信息技術發展下的企業內部控制研究
——利用COBIT5分析A企業的內部控制

楊安冉

(云南民族大學管理學院 云南 昆明 650000)

一、引言

隨著信息技術逐漸成為支撐企業可持續發展和增長的關鍵因素，有關企業內部控制信息化的發展也日益成為了企業生存和發展的重要組成部分，企業也必須面對信息技術帶來的新風險。信息和相關技術的控制目標(COBIT)作為世界上目前承認度最高的一項信息技術管理標準，可以說是幫助組織確保信息技術使用與企業業務目標一致的最適宜控制框架，目前已更新到COBIT2019版。

某網絡公司A企業從最初的企業對企業網上貿易交易平臺，到面向中國電子商務市場推出基于中介的安全交易服務平臺，目前已發展成為具有數字獨特，充滿活力和創新的經濟。然而，先進的技術管理必然伴隨著不成熟管理體系與信息技術漏洞的問題，例如近幾年來一直困擾該企業且難以解決的內部管理人員腐敗問題，盡管企業每年都針對該問題進行內部整治，但效果似乎并非特別顯著。因此，在如今信息技術發展迅猛的年代，作為信息技術發展應用的先驅者，A企業的信息化內部控制研究將是十分有意義的。

二、企業的信息化治理

(一)企業的信息化治理。有關企業信息化治理的概念存在時間不過30年，Steven[1]在相關研究中，將信息化治理研究的發展主要的分為三個階段：第一個階段為信息化治理對企業內部控制的替代組織形式以及該形式對企業業績的影響研究；第二階段為信息化服務與功能對企業內部控制的影響研究；第三階段是在受Porter有關戰略和競爭優勢研究的啟發下，企業戰略，信息技術的投資和企業績效之間聯系的研究。COBIT是由ISACA開發的信息化治理框架，自1996年問世以來，已在許多國家和地區進行了實施。2012年4月，COBIT 5發布，將信息化企業治理概念作為了信息化治理框架的基礎，該框架圍繞五項核心原則進行構建：(1)滿足利益相關者的需求——戰略業務與信息化管理的統一、平衡記分卡；(2)端到端覆蓋企業——涵蓋企業所有內部的功能和流程；(3)應用單一的綜合框架——COBIT，RISKIT和VAL IT；(4)采取整體方法——組織系統；(5)將治理與管理分開。

(二)A企業的信息化治理。利用新興信息技術建立網上貿易平臺起家的A企業，注定了其在未來的發展中必定面臨新興技術帶來的各項不確定性風險。目前，A企業正致力于開發大型數字經濟，以達到在公共平臺上的價值創造與分享，涉及的領域主要包括核心商務、云計算、數字媒體和娛樂以及創新計劃。接下來，我們將A企業涉及到的信息化管理整合到COBIT5框架中進行內部控制分析。

1.滿足利益相關者的需求——戰略業務與信息化管理的統一。滿足利益相關者的需求意味著COBIT5提供了所有必須的流程和支持因素，以通過使用信息技術來支持業務價值的創造與風險管理，采用時，企業將明晰并重視不同方面的信息技術對不同時期不同目標的企業的重要性。在A企業2019年的財務報告中我們可以比較容易地在零售貿易，物流服務，消費服務以及數字經濟四個方面發現企業應用了多項信息技術促進企業的業務價值創造。其中，零售貿易方面，通過將數字化的系統操作，店內技術，供應鏈系統，消費者洞察力和移動生態系統進行融合，提供在線和離線零售消費者的無縫購物體驗；物流方面，通過運營物流數據網絡和全球配送網絡，提供國內外一站式物流服務和供應鏈管理解決方案；消費服務方面，通過使用移動和在線技術服務，提高為消費者服務的有效性和便利性；數字經濟方面，通過云計算進行發展，在數字經濟的關系中，企業的技術平臺，市場規則以及規則中的參與者可以隨時發現，參與和交易，并管理他們的業務。

2.端到端覆蓋企業——涵蓋企業所有內部的功能和流程。端到端覆蓋企業的原則明確規定，COBIT5涵蓋企業內的所有功能和流程。COBIT5不僅關注“信息技術的功能”，同時還需要將信息和相關技術視為與企業中的其他資產一樣，對其資產或功能進行檢查。作為A企業旗下最為重要的技術板塊——云計算，該技術提供了完整的云服務套件，包括了彈性計算，數據庫，存儲，網絡虛擬化服務，大規模計算，安全性，管理和應用服務，大數據分析，機器學習平臺和IoT服務(物聯網服務平臺)，為A企業的數字經濟及其他進行了一系列的服務。

3.應用單一的綜合框架——COBIT，RISKIT和VAL IT。單一的綜合框架是包括了企業治理和管理的總體框架。其中五個治理過程包括了治理框架的設置，價值、風險、資源以及向利益相關者提供有關信息治理的公開程度。管理方面包括了“統一，計劃，組織”(APO)；“建立，獲取和實施”(BAI)；“交付，服務和支持”(DSS)以及“監測，評估和測評”(MEA)。在有關各項業務價值創造與風險評估方面，企業則綜合地運用了某數據平臺的相關算法來進行風險價值評估以及決策制定。

4.采取整體方法——組織系統。有效地實施企業的信息技術治理和管理需要一個整體的方法，這種方法需要考慮到了幾個相互影響的組件：流程，組織結構和人力資源。企業可以通過混合使用各種結構，流程和關系機制來部署EGIT。EGIT結構包括了負責制定信息技術決策以及促進業務和信息技術管理決策之間聯系的組織單位。目前，A企業通過專有的新零售供應鏈管理和銷售市場營銷系統為其數字經濟平臺的眾多參與者服務，并且從整合的在線和離線運營，有效的客戶參與，創新性地利用零售空間，更高的運營效率和新的業務模式中受益。

5.將治理與管理分開。有關信息化的管理與治理問題，COBIT5遵循了ISO38500預印本中規定的EDM模型(“評估—直接—監控”)。信息化治理流程是董事會的職責，通過評估利益相關者的需求確保實現企業目標；并根據計劃監控企業績效。有關信息化的治理和管理問題，A企業的財報中尚未有較為明晰的區分說明。

三、A企業信息化治理中存在的問題分析與總結

過去的三十年，信息技術在企業中的作用已由最初的支持和交易功能轉變為戰略價值創造的必要前提。依據COBIT5的五項核心原則對A企業的信息化治理進行分析，我們發現，無論是依靠自身，還是第三方，A企業的整個運營都通過依賴一個較為龐大的信息技術體系，制定了高質量的發展戰略并獲得了成功。然而，我們也發現，企業在利用先進的信息技術引導企業發展時，相關的信息化治理體系也是存在著一些不足的。根據分析，我們發現A企業的信息化治理多偏向于為企業的發展戰略服務，而有關信息化的治理與管理問題往往是混為一談、模糊不清的，即有關企業的管理問題是較為缺乏的。近年來，企業內部頻發不止的腐敗事件便是企業信息管理不足的表現。正如Weill和Ross[2]指出的那樣：“如果高級的管理人員不接受信息技術的相應責任，公司將不可避免地將信息技術的資金投入到多種戰略計劃中，而對組織能力沒有明顯影響，信息技術應該成為一種責任，而非戰略資產”。