基于COBIT5.0的管理信息系統內部控制研究*

西藏民族大學 喬鵬程 馬 錦

一、引言

近年來，五部委聯合發布了《企業內部控制基本規范》和20個配套指引，標志著我國企業內控規范體系基本建成。2012年發改委在《2006-2020年國家信息化發展戰略》具體部署中提出“信息化戰略要在企業戰略制定中起到的領導作用，管理信息系統內控建設已初具規模”。管理信息系統提供商與用戶有兩種對接模式：（1）大企業作為主導，將自身管理模式系統化。（2）通過知識傳遞模式，中小企業被動地學習提供商系統中已設定的內控。根據COSO框架，在第二種模式下，用戶必須調整其原有的內控制度、公司治理結構、業務流程、硬件支持、系統版本，與新的系統及內控相適應。

國外對相關主題的研究已比較成熟。王凡林（2012）對國外的文獻綜述發現西方相關研究可分為“控制觀”（偏重技術控制，認為信息系統及相關內控是企業管理技術的延伸，主張擴展技術控制的范圍）和“引導觀”（偏重認為信息控制技術是引導企業減少風險的過程，其只是管理制度之下的一種手段，主張以組織整體管理為主導）二大類。本文認同這一分類，將從“引導觀”視角宏觀布局思考信息系統及內控建設困難，并從具體操作層面利用COBIT5.0框架制定技術層面的完善措施。

國內相關研究主要集中在風險管理框架、IT管理技術應用、信息管理平臺的風險導向治理框架、將網絡控制植入公司治理之中、上市公司內控報告情況研究等幾個方面。筆者發現國內針對本文主題的研究還較少，而針對完善措施，國家相關研究文獻大多提出從用戶主動調整組織環境和資源條件兩個角度入手。毛基業、王偉（2012）認為以往的研究都是局部地、孤立地解決系統與用戶不適應沖突，無法找到普遍的根除方法，關鍵要從用戶不適應問題演變、問題的多層次性、復雜性關聯中尋找根源。在此基礎上，本文將重點研究用戶的五個突出困難及其根源。Fengyi Lin,LimingGuan,WenchangFang（2010）實證發現企業可以利用COBIT有效地促進管理信息系統內控的實施。鑒于COBIT5.0框架是當前國際通行的管理信息系統（IT系統管理）的主流指導框架，本文將應用國內學者還鮮有采用的COBIT5.0框架，制定破解對策。

二、管理信息系統內部控制建設的主要困難及原因

（一）集團內各子公司管理信息軟件版本不統一 筆者調研發現部分集團內部子公司所用管理軟件存在多個版本，特別是多次兼并重組后形成的集團，不同版本間的不同數據標準導致集團內部數據傳遞和統一內控存在障礙，進而導致內控措施沖突。具體有：內置內控相互沖突、語言顯示差異、用戶信息數據生成點分散、信息處理能力、系統開放對用戶程度、軟件數據接口不通用、與網絡及操作員手機等工具綁定、內控制度設置各異等。最終導致數據信息孤島或內控管理風險頻發。張念珍（2013）統計"財務數據分析以及決策支持"是87家樣本企業中得分最高的實施重點方向。說明管理決策智能化成為集團建設系統及內控的終極目標。與此同時，大數據及云計算時代的到來，用戶不同版本出來數據共享和傳遞障礙、信息過載、數據對決策反干擾等問題都更加嚴重。另外，版本不同加劇了形成全集團信息傳遞良性循環的困難，比如，基層用戶向管理高層用戶流動較多，反之則較少。不良的單方向信息流動最終導致全集團信息處理低效化。

（二）管理信息系統內控自身及建設標準存在復雜性內部控制有效性的最終標準細分為適應性、功能一貫性、成本效益原則。調研發現企業參考標準非常多樣：財政部等五部委發《企業內部控制基本規范》及配套指引、國資委發《中央企業全面風險管理指引》、證監會發《上市公司內部控制指引》、COSO框架、ISO標準、6西格瑪管理標準、管理信息系統內部嵌入的內控原則等。由于標準制定部門之間存在利益博弈，其出發點不同，這些原則間有交叉、沖突。繆艷娟、楊雄勝（2014）調研發現47.7%企業在制定內控過程中選擇了二種以上的參考標準。

一方面軟件系統本身構造存在復雜性，另一方面用戶感到系統及內控存在可視性差及參考標準多樣性的復雜性困難。在內控的高要求與系統的復雜性共同作用下，對于建設管理信息系統及內控都剛起步的國內用戶必然會產生諸多困難與障礙。

（三）管理信息系統內控的形成外來性導致調適困難管理信息系統缺乏柔性，需要用戶關注實施過程中的內控建設及調適。李萬福、林斌（2014）發現信息系統讓很多用戶誤認為只要系統投入應用，會自然應用到系統中設置的內控措施，懈怠于行為的自適應和優化，忽略了系統自帶內控的不足及人為破壞。Harriso（1996）認為管理信息系統一定要與用戶主動的組織、流程、計劃、控制、獎勵等相關制度建設相結合才能提高管理效率。具體表現有：

（1）制度文本障礙。當前中國企業（特別是國有企業）制定系統的內控是政府主導的“自上而下推廣式”過程。用戶建設管理系統內控的前期工作普遍由外部管理咨詢公司主導，筆者閱讀過的此類咨詢公司提供的方案都在一定程度表現出重理論、重文本、忽視業務特點的現象。當制度文本實施后，內部的管理者才會大量介入，后介入的管理者對制度文體更缺乏深入體會和執行力。

（2）人才匱乏障礙。外部管理咨詢公司及系統提供商撤離后，用戶缺乏同時擁有內控知識、管理經驗、信息化技術的綜合性人才。特別是基層下屬部門和分公司，相關崗位普遍存在兼職化，基層系統維護和管理能力薄弱。

（3）組織與分工障礙。外來的管理信息系統內控對不相容職務的設定，如果公司原有組織構架過于簡單和人員無法適度分工，將會出現管理職權集中漏洞。如果用戶崗位績效考核和權力監督不充分，會加重這一障礙。

（四）通用管理系統內控需要業務標準化與管理穩定性張念珍（2013）發現管理信息軟件在同一行業出現明顯同質化，即系統的重點發展領域明顯趨同。通用系統具有明顯的管理過程剛性化傾向，對業務標準化和管理穩定性提出更高要求。繆艷娟、楊雄勝（2014）調研發現內控與“當前業務流程不銜接”及“內控過于原則缺乏操作性”是最重要的制約因素。顯然，在當前用戶管理水平普遍不高，業務流程不規范和管理過程非標準化的大背景下，用戶在建設中會不斷遭遇沖突與障礙。

另外，我國柔性的商業文化生態，也為用戶試圖實現管理穩定和流程標準化產生基礎性文化環境障礙，因為在易發生管理失控的應收款管理、采購訂單管理、銷售合同、產權保戶、商業信用等模塊，用戶最易受到外部其它單位的牽制導致各種突發狀況發生。總之，通用系統無法滿足用戶個性化的業務流程和管理決策過程，識別其特有的風險，只能機械的處理全行業共性的問題或提供行業標準化的處理意見，對有強烈獨特管理風格、多元化經營、快速成長、外部環境劇烈變化的用戶在調適過程中產生障礙。

（五）用戶忽視數據輸出環節的內控造成損失 當前系統提供商與用戶對信息系統及相關內控的開發與應用都以能為用戶提供更多輔助決策信息為目標。系統及相關內控的工作重心在系統信息處理前端，通常會忽視后端的信息輸出過程，用戶也易忽視信息輸出后的數據保護和內控防范問題。對用戶易產生的信息傷害主要有：

（1）缺乏輸出信息的勾稽核對程序及內控。來源于不同模塊的輸出數據存在矛盾，沒有引入行業標準或國家參考數據作為對比，對極端異常輸出數據不能識別，輔助決策模塊提供信息偏差難以追溯原因等。

（2）對同業信息間諜和網絡黑客入侵等有意破壞防范不足，對輸出信息沒有多次加密。對輸出信息包沒有瀏覽次數和時間限制，缺乏信息包對非企業指定打開設備的識別功能，更少對用戶提供身份識別解密軟件。數據被竊取后的自我銷毀與系統自我封閉功能缺乏。

（3）保護信息的相關內控乏力。用戶對信息保護不重視，沒有及時與系統提供商溝通信息保護辦法，對限制用戶將信息帶離企業管制不足。另外，提供商與用戶的這些工作缺失會進一步導致新的不可預知的管理風險和損失。

三、應用COBIT5.0完善管理信息系統建設的建議

管理信息系統內部控制的主要模塊構成為：風險評估、風險應對、評價整改、風險績效控制、綜合管理、系統管理等。毛基業、王偉（2012）提出用戶建設障礙主要可以通過氛圍、認知、技術、組織四方面來調適。本文借鑒這一思想，并利用COBIT5.0框架提出以下完善措施。

（一）在建設系統前期解決好數據共享問題 張念珍（2013）發現80%以上用戶以分步驟方式開展建設:第一步是管理數據集中管控和共享（調研發現50%的用戶處在第一階段），第二步系統版本的統一，第三步是系統優化和升級。可見，用戶消除信息孤島，實現全集團系統版本統一，研發一體化管理平臺是用戶建設管理信息系統內控的第一步。而對尚無能力統一研發一體化管理平臺的集團，逐步整合現有財會系統及其它（銷售、人力資源、采購、辦公系統、生產管理等）信息平臺，并相互數據接入和訪問權限開放是現實可行的選擇。用戶在數據統一平臺整合中要注意：數據測試團隊要包括獨立測試成員、確保全面的數據測試環境、保障各個數據采集點的執行標準統一、定期對不同數據錄入點進行比較測試、不同信息點采集崗位的輪崗制度、減少人工反復錄入率、研究杜絕同一數據問題反復出現等。同時，集團用戶可以增加物探自動數據導入和采集系統，提高數據準確性和效率，不定期對數據平臺與實物相測試、保留測試痕跡便于追溯、追溯失真問題數據來源采集點。

另外，XBRL系列國家標準也為用戶解決數據統一共享提供了有效工具，根據財政部網站信息，2013年大型中央企業、銀行業金融機構、保險公司、及地方大中型用戶累計已有206家用戶實施了XBRL標準。XBRL標準不僅有助于集團內部數據再統一，更有助于企業用戶系統與外部其它系統的對接與數據交換，及多樣化需求的數據報告生成。

（二）優化公司治理結構與之相適應 根據Jensen（1976）代理理論中委托人與代理人之間利益沖突，內部控制是有效運作代理問題的流程規范。當信息技術及內部控制相結合，公司治理結構的制度安排將發揮基礎性內控作用，這決定了管理信息系統內控障礙的破除要從公司治理的源頭做起。AbbottL,J.和Parker,S.etc（2007）實證發現公司治理結構的健全程度與公司管理信息系統相關內部控制缺陷發生的概率顯著負相關。牟巧初、梁式純（2014）證明股權制衡和公司治理結構對管理信息系統內控有重要影響，這一影響與企業成長階段又直接相關。所以用戶應不斷觀察啟動管理信息系統內控建設后，股權制衡的新變化導致的新漏洞，及時調整公司治理結構及相關內控制度。

李凱華（2014）實證發現監事會規模、董事會規模和獨立董事比率與內控實施效果顯著正相關，董事長兼任總經理、股權集中度與內控實施效率顯著負相關。用戶應當著重完善監事會和監督用用建設，優化董事會集體決策發揮，健全獨立董事制度，保障獨立董事有條件發表獨立意見。管理信息系統內控可以為這些高管人員提供遠程登陸入口，使其隨時了解各項業務運行實時情況，并將系統與遠程視頻會議技術相結合，將更多重要業務（即不只限于公司法規定的必須聽取意見重大事項）決策提交集體決策，并輔以信息系統內控授權，由獨立董事遠程簽字確認。欒竹（2009）認為公司治理影響管理信息系統內控建設的最大原因是主要負責人自己不受內控、監事會和獨立董事約束。所以為了監督主要負責人，用戶應建立與原定設計、委托要求、決策模型相一致的治理結構，并定期評估主要負責人的約束有效性，及時糾正主要負責人的執行偏差。

總之，用戶要從信息系統內控實施與公司治理結構間的內控環境沖突入手。利用管理信息系統的信息技術優勢，形成管理層決策（包括日常管理決策和三重一大事項決策）的過程處理痕跡報告，據以報送企業委托人監督代理人的決策過程，并成為追溯、獎懲、問責的依據。

（三）持續系統升級將完善措施融入系統 計世資訊2009年發現22%的用戶對提供商提出系統優化需求，比2005年同一調查多3倍。這表明系統升級是用戶普遍采用的優化措施。系統提供商在開發或升級過程中要吸收最多企業管理者參與，設備專業的風控崗位，將管理者發現的建設障礙整理規范并表達出來，分析不同層面用戶的困難和解決對策，持續升級實現帕累托優化。提供商將完善措施轉化成規范的計算機語言，通過計算機運算實現對內控措施的無歧義性機器推導。用戶建設初期通過延長測試時間，后期增加系統升級次數和頻率，漸進地將系統及內控與行為體驗相適應。用戶與系統提供商商定升級原則包括：識別升級風險起因、升級時機選擇、升級風險措施應對、升級利益相關者需求分析等。計世資訊2009年發現92%的大中型企業已經第2次甚至第3次升級系統。主要是應用范圍升級（從部門、到公司、再到集團，從內部到外部供應鏈）和技術平臺升級（為集團全面整合而統一規劃、標準、設計、應用平臺）二個方面。這一過程也同時實現了業務流程再造，有效減少單獨實施流程再造的阻力并降低成本，強化了管理信息系統內控的實施基礎。

另外，用戶應全面評估升級對日常管理工作的影響。主要或級影響因素：用戶需求、系統補丁數量、安全策略、新系統脆弱性評估、對升級的理解程度、可替代升級程序選擇、資源可用性、新內控流程配套、升級后系統異常情況估計、成本效益分析、系統集成和配置完整性等。

（四）提高管理信息系統內控建設與環境匹配度 外部

競爭環境的激烈程度對用戶建設系統內控有倒逼作用，而內部不斷產生的新業務和管理調整是企業花巨資開發建設管理信息系統內控的原動力。宋仕杰（2011）建議建立權變機制將機械的系統化管控與多變的外部環境結合起來。權變機制的建設基礎是企業內控環境，提供商除幫助系統升級之外無法做出太多幫助，用戶必須依賴自身的長期努力才能實現。用戶可以通過及時發現新管理信息系統開發技術、定期與提供商招開例會、向技術第三方咨詢、投資新技術和創新思想等方式建立權變機制。

用戶建設針對內部環境變化的系統權變機制時，趙穎（2013）認為成功的關鍵是人員、組織、系統（COBIT5.0框架認為系統包括質量、安全、財產、保密、知識產權、職業道德等）三者的交集程度。權變機制就是這種交集的結合程度，交集面積越大，實施成功性越大。用戶每年至少評估一次新業務被管理信息系統內控包括的比率、對基層的新業務需求反饋率、新業務納入系統批準時間等。顯然，只有不斷擴大三者間交集面積才能將管理信息系統內控與不斷變化的內部環境保持同步。

用戶建設針對外部環境的系統權變機制時，由于管理信息系統通常過多關注企業內部業務控制的完善，而忽視外部大環境的變化，導致用戶難以發現外部環境變化。用戶可以建設專業外部環境風險認別預警機制，評估外部法律、法規、合同條款、商業環境、發展趨勢等外部環境變化因素。考慮外部環境影響是否合乎倫理，評估新出現的商業運營風險，對未來新情況的模擬運行測試（包括可能的業務處理壓力、模擬業務和角度、操作程序、軟件設計、生產環境模擬、數據傳遞連接、計算機硬件配置等）。與此同時，用戶想要預測系統內外環境的未來變化，就必須對基層管理者及操作員下放更多權限，反思過去系統內控事故發生的損失和錯失反應時機的原因，只有這樣才能建立在線式動態的權變機制。

總之，用戶制定完善措施時要不斷對措施評估以下指標：系統輸出數據在允許差錯范圍內的比率、符合內控目標的比率、內控程度得到遵循的比率、獨立審查內控程序的比率、外部人員識破系統內控程序的比重、重大違反內控程序的事件數量、重大內控事件發生后得到報告的時間間隔長短。只有這些指標經得住檢驗，相關措施才有效。

（五）提供商與用戶加強信息安全防范 提供商要補充管理信息系統不同模塊間的數據稽核程序，將強大的數據分析和決策功能與數據輸出核查相結合。讓系統聯接外部數據（如用戶管理咨詢機構提供的行業平均數據、同業上市公司公開的財務報告、政府公報數據、國泰君安及萬得等商業數據庫），實時導入系統進行參考，及時發現極端異常數據、內控職務疏忽、系統操作員有意數據舞弊和信息造假風險。

用戶要注意數據在系統外部的制度性確認核實，系統外部核實制度是管理信息系統內控的重要組成部分，比如客戶信用記錄調查、實物數據清查，永續與突擊性盤點、應收賬款與銀行存款函證、庫存現金接觸控制等。

用戶應主動與提供商溝通企業的主要競爭對手和數據破壞風險估計，提供商根據用戶提示的重點數據（比如技術參數、原料來源廠商信息、定價機制、外包生產商分布等用戶核心競爭力關鍵數據），反復測試重大事故可能發生點，重點保護敏感數據，并同用戶共同制定全面的內控解決方案，特別是非技術性的數據保護內控措施。

數據安全保護關鍵點包括：異地備份、數據包自帶自我保護程序，云端數據存儲、數據傳遞介質管理、黑客入侵防范、數據間諜人力資源防范、手機客戶端與遠程登陸用戶身份識別、數據流入外網后的多層加密防范等。

用戶還應建設系統數據匿名測試內控制度、數據安全線索舉報獎勵制度、保護舉報人安全制度、不同重要信息等級責任人制度等。并不定期組織數據內控安全事故演練，提高操作員應對系統數據內控突發風險的實戰能力。

四、結論

Harriso（1996）研究認為企業對管理信息技術與相關內控的巨額投資和建設行為，必須輔之與企業日常管理中發現的建設障礙和持續改進，才能真正發揮其對企業流程式管理的真正效力，并最終提高管理效率。通過上文分析，可知其建設過程是一個不斷優化用戶、組織、管理、業務、環境之間博弈的帕累托改進過程。將COBIT5.0框架與用戶管理目標、標準、內控技術（不限于信息技術）手段結合起來，才能增加COBIT5.0框架的可操作性和實用性。

美國管理系統專家諾蘭分析了西方發達國家信息系統的發展路徑后提出信息系統進化的六階段模型，用戶到達第六階段（終點）“將企業發展與信息技術處理適應”前的五個階段都不能跨越。當前中國用戶所經歷的各種障礙是一個必然的過程，用戶首先要明確自身所處階段，確定主要障礙，進而制定破解對策。最后，COBIT5.0建議用戶持續對建設結果做以下數值檢驗：滿足用戶需求程度、實現預期效益、系統操作體驗友好程度、內外部利益相關者的期望是否得到滿足、管理風險降低率、有效預防運營風險和舞弊是否增強、可否做到適時管理信息系統升級等。

針對這一主題的研究，本文只是從規范研究的角度分析并提出一些建議，今后的研究更應當從實證與實例角度，深入企業用戶管理的具體業務，參與追蹤用戶業務過程，發現具體建設因難，并實證這些影響因素的相關性，確定系數，再從具體到一般歸納普遍適應性的完善措施。

［1］ 繆艷娟、楊雄勝：《企業內部控制實施：進程、效果、建議——來自江蘇企業問卷調查》，《會計研究》2014年第1期。

［2］ 毛基業、王偉：《管理信息系統與企業不接軌以及調試過程研究》，《管理世界》2012年第8期。

［3］ 王凡林：《企業會計信息化實施問題與對策》，《經濟與管理研究》2012年第11期。

［4］ 李萬福、林斌、舒偉：《基于內控視角的ERP系統實施改進研究》，《審計研究》2011年第1期。

［5］ 張念珍：《我國集團企業財務管理信息化的問題和對策研究》，太原理工大學2013年碩士學位論文。

［6］ 李凱華：《我國家族上市公司治理結構對內部控制有效性影響研究》，河北經貿大學2014年碩士學位論文。

［7］ 欒竹：《H公司ERP系統實施及內控構建相關問題研究》，上海交通大學2009年碩士學位論文。

［8］ 宋仕杰：《企業內控監督模式研究》，西南財經大學2011年博士學位論文。

［9］ 趙穎：《MB公司管理信息系統實施的組織匹配研究》，電子科技大學2013年碩士學位論文。

［10］ Fengyi Lin,Liming Guan,Wenchang Fang:Critical Factors Affecting the Evaluation of Information Control Systems with the COBIT Framework—A Study of CPA Firms in Taiwan,Emerging Markets Finance&Trade,2010（1）.

［11］ Harrison:The Importance of Being Complementary,Technology Rreview,1996（7）.

［12］ Abbott L，J.,Parker,S.Etc:Corporate governance，audit quality，and the Sarbanes-Oxley Act:Evidence from internal audit out sourcing，The Accounting Rreview,2007（4）.

［13］ Harrison:The Importance of Being Complementary,Technology Rreview，1996（7）．