第1章 引言

1.1 研究背景

1.1.1 時代背景

信息技術飛速發展，已從單純的技術革命演變為產業革命和社會革命，由此帶來的變革，已經超過以蒸汽機、電氣化為代表的工業革命。從沖繩憲章到羅馬宣言，標志著走向信息社會已成為世界各國的共識。

在過去的20年中，信息技術廣泛地滲透到社會各個領域中，導致社會資源的配置方式、企業生產及管理方式發生了重大變革。隨著政府機構、企業對信息技術（IT）的依賴性不斷增強，IT應用的績效、風險與控制等問題也日益突出，人們逐漸意識到決定IT績效的因素不是技術本身，而是IT控制等非技術因素。Davenport等人研究發現，IT控制是產生IT投資績效差異的主要原因之一（Davenport,1998;Ahituv,1999；馬艷峰，王雅林，2006）。ITGI國際總裁Lynn Lawton曾表示，由于沒有實施有效的IT管控措施，全球有許多組織都在無謂地犧牲資金、工作效率和競爭優勢（Business Wire,2008）。

隨著信息化的深入，各國政府也加強了IT控制的管理和規范。2002年，美國頒布薩班斯法案；2006年6月，我國國務院國有資產監督管理委員會出臺《中央企業全面風險管理指引》;2006年11月，銀監會發布《銀行業金融機構信息系統風險管理指引》;2008年6月，財政部、證監會、審計署、銀監會、保監會聯合發布我國第一部《企業內部控制基本規范》;2008年9月，中國證券業協會和中國期貨業協會共同發布《證券期貨經營機構信息技術治理工作指引（試行）》;2009年7月，中國期貨業協會發布《期貨公司信息技術管理指引》等，都對IT控制進行和規范要求：公司高管必須對IT治理與IT控制負責；CIO必須成為IT控制專家，在完善內部控制和全面風險管理體系中發揮作用。

但目前企業在實踐方面還存在很大的問題。

（1）對“IT控制是什么”認識不統一。部分企業以靜止的觀點、片面的方式解讀IT控制，認為IT控制就是一系列政策、制度和程序的總稱。這種觀點導致企業過度關注相關政策、制度、程序的制定，出現“重文件建設，輕制度執行”的情況。

（2）對IT控制目標認識不一致。部分管理人員仍然認為IT控制的目標就是服務于企業財務報告的可靠性，滿足合規要求，所以僅僅將IT控制投資視為“不得不為”的成本付出而不是能夠創造競爭優勢的戰略投資，這種認識導致企業普遍不愿意長期投入去主動培育IT控制能力。在薩班斯合規中，由于IT控制投入巨大，Foley和Lardner在2006年的調查顯示為避免合規成本和時間，四分之一的公司考慮退市（Foley and Lardner LLP,2006）。

IT控制是什么、IT控制對企業績效有怎樣的影響，這些問題直接關系到企業提高IT控制能力的動力，影響企業培育提高IT控制能力的途徑。但目前理論界對IT控制的研究還比較少，從企業能力視角研究IT控制與企業績效關系將完善IT控制理論，引導企業和政府培育和提升IT控制能力。

1.1.2 學術背景

本研究選題緣起于筆者2005年作為課題組專家參加國務院國資委“中央企業全面風險管理指引”的研制工作，在此過程中，筆者深深體會到IT控制領域的研究遠遠滯后于政府部門和監管機構的政策制定及實務界加快推進信息化工作的迫切需求。后又相繼又參與國家民航總局“中國民航業IT治理框架研究”（2008）軟科學課題、北京大學為新基金“IT風險管理控制體系研究”（2009）軟科學課題、國家工業與信息化部十二五規劃重點“中國信息化運維管理規范研究”（2010）軟科學課題。IT控制能力及其評價、IT控制能力與企業績效的關系都是上述課題的核心內容之一。