第一章绪论
第一节 选题背景及意义
一、选题背景
首届世界互联网大会于 2014 年 11 月在被誉为未来“东方达沃斯”的浙江桐乡乌镇拉开帷幕。峰会的主题为“互联互通,共享共治”。近年来,企业对 IT 的投资不断加大,高 IT 密集度的企业数量不断增加,IT 运营早已大规模辐射到了互联网行业、金融和通信行业以及传统制造业。随着 IT 在企业组织中的应用层次逐步提升,融合了生产过程与经营管理体系的 IT 管理行为在一定程度上提高了 IT使用效率,但也存在一些问题:IT 投资过于盲目导致投资回报率低、IT 资源配置紊乱、IT 管理组织架构不够清晰以及缺乏 IT 规范制度等。一方面,IT 治理优化了IT 管理体系,为 IT 管理提供治理模式,另一方面,IT 治理制约了 IT 管理不当行为,平衡了 IT 风险,确保了 IT 交付,实现了 IT 商业价值。因此,对 IT 运营相关问题的治理是现阶段我国企业 IT 投入极速扩张状态下的长足需求。 从实践层面看,早在 2002 年萨班斯(SOX)颁布以前 IT 治理的初步思想已见端倪。1999 年英国清算银行发布了内部控制:《全面风险指引报告》(Internal Control: Guidance for Directors on the Combined Code),该报告提到了 IT 风险对公司治理的影响并指出有效的治理应包括有效的 IT 治理和风险管理,并提出对 IT风险的相关考虑能提高 IT 交付价值。SOX 法案提出 IT 治理范畴下有关 IT 控制与IT 审计的概念要点:信息系统总监必须同时具备管理能力、治理能力及相关技术控制能力以完善企业内部控制与风险管理体系。基于这样的国际背景,我国相继发布《中央企业全面风险管理指引》(2006)、《银行业金融机构信息系统风险管理》(2006)、《企业内部控制基本规范》(2008)、《证券期货经营机构信息技术治理工作指引》(2008)、《期货公司信息技术管理指引》(2009)、《商业银行信息科技风险管理指引》(2009)等制度与规范,基本涵盖了 IT 风险、IT 控制、IT 审计和 IT治理的相关内容。除此以外,中国 IT 治理研究中心(ITGov)于 2002 年成立,围绕 IT 治理核心概念,建立了基于 IT 治理的信息系统审计师知识体系,整合了多项国内外标准,推动了我国信息系统审计的开展及 IT 控制的拓展。
..........
第二节 研究内容与研究方法
本文研究内容主要包括以下五章: 第一章 绪论。本章主要论述本文的选题背景及意义,研究方法与框架以及本文的创新点。 第二章 国内外文献综述与文献述评。本文文献综述围绕 IT 治理、内部控制质量、IT 控制、IT 审计、公司治理与企业绩效几个关键词,回顾其相关国内外文献,通过把握互动与耦合关系对 IT 环境下的内部治理结构进行初步分析,并在此基础上明晰各关键词的内涵。 第三章 理论基础与相关性逻辑分析。第一,诠释虚拟资源观与 IT 治理理论,并解释将其作为本文理论基础的原因;第二,厘清内部控制视角下 IT 治理对企业绩效间接影响逻辑关系链,分层解释内部控制质量与 IT 治理的因果关系,内部控制质量与企业绩效的因果关系,以此揭示内部控制质量在 IT 治理成效作用链中呈现的中介效应。综合上述两方理论,整理出本文理论框架。 第四章 研究设计与实证分析。IT 治理指标体系主要依据唐志豪(2012)所建立的度量量表,并在此基础上结合实际予以调整,通过手动搜集门户网站与 CCER数据库手动评分得到 IT 治理数据,内部控制质量是由 DIB(迪博内部控制与风险管理数据库)提供的内部控制指数数据,企业绩效指标的数据来源于同花顺数据库所提供的沪深 A 股上市公司数据。实证部分重点考察内部控制质量的中介作用。我们假设 IT 治理对内部控制有效且显著,内部控制质量对企业绩效有效且显著,而当内部控制质量作为控制变量时,IT 治理对企业绩效影响不显著。在研究设计方面:对变量进行设定,因变量为企业绩效,自变量为 IT 治理,中介变量内部控制质量,控制变量为企业年龄、资产规模及人员规模。通过偏相关分析与三个回归模型加以验证。 第五章 研究结论、局限与实务意义。本文在最后一章阐述实证分析结果并给予建议。在最后一部分篇幅里,总结本文从构思到行文以及整个实证过程存在的局限性与不足,提出期望。
..........
第二章 文献综述
第一节 国外文献综述
从某种意义上说,美国政府于 2002 年颁布的 《萨班斯——奥克斯利法案》(Sarbanes-Oxley Act,SOX 法案)特别是 404 条款提出了 IT 控制相关合规性的实践方法,包括 IT 一般性控制和应用系统,业务流程层面的自动控制的改进,还提到内部审计在发挥公司治理作用的效能并强调上市公司要设立内部审计委员会保证独立性,发挥内部审计的监督职能并提出内部审计师应该配合管理层对信息系统实施一般性和应用性控制,并评估 IT 控制效果,牵动了 IT 审计、IT 控制与 IT治理等问题的相关研究。 一方面,IT 控制是 IT 治理的重要组成部分,IT 治理框架下的高 IT 控制能力能提高企业绩效。Damianides&Marios(2004)基于 SOX 法案与 IT 治理框架下,深化了 IT 控制与合规性的概念内涵。Chi-Yang Tseng(2007)也通过实证检验了IT 外部合规性、风险管理与企业绩效的关系,认为 SOX 法案促进 IT 控制水平,且 IT 控制与风险管理实践的企业拥有更高的市场绩效。 另一方面,IT 审计是 IT 治理的手段,IT 内部审计能够提高 IT 治理水平促进IT 控制效果。经济合作与发展组织(OECD,1999)在其拟定的《公司治理结构原则》中提到,“通过保持良好的内控系统,检查评估内控设计,真实披露内控信息,有利于内审监督来维持良好的公司治理机能”。Vernon J. Richardson(2001)从 IT治理角度考察,利用事件研究法检验了 IT 审计师(CIO)岗位的设定对市场绩效反应。Gheorghe & Mirela(2010)提出 IT 审计师在 IT 治理过程中扮演了几个重要角色:(1)与管理层沟通 IT 治理及其战略意义;(2)在执行项目时,分析现有处境并提供建议;(3)计划解决方式;(4)监督 IT 治理重大举措;(5)提供目标和建设性的帮助,鼓励自我评估,向管理层提供治理运行有效的保证。
..........
第二节 国内文献综述
IT 控制是 IT 治理的支持手段,正如内部控制与公司治理密切关联一样,IT 控制也不能脱离 IT 治理发挥良好效应,建立在 IT 治理框架中的 IT 控制可直接对公司信息披露、内部控制和财务报告的编制产生重大影响(唐志豪,2012)。胡晓明等(2014)提到 IT 控制由 IT 治理的目标(IT 目标)和方法与过程(IT 活动、IT流程)所构成,并基于 IT 治理,对内部控制目标分解的手段构建了 IT 控制框架。现有关 COBIT 评价指标与成熟度模型广泛应用于现阶段的多数高 IT 密集度企业及金融机构的 IT 审计业务之中,促进内审部门在执行 IT 审计效率与专业效果进而发挥内部审计增值作用(中国人民银行课题组,2012)。安然事件后,SOX 法案强调为合理保证公司经营效率、财务报告可靠性和法律合规性,内部控制还应重视与财务报表有关的 IT 系统内部控制。美国公众公司会计监督委员会(PCAOB)特别提出要建立并维护合理的 IT 控制体系其有效执行是 SOX 法案遵从的重要部分,公司内部控制系统整体的有效性依赖于控制环境或IT 控制的一般控制的有效性(梦秀转,2007)。 IT 治理控制型流派认为,IT 治理的核心在于 IT 控制,而 IT 控制又属于内部控制的重要组成部分。从内部控制六大要素:内部环境、控制主体、控制受体、控制目标、控制措施、监控活动与信息沟通出发,中国 IT Gov(2010)定义 IT 控制是由内部环境、控制主体、控制客体、控制过程和信息与沟通组成的开放式系统以实现控制目标。由此可见,与传统的内部控制不同的是,IT 治理机制下的控制是与 IT 相关的,利用 IT 技术,对 IT 环境下的组织系统进行的控制过程。
..........
第三章 理论基础与相关性逻辑分析 .......... 13
第一节 理论依据:资源观理论 ........ 13
第二节 IT 治理理论概述 ........ 15
第三节 相关性逻辑分析 .... 20
第四章 研究设计与实证分析 ...... 23
第一节 研究设计及方法 .... 23
第二节 描述性统计分析 .... 23
第三节 相关性分析 .... 23
第四节 中介作用的检验与回归分析法 .... 23
第五章 研究结论、建议与局限 .......... 24
第一节 研究结论 ........ 41
第二节 IT 治理实施建议 ........ 42
第三节 局限性与展望 ........ 45
第四章 研究设计与实证分析
内部控制视角下 IT 治理质量与企业绩效相关性的理论模型与研究假设已在第三章提出。下文首先介绍本文使用的研究方法及分析方法作用机理与适用性。针对已提出的三大假设,选取指标变量。其次,对 IT 治理现状进行描述性分析与相关分析,最后针对已提出的回归模型,得出回归方程,进一步得出结论。
第一节 研究设计及方法
一、研究假设
IT 治理是指高管层利用治理结构、治理机制指导或控制企业 IT 运用来实现企业战略目标的体系,它包括合规性与风险、IT 治理架构、IT 战略与投资、资源管理、沟通与交流和信息披露。针对“IT 合规性与风险”要素,Millar(2007)实证检验了 IT 合规与企业绩效的关系,SOX 法案提高了 IT 控制水平,而高水平的 IT控制能力通常有较高的市场绩效。针对“IT 治理架构”要素,Weill&Gu(2008)拥有良好 IT 治理架构(IT 权责体系)的企业,利润更高;针对“IT 战略与投资”要素,Chan(2013)运用了多项指标评估了 IT 战略配置与企业绩效的相关性,认为 IT 战略的一致性可提出提升企业竞争力,提高企业绩效。综上,推出假设 1: 假设 1: IT 治理水平的提升有助于促进企业绩效的提高 自《内部控制——整合框架》(COSO)颁布后,林钟高等(2007)围绕内部环境、风险评估、控制环境、信息与沟通及内部监督提出高质量内部控制能影响企业绩效。此后,我国颁布的《企业内部控制基本规范》(2008)与《企业内部控制配套指引》(2010)借鉴(COSO)也提出我国内部控制的五项要素,多有学者围绕五项要素制定出的内部控制指数体系来验证内部控制质量对企业绩效的影响。高质量的内部控制可促进企业经营业绩的提升、降低企业的经营和财务风险以提高企业的价值。
.............
结论
本文是从内部控制质量中介效应的视角出发研究 IT 治理成效,以此明晰 IT环境下 IT 治理、IT 控制、内部控制质量、IT 审计及企业绩效各项内涵及其关系。试图通过 2013 年部分高 IT 密集度的上市公司提供的企业绩效数据,DIB 迪博内部控制与风险管理数据库提供的内部控制质量数据,手动搜集企业门户网站、财报新闻、年度报告、内控报告、内审报告完成 IT 治理部分数据,另外,通过咨询某些公司内部人员以完善 IT 治理所需残缺数据。最后利用 EXCEL 与 SPSS 软件进行数据筛选整理与分析工作,并结合自己的实际调查得出如下结论:对于 IT 治理与内部控制质量的概念辨别、理论搭建与实证检验的过程来看,IT 治理正向影响内部控制质量已得到验证。本文选用的 IT 治理综合指数包括合规性与风险、IT 治理架构、IT 战略与投资、IT 资源管理、沟通与交流、信息披露六个维度,其中 IT 审计、COBIT、ERP 等题项占有一定比重。对内部控制质量促进作用表现力度为 IT 治理架构>合规性与风险>信息披露>IT 资源管理>IT 战略与投资>沟通与交流,为有效促进内部控制质量,IT 治理可提升 IT 治理架构、合规性与风险、信息披露的水平,并协调后三项要素。要提高整体质量不仅要依靠 IT 治理架构,IT 高管层与 IT 部门的部署虽提供了前提环境,但是需要部门间、利益相关者之间的配合才能落实 IT 治理意识从战略层到执行层再形成反馈与评价机制以贯穿整个框架体系,充分发挥 IT 治理内部控制的职能。
.........
参考文献(略)
