企业的IT愿景是关于IT目的、使命和未来理想状态的浓缩式“IT蓝图”,而IT价值观是指企业对IT作用的定位和IT重要性的认识,这两者决定了IT处于何种应用状态及何种战略地位。
IT控制能力与企业绩效测度模型的指标涵义是什么?
(1)IT控制基础能力测度指标涵义
企业的IT愿景(ITC1)和IT价值观(ITC2)
企业的IT愿景是关于IT目的、使命和未来理想状态的浓缩式“IT蓝图”,而IT价值观是指企业对IT作用的定位和IT重要性的认识,这两者决定了IT处于何种应用状态及何种战略地位。
管理者职业操守(ITC3)和员工诚信(ITC4)
IT在企业内的应用,不是简单的技术应用,其在企业内的实施会带来一系列的变革。“三分技术,七分管理”是对信息化较为精辟的论断从IT控制基本原理出发,IT控制需要控制主体和客体,控制主体和客体的职业操守是完成IT控制的基本要素,否则施加再多的控制流程、组织结构等控制措施,也是不能获得成效的。
管理者对IT风险的态度(ITC5)
管理者态度决定了企业行为,并最终影响到企业文化。管理者对IT风险的态度和认识水平,显著影响到整个企业的风险容忍度和风险管理水平。管理者必须重视IT风险,积极参与到IT风险控制工作中,组织建立IT控制体系,监督IT控制体系的运行,评价其有效性,肩负起确保IT控制体系持续有效的职责。
业务人员与IT人员之间的认同(ITC6)
业务人员与IT人员之间的认同包括彼此间的信任、理解和尊敬。业务人员对IT人员的信任至关重要,如果IT人员得不到业务人员的有效支持,IT很有可能被当作一个技术工程项目来实施,这将造成业务战略与IT战略之间的脱节,增加IT应用的风险。同样,业务员工与IT员工相互不认同,会导致业务部门与IT部门的矛盾,给IT控制系统的构建与实施造成难以逾越的障碍。
管理者具有正确的IT认识(ITP1)
企业开展IT风险辨识和风险分析工作,要求管理者必须具有正确的IT认识。这是因为在IT员工与管理人员进行IT价值、风险沟通时,管理人员在对IT能够带给企业的收益、风险有正确认识时,才有可能接受IT员工的建议,为企业构建有效的IT控制系统,而接受IT员工的建议其前提条件是高层管理者必须具有正确的IT认识。
IT管理者具有业务知识(ITP2)
在治理层面,IT管理者要确定未来技术的发展趋势、IT给企业带来的优势和风险。IT本身是一项技术,如何应用这项技术才能给企业带来价值,这需要业务管理者和IT管理者不断沟通、持续协商。有效的沟通需要IT管理者具有业务知识。在管理层面,IT如何优化企业的业务流程,同样要求IT管理者具有良好的业务流程知识,IT管理者如果没有良好的业务素质,这将导致IT成为技术工程项目,同时给企业带来极大的风险,可见,IT管理者具有业务知识很重要。业务知识主要包括对企业战略、组织工作过程、产品和服务生产过程、业务管理流程、竞争者优势和劣势等。
IT管理者胜任能力(ITP3)
IT管理者是业务与IT之间的枢纽,也是IT基层员工的核心人物。IT管理者胜任能力是保证企业战略与IT战略相一致的前提条件。IT管理者的胜任能力包括IT管理者的沟通和管理方面的知识和技能、领导能力、信息技术方面的知识和技能、信息技术管理方面的知识和技能、业务运行方面的知识和技能等能力。
IT部门的服务能力(ITP4)
IT部门通过提升IT服务能力,交付满足业务需要的IT服务,可以增强管理者对IT部门的信任,加强业务部门的合作,树立良好的形象,避免是“技术中心”的代名词。在IT控制系统构建过程中,如果对IT价值有充分的认识,就不会将IT作为技术中心,而是会分配适当的资源构建IT控制系统。
IT员工知识和技能(ITP5)
由于IT的战略地位日益凸显,IT员工常常负责依据规划建设并运维新的系统,这些系统对企业的长期发展至关重要,这就要求IT员工既要跟上信息技术的飞速发展;识别与IT相关的机会来支持企业的战略方向,同时还要具备IT控制领域的知识和技能,成为IT控制领域的专家,负责建立IT控制体系并持续保证该体系的有效性。
对员工的培训(ITP6)
管理者要具有正确的IT认识,IT员工要具有业务知识和控制领域的知识,业务人员要熟悉如何在信息技术条件下开展业务工作。
对管理者(ITP7)和员工的激励(ITP8)及激励与绩效的相关性(ITP9)
信息技术在企业的深化应用,其实质是业务流程的重组和权力的再分配。IT控制“透明化、规范化、标准化”的特性必然遭遇企业各个层面人员的强烈抵触,这就需要建立激励机制。激励主要包括对管理者的激励和对员工的激励。对管理者的激励主要包括管理者报酬形式、多少、对管理者个人需求的满足程度以及业绩考核等方面的内容;对员工的激励内容与管理者类似。激励与绩效的相关程度用于衡量激励是否合理有效,如果激励与绩效没有很好地联系起来,激励可能起到相反的作用。
信息与沟通能力(IC)
IT控制系统是一个负反馈闭环系统,该系统的有效性依赖于信息与沟通必须及时有效的反馈。信息与沟通能力(IC)主要包括流程文档化(IC1)、流程执行过程文档化(IC2)、信息共享程度(IC3)、管理层对员工意见的获取(IC4)和各个层次员工是否能及时获取所需信息(IC5)。
(2)IT控制过程能力测度指标涵义
IT控制目标确定能力(CO)
IT控制目标是构建IT控制系统的核心工作,同时也是衡量内部控制系统运行效果的指标。IT控制目标具有层次性,在治理层、管理层和执行层上要保持协调一致,在指标的设置上业务指标和IT控制指标要相互融合,保证IT控制为实现业务目标服务。控制指标主要包括各层级控制目标协调一致(CO1)、控制目标的可衡量性(CO2)、控制目标与业务目标一致性(CO3)、控制目标的可行性(CO4)四个指标。
风险识别与评估能力
风险识别与评估主要指管理者或审计师借助定性和定量相结合的评估方法,考虑可能发生的风险,形成风险的各种内外影响因素,对风险的严重程度、可能性和应选择何种控制措施进行判断和合理分析的过程。风险识别与评估主要包括对关键因素的辨识和确认(RE1)、风险辨识(RE2)和风险分析(RE3)。
IT控制活动能力(CA)
IT控制活动能力主要包括决策制定结构和过程能力。决策制定结构主要包括治理结构(高层组织结构)和组织结构。治理结构主要用董事会中有IT审计委员会(CA1)、信息化治理委员会成员结构(CA2)、CIO向CEO负责(CA3)测度指标来衡量;组织结构主要用组织结构与企业战略一致性程度(CA4)、业务管理者与IT管理者的职责明确(CA5)、业务管理者与IT管理者的职责相协同(CA6)测度指标来表示。过程能力主要是指在IT生命周期中,对各个阶段过程的控制,主要包括规划和组织过程能力(CA7)、获取和实施过程能力(CA8)、交付和支持过程能力三个过程能力(CA9)。
监控能力(M)
监控能力主要包括持续监控有效程度(M1)、IT绩效测度有效程度(M2)、质量管理能力(M3)和独立鉴证有效程度(M4)四个指标。
(3)IT控制学习能力测度指标涵义
IT控制学习能力主要包括IT 控制适应性学习能力(AL)和IT控制创新性学习能力(CL)。
IT控制适应性学习能力主要包括业务人员与IT人员对企业的长远目标是否有统一清晰的认识(AL1)、业务人员在面对环境变化时做出IT控制决策的及时性(AL2)、IT人员在面对环境变化时做出IT控制决策的及时性(AL3)、IT控制决策在变化后的外部环境中的实施效果测度(AL4)、IT控制对外部环境的变化趋势的符合程度等测度指标(AL5)。
IT控制创新性学习能力主要包括管理者对创新性观点的接受程度(CL1)、提出新的IT控制的频率程度(CL2)、IT控制是否在不断的优化之中(CL3)、培训新技术与知识的及时性测度指标(CL4)
京ICP备06004481号 Copyright 2002 - 2006 ITGov.org.cn, All Rights Reserved