信息系統(tǒng)內(nèi)部控制框架探索

[摘 要] 當(dāng)前信息系統(tǒng)內(nèi)部控制缺乏系統(tǒng)性，對(duì)信息系統(tǒng)戰(zhàn)略規(guī)劃等方面的風(fēng)險(xiǎn)也缺乏可操作的控制方法。本文依據(jù)系統(tǒng)控制理論，在風(fēng)險(xiǎn)導(dǎo)向控制的原則下，按照目標(biāo)驅(qū)動(dòng)的逆向操作方法，構(gòu)建信息系統(tǒng)內(nèi)部控制框架。該框架涵蓋了與信息系統(tǒng)相關(guān)的多層級(jí)的控制目標(biāo)和控制要素，通過對(duì)內(nèi)部控制目標(biāo)自上而下的過程分解和自下而上的控制評(píng)價(jià)，實(shí)現(xiàn)從內(nèi)部控制的總體評(píng)價(jià)到具體信息系統(tǒng)控制過程風(fēng)險(xiǎn)評(píng)價(jià)的轉(zhuǎn)換，并在系統(tǒng)管理中實(shí)現(xiàn)控制、評(píng)價(jià)、糾偏、控制的完整循環(huán)，保證內(nèi)部控制的系統(tǒng)性和內(nèi)部控制評(píng)價(jià)的可操作性。

[關(guān)鍵詞] 層級(jí)框架;目標(biāo)驅(qū)動(dòng);層級(jí)控制;過程分解;控制評(píng)價(jià)

doi : 10 . 3969 / j . issn . 1673 - 0194 . 2010 . 04 . 017

[中圖分類號(hào)]F239.1 [文獻(xiàn)標(biāo)識(shí)碼]A [文章編號(hào)]1673 - 0194(2010)04 - 0047 - 04

一、信息系統(tǒng)內(nèi)部控制研究范圍和內(nèi)涵

信息系統(tǒng)的研究內(nèi)容主要涉及信息系統(tǒng)治理(IT治理)、IS審計(jì)和IS內(nèi)部控制(ISIC)。本文將屬于IT治理和IS審計(jì)的內(nèi)容，IT監(jiān)管納入IS內(nèi)部控制之中。在擬定的框架下， ISIC主要包括風(fēng)險(xiǎn)識(shí)別、評(píng)價(jià)與監(jiān)管3個(gè)方面的內(nèi)容，在ISIC中，風(fēng)險(xiǎn)是控制的主要對(duì)象，評(píng)價(jià)是控制的主要依據(jù)，監(jiān)管/審計(jì)是控制的主要措施，三者之間緊密相連、相互作用，共同構(gòu)成一個(gè)完整的內(nèi)部控制過程。然而在不同的內(nèi)部控制層次上，這些過程具有不同的目標(biāo)，因而圍繞評(píng)價(jià)進(jìn)行的控制活動(dòng)需要服務(wù)于企業(yè)的總體目標(biāo)，即ISIC以治理層制定的目標(biāo)為導(dǎo)向，在相關(guān)組織、信息資源和過程驅(qū)動(dòng)的基礎(chǔ)上，研究IS流程的各個(gè)階段風(fēng)險(xiǎn)影響要素;通過識(shí)別、解析這些風(fēng)險(xiǎn)要素，建立風(fēng)險(xiǎn)與控制目標(biāo)要素的映射關(guān)系;再依照IS相關(guān)交易和實(shí)施過程，進(jìn)行螺旋式自下而上的評(píng)價(jià)，基于評(píng)價(jià)結(jié)果確定適宜的控制措施;最后，對(duì)風(fēng)險(xiǎn)的關(guān)鍵點(diǎn)進(jìn)行控制和監(jiān)控，進(jìn)而優(yōu)化IS整體的內(nèi)部控制水平。從以上的過程來看，評(píng)估活動(dòng)涉及內(nèi)部控制過程的各個(gè)階段，ISIC離不開組織資源、信息資源和管理決策流程的持續(xù)支持，而且ISIC的評(píng)價(jià)就建立在這三者的基礎(chǔ)之上。

二、信息系統(tǒng)內(nèi)部控制框架

根據(jù)系統(tǒng)論，具體來說，內(nèi)部控制的一般框架由3個(gè)相關(guān)的要素:IS治理模式、IS管理與技術(shù)和IS支持的作業(yè)流程構(gòu)成。在外部環(huán)境作用下，各要素圍繞內(nèi)部控制及評(píng)價(jià)模型相互影響，相互作用。其中治理模式主要考慮IS風(fēng)險(xiǎn)政策、應(yīng)用IS的本質(zhì)、競爭者和監(jiān)管者的行為以及戰(zhàn)略資源的分配等問題，屬于治理層次。而組織管理與技術(shù)則是面向可理解的執(zhí)行活動(dòng)，它主要關(guān)注IS的功能管理和價(jià)值鏈管理及相應(yīng)的信息交流與溝通等方面。作業(yè)流程主要指如何跟蹤、優(yōu)化、實(shí)施和維護(hù)更新等支持的業(yè)務(wù)流程活動(dòng)，它同具體業(yè)務(wù)密不可分，是日常持續(xù)發(fā)生的，業(yè)務(wù)所必需的。

(一) 信息內(nèi)部控制的框架結(jié)構(gòu)

1 . 信息系統(tǒng)內(nèi)部控制過程的總體框架

根據(jù)對(duì)企業(yè)信息系統(tǒng)治理和框架要素的分析，可以確定內(nèi)部控制過程的總體框架，即:設(shè)定標(biāo)準(zhǔn)和目標(biāo)→過程控制→控制評(píng)價(jià)→報(bào)告控制結(jié)果。內(nèi)控需要考慮以下3個(gè)層面:企業(yè)層面、業(yè)務(wù)流程層面和IS控制層面，這3個(gè)層面通過控制目標(biāo)和控制標(biāo)準(zhǔn)緊密結(jié)合在一起。因而，設(shè)定合理的控制目標(biāo)和控制標(biāo)準(zhǔn)成為lS內(nèi)控的首要環(huán)節(jié)，它不僅影響IS控制過程的質(zhì)量，還影響IS決策的結(jié)果。在目標(biāo)和標(biāo)準(zhǔn)設(shè)定完成之后，框架的重要部分是lS的過程控制和評(píng)價(jià)，“評(píng)價(jià)→糾偏→控制→評(píng)價(jià)→糾偏”的循環(huán)構(gòu)成了IS風(fēng)險(xiǎn)控制不斷優(yōu)化完善的過程。過程控制主要分析系統(tǒng)涉及的IT活動(dòng)和業(yè)務(wù)活動(dòng)，并對(duì)過程進(jìn)行分解，針對(duì)這些活動(dòng)的IS過程控制(一般控制和應(yīng)用控制)質(zhì)量，很大程度上決定著業(yè)務(wù)流程控制質(zhì)量，并進(jìn)而影響財(cái)務(wù)信息的質(zhì)量和有效性。控制評(píng)價(jià)主要分為3個(gè)方面:過程評(píng)價(jià)、風(fēng)險(xiǎn)評(píng)價(jià)和評(píng)價(jià)結(jié)果分析。其中，評(píng)價(jià)結(jié)果分析主要是查看評(píng)價(jià)過程控制措施是否恰當(dāng)和評(píng)價(jià)控制目標(biāo)執(zhí)行是否有效(即控制目標(biāo)是否能夠?qū)崿F(xiàn))，如果對(duì)過程控制和風(fēng)險(xiǎn)控制評(píng)價(jià)的結(jié)果有偏差，就繼續(xù)“評(píng)價(jià)、糾偏和控制”的循環(huán)過程;一旦目標(biāo)獲得實(shí)現(xiàn)，就可以進(jìn)行新的內(nèi)控循環(huán)。

2.IS內(nèi)部控制的層級(jí)框架

一般來講，IS具有多級(jí)管理，涉及組織結(jié)構(gòu)的決策層、管理層、作業(yè)層等各個(gè)層級(jí)。相應(yīng)的ISIC框架，則是由治理層、管理與技術(shù)層和作業(yè)流程層形成的3層結(jié)構(gòu)，是一個(gè)基于層次的、自上而下的、面向內(nèi)部監(jiān)管的框架。

從實(shí)際控制過程來看，治理層的控制活動(dòng)主要是保證良好的治理結(jié)構(gòu)，如獨(dú)立的監(jiān)控委員會(huì)、高質(zhì)量的內(nèi)部審計(jì)活動(dòng)等。管理與技術(shù)層則涉及將IT應(yīng)用的全生命周期中業(yè)務(wù)運(yùn)營過程及其伴隨的風(fēng)險(xiǎn)，包括組織與管理、物理環(huán)境控制、系統(tǒng)軟件控制等。組織和管理包括系統(tǒng)操作的職責(zé)分離、IS投入的財(cái)務(wù)預(yù)算控制、系統(tǒng)軟件與應(yīng)用系統(tǒng)的變更管理和其他管理控制活動(dòng)。物理與環(huán)境控制主要是指對(duì)與IS相關(guān)的物理?xiàng)l件與外部環(huán)境(如物理空間、溫度、濕度等)的控制。系統(tǒng)軟件控制主要涉及具體IT基礎(chǔ)設(shè)施和應(yīng)用系統(tǒng)的管理控制。作業(yè)流程層則重點(diǎn)對(duì)其業(yè)務(wù)交易的可靠性、完整性和安全性進(jìn)行控制，主要包括系統(tǒng)交易流程控制、系統(tǒng)完整性控制和系統(tǒng)審計(jì)軌跡控制。系統(tǒng)交易流程控制主要對(duì)日常交易活動(dòng)的可靠性進(jìn)行控制。系統(tǒng)完整性控制主要確保系統(tǒng)交易業(yè)務(wù)的輸入、存儲(chǔ)、處理和輸出的數(shù)據(jù)都是準(zhǔn)確完整的，并保留相應(yīng)的數(shù)據(jù)處理記錄。系統(tǒng)審計(jì)軌跡控制指通過檢查追蹤系統(tǒng)登錄記錄、啟用應(yīng)用程序和用戶活動(dòng)的記錄，捕捉業(yè)務(wù)活動(dòng)中的所有重要事件，幫助檢查非授權(quán)訪問，重構(gòu)非法事件發(fā)生的步驟，監(jiān)控用戶細(xì)微的行為。

3. 評(píng)價(jià)與控制

IS既是一個(gè)交易系統(tǒng)，又是一個(gè)戰(zhàn)略性系統(tǒng)，在不同交易情況下，交易流程體現(xiàn)在不同的狀態(tài)圖中，不同的層級(jí)會(huì)體現(xiàn)不同的視圖。這是因?yàn)閷蛹?jí)之間并不完全隔離，是重疊和交叉的，并且層級(jí)間是遞層反饋的。例如，在面向交易流程的風(fēng)險(xiǎn)評(píng)價(jià)中，需要有對(duì)IT設(shè)施/組件的主觀評(píng)價(jià)，及對(duì)IS管理和技術(shù)的相關(guān)評(píng)價(jià)，同時(shí)對(duì)交易流程的評(píng)價(jià)結(jié)果可以反饋到管理與技術(shù)層，然后評(píng)價(jià)結(jié)果將進(jìn)一步反饋到治理層，對(duì)戰(zhàn)略目標(biāo)進(jìn)行綜合評(píng)價(jià)。依據(jù)評(píng)價(jià)結(jié)果和外部環(huán)境的變化，決策者對(duì)各層級(jí)目標(biāo)做出評(píng)估并進(jìn)行相應(yīng)調(diào)整，從而形成動(dòng)態(tài)的評(píng)價(jià)反饋機(jī)制。在此框架下，各層級(jí)靜態(tài)風(fēng)險(xiǎn)和動(dòng)態(tài)評(píng)價(jià)過程的轉(zhuǎn)換，體現(xiàn)了目標(biāo)驅(qū)動(dòng)的逆向操作思想。目標(biāo)驅(qū)動(dòng)下的逆向操作首先設(shè)定期望達(dá)到的可理解的戰(zhàn)略目標(biāo)，然后考慮倒數(shù)第二步怎么做——如何改變現(xiàn)有流程和服務(wù)以適應(yīng)戰(zhàn)略目標(biāo)要求，依此類推，直到回到整個(gè)過程的第一步，即針對(duì)當(dāng)前出現(xiàn)的風(fēng)險(xiǎn)采取防護(hù)措施，最終實(shí)現(xiàn)戰(zhàn)略目標(biāo)。這種方法是目標(biāo)跟定的，可以幫助企業(yè)實(shí)現(xiàn)IS內(nèi)部控制目標(biāo)，使更多的風(fēng)險(xiǎn)在開始時(shí)而不是最后暴露。

(二) 信息系統(tǒng)內(nèi)部控制的過程分解

1. 目標(biāo)層次與過程分解

目標(biāo)管理的思想為ISIC提供了標(biāo)桿，內(nèi)部控制過程需要參照一定的目標(biāo)計(jì)劃，特別是分析控制的風(fēng)險(xiǎn)因素，需要提供具體的風(fēng)險(xiǎn)目標(biāo)和控制目標(biāo)。ISIC不是單一的活動(dòng)，可以分解為具有先后順序、相聯(lián)的子過程。通過將IS內(nèi)控過程細(xì)化為由上而下的層次目標(biāo)，可以分析與控制相關(guān)的具體風(fēng)險(xiǎn)因子;通過定義指標(biāo)體系(用于反映IS應(yīng)用過程的關(guān)鍵成功因素、關(guān)鍵目標(biāo)指標(biāo)和關(guān)鍵性能指標(biāo))為IS內(nèi)部控制活動(dòng)設(shè)置預(yù)期的目標(biāo)和評(píng)估標(biāo)準(zhǔn)，為實(shí)施恰當(dāng)?shù)目刂铺峁┲改稀?/p>

關(guān)鍵成功因素定義了IS應(yīng)用過程中最重要的、面向管理的要素，為IS控制定義了最重要的問題或行動(dòng)，并提供了指引，幫助識(shí)別信息化過程中的重要目標(biāo)。

關(guān)鍵目標(biāo)指標(biāo)定義能夠判斷IS應(yīng)用是否達(dá)到戰(zhàn)略要求的一個(gè)度量標(biāo)準(zhǔn)。關(guān)鍵目標(biāo)指標(biāo)通過定義一些測度，在IS應(yīng)用實(shí)施之后，判斷IS應(yīng)用是否滿足經(jīng)營需求。它體現(xiàn)了IS應(yīng)用的目標(biāo)需求，指出了哪些是必須做的，哪些是必須實(shí)現(xiàn)的，是IS應(yīng)用實(shí)現(xiàn)其目標(biāo)的可測指標(biāo)，并且通常會(huì)被定義為需要實(shí)現(xiàn)的目標(biāo)。

關(guān)鍵性能指標(biāo)是主導(dǎo)指示方法，定義了IS實(shí)施效果的度量標(biāo)準(zhǔn)。關(guān)鍵性能指標(biāo)測度執(zhí)行情況的好壞程度，是目標(biāo)是否有可能實(shí)現(xiàn)的主要指標(biāo)，也是測定性能、慣例的指標(biāo)。

關(guān)鍵成功因素、關(guān)鍵目標(biāo)指標(biāo)和關(guān)鍵性能指標(biāo)提供了IS應(yīng)用過程控制與評(píng)價(jià)的基準(zhǔn)，為IS的風(fēng)險(xiǎn)控制和評(píng)價(jià)提供了有效參考。

IS內(nèi)控目標(biāo)的層次性和IS過程的可分性提供一個(gè)細(xì)化的風(fēng)險(xiǎn)控制和評(píng)價(jià)體系，從而能夠?qū)夹g(shù)風(fēng)險(xiǎn)把握，使風(fēng)險(xiǎn)控制措施具有可操作性。通過衡量子過程對(duì)控制目標(biāo)和總體目標(biāo)的影響，能夠更確切地把握IS內(nèi)控的力度，識(shí)別和控制具體應(yīng)用過程中的特定風(fēng)險(xiǎn)。

2. 目標(biāo)驅(qū)動(dòng)與風(fēng)險(xiǎn)控制

由于風(fēng)險(xiǎn)管理意識(shí)淡薄和應(yīng)用方法工具的落后，企業(yè)對(duì)IS風(fēng)險(xiǎn)無法有效預(yù)知和評(píng)價(jià)，這已成為信息化進(jìn)程中不可回避的難題。人們往往依賴經(jīng)驗(yàn)尋求風(fēng)險(xiǎn)控制的措施，而這些措施既沒有系統(tǒng)性，又缺乏可依賴的理論依據(jù)和可操作性。

巴塞爾委員會(huì)把內(nèi)控的目標(biāo)分解為:營運(yùn)性目標(biāo)(實(shí)現(xiàn)效率與效益)、信息性目標(biāo)(財(cái)務(wù)與管理信息的可靠性、完整性和及時(shí)性)和合規(guī)性目標(biāo)(遵守法律及管理?xiàng)l例的情況)。企業(yè)可采用目標(biāo)分解的辦法將IS內(nèi)控目標(biāo)按照業(yè)務(wù)流程分解為各個(gè)子目標(biāo)，然后再將業(yè)務(wù)目標(biāo)轉(zhuǎn)化為各個(gè)流程環(huán)節(jié)的風(fēng)險(xiǎn)目標(biāo)，從而確定業(yè)務(wù)流程的風(fēng)險(xiǎn)級(jí)別和績效要求，并根據(jù)評(píng)價(jià)結(jié)果尋找IS內(nèi)控的關(guān)鍵點(diǎn)。根據(jù)目標(biāo)驅(qū)動(dòng)的逆向操作方法，自上而下地進(jìn)行目標(biāo)分解和自下向上地進(jìn)行評(píng)價(jià)控制，對(duì)IS流程及其應(yīng)用過程進(jìn)行風(fēng)險(xiǎn)分析和評(píng)價(jià)，將評(píng)價(jià)結(jié)果逐層逐級(jí)反饋，根據(jù)最終目標(biāo)的要求采取相應(yīng)的控制措施。由于措施細(xì)化到IS的各個(gè)環(huán)節(jié)，包括前饋控制、反饋控制，保證在IS每一環(huán)節(jié)預(yù)防風(fēng)險(xiǎn)，努力將潛在的風(fēng)險(xiǎn)降低到可接受的范圍，并根據(jù)各層級(jí)目標(biāo)的要求不斷修正控制措施。

在企業(yè)的內(nèi)部控制體系中，戰(zhàn)略目標(biāo)和IS的可靠性始終是關(guān)注的核心。因而需要有效地將戰(zhàn)略目標(biāo)進(jìn)行分解，并采用系統(tǒng)的模型方法識(shí)別和分析潛在的風(fēng)險(xiǎn)，主動(dòng)對(duì)其進(jìn)行評(píng)價(jià)控制，根據(jù)威脅大小對(duì)其重要性進(jìn)行排序，以確定風(fēng)險(xiǎn)控制的級(jí)別。

3. 過程分解與風(fēng)險(xiǎn)評(píng)價(jià)

按照目標(biāo)驅(qū)動(dòng)的逆向操作法，需要通過對(duì)戰(zhàn)略目標(biāo)進(jìn)行分解以確定相應(yīng)的風(fēng)險(xiǎn)目標(biāo)。在制定風(fēng)險(xiǎn)措施時(shí)，需要具體到關(guān)鍵的業(yè)務(wù)流程和應(yīng)用過程，才可以制定具體的內(nèi)部控制目標(biāo)和措施。借助于過程實(shí)體的分析，獲取相關(guān)的風(fēng)險(xiǎn)信息，以把握風(fēng)險(xiǎn)特征，為風(fēng)險(xiǎn)的評(píng)價(jià)和控制提供基礎(chǔ)。

將風(fēng)險(xiǎn)目標(biāo)進(jìn)一步細(xì)分并映射到相應(yīng)的過程域中，通過對(duì)各個(gè)過程域風(fēng)險(xiǎn)屬性的衡量和評(píng)價(jià)，確定具體的風(fēng)險(xiǎn)級(jí)別，并通過相關(guān)的權(quán)重計(jì)算確定風(fēng)險(xiǎn)目標(biāo)對(duì)戰(zhàn)略目標(biāo)的影響程度，并以此確定相關(guān)的控制措施。通過映射關(guān)系來識(shí)別風(fēng)險(xiǎn)目標(biāo)，并借助過程模型對(duì)其進(jìn)行分析和評(píng)價(jià)，將抽象的風(fēng)險(xiǎn)轉(zhuǎn)化成為可以量化和評(píng)價(jià)的實(shí)體要素，使得風(fēng)險(xiǎn)識(shí)別落到實(shí)處，保證風(fēng)險(xiǎn)目標(biāo)評(píng)價(jià)的可行性和準(zhǔn)確性。

過程的分解和目標(biāo)的層級(jí)分析使得風(fēng)險(xiǎn)變得具體可衡量，而且這種層級(jí)的分析模式能夠形成一個(gè)多目標(biāo)、多層次的框架，形成有序的層次風(fēng)險(xiǎn)分析結(jié)構(gòu)。在基于過程的層級(jí)分析結(jié)構(gòu)中，目標(biāo)、風(fēng)險(xiǎn)、過程和活動(dòng)關(guān)系，按戰(zhàn)略層、風(fēng)險(xiǎn)層和控制層進(jìn)行排列。目標(biāo)在層級(jí)結(jié)構(gòu)上進(jìn)行分解，確定影響風(fēng)險(xiǎn)目標(biāo)的過程域。根據(jù)過程分解模型及判斷準(zhǔn)則，找出關(guān)鍵的風(fēng)險(xiǎn)控制點(diǎn)，并以此作為對(duì)控制活動(dòng)評(píng)價(jià)的起點(diǎn)，然后自下而上，確定各個(gè)層級(jí)過程的風(fēng)險(xiǎn)大小，從而實(shí)現(xiàn)對(duì)技術(shù)風(fēng)險(xiǎn)的全面評(píng)價(jià)與控制。

三、信息系統(tǒng)內(nèi)部控制框架的特征

IS內(nèi)部控制及評(píng)價(jià)是一個(gè)動(dòng)態(tài)的、持續(xù)改進(jìn)的過程，它與企業(yè)的外部環(huán)境、內(nèi)部條件、客戶需求的變化、技術(shù)進(jìn)步、持續(xù)保持與提高競爭力的要求緊密相關(guān)。

IS的評(píng)價(jià)控制是動(dòng)態(tài)的，它將lS內(nèi)控分成多個(gè)互補(bǔ)和協(xié)作的層次和組件，通過目標(biāo)驅(qū)動(dòng)和風(fēng)險(xiǎn)分析，從目標(biāo)、風(fēng)險(xiǎn)、環(huán)境、資源、關(guān)鍵業(yè)務(wù)等多個(gè)維度進(jìn)行綜合分析，建立目標(biāo)、風(fēng)險(xiǎn)、模型和層次之間的聯(lián)系，自上而下對(duì)風(fēng)險(xiǎn)進(jìn)行分析以及自下而上對(duì)風(fēng)險(xiǎn)進(jìn)行逐層評(píng)價(jià)。通過對(duì)各個(gè)過程的風(fēng)險(xiǎn)水平進(jìn)行量化和級(jí)別定位，對(duì)不同層級(jí)的內(nèi)控要求提供相應(yīng)的風(fēng)險(xiǎn)控制措施。

從目標(biāo)的層級(jí)性來看，該框架體現(xiàn)各個(gè)層次之間的目標(biāo)類型、約束的層次、監(jiān)管者、時(shí)間變化以及控制的內(nèi)容。治理層、管理與技術(shù)層和作業(yè)流程層分別從組織戰(zhàn)略、業(yè)務(wù)技術(shù)管理和交易業(yè)務(wù)流程3個(gè)方面揭示了不同的目標(biāo)之間的內(nèi)在關(guān)系，上級(jí)的目標(biāo)計(jì)劃成為下級(jí)目標(biāo)的內(nèi)在約束，在這些約束下的內(nèi)部控制活動(dòng)才不會(huì)偏離總體的目標(biāo)要求。

從時(shí)間變化的維度來看，IS內(nèi)控模型是面向未來的，是期望達(dá)到的和可理解的。在企業(yè)實(shí)施內(nèi)部控制模型必然引起業(yè)務(wù)流程的變化和組織的革新，這些變化和革新也伴隨著風(fēng)險(xiǎn)，因而需要對(duì)當(dāng)前內(nèi)控水平和風(fēng)險(xiǎn)進(jìn)行識(shí)別和控制。查明內(nèi)部控制應(yīng)該做出什么樣的調(diào)整以預(yù)防這些潛在的風(fēng)險(xiǎn)，有利于幫助制定預(yù)防性控制措施。

從評(píng)價(jià)控制的角度看，該框架體現(xiàn)了戰(zhàn)略目標(biāo)和評(píng)價(jià)之間的內(nèi)部勾稽關(guān)系，既體現(xiàn)了目標(biāo)驅(qū)動(dòng)的逆向操作方法，又體現(xiàn)了內(nèi)部控制評(píng)價(jià)的動(dòng)態(tài)過程。在此模型框架指導(dǎo)下，可以全面實(shí)現(xiàn)lS內(nèi)部控制目標(biāo)，從而幫助企業(yè)規(guī)避不必要的技術(shù)風(fēng)險(xiǎn)，進(jìn)而保持同企業(yè)戰(zhàn)略要求相一致，提升企業(yè)的競爭能力并保持持久的競爭優(yōu)勢。

主要參考文獻(xiàn)

[1] Andre de Korvin，Margaret F Shipley，Khursheed Omer. Assessing Risks due to Threats to Internal Control in a Computer-based Accounting Information System :A Pragmatic Approach Based on Fuzzy Set Theory[J]. Intelligent Systems in Accounting ，F(xiàn)inance and Management，2004 ，12(2):139-152.

[2] M Daminanides. Sarbanes—Oxley and IT Governance :New Guidance on IT Control and Compliance[J]. Information Systems Management，2005，22(1):77-85.

[3] Peter Weil and Jeanne Ross. A Matrixed Approach to Designing IT Governance[J]. MIT Sloan Management Review，2005，46(2):26-34.

[4]Marshall A Geiger ，Steven M Cooper ，Edmund J Boyle. Internal Control Components:Did COSO Get it Right[J].The CPA Journal，2004(1).

[5] Pauline Chin ，George A Brown. The Impact of Mergers Acquisitions on IT Governance Structures:A Case Study[J]. Journal of Global Information Management，2004，12(4):50-74.

[6] [英]馬克·洛爾，列夫·博羅多夫斯基. 金融風(fēng)險(xiǎn)管理手冊[M]. 陳斌，譯. 北京:機(jī)械工業(yè)出版社，2002.

[7] [美]彼得·維爾，珍妮·W·羅斯. IT治理—— 一流績效企業(yè)的IT治理之道[M]. 楊波，譯. 北京:商務(wù)印書館，2005.

[8]吳水澎. 公司董事會(huì)、監(jiān)事會(huì)效率與內(nèi)控機(jī)制研究[M]. 北京:中國財(cái)政經(jīng)濟(jì)出版社，2005.

[9] 唐予華，李明輝. 內(nèi)部會(huì)計(jì)控制與會(huì)計(jì)信息質(zhì)量研究[M]. 北京:中國財(cái)政經(jīng)濟(jì)出版社，2003.

[10] 潘秀麗. 企業(yè)內(nèi)部控制研究[M]. 北京:中國財(cái)政經(jīng)濟(jì)出版社，2005.

[11]溫有奎. 目標(biāo)驅(qū)動(dòng)的企業(yè)過程分析方法[J]. 情報(bào)雜志，2002(3).