1、完善我国企业 IT 控制的思考开展 IT 环境下的内部控制研究需要剖析我国企业信息化建设发展历程及IT 控制缺陷,本文探讨建立 IT 控制相关法规,构建适用的、协同的中国IT 标准,以促进 IT 与业务的集成,支持实现 IT 价值。下载 信息技术在企业中的应用,催生了企业信息化群落。我国企业信息化建设可以追溯到 20 世纪 60 年代,由于当时计算机价格高昂以及技术水平普遍落后于国外发达国家(或地区),只有国防、气象等极其有限的领域涉及数据处理技术,计算机在企业中的应用仅限于生产控制和大型复杂计算。直到 80 年代伊始,计算机价格大幅度下降,才促使企业计算技术的应用逐渐推广开来。所以,中国的
2、IT 发展主要是从计算机时代开始的,并未完整经历数据处理时代(麦可法兰等,2003)。一般认为,投入越多,说明信息化程度越高。IDC(国际数据资讯)公司公布的统计数字显示,2005 年全球在 IT 方面的总投资额超过了 1 万亿美元,在近 20 年的时间里,美国企业每投入 1 美元就有一半以上花在 IT 支出上(杰普布勒姆等,2008)。改革开放 30 年来,我国企业 IT 投资额总体上呈逐年增长的趋势,体现了“全民参与”的格局,企业信息化建设完成了从计算机时代向信息时代的转型,部分企业已经或即将进入从投资中获得实际收益的优化阶段(胡晓明,2009),信息化建设更加注重各系统间、各应用间的集成
3、、协调发展,IT 投资的增长内涵与速度将更趋理性。 一、现代企业的竞争手段:有效的 IT 治理系统 现代企业的竞争是制度优劣的竞争,制度是决定发展速度最根本的因素,中国企业必须补制度管理的课。从模仿经济学的角度看,次发达国家往往模仿发达国家的技术,而不模仿发达国家的制度,结果必然导致“后发劣势”。如何使 IT 治理在企业内部控制环境中发挥作用,已成为信息时代理论界与实务界需要解决的新问题。 (一)传统内部控制面临信息时代的挑战 在 IT 环境下,内部控制对信息系统依赖性大大增强。信息化发展使人与人的关系部分转化为人机关系,信息以电磁信号形式存储于磁性介质,身份识别与授权审批方式与程序发生了根本
4、性的改变。信息系统的复杂性使得内部控制范围相应扩大,除了包括手工系统下的组织控制、职责分离等内容外,还包括信息系统安全的控制、系统权限的控制、系统开发与维护的控制、修改程序的控制等。信息化强调数据共享,然而,也正是数据共享凸现了信息安全问题。据资料介绍,在西方国家信息化建设之初,因计算机舞弊,美国每年损失几十亿美元、英国每年损失 25 亿美元、德国损失 50 亿美元。一项来自英国的调查结果显示,员工无效使用 IT 资源可致企业每天损失 17 亿英镑。一家咨询集团曾对美国 24 家大型企业开发的客户/服务器系统进行了调查,结果表明,其中 68%的项目超过了预定的开发周期,55%的项目其费用超过预
5、算,88%的项目必须进行系统再设计;另有一家美国著名的调查公司 SPR 对美英两国的企业信息系统工程进行了类似的调查,报告显示,有 30%50%的客户/服务器项目中途放弃开发。 (二)IT 治理是正确决策的行为 如果发现企业的制度、规则等存在缺陷,毫无疑问,那是治理没有奏效;反之,如果存在一种东西能使事情做得更好,那么,这种东西就是治理。IT 治理是有关 IT 决策的权责利安排,它从企业整体利益出发构建 IT 系统,力求实现业务与信息的集成(唐志豪等,2008);IT 治理是一种行为,任何战略的实施都要落实到具体的行为上。Weill 和 Ross 将 IT 治理定义为“指定决策权和责任框架,鼓
6、励正确运营 IT 的行为”(Weill & Ross,2004)。IT 治理将合理的制度安排、控制程序嵌入到 IT 系统中,对IT 资源进行有效管理和利用,使得 IT 系统具备内在的控制机制。麻省理工学院信息研究中心在对来自 23 个国家的 250 家企业进行了系统研究后指出,面对同样的战略目标,IT 治理水平较高的企业,其获利能力比治理水平低的企业高出 20%;美国堪萨斯州把 COBIT 标准作为虚拟政府策略的一部分,为客户和委托人提供可靠、安全的信息,大大降低了运营成本;宝洁公司在采用 ITIL 标准的四年里,节省了超过 5 亿美元的预算。实践证明,善治的、标准的治理结构有助于监督、控制企
7、业关键的 IT 活动,从而增加企业价值、降低业务风险及提供合规的控制信息。 (三)IT 控制是 IT 治理的制度安排及技术性支持手段 传统的“人管人”为主的控制手段已经不适应信息时代及企业发展的需要。面对信息时代,企业财务报告及相关信息的产生与传递越来越依赖于IT 控制的有效性。信息系统现已成为管理层编制财务报告和披露相关信息的工具,基于权力制约和岗位分工的内部控制发展成为以信息流为基础的IT 控制(章铁生,2007)。IT 控制是由期望达到的(IT 控制目标)和达到这些目标的方法(控制程序)构成,是 IT 治理的制度安排及技术性支持手段。IT 控制目标是指通过对具体的 IT 活动实施控制程序
8、,以达到期望结果或目的的总体描述。有效的 IT 控制设计与实施指明了一个组织将 IT 环境下的风险降至可接受水平的途径。 (四)提升 IT 控制的有效性势在必行 IT 给企业带来效率的同时也带来控制风险,一方面,IT 投资日益膨胀;另一方面,IT 资源被大量浪费。企业 IT 系统和 IT 控制若存在风险,会影响所有(或大部分)财务报表的可靠性,甚至影响企业的生存。1987 年,诺贝尔经济学奖得主罗伯特索洛说:“你可以在世界任何角落和生活的各个领域看到计算机时代的影响,但是在经济统计年鉴上除外”。也就是说,投入的影响随处可见,就是在产出中看不出来。为了摆脱 IT 应用中出现的“生产力悖论”现象,
9、对 IT 环境下的企业内部控制问题进行研究势在必行。 二、我国企业 IT 控制缺陷分析 虽然我国企业信息化进程已达到或接近西方发达国家水平,但是现阶段我国大部分企业在 IT 控制方面还存在相当问题,主要表现在以下几方面: (一)信息孤岛 目前,我国的有关内部控制规范仍然是传统的出于职责分离和权力制约的内部控制理论,IT 对内部控制的影响大体还停留在 COSO 报告层面(章铁生,2007)。有关 IT 的控制规范基本上也是在信息孤岛状态下提出的,纯粹从硬件和软件角度来看 IT,而不是从应用层面去考虑。尽管部门内部各业务环节的信息化集成使人们初步尝到了集成的好处,但企业内或是企业间各个信息系统分离
10、,财务系统与企业其他系统之间的集成对信息质量的影响还没有得到应有关注,数据难以整合,信息不到位,特别是决策信息不到位。目前,部分企业盲目引进最先进的软硬件,造成的后果或是仅在局部环节处理上保证 IT 提高效率,或是形成设备的闲置和投资的浪费,国外学者将这种现象称为“银弹”、“魔弹”(Daly,2002)。 (二)IT和业务两张皮 目前,我国企业 IT 管理活动的主要职能被放在 IT 服务部门,IT 服务部门承担 IT 管理的大部分责任,为业务部门提供技术基础设施,制度基本是由技术管理者制定,他们缺乏规范化的风险管理经验,IT 控制制度一般存在于系统安全和变更管理等控制领域,缺乏从公司透明度角度
11、出发的、结合支持业务流程的完整的内部控制制度。技术部门充当消防员的角色在各个业务部门间来回穿梭,业务部门只有享受这种技术的权利却不对 IT 资源与业务的不匹配负相关责任。从治理结构看,整个 IT 管理活动缺乏利益相关者的有效参与,很难让 IT 资源真正融合为企业运行的内在组成部分,IT和业务两张皮必然导致企业 IT 资源效用不能有效发挥。各标准体系局部覆盖和冲突,使各体系之间不能合理有效地兼容、互补,无法支撑业务的运营。 (三)从控制到偏离 目前,每个企业或多或少都有一些 IT 控制制度,很多企业错误地把这些静态的控制制度等同于控制体系。对于实现企业目标,“我们一直是这样做的”通常是不正规的、
12、未经验证方式的代名词。人们希望以此处理完所有事情,一次性将所有问题彻底解决。随着经济技术和公司企业运行模式的变化和发展,这些 IT 控制制度可能不太规范,控制政策程序不太完善。面对厚厚的规章制度,是否执行、执行是否有效却没有得到应有的关注,各种指标体系设计没有在信息化投入与产出间建立效能基本标准。在董事会里面,董事们谈兼并收购、产品开发、融资,就是不谈 IT 治理,很少涉及“IT 是做什么的”议题(事实上,国外的调查也显示,只有三分之一的董事会会谈及 IT 治理的问题)。IT 运行中常见的问题有,使用者不执行规范,违反流程;实物处理与信息反馈的顺序颠倒;信息录入缺乏准确性和完整性;人为建立垃圾
13、数据等,都会影响信息的应用程度。企业慢慢发现自己处在一个下降的螺旋中:从控制到偏离(杰普布勒姆等,2008)。 在内部控制发展的历史上,理论往往落后于实践发展的需要(Michael Chatfield,1977),我国关于 IT 对内部控制的影响整体而言关注还不够(刘志远等,2001;陈志斌,2007)。现有的文献主要是归纳和总结企业IT 控制的现状与问题,而且集中于探讨信息化和网络环境对会计、审计职业的影响,提出的解决策略和实施办法往往不具有系统性和可操作性。因此,相应问题的建议和措施也就成了空中楼阁。 三、完善我国企业 IT 控制的思考 信息化建设的成功与失败,除了与 IT 投资、技术的引
14、入有关外,深化IT 控制至关重要。完善我国企业 IT 控制必须从全局着眼,建立 IT 控制的相关法规,构建适用的、协同的中国 IT 标准,采用“先固化再优化”原则,促进 IT 与业务的集成,注重 IT 控制实施状况的衡量,构建一套系统化、标准化、可审计、可持续改进的 IT 控制体系。 (一)建立 IT 控制的相关法规 建章立制要在前,“拨乱反正式”的管理风格代价很大。我国应颁布一部有关 IT 的法规,通过 IT 立法加强 IT 资产组合管理以及投资监督,强制企业执行 IT 控制,促进技术手段和法律手段的有效结合,减少 IT 资源的浪费。我国内部控制制度建设是政府主导推动的,财政部等部委应充分借
15、鉴 COBIT 等国外 IT 控制模型,进行优化组合,优势互补,及时发布相关应用指南或专门研究报告,规划出我国 IT 治理环境下的内部控制模型。 (二)构建适用的、协同的中国 IT 标准 中国正在兴起“新技术民族主义”,制定自己的标准就是摆脱对国外技术依赖的重要方法之一(苏迈德,2004)。构建我国的 IT 控制框架并在实践中不断完善,这将是一个不断学习、借鉴、探索并提高的过程。“借鉴”不等于“效仿”,由于国内外治理环境还存在相当差异(比如我国 IT 治理结构明显有别于美国等发达国家),为了避免产生“后发劣势”,我国应着眼于商业目标与 IT 目标、IT 流程的衔接,整合多种新思想和国际最佳实践
16、,增加与其他标准的接口,结合我国公司治理与 IT 治理及企业内部控制相关规范,构建适用的、协同的、易于操作的中国 IT 标准(胡晓明,2008)。理想的框架是连接制度与技术的桥梁,必须指向正确的目标,即从 IT 中产生更多价值,帮助确定恰当的优先顺序,使战略与期望的行动联系起来,避免各标准体系局部覆盖和冲突,从而支撑业务的运营。 (三)采用“先固化再优化”原则 有效 IT 治理的结果是可以转换的,IT 最佳实践存在巨大动力促使 IT 领域不断向优秀的流程框架和 IT 治理方向发展。成功实施 IT 治理的另一个重要原则就是“先固化再优化”。将控制流程固化在信息系统中可采用分阶段部署的办法,逐步实
17、现从“一直这样做”到 IT 最佳实践的转变。如采用试点项目方式,新系统在项目实施之初,可适当地安排较多学习时间,帮助认识、吸收,并不要与其他项目过多地对接。这样新系统就很容易被掌握,之后再在整个企业中推广。从试点项目着手还允许逐步采用 PMO(项目管理办公室)或资产组合管理系统,而不必花费大量时间将传统项目和数据转换到新系统中运行。企业可以在某段时间同步运行新旧两种系统,以促进这种转变。 (四)促进 IT 与业务的集成 随着信息技术的深入应用、支出的日益增加,IT 与业务的中间界线越来越模糊。信息时代,经济评估是人类的共同语言,业务和 IT 也应该使用相同的语言。它让所有人了解到流程是成功的关
18、键,企业应建立一种透明的流程,使该流程中的 IT 经理和参与者以及与 IT 交互工作的业务部门都能够理解和接受。企业应根据企业的战略目标来确定企业信息化的准则,了解需要投入的 IT 资源、可以达到的 IT 目标以及每个 IT 流程的运转情况。CIO(首席信息官)必须率先寻找能够创造价值的 IT 流程,促进“信息孤岛”转变成“信息大陆”。IT 控制能将信息系统的规划和组织、获取和实现、交付和支持以及监控系统绩效等四个过程一体化和标准化,以确保 IT资源被合理利用,支持企业决策。在 IT 投资方面,企业应“过滤”不良投入,“提纯”有效投入,确保缩小信息系统的“蝴蝶效应”。 (五)注重 IT 控制实
19、施状况的衡量 要实现高效的 IT 控制,必须解决“哪些决策能确保有效管理和运用 IT?如何制定这些决策?如何监督这些决策?”这三个问题。Weill 和 Ross 发现,第三个问题通常被公司漠视或忽略。目前的 IT 控制已经从三叶草(IT 战略、IT 治理、IT 管理)变成了四叶草(IT 战略、IT 治理、IT 管理、IT 衡量),实现高效 IT 控制的关键在于实施状况的评估。著名的 CMM(能力成熟度模型)被广泛用于衡量企业 IT 成熟度水平,企业可以通过成熟度模型了解信息化管理和控制所处的状态,了解自身的薄弱环节,使得企业具有信息化管理和控制的概念。结合不同行业、不同对象特征,以标杆库和标杆
20、值为参照,选择、设计和改良 IT 控制评价指标,将措施型指标和结果型指标结合使用,围绕“信息流”构建绩效和目标评价体系(KPI/KGI),强化对流程的规范和引导;同时,企业必须有足够的证据证明 IT 控制的有效性,以服务于信息系统审计。 (六)崇尚协化 实施有效的 IT 控制要求处理好与企业文化的关系。在企业信息化过程中,企业成员的道德伦理、价值观念、工作态度都会发生变化,尤其是员工的诚信程度和职业道德水平,是影响企业内部控制环境的一个非常重要的因素(骆良彬等,2008)。企业文化建设是把双刃剑,它是企业获得成功的巨大驱动力,当然也可能成为实施有效变革的拦路虎。今天协化已成为全球的发展趋势,特
21、别是在信息共享方面。一些 IT 部门不愿意转变,可能是因为技术转移人员不愿意舍弃他们在自己管辖范围内所习惯的独立权力。与其他计划一样,来自决策层的力量不可小视。如果 CIO 对于 IT 治理系统变得冷淡,或者允许每个经理“自己选择”,那么新系统的实施最终将“不了了之”(杰普布勒姆等,2008)。 (七)通过外包提高业务价值 出于文化阻力和成本因素的考虑,企业可以选择外包其 IT 运营的主要组成部分,包括国内外包或离岸外包。通过进行外包,CIO 通常会发现以IT 为主要业务的外包公司,可以帮助他们建立有效的 IT 治理。这是因为这些公司自身就在实施 IT 治理,并不断寻找加以改进。IT 外包并不
22、意味着CIO 的权利小了,而应该借此机会,把工作的重点放在战略的层面上。CIO要能清楚地看到现在业务存在的问题,预见未来会有哪些业务机会。 总之,IT 已经成为业务活动的生命线,IT 对于业务成功的推动力远胜以往,这主要源于 IT 的关键业务角色以及相关标准的驱动。在信息化的过程中,我国企业必须清楚自己所处的信息化阶段,选择适合本阶段的业务内容,将 IT 固化在控制业务流程中,使信息化建设与 IT 控制协调发展,充分考虑 IT 与业务的集成,改善管理效率,减少信息生成过程中的错误与舞弊行为,提高公司信息的质量,减少利益相关者之间的信息不对称问题,保证投资的回收,确保企业运营满足相关法律法规的要求,驱动并支撑公司治理。 作者单位: 南京财经大学会计学院 江苏大学财经学院
