COBIT框架下管理信息系统内控的研究评述及展望

[摘 要] 2012年5月ITGI了COBIT 第5 版，在国际上引起了很大反响。在我国，企业管理信息系统内控的建设急需一个内控框架来指导，本文对国际国内的相关研究进行了评述，提出了今后国内相关研究的展望和困难，以及国内企业在应用COBIT框架中应注意的问题。

[关键词] COBIT；国内企业；管理信息系统；内控

doi ： 10 . 3969 / j . issn . 1673 - 0194 . 2013. 01. 010

[中图分类号] F239.45 [文献标识码] A [文章编号] 1673 - 0194（2013）01- 0017- 02

1 国内管理信息系统内控的现状与COBIT的提出

管理信息系统的发展模式是：办公自动化模式——会计电算化模式——ERP模式——管理信息系统模式。张荣海（2007）认为管理信息系统为企业带来管理优越性的同时也加重了内控风险，构建管理信息系统内控迫在眉睫。

至今，国内尚无针对管理信息系统内控操作层面的专门规范。当前已出台的相关规范有力地促进了管理信息系统内控的完善进程。但是，规范政出多门，特别是，之前曾参与规范制定的国资委在2008年后完全退出，这为规范的推行埋下隐患。

国际上，COSO内控框架被美国SEC指定强制执行。2002年安然事件引发美国了史上最严厉的《萨班斯-奥克斯利》（Sarbanes-Oxley）法案——SOX 404条款，SOX 404条款为内控管理评估条款，强制要求所有美国上市公司必须由CEO和CFO签名提交关于内控有效性的报告，包括：CPA的审计报告，披露主要内控缺陷，内控设计效力测试结果。至今美国各界仍在争论不休，COSO报告、SOX 404条款对世界各国的企业内控规范制定产生了极为深远的影响。

基于COSO，美国ITGI信息科技管理研究所（The IT Governance Institute）从1996年开始COBIT信息及相关技术控制目标（Control Objectives for Information and related Technology），Brad Tuttle .et（2007）研究认为COBIT 是一个开发和评估密集型管理信息系统的通用理论框架。ITGI不断公布新版本，于2012年5月了 COBIT 第5版，COBIT 5的内容大幅扩充，更加注重与其他架构、基础、认证、标准、资源的相互融合。COBIT为世界上大多数公司采纳的IT 管理框架，并能有力地减少管理信息系统内控的风险。COBIT 还被作为遵从《萨班斯-奥克斯利》法案的工具而广泛采用。钟红英（2009）对COBIT与中国的《企业内部控制基本规范指引18号——信息》比较发现，二者都是基于COSO框架，但COBIT更落到实处，更关注控制过程的动态资源控制，更具可操作性。阳杰、庄明来、陶黎娟（2009）发现，COBIT的理念和内控目标提供了一个管理信息系统下会计业务内控的指南，但尚未引起国内足够重视。

在当前国内企业管理信息系统全面升级的背景下，国内尚无针对管理信息系统内控操作层面的规范出台。COBIT的应用显然具有重大意义。本文对有关管理信息系统内控及COBIT的国际和国内研究进行整理和分析评述，提出COBIT在国内应用研究的展望和困难，以及国内企业应用COBIT时应注意的问题。

2 国际及台湾地区相关研究和评述

国际相关研究较为充分，随着《萨班斯-奥克斯利》法案的颁布，大量学者开始关注这一主题。笔者分析了大量国外文献，将国际上相关研究的脉络归类为3个阶段：

2.1 2000年之前主要研究管理信息系统的影响因素

Andrew C .et （1994） 应用结构方程模型研究132家大公司发现，管理信息技术知识是决定大公司管理和IT应用水平的关键因素，三者同时受到公司IT管理大环境的影响。Curtis P. Armstrong .et （1999） 通过实证公司管理层的质量、IT基础设施、组织规模3个变量与公司管理信息系统水平提升的关系，发现完全非正式地正相关。

2.2 2000—2008年COBIT引起重视，介绍COBIT及与其他标准进行比较

Hawkins， Kylee （2003） 发现COBIT提供了一个保持管理信息系统安全的必要工具，并兼顾了政府管制要求和公司成本效益。William Brown， Frank Nasuti （2005） 发现COBIT提供了一个操作指南，管理信息系统要适应SOX 404条款，必须重点在项目管理、变革管理、软件集成方面做出调整。Basie von Solms （2005） 实证发现COBIT和ISO/ISE17799共同应用会给管理信息系统内控提供一个全面和标准化的安全环境。Bodnar， George H （2006） 评论了COBIT在管理信息系统内控中的重要意义。

2.3 2008年至今主要研究COBIT在各地区、各行业的应用及重构

Shi-Ming Huang .et （2008） 设计一个5个维度，19个因素COBIT内控框架对台湾公司的ERP结构进行调查，发现5个最重要的内控影响因素：建立相关信息技术、组织与财务信息的沟通、发展信息战略计划、管理信息质量、检测运行过程。Shamsul Sahibudin .et （2008） 分析了ITIL、COBIT和 ISO/IEC 200702的差异，认为应当用ITIL去定义战略、过程和计划，将COBIT 应用于指标、基准、审计，应用ISO/IEC 200702解决安全问题。Florena C.Tugas （2009） 对菲律宾食品、饮料、烟草行业应用COBIT对22家上市公司实证发现，管理信息系统急待解决在经营、战略中广泛应用引发的问题，菲律宾当前必须通过正式培训、沟通、记录来加强流程和实施中的风险监控。Fengyi Lin .et （2010） 发现台湾企业有效地利用COBIT促进管理信息系统内控的实施。Mc Ghee， Wallace E （2010） 实证发现澳大利亚企业可以很好地应用COBIT标准化管理框架。

综合看，国际研究非常充分，提供了应用研究的丰富成果。证明COBIT对管理信息系统内控建设的重要价值，在很多发达和发展中国家及地区都已得到了广泛应用。国内应用研究可以借鉴这些成果，全面开展COBIT在国内企业管理信息系统内控建设中的应用研究，特别是菲律宾和台湾的实践值得国内企业关注和学习。

3 国内相关研究及评述

阅读国内文献发现，国内研究尚不深入，笔者将国内的研究现状分析如下：

3.1 对管理信息系统内控不足的发现

陈倩、阳迅（2007）提出管理信息系统内控要在控制理念、模式、方法、环境4方面进行创新。张荣海（2007）直观地分析了信息系统对中小企业会计内控的挑战和引发的新问题，但分析得不够深入和系统。郭红、刘涛（2007）认为企业应当不断地重新评估管理信息系统内控所处的环境，更新内控措施。栾娜（2007）分析了管理信息系统内控的关键环节。

综合发现，国内研究与国际相比明显滞后，且深度不足。缺乏针对不同影响因素及影响因素间关系的定量研究。

3.2 对COBIT框架的引入介绍

陈婉玲、袁若宾（2006）介绍COBIT的构成和内容，及管理信息系统内控建设中的应用价值。苗连琦（2008）分析会计信息系统内控的必要性及COBIT在国内应用的可行性。钟红英（2009）发现COBIT结合了COSO的标准和管理信息技术方法，是比COSO更有导向作用的管理信息系统内控的标准，具有直接指导意义。阳杰、庄明来、陶黎娟（2009）作了目前最深入的相关理论研究，研究了IT环境与会计业务流程的演变及对不同阶段的影响，分析了COBIT的控制理念和逻辑，发现要将COBIT上升到中国官方标准还要进一步的研究和完善。

综合发现，2006年才开始在国内介绍COBIT，当前仍主要停留在介绍阶段，大多数研究只是指明COBIT有借鉴意义，缺乏分析：当前国内企业应用COBIT的主要外在障碍和内在困难；公司在应用COBIT中应注意的问题；国内借鉴COBIT制定我国相关内控规范时应注意的问题。

3.3 COBIT在国内企业管理信息系统内控中的应用研究

李佳（2007）应用COBIT框架对一通信工程公司会计信息系统内控进行了分析和重构。杨瑞（2009）试图应用COBIT为内部会计信息系统控制构建一个理论框架，并以一大型电器企业为例进行了分析。李强（2010）基于COBIT框架分析了当前会计信息系统在IT环境中面临的风险，并提出建议。

综合发现，一方面，仅有的几个应用研究主要集中在会计信息系统内控，没有扩大到管理信息系统内控这一更大范围，与当前国内大部分中型以上企业已经由会计信息系统全面升级为管理信息系统的实践状况严重脱节。另一方面，研究稀少且层次不高，COBIT的本土化及应用研究尚未在国内全面展开，学者们的研究方法和内容都没有深入到企业管理信息系统的应用实践，缺乏实验研究和长期跟踪研究。

4 COBIT框架下企业管理信息系统内控的研究展望

4.1 COBIT国内应用研究的主要方向

（1）将COBIT本土化，结合国内企业实际设计管理信息系统内控关键控制点。

（2）调研，走访不同类别代表性企业，普查管理信息系统内控建设的现状及困境。

（3）与企业管理者、主管部门及专家讨论，分析企业应用COBIT框架完善内控的薄弱点。

（4）应用COBIT框架分析相关内控面临的困境及应对措施。

（5）应用COBIT为不同类别的企业设计管理信息系统内控框架。

（6）长期跟踪企业在应用过程中的问题和变化，适时调整内控措施。

4.2 COBIT国内应用研究中需要克服的问题

（1）COBIT形成于西方国家，企业的整体管理水平与国内企业有明显差距，COBIT本土化过程中，很多标准难以与国情相符合。

（3）地区间企业管理水平差异巨大，会导致对策在不同企业的操作有效性降低。

（3）内控框架在推行过程中如何平衡成本与效益，特别是中小企业。

（4）企业对COBIT普遍认识不足，COBIT的推行难以获得企业高层的支持。

4.3 国内企业在应用COBTI过程中应注意的问题

（1）应从信息过程、信息标准、信息资源3个维度立体构建管理信息系统。

（2）应从项目启动、体系建设、细则实施等阶段逐步实施内控建设。

（3）应将管理信息过程中的人员、应用系统、技术、设施、数据等资源根据企业特点和信息系统实施阶段重新组合。

（4）按照COBIT的34个流程，重新梳理系统的每一目标，并完善内控流程。

（5）不断重新评价内外环境变化引发的内控不协调，做以调整。

（6）在内控措施有效性与成本效率之间做好平衡。

（7）完善内控的过程是满足管理信息系统需要的过程，不仅是计算机系统的问题，更是完善管理过程的问题，特别要重视这一管理过程由谁来推动。

主要参考文献

[1]张荣海.基本信息化（ERP）环境下中小企业内部会计控制探析[J].财会研究，2007（5）.

[2]Brad Tuttle， Scott D Vandervelde. An Empirical Examination of COBIT as an Internal Control Framework for Information Technology[J]. International Journal of Accounting Information Systems，2007，8（4）：240-263.

[3]阳杰，庄明来，陶黎娟.基于COBIT的会计业务流程控制[J].审计与经济研究，2009（2）.

[4]陈婉玲，袁若宾.COBIT及其在信息系统控制与审计中的应用[J]，审计研究，2006（Z1）.

[5]苗连琦.COBIT：加强会计信息内控是审计不可或缺的工具[J].中国管理信息化，2008（2）.