作者:孟秀,ITGov中国IT治理研究中心
出版社:清华大学出版社
格式: AZW3, DOCX, EPUB, MOBI, PDF, TXT
IT控制能力与企业绩效关系的理论与实证研究试读:
前言
IT技术的迅猛发展,已经重构中国社会的图景,推动政府管理和企业竞争范式的变革。培育并掌握IT控制能力,是组织实现管理创新和构建核心竞争力的决定因素之一,也是保证创新发展和信息化可持续的关键所在。有远见的企业抓住机遇,通过信息化实现商业模式、生产方式和管理方式的创新,正在有效构筑企业核心竞争力。
与此同时,复杂的信息化过程和众多的内外影响因素,导致组织面对巨大的信息技术风险。随着IT在组织中的应用层次逐步加深,IT与所有的生产过程和业务管理体系深度整合,IT控制失效对组织造成的威胁越来越大。组织具备善治的IT治理机制和较强的IT控制能力,对于平衡风险、确保IT价值的交付,具有举足轻重的意义。
事实上,平衡IT风险管控与IT价值交付的能力成为企业获得持续竞争优势的关键,也是当前信息管理领域关注的理论前沿课题。但是,现有研究大多集中在某个IT控制要素的完善,尚未建立起有效的理论分析体系和可以指导企业IT控制实践的方法。
针对上述问题,笔者在相关课题中对IT控制能力进行了深入思考和研究。2005年作为课题组专家参加国务院国资委“中央企业全面风险管理指引”的研制工作,在此过程中,笔者深深体会到,IT控制领域的研究滞后于政府监管机构的政策制定及实务界信息化推进的迫切需求。后又相继参与国家民航总局“中国民航业IT治理框架研究”(2008)软科学课题、北京大学为新基金“IT风险管理控制体系研究”(2009)软科学课题、国家工业与信息化部十二五规划重点“中国信息化运维管理规范研究”(2010)软科学课题,2010—2012年主持北京市教委资助项目“IT控制能力与企业绩效关系研究”。
总结多年研究成果,作者以企业能力理论、内部控制理论为基础,提出IT控制能力概念,构建了由IT控制基础能力、IT控制过程能力和IT控制学习能力组成的IT控制能力结构框架,构建了IT控制能力测度模型,并对培育管理IT控制能力提出了若干具体建议,希冀对政府部门和企业培育IT控制能力这一信息化成功的基因有所裨益。
感谢工业和信息化部杨学山副部长、原国务院办公厅陈拂晓局长、同济大学胡克瑾教授,您们多次在百忙之中肯定研究方向并提出殷切希望,至此出版之际,肺腑感激之情难以言表,衷心说声“谢谢了!”。
感谢我的爱人,在我最痛苦的时候,你也经受着同样的折磨,感谢我的女儿,谢谢你的理解和支持,妈妈很内疚——在你想和妈妈分享你的快乐的时候,妈妈总是无暇去听。
特别感谢我的父母和公婆。您们本应安享晚年,却一起经受压力、失眠和无人相伴的寂寞生活。没有您们多年如一日的奉献和至爱,我不可能取得今天的成绩。
最后,向所有关心、帮助和寄予厚爱的人们再次表示由衷的感谢,我将继续勇往直前!文中不妥之处欢迎批评指正。
本书由北京联合大学学术著作出版基金资助。孟秀转摘要
信息技术不仅未给企业创造持续竞争优势,反而随着IT与业务的整合,给企业带来巨大的风险。平衡IT风险与IT价值的能力成为企业获得持续竞争优势的关键,也是当前信息管理领域关注的理论前沿课题。现有研究大多集中在某个IT控制要素的完善,尚未建立起有效的理论分析体系和可以指导企业IT控制实践的方法。本研究从能力视角研究企业IT控制问题,探索企业IT控制能力与企业绩效的关系。
本研究以企业能力理论、内部控制理论为基础,提出IT控制能力概念,构建了由IT控制基础能力、IT控制过程能力和IT控制学习能力组成的IT控制能力结构框架,并分析了各子能力的构成要素;在深度分析IT控制能力各要素之间及其与企业绩效之间关系的基础上,构建了IT控制能力与企业绩效的关系模型,并提出了十二项研究假设。
以文献和专家访谈为基础,设计了IT控制能力和企业绩效的测度模型,采用相关系数法和变异系数法对测度模型进行修正,并采用实际数据对测度模型进行了信度和效度检验。
利用测度模型收集企业数据,采用结构方程模型对研究假设进行了验证,应用多元回归方法对金融业、电信业和制造业进行模型结论的行业差异分析,采用构念效度、统计结论效度和外部效度对研究结论的质量进行了评价,证明研究结论可靠。
实证假设检验结果表明:IT控制能力对企业绩效具有显著的正向影响。其中,IT控制过程能力与IT控制学习能力对企业绩效均具有显著的直接正面影响,而IT控制基础能力则以IT控制过程能力和IT控制学习能力为中介变量间接影响企业绩效。
行业对比研究结果表明:金融业企业IT控制能力对绩效贡献最明显。IT控制学习能力对制造业和电信业企业的绩效影响最为显著,IT控制过程能力对金融业影响最为显著。
最后讨论了本研究理论贡献与实践意义,并对企业培育管理IT控制能力提出了建议。
关键字: IT控制,IT控制能力,企业绩效,关系,实证研究第1章 引言1.1 研究背景1.1.1 时代背景
信息技术飞速发展,已从单纯的技术革命演变为产业革命和社会革命,由此带来的变革,已经超过以蒸汽机、电气化为代表的工业革命。从冲绳宪章到罗马宣言,标志着走向信息社会已成为世界各国的共识。
在过去的20年中,信息技术广泛地渗透到社会各个领域中,导致社会资源的配置方式、企业生产及管理方式发生了重大变革。随着政府机构、企业对信息技术(IT)的依赖性不断增强,IT应用的绩效、风险与控制等问题也日益突出,人们逐渐意识到决定IT绩效的因素不是技术本身,而是IT控制等非技术因素。Davenport等人研究发现,IT控制是产生IT投资绩效差异的主要原因之一(Davenport,1998;Ahituv,1999;马艳峰,王雅林,2006)。ITGI国际总裁Lynn Lawton曾表示,由于没有实施有效的IT管控措施,全球有许多组织都在无谓地牺牲资金、工作效率和竞争优势(Business Wire,2008)。
随着信息化的深入,各国政府也加强了IT控制的管理和规范。2002年,美国颁布萨班斯法案;2006年6月,我国国务院国有资产监督管理委员会出台《中央企业全面风险管理指引》;2006年11月,银监会发布《银行业金融机构信息系统风险管理指引》;2008年6月,财政部、证监会、审计署、银监会、保监会联合发布我国第一部《企业内部控制基本规范》;2008年9月,中国证券业协会和中国期货业协会共同发布《证券期货经营机构信息技术治理工作指引(试行)》;2009年 7月,中国期货业协会发布《期货公司信息技术管理指引》等,都对IT控制进行和规范要求:公司高管必须对IT治理与IT控制负责;CIO必须成为IT控制专家,在完善内部控制和全面风险管理体系中发挥作用。
但目前企业在实践方面还存在很大的问题。(1)对“IT控制是什么”认识不统一。部分企业以静止的观点、片面的方式解读IT控制,认为IT控制就是一系列政策、制度和程序的总称。这种观点导致企业过度关注相关政策、制度、程序的制定,出现“重文件建设,轻制度执行”的情况。(2)对IT 控制目标认识不一致。部分管理人员仍然认为IT控制的目标就是服务于企业财务报告的可靠性,满足合规要求,所以仅仅将IT控制投资视为“不得不为”的成本付出而不是能够创造竞争优势的战略投资,这种认识导致企业普遍不愿意长期投入去主动培育IT控制能力。在萨班斯合规中,由于IT控制投入巨大,Foley和Lardner在2006年的调查显示为避免合规成本和时间,四分之一的公司考虑退市(Foley and Lardner LLP,2006)。
IT控制是什么、IT控制对企业绩效有怎样的影响,这些问题直接关系到企业提高IT控制能力的动力,影响企业培育提高IT控制能力的途径。但目前理论界对IT控制的研究还比较少,从企业能力视角研究IT控制与企业绩效关系将完善IT控制理论,引导企业和政府培育和提升IT控制能力。1.1.2 学术背景
本研究选题缘起于笔者2005年作为课题组专家参加国务院国资委“中央企业全面风险管理指引”的研制工作,在此过程中,笔者深深体会到IT控制领域的研究远远滞后于政府部门和监管机构的政策制定及实务界加快推进信息化工作的迫切需求。后又相继又参与国家民航总局“中国民航业IT治理框架研究”(2008)软科学课题、北京大学为新基金“IT风险管理控制体系研究”(2009)软科学课题、国家工业与信息化部十二五规划重点“中国信息化运维管理规范研究”(2010)软科学课题。IT控制能力及其评价、IT控制能力与企业绩效的关系都是上述课题的核心内容之一。1.2 研究目的与意义1.2.1 研究目的
国内外学者较多地从IT控制的某个影响因素对企业绩效的影响进行研究,如信息文化(Delisi,1990;Bower,2000;Davenport,1998;Ahituv,1999)、员工素质(石赞,陈国青,蒋镇辉,2000;Teo and Ranganathan,2003)、组织架构、管理机制(Davenport,1998;Ahituv,1999;石赞,陈国青,蒋镇辉,2000;Paolo Neirotti,Emilio Paolucci,2007),对IT控制尚未建立起有效的理论分析体系和可以指导企业提高IT控制能力的实施方法。企业也普遍认为IT控制对企业绩效产生负面影响。因此,本研究的研究目的是试图基于能力的视角建立企业IT控制能力与企业绩效的关系模型,通过实证研究验证企业IT控制能力以及IT控制能力与企业绩效的关系,揭示IT控制能力对企业绩效的作用机制,并在此过程中构建IT控制能力测度模型,为企业有效实施IT控制,提高IT控制能力提供理论和实践上的参考依据。1.2.2 研究意义
IT控制被认为是企业内部控制中必要的组成部分,这一点已在理论界和实务界得到共识。虽然学者对内部控制的研究有几十年的历史,但对IT控制的关注却是近几年的事,并且现有研究大多集中于某个IT控制要素对企业绩效的影响,或者仅仅限于研究IT控制本身的实现效果,尚未建立起有效的理论分析体系和可以指导企业提高IT控制能力的实施方法。企业也普遍认为IT控制对企业绩效产生负面影响。因此研究IT控制与企业绩效的关系不仅可以丰富IT控制和信息化管理理论,而且对激发企业完善IT控制动力机制也具有重要意义。
1.理论意义
IT控制、IT控制能力概念是IT控制理论的基础,IT控制能力评价及其与IT绩效关系的实证研究是实现并支撑IT控制理论研究系统化的基础。本研究通过界定IT控制概念,构建IT控制能力结构框架和IT控制能力与企业绩效的关系模型,并进行实证研究,不仅完善IT控制理论,也为企业评估并培育IT控制能力、观察IT控制能力对企业绩效的贡献,提供了理论探索和实证检验。
2.现实意义
IT控制能力与企业绩效关系的模型实证研究,为企业正确认识IT控制提供了科学依据。实证结论说明IT控制对企业来说,并不意味牺牲企业运营效率和经营效果,反而是在进一步构建企业核心能力,不仅可以提升企业绩效而且可以获得持续竞争优势;IT控制的目标不仅是财务报告的可靠性、合法合规性,满足企业的业务战略目标、效率和效益目标更是IT控制的关注点。IT控制能力要素之间的关系实证研究,是企业理解、培育和提升IT控制能力的基础。本研究构建一套IT控制能力测量模型,可以使企业对自身IT控制能力进行正确评价,通过对指标的测量和分析,找出问题的根源和解决问题的方法,有效培育和提升自身的IT控制能力,进而优化构成企业可持续战略竞争优势的“基因”。1.3 研究的技术路线
技术路线是引导研究从选题、构思到理论与实证研究的总体性研究规划。本研究的具体技术路线如图1.1所示。图1.1 本研究的技术路线1.4 研究内容与研究框架
本研究的研究内容主要包括:
第1章阐述本研究的研究背景、研究目的与意义。通过背景分析,明确IT控制能力与IT绩效的研究意义,并对研究内容,研究的技术路线进行说明。
第2章解释本研究理论基础选择的理由,并对企业内部控制理论、企业能力理论以及IT控制、IT控制能力与企业绩效等相关文献进行综述,指出当前研究不足,并对本研究的基本概念进行界定。
第3章提出IT控制能力概念并对其结构框架进行分析。首先界定IT控制概念,在此基础上提出IT控制能力概念,并对IT控制能力作用和特征进行分析。基于IT控制多个国际标准和国内外学者研究成果的比较分析,从系统观与过程观融合的角度对IT控制能力的构成进行分析,提出IT控制能力结构框架,并进一步剖析IT控制能力各构成要素。
第4章构建IT控制能力与企业绩效的关系模型。界定企业绩效内涵,详细分析IT控制能力各要素之间、IT控制能力与企业绩效之间、IT控制能力各要素与企业绩效之间以及IT控制能力与企业绩效各维度之间关系,提出相关假设,构建IT控制能力与企业绩效之间的关系模型。
第5章构建IT控制能力与企业绩效的测度模型。为实际验证IT控制能力结构的合理性和IT控制能力与企业绩效的关系模型,我们需要构建IT控制能力与企业绩效的测度模型。本研究在测度指标体系构建过程和构建原则指导下,以文献阅读为基础,以IT控制能力与企业绩效理论为指导,应用综合法、分析法和交叉法来初步构建IT控制能力与企业绩效测度模型,应用相关系数法、变异系数法对模型进行修正,并采用探索性因子分析、平均变异萃取量和克朗巴哈系数等方法对测度模型进行实证,最后对指标体系的含义及各个等级状态进行详细的解释说明。
第6章实证研究IT控制能力与企业绩效的关系模型。本研究利用结构方程模型方法对IT控制能力与企业绩效数据进行模拟、分析,探讨IT控制能力各要素、IT控制能力与企业绩效、IT控制能力要素与企业绩效、IT控制能力与企业绩效各个维度之间的关系。应用多元回归方法,对模型结论进行行业比较分析。
第7章主要总结和展望。对本研究的主要研究结论、创新点进行总结,并对中国企业IT控制能力的构建提出建议,最后讨论研究展望。
研究框架如图1.2所示。图1.2 研究框架第2章 相关研究综述与基本概念界定
企业能力理论和内部控制理论是IT控制能力的理论基础,本章对企业能力理论、内部控制理论以及IT控制相关研究进行归纳、梳理,分析和总结,指出现有研究的不足,并对本研究相关基本概念进行界定。2.1 理论基础的选择
从语法看,IT控制能力是一个偏正词组,中心词包括两个关键词汇,一个是控制,另一个是能力,控制是其核心,是我们的研究对象,能力是控制的研究角度,是控制在不同企业间异质性的表现。因此本研究的理论基础包括两个:企业能力理论和企业内部控制理论。2.1.1 企业能力理论的选择
Marios Damianides提出完善IT控制是形成企业竞争优势的一部分(Marios Damianides,2005)。企业在竞争中是否具有优势是决定企业成败的关键,对企业竞争优势的探究一直是战略管理领域的核心问题,它涉及企业为何有差异、企业应如何行动、企业如何管理等一系列管理问题。纵观该领域的研究文献,解释企业竞争优势来源的理论分为两大类:一类是以产业组织理论为代表的外生论,另一类是以企业能力学派为代表的内生论。外生论认为竞争优势是由企业的外部因素(市场结构、市场机会等)所决定的,决定了企业之间的差异化。内生论从企业内部寻求竞争优势来源。企业能力学派认为,能力是造成企业差别化的原因,主要强调人力资源的重要性,认为它是一种具有能动性的资源,可以将现有资源不断转化为企业独特的资源。
IT控制是信息时代企业日常经营管理的一部分,IT控制的运行过程就是绩效形成的过程,IT控制是促进公司积极演化的机制,是企业生态系统的控制链,是提高企业竞争力的基本保障(杨雄胜,2006;张宜霞,2007)。在萨班斯法案的强大压力下,我国企业将主要精力集中于追求完善IT控制制度,对它是否适合企业,是否与组织内其他的要素相匹配,是否同企业的核心能力相匹配等问题考虑不周,导致一些企业投入很多,收效却小显著。究其原因,是企业片面追求某个IT控制资源要素,没有认识到配置资源的能力才是企业间异质性的原因。IT控制能力的提出正是对企业IT控制过程中所有资源系统化、综合化的概念描述。可见,企业能力理论是研究企业IT控制的一个新的理论基础。2.1.2 企业内部控制理论的选择
信息时代的企业经营活动越来越多地依赖IT系统的自动化处理。自动化过程给企业带来效率的同时也带来控制风险,企业需要IT控制以取得IT风险与收益之间的平衡。美国公众公司会计监管委员会(PCAOB)在其发布的审计标准Ⅱ中特别强调,IT控制对于公司总体控制目标的实现具有广泛和深远的影响,IT控制能有力地支持整个内部控制环境,公司内部控制系统的有效性依赖于IT控制是否有效(PCAOB,2004),IT控制是企业内部控制的必要组成部分(孟秀转,2006)。因此,IT控制理论的发展必然以企业内部控制理论为基础。2.2 相关理论综述2.2.1 企业能力理论研究综述
企业能力理论是解释企业竞争优势来源的主要理论。自1984年 Wernerfelt发表《企业资源学说》开始,理论界对于现代企业能力理论的研究集中为两种相对独立又互为补充的观点。其一是资源基础观,也称为结构学派,以Penrose、Wernerfelt、Dierickx、Cool、Barney、Collins、Montgomery、Conner和Prahalad等为代表的学者将企业能力基础理论统一于企业资源基础理论之中,认为“企业是资源的集合体”,能力是企业的重要资源之一;或“资源”和“能力”两个术语基本上是对等的和可以互换的(Penrose,1959;Wernerfelt,1984;Dierickx and Cool,1989;Barney,1986,1991;Collins and Montgomery,1995;Conner and Prahalad,1996)。其二则是能力观,也称为过程学派。能力学派,将企业资源基础理论统一于企业能力理论框架内,认为企业是“能力(capability或competence)的集合体,资源是企业的重要能力之一”,强调建立和发展能产生竞争优势的资源组合的能力,又有核心能力、动态能力两个分支(Prahalad and Hamel,1990;Teece,Pisano and Shuen,1990;Grant,1991;Amit,1993;Foss,1993;Teece,1997)。
两派学者从不同角度对资源和能力进行了界定。
Wernerfelt认为企业是一系列资源和能力组成的资源束,其长期竞争优势来自于企业拥有并控制的以无法复制、难以交易为特征的特殊资源,包括实物资源、人力资源和组织资源(Wernerfelt,1984)。Barney将企业资源解释为企业所控制的,能提高企业自身运行效率和效益的所有资产、组织程序、企业品质、信息与知识(Barney,1991)。在资源基础学派看来,所有企业外部环境的变化都是同质的,所以长期竞争优势是那些“企业拥有并控制的无法复制、难以交易的特殊资源”(Wernerfelt,1984),只有那些具备有价值的、稀缺的、不可完全模仿和不可完全替代特征的“关键资源”才能创造持续竞争优势(Barney,1991)。企业之间存在着资源的位势差异,仿制者的认知、时间、经济劣势,会形成资源位势障碍,从而使资源位势差异存在下去(Wernerfelt,1984),资源的不可分割性是企业异质性的根源(Barney,1991)。
能力观学者Penrose认为,企业能力就是资源组配合起来完成某项任务或活动的才能(capacity)(Penrose,1959),并进一步提出资源是能力的来源,能力是导致资源产生竞争优势的根本手段,她将企业能力归于资源的最优配置和使用,它决定企业成长的方向和极限。Richardson 在其所著的《工业组织》一文中,使用“能力”(capabilities)来描述企业的积累知识、经验和技能,认为能力是企业活动的基础(Richardson,1972)。由于能力观缺乏对外界环境的关注,缺乏改变现状的动力,建立在这种能力观上的竞争优势注定是有限和短暂的。随后出现了以核心能力、动态能力和知识理论为基础的竞争优势理论。
企业能力理论发展流派众多,但基本可以理出这样一个发展脉络:首先是认为资源是企业竞争优势的来源,这是一种静态的企业能力理论,即使企业积累了大量有价值的资源,也不一定拥有持续竞争优势;其次认为能力是造成企业差别化的原因,主要强调人力资源的重要性,认为它是一种具有能动性的资源,可以将现有资源不断转化为企业独特的资源。企业核心能力理论(Core Competence Theory)认为决定企业优势的是企业各种资源、技术和技能的有机组合,不是单纯的企业资源,物质资源能够发挥作用的程度完全取决于使用它的人。但它面临动态复杂环境,存在“刚性”问题,因此出现强调组织学习能力的动态能力理论。
本研究倾向企业能力学派,并认为企业能力理论实际上是一系列具有特定密切联系的理论集合体,它涵盖了资源、核心能力、动态能力和知识等各种重要概念的能力学说。2.2.2 内部控制理论研究综述
1.内部控制的发展
从理论上讲,人类自从有了群体活动,就有了一定意义上的控制。远古时期对公共资金的管理就是一种控制。但真正意义的内部控制出现在20世纪40年代,是由审计师关注并推动发展的。Bower研究英国和北美地区发现,与审计爆炸,同时发生的是内部控制的升起(Bower,1997),内部控制已经成为公共政策讨论和关心的一个重要问题。
审计界公认的内部控制发展经历了以下几个阶段:内部牵制、内部控制制度、内部控制结构、内部控制整体框架和全面风险管理五个阶段,如表2.1。表2.1 企业内部控制发展历程
目前COSO框架被广泛接受,它认为内部控制由以下五部分组成。
第一,控制环境(control environment)。它包括组织人员的诚信、伦理价值和能力,管理层的哲学和经营模式,管理层分配权限和责任、组织、发展员工的方式,董事会的关注方向等。控制环境影响员工的管理意识,是其他部分的基础。第二,风险评估(risk assessment)。它是确认和分析目标实现过程中的相关风险,也是管理何种风险的依据。它随经济、行业、监管和经营条件而不断变化,需建立一套机制来辨认和处理相应的风险。第三,控制活动(control activities)。它是帮助执行管理指令的政策和程序。它贯穿整个组织、各种层次和职能,包括各种活动如批准、授权、证实、调整、经营绩效评价、资产保护和职责分离等。第四,信息与沟通(information and communication)。处理的信息包括内部生成的数据,也包括可用于经营决策的外部事件活动状况报告。所有人员都要理解自己在控制系统中所处的位置,以及相互的关系;必须认真履行控制赋予自己的职责,同时也必须同各利益相关方如客户、供货商、监管机构和股东进行有效的沟通。第五,监控(monitoring)。监控在经营过程中进行,通过对正常的管理和控制工作以及员工履职过程中的活动进行监控,来评价系统运行的质量。评价范围和步骤取决于风险评估和执行中的监控程序的有效性。对于内部控制缺陷要及时向上级报告,严重问题要报告到高层和董事会。
2004年,ERM框架在COSO框架基础上进行了扩展。一是扩展了内部控制目标的范围和深度,在COSO三个目标基础上,增加了内部控制的战略目标,同时将“财务报告的可靠性”发展为“报告的可靠性”。二是深化和拓展了内部控制的要素,在内部控制构成要素方面将五要素演变为八要素,包括内部环境、目标设定、事项识别、风险评估、风险反应、控制活动、信息与沟通、监控。三是ERM框架下管理者任务发生变化。在ERM 框架下,CEO必须识别目标和战略方案,并且将其分类为战略目标、经营目标、报告目标和合规性目标四类。每一个业务单元、分部、子公司的领导都需要识别各自的目标,且与企业的总体目标相联系。目标设定后,管理层就需要识别影响业务目标实现的风险,评估产生影响的风险高低,进而采取相应的控制措施,把风险降到可接受水平(ERM,2004)。
2.内部控制研究视角
Maijoor将内部控制的研究分为三类:一是审计学视角的内部控制研究,主要关心业务循环和交易层面,这类研究文献最多,代表人物主要有Ashton(Ashton,1974),Mock和Turner(Mock and Turner,1981),以及我国的吴水澎(吴水澎,2000)、朱荣恩(朱荣恩,2001)、阎达五和杨有红(阎达五,杨有红,2001)、方红星(方红星,2002)等。主要目的是防止组织内部的错误与舞弊,保证会计信息的可靠,从而为节约审计成本、提高审计效率提供制度保证。二是组织理论视角的内部控制研究,他们将控制看作是管理的一个职能领域,认为内部控制的核心目标是提高组织的经营效率和效果,实现组织战略目标(Merchant,1998;张先治,2004;谷祺,张湘洲,2003)。该观点认为,一个有效的内部控制系统不只局限于会计要素,还应包含观念控制、组织战略、组织结构、授权与分权、信息沟通、业绩评价、监督和激励等组织控制,同时也强调各种控制方式的结合。同时,内部控制伴随着组织组织的演进和环境(政治、经济、社会、技术等)的变化而发展。三是经济学视角的内部控制研究,主要研究外部投资者与企业内部管理者之间的关系,即公司内部治理机制(Power,1997,1998;刘明辉,2002;程新生,2003;杨雄胜,2005;张宜霞,2007;林钟高,郑军,2007)。
这些研究都是从一个侧面认识内部控制,单独任何一个视角都不是正确的内部控制描述,目前内部控制研究视角正走向融合,也应该走向融合(谢志华,2007)。未来内部控制应是一个能够统领各视角的、有更广阔视野、更大范围的内部控制,一个满足各视角需求的内部控制母体(张宜霞,2007),以组织学习为基础的“自控制”(张砚,2005;杨雄胜,2006)。2.3 企业IT控制研究综述2.3.1 企业IT控制的研究视角
IT控制是信息技术条件下企业内部控制的重要组成部分(Dellit,2002;Hamaker,2003;Machin,2003)。企业内部控制理论已经经历了一个漫长的发展时期,而对企业IT控制的研究才刚刚开始,IT控制与IT控制能力的相关研究还显得薄弱,无论是研究范围、数量,还是深度都有待于进一步发展。从现有的研究文献来看,研究者主要从IT审计、IT治理和管理层面来研究IT控制。
1.审计视角
在审计界,与IT相关的控制被称为信息系统控制,即对企业所有信息系统,包括财务的、合规的和经营的、大的和小的系统进行控制。可以分为以下两大类控制活动。
第一类是总体控制(general control),也称为总体计算机控制(general computer control),包括数据中心操作控制、系统软件获取和维护控制、访问安全控制以及应用系统开发和维护控制。第二类是应用控制(application control),它是指内嵌在业务流程中的各种控制。应用控制需要总体控制支持,二者结合起来确保系统中的财务和其他信息的完整性、正确性和有效性(Rob Webber,1999;胡克瑾,2002;孟秀转,2002;姚靠华,2002)。
审计范畴的IT控制主要关注于IT风险的最小化,主要以风险为导向,随着人们对IT风险的进一步加强,孙强认为以IT风险为导向势必影响识别IT可以为企业创造的战略竞争优势机遇,忽略IT的创新价值(孙强,2005),所以IT控制从以风险为导向转向为以IT价值为导向,出现了从IT治理层面上研究IT控制。
2.IT治理视角
IT治理诞生于20世纪90年代(Loh,1992;Henderson,1993),回顾当前国内外相关研究文献,明确提出IT治理的学者和机构有很多(Sambamurthy,2000;Korac-Kakabadse,2001;Hoffman,2004;Weill 2004;Brown,2005,Van Grembergen,2005;ITGI,2007;ITGov,2007)。尽管业界广泛认为IT治理直接影响企业绩效(Weill,P.and Broadbent,M.1998;Weill,P.2004),并认为好的IT治理的企业在投资回报率上要比差的企业投资回报率高20%(Ross and Weill,2004),但对于IT治理,许多学者还没有达成一致的认可。例如美国IT治理协会对IT治理给出了定义,它是“一种引导和控制企业各种关系和流程的结构,这种结构安排旨在通过平衡信息技术及其流程中的风险和收益,增加价值以实现企业目标”。IT的应用对于组织能否达到它的远景、使命、战略目标至关重要。IT治理可以使企业保持IT与业务目标一致,推动业务发展,促使收益最大化,合理利用IT资源,通过平衡IT风险与价值,确保实现企业的目标;Deloitte和 Touche咨询公司认为:IT治理是一个含义广泛的术语,包括信息系统、技术、通讯、商业、所有利益相关者、合法性和其他问题。其主要任务是保持IT与业务目标一致,推动业务发展,促使收益最大化,合理利用IT资源,管理IT相关风险;Weill和Ross认为IT治理就是在使用信息技术的过程中,确定决策权及责任框架,以鼓励所希望的行为产生的过程(Peter Weill and Jeanne Ross,2004);IT治理是指设计并实施信息化过程中各方利益最大化的制度安排,包括业务与信息化战略融合的机制、权责对等的责任担当框架和问责机制、资源配置的决策机制、组织保障机制、核心IT能力发展机制、绩效管理机制以及覆盖信息化全生命周期的风险管控机制。该制度安排的目的是实现组织的业务战略,促进管理创新,合理管控信息化过程的风险,建立信息化可持续发展的长效机制,最终实现IT商业价值(ITGov,2007)。IT治理正是有关IT决策的权、责、利的安排,它从企业整体利益出发构建IT系统,力求实现业务与信息的集成,这些不仅可使公司经营活动过程变得更透明,还可提高公司信息的质量,减少利益相关者之间的信息不对称问题,起到了驱动和支撑公司治理的作用(唐志豪等,2008)。IT治理是通过有效的IT控制、责任和义务、绩效管理和风险管理的开发和维护,保证IT和企业的战略协同,获取最大的企业价值(Phyl Webb,Carol Pollard and Gail Ridley,2006)。有关IT治理的看法主要有以下几种:IT治理作为一种管理体系或结构,强调控制的IT治理结构,强调协调的IT治理结构,关注持续能力的IT治理过程,连续的IT治理过程(高丽,2006)。
尽管目前IT治理定义具有多样性,但有几点是一致的:都反映了企业治理层对IT控制的要求,都关注治理结构和流程。这为我们研究IT控制的构成要素奠定了基础。
3.IT管理视角
从IT管理层面对IT控制的研究多分散在信息化管理的各个领域,主要集中在IT基础设施管理、项目管理、软件开发管理和信息安全管理。
IT基础设施管理:McKay 和Brockway于上世纪八十年代末首次提出IT基础设施概念,他们认为IT基础设施是为其他业务系统提供运作基础的、共享的IT能力,这些能力包括提供可靠服务所需的内部技术(设施、软件和网络)和管理经验,是一种难以效仿的企业资源(McKay and Brockway,1990)。Keen认为IT基础设施是一种主要的业务资源,它是企业获得持续竞争优势的重要手段之一(Keen,1991),Raman随后进一步指出IT基础设施同时也是企业竞争力的基本标志(Raman,1994),McKenny认为IT基础设施已经成为存在竞争关系的公司之间相互区分的基本手段之一(McKenny,1995)。Earl定义IT基础设施是一种技术基础,包括计算机、通信、数据以及基本的业务系统,他认为IT基础设施是引导组织实现业务和管理需求的技术框架(Earl,1989)。Davenport 和Linder认为IT技术基础设施是组织皆在共享的信息能力的一部分,他们一致认为技术IT基础设施是企业制度化的IT惯例,是构建企业活动和计算机应用所需要的坚实基础(Davenport and Linder,1994)。Peter Weill和Marianne Broadbent从IT基础设施不同层面开展研究,丰富了IT基础设施管理的理论依据,为企业实践奠定了坚实的基础(Weill and Broadbent,1992)。随着实践经验的积累,英国商务部发布IT基础设施架构库(Information Technology Infrastructure Library,简称ITIL),国际标准组织发布了ISO20000标准。一些学者基于这些最佳实践与标准提出了IT服务管理能力成熟度模型,如荷兰Vrije 大学IT 服务能力成熟度模型(The Vrije University IT Service Capability Maturity Model)(Viktor Clerc and Frank Niessink,2004)。
IT项目管理:IT项目管理中的失控一直就是官、产、学界关注的热点问题。目前项目管理领域有两个广为流行的知识体系:一个是英国商务办公室(OGC)开发的“受控环境下的项目管理”(PRINCE,Projects In Controlled Environments);另一个是美国项目管理协会(PMI)开发的“项目管理知识体系”(PMBOK,Project Management Body of Knowledge)(孙强,2004)。为提升企业项目管理能力,一些学者提出一系列的项目管理能力成熟度模型:Harold Kerznerer博士开发的K-PMMM模型,强调基本知识、流程定义、流程控制及流程改进的重要性(Harold Kerznerer,2002);Pennypacker 提出PMS-PMM加强了模型的可操作性(James S.Pennypacker,2003),Young Hoon Kwak 博士和William Ibbs博士从质量管理理论和实际应用中得到启发,提出了伯克利项目管理过程成熟度模型(Berkeley Project Management Process Maturity Model),简称(PM)2 模型(Young Hoon Kwak and William Ibbs,2002)。
软件开发管理:CMM(软件能力成熟度模型:Capability Maturity Model for Software)是美国卡内基梅隆大学的软件工程研究所(SEI:Software Engineering Institute)受美国国防部委托研究制定并在美国、随后在全世界推广实施的一种软件评估标准,主要用于软件开发过程和软件开发能力的评估和改进(刘孟仁,2001)。CMM把软件过程的成熟度由低到高分为五级,即初始级、可重复级、已定义级、已管理级和优化级。随着CMM等级的提高,逐步降低了软件开发风险,缩短了开发时间,降低了软件开发的人力物力成本,降低了灾难性的错误发生率,提高了软件产品的质量(姜永刚,2005)。
信息安全管理:1995年,英国贸工部根据英国国内企业对信息安全日益高涨的呼声,组织大企业的信息安全经理们制定了世界上首部信息安全管理体系标准:BS7799-1:1995《信息安全管理实施规则》,作为企业和政府组织实施信息安全管理的指南。1998年,英国又制定了第一部《信息安全管理体系认证标准》:BS7799-2:1998《信息安全管理体系规范》,作为对一个组织的全面或部分信息安全管理体系进行评审认证的依据标准。此后英国又进行了多次修订并提交给ISO,正式成为ISO27001和ISO27002国际标准。在符合萨班斯完善IT控制中被认为是最好的指南之一(美国管理会计师协会,2008)。
IT管理层面的研究尽管分布在不同的领域,但他们有几点共性特征:追求为企业持续有效提供IT服务的管理目标;各领域的管理措施基本上都包括流程、人力资源、责权分配等内容,强调人、技术和流程融合在管理中的重要性;并且各研究领域的IT管理都有能力成熟度评价,遵循戴明PDCA循环,强调持续改进工作的重要性。这对我们构建IT控制系统,定义和评价IT控制能力具有很好的借鉴意义。2.3.2 企业IT控制实践框架
在实践领域,许多著名的国际组织或机构发布许多与IT控制有关的最佳实践和标准。主要有运维领域的ITIL、软件开发领域的CMMI、项目管理领域的PRINCE2、安全领域的ISO27001和 ISO27002等,以及IT控制、IT治理领域的COBIT、ISO/IEC 38500和eSAC 等,本节主要阐述COBIT框架和eSAC信息系统控制模型、ISO/IEC 38500等内容。
1.COBIT
COBIT全名是Control Objectives for Information and related Technology,即信息及相关技术控制目标,由信息系统审计与控制协会(Information System Audit and Control Association,ISACA)的IT治理研究院(IT Governance Institute,缩写为ITGI)开发并推广,为IT的治理、安全与控制提供了一个一般适用的公认标准,以辅助管理层开展IT治理工作。COBIT已在全世界一百多个国家的重要组织与企业中运用,指导这些组织有效利用信息资源、管理与信息相关的风险(胡克瑾,孟秀转,2002;陈婉玲,袁若宾,2006;郭顺利,杨小虎,2005)。同时,COBIT也被认为是可应用于审计的IT控制框架(Brad Tuttle and Scott D.Vandervelde,2007)。COBIT的三维体系,对COBIT的主要概念,如信息资源、信息准则以及COBIT的核心内容——34个IT流程(PROCESS)的高层控制目标,进行了完整的定义和描述,如图2.1所示。
在COBIT中,企业对信息的需求用有效性、效率性、机密性、完整性、可用性、一致性、可靠性等七个准则来描述;IT资源维包括人员、应用系统、基础设施和信息四类;IT流程维是对信息及相关资源进行规划与处理的一系列活动,依据信息系统生命周期角度划分为规划和组织、获得和实施、交付和支持、监控和评估四个域,并细化为34个IT流程(ITGI,2007)。图2.1 COBIT三维框架
2.eSAC
1977年,内部审计协会(IIA)发布了名为《系统可审计性与控制》(Systems Assurance and Control,SAC)的报告,简称SAC报告,它专注于信息技术的业务维度以及计划、实施、自动化应用相关的风险,强调管理层在识别、理解和评估组织内信息技术相关领域风险的责任,以及监督和控制组织对信息技术运用的责任,旨在“对信息系统与技术的审计和控制提供一个合理的指导”。SAC报告将内部控制系统定义为一些过程、功能、活动、子系统、程序和对人力资源的组织,这些因素能够对组织目标的实现提供合理保证,并确保将风险降到可接受的水平。
2001年,IIA发布了一个更为现代化的信息系统控制模型,称之为“电子系统保证与控制模型”(Electronic Systems Assurance and Control,eSAC),其模型结构如图2.2所示(IIA,2001)。eSAC报告定义内部控制系统有3个组成部分:控制环境、人工和自动系统、控制程序。控制环境包括组织结构、控制框架、政策和程序、外部影响等。自动系统包括系统和应用程序软件。eSAC报告讨论了与终端用户和部门系统相联系的控制风险,但是没有描述也没有界定人工系统。报告强调了基于计算机的信息系统对内部控制系统的作用和冲击,还突出了评估风险、权衡成本和利益,把控制融入系统而不是在实施后再进行控制等的必要性(赵红梅,2006)。图2.2 eSAC框架图
3.ISO/IEC 38500
ISO/IEC 38500:信息技术的组织治理(corporate governance of information technology),以下称IT治理,是2008年国际标准化组织ISO和IEC(国际电工委员会)发行的第一个世界性的IT治理标准,该标准帮助组织高层管理者理解并履行他们对于其组织IT使用的既定职责,实现IT治理的有效性、可用性及效率。
ISO38500核心内容是IT治理的六项原则及IT治理模型。IT治理的六项原则包括职责分工、IT支持组织发展、可获得性、可用性、合规性、以人为本,这些原则阐述指导决策的推荐行为。每个原则描述应该采取什么措施,但不说明如何、何时及由谁来实施这些原则,这些方面依赖于组织实施这些原则的特点。领导者应该依赖于这些适用原则。IT治理模型,如图2.3所示,其三个主要内容如下:图2.3 IT组织的治理模型
评估:领导层者应该检查和评判当前和将来的IT应用,包括策略、建议和供给安排(不管是内部、外部,还是两者都有)。在评估IT应用时,领导层应该考虑业务的内外部压力,如技术变更、经济和社会发展以及政治等方面的影响。领导层还应考虑当前和将来的业务需求、组织必须达到的目标以及战略或意图的特定目标等;
指导:领导层应履行指导制定计划和方针并指导实施的职责。计划应该设定IT建设项目和IT持续运营的投资方向,方针应明确期望的IT应用行为。领导层应确保“建设转运维”的过程置于有效的管控之下,且充分考虑对现有业务、IT基础设施、应用系统及操作习惯的影响。领导层应以符合组织的指导及良好治理的六项原则,来要求管理人员提供及时的信息,鼓励组织内善治的IT治理文化
监控:领导层应依据科学的监视体系评价IT的绩效,同时,鉴证IT合规过程。确保IT满足合规要求(法律、法规以及合同)和内部实际工作的需求。
上述模型从不同角度界定了IT控制和IT控制要素,为我们定义IT控制提供了借鉴,如表2.2所示。表2.2 内部控制模型比较资料来源:根据ISACA网站www.isaca.org/bkr.cbt3.htm资料整理。2.4 IT控制能力与企业绩效关系研究综述2.4.1 IT控制能力评价研究
IT控制能力是衡量企业IT控制水平的重要指标。Liu,Q 与 Ridley从IT流程角度对澳大利亚公共部门IT控制进行了评价(Liu,Q and Ridley,G,2005);孙强从绩效角度对广州市政府信息化部门IT管理控制进行了评价(孙强,2007);中国网通集团构建了其企业信息化管理控制体系(屈玉阁,孙强,2005),用成熟度模型监控评价网通IT控制水平;Debreceny利用成熟度模型对IT控制能力进行研究(Debreceny,2006);高丽从结构能力、协调能力、关系能力来评价IT治理能力(高丽,2006);郑媄尹从COSO框架的五个构成要素:控制环境、风险评估、控制活动、信息与沟通和监控角度评价IT控制能力(郑媄尹,2007);Mrten Simonsson and Pontus Johnson从活动执行、职责分配、文档和监控四个方面进行IT 控制能力评价(Mrten Simonsson and Pontus Johnson,2008)。目前,关于IT控制能力评价指标体系还比较零散,指标之间的关系也不清晰,未能形成一套有理论基础的、系统的且有实证检验的指标体系,但这些探索,为本研究确定IT控制能力测度模型提供了有益参考。2.4.2 IT控制能力与企业绩效关系研究
IT控制能力与企业绩效关系的研究,目前大多数是从IT治理和IT管理两个层面展开的。Haes和Grembergen通过个案访谈研究了IT过程、IT结构和关系与IT治理绩效之间的关系,研究结论是重视IT治理、有较成熟的结构、流程和关系机制将获得较高的业务与IT战略融合(Haes and Grembergen,2006)。Lee等学者通过对110个企业的研究,认为EDI控制和企业的组织方式、职业化、分散化、IT复杂性、IT的角色、合作伙伴的信任度等企业环境有很大的关系。Beimborn等学者构建了高层领导的支持、IT治理工具的使用、战略协同、运行协同和流程绩效之间的关系,得出运行协同提升流程绩效、业务和IT战略融合提升运行协同、协同治理工具的使用由战略协同驱动、高层支持影响战略协同、治理机制的正确使用由高层领导驱动、高层领导支持提高运行协同等观点(Beimborn,Schlosser and Weitzel,2009)。Bowen等学者通过研究认为业务目标和IT目标的融合、IT委员会的设立、IT战略和政策的沟通和理解影响IT治理的绩效,IT治理对项目成功和企业价值也有很大的影响(Bowen,Cheung and Rohde,2007)。Li等学者认为企业可以通过有经验的高级管理者、CIO的胜任能力、独立的委员会等因素减少IT实质性错误,有经验的IT审计人员部分支持可以减少IT实质性错误(Chan Li,Jee-Hae Lim and Qian Wang,2007)提高企业绩效。
上述研究表明,增强IT控制能力需要有一套规范的流程,并且人员要有明确的责任和义务,这些责任和义务不能冲突,IT控制与企业的文化、信息环境等要素是紧密联系的,并且控制过程是受环境需求变化而变化,是动态的控制过程。2.5 现有研究的不足
虽然内部控制、IT控制和企业绩效关系的研究取得了一些进展,但仍存在不足,主要包括以下四个方面:
1)内部控制研究方面。(1)存在内部控制定位片面现象。内部控制在企业中如何定位、企业是否有必要建设内部控制等问题是企业当前研究和建设内部控制必须明确的问题。无论是认为内控控制是管理职能之一,是确保企业目标实现的内部控制系统,还是将内部控制作为企业内部处理信息的一个环节,被视为确保企业内部信息处理通畅和准确的系统,目的是确保财务信息披露的真实性和对现有法律法规的遵循,这两种内部控制的认识都是片面的。一个组织建立内部控制除了查错防弊、合法合规外,更主要的应该是为了自我控制以实现可持续发展。(2)目前内部控制概念缺少系统思想。按照控制原理,控制是应该是一个系统。如图2.4所示。目前无论是我国《企业内部控制基本规范》、美国的COSO框架还是AICPA的内部控制概念,都强调控制方法、程序、政策等这些控制措施,对系统控制中的控制主体、控制受体,以及控制主体、控制受体、控制措施的内在关系没有给予足够重视,甚至是被忽略了。这样的内部控制,其控制功能会大打折扣,甚至无效。虽然,COSO内部控制概念强调了人员方面的作用,确立了三大目标,并在控制要素中加入了风险评估、监控等要素,使目标与要素之间联系更加密切,体现了一定的系统控制思想,但控制要素与控制过程混杂在一起,逻辑关系混乱(赵杰,郑石桥,2008)。图2.4 控制基本原理(3)注重体内循环,忽视体外循环,即动态环境研究的忽视。可以肯定的是,内部控制研究绝不应忽略动荡商业环境的作用,动荡的商业环境本身对组织绩效有着明显的影响,内部控制在企业实践中要充分发挥效能,需要内外部环境紧密结合,固步自封会使原本有效的控制失效。
2)对IT控制研究更多集中在COBIT等国际最佳实践的应用和比较上。Gail Ridley将IT控制研究分为两类,一类是学术类,另一类是实践类,结果发现93%的文献都是实践类(Gail Ridley,2004),这些研究大都集中在IT控制国际最佳实践的比较和应用(Jimmy Heschl,2004;Brad Tuttle and Scott D.Vandervelde,2007,Michael Shaw,2007;Gerry H.Grant,2008)。
对IT控制还缺乏理论上的剖析,IT控制概念界定还不够全面,对IT控制的内涵、外延和影响因素等缺少剖析。
3)当前研究主要关注IT控制要素对企业绩效的影响,忽视IT控制作为要素整合能力与企业绩效关系的研究,并且国内外关于IT控制能力维度的研究视角不一,且维度划分并没有统一的标准,因此研究结论缺乏一般性和推广价值。
4)现有研究对IT控制能力的测度指标尚无共识,测度指标体系仍需完善和验证。由于目前关于IT控制的概念认识、关于IT控制能力的构成要素的认识都不深入,因此尚未见到有完整的测度指标对IT控制能力及其构成要素的进行描述说明。
在以往研究成果基础上,本研究将展开相关的研究:首先要明确内部控制是什么,包括哪些要素;然后界定IT控制的内涵和外延,在此基础上,从企业能力视角提出IT控制能力概念,并分析其构成要素,以及对企业绩效的作用。
通过一系列的规范分析,本研究将提出IT控制能力各要素、IT控制能力和企业绩效、IT控制能力要素对企业绩效、IT控制能力对企业绩效各维度之间的关系假设,并将通过实证研究来验证和完善理论设想,以期IT控制能力等理论研究和企业实践做出一点贡献。2.6 本研究基本概念的界定
IT控制能力的研究是一个全新的领域,对IT控制能力的研究只能以企业能力理论文献和企业IT控制理论为基础进行分析。因此,在进行IT控制能力研究前,企业能力和企业内部控制这连个基本概念是很有必要的,这样不仅能够避免概念模糊造成理解上的偏差,而且也为科学地界定IT控制能力的内涵提供前提和基础。2.6.1 企业能力概念界定
能力概念是企业能力理论的基石,也是企业进行能力管理的前提。
企业能力是一个非常复杂、难以捉摸的概念。国内外学者和企业家从不同的角度、根据各自的研究目的,对企业能力进行了种种定义,可谓仁者见仁,智者见智,但是对企业能力尚无明确统一的定义。Selznick最早提出“特异能力”的概念,他认为,能够使一个组织比其他组织做得更好的特殊物质就是企业的特异能力(Selznick,1957)。Pennose认为能力更多与资源的服务有关,以一种流量的形式体现在活动中(Pennose,1959)。Richardson认为企业能力是企业拥有的知识、技能和经验(Richardson,1972)。Grant认为能力是将资源结合起来用于执行一定的任务或者活动的能力,在本质上是例程(Grant,1991)。Amit认为能力指的是企业利用资源以有效地达到所需要的结果的能力,是企业资源之间通过长期复杂的相互作用发展而来的企业独特的基于信息的、有形或者无形的流程,可以抽象地看作是企业产生的、用以提高其资源的生产率、战略灵活性和保护其最终产品或服务的“中间产品”(Amit and Paul,1993);Collis认为,组织能力是企业投入产出过程中对资产、人事、组织程序等的复杂组合(Collis,1994)。
Drejer提出了能力的界定的标准:既要包括能力的功能,又要明确能力的内部结构和构成,这样才是对能力的完整理解,才能将能力的界定落实到具体的层面。因此,他将能力定义为:由技术、人员、组织和文化构成的系统,创造能为组织带来竞争优势的产出(Drejer,1999,2001)。
基于以上分析,本研究将能力定义如下:能力是由各种资源构成的具有特定功能的系统,该系统利用资源从事某些任务或活动以实现预期目标,从而为组织创造竞争优势。
这种界定的特点在于将能力看作是由资源组成的系统,首先,区分了资源与能力,揭示了资源和能力之间的关系,能力以资源为基础,但又高于资源。其次,避免了陷入能力的“同义反复”定义。Amit认为能力是“企业利用资源以有效地达到所需要的结果的能力”(Amit and Paul,1993),这种同义反复定义违反语义学定义规则,也不利于分析能力的构成和相互作用演化的机理,使企业能力建设缺乏明确可视的落脚点。最后,这一界定明确能力的功能就是利用资源从事某些任务或活动以实现预期目标,从而为组织创造竞争优势。不同的预期目标要求能力系统具备不同的功能,这将指导企业根据不同战略进行能力功能规划,在能力建设时对能力的资源构成进行系统性考虑。2.6.2 企业内部控制概念界定
企业IT控制是企业内部控制的重要组成部分,定义企业IT控制必然以内部控制概念为基础。
1.本研究企业内部控制定义的原则
鉴于文献综述中现有内部控制定义存在的问题,本研究确定企业内部控制定义的原则如下:
1)系统性原则。现代的控制论认为,控制是一个有组织的系统根据内外部的各种变化进行调整,不断克服系统的不确定性,使系统保持某种特定的状态,是控制主体对控制受体的一种能动作用,这种作用能够使控制受体根据控制主体的预定目标而动作,并最终达到这一目标。根据控制理论,要实现一种控制作用,相对于种环境,控制主体、控制受体、作用的传递机制(控制措施)只有组成一个有机整体,即组成一个系统,才能具有控制功能和行为。因此控制系统应该包括控制主体和控制受体,而不仅仅是控制措施,否则控制功能就会大打折扣,甚至无效。
2)全面性原则。内部控制定义应该跳出审计的局限,满足组织结构中不同层次的主体的要求,控制目标也应不仅包括财务报告可靠性目标、合法合规,内部控制系统作用不仅有“制”,更应以为企业创造价值为导向,引导内部控制受体朝着经济效率效果目标和企业战略目标努力。从长远看,内部控制的终极目标是永葆竞争力,使企业成为“长寿公司”。
3)动态性原则。目前企业内部控制的五要素和八要素定义,是一种内部控制的横向解剖,是从一个静态的角度来看一种结果。系统控制论认为,控制是一个动态过程,它存在于开放式系统之中,一切能够相互联系、构成整体的事物都存在这种过程。
斯科特将内部控制系统的发展划分为四个阶段:① 封闭、理性系统阶段。这一阶段的控制模式往往是不考虑企业内外部控制环境的变化,将内部控制目标明确化、定量化,管理者在控制系统中处于执行的地位。② 封闭、自然系统阶段。这一阶段的控制模式虽然也不考虑企业内外部控制环境的变化,但其内部控制目标是不确定的,管理者可确定并调整目标。③ 开放、理性系统阶段。这一阶段的控制模式往往考虑企业内外部控制环境的变化,但其内部控制目标明确化、定量化,管理者不能随意调整控制目标。④ 开放、自然系统阶段。这一阶段的控制模式往往考虑企业内外部控制环境的变化,同时其内部控制目标也由管理者根据控制环境的变化进行调整。企业内部控制系统它是一个与环境相互适应、相互演化的开放系统,其最终的目标是促进企业的成功。
4)合法性原则。由于内部控制影响到国家投资市场的稳定,各国监管机构纷纷出台内部控制指引等文件,定义内部控制概念。如我国2008年出台的《企业内部控制基本规范》(财会〔2008〕7号),和2010年4月出台的《企业内部控制配套指引》,要求自2011年1月1日起在境内外同时上市的公司施行,自2012年1月1日起在上海证券交易所、深圳证券交易所主板上市公司施行。因此为使本研究的研究不脱离实际,可以被企业接受,本研究的内部控制定义在考虑前面三项原则基础上,尽量符合国家法律法规的规定的内部控制框架。
2.企业内部控制界定
从系统观与过程观融合的视角,本研究将内部控制定义为:为实现企业目标而建立的,由内部环境、控制主体与控制受体、控制目标、控制措施、监控活动和信息沟通等六个要素构成,具有控制功能的开放系统。控制功能通过目标确定、风险识别与评估、控制措施和监控过程实现。这种定义既反映了控制要素构成的横切面,又反映了纵向的控制流程,可以防止企业内部控制建设“要素化”,引导企业从纵向系统地分析企业内部控制各层次之间相互作用、相互制约的关系,更容易找到内部控制失效的根本原因。
1)内部环境。内部环境是内部控制系统的一个重要要素,是其他内部控制要素得以发挥作用的重要前提,离开了良好的公司内部控制环境,内部控制其他构成要素作用的发挥将受到限制,公司的经营效率和效果、经营目标、资产的安全与完整、会计信息的真实可靠以及相关法律制度的遵循等内部控制目标也难以实现(郑海英,2004)。各种内部控制框架理论也都指出控制环境是内部控制系统的基础。COSO报告认为“控制环境构成了其他内部控制要素的基础,它是反映董事会、最高管理当局和企业所有者对内部控制及其重要性的整体态度的控制政策、措施和行为。控制环境是一种基础性的氛围,它能起到增强或弱化企业各种方针政策的作用,直接影响其他内部控制要素。”《企业内部控制基本规范》明确指出内部环境是企业实施内部控制的基础。可以看出,控制环境营造的成功与否将直接影响到企业内部控制的贯彻执行及企业内部控制目标的实现,同时也决定着其他控制要素能否发挥作用,是内部控制其他要素起作用的基础。
2)控制主体与控制受体。控制主体是控制行为的实施者,控制受体是被控制者及其所实施的具体经济业务活动,最终集中为人。企
试读结束[说明:试读内容隐藏了图片]