 2003 , 促进了全球I S 审计事业的进步。国际审计准则20号公告电子数据处理环境对会计制度和有关的内部控制研究与评价的影响以及美国国家审计总署(G AO 和注册会计师协会(A I CP A 颁布的美国政府审计准则电算化系统审计、I T 对CP A 评价内部控制的影响等一系列规范, 对信息系统控制与审计作出了多方面规定。另外, 日本通产省情报协会、英国I T 审计师协会、匈牙利国家审计署以及美国信息系统审计专家Ron A 1W eber 等在I S 审计概念框架、内容体系以及相关应用方面均有不同程度的研究。20世纪九十年代后期I S 审计思想传播到我国, 内部控制从内容侧重点和形式上都打上了审计专业或行业的烙印(刘明辉, 张宜霞, 2002 , 例如中国注册会计师协会1999年的独立审计具体准则第20号计算机信息系统环境下的审计、2007年的中国注册会计师审计准则第1633号电子商务对财务报表审计的影响以及中国内部审计协会2008年9月的内部审计具体准则第28号信息系统审计等对I T 环境下的审计作了规范和要求。许多研究者从审计的角度对I T 控制进行了研究, 把寻求答案的目标归结到I S 审计上, I T 治理相结合, 并提出了一些解决I T (, , 胡克瑾, 2003; 金文, 张金城, 2005 ; , 流程下如何进行有效控制的新流程(, ; I T 标准, 以信息系统保障、控制、审计的完整概念框架, 规划基于风险基础I S 审计流程, (, 2006 。然而, 内部控制已涵盖企业管理的所有层面, I S 审计只。这一点从COS O 、COB I T 的转型中可以看出, 这些标准早期都是立足于审计而制定的。(四 风险评价视角从COS O 新框架的构成要素来看, 风险评价是内部控制的一个关键环节, 是制定控制措施和实施控制活动的基础。在定性研究方面, 国外学者认为, 评估风险、信息安全政策、安全和灾难计划是掌控信息系统的重要途径(ThomasW ijs man, Peter Paans, 1996 , 并提出I S 审计中风险评价的策略; 有学者分析研究I T 风险评价、内部控制评价以及风险控制与内部控制之间的关系(赵雪媛, 2003; 黄小毛, 陈志诚, 2005 ; 有学者探求如何帮助企业设计一套合理的风险评价体系(Andrede Korvin, 2004; 杨武岐, 2005 。在定量研究方面, 有学者认为对安全性进行评价可使用确定性模型, 如叶贝斯模型(Ron A 1W eber, 1999 ; 有学者运用可靠性理论和数理统计知识构建内部控制系统评价的数学分析模型, 判断内部控制的有效性(王立勇, 2004 ; 有学者还对I T 相关的风险采用多级的模糊综合评价方法实现了对系统风险的量化, 运用层次分析法(AHP 确定层次结构中风险影响因素的权重系数, 并改进了评判方法和评价准则, 甚至为I T 风险控制模型或方法提供了可行的数学表达形式(王祯学等, 2004 。然而, 目前信息系统风险评价的理论研究还主要是面向审计领域, 且这些评价方法缺乏统一的标准模式指导。在内部控制发展的历史上, 理论往往落后于实践发展的需要(M ichael Chatfield, 1977 。国外在I T 控制方面的研究虽然较早, 也制定了一些通用的I T 控制标准, 但总的来说仍然处于探索阶段, 理论研究文47I S ACA (I nf or mati on Syste m Audit and Contr ol A ss ociati on :该协会成立于1969年, 最初称为电子数字处理(EDP 审计师联合会, 1994年更名。如COS O 原先主要服务于外部审计, 现面向企业风险管理; COB I T 由I S ACA 参与制定, 后改由I T 治理委员会独立制定。 献仍不多见, 一些标准和框架还在不断修改和完善之中。国内关于I T 对内部控制的影响整体而言关注还不够(刘志远等, 2001, 陈志斌, 2007 。国内研究主要是归纳和总结企业I T 控制的现状与问题, 而且集中于探讨信息化和网络环境对会计、审计职业的影响, 缺乏对I T 控制进行具体分析、预测和评价, 提出的解决策略和实施办法往往不具有系统性和可操作性。因此, 相应问题的建议和措施也就成了空中楼阁。因此, 基于I T 治理的内部控制的研究在国际上尚属新兴领域, 很多研究还不够成熟, 很难生搬硬套国外现成的研究成果。从长远发展的角度看, 要想在该领域取得实质性突破, 还需要拓展传统控制理论的研究范式, 建立一套适合我国企业需要的I T 控制标准体系与理论框架。三、企业I T 控制框架的主要内容本文主要研究最佳实践的采用以及I T 控制框架的构建。在最佳实践的采用过程中, 拟以COB I T 作为主要参照标准, 同时借鉴国外其他I T 标准。如在对信息系统安全方面进行审核时, 参照I S O17799中的相应内容以及C MM 标准; 在涉及信息系统的交付和支持时, 采用I TI L 中的内容来对I T 过程进行评价和审计; 在对I T 控制的建设情况进行评价时, 参照COS O 中的相应条款。(一 界定信息质量标准、明确I T 目标和识别I T 资源构建基于I T 治理的我国企业I T 控制框架应将I T 业务聚焦在界定信息质量标准、明确I T 目标和识别I T 资源上。1. 界定信息质量标准。信息质量不仅反映信息系统的运行环境, 性、可靠性、安全性、完整性及合规性等。I T 程相关的系统信息以及时、连续和可行的方式传递; 提供适当、可靠的信息; 地提供, ; 、惯例以及协议安排相符合。2. 明确I T I T 与业务的融合、I T 资源被合理利用、I T 风险得到适当管理, I T 活动实施控制程序, 以达到期望结果或目的的总体描述。具体应包括取得并维护整体的标准化应用系统、I T 基础设施, 取得并满足I T 战略要求的I T 技术, 确保终端客户对服务项目和服务水平的满意, 确保信息的充分利用, 确保将商业运作与控制需求转变为有效且高效的自动化方案, 确保不断的将应用程序整合到业务流程中, 确保I T 成本、收益以及服务的透明度和可理解性, 充分利用I T基础设图1企业I T 架构施、资源和能力, 保护I T 目标的成果, 确保未经受权者无法获得重要且机密的信息, 确保灾害性恢复, 保证I T 服务在有需要时即可 提供, 保持信息及处理的完整性, 确保信息技术合法合规, 等等。3. 识别I T 资源。企业的I T 资源包括系统网络、系统硬件设备、软件系统、数据库、机房以及使用和维护系统的部门及人员等, 具体可分为信息、应用程序、基础设施和人员四大部分。这些资源融入I T 过程后组成了一个企业的I T 架构。(参见图1(二 流程分解I T 资源是有限的, I T 风险应该被有效控制。如何管理好I T 资源、控制I T 风险呢? 我们认为, 通过I T 过程控制能实现这个目标。因为I T 资源被I T 活动所使用, 所以控制好I T 活动就能够管理好I T 资源, 但是企业的I T 活动非常频繁, 给直接控制带来了困难; 如果将I T 活动划分为若干过程集, 问题就能得以解决。因此, 控制了I T 过程也就控制了I T 活动。按I T 活动与企业I S 生命周期相对性, 可以进一步将信息系统划分为系统规划、系统运行、环境支持、监督评价四个领域。应用I T 平衡计分卡(BSC 进行过程定位, 构建“活动”“过程”“领域”的过程集(参见图2 。该过程集由业务需求驱动, 并覆盖关键I T 活动范围(关键控制点 。57 (三 控制设计控制目标是达到I T 过程有效控制的最低要求, 以识别需要控制的关键控制点。过程控制包括业务控制和I T 控制。目前, 大多数企业的业务过程实现了信息化、自动化, 但仍存在人工步骤, 比如, 授权批准、职务分离和管理协调等, 这些应属于业务控制范畴。I T 控制是指适用于所有I T 服务活动的控制, 具体可划分为一般控制和应用控制(参见图3 。与通常认识不同的是, 一般控制是指运用于I T 过程和服务、与基础设施相关的控制, 具体包括程序开发与变更、计算机操作流程和数据访问等; 应用控制是指运用于业务活动中的控制, 包括完整性、准确性、有效性控制及授权与职务划分等。同时, 通过构建RAC I 表以明确关键控制活动的负担者(R 、责任人(A 、咨询人(C 及告知人(I 。 图2流程分解(四 , , 如果不能描述就不能衡量(罗伯特卡普兰、大卫诺顿, 2004 , 创立了用于描述的战略地图。对于I T 控制来说同样如此, 如果我们不能描述(评价 好I T 过程, 也就不能衡量I T 目标及执行情况; 如果不能衡量, 那么也就不能管理好I T 资源。1. 成熟度(C MM 模型。识别关键I T 过程和控制后, 基于主观标准(满意度 用成熟度模型对过程能力进行评价(侧重于定性方法 , 发现性能缺口并显示给管理部门, 以便改进活动计划, 达到期望的目标能力水平。成熟度的基本模型参见图4。 图4成熟度模型图例2. 实施状况衡量。基于客观标准通过定义关键目标指标(KGI 和关键绩效指标(KP I 对过程进行评估(侧重于定量方法 , 以对过程中可能存在的风险进行预警。KGI 属于基础性或称为“滞后性”指67标 , 用来测度某一环节战略目标 、 IT目标 、 IT过程以及活动目标是否达到 , 相应指标体系应包括关键战 略目标指标 、关键 IT目标指标 、关键 IT过程指标以及关键活动目标指标等四个层次 。 KP I是一种 “ 先导 性 ”指标 , 用来测度某一环节的执行效果 。 KP I与 KGI二者在某一特定层面上存在着重要的因果关联性 , 是管理部门校正执行状况并使其与目标保持一致的衡量标准 。通常运用分层评价方法 ( AHP 构建基于 IT治理的企业 IT控制的指标评价体系 ( KP I/ KGI 。 目标 、过程与衡量之间的关系可以表述为 (参见图 5 , 目标被自上而下的定义 , 其中战略目标决定 并支持一系列的 IT目标 , IT目标将决定所需的不同过程目标 , 并且每一个过程目标将建立若干活动目标 。 目标的获得由实施状况指标来衡量 , 并且它可以驱动更高级别的目标 。比如 : 过程目标关键目标指标 ( KGI 是一个 IT目标关键绩效指标 ( KP I 的驱动 。 图 5 目标与衡量之间的关系 3. IS审计 。 IS审计过程域的核心在于监管和评 估过程 , 提供独立的 IT控制审计报告 。 IS审计监督 作为一个独立的过程 , 通过审核相关技术、管理和评 价文档 , 依据信息质量标准 、 IT目标以及衡量指标 , 制定具体的审计计划 , 实施切合实际和技术可行的 IS审计测试程序 , 获得可信的 IS审计鉴证报告 , 用 以帮助监控 、评估特定过程的风险和有效性 。 企业 IT控制框架结构参见图 6。 四 、结语 我国企业目前 IT投资额总体上呈逐年增长的趋 势 , 体现了 “ 全民参与 ”的格局 。一般认为 , 投入越 多 , 说明信息化程度越高。 I C (国际数据资讯 公 D 司公布的统计数字显示 , 2005 年全球在 IT方面的总 投资额超过了 1万亿美元 , 在近二十年的时间里 , 美 国企业每投入 1 美元就有一半以上花在 IT 支出上 (杰普 布勒姆等 , 2008 。从诺兰模型看 , 改革开放 三十年来 , 我国企业信息化建设完成了从计算机时代 图 6 企业 IT控制框架 向信息时代的转型 , 部分企业已经或即将进入从投资中获得实际收益的优化阶段 , 即信息化建设更加注重各 系统间、各应用间的集成、协调发展 , IT投资的增长内涵与速度将更趋理性。在参照国外相关 IT标准 , 从 系统性、目标性 、层次性和过程性等高度 , 构建结构化、程式化的 IT控制框架结构 , 为过程结构及其高水 IT控制审计报告是指 IS审计人员根据审计计划对被审计信息系统实施必要的审计程序后 , 就 IT控制的适当性、合法性和有效性出具 的书面文件。 77 1994-2009 China Academic Journal Electronic Publishing House. All rights reserved. 平适应业务的方法提供了一个 IT端对端的见解 , 减少对人的依赖 , 以降低因信息化和透明化带来的利益冲 突所形成的制度面成本 , 对于建立和完善我国企业 IT控制规范具有一定的方法参考和理论借鉴价值 。 构建我国的 IT控制框架并在实践中不断完善 , 这将是一个不断学习 、借鉴、探索并提高的过程。“ 借 鉴 ”不等于 “ 效仿 ” 由于国内外治理环境还存在相当差异 , 比如我国 IT治理结构明显有别于美国等发达国 , 家 。因此 , 我国应着眼于商业目标与 IT目标、 IT流程的衔接 , 增加与其他标准的接口 , 整合多种新思想和 国际最佳实践 , 构建适用的、协同的中国 IT标准 , 实现我国公司治理与 IT治理及其相关领域的有机结合 , 同时 , 避免各标准体系局部覆盖和冲突 , 使各体系之间能够合理有效地兼容和互补 , 从而支撑业务的运营 。 主要参考文献 陈志斌 . 2007. 信息化生态环境下的企业内部控制框架研究 . 会计研究 , 1: 30 - 37 黄小毛 , 陈志诚 . 2005. 论 IS中的风险与内部控制 . 价值工程 , 12: 87 - 89 胡晓明 . 2006. 基于信息时代的 IS审计若干理论与应用问题探讨 . 当代财经 , 2: 125 - 128 郝晓玲 , 胡克瑾 . 2003. 信息系统审计的体系框架初探 . 同济大学学报 , 5: 71 - 75 罗伯特 卡普兰 , 大卫 诺顿 . 2004. 平衡计分卡 . 广东经济出版社 骆良彬 , 张白 . 2008. 企业信息化过程中内部控制问题研究 . 会计研究 , 5: 69 - 75 刘明辉 , 张宜霞 . 2002. 内部控制的经济学思考 . 会计研究 , 8: 54 - 56 李心合 . 2007. 内部控制 : 从财务报告导向到价值创造导向 . 会计研究 , 4: 54 - 60 李自洁 , 李若山 . 2007. 集团企 业 ERP 的 风 险 分 析 与 控 制 : 论 计 算 机 日 志 连 续 审 计 模 型 , 研 究 与 发 展 管 理 , 6: 72 - 77 刘志远 . 2001. 信息技术条件下的企业内部控制 . 会计研究 , 12: 32 - 36 杰普 布勒姆 , 梅农 范多恩 , 皮亚士 米托尔 . 2008. SOX 环境下的 IT治理 . 东北财经大学出版社 金文 , 张金城 . 2005. 基于 COB IT的信息系统管理 、控制与审计的模型构建研究 . 审计研究 , 4: 75 - 79 孙强 , 李长征 . 2003. 信息系统审计 : 安全 风险管理与控制 . 北京 : 机械工业出版社 王立勇 . 2004. 内部控制系统评价的定量分析模型 . 财经研究 , 9: 93 - 102 王祯学等 . 2004. IS风险控制的数学方法 . 四川大学学报 (自然科学版 , 12: 1186 - 1187 杨武岐 . 2005. 会计 IS评价体系的概念框架 . 经济论坛 , 21: 134 - 135 杨周南 . 2003. 论会计管理信息化的 ISCA 模型 . 会计研究 , 10: 30 - 32 章铁生 . 2007. 信息技术条件下的内部控制规范 : 国际实践与启示 . 会计研究 , 7: 30 - 35 赵雪媛 . 2003. 财务报表审计中对 IS控制风险的评价 . 中央财经大学学报 , 12: 44 - 46 张宜霞 . 2004. 企业内部控制 : 内涵与框架体系 , 东北财经大学学报 , 1: 75 - 76 Andrede Korvin, M argaret F. Ship ley, Khursheed Omer; 2004, A ssessing risks due to internal control in a computer - based accounting information system: a app roach based fuzzy set theory, Ap r - Jun 12: 139 - 152 Hardy 2006, Guidance on A ligning COB IT . . ITI and ISO17799 Information System s Control Journal, 1 L Intelligent System s in Accounting . Finance and M anagement, ISACA. 2003, Certified Information System Auditor T Review M anual M ITGI, 2007, Control Objectives for Information and related Technology M arios Dam iaides, 2005, Sarbanes - 0xley and IT governance: new guidance on control and comp liance, information system s management, 22: 77 - 85 M ichael Chatfield, 1977, a H istory of Accounting Thought, Robert E. Krieger Publishing Company, Newyork Peter W eill, Jeanne W. Ross 2004, IT Governance on One Page. C ISR Working Paper, www. . ssrn. com Ron A. W eber 1999 Infor . mation system s control and audit Upper Saddle R iver, NJ: Prentice Hall Inc. . ThomasW ijs man, Peter Paans 1996, Control Of Infor . mation Security London: the I TOSA I IT Journal: Into IT, (7. 4 . N 78 1994-2009 China Academic Journal Electronic Publishing House. All rights reserved. require users have sophisticated risk analysis ability Fourth, because the standard does not require disclosure of certain quantitative infor ation that is i portant to risk . m m assess ments, it is necessary to add these requirements W hile we focus on commercial banks and market risk disclosure, the conclusions m ay have i p lications on other . m industries and other risk disclosures . D e - M ora liza tion in Positive Research on Earn in gs M anagem en t: A Norma tive Approach Chen D onghua A bstract: This paper exp lores the theoretical dilemm a faced by positive researchers on earnings management From the assump tion of individual rationality, based on . contracting theory, using nor mative research m ethod, it is deducible that: a whether earnings managem ent is efficient is not refutable; b opportunistic earnings man2 agement is not necessary concep t for positive research; c earnings management is value - irrelevant Finally, it is deduced thatmoralization in positive earnings manage2 . ment research should be dropped out from theoretical fram ework. Corpora te Soc ia l Respon sib ility and F inance M anagem en t Reform A Study Ba sed on the Stakeholder Theory Z hang Z haoguo et a l . The business m anager incentive theory, which is based on the“econom ic - person ”assump tion, cannot reasonably exp lain some phenomena in modern enterp rises . Under the theory of relational contract which relaxes the“econom ic - person ”assump tion, this paper analyzed managers remuneration contracts through the match of contractual governance structures ( authoritative governance and bilateral governance and the embedded structures ( symmetrical structure and asymmetrical structure. Conclusion is reached that state - owned enterp rises have asymmetric authoritative structures and p rivate enterp rises have symmetrical, bilateral governance structures . Therefore, the model of m anagers remuneration contracts in state - owned enterp rises is monotype and inclined to government intervention, and that of the p rivate en2 s terp rises is more diversified and market - driven. The asymmetry of infor mation in OTC markets exerts an i pact on quote sp reads by m arket makers, thus affecting market liquidity Accounting infor m . mation disclo2 sure is an i portantmeans to m itigate the asymmetry of infor m mation. This paper sifts and analyzes foreign literatures on three aspects, nam ely the i pact of accounting in2 m for mation disclosure on the bid - ask sp read, its i pact on the market liquidity, and the relationship bet een accounting infor m w mation disclosure and the validity of OTC market Further . more, it clarifies the significance of accounting infor mation disclosure to OTC markets in China. B ased on summ arizing and develop ing existing studies, this essay defined the criteria of infor mation quality, identified IT objectives and IT resource, and thus devel2 oped a concep tion of“ hat does IT do ” which is easily understandable for m anagement, and which facilitates the alignment of business and IT objectives W e defined W , . the p rocess based on the life - cycle of infor mation system s in order to deter ine the scope and areas covered. W ith reference to related IT standards and IT control objec2 m tives, we developed a collection of multi - level control p rocesses for enterp rises in China. W e designed the Capability M aturity Model (CMM , Key Goal Indicators ( KGI , and Key Perfor mance Indicators ( KP I to evaluate and measure the enterp risesindustry position, their business perfor mance and p rocesses, thus offering a common language for all stakeholders of infor ation system s m . In face of challenges posed by the global movement to p romote corporate social responsibility, finance management is sure to embrace a refor m. Theoretical studies and findings are necessary on this issue. Through research based on the stakeholder theory, we believe that it is the op ti al choic