IT控制能力的层次结构模型研究
作者：孟秀转 胡克瑾 孙强


摘要:
（1.同济大学经济与管理学院，上海，200092; 2.北京联合大学应用文理学院。北京。100191; 3.北京大学数字中国研究院信息化创新与治理研究中心，北京。100102）本文从能力的视角对IT控制进行了分析，给出了IT控制能力的定义，并提出了IT控制能力的层次结构模型基础层、实施层和提升层，模型的三层结构明确指出了各层能力的构成、角色和作用, 便于组织深入了解自身IT控制能力的状况和提升途径, 使组织能不断获得适应环境变化的能力与资源, 从而具有持续的竞争优势。

一、
引言

随着信息技术的发展，许多企业通过信息化实现了企业的商业模式、生产方式和管理方式的创新，形成了企业核心竞争力，掀起一轮“战略性的IT投资”高潮。但是复杂的企业信息化过程和众多的内外影响因素，导致企业面对巨大的信息技术风险，特别是随着IT在企业中的应用层次逐步加深，IT与所有的生产过程与经营管理体系深度整合的情况下，IT控制失效对企业造成的威胁更是致命的。企业逐渐意识到企业具备较强的IT控制能力，对于企业加强风险管理，确保IT价值的交付，具有举足轻重的意义。

在此背景下，理论界逐渐关注企业IT 控制相关理论研究。同时外部监管机构为保护利益相关者也日渐关注企业的IT 控制问题，并提出了很多规范要求，如2002年美国的萨班斯法案、日本的J-Sox、国资委《中央企业全面风险管理指引》以及我国将于2009年7月1日正式实施的《企业内部控制基本规范》。

但总的来说IT控制还是一个新的研究领域，IT控制概念还不统一，本文从能力的视角对IT内部控制进行了研究。基于控制论和系统，提出IT控制能力的概念，构建了IT控制能力的三层结构模型，并认为IT控制能力的提升和保持是企业从IT持续获得价值的源泉。

二、
概念的提出

从字面上可以看出，IT控制能力是由IT控制和能力两个概念组成的，要对IT控制能力做出科学的定义，必须首先界定能力和IT控制的这两个基本概念。学者们对能力概念的界定大多是有两种方式：一种是语义循环的方式定义能力（Amit and Schoemaker，1993），另一种是将能力以系统的方式来定义（Drejer，1999，2001）。语义学理论是不允许用循环定义的，同语反复和循环定义违反了定义规则，即定义项中不得直接或间接地包含被定义项，因此以语义循环的方式定义能力概念是不妥的。能力的系统定义，不仅揭示了资源和能力之间的关系，能力以资源为基础，资源必须经过能力的“激活”才能发挥其潜能；同时突出了竞争优势是能力和资源两者相互作用的共同结果，在强调能力的同时，不能忽略资源的存在，要把资源和能力进行整合来研究企业的竞争优势（刘晓敏，刘其智，2006）；本文认为企业能力具备系统的特征，可以把能力定义为由资源组成的具有一定功能，可以实现企业预期目标的系统。

2009年7月即将实施的我国《内部控制基本规范》、COSO框架及AICPA的内部控制概念，他们强调的是控制方法、控制措施、程序、政策即主要强调控制系统中的控制措施,而对系统控制中的施控者、受控者,以及施控者、受控者、控制措施的内在关系没有给予足够重视，COSO内部控制概念体现了一定系统控制思想，但是COSO没有完整地运用控制论观点来阐述内部控制概念。本文认为内部控制概念应引入系统观点，依据控制基本原理，本文这样定义企业（内部）控制：为实现企业目标而建立的，由控制目标、控制主体、控制受体、控制措施、反馈活动和信息沟通等六个要素构成，具有控制功能的系统，控制功能的实现是一个由控制主体向控制受体施加控制措施，并对控制受体及其实施效果进行衡量和校正的过程。

依据企业（内部）控制的定义，本文将IT控制定义为：企业以实现IT 价值，平衡IT风险为控制目标，由控制目标、控制主体、控制受体、控制措施、反馈活动和信息沟通等六个要素构成的，具有控制功能的系统。IT控制功能的实现是一个由与IT应用有关的控制主体向控制受体施加控制措施，对控制受体及其实施效果进行衡量和校正的过程，IT控制是企业内部控制的一部分。简言之，IT控制是一个系统，控制功能的实现是一个过程。

基于以上概念的定义，本文以系统的观点定义了IT控制能力：IT控制能力是由IT控制资源所组成的系统，能完成企业一定的任务或者目的。

理解IT控制能力这个概念要特别强调以下几点：

（1）IT控制能力以实现IT价值，平衡IT风险为目标。IT是一把“双刃剑”，在给企业带来战略价值的同时，也给企业带来了巨大的风险。因此IT控制能力以公司价值创造为主要目标，以可接受的风险水平位出发点。

（2）IT控制能力是一个系统，不能把IT控制能力简单归结为一种制度、方法、活动或者工具。IT控制能力是由IT控制资源组成的系统，以IT控制资源为基础，IT控制能力系统不但涉及到各个层次的管理人员、IT人员、IT基础设施和IT应用系统等有形要素，同时也涉及到无形的软要素，如控制文化、信息和知识，这些资源要素之间是相互影响、相互作用的，有机地结合在一起的系统。

（3）IT控制能力应该具有动态性，是一种动态能力。控制主体或者控制客体与外界环境之间的开放效应决定了IT控制能力是动态变化的。IT控制伴随着社会环境、企业环境的变化而变化，如果想要维持IT控制系统功能的相对稳定，企业IT控制能力就必须是一种动态能力。动态能力是指企业在变化的环境中通过建立特定的学习活动模式来动态更新知识，从而不断建立、整合和重构资源和能力以适应环境变化的能力。

三、
IT控制能力的层次结构模型

1.
总体结构模型

本文通过分析IT控制过程来构建IT控制能力层次结构模型。图1所示为IT控制过程及其所涉及到的要素

IT控制过程中的资源整合分布在三个层面上：首先，内部环境中的企业文化、人力资源、信息与沟通构成IT控制能力的基础层，企业文化、人力资源、信息与沟通资源之间的整合形成了企业文化能力、人力资源能力、信息与沟通能力，三个基层能力构成了IT控制能力的根基；第二，目标设定、事项识别、风险评估、风险应对、控制活动、监控是IT控制实施层，设定目标，是后续各个阶段的指标方针，也是IT控制过程完成效果的衡量指标；事项识别，是识别可能对主体产生影响的潜在事项。它包括表示风险的事项和表示机会的事项，以及可能二者兼有的事项。风险评估是根据控制目标，识别对控制目标影响的关键因素，并进行风险分析的过程；风险应对和控制活动是对识别出的风险进行选择并实施控制措施的过程；监控是对IT控制效果衡量，并将结果反馈给相应的人员，并再次对IT控制过程进行修正和优化，这些活动构成IT控制的闭环过程。在这个层面上的IT控制能力直接影响企业目标的实现。第三，IT控制是一个动态的过程，它伴随着社会环境、企业环境的变化而变化，如果想要维持IT控制系统功能的相对稳定，企业IT控制能力就必须具备一种是与环境变化保持一致的能力。一方面强调能够迅速感知外部环境的变化并及时做出调整，重新整合和配置其资源，提升企业现有的IT控制能力；另一方面则强调引导和创新性，即不仅适应环境变化而且还要主动去预测和引导环境的变化，通过创新和知识的开发，打破发展路径的依赖性，创造出全新的能力，带动整个环境的变化。所以，本文将IT控制能力与环境变化保持一致的能力叫作IT控制学习能力，我们把它作为IT控制能力的保持提升层。

基于以上分析，本文认为企业IT控制能力系统由基础层、实施层和保持提升层三个层次构成，基础层上的要素及其要素之间的结构表现为文化能力、人力资源、信息与沟通能力；实施层上的要素及其要素之间的结构表现为控制目标确定能力、风险评估能力、控制措施构建能力、监控能力；保持提升层上的要素及其要素之间的结构表现为IT适应性学习能力、IT创造性学习能力，企业IT控制能力是这些子能力相互作用、相互影响而构成的系统。企业IT控制能力层次结构，如图2所示。

2.
IT控制基础能力

IT控制基础能力包括企业文化能力、人力资源能力、信息与沟通能力三个要素，这三个要素是IT控制能力得以形成和发挥作用的基础保障，构成了IT控制的内环境，IT控制基础能力如图3所示。[  /editor/editor/fckeditor.html?InstanceName=ctl00_CphContent_RepModel_ctl13_Field_PowerEasy2007_EditorContent&Toolbar=Default#_msocom_1][/url]

（1）文化能力

文化能力是指企业文化对于IT控制目标实现所起的作用。企业文化是指企业在市场经济实践中，逐步形成的、为全体员工所认同、遵守，带有本企业特色的价值观念、经营准则、经营作风、企业精神、道德规范、发展目标等的总和。它指导着每个员工的价值理念，是对企业员工的一种内在约束，也就是说，虽然它不像法律制度那样具有外在的强制性，但是它却是一个隐含的企业员工行为准则，企业的员工都会认同它、遵守它。所以，组织文化比任何个人或正规系统发布的命令都更为有效(金春华，2006)。组织文化对IT内部控制等各个环节都有较大影响，有时甚至发挥决定性作用。首先，文化影响IT控制目标的确定；其次，文化影响企业风险评估；再次，企业文化影响控制措施和监控的有效性；最后，文化决定了企业对环境变化的反应。

（2）人力资源能力

人力资源能力是指人力资源具有的众多胜任特征（周文斌，2007）。在知识经济社会中，人力资源是企业最重要的资产和能力来源，是比战略和经济因素都要重要的资源（Hansen and Wernerfelt，1989）。在IT控制系统内，同样不能忽略人员的能力和力量。在企业IT控制中，人是文化的载体，是制度的制定者、制度约束的对象和制度的执行者，既是控制的资源，也是控制的对象，因此人是控制的基础性因素，是影响IT控制能力、进而影响控制目标实现效果的关键要素。人力资源政策是影响内部环境的关键因素。企业能否招聘到、留得住或培养出能力强、可依赖的员工，就取决其人力资源政策。它对于单位推行计划、实现目标、实行控制起到积极的促进作用。

（3）信息和沟通能力

信息与沟通能力是指企业搜集、处理、加工、应用信息的能力。企业在其经营与控制的过程中，需要按某种形式辨识并取得来自企业内部及外部的信息（肖燕，马国忠，贾秋红，2005）。良好的信息与沟通可以使企业及时掌握营运状况和企业中发生的各种情况，可以及时为企业的员工提供履行职责所需要的各种信息。IT控制同样需要一个良好的信息与沟通作为基础。IT治理控制、IT管理控制和IT作业/活动控制之间，以及IT规划、IT实施和IT运营各阶段都需要进行信息传递和信息反馈。没有良好的信息与沟通，企业控制制度的建设就会成为无本之木，无源之水，不能很好地指导和规范企业的经营活动，企业控制的实施也就成为一句空话。建立良好的信息和沟通平台，是企业IT控制的重中之重。

沟通既包括向上汇报和向下传达也包括跨部门的横向沟通，员工按照规范的流程采集信息，然后向相应的管理层提供必要报告，支持管理者对企业IT应用状况的理解并作出反应的沟通形式是一种报告沟通；管理者通过培训、宣传把包括企业价值观、风险管理等的明确陈述、明确的授权、岗位职责和要求传递给员工，使他们能够有效了解、履行他们的责任；CIO和业务管理者的沟通是一种横向沟通，这种沟通可以增加部门之间的相互了解，有效控制IT风险，提高IT控制效率和效果。IT控制是涉及企业所有部门和员工的活动，这种沟通和理解是控制有效的前提。

良好的信息与沟通的基础是拥有规范的信息的收集、分析、传递的流程。企业沟通机制应与企业所希望建立的文化相协调，并支持这种文化的建立。

3.
IT控制实施能力

IT控制实施能力包括IT控制目标设定能力、IT风险评估能力、控制措施构建能力和监控能力，这四个能力之间不是相互独立的、而是相互依赖、相互联系、相互作用的关系。目标是风险评估、控制措施和监控的指导和衡量标准，风险评估在风险容忍度之内，按照控制目标，对风险进行管理，依据风险评估的结果构建和实施控制措施，实现风险管理和价值交付目标，监控是对整个控制控制过程和控制效果的监控与评价，并反馈到各阶段，改善各自的绩效。IT控制过程能力如图4所[url=]示[/url] 。

（1）IT控制目标的确定能力

企业IT控制目标确定能力是指企业根据内外环境适当确定企业控制目标的能力，是IT控制实施能力的基础，它决定了控制措施的选择和实施效果。

（2）风险评估能力

风险评估能力是指企业识别IT风险事项、评估风险，应对风险的能力。在企业可接受的风险水平下，有效管理企业IT风险是实现IT投资价值的保障，科学评估风险是进行有效风险管理的前提。在以战略目标控制目标之一的IT控制系统中，风险是被看做既可以为企业带来机会，也有可能造成损失和灾难。风险评估包括风险识别和风险分析。风险识别主要围绕IT控制目标，确定实现这些目标的关键成功因素，根据历史数据和对环境以及未来目标实现过程的预测，判断可能的风险来源，识别风险。在识别出IT生命周期的风险因素后，就要对各个风险因素进行分析。风险分析的主要过程包括：估计风险的严重程度、评价风险发生的可能性、考虑应如何管理风险，为企业确定控制措施提供依据。

（3）控制措施构建能力

IT控制措施构建能力是企业根据控制目标和风险评估结果，构建适当的包括组织结构、控制流程等控制措施的能力。无论是COSO、COBIT、ISO/IEC38500还是众多的IT管理控制最佳实践框架，管理控制措施尽管有所区别，但都包括组织结构和控制流程，并且都认为流程是以组织结构为基础，为实现某个具体控制目标，企业员工分工协作，完成一系列连续有规律的活动。但对于组织结构的定义有所不同，本文认为组织结构包括《内部控制框架》和《企业风险管理框架》中所提组织结构、董事会或审计委员会、权力和责任的划分。

（4）监控能力

监控是由适当的人在适当及时的情况下，评价控制的设计和运作，并采取必要的修正行动，确保IT控制能持续有效运作。IT内控监控分为外部监控和内部监控两种，外部监控主要财政部、证监会等对控制监控与评价；内部监控主要包括企业IT审计人员对IT内控，或者业务部门与IT部门之间的监控、IT管理者定期组织的自我测试和评价等。本文所指监控能力是企业内部监督控制IT控制措施执行是否有效的能力。

4.
IT控制提升能力

根据组织学习理论，IT控制保持提升能力可以分为适应性学习能力和创造性学习能力，如图5所[url=]示[/url]。

（1）IT控制的适应性学习能力是指根据企业内外业务变化环境、IS/IT技术环境，对IT的控制做出调整更新的过程。IT控制是一个动态的系统，企业内外部环境的变化会引起IT控制系统一系列的变化。控制的目标应随着企业外部环境的变化而调整，控制的内容和控制措施也应不断丰富和发展。例如，随着IT的发展和企业对其认识的提高，IT的战略价值逐渐被企业所重视，IT对企业的绩效逐渐由效率转化成效果，直至竞争优势的获取，企业对IT绩效的评价指标也发生了相应的变化。企业战略与IT战略、目标的不一致风险导致了信息化委员会的治理结构的设置，都是环境给IT的应用带来的变化，IT控制也要发生相应的变化。

（2）IT控制的创造性学习能力是基于元知识的创造过程，在内外环境变化时提出应对的IT控制系统的能力。与IT控制的适应性学习不同的是，IT控制的适应性学习是在经验环上发生的学习活动，而创造性学习是在创新环上发生的，涉及到重大的创新活动，不是一般意义上的控制改进。

四、
模型的启示

本文以内部控制理论和能力理论为指导，从系统角度定义了IT控制和IT控制能力，并给出了IT控制能力的层次结构模型。IT控制能力模型的三层结构清晰地指出了各层能力的地位和作用, 通过对模型的进一步分析, 我们可以得出以下结论：

IT控制能力是一个系统，它是由IT控制资源构成的，资源要素之间的关系形成了一个个子能力，IT控制能力是这些子能力组成的一个整体，是一种系统能力，系统的效果不是由某个构成要素所决定的。它包括两层含义：一是IT控制能力是由许多子能力构成，在这些子能力中，有些能力是关键的，有些能力是起辅助支撑作用的，尽管如此，它们是一个整体，没有起支撑作用的能力，关键的子能力也无法有效发挥作用；二是这些能力是有机结合的，不是各种能力的简单堆砌，各种能力相互依赖、相互影响、相互作用，共同组成一个整体，系统中任何一个要素的缺少都会影响控制目标的实现。

IT控制基础层是IT控制实施能力和IT控制保持提升能力得以发挥的必不可少的基础条件，实施层离不开基础层，同时也是保持提升层的源泉，保持提升层使IT及时应对环境变化的重要环节，有针对性地吸收和整合知识资源，并进行资源有效配置，以满足IT创新与应对环境变化的要求。IT控制基础层对IT控制系统进行能力划分，不仅可以更好地认识IT控制能力，而且为保持提升IT控制能力提供基础。

通过对模型的分析和解构，有助于企业IT控制能力构成中影响企业绩效的关键环节、关键因素。企业必须成为一个学习型的组织，才能适应内外环境的变化，从IT控制中获得企业绩效

[参考文献]

[1] Amit,R., P. Schoemaker,Strategic assets and organizational rent. Strategic Management Journal,1993,Vol.14 (1):33～46.

[2] Drejer A. and Riis J. O., Competence Development and Technology: How Leaming and
Technology Can Be Meaningfully Integrated, Technovation, 1999,vo1.19

[3] Anders Drejer, How can we define and understand competencies and their development?. Technovation,2001,21:135~146

[4] 刘晓敏,刘其智.整合的资源能力观——资源的战略管理[J].科学与科学技术管理, 2006,27(6).

[5]金春华，2006

[5] 周文斌，论人力资源能力的区域异质性.中国工业经济，2007，Vol.（235）：1-8

[6] Hansen G.S.,Wernerfelt, B., Determinants of firm performance: relative importance of economic and organizational factors. Strategic management journal, 1989, 10(5):399~411

[7] 肖燕，马国忠，贾秋红.制环境和信息沟通对企业内部控制的影响.铁道运输与经济，2005，Vol.27（5）：32-34

本文来自：ITGov中国IT治理研究中心

:)