IT控制范文

IT控制范文（精选10篇）

IT控制 第1篇

一、IT内部控制发展现状

(一) 我国企业内部控制发展水平

深圳市迪博企业风险管理技术有限公司撰写的《中国上市公司2012年内部控制白皮书》显示, 我国上市公司内部控制整体水平偏低。该研究涵盖沪深证券交易所在2012年4月30日前A股上市公司中已披露2011年年报的2340家公司, 其中主板上市公司1395家, 中小板上市公司653家, 创业板上市公司292家。报告指出, 在2340家样本中, 内部控制整体水平较高的仅占样本总数的24.96%, 为584家;内部控制整体水平中等的占44.40%, 为1039家;内部控制整体水平偏低的占30.64%, 为717家, 总体来看, 目前中国上市公司内部控制建设的整体水平尚处于中下游水平。《中国上市公司2011年内部控制白皮书》指出“内部控制水平与上市时间显著负相关, 即上市时间越短, 内部控制水平越好”, 该结论来源于对选取的样本公司中的1578家进行内部控制影响因素的多元回归分析, YEAR表明公司到2008年的上市时间长度, 分析结果如表1:

这一方面得益于近年来证监会对首次公开发行股票的公司的内部控制审查的加强, 促使大部分新上市公司的内部控制更加规范化;另一方面, 新上市的公司其内部控制体系在不同程度上融进了IT技术和系统, 体现了企业内部控制趋于信息化的发展趋势, 因而提升我国企业对于将IT技术嵌入到企业内部控制中的认知, 对提升我国企业整体内部控制水平有着积极的推动作用。

2012年财政部、证监会、审计署、银监会和保监会发布了《我国境内外同时上市公司2011年执行企业内部控制规范体系情况分析报告》。报告显示在67家境内外同时上市公司中, 有49家公司存内部控制缺陷, 信息系统控制方面的控制缺陷是披露的内部控制五大缺陷之一。IT内部控制体系的设计与实施成为我国企业内部控制的发展重点。

(二) 我国企业IT内部控制应用现状

在信息化技术高度发达的今天, 中国企业将IT技术应用到内部控制等企业管理流程已经成为公认的趋势, 但如何将IT技术与内部控制有效融合仍然是大多数管理层难以解决的问题。用友集团和工信部电子一所发布的《2010年中国企业信息化指数调研报告》显示, “2010年中国企业信息化综合指数为48.06, 中国企业信息化的整体信息化成熟度基本达到中等水平”。在IT技术高度与时代发展耦合的今天, 中国企业信息化的水平还有很大的待完善空间。数字背后体现出来的是中国企业现今普遍的冲劲有余、后劲不足的亚健康状态。该份报告还将企业信息化程度分为基础应用、关键应用、扩展整合及优化升级、战略应用四个阶段。报告还表明, 我国企业约有34.3%处在基础应用阶段, 24.5%处在关键应用阶段, 扩展整合及优化升级阶段占39.2%。但战略应用阶段的企业只有20%。一半以上企业仍处在信息化建设的第一和第二阶段, 大多数中国企业信息技术应用还未达成与企业战略融合发展的目标, 这也表明目前中国企业信息化水平的提升仍需关注信息技术应用范围的扩大。本次调研数据还显示, 我国企业信息化建设目前存在诸多不足, 如不同规模、不同行业企业不均衡的信息化发展, IT治理结构缺陷的存在, 对信息技术认知度偏低等, 而信息化技术应用的发展制约了IT内部控制的发展和应用。

二、IT内部控制存在的问题

(一) 缺乏可执行的IT内部控制体系

实施IT内部控制不是盲目堆砌先进软硬件的过程, 运用信息技术加强内部控制, 实现企业信息的集成和共享才是企业内部控制应关注的主要问题。目前, 我国关于内部控制的规范依然是基于权责分离和权力制约的理论, 关于IT对内部控制的影响基本停留在COSO报告层面, 尚未形成完整的、可执行的IT内部控制体系。企业即使提出有关IT控制规范基本上也是在信息孤岛状态下提出的, 企业内部控制规范并没有对IT控制的目标和相关控制活动做出明确规定。现行信息系统缺乏或规划不合理, 导致企业经营管理效率低下;系统开发不符合内部控制要求, 导致无法利用信息技术实施有效控制。企业不重视信息资源的开发应用, 尽管各业务流程节点的IT集成让企业感受到了集成化的优势, 但各业务流程采用的信息系统还未得到足够的统一, 信息共享程度未开发到应有的水平, 缺乏体系化运作和管理方法, 严重制约了IT内部控制的有效执行。

(二) IT治理与企业IT内部控制难以有效融合

IT治理、信息系统与内部控制的有效融合能够固化企业管理机制, 实现对业务和事项的自动控制, 防止人为要素变化导致内部控制方式的变化, 确保内部控制制度固化、优化、“e”化并长期执行下去, 加速信息的传递与沟通, 降低运营成本。目前我国多数企业只是将IT部门作为IT管理活动的主要职能部门, 为业务部门提供技术基础设施, 制定管理制度, IT部门缺少规范化风险管理意识;且IT控制制度多存在于系统变更和安全管理等领域, 缺乏从公司透明度角度出发且结合支持完整业务流程的内部控制制度, 技术部门和业务部门相互独立, 不对IT资源和业务流程脱节负责, IT内部控制孤立存在。利益相关者未能完全有效的参与到整个IT管理活动中去, 使得IT资源难以真正融合为企业运行的内在组件, IT和业务两张皮致使企业IT资源失去其应有的效用。各标准体系间交叉或冲突导致IT标准体系的兼容性和互补性大打折扣, 难以有效支撑业务流程高效运转, 导致无法利用信息技术实施有效控制。

(三) IT内部控制流于形式

目前, 每个企业或多或少按照信息系统的要求设立了IT内部控制制度, 大多数企业误以为这些制度与IT内部控制体系是对等的。随着经济技术进步和企业运行模式的发展变化, 一方面企业设立的IT控制制度日渐无法满足实际业务需求, 另一方面我国企业内部控制“重设计轻执行”的思想导致IT内部控制是否执行、执行是否有效等问题往往被忽略, 甚至流于形式, IT内部控制同企业发展战略脱节, IT内部控制设计和执行一劳永逸。企业高层领导缺乏对于IT的充分重视, IT内部控制往往无法实现其预期的效果, 渐渐流于形式。该情况可能导致内部控制执行者不执行规范, 违反流程;实物处理与信息处理顺序颠倒;信息录入完整性及准确性的缺失;人为建立垃圾数据等。长此而往, 企业会慢慢发现自己处在一个下降的螺旋中, 内部控制执行偏离设计目标, 效率低下。在内部控制发展史上, 理论往往跟不上实践发展的需要和步伐, 目前我国企业整体缺乏对于IT内部控制影响的关注度。企业现行的IT内部控制体系和相关软件公司开发建立的IT内部控制系统往往可操作性较差, 相应解决问题的建议和措施成为空中楼阁, 制约了IT内部控制的建立和发展。

三、IT内部控制体系构建

(一) 我国企业IT内部控制体系的整体框架

基于我国企业IT内部控制发展水平和存在的主要问题, 本文构建的IT内部控制体系整体结构图如图1:

如图1所示, 企业IT内部控制体系分为五个层级。第一层为内部控制指引层, 包括企业内部控制基本规范和内部控制18项应用指引, 这是所有企业遵循的共性原则和最低标准;第二层为内部控制管理咨询成果, 企业依赖外部审计师、咨询师的力量, 梳理现有内部控制流程, 实施业务流程重组, 以内部控制指引层为标准建立符合自身实际的IT内部控制体系和制度;第三层为咨询成果的落地, 要求企业根据自身的资源状况, 明确具体的IT内部控制实现方案, 包括各类信息系统和人工系统实施方案;第四层为内部控制信息平台, 通过内部控制信息化平台的搭建, 实现企业内部控制和信息化的有效整合;第五层为内部控制实施层, 依托内部控制信息平台, 确定具体的IT内部控制实施活动和范围。

(二) 我国企业IT内部控制体系的搭建流程

无论是自主研发还是外购, 必须明确的重要问题是IT内部控制的构建思路, IT内部控制流程搭建一般分为横向整合和纵向整合两种方式。实施横向整合即为分业务流程逐个上线, 一般制造型企业的四大业务流程主要为采购到付款、生产、销售到收款、财务核算四个流程, 企业可按照重要程度或业务需求紧迫程度对各个业务流程实施分步骤、分模块上线。实施纵向整合相当于进行一次彻底的流程再造, 通过完整的项目实施生命周期, 完成全业务流程的同步整合, 从而实现企业内部控制全面信息化。我国企业IT内部控制体系整体框架的搭建流程如图2所示:

(1) 公司层。企业在实施IT内部控制全面固化和优化的过程中, 需要针对IT内部控制体系的构建召开IT内部控制整改大会, 对公司IT内部控制体系的构建提出解决方案, 最后得出符合企业自身发展需要的IT治理架构以及相关结论。该阶段的成果即为内部控制管理咨询成果, 具体包括如下四部分内容:

IT治理架构构建。企业需要整合管理思想、公司战略, 综合考虑和分析企业内外部环境、行业特色、企业市场地位、内部管理缺陷和应该提高的问题等。IT治理架构构建是将企业的战略重新审视和调整的过程。需要用战略分析模型对外部环境和内部环境进行全面分析, 提出企业内部控制的提升需求, 以此构建合理的IT治理架构, 同时明确企业的决策机制以及IT基本实施策略。

信息与沟通。在公司层面, 企业需要首先明确IT制度发布的方式, 具体的IT管理制度和沟通机制, 建立服务台与事件管理程序, 及时传达企业内部层级之间和与企业外部相关的信息。关注过程跟踪, 进行IT制度的全生命周期管理。

风险评估与应对。企业需要具备很强的风险识别和防范意识, 针对自身特点建立一套合理有效且能迅速反应的风险评估流程及其应对机制;建立风险管理知识库, 将所有可识别的风险及已提出的解决方案归入库中, 以期为风险评估和管理提供依据;建立风险评估流程和IT风险矩阵, 包括信息资产评估程序, 流程风险评估程序。

持续性监控与检查。在公司层面, 首先需建立自上而下的IT技术监控措施;其次从企业管理制度健全的角度考虑, 内部审计工作是必不可少的;最后公司高层应制定定期的管理评审制度和专项检查措施。

(2) 流程与应用层。流程和应用层在公司组织架构中处于执行层地位, 本文对于IT内部控制框架的构建为自上而下式。流程和应用层作为公司IT内部控制框架搭建的一个中间衔接点, 向上衔接公司层所制定的内部控制管理框架, 按照公司层制定的指导思想和实施方向对流程进行IT化实现, 向下提出对于资源层的控制要求。在IT内部控制框架体系中, 在流程和应用层需要实现的是咨询成果落地, 内部控制信息化平台的搭建、企业日常经营管理活动的畅通等目标。本文从项目管理思想出发, 将企业IT内部控制在流程和应用层的工作通过项目的实施方法展开, 具体如图3:

IT内部控制建设需求分析阶段。需求分析阶段的工作主要是贯彻公司层对于IT内部控制框架构建的整体指导思想和管理理念, 将公司战略层制定和构建的IT内部控制框架细化为各业务流程和应用层面的具体目标。该阶段实质上就是知识管理和知识转移的过程, 该阶段顺利进行的前提是公司层已搭建好脉络清晰、目标明确、且符合公司发展现状的IT内部控制框架体系。

IT内部控制方案设计阶段。在企业进行IT内部控制框架的构建过程中, 方案设计阶段是整个项目最为重要的阶段, 决定项目的最终效果, 该阶段分为两个子阶段。一是调研阶段。该阶段主要任务是对照COBIT框架和企业内部控制应用指引18号——信息系统的要求, 结合组织架构、业务范围、地域分布、技术能力等因素, 梳理企业现有业务流程, 找出企业现有流程信息化和标准化的主要模块, 了解企业信息系统内部控制的现状, 制定信息系统建设总体规划, 确定实施IT内部的关键点, 确定信息系统规划、开发、维护等方面存在的主要问题, 发布企业IT内部控制实施指南。根据公司的业务现状, 未来的发展方向以及需求阶段得出具体IT内部控制实现目标。二是方案设计阶段。结合调研的情况, 考虑成本效益原则、适用性原则、可用经费等多个因素, 制定出企业IT内部控制框架构建的具体方案。明确企业实施IT内部控制过程中IT化的范围、时间和投入成本。在该阶段, 企业首先需要明确的是自主研发内部控制系统, 还是外购。若选择外购软件, 还需按照企业业务需求明确对软件的标准化程度的要求、实施周期、成本、后续维护服务的提供以及系统可升级性等问题。

IT内部控制实现阶段。系统实现阶段的主要目的是将内部控制解决方案在IT环境中得以实现, 最终能够提供一套完整的业务系统原型, 供关键用户、业务人员进行测试, 以确保内部控制解决方案的可操作性并检验IT控制环境对于预期目标的实现程度。该阶段是不断调试和修改方案的过程, 在进行测试环境的搭建和数据测试过程中, 应对所涉及的流程进行全面测试, 保证所有的方案设计在流程和应用层是可实施的。在IT内部控制实现过程中, 很多东西都是未知的, 要把握这种不确定性, 唯有把这种不确定性深深嵌入到IT内部控制风险评估中才可能得到有效的控制。风险评估可使上市公司更加清晰地认识到, 意外事件的发生将如何限制业务目标的达成。风险评估的目的是要辨别IT合规性的潜藏内在风险与残存风险, 从风险判断标准、风险发生的可能性、风险发生的危险度、风险预防措施、风险消除措施等几个方面进行评估。在此过程中, 对于不能实现的业务功能, 应及时找出解决方案, 若为购买的套装软件, 对于标准功能无法实现的业务需求应及时客户化开发, 以保证IT控制目标的顺利实现。

IT内部控制系统上线阶段。通过系统实现阶段的测试和数据收集, 确保IT内部控制系统能够良好运转之后, 项目进入到上线阶段。在该阶段企业需要关注的工作重点分为两部分:第一部分是动态数据的搜集和录入, 在该阶段, 数据的准确性和完整性校验非常重要, 若关键业务数据缺失或录入错误, 会给企业IT内部控制的后续实施带来很大阻碍, 严重的会导致上线失败。第二部分是人员培训, 对于所有IT化牵涉到的业务流程岗位上的员工都需要进行系统性的操作培训, 以保证在系统正式运行后能够良性运转, 如果员工缺乏培训, 不仅不能保证企业正常的业务流程顺利进行, 甚至可能对系统造成毁灭性的破坏。

日常运营维护阶段。该阶段为企业构建IT内部控制体系的末期阶段。该阶段的主要目的是保证企业IT内部控制环境的正常运转。对于新上线的IT系统, 第一个月的月结为系统上线成功与否的第一个标志, 通过新系统运行结果与实际手工系统的核对, 找出问题以及存在的风险, 对系统进行进一步的优化。运行维护阶段主要是资源管理的阶段, 在企业的IT内部控制系统上线之后, 其后续运行维护实际是将构建的IT内部控制框架与企业的人、财、物、信息等多方资源相互整合的过程。

IT内部控制框架构建支撑流程。构建健全的IT内部控制体系需要如下基础支撑方法:项目管理 (PM) 、质量管理 (QM) 、技术管理 (SM) 以及项目管理工作平台 (PWB) 。以上四个管理方法贯穿于IT内部控制体系构建的全流程, 在每一个阶段都应该实时监控项目进度、进行项目执行质量检验以及技术支撑。以上四个方法在IT内部控制框架构建中的作用相当于价值链中的职能部门, 他们为主流任务的完成提供后台支撑, 虽然不是流程中的一部分, 但在整个IT内部控制体系的搭建过程中不可缺失。

(3) 资源层。公司层对IT内部控制框架搭建的贡献在于确立目标, 流程和业务层的贡献在于将目标付诸实践, 而资源层的控制体现在分析企业业务运作过程中所依赖的各类资源在IT内部控制中的作用以及风险, 建立风险控制措施。对于企业经营过程中涉及的资源, 主要分为以下四个大类:

人力资源。企业内部控制管理的核心问题是企业中的人及其活动。在企业IT内部控制框架的构建过程中, 人力资源的管理应注重知识管理。知识管理分为经验型知识管理和技能型知识管理。经验型知识管理偏重于战略制定、风险预防层面, 可通过构建知识库来保证企业的优秀管理理念和经验不因高层管理者的人事变动而流失。技能型知识管理偏重于IT系统的操作知识管理, 企业应在新构建的IT管理系统上线前后按需求定期组织员工培训, 以保证系统上线后业务流程能够顺利运转。除此之外, 还应制定相应的考核机制和员工激励机制, 以鼓励员工积极适应新的管理环境并投入足够热情到工作中。

技术资源。企业需要有高素质的IT技术人才协同业务人员实施信息系统的开发到上线及日常维护的全流程。在企业日常经营过程中, 技术资源提供系统后台技术支撑和维护。除此之外, 企业应高度关注信息安全, 构建信息防火墙, 实时进行漏洞扫描、入侵检测等技术安全策略, 防止来自网络的攻击和非法入侵。

信息资源。对于信息资源的管理应关注内部信息资源和外部信息资源两部分。企业应建立信息沟通与协调机制, 加强企业信息资源的组织协调和统筹规划、增加企业对信息资源开发利用的投入、进行信息资源的开发和服务, 制定信息资源开发利用标准体系、营造利用信息资源的良好环境、建立和加强信息安全保障体系, 注重信息资源的共享等。

物力资源。物力资源在IT内部控制框架体系的构建过程中体现在企业的相关资金和物力环境, 良好的资金和实物运营机制是企业构建IT内部控制的基础, 企业应该建立对物力资源的占有、使用、管理与配置效果的评价机制, 发挥物力资源的激励和支撑作用, 整合不同物力资源, 实现企业管理的协同效应。

四、IT内部控制实施的关键点

(一) 固化IT内部控制:实施业务流程重组

企业必须注重流程管理对信息系统内部控制的促进作用, 以IT控制目标为中心实施业务流程重组, 建立广泛、高效的信息沟通与交流系统。从根本上重新考虑逐步或彻底重建企业的业务流程, 以达到在成本、质量、速度和服务等方面取得显著改善的目的, 让企业能适应以顾客需求为导向、竞争为驱动、变化为特征的现代企业经营环境。具体包括观念筹建、组织重建、流程重建。企业通过重构组织文化、调整组织结构为业务流程重组提供制度保证, 对原有的企业业务流程进行合理的诊断和设计, 选择适当的重组方式和重组环节, 建立可靠合理的标杆和绩效评价指标体系, 运用IT技术进行持续的业务流程改进, 实现IT治理和企业业务流程的有效融合, 合理固化IT内部控制。

(二) 优化IT内部控制:实施IT审计

有效的IT内部控制体系是制度、管理、业务与技术相结合的体系, 高层管理者需要高度关注并监控其顺利有效的实施。因而必须利用内部审计机构, 建立自评估机制, 确定企业IT控制有效性的各种等级, 进行基于全生命周期的IT审计。

IT审计主要包括以下几个方面:评价IT战略和公司总体战略的匹配程度;评价IT制度与流程手册的完整性;评价企业在信息系统技术基础设施与操作实务的管理和实施方面的有效性及效率;评价逻辑、物理环境与信息技术基础设施的安全性;评价灾难恢复与业务持续计划的可靠性;评价应用系统的开发、获得、实施与维护方面所采用的方法和流程的合理性;评估业务系统、处理流程与企业业务目标的一致性, 完善IT控制体系的设计与提高IT运行维护的质量, 以确保其有效性;在IT内部控制审计完成后, 应该立即形成正式的书面审计结论, 并向管理层报告情况, 以方便管理层及时调整和调配IT内部控制的资源和策略, 保持IT与业务目标一致, 确保企业总体战略目标的实现, 促使企业IT内部控制体系更加完善和健全。

(三) “e”化IT内部控制:实施IT治理

如何通过IT内部控制体系与合规管理来防范和降低上市公司的财务违规风险, 是企业高层领导和CIO目前最迫切需要解决的难题。目前国内大部分上市公司对合规的IT内部控制体系的重视程度严重不足, IT内部管控措施经常执行不到位, 使得许多上市公司很容易陷入违规的财务操作风险危机之中。IT治理从公司治理的角度帮助企业构建相应的IT治理组织, 规范企业IT治理流程和治理机制, 使IT治理流程透明化。将IT治理融入到企业战略制定中, 实行IT治理与业务的匹配融合。帮助管理层制定切实可行的企业战略和发展规划, 深刻理解信息系统的重要性和风险, 建立重大风险预警机制和突发事件应急处理机制。促进管理创新, 合理管控信息化过程的风险, 建立信息化可持续发展的长效监督和激励机制。加快企业IT内部控制的实施进程, “e”化企业IT内部控制, 提升企业核心IT能力水平。

(四) 标准化IT内部控制:实施内部控制标准化

内部控制标准化建设是IT内部控制的重要基础, 标准化建设能够推动企业IT内部控制的进程。XBRL作为一种标准化商业语言能够较好地实现财务系统与单位内部管理系统数据交换, 财务报告与内部控制的融合, 及时快速准确地分析判断运营状况以及内部管理中的薄弱环节, 并不断加以改进, 有助于管理者大幅度提升现代化管理效能, 从而在微观层面实现现代化管理。促使内部控制信息化建设相互融合, 呈现螺旋上升状态。

我国需制定发布基于企业内部控制规范的通用分类标准, 基于XBRL的会计信息系统内部控制准则, 以指导企业的XBRL内部控制及风险管理实务。企事业单位与政府监管部门、中介机构、软件开发商、投资者、债权人等信息使用者共同作用完成做好XBRL实例文档的生成、报送和利用。各企事业单位在贯彻实施内部控制规范制度并与全面信息化相结合的过程中, 重点做好信息沟通的基础工作, 建立健全会计及相关信息的报告负责制度, 使企业内部员工及时取得和交换在执行、管理和控制企业经营过程中所需的信息, 以此为基础生成标准化内部控制评价报告, 满足不同信息使用者的需要。

参考文献

[1]财政部等:《企业内部控制基本规范及配套指引》, 2008-05-22。[1]财政部等:《企业内部控制基本规范及配套指引》, 2008-05-22。

[2]深圳市迪博企业风险管理技术有限公司:《中国上市公司2012年内部控制白皮书》, 《上海证券报》2010-09-02。[2]深圳市迪博企业风险管理技术有限公司:《中国上市公司2012年内部控制白皮书》, 《上海证券报》2010-09-02。

[3]深圳市迪博企业风险管理技术有限公司:《中国上市公司2011年内部控制白皮书》, 《上海证券报》2010-09-02。[3]深圳市迪博企业风险管理技术有限公司:《中国上市公司2011年内部控制白皮书》, 《上海证券报》2010-09-02。

[4]工信部电子一所、用友软件股份有限公司:《2010年中国企业信息化指数调研报告》, 《中国制造业信息化》2011年第2期。[4]工信部电子一所、用友软件股份有限公司:《2010年中国企业信息化指数调研报告》, 《中国制造业信息化》2011年第2期。

IT项目管理中的风险控制 第2篇

无论是系统集成或是软件开发，IT公司经常面临着各种项目的实施和管理，面临着如何确定项目的投资价值、评估利益大小、分析不确定因素、决定投资回收时间等众多问题。并且，一个IT项目，无论其规模大小，必然会为被实施方（用户）在管理、业务经营等多方面带来变革，这就使IT项目必然具有高风险性的特点。尤其是近年来，IT项目的广泛实施，一方面为众多的企业带来了管理、经营方面的革新，而另一方面，夭折、中断、失败的项目也不在少数。因此，如何在项目实施中有效地管理风险、控制风险，已经成为了项目实施成功的必要条件。

项目风险的管理不仅贯穿于整个项目过程，而且在项目事件发生之前风险的分析就已经开始。我们可以根据风险控制与项目事件发生的时间将风险管理划分为三个部分：事前控制——风险管理规划，事中控制——风险管理方法，事后控制——风险管理报告。

一、事前控制——风险管理规划

风险管理规划是在项目正式启动前或启动初期对项目的一个纵观全局的基于风险角度的考虑、分析、规划，也是项目风险控制中最为关键的内容，包括风险形势评估、风险识别、风险分析和风险评价等几部分。

1、风险形势评估

风险形势评估以项目计划、项目预算、项目进度等基本信息为依据，着眼于明确项目的目标、战略、战术以及实现项目目标的手段和资源。从而实现：通过风险的角度审查项目计划认清项目形势，并揭示隐藏的一些项目前提和假设，使项目管理者在项目初期就能识别出一些风险。尤其是项目建议书、可行性报告或项目计划一般都是在若干假设、前提、预测的基础上完成的，这些假设、前提、预测在项目实施期间有可能成立，也有可能不成立。而这其中隐藏的风险问题又通常是被忽视的。一旦问题发生，往往造成项目管理方的措手不及和无一应对。例如项目计划中假设用户实施小组全力支持、脱产或几乎脱产投入IT项目的实施，但在实际过程中，用户方人员却不得不抽出大量时间处理原有的业务，造成IT项目实施进度的拖延和实施效果不尽人意的风险。诸如此类的例子还有很多。为了找出这些隐藏的项目条件和威胁，就需要对与项目相关的各种计划进行详细审查，如人力资源计划、合同管理计划、项目采购计划等等。由此我们可以得出，风险形势评估一般应重视以下内容：项目的起因、目的、项目的范围、组织目标与项目目标的相互关系、项目的贡献、项目条件、制约因素等。

2、风险识别

在对项目的基础的风险形势评估之上，就需要对各种显露的和潜在的风险进行识别。风险识别实际上是对将来可能发生的风险事件的一种设想和猜测。因此，一般的风险识别结果应包括风险的分类、来源、表现及其后果、以及引发的相关项目管理要求。在具体识别风险时，一方面可利用一些常识、经验和判断，通过以前经历的项目中积累起来的资料、数据、经验和教训，或者请教相关的专家和资深从业人员，采用集体讨论的方式。另一方面，可以通过分解项目的范围、结构来识别风险，理清项目的组成和各个组成部分的性质、之间的关系、与外因的联系等内容，从而减少项目实施过程中的不确定性。除此之外，还可以利用一些技术和工具。比如，结合经验和教训，将项目成功和失败的原因罗列成一张核对表，或者是项目的实施范围、质量控制、项目进度、采购与合同管理、人力资源与沟通等。以上都是风险识别常用的一些手段和方法，当然还有其他更多的途径，因项目而异，灵活运用。

3、风险分析和评价

在进行风险识别并整理之后，必须就各项风险对整个项目的影响程度做一些分析和评价，通常这些评价建立在以特性为依据的判断和以数据统计为依据的研究上。风险分析的方法非

常多，一般采用统计学范畴内的概率、分布频率、平均数众数等方法。但无论是哪一种工具，都各有长短，而且不可避免的会受到分析者的主观影响。可以通过多角度多人员的分析或者采取头脑风暴法等尽可能避免。此外，我们应当明确，风险是一种变化着的事物，基于这种易变条件上的预测和分析，是不可能做到十分的精确和可靠的。所有的风险分析都只有一个目的，即尽量避免项目的失控和为具体的项目实施中的突发问题预留足够的后备措施和缓冲空间。

风险评价之后，项目面临着两种选择，即面临着不可承受风险和可承受风险。对于前者，或者终止项目，或者采取补救措施，降低风险或改变项目；对于后者，则需要在项目之中进行风险控制。

二、事中控制——风险管理方法

管理风险，即控制风险，通过风险监视和风险规避消除一些潜在的威胁项目健康实施的事件。风险的管理在整个项目生命周期中是连续、反复进行的，消除了某些风险来源后，有可能又会出现其他的风险，而且，为减少风险损失而进行的风险管理本身也会带来新的风险。比如，管理风险所耗用的项目资源造成项目其他部分的可用资源减少，规避风险的行动影响原定项目计划而带来风险等。因此，在项目实施过程中，项目管理人员必须制订标准并按阶段衡量项目进展状况，时时监视项目实际进展情况，根据风险情况果断调整和纠正项目行动。

1、风险监视

由于时间对项目的影响是很难预计的，因此风险监视是项目实施过程中的一项重要工作。监视风险即监视项目产品、以及项目过程的进展和项目环境的变化，通过核查项目进展的效果与计划的差异来改善项目的实施。一般情况下，随着时间的推移，有关项目风险的信息会逐渐增多，风险的不确定性会逐渐降低，但风险监视工作也随信息量的增大而日渐复杂。我们一般可采取项目的审核检查的方式，通过各实施阶段的目标、计划、有关项目风险的信息会逐渐增多，风险的不确定性会逐渐降低，但风险监视工作也随信息量的增大而日渐复杂。我们一般可采取项目的审核检查的方式，通过各实施阶段的目标、计划、实际效果的对比、分析，寻找问题的根源，提出解决问题的方法。

2、风险规避

在风险管理规划基础上进行风险控制，一旦监视到风险，就应采取合理措施进行风险规避，可以从改变风险性质、改变风险发生的概率、改变风险的影响大小等多方面着手。风险规避的策略一般有预防、转移、回避、接受、后备措施等几种方式。

其中，预防风险尤其不能忽视项目的教育培训和按程序办事两个方面。由于项目实施成员的任何不当行为都会构成项目的风险因素，要减轻与之相应的影响，就必须对有关人员进行详细和有效的风险教育和项目培训，教育培训的内容应该包含项目相关的策略、计划、标准、规章规范、项目知识、产品知识等。在项目活动中，应该严格按照项目制度，如进度、人力调配、文档管理、资源分配等。

转移风险，在IT项目中使用最频繁的应该要数合作伙伴、项目外包、保险与担保等手段了。无论是与合作伙伴的协同实施还是项目的外包，都能在人力资源、成本费用、项目进度等方面分散风险，开脱责任。但转移风险的同时也必然带来利润的一部分流失。

回避风险，是指当项目风险潜在威胁的可能性极大，并会带来严重的后果，无法转移又不能承受时，通过改变项目来规避风险。通常会通过修改项目目标、项目范围、项目结构等方式来回避风险的威胁。

接受风险，作为规避风险的常见方法，主要是指主动将风险事件的不利后果承担下来，这种后果通常主要反映在实施周期、成本费用的有限增加上，以牺牲项目收益而不影响项目整体。

用于规避风险的后备措施，主要体现在后备费用、预留进度时间、后备技术力量三个方

面，这些后备措施在项目计划中就应预留，保证在项目实施过程中，能充分调用后备力量解决问题。

三、事后控制——风险管理报告

无论项目进展的情况如何，都必须将风险管理的计划、行动、结果整理、汇总、进行分析，形成风险管理报告。风险管理的持续性要求风险管理报告的连贯性和不间断性，因此，该报告不是仅仅在项目结束之后才制作的，而是应该视项目的进展状况、项目计划、报告的对象等条件采取书面或口头、不定期的或阶段性的等多种方式，为项目的实施、控制、管理、决策提供信息基础。

跳出IT业人力成本控制的误区 第3篇

近年来，最低工资、社平工资的大幅调整，社会保障政策的调控，人才市场供求关系不平衡、跨国经营等一系列因素又直接导致企业的人力成本大幅提升，作为企业成本的重要组成部分，人力成本的高低直接关系到产品价格、企业效益、企业综合竞争能力等核心优势。因此，有效进行人力成本管理成为人力资源管理的重点。

降低成本是最大的误区

人力资源成本管理这个概念很多人力资源工作者都很熟悉（如图1）。对于很多企业的人力资源工作者来说，人力成本的管理对象、管理原则和管理内容等基本上都大同小异，只是在具体的管理目标和管理方法上，会因不同行业、不同类型的企业特征而又有所侧重。

提到成本管理，目前很多企业在人力成本的管理和控制上，都陷入了一个误区，那就是为了控制成本，一味地降低绝对人工成本，而忽视了企业经营的最终目标——赚取更多的利润。一些企业往往通过降低薪资福利、减少培训、不缴或者少缴保险，不付或者少付加班费等手段，暂时降低了人工成本。结果，既伤害员工感情，又导致工作效率低下，还存在违法风险，不仅损害了企业的声誉，还会影响到企业竞争力及未来的发展。

降薪。降薪是很多企业在控制人力成本时最经常使用的办法。比如说，金融危机时，很多大企业都大幅降薪，导致不少核心员工流失。不仅如此，降薪还可能导致核心员工流向竞争对手那边，对企业来说，失去核心员工将对企业造成不可挽回的损失。

降薪的企业，其员工对企业的信赖度、归属感等都将大打折扣。薪资水平的降低还会造成员工能力素质与岗位要求的不匹配，结果是企业想留住的核心员工流失掉了，而“得过且过”的员工又不顶用。

裁员。通过裁员降低人力成本的企业也不占少数，但随着近几年《劳动合同法》及相关配套法律法规的陆续颁布实施，由裁员所产生的离职成本越来越高，

特别是对一些高科技领域的企业来说，不仅要支付相当高的经济补偿金，还有竞业限制补偿金等，甚至在大规模裁员时，还会产生很多法律风险。而在经济复苏后，由裁员所带来的获取成本、培训成本等还会堆积在一起，这将大大超过裁员本身所带来的成本节约。

金融危机前后，很多跨国IT公司大幅裁员，而不少国内的民营IT企业在此时却采用高薪的方式吸引这些高端人才——这种行为会让这些员工对企业心存感激，因为企业在他最困难的时候找到了他，这和企业花大价钱去挖脚是有很大区别的。这种“感恩”直接带来的就是员工积极的工作态度和良好的工作业绩。

减少开发成本投入。培训作为员工能力持续提升的有效手段，也是留住员工的重要策略。很多公司不喜欢做培训，认为培训的投入产出比不高。确实，一些企业的培训并不到位，几乎是流于形式，这造成人力成本的巨大浪费。

我曾经在下属一家工厂考察时发现，尽管这家工

厂的利润很高，但对员工的培训投入却几乎为零，这家工厂的人力资源经理认为，他们的员工队伍非常稳定，不需要进行开发成本的投入。抱有这种想法的人力资源经理恐怕不占少数，根源在于虽然企业的培训年年都有，但效果都并不十分明显，也没有针对员工的个人职业发展需求而设计，也就是说企业的培训没有落到实处。

因此，科学设计企业的培训内容和培训体制，对直接降低企业取得成本、开发成本和离职成本都具有非常重要的作用。

除了以上三点之外，不同类型的企业，在不同发展阶段所采用的人力成本控制的策略也各有不同。比如，高速成长期的企业就需要通过高薪、高福利待遇等具有市场竞争力的手段获得所需的核心人才；当企业进入平稳期，就需要通过企业的组织文化等手段保留核心人才。所以，企业不能只从成本控制的角度考虑问题，还应该从所处的成长周期角度，思考采用不同的策略。

IT企业的员工特点

IT企业对技术依赖的强度和技术更新的速度都远大于其他行业。在IT产业中，拥有合适的人力资源，就有可能创造资金、信息、市场、设备，建立起欣欣向荣的企业。同样，也会因人才流失、缺乏源源不断的技术创新而失去竞争优势。在IT产业中的人力资源管理，直接影响到成果的推出速度、产品和服务的质量以及企业持续发展力。

近两年来，网络的迅速发展，给很多IT企业带来了机遇。也许会因为某个人的一个创意，就可能开拓出新的市场、成就一家公司。因此，在IT企业，人员的短板将直接影响到企业的发展和新产品的推出周期以及企业的持续发展能力。所以，作为IT企业要格外注重员工自身的管理。

IT企业员工归纳起来有四大特点：“高”、“大”、“强”、“难”。

“高”是指员工自身素质高和需求层次高。他们拥有企业最宝贵、最稀缺的智力资源和技术创新能力，他们对受尊重及自我实现等需求追求较多，重视发展机会，重视培训，重视自身独立性。

“大”是指员工参与欲望大、成就欲望大、流动欲望大、开发成本大。他们热衷于挑战性的工作，以自我价值的实现作为人生奋斗的目标，寻求最适合自己的地方来最大限度地实现自我价值，与此伴随的是流动欲望也大。

“强”是指员工创造力强、追求力强、自主性强、学习力强。他们会要求通过自我管理、自我监督、自我约束来灵活地完成工作，更不愿接受严格的程序化管理。

“难”是指员工的工作难控制、难计量，劳动过程难以监控。IT企业员工主要从事的是脑力劳动，劳动过程往往无形的，而且劳动成果是新技术、新工艺、新发明，工作成果本身难以量化，产生的收益也由于受到多种因素的影响而难以估价。

在这些特点的影响下，IT企业员工的职业驱动力的表现形式也非常有特点（如表1）。比如IT企业员工对物质报酬和权利影响的驱动力程度比较低，而对理想追求、创新意识和安全感的要求就比较高。

有些类型的企业可以选择劳动力成本比较低的地区开办公司、设立工厂，但对于IT行业来说，IT人才的就业更趋向于北京、上海、广州等一线城市，期待的薪酬也处于高位，所以我们无法运用地区性差异降低用工成本。对此，IT企业就更加需要关注员工管理

的本身，比如注重员工的自我价值，为他们提供更好的办公环境、弹性的工作时间等等，以最大限度地调动员工的积极性。

从特点到重点

针对IT企业员工的特点，我们逐渐摸索出具有IT企业特色的人力成本控制方式。

选人与育人

在招聘方面我们会尽量降低取得成本，以前的招聘，我们大都会通过人力资源工作者的经验进行人员筛选，由于应聘者多为IT领域的高端人才，单凭人力资源管理者的经验显然无法满足人员甄选的需要。这两年我们引进了很多人才测评工具，以此作为招聘和选拔的客观依据，尽量减少招聘过程中人为因素的影响。

同时，我们选人不仅要从外部招聘，也很注重从内部选拔。由于IT企业人才稀缺，内部选拔（全国各地各公司间的员工流动）、员工推荐以及人才租赁（与劳务派遣公司的合作）和其他公司共享人才（例如，与北大、清华等院校结成战略合作伙伴，通过将教授、学生、员工组织在一起，设立共同研究小组等形式进行项目研究开发）等灵活的方式，不仅可以实现内部晋升，促进人才的有效配置，激活员工的创造性，最大限度地发现和开发员工潜能，也降低了由招聘产生的取得成本，也可以节省新人培训等开发成本。另外，为了保持竞争力，我们会开展合理的、系统的培训，并把培训的绩效与员工的薪酬、晋升结合起来。

用人制度

基于员工个性较强，自我管理需求高的特性，企业要设计合理的用人制度，在工作安排中，注重其才能的发挥，必要时给予员工更大的自主空间。

比如，公司针对研究开发及软件人员实行弹性工作制，并在2009年进行了以提高非管理职务中层活力为目的的新人事制度改革，建立了复线型薪酬体系，针对“不带部下，并有志于最大限度地发挥自身专业技能”的这一类人才，制定长期的激励机制，力求将提升他们的技能、专业性、创造性和公司的发展有力地结合在一起。

激励方式

成就激励是IT行业员工激励的一个重点。差异化薪资策略、完善公正的激励与提拔机制、灵活的福利方案，把员工个人贡献、个人收益与企业的发展捆绑在一起，大胆启用年轻员工，激发员工事业心。其中包括提供学习机会，给予挑战性工作，及时提升，让员工清楚地看清自己的发展前途，加强员工对企业的认同感、归属感等精神方面的满足，更要重视公司和谐的人际关系，形成与组织成员长期合作、荣辱与共的战略伙伴关系。

比如，我们通过股权和股利的分配来实现知识资本化，稳定和保留核心员工。需要特别说明的是，这些股权是不可转让的，员工离职时只能以初始价转让回公司。越重要、越核心的岗位，员工所持有的股份越多，个人离职的成本也越大。

人力资源保障

我们建立了集团统一的员工关系平台，通过外部劳动法律师顾问和内部人力资源部门的联动机制，实现合法、灵活用工，竭力减少用工风险（劳动纠纷）所产生的成本。

与此同时，我们还设置了完善的风险防范机制，如增加商业保险等，这不仅可以作为员工的福利奖励，还能有效降低工伤、事故等带来的成本。

在建设企业文化方面，我们导入企业EAP，通过对组织成员提供心理健康、生活方式、压力管理等指导、培训和咨询，来提高员工工作生活质量，优化工作氛围，提高工作绩效，改善组织管理，降低单位管理成本，增加员工投资回报。

完善我国企业IT控制的思考 第4篇

1 现代企业的竞争手段:有效的IT治理系统

现代企业的竞争是制度优劣的竞争, 制度是决定发展速度的最根本的因素, 中国企业必须补制度管理的课。从模仿经济学的角度看, 次发达国家往往模仿发达国家的技术, 而不模仿发达国家的制度, 结果必然导致“后发劣势”。如何使IT治理在企业内部控制环境中发挥作用, 已成为信息时代理论界与实务界需要解决的新问题。

1.1 传统内部控制面临信息时代的挑战

在IT环境下, 内部控制对信息系统依赖性大大增强。信息化发展使人与人的关系部分转化为人机关系, 信息以电磁信号形式存储于磁性介质, 身份识别与授权审批方式与程序发生了根本性的改变。信息系统的复杂性使得内部控制范围相应扩大, 除了包括手工系统下的组织控制、职责分离等内容外, 还包括信息系统安全的控制、系统权限的控制、系统开发与维护的控制、修改程序的控制等。信息化强调数据共享, 然而, 也正是数据共享凸现了信息安全问题。据资料介绍, 在西方国家信息化建设之初, 因计算机舞弊, 美国每年损失几十亿美元、英国每年损失25亿美元、德国损失50亿美元。一项来自英国调查结果显示, 员工无效使用IT资源可致企业每天损失17亿英镑。一家咨询集团曾对美国24家大型企业开发的客户/服务器系统进行了调查, 结果表明, 其中68%的项目超过了预定的开发周期, 55%的项目其费用超过预算, 88%的项目必须进行系统再设计;另有一家美国著名的调查公司SPR对美英两国的企业信息系统工程进行了类似的调查, 报告显示, 有30%-50%的客户/服务器项目中途放弃开发。

1.2 IT治理是正确决策的行为

如果发现企业的制度、规则等存在缺陷, 毫无疑问, 那是治理没有奏效;反之, 如果存在一种东西能使事情做得更好, 那么, 这种东西就是治理。IT治理是有关IT决策的权责利安排, 它从企业整体利益出发构建IT系统, 力求实现业务与信息的集成 (唐志豪等, 2008) ;IT治理是一种行为, 任何战略的实施都要落实到具体的行为上。Weill和Ross将IT治理定义为, “指定决策权和责任框架, 鼓励正确运营IT的行为” (Weill & Ross, 2004) 。IT治理将合理的制度安排、控制程序嵌入到IT系统中, 对IT资源进行有效管理和利用, 使得IT系统具备内在的控制机制。麻省理工学院信息研究中心在对来自23个国家的250家企业进行了系统研究后指出, 面对同样的战略目标, IT治理水平较高的企业, 其获利能力比治理水平低的企业高出20%;美国堪萨斯州把COBIT标准作为虚拟政府策略的一部分, 为客户和委托人提供可靠、安全的信息, 大大降低了运营成本;宝洁公司在采用ITIL标准的四年里, 节省了超过5亿美元的预算。实践证明, 善治的、标准的治理结构有助于监督、控制企业关键的IT活动, 从而增加企业价值、降低业务风险及提供合规的控制信息。

1.3 IT控制是IT治理的制度安排及技术性支持手段

传统的“人管人”为主的控制手殷, 已经不适应信息时代及企业发展的需要。面对信息时代, 企业财务报告及相关信息的产生与传递越来越依赖于IT控制的有效性。信息系统现已成为管理层编制财务报告和披露相关信息的工具, 基于权力制约和岗位分工的内部控制发展成为以信息流为基础的IT控制 (章铁生, 2007) 。IT控制是由期望达到的 (IT控制目标) 和达到这些目标的方法 (控制程序) 构成, 是IT治理的制度安排及技术性支持手段。IT控制目标是指通过对具体的IT活动实施控制程序, 以达到期望结果或目的的总体描述。有效的IT控制设计与实施指明了一个组织将IT环境下的风险降至可接受水平的途径。

1.4 提升IT控制的有效性势在必行

IT给企业带来效率的同时也带来控制风险, 一方面, IT投资日益膨胀;另一方面, IT资源被大量浪费。企业IT系统和IT控制若存在风险, 会影响所有 (或大部分) 财务报表的可靠性, 甚至影响企业的生存。1987年, 诺贝尔经济学奖得主罗伯特·索洛说:“你可以在世界任何角落和生活的各个领域看到‘计算机时代’的影响, 但是在经济统计年鉴上除外”。也就是说, 投入的影响随处可见, 就是在产出中看不出来。为了摆脱IT应用中出现的“生产力悖论”现象, 对IT环境下的企业内部控制问题进行研究势在必行。

2 我国企业IT控制缺陷分析

虽然我国企业信息化进程已达到或接近西方发达国家水平, 但是现阶段我国大部分企业在IT控制方面还存在相当问题, 主要表现在以下几方面:

2.1 信息孤岛

目前, 我国的有关内部控制规范仍然是传统的出于职责分离和权力制约的内部控制理论, 对于IT对内部控制的影响大体还停留在COSO报告层面 (章铁生, 2007) 。即使有关IT控制规范基本上也是基于信息孤岛状态下提出的, 纯粹从硬件和软件角度来看IT, 而不是从应用层面去考虑。尽管部门内部各业务环节的信息化集成使人们初步尝到了集成的好处, 但企业内或是企业间各个信息系统分离, 财务系统与企业其他系统之间的集成对信息质量的影响还没有得到应有关注, 数据难以整合, 信息不到位, 特别是决策信息不到位。目前, 部分企业盲目引进最先进的软硬件, 造成的后果或是仅在局部环节处理上保证IT提高效率, 或是形成设备的闲置和投资的浪费, 国外学者将这种现象称为“银弹”、“魔弹” (Daly, 2002) 。

2.2 IT和业务两张皮

目前, 我国企业IT管理活动的主要职能被放在IT服务部门, IT服务部门承担IT管理的大部分责任, 为业务部门提供技术基础设施, 制度基本是由技术管理者制定, 他们缺乏规范化风险管理的经验, IT控制制度一般存在于系统安全和变更管理等控制领域, 缺乏从公司透明度角度出发的、结合支持业务流程的完整的内部控制制度。技术部门充当消防员的角色而在各个业务部门间来回穿梭, 业务部门只有享受这种技术的权利却不对IT资源与业务的不匹配负相关责任。从治理结构看, 整个IT管理活动缺乏利益相关者的有效参与, 很难让IT资源真正融合为企业运行的内在组成部分, IT和业务两张皮必然导致企业IT资源效用的不能有效发挥。各标准体系局部覆盖和冲突, 使各体系之间不能合理有效地兼容、互补, 无法支撑业务的运营。

2.3 从控制到偏离

目前, 每个企业或多或少都有一些IT控制制度, 很多企业错误地把这些静态的控制制度等同于控制体系。对于实现企业目标, “我们一直是这样做的”通常是不正规的、未经验证方式的代名词。人们希望以此处理完所有事情, “一次性将所有问题彻底解决”。随着经济技术和公司企业运行模式的变化和发展, 这些IT控制制度可能不太规范, 控制政策程序不太完善。面对厚厚的规章制度, 是否执行、执行是否有效却没有得到应有的关注, 各种指标体系设计没有在信息化投入与产出间建立效能基本标准。在董事会里面, 董事们谈兼并收购、产品开发、融资, 就是不谈IT治理, 很少涉及“IT是做什么的”议题。IT运行中常见的问题有, 使用者不执行规范, 违反流程;实物处理与信息反馈的顺序颠倒;信息录入缺乏准确性和完整性;人为建立垃圾数据等, 都会影响信息的应用程度。企业慢慢发现自己处在一个下降的螺旋中:从控制到偏离 (杰普·布勒姆等, 2008) 。

在内部控制发展的历史上, 理论往往落后于实践发展的需要 (Michael Chatfield, 1977) , 我国关于IT对内部控制的影响整体而言关注还不够 (刘志远等, 2001;陈志斌, 2007) 。现有的文献主要是归纳和总结企业IT控制的现状与问题, 而且集中于探讨信息化和网络环境对会计、审计职业的影响, 提出的解决策略和实施办法往往不具有系统性和可操作性。因此, 相应问题的建议和措施也就成了空中楼阁。

3 完善我国企业IT控制的思考

信息化建设的成功与失败, 除了与IT投资、技术的引入有关外, 深化IT控制至关重要。完善我国企业IT控制必须从全局着眼, 建立IT控制的相关法规, 构建适用的、协同的中国IT标准, 采用“先固化再优化”原则, 促进IT与业务的集成, 注重IT控制实施状况的衡量, 构建一套系统化、标准化、可审计、可持续改进的IT控制体系。

3.1 建立IT控制的相关法规

建章立制要在前, “拨乱反正式”的管理风格代价很大。我国应颁布一部有关IT的法规, 通过IT立法加强IT资产组合管理以及投资监督, 强制企业执行IT控制, 促进技术手段和法律手段的有效结合, 减少IT资源的浪费。我国内部控制制度建设是政府主导推动的, 财政部等部委应充分借鉴COBIT等国外IT控制模型, 进行优化组合, 优势互补, 在内部控制具体规范基础及时发布相关应用指南或专门研究报告, 规划出我国IT治理环境下的内部控制模型。

3.2 构建适用的、协同的中国IT标准

中国正在兴起“新技术民族主义”, 要制定自己的标准就是摆脱对国外技术依赖的重要方法之一 (苏迈德, 2004) 。构建我国的IT控制框架并在实践中不断完善, 这将是一个不断学习、借鉴、探索并提高的过程。“借鉴”不等于“效仿”, 由于国内外治理环境还存在相当差异, 比如我国IT治理结构明显有别于美国等发达国家。为了避免产生“后发劣势”, 我国应着眼于商业目标与IT目标、IT流程的衔接, 整合多种新思想和国际最佳实践, 增加与其他标准的接口, 结合我国公司治理与IT治理及企业内部控制相关规范, 构建适用的、协同的、易于操作的中国IT标准 (胡晓明, 2008) 。理想的框架是连接制度与技术的桥梁, 必须指向正确的目标, 即从IT中产生更多价值, 帮助确定恰当的优先顺序, 使战略与期望的行动联系起来, 避免各标准体系局部覆盖和冲突, 从而支撑业务的运营。

3.3 采用“先固化再优化”原则

有效IT治理的结果是可以转换的, IT最佳实践存在巨大动力促使IT领域不断向优秀的流程框架和IT治理方向发展。成功实施IT治理的另一个重要原则就是“先固化再优化”。将控制流程固化在信息系统中可采用分阶段部署的办法, 逐步实现从“一直这样做”到IT最佳实践的转变。如采用试点项目方式, 新系统在项目中实施之初, 可适当地安排较多学习时间, 帮助认识、吸收, 并不要与其他项目过多地对接。这样新系统就很容易被掌握, 之后再在整个企业中推广。从试点项目着手还允许逐步采用PMO (项目管理办公室) 或资产组合管理系统, 而不必花费大量时间将传统项目和数据转换到新系统中运行。企业可以在某段时间同步运行新旧两种系统, 以促进这种转变。

3.4 促进IT与业务的集成

随着信息技术的深入应用、支出的日益增加, IT与业务的中间界线越来越模糊。信息时代, 经济评估是人类的共同语言, 业务和IT也应该使用相同的语言。它让所有人了解到流程是成功的关键, 企业应建立一种透明的流程, 使该流程中的IT经理和参与者以及与IT交互工作的业务部门都能够理解和接受。企业应根据企业的战略目标来确定企业信息化的准则, 了解需要投入的IT资源、可以达到的IT目标以及每个IT流程的运转情况。CIO (首席信息官) 必须率先寻找能够创造价值的IT流程, 促进“信息孤岛”转变成“信息大陆”。IT控制能将信息系统的规划和组织、获取和实现、交付和支持以及监控系统绩效等四个过程一体化和标准化, 以确保IT资源被合理利用, 以支持企业决策。在IT投资方面, 企业应“过滤”不良投入, “提纯”有效投入, 确保缩小信息系统的“蝴蝶效应”。

3.5 注重IT控制实施状况的衡量

要实现高效的IT控制, 必须解决哪些决策能确保有效管理和运用IT、谁来制定这些决策、如何制定和监督这些决策、等三个问题。Weill和Ross发现, 特别是第三个问题通常被公司漠视或忽略。目前的IT控制已经从三叶草 (IT战略、IT治理、IT管理) 变成了四叶草 (IT战略、IT治理、IT管理、IT衡量) , 实现高效IT控制的关键还在于实施状况的评估。著名的CMM (能力成熟度模型) 被广泛用于衡量企业IT成熟度水平, 企业可以通过成熟度模型了解信息化管理和控制所处的状态, 了解自身的薄弱环节, 使得企业具有信息化管理和控制的概念。结合不同行业、不同对象特征, 以标杆库和标杆值为参照, 选择、设计和改良IT控制评价指标, 将措施型指标和结果型指标结合使用, 围绕“信息流”构建绩效和目标评价体系 (KPI/KGI) , 强化对流程的规范和引导;同时, 企业必须有足够的证据证明IT控制的有效性, 以服务于信息系统审计。

3.6 崇尚协作文化

实施有效的IT控制要求处理好与企业文化的关系。在企业信息化过程中, 企业成员的道德伦理、价值观念、工作态度都会发生变化, 尤其是员工的诚信程度和置业道德水平, 是影响企业内部控制环境的一个非常重要因素 (骆良彬等, 2008) 。企业文化建设是把双刃剑, 它是企业获得成功的巨大驱动力, 当然也可能成为实施有效变革的拦路虎。今天协作文化已成为全球的发展趋势, 特别是在信息共享方面。一些IT部门不愿意转变, 可能是因为技术转移人员不愿意舍弃他们在自己管辖范围内所习惯的独立权力。与其他计划一样, 来自决策层的力量不可小视。如果CIO对于IT治理系统变得冷淡, 或者允许每个经理“自己选择”, 那么新系统的实施最终将“不了了之” (杰普·布勒姆等, 2008) 。

3.7 通过外包提高业务价值

出于文化阻力和成本因素的考虑, 企业可以选择外包其IT运营的主要组成部分, 包括国内外包或离岸外包。通过进行外包, CIO通常会发现以IT为主要业务的外包公司, 可以帮助他们建立有效的IT治理。这是因为这些公司自身就在实施IT治理, 并不断寻找加以改进。IT外包并不意味着CIO的权利小了, 而应该借此机会, 把工作的重点放在战略的层面上。CIO要能清楚地看到现在业务存在的问题, 预见未来会有哪些业务机会。

总之, IT已经成为业务活动的生命线, IT对于业务成功的推动力远胜以往, 这主要源于IT的关键业务角色以及相关标准的驱动。在信息化的过程中, 我国企业必须清楚自己所处的信息化阶段, 选择适合本阶段的业务内容, 将IT固化在控制业务流程中, 使信息化建设与IT控制协调发展, 充分考虑IT与业务的集成, 改善管理效率, 减少信息生成过程中的错误与舞弊行为, 提高公司信息的质量, 降低利益相关者之间的信息不对称问题, 保证投资的回收, 确保企业运营满足相关法律法规的要求, 驱动并支撑公司治理。

摘要：开展IT环境下的内部控制研究需要剖析我国企业信息化建设发展历程及IT控制缺陷, 探讨建立IT控制相关法规, 构建适用的、协同的中国IT标准, 以促进IT与业务的集成, 支持实现IT价值。

IT控制 第5篇

“IT”这个英文缩写，原本在人们脑中总是条件反射地与“精英”二字联系在一起。但是，不知道什么时候开始，IT业初级程序员的工作性质与进城打工的“农民工”变得如此惊人的相似。初级程序员们与农民工一样被剥削，一样做着没什么太大技术含量的枯燥工作，一样拿着微薄的收入，有上顿没下顿，买不了房开不了车，日复一日重复“IT民工”的劳动。学JAVA做IT精英还是做IT民工?选择IT培训学校十分重要。

其实，尽管新经济浪潮已经席卷多年，IT仍然是高技术含量的智慧密集型产业。最新2012年十大热门专业、十大高薪专业近期火爆出炉，位居榜首的都是软件开发专业，而想要在IT这条道路上继续向前走变身“IT精英”的“民工”们，就必须懂得，只有掌握随时更新的技术，才是进一步发展的硬道理。只有学的好、学的精、学的高端，才能在这个用光速更新换代的行业里站稳一席之地。

学JAVA做IT精英还是做IT民工?那么学JAVA应该选择什么样的IT培训学校比较好呢？我们这里举例证明一下。

欧柏泰克软件学院是长沙欧柏泰克科技有限公司投资建设的一所职业培训学校，学习环境完全模拟工作现场，注重实践经验，动手能力的培养，教学课程与项目实践紧密结合，并且采取团队分工协作的模式，让学生更早的提升团队协作能力，沟通表达能力等等，并且通过合作相互学习。学校还为学生的学习生活配备了完善的设施，开设自习课程，宿舍24小时热水及空调等等。学校提供了良好的学习环境，但是并不是每个学生都有机会进入学校学习，欧柏泰克软件学院的招生有自己的一些想法，学生到欧柏泰克软件学院报名第一接触的都是我们的高级职业规划老师，老师会对学生做一个了解，假如不适合软件开发行业将不会接受报名，并且相应的会对学生有一个考核标准，这也是欧柏泰克软件学院就业率一直名列前茅的原因。

关于企业IT管理和控制的思考 第6篇

关键词：IT应用,IT治理,实施策略

日新月异的商业环境和日益残酷的商业竞争给传统的企业运营管理模式带来了严峻的挑战, IT (信息技术) 已成为企业构筑其核心竞争力和获取长久竞争优势的资源宝库和重要渠道。伴随着电子商务日渐普及和深化的步伐, 企业越来越重视在IT方面的投入, 其应用也越发复杂和多样。我国企业在IT应用及电子商务方面还存在许多不足, 正面临着一系列亟待改善的问题, 如:IT生产力矛盾、信息化目标不明确、信息应用能力低下、技术与业务没有形成产业链等各式各样的挑战。

IT治理不再局限于单纯的IT技术应用, 而是从企业的经营管理及战略实施的层面出发, 对日益复杂的IT应用及高速的信息化进程进行有效的管理和控制, 从而保证企业良好的IT应用效果, 提升信息化给企业带来的效益, 促使企业更好地开发和利用IT应用以提升自己的核心竞争力, 这为企业应对新形势下的IT应用挑战提供了新的思路和解决途径。作为未来IT资源管理发展的必然方向, IT治理还不够成熟, 就目前的现状来看, 还只停留于对它的浅显理解和简单描述上, 对它的原理及作用机制还缺乏研究, 同时在IT治理的应用与实施层面的探讨也有待深入。综上所述, 由于电子商务环境的影响, IT应用需求日益复杂和多样化, 从战略实施层面进一步研究企业IT治理的基本机制, 探求IT治理的实施策略成为当前亟待解决的问题。

1 IT治理的概念及内涵

随着IT在商业领域的应用范围急速扩大, IT应用层次也不断深化, 越来越多的商业运作要依赖IT来完成, 与商业活动的紧密联系也导致IT的信息安全、电子信任等问题日益严重。传统的IT管理仅仅强调对企业内外的IT资源进行规划、整合与利用来获取经营利益, 已明显无力应对新的IT应用格局。各企业必须革新传统的IT管理模式, 采取更实用的IT治理方式, 在了解IT开发应用情况的前提下, 从战略层面重新审视和管理IT决策、实施、评估等, 以期最合理地开发隐藏于IT的价值。

总的来说, IT治理是一项面向IT资源、IT评估以及IT效益的管理机制, 用于指导和控制企业的IT应用完成组织给予它的任务。主要通过衡量IT战略以及调节运转中的风险与收益来促使企业增值, 以发挥其战略功能。与IT管理所不同的是, IT治理更注重于在战略层面上完成对企业IT应用运作与实施的规范条例的制定, 并掌控IT计划的制定及实施运用, 以促使IT资源的合理配置, 保证企业信息业能够长期有效地运行。从这个层面上, IT管理就是在IT治理所确定的规范框架范围内, 制定IT业目标并采取有效的措施以逐步实现企业的IT战略目标。

综上所述, IT管理与IT治理是密不可分的。但是, 与IT管理相比, IT治理有着更多明确目的, 例如:衡量企业IT战略决策的合理性, 调节各方的利益冲突, 促使各方达到互赢;努力避免IT战略运行过程中的风险, 控制IT合理投入成本, 完善IT项目的质量;维持IT应用的持久稳定性, 提升IT应用的改革拓新能力;时刻监管、评估和调整IT的运营, 以提高企业IT应用的水平和效益;完善企业开发和利用IT资源的运行机制, 以合理配置IT资源, 挖掘IT业的价值空间。

2 IT治理的主要机制

面对日益复杂多样化的IT应用局面, 企业的IT治理也日渐复杂。必须先了解和掌握IT治理的机制, 才能开展有效的IT治理活动, 提高企业开发与利用IT资源的能力, 从而推动IT战略目标乃至企业目标的达成。总的来说, 在企业推动IT治理实践的过程中, 要实现IT治理的目标, 必须注重落实以下几个方面的治理机制:

2.1 目标平衡机制。

当前, 在电子商务环境的影响下, IT应用已经渗透到企业的各个角落。企业的所有利益相关者, 例如银行、雇员、供应商、客户等都影响着IT资源的分配及其价值的实现。因此, 在IT治理过程中, 制定IT战略的决策要综合考虑各个利益相关者的价值要求, 努力平衡各决策目标之间的利益关系, 促进他们的融合, 从而实现对IT资源的更好开发。

2.2 战略集成机制。

IT应用绝非单纯的技术应用, 只有在IT与商务完美结合的过程中, IT资源的价值才会充分体现出来。因此, IT治理要保证企业战略和IT战略的有机融合, 增强IT与业务间的相互配合, 更有效地开发和利用IT资源, 以实现企业的战略目标。一般而言, 互惠型、IT驱动型和业务驱动型是企业业务和IT之间的战略集成机制的主要形式。

2.3 监控与评价机制。

除了监管IT战略决策的制定, 它还必须包含相应的管控机制, 以监控企业IT战略的实施。通过对IT战略实施进行严密的监控, 企业可以准确地把握IT战略的实施进程, 并进行即时的调整, 以确保IT战略始终朝着正确的方向发展。此外, 积极的评价机制是逐步改善IT战略实施水平以及提升IT运行效益的重要保证, 能提高企业对IT资源的利用。

3 IT治理的实施策略

随着电子商务应用的不断深化, 企业的IT应用发生了许多变化, 各个企业都有着不同的IT应用战略要求, IT治理方式也是多种多样。要想更充分地开发IT资源, 企业必须根据其运营方式及战略目标等具体情况确定相应的IT治理实施策略。从企业的商业目标和实现方式来看, 主要可以划分出以下三种IT治理实施策略:

3.1 分散式策略

总的来看, 以经营效益作为成功标准的公司, 更加注重的是产品的更新及价格或上市等。这些公司注重实际效益, 很少对企业的技术和业务等施加严格的规范, 以使公司保持较强的创新能力和业务办理能力。他们不需要太多的治理规则, 而只是通过一个投资流程来获取有战略意义的项目信息。因此, 这类企业常常采取分散式的IT治理方式, 使用分区负责的管理模式, 这样能够快速地满足本地客户的要求, 企业更加迅速健康发展, 整个企业的管理标准也越来越少。

3.2 集中式策略

对于注重业务运行的稳健性的企业, 其战略目标常常围绕着业务成本和利润率来展开, 这类的企业一般采取集中式的IT治理方式。其结果是相同的低业务成本追求导致了IT运行的高度标准化。集中式策略的重要治理机制包括由执行机构来制定发展策略, 高度统一的的集中式流程, 企业级的IT项目决策流程, 以及对相关的IT项目进行评估。更集中的治理对业务流程和IT有更高的标准化要求。

3.3 联邦式策略

还有一类企业追求资产利用率, 总是在寻求高速率的增长与创新的治理之间的平衡点。这类企业往往采用联邦式的IT治理方式。它们引入新的治理机制, 以期能够解决全企业治理与局部治理之间的矛盾。这些机制包括服务水平协议、IT关系经理、IT产品回收、由单元代表组成的领导团队等。他们的IT治理原则是尽量争取系统、模型和流程等方面的共用和IT应用服务的灵活两者之间的协调。

4 总结

任何企业要想取得IT应用与业务的战略成功, 都不能忽略IT治理这关键一环。在信息化不断推进的过程中, 合理的IT治理策略是有效地管理和控制企业的重要保证。在电子商务日益深化的环境下, IT应用朝着复杂化和个性化的方向发展, 企业要实施有效的IT治理, 不仅要深刻理解IT治理的基本机制, 同时还要结合企业的具体情况来灵活运用这些原则, 综合考虑采取合适的IT治理策略, 这样才能合理有效地开发和利用IT资源, 增强企业的核心竞争力。

参考文献

[1]李白名, 江明玉.关于企业IT的治理[J].东北IT企业, 2010.

IT控制 第7篇

一、文献综述

在内部控制方面,国外研究以实证居多,围绕萨班斯法案,学术界从会计信息质量、融资成本、企业风险等角度对其实施效果进行了广泛的探讨 (Gao等,2009;Brochet,2010)。我国则更偏向于规范研究,如认为保证会计信息的真实性是内部控制发展的主线, 会计控制是公司内部控制的核心,内部控制目标随公司治理机制的完善呈多元化趋势 (阎达五,杨有红2001)。内部控制自我评价的相关思路及方法 (林朝华,唐予华,2003;王立勇,2004);提出内部控制的理论研究比较滞后(杨雄胜,2006),关于IT对内部控制的影响整体而言关注还不够(刘志远等,2001;陈志斌,2007)。主要涉及框架、概念和应用讨论以及我国内部控制的社会认同度 (杨雄胜等,2007)。研究了公司治理对内部控制有效性的影响(陈晓陵、王怀明2008)。通过案例研究了内控的实施效果及评价( 于增彪等 ,2007; 方春生等 ,2008); 以实证研究的方法提供了一些关于内控有效性方面的证据(方红星等,2009);重ERP而轻内部控制的思想是导致其青岛分公司管理失效的根源,ERP取代不了内控体系对企业运营成功与否所起的关键性作用,ERP在实施中必须同内部控制整合才能发挥其作为先进管理平台的优势(李万福,林斌,2011)。

总体来看,内部控制的相关研究已经较多,但是关于现在流行的IT内控和传统方式内部控制关系方面的研究却很少,但是从现实企业来看,在现代企业管理控制和公司治理中它们均扮演着重要的角色,所以关于IT内控和传统内控的关系具有研究意义。

二、IT内控的理论

(一 )国外信息系统内部控制理论

COSO框架对企业的内部控制的贡献是无疑的。COSO框架在“控制活动”要素部分规范了对信息系统的控制。COSO将信息系统控制分为一般控制和应用控制,它们之间存在着相互依赖和相互支持的关系。应用控制功能的发挥依赖于一般控制的支持,一般控制因为应用控制的存在而对企业具有实际意义,只有两者共同发挥作用才能使信息系统在加强企业管理和实现控制方面发挥其独特的优势。计算机对控制的一个最有意义的贡献就是其防止错误进入系统的能力,以及一旦错误存在,及时发现和改正的能力。COSO框架在“信息与沟通”要素部分论述了信息系统的战略作用。信息系统是企业经营不可缺少的一个组成部分,信息系统不仅通过提供决策所需要的信息来影响控制, 而且还更多地被用作支持企业战略、实现战略目标的手段。COSO认识到必须将信息系统的规划、设计和实施同企业的整体战略整合在一起, 因此,COSO在框架中提到应建立战略一体化信息系统 , 信息系统的战略性应用要求突破单纯的财务信息系统而扩展到财务与业务集成的企业管理信息系统, 这样有利于控制业务流程,实时跟踪和记录交易。

(二 )国内信息系统内部控制理论

2008年6月28日 ,财政部、证监会、审计署 、银监会、保监会联合发布了《企业内部控制基本规范》, 使我国企业内部控制规范上了一个新台阶。为了配合《企业内部控制基本规范》的施行,2008年6月12日,财政部会同国务院有关部门发布了《企业内部控制应用指引》征求意见稿。其中的 《企业内部控制应用指引—信息系统》是我国第一个关于信息系统的内部控制指引,对信息系统的内部控制作了详细规定,这是我国信息系统发展过程中的一个里程碑。

三、IT内控与内部控制的联系

(一 )理 论联系

根据委托代理理论、信息不对称理论和人的有限理性理论,为了更好的实现企业的目标和价值,需要一定约束来规范企业经营参与者的行为。内部控制作为企业运作的一种内在制度安排,通过明确企业内部各成员的职责,以及制定相关的控制措施,可最大限度地维护企业内部交易的公正和公平,减少交易中的机会主义风险,进而提高交易效率。

根据交易成本经济学, 可通过减少交易中的不确定性、降低交易的复杂程度、减少信息的不对称和降低小额契约中的机会主义行为,来提高交易效率从而创造价值。而信息技术除了拥有一般技术具备的方法的科学性、工具设备的先进性、技能的熟练性、经验的丰富性、作用过程的快捷性和功能的高效性等特征外。还具有区别于其它技术的特征,即提高信息处理与利用的效率、效益。也就是说信息技术在企业交易中的应用可以减少交易中的摩擦和信息不对称、进而提高交易效率的目的。

可见,内部控制和信息技术内部控制都可以降低交易的机会主义风险,进而提高交易效率的作用。

(二 )应用联系

通过分别分析内部控制五要素与IT内控的关系,来阐释传统方式的内部控制与IT内控的关系。

1. 内部环境与IT内控。内部环境是内部控制的一个组成部分,内部环境的健康与否是关系到IT内控能否正确实施的关键。因为IT内控无法解决公司的治理结构、企业文化、道德与价值观等内部环境中问题,一旦内部控制环境较差,对IT内控的运用便可能钻“方便之门”的空子。只有企业应当以人为本,利用传统内控对内部环境实施改进和整合,解决治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等内部控制环境中的不合理因素,加强内部控制环境建设,才能为IT内控提供良好的运作环境,才能保证其得到恰当的执行。

2. 风险评估与IT内控。风险评估是识别企业内外部风险的重要路径,企业通过成立专门的风险评估团队,及时地识别内外部环境变化可能给企业带来的不良影响,进而采取应对措施以将影响降低至最低的程度。而IT内控只是通过计算机系统进性数据的分析,无法主动分析瞬息万变的外部环境,也难以识别外部环境的改变会影响风险的因素。也就是说,IT内控无法结合内外部环境对风险预警的指标进行合理分析,其在风险分析和应对方面带有先天性的不足。针对IT内控在风险分析和应对方面存在的不足,企业应当注重风险评估方面的内部控制建设,提升IT内控的决策有用性和正确性。

3. 控制活动与IT内控。企业的控制活动包括授权 、业绩评价、信息处理、实物控制和职责分离。控制活动全面有效地实施,是企业实现其目标的一个重要保障。IT内控自身带有授权控制模块,但是在职责分工控制方面,IT内控不能自动识别是否不相容的职责由同一人兼任,这是由公司的组织架构决定的,组织架构中出现这种情况,系统并不能自动拒绝,这时就需要内部控制的制定正确的授权以保证IT内控的实施。IT内控缺乏绩效考评控制或者形同虚设的绩效考评制度 ,在没有传统内控的协助下,绩效考评出现问题的可能性将会很大。同样,在实物控制方面,IT内控并没有实际可行的操作,因为IT内控只是对系统内的数据按照预先设定的模式进行处理,无法识别实物方面的差异。也就是说,IT内控在实施的过程中若忽视了控制活动方面的内部控制建设,将会对企业的正常运作产生消极的影响。

4.信息沟通与IT内控。企业的业务是全方位 , 多层次 ,宽领域的,不仅仅限于系统内的业务,而且还包括系统外的。特别是随着经济的迅猛发展, 企业系统外的业务越来越常见。对于系统外的业务,企业非常有必要建立信息沟通控制,来实现信息的正确整合和恰当利用。但是IT内控在信息沟通上有其致命的缺陷,它不能识别信息的来源是否准确,也就是说,IT内控虽然拥有强大的信息处理功能, 但其不能主动识别信息的真实性、可靠性将会对系统内外的业务产生严重的不利影响。因此,IT内控的实施改进离不开信息与沟通方面的内部控制建设。企业应根据IT内控标准,建立信息与沟通制度,明确IT内控各控制点的信息收集、处理和传递程序,将信息在企业内部各有关方面之间进行沟通和反馈,及时报告和解决信息沟通过程中发现的问题,确保相关数据信息在录入IT内控系统的准确性和完整性。

5. 内部监督与IT内控。内部监督是对企业内部员工行为的一种检查机制,是保证内部控制相关制度得到有效执行的关键因素之一。成功的企业一般都会设有相关监督机构,制定内部控制监督制度,明确监督人员的职责和权限,严格执行追究责任与问责制度,规范内部监督的程序。内部监督的工作是由企业的特定人员来完成的,IT内控只能判断出系统已经设置的牵制或者职责的履行情况,并不能承担内部监督工作,因为其具有的灵活性和变动性是IT系统所不能实现的。因此,IT内控在监督检查控制方面的效率依赖于公司是否建立了相应的监督检查机制。同时,IT内控的实施改进同样离不开内部监督方面的内部控制建设。

四、IT内控与内部控制的比较

IT内控与传统内控的比较可以从马克思主义哲学的角度进行讨论,马克思主义哲学的五对范畴中的内容与形式是反映事物外部形态和内在要素之间关系的一对范畴。内容是事物存在的基础,形式是指把事物的内容诸要素统一起来的结构或外部表现方式。内容与形式是对立统一的。内容决定形式,形式依赖于内容。IT内控作为传统内部控制的一种表现形式,是传统内部控制为其提供了基础。传统内控决定了IT内控应该是什么形式和内容 ,IT内控依附于传统内部控制而存在,IT内控不能离开传统内控而存在, 可以说是传统内部控制的一个表现形式。如果片面地追求形式的发展而忽略内容,便会对内部控制的发展起到阻碍的作用,进而影响企业的生存和发展。

五、结论

综上分析,传统内部控制在规避机会主义、提高效率方面和信息技术具有异曲同工之妙, 虽然它们实现的形式不同,但是结果是一致的。通过分析IT内控与传统内部控制的具体要素之间的联系,更能确定IT内控对传统内控的不可替代性。而且,IT内控作为内控的表达形式,替代作为内容的传统内控也是不科学的。

因此,IT内控并不能取代企业的内部控制机制, 内部控制和IT内控是相互支持和相互促进而不是相互取代的关系,企业在建立IT内控使资源得到优化配置的同时,必须重视内部控制建设。企业应该结合自身的实际情况,对IT内控与内部控制进行整合,保证传统内部控制的健全的同时,充分发挥IT内控的优势, 这才是企业健康发展的必经之路。

参考文献

[1]阎达五,杨有红.内部控制框架的构建[J].会计研究,2001(2).

[2]杨有红,胡燕.试论公司治理与内部控制的对接[J].会计研究,2004.

[3]章铁生.信息技术条件下的内部控制规范:国际实践与启示[J].会计研究,2007(7).

[4]陈志斌.信息化生态环境下企业内部控制框架研究[J].会计研究,2007.

[5]张砚,杨雄胜.内部控制理论研究的回顾与展望[J],会计研究,2007(1).

[6]石爱中.从内部控制历史看内部控制发展——内部控制的信息化改造.审计研究,2006(6).

[7]李万福,林斌等.基于内部控制视角ERP系统实施的改进研究——以盛威尔公司为例.审计研究,2011(1).

IT控制 第8篇

近日, 微软正式发布了最新智能手机操作系统Windows Phone 8。Windows Phone 8最大的突破是采用与Windows 8一样的Windows内核, 实现了无缝适配Windows 8以及Windows 8应用。这使得Windows系统在智能手机、平板电脑和PC三大终端领域实现了融合, 其实, 不只是微软, 苹果、谷歌等移动互联网时代的IT巨头近期都在向系统融合统一的方向发展。

Windows 8统一完成苹果、谷歌欲跟随

今年的MWC2012 (移动世界大会) 上微软Windows 8消费预览版的发布无疑成为压轴戏。至此, Windows 8成为今年乃至未来数年微软及业内关注的焦点。Windows 8最大卖点是支持跨设备、跨平台, 即以一个Windows系统统一未来的PC、平板电脑、智能手机, 甚至是游戏机等。而近日微软智能手机操作系统Windows Phone 8的发布则标志着微软在PC、智能手机和平板电脑三个主要平台上的系统融合统一布局, Windows 8也成为业内第一个融合系统。

就在微软发布Windows8消费者预览版不久, 苹果发布了新的针对iMac的操作系统Mountain Lion (山狮) 。虽然苹果发布的Mountain Lion尚还是针对iMac的系统, 但从其移植了众多的iOS功能看, 其未来与iOS合并为一个统一的操作系统已初露端倪。难怪有业内形容新的Mountain Lion的新功能更多体现出的是苹果i OS5上的特性及应用。

对于Mountain Lion, 苹果CEO库克曾表示, 苹果已经将iOS和Mac OS X视为“具备额外功能的同一款系统”。笔记本和平板电脑仍将共存, 但并不排除这两个操作系统进一步融合。他还承认, iMac计算机最终可能采用与iPhone、iPad相同的芯片——将Mac OS移植到ARM架构处理器上, 或将iOS移植到英特尔架构处理器上。

除了微软和苹果之外, 在智能手机市场取得成功的谷歌, 据称也有意在未来统一Android系统和用在PC上的Chrome系统 (很有可能采用Android) 。业内清楚, 谷歌目前有两套操作系统Android和Chrome OS, 由于Android发展速度超过Chrome OS, 对此, 业内也在猜测谷歌是否会把Android用作桌面系统, 吸收Chrome OS, 最终实现系统融合?不过, 近期主管Chrome OS的谷歌副总裁Sundar Pichai表示:Android更加成熟, 而Chrome还很年轻, 但是随着各种设备的发展, 产品之间会有融合的可能, 这似乎是在暗示谷歌也走在了Android和Chrome OS融合的道路上。

竞争所需统一用户体验

从Windows 8和Mountain Lion的功能上看, 虽然两者不论从构架还是界面都相差甚远, 但有一点十分类似, 就是传统桌面系统和移动系统的融合。那么它们为何要走系统融合的路线呢?

有业内分析认为, 这两大操作系统诞生的原因十分明朗, 那就是微软在桌面PC系统依然占据优势, 苹果在智能手机和平板电脑市场也保持了高速发展, 但两大平台都明白两虎相争最终只能落得两败俱伤的结局, 而想要以个体的力量夺取对方的市场也难以达成。于是, 操作系统的跨平台不可避免地发生了。作为苹果和微软来说, 跨平台系统的主旨就是希望将自己优势的领域自然延伸至相对较弱的领域。

从目前发展的趋势看, 桌面PC系统的衰落还未显现, 移动平台虽然处在高速发展期, 但毕竟还在起步阶段。微软虽然在PC行业无人能撼动, 却依然担心终有一天PC会大势一去不复返, 而苹果也希望能够在移动平台大获成功之后, 将市场伸展到桌面PC平台, 以避免被完全隔离于桌面行业之外, 毕竟苹果CEO库克也曾坦言, PC的作用是不可替代的。事实上, 谷歌和苹果的处境颇为类似, 即在移动市场凭借Android取得了引人注目的斩获, 但在PC市场, Chrome OS的表现可谓是大相径庭, 与微软的Windows相比, 更是相距甚远。所以, 其将Android与Chrome OS进行融合的初衷也是希望将自己在移动市场上的优势延伸至PC领域。

作为首先发布统一系统Windows 8的微软, 分析其推出融合统一系统的原因可能更具代表性。为此, Forrester首席分析师王平向本刊表示, 微软的战略其实很清晰, 通过Windows 8、Windows RT以及Windows Phone 8可以通吃传统PC、超极本、ARM架构的平板以及智能手机, 目的是要保卫和延伸其在操作系统的统治地位, 而因为提供不同平台、不同设备上的统一用户体验, 也使得相同的应用在这几个平台间可以较为简易地进行开发和移植。

而Forrester中国研究员赵文元在被记者问及厂商为何力推融合系统时则认为, 应用在不同设备、相同/相近平台上的简易移植将带来大量的协同效应, 最后各家厂商希望能够控制各种类型终端, 以配合用户在不同使用场景和需求之间无缝切换的需要, 从而锁定用户忠诚度和市场地位。

IT控制 第9篇

1.1 概况

2006年中国服务外包产业收入总额达118亿美元, 其中IT服务外包产业规模为75.6亿美元, 业务流程外包产业规模达42.7亿美元。中国承接商所承接的离岸服务外包收入约占整体产业的12.2%, 其他为国内服务外包的收入。据毕博咨询公司预测, 2010年中国服务外包产业总收入将达262亿美元, 其中IT服务外包受离岸服务外包带动, 仍占更大的份额, 约65%;业务流程外包市场增长较快, 离岸业务流程外包业务四年间将增长约2.5倍, 但由于基数较小, 至2010年对该产业的带动不大, 约占35%左右。

1.2 中国BPO市场现状及预测

IDC对中国包括人力资源、客户服务、财务会计、采购和培训业务流程外包服务的业务流程服务外包市场进行了预测。如表1所示。

中国业务流程外包服务市场细分市场如图1所示。

尽管中国IT外包与一些国家相比, 经验还很缺乏, 适合中国企业和现实的IT外包理论和模式还有待进一步研究总结, 但随着中国企业信息化道路的进一步推进, IT外包产业的广阔发展前景是毋庸置疑的。

2 国外现状

从目前的情况看, 国际软件外包发展十分迅猛, 每年以30%左右的速度增长。跨国公司作为软件外包的主体, 出于技术控制的考虑, 软件研发外包的内部化越来越明显发包的项目中, 软件服务项目已经超过软件产品所占比重, 而且比重有越来越大的趋势。软件外包市场集中在美国、欧盟和日本等少数发包国和印度、中国、俄罗斯等少数承接国。

3 IT项目外包服务管理与风险控制的研究目的

随着市场的扩张, IT外包服务提供商已经形成了一个很大的群体承接国外的外包业务也是中国IT产业迈向国际化的途径之一。在IT外包成为一种重要的商业现象的同时, 理论界也给与了相当的关注, 出现了大量的研究文献, 研究话题涉及外包的理论基础、外包的收益、风险、外包决策、外包过程管理等诸多方面, 甚至有学者从政治的角度研究外包对国家安全的威胁。不过, 迄今为止绝大多数与其相关的研究都是从客户的视角进行的, 只有少数研究考虑到了服务商的问题, 这少数研究又有三种类型: (1) 同时从客户和服务商的角度研究完整的IT外包活动; (2) 从服务商的角度研究应用服务提供 (Application Service Providor, ASP) 这样一种特定的IT外包服务形态; (3) 研究离岸外包 (Offshore Outsourcing) 这样一种特定的IT外包服务形态。还未见到文献系统地研究过IT外包服务和IT外包服务提供商的决策、风险等问题。

图2显示了IT外包与IT外包服务的区别和联系, 从整体上看, 它们共同构成了完整的IT外包活动;分别站在客户和服务商的角度来考察时, 它们又是不同主体的独立的活动。

任何IT外包活动都同时涉及到供需双方, 而客户和服务商所关注的问题并不是简单的对称关系, 所以目前对IT外包服务的研究在理论上是不完备的。本文目的在于提出研究服务执行过程风险控制这样一个具体的问题, 对指导IT外包服务商的经营决策, 促进IT外包服务业的发展也有现实的价值。

4 IT项目外包服务管理与风险控制研究的必要性

有些企业把IT业务外包给一家较大的IT服务商, 然后由该服务商全权负责。可是事实证明, 这种策略缺乏竞争机制。而当出现巨大损失时, 服务商通常都是不承担责任。另一些企业在内部建立了IT事业部承担大部分的IT业务工作, 希望让IT项目更能贴近企业真实业务。但这同样没有竞争压力, 并且容易与业界同业标准脱钩。而普遍采用的先进做法是企业内部IT职能部门与业界服务商合作推进项目, 但是这在服务商选择和管理上的效率非常低。虽然通过招标加强了竞争度, 但是当新项目推出的时候又要重新招标造成了极大的浪费, 而当选择新服务商的时候, 就等于丢掉了以前累积经验, 从头开始。

现在有一种以管理服务商表现为核心的IT外包策略供参考:在细分业务中选定合适的一小群服务商, 设定好衡量IT服务商表现的标准, 把服务商的每个项目表现都记录在案, 然后把这些成绩表向业界公开。这样一来就形成了一个良好的循环, 这不但有效管理服务商的表现, 而且通过帮助良好的服务商同时获得供货商的良好信用而得到多方的支持。其实, 由外部实体来提供企业的部分或全部IT业务已经是一种常见的商业现象, 理论界对此相当关注并从客户的视角进行了大量研究。IT外包和IT外包服务有着密切的联系, 但前者是客户的需求而后者是服务商提供的服务, 两者有根本的区别。

摘要：有些企业把IT业务外包给一家较大的IT服务商, 然后由该服务商全权负责。另一些企业在内部建立了IT事业部承担大部分的IT业务工作, 希望让IT项目更能贴近企业真实业务。其实, 由外部实体来提供企业的部分或全部IT业务已经是一种常见的商业现象。

关键词：IT项目,外包服务,风险控制

参考文献

[1]计世资讯.IT服务市场预期乐观[N].计算机世界, 2004, 12:8～11.

IT控制 第10篇

(一) 企业的组织结构发生了变化。

IT技术使很多由人工进行处理的数据被计算机取代, 原来必须由多人分工协作才能完成的工作少数人就可以完成, 而且IT技术还代替了大量的业务层和中间层, 数据在磁性介质中保存, 通过网络传输, 加快了信息的传输速度, 降低了信息的传输成本, 使企业之间的信息沟通更加方便、快捷, 同时也减少了原有信息传输方式导致的信息失真、延迟以及噪音干扰, 使企业的组织趋向于扁平化, 减少了内部控制的层次。

(二) 改善了信息不对称状况, 提高了监控水平。

IT集成了业务流程和会计流程, 在信息系统内部数据均来源于统一数据源, 极大地提高了会计信息的真实性和准确性。而且信息的使用者都经过合适的授权, 可以通过互联网及时看到自己所需要的信息, 这在一定程度上改变了信息不对称的状况, 大大提高了信息的透明度及公司所有者对经营者的监控能力。

(三) 传统的内部控制关键点发生了变化。

在IT环境下, 职责分离与手工条件下有所不同, 为此, 需要调整手工环境下的职责来适应IT环境, 比如传统的授权、记录、保管职责应分开, 但在IT环境下, 业务员可一人身兼多职, 所以需加设新的岗位来实现职责分离, 以达到内部控制的目标。通过C.Stringer和P.Carey (2002) 对IT的应用和全球经济对内部控制影响的调查研究发现, 有些控制活动, 尤其是传统的会计控制 (如交叉检查、监督和职责分离) 在内部控制中的重要性降低, 而控制环境 (如诚信和道德观、责任、人力资源政策等) 的重要性在上升。

二、COBIT的主要内容及特点

COBIT (信息及相关技术控制目标) 是目前国际上普遍采用的IT治理框架, 它主要用来规范IT治理并提高IT治理水平, 防范控制风险。COBIT将IT过程、IT资源和与业务要求相适应的IT目标结合起来, 从信息技术的规划与组织、获取与实施、交付与支持、监控与评价等四个方面确定了34个处理过程。其主要特点有以下四个方面:

(一) 关注业务。

如果IT能够满足企业战略管理的需要, 那么IT目标的制定就必须要明确业务要求者的关系和指南, 要清楚作为IT目标什么应该交付什么不应该交付, 将企业的战略目标转化为IT业务的目标。COBIT为这一过程提供了良好的支持。

(二) 面向过程。

COBIT不是单纯的功能性应用, 而是面向过程的。COBIT设立了RACI图, 当过程目标无法实现时, 可以通过RACI图找到每个环节的负责人, 从而追根溯源地发现问题并从根本上解决。

(三) 基于控制。

COBIT认为控制是通过设计政策、程序、惯例、组织架构来实施, 为达到业务目标或不期望的事件能够被预防、检测和纠正提供保证。COBIT不仅对34个过程都定义了详细的过程控制目标, 而且还为每个过程提供了一个范例。

(四) 度量驱动。

COBIT为每个过程定义了有效可靠的指标体系, 企业可以借助COBIT的成熟度模型来认识当前的状态并确定将来的状态。成熟度模型为企业管理和IT过程控制演进的每个阶段进行了一般性描述。

三、COBIT在企业信息系统和风险管理方面的应用

(一) 制定IT准则和内部控制目标。

企业可以通过行业与管理环境的比较, 或对照正在发展的国际标准和规章, 制定IT准则和内部控制目标。在制定这些指标的过程中, 可以首先参考COBIT控制目标, 选择基本的指标评价体系, 并根据企业的实际需要选取扩展其他指标。然后, 将企业选取的指标与COBIT控制目标形成映射关系, 这样可以随时找出指标的缺点, 保证指标的科学合理性。

(二) COBIT在信息系统生命周期的应用。

COBIT覆盖了信息系统的全部生命周期, 涵盖了战略、战术与操作的所有层次, 处于各个阶段的信息系统都可以参照应用。

首先, COBIT在系统规划阶段的应用。系统规划是应用软件开发的第一个阶段, 主要内容包括:制定信息系统的发展战略、总体方案, 安排项目开发计划, 制定系统建设的资源分配计划。在整个过程中均可以应用COBIT中的“定义IT战略计划” (PO1) 进行控制。

其次, COBIT在系统分析阶段的应用。系统分析阶段是决定信息系统开发成败的最重要阶段, 在该阶段可以参照COBIT的识别自动化解决方案 (AI1) 、定义和管理服务水平 (DS1) 。

再次, COBIT在系统设计阶段的应用。系统设计阶段的主要内容包括总体结构设计、代码设计、数据库设计、输入/输出设计、模块结构与功能设计。COBIT对于系统设计阶段有一个明确的流程“应用系统开发及维护” (AI2) , 在该流程中设计了详细的控制目标和RACI图, 所以系统设计阶段可以参考COBIT的这一流程来实现系统设计阶段的目标。

最后, COBIT在系统实施和维护阶段的应用。系统实施阶段的主要任务是购置和安装计算机系统及网络系统, 编程与调试, 人员培训, 数据准备, 系统试运行。可以参照COBIT关于IT过程中系统实施的控制获得维护技术基础设施 (AI3) 、保障运营和使用 (AI4) 、获得IT资源 (AI5) 、变更管理 (AI6) 、安装、授权解决方案和变更 (AI7) 、教育和培训用户 (DS7) , 这是COBIT控制最强的一个环节。COBIT对于系统维护的控制主要包括:第三方服务管理 (DS2) 、性能管理与容量管理 (DS3) 、确保服务的连续性 (DS4) 、确保系统安全 (DS5) 、服务台和紧急事件管理 (DS6) 、配置管理 (DS9) 、问题管理 (DS10) 、数据管理 (DS11) 、物理环境管理 (DS12) 、运营管理 (DS13) 。

(三) COBIT在风险管理方面的应用。

IT环境下企业面临着很多新的风险, COBIT管控思想为防范IT风险提供了很好的控制标准。

首先, 应用COBIT进行风险评估。在IT环境下, 企业不再把信息保留在纸质介质上, 而是通过现代信息技术 (如通过网络频繁传输、高度集中操作) 在外界以及内部各部门之间传递信息, 所以风险主要来源于员工对数据的滥用而造成的泄露;数据从网络上被盗;数据从移动计算机设备上被盗;员工操作的不合理导致数据错误。针对这些风险, 可以采用COBIT中的风险衡量 (定性分析法) 对风险进行评估, 通过列表形成风险的优先级, 对于风险级别高的多分配资源进行保护。

其次, 对风险进行安全控制, 以确保将风险降到最低或将其消除。如可参考COBIT的“IT风险评估及管理 (PO9) ”, 针对数据从移动计算机设备上被盗的风险, 可以使数据短时间在移动设备上停留;为每个风险制定潜在控制措施列表, 比如员工造成的数据泄露可以通过安装审计软件以监视员工对数据输入和输出的操作, 审计软件要通过信息技术人员测试以保证能够满足功能要求;实施控制措施后建立风险等级对比表, 以评估风险降低程度和解决方案的成本, 选择风险缓解方案。