基于生命周期、AHP與CMM的信息系統內部控制評價方法

盛巧玲，吳炎太

（廣東金融學院 a.會計系;b.計算機系，廣州 510521）

0 引言

隨著我國信息化的快速發展，企業逐步實現自動化，企業的業務管理已經與信息系統融為一體，不可分離，信息系統內部控制已經成為企業內部控制的核心。研究信息系統內部控制評價方法，對于加強企業信息系統內部控制建設與評價工作，降低信息系統風險，具有重要的現實意義。對內部控制質量進行評價的方法分為定性評價方法和定量評價方法，其中，定性評價方法缺乏可比性和科學性[1]。目前內部控制定量評價方法的研究主要有綜合打分法和模糊綜合評價法。本文擬以信息系統生命周期為基礎，應用層次分析法（Analytic Hierarchy Process，簡稱AHP）和能力成熟度模型（Capability Maturity Model，簡稱CMM），對信息系統內部控制評價方法進行探討，以期為客觀、有效地評價信息系統內部控制質量，提供一種科學的方法。

1 信息系統內部控制評價的內容和標準

1.1 信息系統內部控制評價的內容

信息系統內部控制評價是企業內部控制評價的重要組成部分。信息系統內部控制是一個單位在信息系統環境下，為了保證業務活動的有效進行，保護資產的安全與完整，防止、發現、糾正錯誤與舞弊，合理確保信息系統提供信息的真實、合法、完整，而制定和實施的一系列政策與程序措施[3]。它是規范秩序、防范風險、遏制舞弊、合理確保信息系統功效的有效途徑，從而更好地確保組織目標的實現。

信息系統內部控制分為一般控制和應用控制。信息系統一般控制是指對一個單位的信息系統總體的內部控制，其基本目標是保證數據安全、保護計算機應用程序、防止系統被非法侵入、保證在意外中斷情況下的繼續運行等。對信息系統一般控制評價的內容包括：單位整體范圍安全計劃和管理、訪問控制、應用軟件開發和變更控制、系統軟件控制、職能分離控制、服務持續性控制等。信息系統應用控制是指對具體應用系統的控制，應用控制直接關注數據獲取和處理的完整性、準確性、授權和有效性。對信息系統應用控制評價的內容包括各項業務的授權控制、完整性控制、準確性控制。

1.2 信息系統內部控制評價的標準

內部控制評價的具體標準是指應用于內部控制評價具體方面的標準，是具體內部控制制度運行應遵循和達到的目標。一般標準以具體標準為基礎，具體標準以一般標準為指導。在對信息系統內部控制進行評價時，只有先從操作性較強的具體標準入手，對信息系統內部控制的具體設計與運行情況進行測評，才能從整體上對企業信息系統內部控制的完整性、合理性和有效性作出判斷。下面將會討論為每一個IT過程建立成熟度模型，以此作為評價每一個IT過程的具體標準。在應用具體標準進行評價的基礎上，形成對企業信息系統內部控制的總體評價。

2 信息系統內部控制評價指標體系的設計

信息系統整個生命周期分為5個首尾相連的階段：系統規劃、系統分析、系統設計、系統實施以及系統運行維護[2]。按照內部控制評價的完整性標準，評價的指標應當包含信息系統整個生命周期，因此，將信息系統生命周期的5個階段作為信息系統內部控制評價的一級指標。

COBIT（Control Objectives for Information and Related Technology）即信息及相關技術控制目標，是國際上公認的最先進、最權威的信息技術管理與控制標準。COBIT采用過程導向，通過IT過程管理IT資源，以交付滿足業務和治理要求的信息，實現IT控制目標。COBIT的過程模型由四個域構成，即：計劃與組織、獲取與實施、交付與支持、監控與評價四個域，包括34個通用過程[3]。這些IT過程涵蓋了IT職能常見的所有過程。

本文主要參考COBIT的IT過程及我國的《企業內部控制應用指引第18號——信息系統》，來確定信息系統各個階段所包含的重要IT過程，并將這些IT過程作為內部控制評價的二級指標，詳細內容如表1所示。

表1 信息系統內部控制評價指標體系

3 確定各指標對評價對象的權重

層次分析法是美國運籌學專家T．L．Saaty在20世紀70年代提出的，它把復雜問題分解成各個組成因素，又將這些因素按支配關系分組形成遞階層次結構[4]。通過兩兩比較的方式確定層次中諸因素的相對重要性，然后綜合有關人員的判斷，確定備選方案相對重要性的總排序。本文將應用層次分析法確定各指標對評價對象的權重。

信息系統內部控制層次結構模型分為三個層次（見表1），即目標層、一級指標和二級指標。信息系統內部控制質量是目標層，也是最終的評價對象；一級指標是準則層，一級指標既是評價目標層所使用的指標，又是通過二級指標進行評價的對象；二級指標是子準則層，是對信息系統內部控制質量進行評價的基本構成單位。

信息系統內部控制質量（S）下屬5個一級指標Ai(i=1,…,5)，指標Ai對S的重要性程度（即權重）設為Wi(i=1,…,5)；每個一級指標下面又有多個二級指標，其中系統分析（A2）下面有4個二級指標Ci(i=1,…,4)，指標Ci對A2的權重設為WCi(i=1,…,4)；組合權重W2WCi反映了指標Ci對S的權重。指標權重的計算順序為：先計算一級指標權重；然后計算二級指標權重；最后計算組合權重。

3.1 一級指標權重的計算

根據層次分析法的基本原理，由專家根據系統規劃、系統分析、系統設計、系統實施以及系統運行維護對信息系統內部控制質量（S）的重要性，對它們進行兩兩比較，得到判斷矩陣S-A（見表2）。

表2 判斷矩陣S-A

根據判斷矩陣S-A，采用求和法（算術平均法），權重的計算結果如表2所示。

判斷矩陣是通過兩兩比較得到的，而在這樣的比較中，可能會得到一些不一致的結論。例如當因素甲、乙、丙的重要性很接近時，我們在兩兩比較中，可能得出“甲比乙重要，乙比丙重要，而丙又比甲重要”等矛盾的結論，這在因素的數目多的時候更容易發生。因此，需要對判斷矩陣的一致性進行檢驗。一致性檢驗如下：

這說明判斷矩陣S-A的一致性可以接收。

3.2 二級指標權重的計算

由于二級指標比較多，下面以“系統分析”下屬的二級指標為例來說明二級指標權重的計算。按照層次分析法的基本原理，以“系統分析”為準則，由專家對“系統分析”下屬的4個二級指標進行兩兩比較，得到判斷矩陣A2-C。權重的計算方法及一致性檢驗方法與前面相同。見表3。

3.3 組合權重的計算

上面計算的僅僅是一組因素（指標）對其上一層中某因素（指標）的權重，而最終要得到的是各因素（指標）對目標層（總目標）的權重，即“組合權重”。在本例中，各一級指標的權重乘以其下屬的二級指標的權重，即為組合權重，它反映了各二級指標對目標層S的權重。

表3 判斷矩陣A2-C

二級指標是對信息系統內部控制質量進行評價的基本構成單位，為了便于對信息系統內部控制總體情況進行評價，必須計算出每一個二級指標的組合權重，即計算每一個二級指標對目標層S的權重。表3給出了部分二級指標的組合權重的計算結果（表3中的W2WCi為組合權重），其它二級指標的組合權重可以采用同樣的方法進行計算。

對于層次較多的層次結構模型而言，組合權重的計算要自上而下，將單準則下的權重進行組合，并逐層進行組合判斷的一致性檢驗[5]。由于本例只有三個層次，即目標層、一級指標和二級指標，層次較少，只有二級指標需要計算組合權重并進行組合判斷的一致性檢驗。

一級指標的權重向量W=(W1，W2，W3，W4，W5)T，假設分別以系統規劃、系統分析、系統設計、系統實施以及系統運行維護為準則，對其下屬的二級指標進行兩兩比較得到的判斷矩陣的一致性指標分別為：C.I.B，C.I.C，C.I.D，C.I.E，C.I.F和R.I.B，R.I.C，R.I.D，R.I.E，R.I.F，則組合判斷的一致性指標C.I.Z，R.I.Z，C.R.Z計算如下：

當C.R.Z＜0.1時，認為組合判斷的一致性可以接收。

4 建立信息系統內部控制成熟度模型

4.1 能力成熟度模型應用狀況

CMM是國內外廣泛采用的軟件過程改進和軟件企業軟件過程能力評價的標準。CMM描述了軟件過程如何從無序到有序，從特殊到一般，從定性管理到定量管理，最終達到可動態優化的成熟過程[6]。CMM將軟件過程分成以下5個等級：初始級、可重復級、已定義級、已管理級、優化級。

CMM強調的是管理水平的逐步提高和持續的過程改進。除了用于軟件過程的改進與評價之外，CMM還可以應用于項目管理、部門管理乃至于公司整體層面的營運管理。在CMM的應用中，軟件過程是指從軟件的分析、設計、編程到投入使用，以及使用期間的維護升級、控制，直至軟件退出市場這樣一個完整的軟件生命周期。信息系統內部控制涵蓋了信息系統整個生命周期，因此，將CMM應用于信息系統內部控制的評價是順理成章的。

4.2 信息系統內部控制模型的成熟度等級劃分

借鑒CMM的思想，將能力成熟度模型引入到信息系統內部控制評價中，并進行內部控制成熟度等級的劃分。內部控制成熟度等級是企業內部控制系統走向成熟的階梯，它把企業內部控制管理水平從混亂到規范再到優化的進化過程分成幾個有序的等級，每個等級的內部控制管理水平將作為達到下一個更高等級的基礎[7]。依照CMM的方法，將信息系統內部控制成熟度劃分為以下5個等級：初始級、簡單級、規范級、精細級和優化級。各成熟度等級反映了信息系統內部控制不同發展階段的特征和要求。

（1）初始級。處于這一級的企業，其信息系統內部控制管理基本上處于一種無序的混亂的狀態。企業沒有建立基本的信息系統內部控制制度，內部控制系統的設計是不適當的、不健全的，內部控制的執行也是無效的，信息系統風險管理活動僅僅是對各種風險的被動反應。

（2）簡單級。處于這一級的企業，已經初步建立了信息系統內部控制制度，對企業最重要的業務環節和流程加強了控制，確定了一些基本的內部控制關鍵控制點，能夠利用一些常用的內部控制管理和評價工具進行監控，內部控制的執行是比較有效的。

（3）規范級。處于這一級的企業，已經建立了比較規范和完善的信息系統內部控制制度，內部控制制度得到企業員工很好的理解，并在實際工作中得到遵循，內部控制系統更加合理與有效。企業建立了較為完善的企業整體風險管理體系，能充分保障企業各種業務和各類項目的實施。

（4）精細級。在這一級別上，企業不僅建立了規范和完善的信息系統內部控制制度，而且對內部控制系統的評價采用量化評價指標，運用打分及加權的方法分析企業內部控制管理狀況，通過量化的數據對內部控制過程和績效進行分析，內部控制管理已經由定性管理發展到量化管理。處于這一級的企業的內部控制系統是完整的、合理的、有效的。

（5）優化級。處于這一級的企業，可以根據外部經濟、社會環境的變化，根據企業的發展變化及業務流程的變化，及時調整企業的內部控制系統，對內部控制系統進行持續的評估和完善，形成了適應變革需求的動態內部控制系統。在這一級別上，企業的內部控制是完整的、合理的，內部控制的執行是非常有效的。

以上5個等級的劃分是針對信息系統內部控制總體情況而言的。我們不僅要針對信息系統內部控制總體情況建立成熟度模型，而且要為表1中的每一個IT過程（二級指標）建立成熟度模型，作為評價各個IT過程的依據。各個IT過程的成熟度模型也分為初始級、簡單級、規范級、精細級和優化級5個等級，下面以“第三方管理”這一IT過程為例建立成熟度模型（見表4）。

5 信息系統內部控制單項評價與綜合評價

5.1 單項評價

表4 “第三方管理”成熟度模型

依據每一個IT過程的成熟度模型，可以確定企業每一個IT過程所處的等級。為了進行綜合評價，需要將等級轉化成分數，一般采用百分制進行評分，表5描述了成熟度等級與分數之間的對應關系。

表5 成熟度等級與分數之間的對應關系

5.2 綜合評價

上面已經建立了信息系統內部控制評價指標體系，并且應用層次分析法確定了每一個二級指標對目標層的權重（組合權重）。應用CMM理論可以為每一個IT過程（二級指標）建立成熟度模型。在此基礎上，依據成熟度模型對每一個二級指標進行評分，然后，以各個二級指標的組合權重為權，對各個二級指標的得分計算加權平均值（各個二級指標的得分乘以各自的組合權重之積的和），所得的結果即為信息系統內部控制總體情況的得分（目標層的得分）。反過來，根據目標層的得分及表5中成熟度等級與分數之間的對應關系，又可以確定企業信息系統內部控制總體情況處于成熟度模型的哪一個等級。

單項評價是綜合評價的基礎，通過對IT過程的單項評價，可以反映某一IT過程內部控制狀況；通過綜合評價，可以反映企業信息系統內部控制總體水平。

6 結束語

應用AHP與CMM對信息系統內部控制進行綜合評價，實現了從定性評價到定量評價的轉變。這種評價方法可以盡可能地排除主觀認識的片面性和偶然性偏差，使得評價結果比較客觀、公正、科學。由于不同的企業，其信息系統應用的深度和廣度不同，企業經營管理對信息系統依賴的程度不同。因此，企業在設計信息系統內部控制指標體系以及在對各指標進行兩兩比較時，應當結合企業的實際情況，科學地設計評價指標體系，合理確定各指標的權重。

[1]駱良彬，王河流.基于AHP的上市公司內部控制質量模糊評價[J]．審計研究，2008,(6)．

[2]吳炎太，林斌.基于生命周期的信息系統內部控制風險管理研究[J].審計研究，2009,(6)．

[3]IT Governanece Institute.COBIT4.1[EB/OL].http://www.isaca.org．

[4]汪應洛.系統工程[M].北京：機械工業出版社，2007．

[5]孫東川，林福永.系統工程引論[M].北京：清華大學出版社，2004．

[6]周智昊.能力成熟度模型中需求管理的實踐[J].武漢理工大學學報，2007,(7)．

[7]陳力生.基于成熟度模型的內部控制評價系統構建[J].中國管理信息化，2009,(2)．