IT控制是企业内部控制的重要领域。COBIT（信息及相关技术控制目标，Control Objectives for Information and Related Technology）作为一个通用的IT控制框架，已在美国等180多个国家广泛使用，正逐渐成为事实上的国际标准。COBIT框架以业务为中心、以流程为导向、以控制为基础、以绩效测评为驱动，将企业内部IT相关控制划分为4个过程域、34个主要控制流程和310多个典型控制活动，以确保IT 与业务保持一致，从而实现IT价值的最大化，同时保证了IT成本的合理确认与分摊。

“DS6-IT成本确认与分摊”属于COBIT框架（4.1版）中第三个过程域“交付与支持（DS）”中的第6个IT控制流程。从IT治理的角度看，IT成本的确认与分摊流程最关注的是IT治理5大领域中的“资源管理”领域；其次关注的是“价值交付”和“绩效测评”两个领域，该流程主要关注IT成本确认与分摊流程的效率和可靠性。

一、IT成本确认与分摊流程概述

IT成本的确认与分摊流程主要围绕IT服务的界定、IT成本核算、IT收费和IT成本模型的维护四个活动展开。与企业内其他所有流程一样，该流程的执行由一名流程所有者全面负责。首先，该流程所有者要识别所有的IT成本，并将它们映射到IT服务中，以支持一个透明的成本模型。将IT服务连接到业务流程中，使得业务部门能够识别出相关服务成本的受益范围。其次，IT成本的确认与分摊流程的所有者按照企业成本模型获取和分摊实际成本，预测与实际成本之间的差异，并按照企业的财务报告体系进行分析和报告。再次，该流程所有者建立和使用基于服务定义的IT成本模型，以支持按服务进行内部收费率的计算。IT成本模型应该确保用户可以识别、计量和预测服务的收费，促进资源的合理利用。最后，流程所有者定期审查和校准成本、计费模型的适当性，维护不断发展的业务和IT活动的相关性和适当性。


设立“DS6-IT成本确认与分摊”流程的目标是：使IT满足业务需求，确保IT成本的透明性与可理解性，并通过使用快速广泛的IT服务改进业务流程的成本效益。该流程所有者通过关注获取完整和准确的IT成本，来建立各业务用户统一、公平的成本分摊体系，并及时报告IT使用和成本分摊等信息。

二、流程控制及其实现

（一）信息流控制

在当今日益复杂的信息化环境下，企业管理层需要不断搜集简明、及时的信息，才可能实施恰当、充分的IT成本控制。IT成本的确认与分摊所需信息的来源（输入）和去处（输出）如图1所示。

图1提供了IT成本信息审计与控制的途径。系统所有者是IT成本的受益者。IT投资管理中的成本收益报告和IT预算提供了IT成本确认与分摊的直接依据。详细的项目报告提供了进一步确认和分摊IT成本的基础。服务水平协议为IT成本确认与分摊提供了合法性、合理性证据。从以上四个信息源，IT成本确认与分摊的流程所有者可以建立或维护合理的IT成本确认与分摊模型，并将IT成本确认与分摊信息传递给IT投资管理和IT绩效评价部门或人员。

（二）职责分离

实务界通常通过RACI矩阵描述企业流程的职责分离机制。IT成本的确认与分摊中的典型业务活动的RACI矩阵如表1所示。RACI 图中，R代表Responsible，表示执行；A代表Accountable，表示问责；C代表Consulted，表示协商；I代表Informed，表示告知。

（三）控制目标与测量指标

COBIT的基本特征之一是控制为基础，该框架依次在三个层次上制定了控制目标及其对应的测量指标。第一层次：IT 目标和指标，定义了业务对 IT 的期望和如何测评；第二层次：流程目标和指标，定义了 IT 流程为了满足 IT 目标必须交付的服务和如何进行评估；第三层次：活动目标和指标，确定为达到所需性能而采取的流程内活动以及如何测评。IT成本确认与分摊流程设计的三层目标及其对应测量指标如图2所示。

（四）基于成熟度模型的流程控制评价

对流程能力进行评估是企业内部控制的关键要素之一。识别关键的IT流程和控制点后，成熟度模型用来识别各个流程成熟度的差别，并向管理层标识差距的具体情况，帮助管理层制定相应的行动方案，提高IT成本确认和分摊流程的效果，使IT更好地满足企业业务需求：确保IT成本的透明性和可理解性，以及通过IT服务快速广泛地使用改进成本效益，以期达到期望的成熟度级别。与其他流程一样，IT成本确认与分摊流程可以出现于0—5的6个级别中，各个级别的关键属性特征阐述如下：

0—无级别：企业管理层完全缺乏任何可识别的流程。组织甚至没有意识到用于确认和分摊所提供的信息服务的成本。企业管理层甚至没有传达任何关于基本的IT成本核算存在有待处理的问题。

1—初始级：企业管理层对信息服务的整体成本有一个大致的了解，但是没有按照每一用户、客户、部门、用户组、服务功能、项目或可交付的服务对成本进行细分。企业事实上不存在成本监控，仅仅把整体成本报告给管理层。财务部门把IT成本作为一个运行开销分摊，各业务部门提供有关IT服务成本或效益的所需信息。
2—可重复级：企业管理层对需要确认和分摊的IT成本有一个整体的认识。但是IT成本分摊是基于非正式的或原始的成本假设，如硬件成本，事实上没有与价值驱动连接起来；成本分摊流程是可重复的，而且，企业对标准的成本确认和分摊程序没有正式的培训和传达，也没有分配收集和分摊成本的责任。

3—已定义级：财务部已经定义和文档化了信息服务成本模型。同时定义了将IT成本与提供给用户的服务联系起来的流程。财务人员对将IT成本分摊到IT服务有一个适当水平的认识。各业务部门提供成本的原始信息。


4—可管理级：企业管理层已经定义信息服务成本管理的责任和义务，且被各级管理层充分理解，并得到正式的培训支持。直接和间接的成本被及时和自动确认并报告给管理层、业务流程的所有者和用户。通常情况下，相关部门对成本进行了监控和评估，并且在发现成本偏离预算时采取了相应的措施。将信息服务成本的报告与业务目标和SLAa联系起来，并且得到业务流程所有者的监控。财务部门审核成本分摊流程的合理性。有一个自动的成本核算系统，但它更关注性能信息服务功能，而不是业务流程。对成本测量的目标和指标达成了一致，但未得到一致性测量。

5—优化级：所提供的IT服务的成本被识别、收集、总结并报告给管理层、业务流程所有者和所有用户。成本被识别为可计费项，并支持一个内部服务计费系统，基于用户的使用情况对提供的服务进行适当的收费。成本的详细说明支持SLAs。服务成本的监控和评估被用于优化IT资源的成本。获得的成本数据用于确认组织在预算流程中所实现的效益。通过智能报告系统，信息服务成本的报告对业务需求的变化提供早期预警。由于每个服务的处理量不同，而采用了一个可变的成本模型。基于持续改善和借鉴其他组织的成果，成本管理被细化到一个行业实践的水平。成本优化是一个持续改进的过程。管理层审核成本管理的目标和指标，并将其作为在重新设计成本测量系统时持续改善流程的一部分。

结论

通过信息流、RACI、控制目标与测量指标，以及成熟度模型四方面的控制和评价，IT成本的确认与分摊流程得到有效管理和控制，从而降低了IT风险，减少了企业内部风险。

【参考文献】

［1］ 中国银监会.银行业金融机构信息系统风险管理指引［S］.2006.

［2］ 中国内部审计协会.信息系统审计准则［S］.2008.

［3］ http://www.isaca.org/cobit ［EB/OL］.2010-11-06 .

［4］ 陈朝.我国信息化建设中信息系统审计问题研究［D］.东北师范大学，2006.

［5］ 吕凡.计算机辅助审计研究［D］.武汉大学，2005.

［6］ 陈婉玲，杨文杰.ISACA 信息系统管理准则及其启示［J］.审计研究，2006（增刊） .

［7］ 胡晓明，林娟.COBIT 4.0:解读与启示［J］.科技管理研究，2007（11） .

［8］ 吴炎太.COBIT控制思想在信息系统建设中的应用［J］.财会通讯，2009（19）.