目前我国信息化建设的特征是：（1）组织对信息系统的依赖性日益增强；（2）投资规模和成本不断提高；（3）信息系统日趋大型化、复杂化、多样化和网络化；（4）系统脆弱性和威胁范围加大；（5）IT相关风险管理已被认为是公司治理的一个主要部分。然而，我国还处于IT治理的混沌时期，如何健全地进入信息社会，以最经济的方式把握科学技术进步带来的机遇；如何充分利用IT资源管理好所依赖的信息与信息平台，将风险控制在可容忍范围内；如何在信息系统的建设、应用与持续发展过程中开展控制与审计活动等等，已成为当下一个重要的研究课题。
　　1 IT治理：公司治理的途径
　　国际信息系统审计与控制协会（ISACA，Information SystemAudit and Control Association）指出，IT治理（IT Govern-出rlce）是一个内涵丰富的术语，包括信息系统、技术及连通性、商业活动、法律相关事宜以及所有利益相关者（公司董事、高级管理人员、业务流程的执行者、IT供应商、IT的使用者以及审计人员等）。为推动IT治理的理论与实践，ISACA于1998年成立了IT治理协会（IT Governance Institu.te），强调IIT治理是董事会和高级管理层的责任，是公司治理的一部分。该协会深化了IT治理的内涵，认为IT治理是一个由关系和过程所构成的体制，用于指导和控制企业，通过平衡信息技术与过程的风险、增加价值来确保实现企业的目标，包括领导、组织结构及业务流程以确保信息技术能支持、扩展组织的战略和目标（彼得·维尔、珍妮·w·罗斯，2005）。由此可见，公司治理和IT治理具有较强的相关性，IT治理是公司治理有效实施的途径，公司治理离不开IT体系的驱动，公司目标如果没有IT的持续有效支持就很难实现（郝晓玲、胡克瑾，2003）。公司治理通过IT治理活动获取有效信息，体现公司与信息技术的战略集成。公司治理和IT治理都是建立在”如何管好管理层“基础上的市场他律机制，两者且标是一致的，即达到业务永续运营并增加公司的长期获利机会。图1体现了公司治理与IT治理之间相互依赖、相互交叉、相互融合以及相互促进的互动关系。
　　从管理学的角度看，公司治理侧重于公司整体规划，主要关注利益相关者权益及保护，包括一系列由治理层和管理层实施的责任和条例，其目标在于公司运营，即商业模式构建，主要包括为公司运营提供战略方向、进行适当风险管理、合理使用公司资源以及保证公司目标合理实现；IT治理侧重于公司中信息资源的有效利用和管理，其目标在于IT运营，即商业模式的实施，主要包括保持IT战略与业务目标一致、推动业务发展、促使收益最大化、合理利用IT资源、适当管理与IT相关的风险。
　　从经济学的角度看，公司治理是为体现公平而进行制度安排，公司治理促进科学决策实施，为lT治理的科学化、合理化奠定制度基础，促进科学地利用企业信息技术、有效地规避公司风险以及合理地实现公司战略目标。公司治理中，制度与人的行为博弈在加入信息技术因素后其博弈的均衡点受到IT治理模式及治理机制的影响而发生变化（李维安、王德禄，2005）；IT治理是为提高效率而从事的信息技术活动，其内容涵盖了信息系统审计、IT服务与管理等领域，着重解决IT发展在组织战略、治理结构与机制、风险与价值、成本与控制、审计与监督、服务标准和规范等方面的新问题、新知识和新方法。
　　实践证明，善治的、标准的IT治理架构是确保IT资源与组织目标一致的基础，其有效运行不仅能推动公司治理的不断完善，而且能给组织带来巨大收益。如美国堪萨斯州把COBIT标准作为虚拟政府策略的一部分，为客户和委托人提供了可靠、安全的信息，且大大降低了运营成本；Proctor＆Gamble在采用ITIL标准的四年里，节省了超过5亿美元的预算。麻省理工学院信息研究中心主任皮特·威尔博士对来自23个国家的250家企业进行了系统研究后指出，面对同样的战略目标，IT治理水平较高的企业，其获利能力比治理水平较低的企业高出20％。
　　2 国外最佳实践
　　信息系统控制与审计是建立在传统控制与审计理论、信息技术理论、信息系统管理理沦、行为科学理论、经济学理论、会计与统计理论、司法诉讼学等基础之上的多学科的交叉与综合。早在计算机刚进入实用阶段，美国就提出了系统审计的概念，1969年成立了电子数据处理审计师协会，1994年更名为信息系统审计与控制协会（ISACA）。该组织从事信息系统控制与审计活动已有30多年历史，现已成为全球信息系统控制与审计的主要推动者。长期以来，ISACA开展了大量的理论研究，通过制定和颁布信息系统审计准则、实务指南、职业道德准则等专业标准来规范和指导信息系统审计师的工作，截至2007年2月已制定并发布执行的有14项基本准则、36项审计指南和11个工作程序，另有若干个征求意见稿。另外，日本通产省情报协会、英国IT审计师协会、匈牙利国家审计署以及美国信息系统审计专家Ron九weber教授等在信息系统控制、审计理论和应用方面均有不同程度的研究。同时，美国国家审计总署（Government AccountabilityOffice，GAO）和注册会计师协会（AICPA）也颁布了《美国政府审计准则——电算化系统审计》、《IT对CPA评价内部控制的影响》等一系列规范，对信息系统控制与审计作出了多方面规定。
　　从20世纪80年代中期到现在，欧美发达国家经历了技术管理、多样化管理和专业管理等三个时期。所谓”专业管理“就是除技术管理外，信息系统的功能管理和应用管理要以按照符合要求的IT标准或规范运行，这些标准与规范包括COBIT、ITIL、IS017799和PIuNCE2等。企业及审计师应用这些标准与规范能极大地提高信息系统建设效率以及信息系统本身的质量、运行效用、安全与可靠性，同时，这些标准与规范也为信息系统控制与审计提供理论研究的基础。
　　（1）ITIL标准。ITIL（IT Infrastructure Library，信息技术基础设施库）是由英国商务部（OGC）负责管理的英国政府部f-1 CCTA（Central Computing and Telecommunication）提出的，目的是保证更好地使用信息技术服务和资源。在它的最新版3.0（2007年5月推出）中，将核心层概括为五个方面，即服务策略、服务设计、服务转换、服务运维和持续的服务改进，其中服务策略是整个ITIL3.0的核心。
　　（2）COBIT标准。COBIT（Control Objectives for Informa.tion and Related Technology，信息及相关技术控制目标）是由美国lT治理协会（IT Governance Institute，ITGI）提出的一个IT治理的开放性框架或标准，是基于组织的信息技术平台而设计的，并在IT治理实践中广泛使用。COBIT建立起组织的业务目标与具体的信息技术、信息技术管理及对组织控制目标的陈述之间的联系。COBIT的设计是为了帮助管理者在不可预见的信息技术环境下对风险和投资控制加以平衡，可以使其使用者获得安全和可控的信息技术服务，并在此基础上向内外部客户提供产品和服务；审计人员可以使用该标准支持他们的观点并向组织的内部控制管理提出建议。COBIT是一三维立体框架结构，2005年12月推出了更新版本CO.BI”14.0，2007年4月推出了COBIT4.1，它在商业风险、控制需要和技术问题之间架起了一座桥梁，以满足管理的多方面需要。
　　（3）ISO标准。IS0177999标准是一项国际公认的基本信息安全标准。国际标准组织（The International Organization forSmndaMization，ISO）发布，命名为“信息技术——信息安全管理实践准则”。它是建立在“一套全面的包括信息安全良好行为规范的控制系统”基础上，涵盖了业务连续性规划、系统访问控制、系统开发与维护、物理与环境安全、遵从性、个人安全、安全组织、计算机与操作管理、资产分类与控制以及安全策略等领域。该标准所建立的最佳实践标准可以用来确保在系统故障或其他中断时业务能够持续运行；控制对数据、系统和网络的访问；保护信息的机密性和完整性；防止对业务设施的非授权访问；符合相关的管理规定。
　　（4）PRINCE标准。P砌NCE2由英国政府商务部（CGC）拥有并开发，它是Projects In Controlled Environments（受控环境中的项目）的首字母缩写，是组织、管理和控制项目的方法。PRINCE2是基于过程（process—based）的结构化的项目管理方法。适合于所有类型项目（不管项目的大小和领域，不再局限于IT项目）的易于剪裁和灵活使用的管理方法，其中管理要素包括组织（Organization）、计划（Plans）、控制（Controls）、项目阶段（Stages）、风险管理（Management ofRIsk）、在项目环境中的质量（Quality in a project environ.merit）、配置管理（Configuration Management）以及变化控制（Change Contr01）等八类，是PRINCE2标准的主要内容，它们的管理贯穿于组织管理过程中。
　　3 国内研究与应用现状及分析
　　20世纪九十年代后期，信息系统控制与审计思想传播到我国，2002年6月，ISACA在我国举办了首次注册信息系统审计师（CISA）资格考试，与信息系统控制与审计相关的概念、技术、实践才慢慢引入我国（胡晓明，2006）。从近年情况看，我国的信息系统审计制度建设工作才刚起步，主要包括，1993年审计署发布的“审计署关于计算机审计的暂行规定”，1994年国务院出台的“中华人民共和国计算机信息系统安全保护条例”，1996年审计署制定的“审计机关计算机辅助审计办法”，1999年中国注册会计师协会颁布的“中国独立审计准则第20号——计算机信息系统环境下的审计”，2007年1月1日起施行的“中国注册会计师审计准则第1633号——电子商务对财务报表审计的影响”等。由于信息系统控制与审计在国际上尚属新兴领域，很多研究还不够成熟，很难照搬国外现成的研究成果。尽管国内对IT治理的研究、交流和应用相对还很薄弱，但是一些行业和政府部门对此已经给予了高度的重视，比如金融行业、电信领域的信息安全问题，航空航天领域、国家安全领域的信息安全与控制问题，电子商务和电子政务领域信息化服务的规范标准问题等；国内展开的有关IT的讨论主要集中在信息系统绩效评估、风险控制、信息系统监理、ERP／CRM／SCM／OA等先进信息系统的规划、企业信息中心的变迁等方面，其中很多讨论没有答案；有意识地应用IT标准的企业不多，应用不够深入、系统和全面，产生的效益不明显；服务台、服务连续性管理等应用稍多的模块往往只是解决了“有没有”的问题，尚未达到“好”的水平，信息系统控制与审计等其它模块应用更少。从研究状况来看，很多人已经把寻求答案的目标归结到信息系统控制与审计上，并已将其与IT治理及IT标准结合，不过还只是停留在概念形成的阶段，距离应用和实施还有很长的路要走。我们认为，目前我国IT治理以及信息系统控制与审计理论与实践方面面临的主要问题有：
　　（1）信息化建设的组织与实践问题。在公司治理不完善的情况上，中国企业能否以及如何做好IT治理？怎样的决策能有效促进信息技术管理和应用？这些决策应由谁做、如何做、如何被监督？IT治理的过程由谁负责、又由谁执行？
　　（2）信息化建设的标准问题。中国怎样借鉴全球着名的最佳实践或智力成果（IT标准）？相应的规制如何制定？如何实现COBIT、ITIL、IS017799和PRINCE2等IT标准的整合与对接？中国应如何促进IT标准的国际趋同？如何将IT标准应用于信息系统控制与审计过程中？
　　（3）信息系统控制与审计的理论问题。信息化建设与发展对审计学科归属的影响？如何合理鉴定内、外部审计在信息系统审计市场的地位和作用及其市场份额？如何研判信息系统内部控制的有效性以及信息系统审计程序设计和执行的恰当性？
　　在“工业化带动信息化，信息化促进工业化”的背景下，要实施标准化战略及信息强国战略，提高我国企业整体技术创新能力和市场竞争能力，有必要开展基于IT治理的信息系统控制与审计体系构建的研究。该研究对于保证信息披露的合规、持续和实时，保持信息系统的安全、稳定和有效，促进信息化建设向有序化方向发展，提升企业核心竞争力，强化标准意识，提高信息技术投资效益，维护信息时代的市场经济秩序具有重大的理论意义和广阔的应用前景。
　　4 基于lIT治理的我国信息系统控制与审计体系构建的思考
　　基于IT治理的信息系统控制与审计体系就是在充分考虑我国信息化建设的实际情况，确定信息系统控制目标，将信息系统项目运作的全部过程置于有效的管理与控制之下，建立适用的、协同的IT治理标准模式，制定相关管理指南，提供集成的IT管理，指导我们建立起相应的机制，通过控制与审计指南对处理过程进行有效监控，保证有关企业信息处理过程的高效、有序。
　　（1）确定信息系统控制目标
　　信息系统控制目标集中反映了企业的战略目标，采用wBS（工作结构分解）工具按照域、过程、任务活动三层体系对信息系统控制目标进行分解。借助COBIT4.0，按照系统生命周期划分为四个域：计划和组织（Plan and Organize）、取得和实施（Acquire and Implement）、交付和支持（Deliverand Support）以及监督和评价（Monitor and Evaluate）；通过开发针对性的威胁，探求信息系统风险识别、评估与控制体系（信息系统风险管理流程）；应用信息技术平衡记分卡方法（IT Balanced Scorecard，BSC）对过程域进行逐层分解，形成更详细的信息技术处理过程的控制目标，强化信息技术的内部服务功能，评价管理过程的控制有效性。使用平衡计分卡就可以看出IT治理的四个核心领域都是由利益相关者价值驱动的，两个收益方面的内容即价值贡献和风险规避，另两个方面来源于其驱动力即战略一致性和绩效评估（Grem.bergen，2003）。
　　（2）建立适用的、协同的IT标准模式
　　适用的、协同的IT标准能为企业信息技术变革的运作实践提供一个全新的视角，为IT过程提供管理的要素、标准和控制目标，并为信息系统控制与审计提供指导和基础，有助于企业从关键环节入手掌握IT治理能力，同时有助于确保降低因信息化和透明化带来的利益冲突所形成的制度面成本。全美亚洲研究所专门研究中国科技政策的俄勒冈大学政治系教授苏迈德（Richard P.Suttmeier）说，“制定自己的标准就是摆脱对国外技术依赖的重要方法之一。”①我们了解到，IS017799主要关注信息安全，ITIL重点在于信息流程的控制，PRINCE2强调项目管理，COBIT T4.0则较全面且突出了信息系统控制与审计。因此，我国应立足于COBIT4.0，着眼于商业目标与IT目标、IT流程的衔接，增加与其他标准的接口，整合多种新思想和国际最佳实践，构建适用的、协同的中国IT标准，实现我国公司治理与IT治理及其相关领域的有机结合，同时避免各标准体系局部覆盖和冲突，使各体系之间能够合理有效地兼容和互补，从而支撑业务的运营。
　　管理指南给出了度量信息系统生命周期各过程安全、可靠与有效的指标体系，并定义了为管理者提供评估的度量模型，是控制目标在企业中的具体应用准则，是为了确保企业成功及有效地整合企业业务流程与信息系统。该指南以项目管理知识体系（PMBOK）为指导，构建信息技术过程集；根据具体的信息技术过程设定目标参数（分为主要的和次要的）和控制参数；在信息技术过程的管理中，将信息化战略与成熟度模型（CMM）相比较，确定管理水平基准，通过识别关键成功因素（CSF）明确控制过程的主要对象，通过关键目标指标（KGI）监控信息技术过程的目标是否达到，通过关键绩效指标（KPI）监控信息技术过程的性能。因此，该体系主要体现了信息及相关技术处理过程，也是信息处理在企业应用中的实现活动，但它在企业的实施与具体应用还需要其它部分的配合。
　　（4）完善控制与审计指南
　　控制与审计指南是信息系统控制与审计时所需要遵循的标准和准则，评价控制目标在信息技术处理过程中实施是否得当，并能为信息系统安全、可靠与有效提供合理保证，包括基本标准、具体准则和执行指南。虽然COBIT4.0中现已不包括审计指南，审计指南改由ISACA提供，但并不表明信息系统控制与审计被弱化了，而是得到了加强。随着信息化的发展，我国急需制定与完善有关信息系统控制与审计指南。在研究和制定信息系统控制与审计指南过程中，应尽可能借鉴国际的经验和相关的标准与规范，通过审核相关技术、管理和评价文档，制定具体的审计计划，实施切合实际和技术可行的信息系统审计测试程序，获得可信的信息系统审计、鉴证报告（金文、张金城，2005）。为了保证具有可操作性，审计师应制定审计计划，利用审计技术按照审计指南的要求实施审计，并向相应的管理人员提交审计报告，从而保证控制目标实现的质量。
　　总之，基于IT治理的信息系统控制与审计体系是连接理论与实践、制度与技术的桥梁，能使复杂的管理控制结构化、模式化，便于运用技术与工具进行管理，可以协调组织与相关人员对问题的理解，指导具体方案的产生，检查决策可行与有效，确保Irr资源与公司战略目标保持一致的基础，减少对人的依赖，使信息系统控制与审计工作切实可行，审计结论更具说服力和影响力。
　　注：①苏迈德教授曾在2004年5月发表了<中国入世后的技术政策：标准、软件及技术民族主义实质之变化》报告，在中国引起了强烈的反响。

免责声明：本网站（http://www.ciotimes.com/）内容主要来自原创、合作媒体供稿和第三方投稿，凡在本网站出现的信息，均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性，但不保证有关资料的准确性及可靠性，读者在使用前请进一步核实，并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏，概不负任何法律责任。
本网站刊载的所有内容（包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等）版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时，请及时通知本站，予以删除。