1999年,英国BIS发布了《内部控制:综合准则董事指南》(Internal Control:Guidance for Ditectors on the Combined Code,Turnbull Report,1999)报告。该报告认为,企业风险来自于许多方面,而不仅是财务风险。因为事实说明,在金融界所有过去的风险问题都是由内部控制疏忽、信息技术失败引起的,而且与企业对信息技术基础设施的依赖和应用新技术的风险密切相关,并呼吁高层领导树立风险意识。从此,公司治理和风险管理成为企业所有者与管理者日益重要的问题。此报告强调了IT的双重性,即一方面信息技术支持企业的信息数据资产,帮助企业在市场竞争和商业环境中提高反应速度、降低成本,另一方面,IT和IT应用也存在着风险,也要注意“管理”。因此企业中的关键信息系统,既要与企业的发展战略相匹配,确保“公司治理”有效、透明,同时也要规避IT自身的风险。
1999年下半年,国际信息系统审计与控制协会(ISACA)成立了IT治理研究院,专门研究IT治理的概念,并提供了信息及其相关技术的管理体系模型和最佳实务,帮助企业领导层认识有效实施IT治理的必要性与益处,从而保证长期的可持续的成功,并且增强利益相关者的价值。
目前,该体系已在世界100多个国家和地区的重要组织与企业中成功运用,指导这些组织有效利用信息资源,有效地管理信息相关的风险。研究与探讨IT治理,对于信息化的探索和实践有着重要的借鉴意义。
2002年,在安然事件后的一片混乱中,美国颁布了萨班斯一奥克斯利法案(简称“萨班斯法案”)。作为萨班斯法案中最重要的条款之一,404条款明确规定了管理层应承担设立和维持一个应有的内部控制结构的职责。该条款要求上市公司必须在年报中提供内部控制报告和内部控制评价报告;上市公司的管理层和注册会计师都需要对企业的内部控制系统作出评价,注册会计师还必须对公司管理层评估过程以及内控系统结论进行相应的检查并出具正式意见。
由于大多数公司都高度依赖基于信息技术的控制措施,因此“萨班斯法案”出台,迫使许多公司在IT治理方面都加大了投入,升级了陈旧的系统,提高了运效率,提升了公司的内部控制和IT治理水平。
在建立信息系统审计制度,开展信息系审计研究方面,美国走在了前面。早在计算机进入实用阶段时,美国就开始提出系统审计(SYSTEM AUDIT)。1969年洛杉矶成立了电子数据处理审计师协会(EDPAA),1994年该协会更名为信息统审计与控制协会(INFORMATION SYSTEM AUDIT AND CONTROL ASSOCIATION)即ISACA,总部设在美国芝加哥。目前该组织在世界上100国家设有160多个分会,现有会员两万多人,它是从事信息系统审计的专业人员唯一的国际性组织,CISA(Cetified Information system Auditor)也是这一领域的唯一职业资格。
信息系统审计与控制协会通过制定和颁布信息系统审计准则、实务指南等标准来规范和指导信息系统审计师的工作;它还设立了信息系统审计与控制基金会,从事相关领域的研究工作,以使该组织的成员能够享用其最新研究成果;通过在世界各地举办各种形式的研讨会、培训班等活动,增进国际间同业人员的交流。ISACA每年还举办CISA资格考试,通过考试的人员可以申请CISA资格,ISACA规定的工作经验及其他相关要求的申请人会被授予CISA资格。CISA在世界各国都被广泛的认可。
随着各种国际标准化组织的不断总结,国际上各种参考标准已经形成一个相当庞大的阵容,这些标准涉及了企业管理的各个方面,从各个层面规范着企业的运作,下图列示出了当前在企业管理主要领域的标准分布情况。
目前国外IT治理标准及辅助手段主要有COBIT、ITIL、ISO/IEC17799:2000、PRINCE2、COSO等。
(1)COBIT 4.1----信息和相关技术的控制目标。作为IT处理过程和将IT与公司业务要求相连接的控制框架,从1998年的管理方针的增加版开始,COBIT现在越来越多地作为IT治理框架来使用,提供诸如衡量标准和成熟度模型的管理工具以补充控制框架。
(2)ITIL V3----IT基础结构库。集了在IT服务管理方面的最佳实务。它关注IT服务过程并考虑了使用者的核心作用。
(3)ISO/IEC17799:2000----信息安全管理实务准则。是一个基于BS7799-1国际标准。它是作为实施信息安全管理的最佳实务来提出的。
(4)PRINCE2----受控环境中的项目。为包括IT项目在内的项目管理提供了通用的管理方法,内置了在项目管理实践中己证明成功的最佳实践。
(5)COSO----内部控制整合框架。给引进内控的完整过程定义了一个框架。