第1章 引言

1.1 研究背景

1.1.1 时代背景

信息技术飞速发展，已从单纯的技术革命演变为产业革命和社会革命，由此带来的变革，已经超过以蒸汽机、电气化为代表的工业革命。从冲绳宪章到罗马宣言，标志着走向信息社会已成为世界各国的共识。

在过去的20年中，信息技术广泛地渗透到社会各个领域中，导致社会资源的配置方式、企业生产及管理方式发生了重大变革。随着政府机构、企业对信息技术（IT）的依赖性不断增强，IT应用的绩效、风险与控制等问题也日益突出，人们逐渐意识到决定IT绩效的因素不是技术本身，而是IT控制等非技术因素。Davenport等人研究发现，IT控制是产生IT投资绩效差异的主要原因之一（Davenport,1998;Ahituv,1999；马艳峰，王雅林，2006）。ITGI国际总裁Lynn Lawton曾表示，由于没有实施有效的IT管控措施，全球有许多组织都在无谓地牺牲资金、工作效率和竞争优势（Business Wire,2008）。

随着信息化的深入，各国政府也加强了IT控制的管理和规范。2002年，美国颁布萨班斯法案；2006年6月，我国国务院国有资产监督管理委员会出台《中央企业全面风险管理指引》;2006年11月，银监会发布《银行业金融机构信息系统风险管理指引》;2008年6月，财政部、证监会、审计署、银监会、保监会联合发布我国第一部《企业内部控制基本规范》;2008年9月，中国证券业协会和中国期货业协会共同发布《证券期货经营机构信息技术治理工作指引（试行）》;2009年7月，中国期货业协会发布《期货公司信息技术管理指引》等，都对IT控制进行和规范要求：公司高管必须对IT治理与IT控制负责；CIO必须成为IT控制专家，在完善内部控制和全面风险管理体系中发挥作用。

但目前企业在实践方面还存在很大的问题。

（1）对“IT控制是什么”认识不统一。部分企业以静止的观点、片面的方式解读IT控制，认为IT控制就是一系列政策、制度和程序的总称。这种观点导致企业过度关注相关政策、制度、程序的制定，出现“重文件建设，轻制度执行”的情况。

（2）对IT控制目标认识不一致。部分管理人员仍然认为IT控制的目标就是服务于企业财务报告的可靠性，满足合规要求，所以仅仅将IT控制投资视为“不得不为”的成本付出而不是能够创造竞争优势的战略投资，这种认识导致企业普遍不愿意长期投入去主动培育IT控制能力。在萨班斯合规中，由于IT控制投入巨大，Foley和Lardner在2006年的调查显示为避免合规成本和时间，四分之一的公司考虑退市（Foley and Lardner LLP,2006）。

IT控制是什么、IT控制对企业绩效有怎样的影响，这些问题直接关系到企业提高IT控制能力的动力，影响企业培育提高IT控制能力的途径。但目前理论界对IT控制的研究还比较少，从企业能力视角研究IT控制与企业绩效关系将完善IT控制理论，引导企业和政府培育和提升IT控制能力。

1.1.2 学术背景

本研究选题缘起于笔者2005年作为课题组专家参加国务院国资委“中央企业全面风险管理指引”的研制工作，在此过程中，笔者深深体会到IT控制领域的研究远远滞后于政府部门和监管机构的政策制定及实务界加快推进信息化工作的迫切需求。后又相继又参与国家民航总局“中国民航业IT治理框架研究”（2008）软科学课题、北京大学为新基金“IT风险管理控制体系研究”（2009）软科学课题、国家工业与信息化部十二五规划重点“中国信息化运维管理规范研究”（2010）软科学课题。IT控制能力及其评价、IT控制能力与企业绩效的关系都是上述课题的核心内容之一。