西藏民族大学 乔鹏程 马 锦

一、引言

近年来，五部委联合发布了《企业内部控制基本规范》和20个配套指引，标志着我国企业内控规范体系基本建成。2012年发改委在《2006-2020年国家信息化发展战略》具体部署中提出“信息化战略要在企业战略制定中起到的领导作用，管理信息系统内控建设已初具规模”。管理信息系统提供商与用户有两种对接模式：（1）大企业作为主导，将自身管理模式系统化。（2）通过知识传递模式，中小企业被动地学习提供商系统中已设定的内控。根据COSO框架，在第二种模式下，用户必须调整其原有的内控制度、公司治理结构、业务流程、硬件支持、系统版本，与新的系统及内控相适应。

国外对相关主题的研究已比较成熟。王凡林（2012）对国外的文献综述发现西方相关研究可分为“控制观”（偏重技术控制，认为信息系统及相关内控是企业管理技术的延伸，主张扩展技术控制的范围）和“引导观”（偏重认为信息控制技术是引导企业减少风险的过程，其只是管理制度之下的一种手段，主张以组织整体管理为主导）二大类。本文认同这一分类，将从“引导观”视角宏观布局思考信息系统及内控建设困难，并从具体操作层面利用COBIT5.0框架制定技术层面的完善措施。

国内相关研究主要集中在风险管理框架、IT管理技术应用、信息管理平台的风险导向治理框架、将网络控制植入公司治理之中、上市公司内控报告情况研究等几个方面。笔者发现国内针对本文主题的研究还较少，而针对完善措施，国家相关研究文献大多提出从用户主动调整组织环境和资源条件两个角度入手。毛基业、王伟（2012）认为以往的研究都是局部地、孤立地解决系统与用户不适应冲突，无法找到普遍的根除方法，关键要从用户不适应问题演变、问题的多层次性、复杂性关联中寻找根源。在此基础上，本文将重点研究用户的五个突出困难及其根源。Fengyi Lin,LimingGuan,WenchangFang（2010）实证发现企业可以利用COBIT有效地促进管理信息系统内控的实施。鉴于COBIT5.0框架是当前国际通行的管理信息系统（IT系统管理）的主流指导框架，本文将应用国内学者还鲜有采用的COBIT5.0框架，制定破解对策。

二、管理信息系统内部控制建设的主要困难及原因

（一）集团内各子公司管理信息软件版本不统一 笔者调研发现部分集团内部子公司所用管理软件存在多个版本，特别是多次兼并重组后形成的集团，不同版本间的不同数据标准导致集团内部数据传递和统一内控存在障碍，进而导致内控措施冲突。具体有：内置内控相互冲突、语言显示差异、用户信息数据生成点分散、信息处理能力、系统开放对用户程度、软件数据接口不通用、与网络及操作员手机等工具绑定、内控制度设置各异等。最终导致数据信息孤岛或内控管理风险频发。张念珍（2013）统计"财务数据分析以及决策支持"是87家样本企业中得分最高的实施重点方向。说明管理决策智能化成为集团建设系统及内控的终极目标。与此同时，大数据及云计算时代的到来，用户不同版本出来数据共享和传递障碍、信息过载、数据对决策反干扰等问题都更加严重。另外，版本不同加剧了形成全集团信息传递良性循环的困难，比如，基层用户向管理高层用户流动较多，反之则较少。不良的单方向信息流动最终导致全集团信息处理低效化。

（二）管理信息系统内控自身及建设标准存在复杂性内部控制有效性的最终标准细分为适应性、功能一贯性、成本效益原则。调研发现企业参考标准非常多样：财政部等五部委发《企业内部控制基本规范》及配套指引、国资委发《中央企业全面风险管理指引》、证监会发《上市公司内部控制指引》、COSO框架、ISO标准、6西格玛管理标准、管理信息系统内部嵌入的内控原则等。由于标准制定部门之间存在利益博弈，其出发点不同，这些原则间有交叉、冲突。缪艳娟、杨雄胜（2014）调研发现47.7%企业在制定内控过程中选择了二种以上的参考标准。

一方面软件系统本身构造存在复杂性，另一方面用户感到系统及内控存在可视性差及参考标准多样性的复杂性困难。在内控的高要求与系统的复杂性共同作用下，对于建设管理信息系统及内控都刚起步的国内用户必然会产生诸多困难与障碍。

（三）管理信息系统内控的形成外来性导致调适困难管理信息系统缺乏柔性，需要用户关注实施过程中的内控建设及调适。李万福、林斌（2014）发现信息系统让很多用户误认为只要系统投入应用，会自然应用到系统中设置的内控措施，懈怠于行为的自适应和优化，忽略了系统自带内控的不足及人为破坏。Harriso（1996）认为管理信息系统一定要与用户主动的组织、流程、计划、控制、奖励等相关制度建设相结合才能提高管理效率。具体表现有：

（1）制度文本障碍。当前中国企业（特别是国有企业）制定系统的内控是政府主导的“自上而下推广式”过程。用户建设管理系统内控的前期工作普遍由外部管理咨询公司主导，笔者阅读过的此类咨询公司提供的方案都在一定程度表现出重理论、重文本、忽视业务特点的现象。当制度文本实施后，内部的管理者才会大量介入，后介入的管理者对制度文体更缺乏深入体会和执行力。

（2）人才匮乏障碍。外部管理咨询公司及系统提供商撤离后，用户缺乏同时拥有内控知识、管理经验、信息化技术的综合性人才。特别是基层下属部门和分公司，相关岗位普遍存在兼职化，基层系统维护和管理能力薄弱。

（3）组织与分工障碍。外来的管理信息系统内控对不相容职务的设定，如果公司原有组织构架过于简单和人员无法适度分工，将会出现管理职权集中漏洞。如果用户岗位绩效考核和权力监督不充分，会加重这一障碍。

（四）通用管理系统内控需要业务标准化与管理稳定性张念珍（2013）发现管理信息软件在同一行业出现明显同质化，即系统的重点发展领域明显趋同。通用系统具有明显的管理过程刚性化倾向，对业务标准化和管理稳定性提出更高要求。缪艳娟、杨雄胜（2014）调研发现内控与“当前业务流程不衔接”及“内控过于原则缺乏操作性”是最重要的制约因素。显然，在当前用户管理水平普遍不高，业务流程不规范和管理过程非标准化的大背景下，用户在建设中会不断遭遇冲突与障碍。

另外，我国柔性的商业文化生态，也为用户试图实现管理稳定和流程标准化产生基础性文化环境障碍，因为在易发生管理失控的应收款管理、采购订单管理、销售合同、产权保户、商业信用等模块，用户最易受到外部其它单位的牵制导致各种突发状况发生。总之，通用系统无法满足用户个性化的业务流程和管理决策过程，识别其特有的风险，只能机械的处理全行业共性的问题或提供行业标准化的处理意见，对有强烈独特管理风格、多元化经营、快速成长、外部环境剧烈变化的用户在调适过程中产生障碍。

（五）用户忽视数据输出环节的内控造成损失 当前系统提供商与用户对信息系统及相关内控的开发与应用都以能为用户提供更多辅助决策信息为目标。系统及相关内控的工作重心在系统信息处理前端，通常会忽视后端的信息输出过程，用户也易忽视信息输出后的数据保护和内控防范问题。对用户易产生的信息伤害主要有：

（1）缺乏输出信息的勾稽核对程序及内控。来源于不同模块的输出数据存在矛盾，没有引入行业标准或国家参考数据作为对比，对极端异常输出数据不能识别，辅助决策模块提供信息偏差难以追溯原因等。

（2）对同业信息间谍和网络黑客入侵等有意破坏防范不足，对输出信息没有多次加密。对输出信息包没有浏览次数和时间限制，缺乏信息包对非企业指定打开设备的识别功能，更少对用户提供身份识别解密软件。数据被窃取后的自我销毁与系统自我封闭功能缺乏。

（3）保护信息的相关内控乏力。用户对信息保护不重视，没有及时与系统提供商沟通信息保护办法，对限制用户将信息带离企业管制不足。另外，提供商与用户的这些工作缺失会进一步导致新的不可预知的管理风险和损失。

三、应用COBIT5.0完善管理信息系统建设的建议

管理信息系统内部控制的主要模块构成为：风险评估、风险应对、评价整改、风险绩效控制、综合管理、系统管理等。毛基业、王伟（2012）提出用户建设障碍主要可以通过氛围、认知、技术、组织四方面来调适。本文借鉴这一思想，并利用COBIT5.0框架提出以下完善措施。

（一）在建设系统前期解决好数据共享问题 张念珍（2013）发现80%以上用户以分步骤方式开展建设:第一步是管理数据集中管控和共享（调研发现50%的用户处在第一阶段），第二步系统版本的统一，第三步是系统优化和升级。可见，用户消除信息孤岛，实现全集团系统版本统一，研发一体化管理平台是用户建设管理信息系统内控的第一步。而对尚无能力统一研发一体化管理平台的集团，逐步整合现有财会系统及其它（销售、人力资源、采购、办公系统、生产管理等）信息平台，并相互数据接入和访问权限开放是现实可行的选择。用户在数据统一平台整合中要注意：数据测试团队要包括独立测试成员、确保全面的数据测试环境、保障各个数据采集点的执行标准统一、定期对不同数据录入点进行比较测试、不同信息点采集岗位的轮岗制度、减少人工反复录入率、研究杜绝同一数据问题反复出现等。同时，集团用户可以增加物探自动数据导入和采集系统，提高数据准确性和效率，不定期对数据平台与实物相测试、保留测试痕迹便于追溯、追溯失真问题数据来源采集点。

另外，XBRL系列国家标准也为用户解决数据统一共享提供了有效工具，根据财政部网站信息，2013年大型中央企业、银行业金融机构、保险公司、及地方大中型用户累计已有206家用户实施了XBRL标准。XBRL标准不仅有助于集团内部数据再统一，更有助于企业用户系统与外部其它系统的对接与数据交换，及多样化需求的数据报告生成。

（二）优化公司治理结构与之相适应 根据Jensen（1976）代理理论中委托人与代理人之间利益冲突，内部控制是有效运作代理问题的流程规范。当信息技术及内部控制相结合，公司治理结构的制度安排将发挥基础性内控作用，这决定了管理信息系统内控障碍的破除要从公司治理的源头做起。AbbottL,J.和Parker,S.etc（2007）实证发现公司治理结构的健全程度与公司管理信息系统相关内部控制缺陷发生的概率显著负相关。牟巧初、梁式纯（2014）证明股权制衡和公司治理结构对管理信息系统内控有重要影响，这一影响与企业成长阶段又直接相关。所以用户应不断观察启动管理信息系统内控建设后，股权制衡的新变化导致的新漏洞，及时调整公司治理结构及相关内控制度。

李凯华（2014）实证发现监事会规模、董事会规模和独立董事比率与内控实施效果显著正相关，董事长兼任总经理、股权集中度与内控实施效率显著负相关。用户应当着重完善监事会和监督用用建设，优化董事会集体决策发挥，健全独立董事制度，保障独立董事有条件发表独立意见。管理信息系统内控可以为这些高管人员提供远程登陆入口，使其随时了解各项业务运行实时情况，并将系统与远程视频会议技术相结合，将更多重要业务（即不只限于公司法规定的必须听取意见重大事项）决策提交集体决策，并辅以信息系统内控授权，由独立董事远程签字确认。栾竹（2009）认为公司治理影响管理信息系统内控建设的最大原因是主要负责人自己不受内控、监事会和独立董事约束。所以为了监督主要负责人，用户应建立与原定设计、委托要求、决策模型相一致的治理结构，并定期评估主要负责人的约束有效性，及时纠正主要负责人的执行偏差。

总之，用户要从信息系统内控实施与公司治理结构间的内控环境冲突入手。利用管理信息系统的信息技术优势，形成管理层决策（包括日常管理决策和三重一大事项决策）的过程处理痕迹报告，据以报送企业委托人监督代理人的决策过程，并成为追溯、奖惩、问责的依据。

（三）持续系统升级将完善措施融入系统 计世资讯2009年发现22%的用户对提供商提出系统优化需求，比2005年同一调查多3倍。这表明系统升级是用户普遍采用的优化措施。系统提供商在开发或升级过程中要吸收最多企业管理者参与，设备专业的风控岗位，将管理者发现的建设障碍整理规范并表达出来，分析不同层面用户的困难和解决对策，持续升级实现帕累托优化。提供商将完善措施转化成规范的计算机语言，通过计算机运算实现对内控措施的无歧义性机器推导。用户建设初期通过延长测试时间，后期增加系统升级次数和频率，渐进地将系统及内控与行为体验相适应。用户与系统提供商商定升级原则包括：识别升级风险起因、升级时机选择、升级风险措施应对、升级利益相关者需求分析等。计世资讯2009年发现92%的大中型企业已经第2次甚至第3次升级系统。主要是应用范围升级（从部门、到公司、再到集团，从内部到外部供应链）和技术平台升级（为集团全面整合而统一规划、标准、设计、应用平台）二个方面。这一过程也同时实现了业务流程再造，有效减少单独实施流程再造的阻力并降低成本，强化了管理信息系统内控的实施基础。

另外，用户应全面评估升级对日常管理工作的影响。主要或级影响因素：用户需求、系统补丁数量、安全策略、新系统脆弱性评估、对升级的理解程度、可替代升级程序选择、资源可用性、新内控流程配套、升级后系统异常情况估计、成本效益分析、系统集成和配置完整性等。

（四）提高管理信息系统内控建设与环境匹配度 外部

竞争环境的激烈程度对用户建设系统内控有倒逼作用，而内部不断产生的新业务和管理调整是企业花巨资开发建设管理信息系统内控的原动力。宋仕杰（2011）建议建立权变机制将机械的系统化管控与多变的外部环境结合起来。权变机制的建设基础是企业内控环境，提供商除帮助系统升级之外无法做出太多帮助，用户必须依赖自身的长期努力才能实现。用户可以通过及时发现新管理信息系统开发技术、定期与提供商招开例会、向技术第三方咨询、投资新技术和创新思想等方式建立权变机制。

用户建设针对内部环境变化的系统权变机制时，赵颖（2013）认为成功的关键是人员、组织、系统（COBIT5.0框架认为系统包括质量、安全、财产、保密、知识产权、职业道德等）三者的交集程度。权变机制就是这种交集的结合程度，交集面积越大，实施成功性越大。用户每年至少评估一次新业务被管理信息系统内控包括的比率、对基层的新业务需求反馈率、新业务纳入系统批准时间等。显然，只有不断扩大三者间交集面积才能将管理信息系统内控与不断变化的内部环境保持同步。

用户建设针对外部环境的系统权变机制时，由于管理信息系统通常过多关注企业内部业务控制的完善，而忽视外部大环境的变化，导致用户难以发现外部环境变化。用户可以建设专业外部环境风险认别预警机制，评估外部法律、法规、合同条款、商业环境、发展趋势等外部环境变化因素。考虑外部环境影响是否合乎伦理，评估新出现的商业运营风险，对未来新情况的模拟运行测试（包括可能的业务处理压力、模拟业务和角度、操作程序、软件设计、生产环境模拟、数据传递连接、计算机硬件配置等）。与此同时，用户想要预测系统内外环境的未来变化，就必须对基层管理者及操作员下放更多权限，反思过去系统内控事故发生的损失和错失反应时机的原因，只有这样才能建立在线式动态的权变机制。

总之，用户制定完善措施时要不断对措施评估以下指标：系统输出数据在允许差错范围内的比率、符合内控目标的比率、内控程度得到遵循的比率、独立审查内控程序的比率、外部人员识破系统内控程序的比重、重大违反内控程序的事件数量、重大内控事件发生后得到报告的时间间隔长短。只有这些指标经得住检验，相关措施才有效。

（五）提供商与用户加强信息安全防范 提供商要补充管理信息系统不同模块间的数据稽核程序，将强大的数据分析和决策功能与数据输出核查相结合。让系统联接外部数据（如用户管理咨询机构提供的行业平均数据、同业上市公司公开的财务报告、政府公报数据、国泰君安及万得等商业数据库），实时导入系统进行参考，及时发现极端异常数据、内控职务疏忽、系统操作员有意数据舞弊和信息造假风险。

用户要注意数据在系统外部的制度性确认核实，系统外部核实制度是管理信息系统内控的重要组成部分，比如客户信用记录调查、实物数据清查，永续与突击性盘点、应收账款与银行存款函证、库存现金接触控制等。

用户应主动与提供商沟通企业的主要竞争对手和数据破坏风险估计，提供商根据用户提示的重点数据（比如技术参数、原料来源厂商信息、定价机制、外包生产商分布等用户核心竞争力关键数据），反复测试重大事故可能发生点，重点保护敏感数据，并同用户共同制定全面的内控解决方案，特别是非技术性的数据保护内控措施。

数据安全保护关键点包括：异地备份、数据包自带自我保护程序，云端数据存储、数据传递介质管理、黑客入侵防范、数据间谍人力资源防范、手机客户端与远程登陆用户身份识别、数据流入外网后的多层加密防范等。

用户还应建设系统数据匿名测试内控制度、数据安全线索举报奖励制度、保护举报人安全制度、不同重要信息等级责任人制度等。并不定期组织数据内控安全事故演练，提高操作员应对系统数据内控突发风险的实战能力。

四、结论

Harriso（1996）研究认为企业对管理信息技术与相关内控的巨额投资和建设行为，必须辅之与企业日常管理中发现的建设障碍和持续改进，才能真正发挥其对企业流程式管理的真正效力，并最终提高管理效率。通过上文分析，可知其建设过程是一个不断优化用户、组织、管理、业务、环境之间博弈的帕累托改进过程。将COBIT5.0框架与用户管理目标、标准、内控技术（不限于信息技术）手段结合起来，才能增加COBIT5.0框架的可操作性和实用性。

美国管理系统专家诺兰分析了西方发达国家信息系统的发展路径后提出信息系统进化的六阶段模型，用户到达第六阶段（终点）“将企业发展与信息技术处理适应”前的五个阶段都不能跨越。当前中国用户所经历的各种障碍是一个必然的过程，用户首先要明确自身所处阶段，确定主要障碍，进而制定破解对策。最后，COBIT5.0建议用户持续对建设结果做以下数值检验：满足用户需求程度、实现预期效益、系统操作体验友好程度、内外部利益相关者的期望是否得到满足、管理风险降低率、有效预防运营风险和舞弊是否增强、可否做到适时管理信息系统升级等。

针对这一主题的研究，本文只是从规范研究的角度分析并提出一些建议，今后的研究更应当从实证与实例角度，深入企业用户管理的具体业务，参与追踪用户业务过程，发现具体建设因难，并实证这些影响因素的相关性，确定系数，再从具体到一般归纳普遍适应性的完善措施。

［1］ 缪艳娟、杨雄胜：《企业内部控制实施：进程、效果、建议——来自江苏企业问卷调查》，《会计研究》2014年第1期。

［2］ 毛基业、王伟：《管理信息系统与企业不接轨以及调试过程研究》，《管理世界》2012年第8期。

［3］ 王凡林：《企业会计信息化实施问题与对策》，《经济与管理研究》2012年第11期。

［4］ 李万福、林斌、舒伟：《基于内控视角的ERP系统实施改进研究》，《审计研究》2011年第1期。

［5］ 张念珍：《我国集团企业财务管理信息化的问题和对策研究》，太原理工大学2013年硕士学位论文。

［6］ 李凯华：《我国家族上市公司治理结构对内部控制有效性影响研究》，河北经贸大学2014年硕士学位论文。

［7］ 栾竹：《H公司ERP系统实施及内控构建相关问题研究》，上海交通大学2009年硕士学位论文。

［8］ 宋仕杰：《企业内控监督模式研究》，西南财经大学2011年博士学位论文。

［9］ 赵颖：《MB公司管理信息系统实施的组织匹配研究》，电子科技大学2013年硕士学位论文。

［10］ Fengyi Lin,Liming Guan,Wenchang Fang:Critical Factors Affecting the Evaluation of Information Control Systems with the COBIT Framework—A Study of CPA Firms in Taiwan,Emerging Markets Finance&Trade,2010（1）.

［11］ Harrison:The Importance of Being Complementary,Technology Rreview,1996（7）.

［12］ Abbott L，J.,Parker,S.Etc:Corporate governance，audit quality，and the Sarbanes-Oxley Act:Evidence from internal audit out sourcing，The Accounting Rreview,2007（4）.

［13］ Harrison:The Importance of Being Complementary,Technology Rreview，1996（7）．