英语原文共 10 页,剩余内容已隐藏,支付完成后下载完整资料
集成内部控制框架以实现有效的企业信息技术治理
摘要
本文分析并提出了如何集成几种内部控制框架以实现有效的公司信息技术治理。当前该领域文献的基本原则是,单个框架或非集成多个框架都不足以实现有效的信息技术安全和治理。基于现有的文献和演绎的方法,着眼于三个流行的内部控制框架ERM,COSO和COBIT5,我们提出了一个框架,该框架可以帮助组织通过它们的交互有效、高效地实现信息技术治理。集成框架是一种将关键控制目标与战略业务目标联系在一起的框架,在此过程中,可以在战略和运营层面上强调IT治理原则,同时使IT和业务管理对代表组织目标的关键风险领域的理解保持一致(Goosen和Rudman,2013年)。此外,这种基本的一致性有望消除不必要的控制和流程,从而有助于改善IT治理。我们希望公司采用适当的IT治理来利用我们所建议的集成框架。
关键字:IT治理,IT风险,集成ITG框架,内部控制
引言
信息技术已成为确保业务可持续性和企业发展的最重要的战略资产和至关重要的工具。有人认为,设计、实施和维护等任何组织业务流程的许多控制措施的责任取决于信息技术(IT)。IT的作用包括根据需要收集、转换、归档、保护、处理、传递和安全地检索信息(Abu-Musa,2008年)。许多组织一直在使用多个框架,例如信息和相关技术的目标控制(COBIT),企业风险管理(ERM)和Treadway委员会发起的组织委员会(COSO)。集成框架是一种将关键控制目标与战略业务目标联系在一起的框架,在此过程中,可以在战略和运营层面上强调IT治理原则,同时使IT和业务管理对代表组织目标的关键风险领域的理解保持一致(Goosen和Rudman,2013年)。此外,这种基本的一致性有望消除不必要的控制和流程,从而有助于改善IT治理和服从监管。
为了实现其战略和运营目标,公司需要及时、相关的信息。随着这种需求的增长,预计公司将采用集成良好的IT系统以及其他操作控件。随着信息需求的增加,这些系统将面临因无效的内部控制或竞争环境等导致的各种安全风险(Abu-Khadra等,2012;Abu-Musa,2006)。
IT技术为公司提供了许多获得竞争优势的机会,例如提高准确性、提高交易处理速度、节省成本、提高运营效率和减少人为错误等。它还可以显着提高生产力并提高组织的绩效,从而为利益相关者增加价值。然而,如果采用了不合适的IT系统,则会为公司带来许多负面影响。实际上,信息技术治理研究所(ITGI2003)对不合理的IT设计带来的的负面后果表示关注,例如欺诈、浪费资产、劣势竞争、侵犯隐私和不正确的记录保存。
最近,业务范式已转向一种有效的治理框架,以通过使IT与未来的业务目标和战略保持一致来增强组织的责任感,领导力,运营流程,组织结构和人力资源(Yang等,2011;彼得森,2004)。因此,为了实现最佳的IT治理,大多数组织必须协调可能是临时实施的内部控制框架,此举非常迫切。
根据我们提议的集成框架(ERM,COSO和COBIT),预计将有五个领域指导IT治理的设计:战略调整;价值传递;资源管理;风险管理和绩效评估。本文中的建议适用于需要遵守法规要求并且在复杂、高风险的环境中运营的大中型公司,IT和业务管理目标的统一是成功的必要条件。
研究问题
当前,组织正在使用多个框架来进行内部控制、IT和信息安全管理。这些框架(如ERM,COBIT,COSO和ISO27002)已经开发出来帮助企业规划IT控制和保护信息资产安全(Lin等人,2012)。然而最近的研究认为,单独应用这些框架仅能使组织的战略和运营目标达到次优状态。实际上,Trautman&Price(2011)认为,企业应采用与COSO内部控制集成框架相适应并对其提供支持的IT控制。本研究旨在开发企业内部控制框架的实用集成,以填补信息技术治理领域的空白。
研究目标
这项研究旨在为有效的信息技术治理(ITG)开发COBIT5,ERM和COSO的集成框架。这种有效的整合需要正确地映射公司的战略、运营目标与IT目标。
文献观点
该领域的先前研究可以分为两大类:IT的重要性和控制框架。
A:研究强调IT治理的重要性。
先前的许多研究(Weil和Ross,2004;KO和Fink,20l0;Teo等人,2013)都讨论了IT治理作为业务成功的关键因素的重要性。这些研究不仅建议实施更广泛的公司治理并将IT框架与其他控制框架相集成,而且建议采用与信息技术治理相关的最佳实践和标准来管理与之相关的风险。
B:证实内部控制框架与IT治理之间的关系的研究。
其他研究则侧重于不同内部控制框架与IT治理的成功实施和适应之间的关系(例如:参见Tuttle和Vandervelde,2007;Robles等,2009;Abu-Musa,2009;Eckert,2012;Asgarkhani,20l3)。这些研究表明,COBIT不仅是一种有效的控制手段,而且如果与其他内部控制框架相结合也可能是最有效的。此外,COBIT与其他控制框架之间的整合将与COSO内部控制指南保持一致。
Violino(2006),Nastase和Unchiasu(2012),Goosen和Rudman(2013)进一步的记录表明许多涉及COBIT,ISO和ITIL的内部控制和治理系统是最常用的框架。总的来说,从这种早期研究类型中得出的基本结论是,组织应利用多个框架来管理其内部控制,IT和信息安全系统。
研究方法论
这项研究使用演绎方法来开发集成的风险管理框架,以对组织面临的威胁和风险的综合列表进行分类。它还评估这些风险,并最终确定潜在风险的适当响应。这种演绎方法利用了先前研究的发现和公司治理的基础理论。对内部控制框架和公司实践的分析诊断将刻画IT和治理领域。这种情况将有助于确定整个框架的相互关系以及任何重叠和不足之处。在拟议的内部控制综合框架下,公司将能够调整框架以适应其整体战略和运营环境。
研究范围
本文的范围仅限于COSO报告(1992年发布,2013年修订)和2004年引入的ERM。此类框架代表了现在引用最广泛的模型。但是,由于它们高度凝结,并且无法根据所需的特异性水平确定控制目标,因此其有效性受到一定程度的限制(Rubino和Vitolla,2014)。确实,在当前情况下,在IT治理中达到最佳有效性水平的可能性不大。因此,本文结合了COBIT5,该COBIT5提供了一组详细的潜在客户控制和清单,从而有可能克服这些框架的弱点。
COBIT5,COSO报告和企业风险管理之间的关系
这三个框架在许多方面是互补和兼容的。首先,为实现公司目标,业务要求的信息必须被满足。如图1所示:
图1.COBIT5信息标准,COSO和ERM目标之间的相互作用来源:Rubino和Vitolla(2014);由作者调整。
图1揭示了前四个信息标准对应于COSO和ERM的三个目标。其余信息标准是IT控制模型的典型代表,可帮助提高信息质量,同时考虑信息安全性的主要要素。因此,实现这些目标将导致组织实现其战略目标。
其次,COBIT5基于37个高级控制流程,这些流程定义和详细描述了许多治理和管理流程。它代表了企业IT活动中通常发现的所有流程。COBIT5列举了治理与管理之间的明显区别。
ISACA(2012)进一步断言,由治理主体设立的管理计划、构建、运行和监控活动应与企业目标保持一致,并且上述活动最终是执行管理层的责任。
图2清楚地描绘并区分了各种活动以及治理和管理的不同职责。治理的作用是评估,指导和监督(EDM)。另一方面,管理包含四个领域:统一,计划和组织(APO);管理,计划和组织。建立,获取和实施(BAI);传递,服务和支持(DSS)以及监视,评估和评估(MEA)。下表将COBIT5的每个高级流程映射到各个组件和COSO原则。
从表1可以明显看出,这三个框架是相互兼容和互补的,并且存在许多相似和不同的活动。因此,它们之间的集成将帮助组织避免重复设计和应用于内部控制,从而消除一些非增值活动。通过风险管理以及使组织的战略和运营目标与信息技术的目标保持一致,可以降低成本并获得竞争优势。
结论:
利用有关公司治理,信息技术风险和治理的现有文献,我们开发了一个集成框架,该框架使企业战略和运营控制以及ERM,COSO和COBIT5的流程与IT治理原则保持一致。基于这些运营控制,我们描绘出IT治理受五个公司领域的影响。这些领域包括(但不限于)IT:战略调整、价值传递、资源管理、风险管理和绩效评估。将这些域与IT控制一起进行协调,应该可以形成适当的IT治理结构。
此外,这种集成的框架不仅可以使业务和IT管理部门解决组织的重大IT和战略风险,而且还可以促进IT和业务管理部门在实现股东财富最大化方面的目标达成一致。预计该框架还将增强监管合规性。在我们统一的框架下,期望公司在采用适当的IT治理时,利用我们所提议的ERM,COSO和COBIT5之间的结构关系。
信息技术内部控制弱点和企业的市场价值
1.引言
本文研究了在年度财务报表中向SEC发布的与IT相关的内部控制弱点对上市公司股价的影响。在21世纪初期发生安然,世通公司和其他公司的财务丑闻之后,国会通过了2002年的《上市公司会计改革和投资者保护法》(通常称为《萨班斯-奥克斯利法案》或SOX)。该法案的关键部分要求公司管理层及其审计师在财务报告体现对内部控制的评估,并描述内部控制中的任何重大缺陷。内部控制是旨在实现高效运营,可靠的财务报告以及遵守法律法规的目标的政策和程序。由于IT在组织的运营、财务报告和合规性中扮演着越来越重要的角色,因此与IT相关的控制是整个内部控制中重要的一部分。IT必须建立和运行类似于业务流程方面的治理流程,以遵守SOX(Maruizio等人,2007)。
对内部控制弱点的最新研究支持以下观点:报告内部控制弱点的公司风险更高,流程更不成熟,并且总体上财务状况欠佳(Ashbaugh-Skaife等,2007;Ogneva等,2007),并且有更多财务报告的虚假陈述(Klamm和Watson,2009年)。与IT相关的控制弱点(ICTW)也可能导致安全漏洞,从而造成IT资产的机密性、完整性和可用性丧失等毁灭性损失(Ponemon,2016年)。ITCW的报告应引起市场反应,因为它们反映出没引起注意的财务报表错误,管理层为操纵收入而采取的故意行为以及与IT相关的安全事件造成损失的风险增加。鉴于这种风险的增加,人们可以期望投资者以较低的股价来惩罚那些报告了ITCW的公司。此外,Weill和Ross(2005)报告说,具有有效IT治理能力公司的利润比没有采用有效IT治理能力的类似策略的公司高20%。
有大量的研究利用事件研究方法来研究市场对各种IT投资的公告或报告的反应(Jory等,2010;Daniel等,2009;Dewan等,2007;Roztocki和Weistroffer,2004年;Tanriverdi和Ruefli,2004年;Dehning等人,2003年;Im等人,2001年;Hayes等人,2000年;DosSantos等人,1993年),与IT控制失败相关的负面结果(Benaroch,等人,2012年;Acquisti等人,2006年;Covusoglu等人,2004年),以及一般的内部控制弱点(不区分与IT相关和与非IT相关的控制弱点)(Ittonen,2010年;Ashbaugh-Skaife等人)等人,2009;Hammersley等人,2008;Ashbaugh-Skaife等人,2007;Ogneva等人,2007)。文献中缺少的是对资本市场认为与IT相关的内部控制的价值的研究。这项研究通过衡量ITCW报告的市场影响的事件研究来弥补文献中的空白。本文解决的问题是:市场是否了解IT控制的价值?更重要的是,市场是否可以区分IT和非IT内部控制弱点?这是一项重要的贡献,因为要求报告内部控制弱点的原因是要提醒市场风险增加。
2.背景
《萨班斯-奥克斯利法案》的背景。安然公司,世通公司和其他公司在21世纪初期的财务丑闻使2002年《上市公司会计改革和投资者保护法》(通常称为《萨班斯-奥克斯利法案》或SOX)获得通过。通过了该法令,以解决公司问责制问题,并通过恢复对金融市场程序的信心来稳定金融市场。该法律要求所有SEC注册人及其审计师独立报告公司财务报告(包括与IT相关的财务报告)的内部控制的有效性。随着IT系统与公司运作的各个方面之间的相互联系越来越紧密(加拿大等,2009),如今,IT治理和审计已被带到每位负责公开报告其组织财务成果的高管人员的面前。
IT治理。尽管IT通常代表着最有价值和最缺乏了解的资产组合(COBIT,2007年),但对于许多公司的关键决策者而言,IT治理仍然是一项挑战(Weill和Ross,2005年)。在当今互连的业务环境中,对IT系统的有效控制至关重要。IT控件规范IT应用程序、系统、平台、环境,并包括对系统、程序和数据的访问;计算机操作;以及程序开发和变更管理。为了遵守第404节的内部控制评估和报告要求,公司和审计师必须在财务报告的控制目标与IT的控制目标之间建立联系。
1992年,IT治理研究所(ITGI)发布了第一版的信息和相关技术控制目标(COBIT),这是一个最佳实践和控制目标的框架,用于管理IT资源以提供公司实现其业务所需要的
剩余内容已隐藏,支付完成后下载完整资料
资料编号:[235595],资料为PDF文档或Word文档,PDF文档可免费转换为Word
以上是毕业论文外文翻译,课题毕业论文、任务书、文献综述、开题报告、程序设计、图纸设计等资料可联系客服协助查找。
