賽迪顧問-集團企業(yè)IT內控體系建設

PAGE3賽迪顧問股份有限公司版權所有。未經協(xié)議授權，禁止提供給其它單位或個人。集團企業(yè)IT內控體系建設集團管控與IT內控體系建設集團管控模式對IT內控的要求中國集團企業(yè)的管控模式集團公司管控模式的確定是一個復雜的體系，它要涉及到三個層面的問題：首先是狹義管理模式的確定，即總部對下屬企業(yè)的管控模式；其次是廣義管控模式，它不僅包括狹義的具體的管控模式，而且包括公司的內控結構的確定、總部及各下屬公司的角色定位和職責劃分、公司組織架構的具體形式選擇(直線職能制、事業(yè)部制、矩陣制、子公司制、及多中心網絡式)、對集團重要資源的管控方式(如對人、財、物的管控體系)以及績效管理體系的建立；第三個層面是對與管控模式相關的一些重要外界因素的考慮，涉及到業(yè)務戰(zhàn)略目標、人力資源管理、工作流程體系以及管理信息系統(tǒng)?？偛繉ο聦倨髽I(yè)的管控模式，按總部的集、分權程度不同而劃分成“業(yè)務管控型”、“戰(zhàn)略管控型”和“財務管控型”三種管控模式。這三種模式各具特點：業(yè)務管控型總部從戰(zhàn)略規(guī)劃制定到實施幾乎什么都管。為了保證戰(zhàn)略的實施和目標的達成，集團的各種職能管理非常深入。如人事管理不僅負責全集團的人事制度政策的制定，而且負責管理各下屬公司二級管理團隊及業(yè)務骨干人員的選拔、任免。在實行這種管控模式的集團中，各下屬企業(yè)業(yè)務的相關性要很高。為了保證總部能夠正確決策并能應付解決各種問題，總部的職能人員的人數會很多，規(guī)模會很龐大。戰(zhàn)略管控型集團總部負責集團的財務、資產運營和集團整體的戰(zhàn)略規(guī)劃，各下屬企業(yè)(或事業(yè)部)同時也要制定自己的業(yè)務戰(zhàn)略規(guī)劃，并提出達成規(guī)劃目標所需投入的資源預算。總部負責審批下屬企業(yè)的計劃并給予有附加價值的建議，批準其預算，再交由下屬企業(yè)執(zhí)行。在實行這種管控模式的集團中，各下屬企業(yè)業(yè)務的相關性也要求很高。為了保證下屬企業(yè)目標的實現(xiàn)以及集團整體利益的最大化，集團總部的規(guī)模并不大，但主要集中在進行綜合平衡、提高集團綜合效益上做工作。這種模式可以形象地表述為“上有頭腦，下也有頭腦”。目前世界上大多數集團公司都采用或正在轉向這種管控模式。財務管控型圖SEQ圖\*ARABIC1集團管控模式對IT內控的差異化要求集團IT內控的定義IT內控是針對信息化建設、管理的科學理論與方法。企業(yè)IT內控體系是應用管理控制的概念，結合IT治理的思想，研究在企業(yè)信息化建設周期中的規(guī)劃、實施、運行和后評估等不同的階段，如何使企業(yè)信息系統(tǒng)建設與企業(yè)業(yè)務發(fā)展進行匹配，整合企業(yè)核心競爭力，實現(xiàn)企業(yè)信息化最大價值的體系。用一句話表示，IT內控要求對信息化建設、管理做出組織化、制度化的安排。在這個體系中要研究信息化工作管理部門組織的管理模式和流程，建立企業(yè)信息化管理控制機制，包括信息化工作管理部門在企業(yè)中的戰(zhàn)略定位，內部基于面向服務的管理流程，界定與其他相關部門的流程關系，建立信息化風險管理控制體系。IT內控體系體現(xiàn)企業(yè)信息化服務價值鏈的關系，實現(xiàn)企業(yè)整體價值最大化：通過組織管理控制手段，保障系統(tǒng)、流程、數據均衡發(fā)展；明確企業(yè)信息化部門和專業(yè)部門之間的關系和責任；清晰定義分工界面和管理控制流程；正確劃分信息系統(tǒng)的所有者、建設者和管理者；加強對流程執(zhí)行的管理控制，明確流程交接的邊界和流程的負責者；充分發(fā)揮企業(yè)信息化建設工作的價值，確保信息化戰(zhàn)略和企業(yè)戰(zhàn)略相吻合，從而支撐企業(yè)的運營和管理。IT內控作為IT治理的一個子環(huán)節(jié)已成為一種用來指導和控制企業(yè)的結構和流程，目標是通過增加價值，同時平衡IT流程的風險和回報，取得公司的目標的有力工具之一。公司治理和IT內控已密切交纏，公司治理已經日益關注直接或者間接的影響了IT和IT內控所采用的方向。公司治理(CorporateGovernance)是屬于企業(yè)制度層面的內容，其核心在于企業(yè)通過權力制衡，監(jiān)督管理者的績效，保證股東和其他利益相關主體的權利。IT治理是公司治理的一個有機組成部分，它包含領導力、組織結構和流程等制度和機制，其確保IT維續(xù)和擴展組織的戰(zhàn)略和目標。IT治理包含了以下幾層含義。首先，IT治理是公司治理的一個有機組成部分。信息化建設中一個共識已經達成，即企業(yè)信息化是企業(yè)經營管理的一個有機組成部分，目前，信息部門已經是企業(yè)的一個重要部門，CIO是企業(yè)管理層的重要成員，信息化服務和管理流程也逐步融合到了企業(yè)的業(yè)務管理流程中。但在進一步推進信息化建設過程中，我們還必須達成另一個共識，即IT治理是公司治理的一個有機組成部分，它體現(xiàn)了股東、董事會和管理層對信息化建設的關注。其次，IT治理是一種制度和機制，包含了管理和制衡IT與業(yè)務匹配、IT投資價值、IT風險和IT績效的領導力、組織結構和流程。再次，IT治理的目標是實現(xiàn)股東和其他利益相關主體對信息化建設的監(jiān)督與制衡，以保證信息化建設能夠真正落實和貫徹組織業(yè)務戰(zhàn)略和目標。內控體系建設既是適應外部監(jiān)管的迫切需要，更是企業(yè)建立現(xiàn)代制度實現(xiàn)可持續(xù)發(fā)展的內在要求，良好的內控體系是建立現(xiàn)代企業(yè)制度、確保企業(yè)順利實現(xiàn)經營目標的重要保證。風險管理作為公司治理的的驅動，同時也是IT內控的外部驅動元素，適當的治理減少了可能帶來潛在成本的風險暴、提供了信息化決策的信息庫、也提供了全面的卻可變的\o"AMT咨詢服務：IT規(guī)劃"規(guī)劃框架。圖SEQ圖\*ARABIC2公司治理、IT治理、IT內控與風險管理的關系1.2.1IT內控涉及的相關標準COSO報告COSO報告定義了內部控制，描述了它的組成，并提供了標準措施，使控制系統(tǒng)得以評價。這份報告對內部控制公開報告提供了操作指南，并為管理層、審計師和其他人員提供了用于評價內部控制系統(tǒng)的資料。這份報告的兩個主要目標是：(1)建立能服務于許多不同的當事人的共同的定義；(2)提供一個組織能評估其控制系統(tǒng)和確定如何改善控制系統(tǒng)的標準措施。定義：COSO報告對內部控制的定義是，受組織的董事會、管理層和其他人員影響的一個過程，內部控制的設計為以下類別的目標得以實現(xiàn)提供了合理的保證：經營的效果的和效率；財務報告的可靠性；遵循適用的法律和法規(guī)。這份報告強調了內部控制系統(tǒng)是管理的工具，但不能替代管理；并且控制應建立在經營活動當中，而非經營活動之上。盡管這份報告將內部控制定義為一個過程，但它建議對某個時點的內部控制的有效性作評價。內部控制系統(tǒng)包含五個相關的組成：(1)控制環(huán)境，(2)風險評估，(3)控制活動，(4)信息和溝通，(5)監(jiān)測。COBIT:信息和相關技術的控制目標COBIT是美國信息系統(tǒng)審計與控制協(xié)會綜合了多個標準，從控制和審計角度出發(fā)提出的一套衡量IT應該滿足目標、衡量指標的體系。運用該體系，可以提高IT與業(yè)務目標的一致性，提高IT資源利用效率，并有效管理IT的風險。圖SEQ圖\*ARABIC3COBIT標準的框架COBIT的主要框架包含IT流程、IT資源、IT信息準則。COBIT給出了在不同的IT生命周期的流程中，對不同的IT資源的關鍵控制點和需要達到的信息準則目標。COBIT框架允許管理層為信息技術環(huán)境的安全和控制實踐定基準，允許信息技術服務的用戶確信存在充分的安全和控制，允許審計師對內部控制作具體化的意見，并允許審計師商量信息技術和控制方面的事情。提供這個框架的主要動因是能夠為貫穿于整個產業(yè)范圍內的信息技術控制開發(fā)清楚的政策和良好的實踐。COBIT對控制的定義適應來自COSO的要求：即政策、程序和組織結構的設計是對經營目標可以實現(xiàn)以及意外事件能得到預防或檢查和糾正提出合理的保證。COBIT對信息技術控制目標的定義適應了SAC的要求：即通過在特定的信息技術活動中實施控制程序，完成所要求的結果和目標的陳述。COBIT強調了與經營過程有關的信息技術控制的作用和影響。COBIT將信息技術資源歸為數據、應用系統(tǒng)、技術、設施和人力。數據得到了最廣意義的定義，它不僅包括編號、正文和日期，而且包括圖形和聲音。應用程序可理解為人工程序和編程程序的總和。技術是指硬件、操作系統(tǒng)、網絡設備等。設施是用于房間和支持信息系統(tǒng)的資源。人力是針對個人的技能以及計劃、組織、取得、傳送、支持和監(jiān)控信息系統(tǒng)和服務的能力。在對信息技術管理實踐的信息技術基礎設施庫（ITIL）分析的基礎上，英國的COBIT報告將信息技術過程分為四類，它們是（1）規(guī)劃和組織，（2）取得和實施，（3）傳送和支持，（4）監(jiān)測。這個自然的分類過程證實了組織結構的責任范圍，并遵循了在任何信息技術環(huán)境下應用于信息技術處理的管理周期或生命周期。這份報告舉例說明了信息技術資源和四個信息技術過程范圍的關系，并列出了在四個范圍內的34個單個的過程。COBIT為經營過程所有者提出了控制的框架。管理層被完全賦予對經營過程的所有責任和權力正日漸增多。COBIT包任內部控制和信息技術控制目標的定義、四個過程范圍以及34個高水平的控制陳述，271個控制目標。ISO17799：信息安全管理實施細則ISO17799(BS7799)為目前國際上最知名的安全規(guī)范，BS7799是由英國標準協(xié)會BritishStandardsIn-stitution于1995年提出，在2000年修訂改版并于當年10月提交國際標準組織，國際標準組織于2001年2月正式將該標準轉化為國際標準。ISO17799(BS7799)得到世界范圍的關注，被認為是主要的信息安全標準?，F(xiàn)在已經為英國、澳大利亞、德國、芬蘭、印度、日本、中國香港特區(qū)以及臺灣省等29個國家和地區(qū)廣泛采用。BS7799廣泛涵蓋了所有的信息安全議題，如安全方針的制定、安全責任的歸屬、風險的評估、定義與強化安全參數及訪問控制，甚至包含防病毒的相關策略等，適用于各種產業(yè)與組織。許多國家的政府機構、銀行、保險公司、電信及電力企業(yè)、網絡公司及跨國公司均已紛紛采用，并收到了良好的效果和回報。ISO17799:2005標準（即BS7799第一部分），是信息安全管理實施細則（CodeofPracticeforInformationSecurityManagement），其中包含11個主題，定義了133個安全控制。有10個以文獻形式體現(xiàn)各種控制主題，其范圍從來自第三方合同的風險識別，報告各種可能的安全事故到密碼管理系統(tǒng)和用戶培訓。這十個章節(jié)和它們的客觀目標在BS7799中第二部分中有詳細描述，大致可總結為：信息安全方針--為信息安全提供管理方向和保障；組織安全--建立組織內的管理體系以便安全管理；資產歸類和控制--維護組織資產的適當保護系統(tǒng)；人員安全--減少人為造成的風險；實物和環(huán)境安全--防止對關于IT服務的未經許可的介入，損傷和干擾服務；通訊和操作管理--保證通訊和操作設備的正確和安全維護；訪問控制--控制對商業(yè)信息的訪問；系統(tǒng)開發(fā)和維護--保證安全建造進入安全系統(tǒng)；商業(yè)連續(xù)性管理--防止商業(yè)活動中斷及保護關鍵商業(yè)過程不受重大失誤或災難事故的影響；遵守--避免任何違反法令、法規(guī)、合同約定及其他安全要求的行為。PRINCE2PRINCE2（ProjectsInControlledEnvironments）是一種對項目管理的某些特定方面提供支持的方法。PRINCE2描述了一個項目如何被切分成一些可供管理的階段，以便高效地控制資源的使用和在整個項目周期執(zhí)行常規(guī)的監(jiān)督流程。PRINCE2的視野并不僅僅限于對具體項目的管理，還蓋了在組織范圍對項目的管理。各種標準之間的關系COBIT與ITIL應該說這兩個標準都是以業(yè)務為核心，而且驅動和價值體現(xiàn)都是業(yè)務。COBIT重點關注IT的控制以及度量指標，但是沒有告訴我們流程，ITIL重點是服務的流程，因此在管控領域，更多的是兩種的組合是使用，當然也可以引入一些其他的專用標準，比如在安全方面，可以更多的使用ISO7799。圖SEQ圖\*ARABIC4各個標準之間的關系IT內控體系對集團企業(yè)經營管理的作用隨著企業(yè)規(guī)模的擴張，集團領導者管理半徑與管理深度增大，提高集團的精細化管理和技術創(chuàng)新能力越來越突出地擺在面前。于是，從集團總部到事業(yè)部、各產業(yè)公司的逐級監(jiān)控管理問題，跨行業(yè)發(fā)展帶來信息系統(tǒng)的兼容問題，IT資源整合及協(xié)調問題，總部及時監(jiān)控下屬公司的財務、運營問題等，諸多問題被提上日程。集團企業(yè)常常有一大堆基礎架構，并在這之上構建了一系列的應用系統(tǒng)，各種生產系統(tǒng)還有各種各樣運營系統(tǒng)數量非常龐大，在這之上支撐了多種多樣的業(yè)務流程，在這之上最終形成財務報告。通過IT內控可以促使企業(yè)內部的作業(yè)流程最大限度做到透明化、可控制、有效風險管理和欺詐防治，并且這些流程必須詳細記錄，乃至到可追查交易源頭。合理利用信息資源，促使集團整體收益最大化信息化管控是通過對信息化工作過程的管理和控制來實現(xiàn)其工作目標。在保持信息化戰(zhàn)略目標與業(yè)務目標一致、合理利用信息資源、控制信息化相關風險的前提下，建立信息化管控體系，促使集團整體收益最大化。通過信息化管控體系對信息資源的管理職能進行有效管理和對業(yè)務流程中的資源合理利用。結合公司實際情況，逐步統(tǒng)一信息系統(tǒng)規(guī)劃的原則、架構、接口、數據、安全等重點問題，實現(xiàn)本公司規(guī)劃與集團公司規(guī)劃的互動和相互補充。并在充分考慮支撐成本、支撐效果、風險規(guī)避等因素的基礎上，向以自我支撐為主、外包為輔的支撐方向發(fā)展，逐步建立一支高水平的、相對穩(wěn)定的信息化支撐隊伍，同時不斷提高自我支撐能力和支撐范圍。根據企業(yè)發(fā)展戰(zhàn)略方針，結合信息化發(fā)展現(xiàn)狀，成立專門的信息化工作部門負責信息化工作的統(tǒng)籌安排、協(xié)調和提出重大決策意見。規(guī)范信息化管理工作，開展規(guī)范、有序的規(guī)劃工作，明確本公司信息系統(tǒng)的實施路線。從而將企業(yè)的業(yè)務目標和信息化戰(zhàn)略目標的信息需求和功能需求整合起來，保持信息化戰(zhàn)略目標與業(yè)務目標一致，形成總體的信息化管控體系框架和系統(tǒng)整體模型。完善集團IT治理結構，構建現(xiàn)代企業(yè)制度IT控制是公司治理及IT治理必不可少的組成部分，因為集團需要企業(yè)的審計系統(tǒng)來保證財務數據的完整性和對會計原則的遵循，因此首先也面臨著整合企業(yè)的內部控制和管理信息系統(tǒng)這個大任務。IT內控體系加大信息系統(tǒng)在總體控制方面的責任，在信息系統(tǒng)對管理流程的介入程度上，采取自上而下的基于風險管理的分配原則，盡量縮減成本，同時實現(xiàn)內控的合理化。實現(xiàn)流程和控制的集中化，建立一個好的集中身份管理措施和授權措施，以及加強包括用戶身份、網絡安全、系統(tǒng)安全在內的保護措施都是建立好的管理流程的要素，從而促進IT治理的完善，確保IT控制符合公司內部控制的要求。要實現(xiàn)有效的IT內控，在制定目標時，結合IT原則、架構、IT基礎設施、IT商業(yè)應用和IT投資綜合考慮，同時在組織上保障決策的制定和監(jiān)控，因此也會借助這些過程作為載體來構建和完善現(xiàn)代企業(yè)制度。IT內控通過確定公司的主要經營活動以及與這些經營活動相關的業(yè)務流程和活動，明確集團控制的范圍；通過界定工作范圍，定義具體的控制對象；通過對控制對象進行風險分析、評估，決定每項風險的管理策略，制定企業(yè)具體的控制程序、控制目標以及審計標準；通過對對現(xiàn)行的運作進行評估，實施變革以達到預定目標；最后，評價控制措施的實施后果，加以鞏固或改進。規(guī)避集團企業(yè)風險，確保實現(xiàn)總體戰(zhàn)略目標作為集團企業(yè)，提升自身的IT內部控制能力，就是要對風險進行更有效的控制。通過風險管理方法規(guī)避企業(yè)發(fā)展過程中的信息化相關風險，在建立信息化管控體系的基礎上，進行信息化能力評價的試行工作，確定能力指標的現(xiàn)狀值；根據業(yè)務目標，明確能力指標的目標值。同時，制定信息資源的保護級別，強調關鍵的信息技術資源，有效實施監(jiān)督控制和事故處理等方法。初步改變目前信息系統(tǒng)工程超期、信息化客戶需求沒有滿足、信息化平臺不支持業(yè)務應用等現(xiàn)狀，進而保證投資的回收并支持決策、改善管理效率。其作用不僅僅為了促進企業(yè)內控能力的改善，規(guī)避內部的風險，而且將企業(yè)放入到整個行業(yè)中進行綜合的分析，通過識別整個外在環(huán)境，規(guī)避行業(yè)中存在的風險，當然風險控制只是IT內控中的一個子集，企業(yè)的信息化建設是為公司的戰(zhàn)略和業(yè)務發(fā)展服務的，因此可以通過IT內控發(fā)現(xiàn)企業(yè)中存在的問題，保持IT與業(yè)務目標一致，推動業(yè)務發(fā)展，促使收益最大化，以確保組織信息系統(tǒng)的發(fā)展能夠始終沿著正確的方向進行，確保企業(yè)的總體戰(zhàn)略目標的實現(xiàn)。完善IT績效考核體制，提高企業(yè)IT管理效能信息化管控“不能度量就無法管理”，尤其是業(yè)務層和董事層的責任，如果缺少可靠的度量標準和用于衡量價值、績效及行業(yè)可比性的基準，就不能有效地發(fā)揮作用。因此，完善企業(yè)IT績效考核體系，保證集團進行IT高效管理的保障。通過IT內控體系建設，幫助企業(yè)建立了完善的IT績效考核體制，在對各類IT管理流程進行嚴格控制的過程中，應用符合企業(yè)管理特點的KPI指標，對執(zhí)行的效果進行量化、評估。并將量化結果作為檢驗IT管理績效的衡量基準，發(fā)現(xiàn)管理中存在的潛在問題，及時加以解決，進而提高企業(yè)IT管理效能。

集團IT內控建設現(xiàn)狀研究國內集團IT內控概況通過對大型集團企業(yè)高管的調查中我們發(fā)現(xiàn)，81%的公司認為需要更有效地將IT治理和業(yè)務戰(zhàn)略結合起來。78%的認為要改進IT的價值提升，還有64%的人認為要改進和強化風險管理和規(guī)劃，通過這三個數字可以看出，IT內控的正規(guī)化前景還是被看好的。目前我們國內企業(yè)會將其收入的4.2%多用于IT投資，這個比例目前還在上升。這也同時意味著，公司將每年總資本投資額的50％用于IT。隨著IT越來越重要和普遍，也越來越要求公司對此進行管理和控制，以保證IT能夠創(chuàng)造相應的價值。而在許多公司，對IT進行集中管理已經變得不可能或者不可取了。為了解決這個問題，許多公司正在建立或者改革其IT內控結構，以鼓勵那些促使公司達到業(yè)務績效目標的行為。IT原則方面：IT原則是其他項IT決策的基礎，指明所有決策的方向。如果原則不清楚，其他決策的結合不可能有意義。IT投資所要達到的戰(zhàn)略目標的清晰程度，以及企業(yè)長期信息技術建設的規(guī)劃狀況不夠明晰的企業(yè)比例較大，占40％左右。這是我國企業(yè)信息技術應用狀況不理想的決定性原因。IT架構方面：企業(yè)標準化編碼實現(xiàn)程度大部分著手進行或已經實現(xiàn)，而且半數以上的企業(yè)實現(xiàn)了綜合方式的業(yè)務運作與流程，實踐效果比較好。IT基礎設施方面：信息安全防護系統(tǒng)的完善狀況以及信息技術管理的完善狀況較令人滿意，綜合IT架構的應用情況，表明管理者較為重視信息技術的硬件設施及系統(tǒng)開發(fā)應用和相應設備人員的管理，但30％的企業(yè)沒有專門的信息技術培訓，從側面反映了企業(yè)不重視員工對信息技術的掌握能力，有可能導致企業(yè)IT能力無法持續(xù)增長。業(yè)務應用需要方面：投資IT的目的是為了打破現(xiàn)有流程，實現(xiàn)某種突破創(chuàng)，但約20%的企業(yè)很大程度上不了解本企業(yè)的業(yè)務應用需要，IT投資帶有極大的盲目性。IT投資及優(yōu)先權方面：90％的企業(yè)綜合考慮各個部門的需要，組合分配IT投資資金，這樣做可以全面提高企業(yè)的信息化水平，但不排除各個部門相互爭奪IT資金，決策者為求平衡出此下策的可能。在對IT總體投資額度的確定方面呈現(xiàn)比較極端化的趨勢，一些企業(yè)從未參照行業(yè)標準，另一些企業(yè)初始和追加投資均參照行業(yè)標準，一定程度上反映了我國企業(yè)信息化水平的參差不齊。50％的企業(yè)IT投資時優(yōu)先考慮購買外部服務商提供的新系統(tǒng)，較少自行研制開發(fā)，同時高管層將外包視為解決IT問題的快捷途徑，更愿意將IT業(yè)務交由外部服務供應商負責，這反映了我國企業(yè)信息化處于不成熟期，但同時也表明企業(yè)對信息化的認識開始提高，他們認識到全部自己搞信息化的無必要性，所以會選擇外包，不過完全由別人來開發(fā)可能對企業(yè)的核心業(yè)務不利，因此，外包企業(yè)要適當地增加自身的信息技術能力。內控意識方面：我國企業(yè)的IT內控意識相對較低，對IT的認識還停留在技術和管理層面，直接參與決策的人數少，對自身承擔的IT決策權力與責任的明晰程度低。所以要發(fā)揮IT內控能力，增強企業(yè)競爭優(yōu)勢，必須著力加強管理者內控意識的培養(yǎng)。IT內控能力與內控有效性：所謂內控能力是內控主體應用內控工具對內控客體進行內控的能力。具體分為三類：結構能力——構建有效的IT內控主體負責信息技術決策；協(xié)調能力——將戰(zhàn)略性IT決策的制定、IT監(jiān)督程序固定化和制度化；關系能力——企業(yè)高層管理者、IT管理者與業(yè)務主管之間活躍的參與合作的關系以及IT決策的溝通機制。IT內控能力方面：目前對于集團企業(yè)IT內控能力，結構能力和關系能力企業(yè)應用比例較高，說明我國企業(yè)在有意識地加強該方面能力的建設。企業(yè)雖然重視結構能力和關系能力，但其作用效果并不好，不能夠發(fā)揮其應有的提高企業(yè)決策科學性和加強學習共享及溝通的作用，這兩項能力建設有待進一步完善。協(xié)調能力的建設是保證IT內控實現(xiàn)內控目標和企業(yè)目標的重要手段。它的實現(xiàn)程度代表了企業(yè)的IT決策和業(yè)務的融合程度以及IT戰(zhàn)略投資和公司戰(zhàn)略目標的結合程度。但采用投資批準程序和服務水平協(xié)議的企業(yè)比例不足一半，但在國外的集團企業(yè)中，此項能力的應用比例平均達到了80％以上。與國外相比，我國企業(yè)還存在較大差距，我國企業(yè)應重點加強協(xié)調能力的建設。內控有效性分析：60％以上的企業(yè)認為信息技術有效性的發(fā)揮在平均分以下，普遍認為自身IT水平較低。與發(fā)達國家相比我國企業(yè)IT內控的績效較差；另一方面，我國企業(yè)間IT內控的績效也存在較大差距，發(fā)展不平衡。集團IT內控存在的問題2.2.1集團企業(yè)IT內控建設走入的三大主要誤區(qū)總的來說，企業(yè)對待IT內控的態(tài)度存在幾個誤區(qū)：誤區(qū)一，純粹從硬件和軟件角度來看IT，而不是從應用層面去考慮。誤區(qū)二，企業(yè)追求獨立核算的管理方式，從某種程度上也導致很多企業(yè)的下屬部門調配過分分明。過去國內很多大企業(yè)在管理上提倡內部承包，結果企業(yè)沒有了內部整合的力量，由此出現(xiàn)了信息孤島。為什么中國現(xiàn)在很多企業(yè)出現(xiàn)內耗，很重要的原因是內部核算過于清楚。誤區(qū)三，信息部門之間，包括企業(yè)的高層領導，對信息的理解度還比較低，也沒有很大的耐心，所以在董事會里面，基本上很少談到IT是做什么的。董事們談兼并收購，談產品開發(fā)，談融資，就不談IT內控。事實上，國外的調查也顯示，只有三分之一的董事會會談及IT內控的問題。從內控結構上來