返回
基于层级结构的企业IT控制系统评价体系构建

基于层级结构的企业IT控制系统评价体系构建

ID:38207289

大小:332.85 KB

页数:6页

时间:2019-06-01

基于层级结构的企业IT控制系统评价体系构建_第1页
基于层级结构的企业IT控制系统评价体系构建_第2页
基于层级结构的企业IT控制系统评价体系构建_第3页
基于层级结构的企业IT控制系统评价体系构建_第4页
基于层级结构的企业IT控制系统评价体系构建_第5页
资源描述:

《基于层级结构的企业IT控制系统评价体系构建》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、万方数据基于层级结构的企业IT控制系统评价体系构建‘胡晓明(南京财经大学会计学院2l0046江苏大学财经学院212013)【摘要】rr控制是适用于所有rr服务活动的控制过程,是一个自上而下、目标驱动的结构。本文将rr控制分为治理层、管理层和业务层等三个层级,基于层级结构、风险分解构建rr控制评价体系。评价过程包括业务屡评价和企业屡评价两大两部分,从低层级的rr流程到高层级的战略目标,逐级逐层遮代评价。【关键词】rI.控制层级结构系统评价企业信息系统的复杂度越高、业务对rr的依赖性越强,I,I'资源(系统应用、信息、基础设施和人员)带来的风险也就越大。在IT治理的混沌时期,我

2、国企业还不同程度的存在着rII风险管理缺失问题,业界对IT风险的识别、分析和控制还处于摸索阶段,系统评价多以事后、静态为主,且控制过程不具有可审计性(周常兰、陈宝峰。2009)。在现阶段,开展rI.控制系统评价研究,构建rI.控制系统评价体系,对于完善我国企业rI'控制架构、防范I『I.风险、实现发展战略具有重要的理论价值与现实指导意义。一、rr控制的层级结构及评价体系(一)rI.控制的层级结构rr控制是适用于所有rI.服务活动的风险管理过程,是一个自上而下、目标驱动的结构。其一般框架包涵rr治理、I-r管理与技术以及rr作业流程等相关内容(Hady,2006)。由此,rI

3、'控制可分为治理层、管理层和业务层等三个对应层级,其中治理层是IT控制的基础,旨在实现战略目标,主要解决如何保障rI'价值、管理I-I'相关风险、增强对信息的控制等问题;管理层面向可理解的执行活动,与现有系统应用实施状况相关联,突出技术控制,旨在实现rI.目标,主要关注程序开发与变更、计算机操作流程、数据访问以及相应的信息与沟通等属于rI'一般控制④范畴的内容;业务层则立足于企业日常交易业务,强调操作控制。旨在实现流程目标,重点关注IT流程及活动的完整性、准确性、有效性控制及授权与职务划分等属于rI’应用控制②范畴的内容。(M耐osD锄iaid镐,2005;胡晓明,2009

4、)在该结构中战略目标位于顶层,决定着其他两层级的目标集合,构成从企业战略到rr实践的过程。目标和风险始终贯穿于整个rr控制各层级,战略风险分解为若干经营风险,经营风险再分解为若干流程风险,通过对风险级别分解,逐步实现控制目标;系统评价则是基于I-I'流程评价、由单项(业务层)评价到综合(企业层)评价、白下而上层层迭代的过程。(参见图1)·本文得到“江苏高校优势学科建设工程资助项目。的支持。①丌一般控制是指运用于rr管理和技术、与基础设施相关的控制。⑦rr应用控制是指运用于n’作业流程、与日常交易活动相关的控制。44万方数据鬯等3拶户、/rr\管理层:—般控制\目标/程序开发

5、与变更评摊、风计算机操作流程价险数据访问等迭蹬级代别户、\(蘸)业务层:应用控制腻完整性准确性右自}性坊翻l图l层级结构与n’控制(二)IrI’控制系统评价思路借鉴目前国内外企业IT控制系统评价的良好实践,针对企业的技术风险,将评价过程划分业务层评价和企业层评价两大两部分(韩传模、汪士果,2009),该思路是基于协调而非执行,采用评价迭代.对战略目标、IT目标、rI.领域和rI'流程逐层分解、自下而上进行评价、分析,为IT控制构建多层级的系统评价体系;将企业信息系统划分为系统运行、系统环境、环境支持、系统开发和系统审计等五大rI'领域,并运用一定方法构成“领域”一“流程”一

6、“活动”的过程集(IrI'GI,200r7),该过程集由业务需求引领,以流程为控制基础,并覆盖关键控制活动。业务层评价模型是基于IrII应用过程,利用流程分解,确定风险级别以及相应的IrI’控制水平,对IrI’流程控制有效性及其相关风险进行评价,实现风险信息互通。是整个风险导向层级评价体系的基础,包括IT流程评价和IT领域评价两个阶段;企业层评价模型是通过权重衡量,确定企业IT目标和战略目标的风险等级(水平),实现战略目标到IT目标的转换,具体包括rII目标评价和战略目标评价两个阶段。(参见图2)(三)IT控制系统评价方法不同的评价方法对评价结果产生的影响不同。为克服单指标

7、影响的片面性,目前国内外理论与实践中对控制系统的评价主要采用多指标综合评价方法。但仍存在一些不足,如偏重于静态评价:有些模型(如c0Brr等),未涉及各指标的权重衡量,即假设所有的指标都一样重要,不符合客观实际。根据权重确认条件的不同,可以将rI'控制风险评价方法分为三类:第一类是主观赋权法,由决策者根据自己的检验及对各属性的重视程度进行的赋权,属于基于综合咨询评分的定性方法,如德尔斐法、层次分析法、比较矩阵法、证据推理法、环比评分法和模糊综合评价法等,一般在不可计量条件下采用;第二类是客观赋权法,是利用客观信息(

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。