基于COBIT5.0的管理信息系統(tǒng)內(nèi)部控制研究*

西藏民族大學(xué) 喬鵬程 馬 錦

一、引言

近年來，五部委聯(lián)合發(fā)布了《企業(yè)內(nèi)部控制基本規(guī)范》和20個配套指引，標(biāo)志著我國企業(yè)內(nèi)控規(guī)范體系基本建成。2012年發(fā)改委在《2006-2020年國家信息化發(fā)展戰(zhàn)略》具體部署中提出“信息化戰(zhàn)略要在企業(yè)戰(zhàn)略制定中起到的領(lǐng)導(dǎo)作用，管理信息系統(tǒng)內(nèi)控建設(shè)已初具規(guī)模”。管理信息系統(tǒng)提供商與用戶有兩種對接模式：（1）大企業(yè)作為主導(dǎo)，將自身管理模式系統(tǒng)化。（2）通過知識傳遞模式，中小企業(yè)被動地學(xué)習(xí)提供商系統(tǒng)中已設(shè)定的內(nèi)控。根據(jù)COSO框架，在第二種模式下，用戶必須調(diào)整其原有的內(nèi)控制度、公司治理結(jié)構(gòu)、業(yè)務(wù)流程、硬件支持、系統(tǒng)版本，與新的系統(tǒng)及內(nèi)控相適應(yīng)。

國外對相關(guān)主題的研究已比較成熟。王凡林（2012）對國外的文獻綜述發(fā)現(xiàn)西方相關(guān)研究可分為“控制觀”（偏重技術(shù)控制，認(rèn)為信息系統(tǒng)及相關(guān)內(nèi)控是企業(yè)管理技術(shù)的延伸，主張擴展技術(shù)控制的范圍）和“引導(dǎo)觀”（偏重認(rèn)為信息控制技術(shù)是引導(dǎo)企業(yè)減少風(fēng)險的過程，其只是管理制度之下的一種手段，主張以組織整體管理為主導(dǎo)）二大類。本文認(rèn)同這一分類，將從“引導(dǎo)觀”視角宏觀布局思考信息系統(tǒng)及內(nèi)控建設(shè)困難，并從具體操作層面利用COBIT5.0框架制定技術(shù)層面的完善措施。

國內(nèi)相關(guān)研究主要集中在風(fēng)險管理框架、IT管理技術(shù)應(yīng)用、信息管理平臺的風(fēng)險導(dǎo)向治理框架、將網(wǎng)絡(luò)控制植入公司治理之中、上市公司內(nèi)控報告情況研究等幾個方面。筆者發(fā)現(xiàn)國內(nèi)針對本文主題的研究還較少，而針對完善措施，國家相關(guān)研究文獻大多提出從用戶主動調(diào)整組織環(huán)境和資源條件兩個角度入手。毛基業(yè)、王偉（2012）認(rèn)為以往的研究都是局部地、孤立地解決系統(tǒng)與用戶不適應(yīng)沖突，無法找到普遍的根除方法，關(guān)鍵要從用戶不適應(yīng)問題演變、問題的多層次性、復(fù)雜性關(guān)聯(lián)中尋找根源。在此基礎(chǔ)上，本文將重點研究用戶的五個突出困難及其根源。Fengyi Lin,LimingGuan,WenchangFang（2010）實證發(fā)現(xiàn)企業(yè)可以利用COBIT有效地促進管理信息系統(tǒng)內(nèi)控的實施。鑒于COBIT5.0框架是當(dāng)前國際通行的管理信息系統(tǒng)（IT系統(tǒng)管理）的主流指導(dǎo)框架，本文將應(yīng)用國內(nèi)學(xué)者還鮮有采用的COBIT5.0框架，制定破解對策。

二、管理信息系統(tǒng)內(nèi)部控制建設(shè)的主要困難及原因

（一）集團內(nèi)各子公司管理信息軟件版本不統(tǒng)一 筆者調(diào)研發(fā)現(xiàn)部分集團內(nèi)部子公司所用管理軟件存在多個版本，特別是多次兼并重組后形成的集團，不同版本間的不同數(shù)據(jù)標(biāo)準(zhǔn)導(dǎo)致集團內(nèi)部數(shù)據(jù)傳遞和統(tǒng)一內(nèi)控存在障礙，進而導(dǎo)致內(nèi)控措施沖突。具體有：內(nèi)置內(nèi)控相互沖突、語言顯示差異、用戶信息數(shù)據(jù)生成點分散、信息處理能力、系統(tǒng)開放對用戶程度、軟件數(shù)據(jù)接口不通用、與網(wǎng)絡(luò)及操作員手機等工具綁定、內(nèi)控制度設(shè)置各異等。最終導(dǎo)致數(shù)據(jù)信息孤島或內(nèi)控管理風(fēng)險頻發(fā)。張念珍（2013）統(tǒng)計"財務(wù)數(shù)據(jù)分析以及決策支持"是87家樣本企業(yè)中得分最高的實施重點方向。說明管理決策智能化成為集團建設(shè)系統(tǒng)及內(nèi)控的終極目標(biāo)。與此同時，大數(shù)據(jù)及云計算時代的到來，用戶不同版本出來數(shù)據(jù)共享和傳遞障礙、信息過載、數(shù)據(jù)對決策反干擾等問題都更加嚴(yán)重。另外，版本不同加劇了形成全集團信息傳遞良性循環(huán)的困難，比如，基層用戶向管理高層用戶流動較多，反之則較少。不良的單方向信息流動最終導(dǎo)致全集團信息處理低效化。

（二）管理信息系統(tǒng)內(nèi)控自身及建設(shè)標(biāo)準(zhǔn)存在復(fù)雜性內(nèi)部控制有效性的最終標(biāo)準(zhǔn)細分為適應(yīng)性、功能一貫性、成本效益原則。調(diào)研發(fā)現(xiàn)企業(yè)參考標(biāo)準(zhǔn)非常多樣：財政部等五部委發(fā)《企業(yè)內(nèi)部控制基本規(guī)范》及配套指引、國資委發(fā)《中央企業(yè)全面風(fēng)險管理指引》、證監(jiān)會發(fā)《上市公司內(nèi)部控制指引》、COSO框架、ISO標(biāo)準(zhǔn)、6西格瑪管理標(biāo)準(zhǔn)、管理信息系統(tǒng)內(nèi)部嵌入的內(nèi)控原則等。由于標(biāo)準(zhǔn)制定部門之間存在利益博弈，其出發(fā)點不同，這些原則間有交叉、沖突?？娖G娟、楊雄勝（2014）調(diào)研發(fā)現(xiàn)47.7%企業(yè)在制定內(nèi)控過程中選擇了二種以上的參考標(biāo)準(zhǔn)。

一方面軟件系統(tǒng)本身構(gòu)造存在復(fù)雜性，另一方面用戶感到系統(tǒng)及內(nèi)控存在可視性差及參考標(biāo)準(zhǔn)多樣性的復(fù)雜性困難。在內(nèi)控的高要求與系統(tǒng)的復(fù)雜性共同作用下，對于建設(shè)管理信息系統(tǒng)及內(nèi)控都剛起步的國內(nèi)用戶必然會產(chǎn)生諸多困難與障礙。

（三）管理信息系統(tǒng)內(nèi)控的形成外來性導(dǎo)致調(diào)適困難管理信息系統(tǒng)缺乏柔性，需要用戶關(guān)注實施過程中的內(nèi)控建設(shè)及調(diào)適。李萬福、林斌（2014）發(fā)現(xiàn)信息系統(tǒng)讓很多用戶誤認(rèn)為只要系統(tǒng)投入應(yīng)用，會自然應(yīng)用到系統(tǒng)中設(shè)置的內(nèi)控措施，懈怠于行為的自適應(yīng)和優(yōu)化，忽略了系統(tǒng)自帶內(nèi)控的不足及人為破壞。Harriso（1996）認(rèn)為管理信息系統(tǒng)一定要與用戶主動的組織、流程、計劃、控制、獎勵等相關(guān)制度建設(shè)相結(jié)合才能提高管理效率。具體表現(xiàn)有：

（1）制度文本障礙。當(dāng)前中國企業(yè)（特別是國有企業(yè)）制定系統(tǒng)的內(nèi)控是政府主導(dǎo)的“自上而下推廣式”過程。用戶建設(shè)管理系統(tǒng)內(nèi)控的前期工作普遍由外部管理咨詢公司主導(dǎo)，筆者閱讀過的此類咨詢公司提供的方案都在一定程度表現(xiàn)出重理論、重文本、忽視業(yè)務(wù)特點的現(xiàn)象。當(dāng)制度文本實施后，內(nèi)部的管理者才會大量介入，后介入的管理者對制度文體更缺乏深入體會和執(zhí)行力。

（2）人才匱乏障礙。外部管理咨詢公司及系統(tǒng)提供商撤離后，用戶缺乏同時擁有內(nèi)控知識、管理經(jīng)驗、信息化技術(shù)的綜合性人才。特別是基層下屬部門和分公司，相關(guān)崗位普遍存在兼職化，基層系統(tǒng)維護和管理能力薄弱。

（3）組織與分工障礙。外來的管理信息系統(tǒng)內(nèi)控對不相容職務(wù)的設(shè)定，如果公司原有組織構(gòu)架過于簡單和人員無法適度分工，將會出現(xiàn)管理職權(quán)集中漏洞。如果用戶崗位績效考核和權(quán)力監(jiān)督不充分，會加重這一障礙。

（四）通用管理系統(tǒng)內(nèi)控需要業(yè)務(wù)標(biāo)準(zhǔn)化與管理穩(wěn)定性張念珍（2013）發(fā)現(xiàn)管理信息軟件在同一行業(yè)出現(xiàn)明顯同質(zhì)化，即系統(tǒng)的重點發(fā)展領(lǐng)域明顯趨同。通用系統(tǒng)具有明顯的管理過程剛性化傾向，對業(yè)務(wù)標(biāo)準(zhǔn)化和管理穩(wěn)定性提出更高要求?？娖G娟、楊雄勝（2014）調(diào)研發(fā)現(xiàn)內(nèi)控與“當(dāng)前業(yè)務(wù)流程不銜接”及“內(nèi)控過于原則缺乏操作性”是最重要的制約因素。顯然，在當(dāng)前用戶管理水平普遍不高，業(yè)務(wù)流程不規(guī)范和管理過程非標(biāo)準(zhǔn)化的大背景下，用戶在建設(shè)中會不斷遭遇沖突與障礙。

另外，我國柔性的商業(yè)文化生態(tài)，也為用戶試圖實現(xiàn)管理穩(wěn)定和流程標(biāo)準(zhǔn)化產(chǎn)生基礎(chǔ)性文化環(huán)境障礙，因為在易發(fā)生管理失控的應(yīng)收款管理、采購訂單管理、銷售合同、產(chǎn)權(quán)保戶、商業(yè)信用等模塊，用戶最易受到外部其它單位的牽制導(dǎo)致各種突發(fā)狀況發(fā)生?？傊?，通用系統(tǒng)無法滿足用戶個性化的業(yè)務(wù)流程和管理決策過程，識別其特有的風(fēng)險，只能機械的處理全行業(yè)共性的問題或提供行業(yè)標(biāo)準(zhǔn)化的處理意見，對有強烈獨特管理風(fēng)格、多元化經(jīng)營、快速成長、外部環(huán)境劇烈變化的用戶在調(diào)適過程中產(chǎn)生障礙。

（五）用戶忽視數(shù)據(jù)輸出環(huán)節(jié)的內(nèi)控造成損失 當(dāng)前系統(tǒng)提供商與用戶對信息系統(tǒng)及相關(guān)內(nèi)控的開發(fā)與應(yīng)用都以能為用戶提供更多輔助決策信息為目標(biāo)。系統(tǒng)及相關(guān)內(nèi)控的工作重心在系統(tǒng)信息處理前端，通常會忽視后端的信息輸出過程，用戶也易忽視信息輸出后的數(shù)據(jù)保護和內(nèi)控防范問題。對用戶易產(chǎn)生的信息傷害主要有：

（1）缺乏輸出信息的勾稽核對程序及內(nèi)控。來源于不同模塊的輸出數(shù)據(jù)存在矛盾，沒有引入行業(yè)標(biāo)準(zhǔn)或國家參考數(shù)據(jù)作為對比，對極端異常輸出數(shù)據(jù)不能識別，輔助決策模塊提供信息偏差難以追溯原因等。

（2）對同業(yè)信息間諜和網(wǎng)絡(luò)黑客入侵等有意破壞防范不足，對輸出信息沒有多次加密。對輸出信息包沒有瀏覽次數(shù)和時間限制，缺乏信息包對非企業(yè)指定打開設(shè)備的識別功能，更少對用戶提供身份識別解密軟件。數(shù)據(jù)被竊取后的自我銷毀與系統(tǒng)自我封閉功能缺乏。

（3）保護信息的相關(guān)內(nèi)控乏力。用戶對信息保護不重視，沒有及時與系統(tǒng)提供商溝通信息保護辦法，對限制用戶將信息帶離企業(yè)管制不足。另外，提供商與用戶的這些工作缺失會進一步導(dǎo)致新的不可預(yù)知的管理風(fēng)險和損失。

三、應(yīng)用COBIT5.0完善管理信息系統(tǒng)建設(shè)的建議

管理信息系統(tǒng)內(nèi)部控制的主要模塊構(gòu)成為：風(fēng)險評估、風(fēng)險應(yīng)對、評價整改、風(fēng)險績效控制、綜合管理、系統(tǒng)管理等。毛基業(yè)、王偉（2012）提出用戶建設(shè)障礙主要可以通過氛圍、認(rèn)知、技術(shù)、組織四方面來調(diào)適。本文借鑒這一思想，并利用COBIT5.0框架提出以下完善措施。

（一）在建設(shè)系統(tǒng)前期解決好數(shù)據(jù)共享問題 張念珍（2013）發(fā)現(xiàn)80%以上用戶以分步驟方式開展建設(shè):第一步是管理數(shù)據(jù)集中管控和共享（調(diào)研發(fā)現(xiàn)50%的用戶處在第一階段），第二步系統(tǒng)版本的統(tǒng)一，第三步是系統(tǒng)優(yōu)化和升級。可見，用戶消除信息孤島，實現(xiàn)全集團系統(tǒng)版本統(tǒng)一，研發(fā)一體化管理平臺是用戶建設(shè)管理信息系統(tǒng)內(nèi)控的第一步。而對尚無能力統(tǒng)一研發(fā)一體化管理平臺的集團，逐步整合現(xiàn)有財會系統(tǒng)及其它（銷售、人力資源、采購、辦公系統(tǒng)、生產(chǎn)管理等）信息平臺，并相互數(shù)據(jù)接入和訪問權(quán)限開放是現(xiàn)實可行的選擇。用戶在數(shù)據(jù)統(tǒng)一平臺整合中要注意：數(shù)據(jù)測試團隊要包括獨立測試成員、確保全面的數(shù)據(jù)測試環(huán)境、保障各個數(shù)據(jù)采集點的執(zhí)行標(biāo)準(zhǔn)統(tǒng)一、定期對不同數(shù)據(jù)錄入點進行比較測試、不同信息點采集崗位的輪崗制度、減少人工反復(fù)錄入率、研究杜絕同一數(shù)據(jù)問題反復(fù)出現(xiàn)等。同時，集團用戶可以增加物探自動數(shù)據(jù)導(dǎo)入和采集系統(tǒng)，提高數(shù)據(jù)準(zhǔn)確性和效率，不定期對數(shù)據(jù)平臺與實物相測試、保留測試痕跡便于追溯、追溯失真問題數(shù)據(jù)來源采集點。

另外，XBRL系列國家標(biāo)準(zhǔn)也為用戶解決數(shù)據(jù)統(tǒng)一共享提供了有效工具，根據(jù)財政部網(wǎng)站信息，2013年大型中央企業(yè)、銀行業(yè)金融機構(gòu)、保險公司、及地方大中型用戶累計已有206家用戶實施了XBRL標(biāo)準(zhǔn)。XBRL標(biāo)準(zhǔn)不僅有助于集團內(nèi)部數(shù)據(jù)再統(tǒng)一，更有助于企業(yè)用戶系統(tǒng)與外部其它系統(tǒng)的對接與數(shù)據(jù)交換，及多樣化需求的數(shù)據(jù)報告生成。

（二）優(yōu)化公司治理結(jié)構(gòu)與之相適應(yīng) 根據(jù)Jensen（1976）代理理論中委托人與代理人之間利益沖突，內(nèi)部控制是有效運作代理問題的流程規(guī)范。當(dāng)信息技術(shù)及內(nèi)部控制相結(jié)合，公司治理結(jié)構(gòu)的制度安排將發(fā)揮基礎(chǔ)性內(nèi)控作用，這決定了管理信息系統(tǒng)內(nèi)控障礙的破除要從公司治理的源頭做起。AbbottL,J.和Parker,S.etc（2007）實證發(fā)現(xiàn)公司治理結(jié)構(gòu)的健全程度與公司管理信息系統(tǒng)相關(guān)內(nèi)部控制缺陷發(fā)生的概率顯著負(fù)相關(guān)。牟巧初、梁式純（2014）證明股權(quán)制衡和公司治理結(jié)構(gòu)對管理信息系統(tǒng)內(nèi)控有重要影響，這一影響與企業(yè)成長階段又直接相關(guān)。所以用戶應(yīng)不斷觀察啟動管理信息系統(tǒng)內(nèi)控建設(shè)后，股權(quán)制衡的新變化導(dǎo)致的新漏洞，及時調(diào)整公司治理結(jié)構(gòu)及相關(guān)內(nèi)控制度。

李凱華（2014）實證發(fā)現(xiàn)監(jiān)事會規(guī)模、董事會規(guī)模和獨立董事比率與內(nèi)控實施效果顯著正相關(guān)，董事長兼任總經(jīng)理、股權(quán)集中度與內(nèi)控實施效率顯著負(fù)相關(guān)。用戶應(yīng)當(dāng)著重完善監(jiān)事會和監(jiān)督用用建設(shè)，優(yōu)化董事會集體決策發(fā)揮，健全獨立董事制度，保障獨立董事有條件發(fā)表獨立意見。管理信息系統(tǒng)內(nèi)控可以為這些高管人員提供遠程登陸入口，使其隨時了解各項業(yè)務(wù)運行實時情況，并將系統(tǒng)與遠程視頻會議技術(shù)相結(jié)合，將更多重要業(yè)務(wù)（即不只限于公司法規(guī)定的必須聽取意見重大事項）決策提交集體決策，并輔以信息系統(tǒng)內(nèi)控授權(quán)，由獨立董事遠程簽字確認(rèn)。欒竹（2009）認(rèn)為公司治理影響管理信息系統(tǒng)內(nèi)控建設(shè)的最大原因是主要負(fù)責(zé)人自己不受內(nèi)控、監(jiān)事會和獨立董事約束。所以為了監(jiān)督主要負(fù)責(zé)人，用戶應(yīng)建立與原定設(shè)計、委托要求、決策模型相一致的治理結(jié)構(gòu)，并定期評估主要負(fù)責(zé)人的約束有效性，及時糾正主要負(fù)責(zé)人的執(zhí)行偏差。

總之，用戶要從信息系統(tǒng)內(nèi)控實施與公司治理結(jié)構(gòu)間的內(nèi)控環(huán)境沖突入手。利用管理信息系統(tǒng)的信息技術(shù)優(yōu)勢，形成管理層決策（包括日常管理決策和三重一大事項決策）的過程處理痕跡報告，據(jù)以報送企業(yè)委托人監(jiān)督代理人的決策過程，并成為追溯、獎懲、問責(zé)的依據(jù)。

（三）持續(xù)系統(tǒng)升級將完善措施融入系統(tǒng) 計世資訊2009年發(fā)現(xiàn)22%的用戶對提供商提出系統(tǒng)優(yōu)化需求，比2005年同一調(diào)查多3倍。這表明系統(tǒng)升級是用戶普遍采用的優(yōu)化措施。系統(tǒng)提供商在開發(fā)或升級過程中要吸收最多企業(yè)管理者參與，設(shè)備專業(yè)的風(fēng)控崗位，將管理者發(fā)現(xiàn)的建設(shè)障礙整理規(guī)范并表達出來，分析不同層面用戶的困難和解決對策，持續(xù)升級實現(xiàn)帕累托優(yōu)化。提供商將完善措施轉(zhuǎn)化成規(guī)范的計算機語言，通過計算機運算實現(xiàn)對內(nèi)控措施的無歧義性機器推導(dǎo)。用戶建設(shè)初期通過延長測試時間，后期增加系統(tǒng)升級次數(shù)和頻率，漸進地將系統(tǒng)及內(nèi)控與行為體驗相適應(yīng)。用戶與系統(tǒng)提供商商定升級原則包括：識別升級風(fēng)險起因、升級時機選擇、升級風(fēng)險措施應(yīng)對、升級利益相關(guān)者需求分析等。計世資訊2009年發(fā)現(xiàn)92%的大中型企業(yè)已經(jīng)第2次甚至第3次升級系統(tǒng)。主要是應(yīng)用范圍升級（從部門、到公司、再到集團，從內(nèi)部到外部供應(yīng)鏈）和技術(shù)平臺升級（為集團全面整合而統(tǒng)一規(guī)劃、標(biāo)準(zhǔn)、設(shè)計、應(yīng)用平臺）二個方面。這一過程也同時實現(xiàn)了業(yè)務(wù)流程再造，有效減少單獨實施流程再造的阻力并降低成本，強化了管理信息系統(tǒng)內(nèi)控的實施基礎(chǔ)。

另外，用戶應(yīng)全面評估升級對日常管理工作的影響。主要或級影響因素：用戶需求、系統(tǒng)補丁數(shù)量、安全策略、新系統(tǒng)脆弱性評估、對升級的理解程度、可替代升級程序選擇、資源可用性、新內(nèi)控流程配套、升級后系統(tǒng)異常情況估計、成本效益分析、系統(tǒng)集成和配置完整性等。

（四）提高管理信息系統(tǒng)內(nèi)控建設(shè)與環(huán)境匹配度 外部

競爭環(huán)境的激烈程度對用戶建設(shè)系統(tǒng)內(nèi)控有倒逼作用，而內(nèi)部不斷產(chǎn)生的新業(yè)務(wù)和管理調(diào)整是企業(yè)花巨資開發(fā)建設(shè)管理信息系統(tǒng)內(nèi)控的原動力。宋仕杰（2011）建議建立權(quán)變機制將機械的系統(tǒng)化管控與多變的外部環(huán)境結(jié)合起來。權(quán)變機制的建設(shè)基礎(chǔ)是企業(yè)內(nèi)控環(huán)境，提供商除幫助系統(tǒng)升級之外無法做出太多幫助，用戶必須依賴自身的長期努力才能實現(xiàn)。用戶可以通過及時發(fā)現(xiàn)新管理信息系統(tǒng)開發(fā)技術(shù)、定期與提供商招開例會、向技術(shù)第三方咨詢、投資新技術(shù)和創(chuàng)新思想等方式建立權(quán)變機制。

用戶建設(shè)針對內(nèi)部環(huán)境變化的系統(tǒng)權(quán)變機制時，趙穎（2013）認(rèn)為成功的關(guān)鍵是人員、組織、系統(tǒng)（COBIT5.0框架認(rèn)為系統(tǒng)包括質(zhì)量、安全、財產(chǎn)、保密、知識產(chǎn)權(quán)、職業(yè)道德等）三者的交集程度。權(quán)變機制就是這種交集的結(jié)合程度，交集面積越大，實施成功性越大。用戶每年至少評估一次新業(yè)務(wù)被管理信息系統(tǒng)內(nèi)控包括的比率、對基層的新業(yè)務(wù)需求反饋率、新業(yè)務(wù)納入系統(tǒng)批準(zhǔn)時間等。顯然，只有不斷擴大三者間交集面積才能將管理信息系統(tǒng)內(nèi)控與不斷變化的內(nèi)部環(huán)境保持同步。

用戶建設(shè)針對外部環(huán)境的系統(tǒng)權(quán)變機制時，由于管理信息系統(tǒng)通常過多關(guān)注企業(yè)內(nèi)部業(yè)務(wù)控制的完善，而忽視外部大環(huán)境的變化，導(dǎo)致用戶難以發(fā)現(xiàn)外部環(huán)境變化。用戶可以建設(shè)專業(yè)外部環(huán)境風(fēng)險認(rèn)別預(yù)警機制，評估外部法律、法規(guī)、合同條款、商業(yè)環(huán)境、發(fā)展趨勢等外部環(huán)境變化因素?？紤]外部環(huán)境影響是否合乎倫理，評估新出現(xiàn)的商業(yè)運營風(fēng)險，對未來新情況的模擬運行測試（包括可能的業(yè)務(wù)處理壓力、模擬業(yè)務(wù)和角度、操作程序、軟件設(shè)計、生產(chǎn)環(huán)境模擬、數(shù)據(jù)傳遞連接、計算機硬件配置等）。與此同時，用戶想要預(yù)測系統(tǒng)內(nèi)外環(huán)境的未來變化，就必須對基層管理者及操作員下放更多權(quán)限，反思過去系統(tǒng)內(nèi)控事故發(fā)生的損失和錯失反應(yīng)時機的原因，只有這樣才能建立在線式動態(tài)的權(quán)變機制。

總之，用戶制定完善措施時要不斷對措施評估以下指標(biāo)：系統(tǒng)輸出數(shù)據(jù)在允許差錯范圍內(nèi)的比率、符合內(nèi)控目標(biāo)的比率、內(nèi)控程度得到遵循的比率、獨立審查內(nèi)控程序的比率、外部人員識破系統(tǒng)內(nèi)控程序的比重、重大違反內(nèi)控程序的事件數(shù)量、重大內(nèi)控事件發(fā)生后得到報告的時間間隔長短。只有這些指標(biāo)經(jīng)得住檢驗，相關(guān)措施才有效。

（五）提供商與用戶加強信息安全防范 提供商要補充管理信息系統(tǒng)不同模塊間的數(shù)據(jù)稽核程序，將強大的數(shù)據(jù)分析和決策功能與數(shù)據(jù)輸出核查相結(jié)合。讓系統(tǒng)聯(lián)接外部數(shù)據(jù)（如用戶管理咨詢機構(gòu)提供的行業(yè)平均數(shù)據(jù)、同業(yè)上市公司公開的財務(wù)報告、政府公報數(shù)據(jù)、國泰君安及萬得等商業(yè)數(shù)據(jù)庫），實時導(dǎo)入系統(tǒng)進行參考，及時發(fā)現(xiàn)極端異常數(shù)據(jù)、內(nèi)控職務(wù)疏忽、系統(tǒng)操作員有意數(shù)據(jù)舞弊和信息造假風(fēng)險。

用戶要注意數(shù)據(jù)在系統(tǒng)外部的制度性確認(rèn)核實，系統(tǒng)外部核實制度是管理信息系統(tǒng)內(nèi)控的重要組成部分，比如客戶信用記錄調(diào)查、實物數(shù)據(jù)清查，永續(xù)與突擊性盤點、應(yīng)收賬款與銀行存款函證、庫存現(xiàn)金接觸控制等。

用戶應(yīng)主動與提供商溝通企業(yè)的主要競爭對手和數(shù)據(jù)破壞風(fēng)險估計，提供商根據(jù)用戶提示的重點數(shù)據(jù)（比如技術(shù)參數(shù)、原料來源廠商信息、定價機制、外包生產(chǎn)商分布等用戶核心競爭力關(guān)鍵數(shù)據(jù)），反復(fù)測試重大事故可能發(fā)生點，重點保護敏感數(shù)據(jù)，并同用戶共同制定全面的內(nèi)控解決方案，特別是非技術(shù)性的數(shù)據(jù)保護內(nèi)控措施。

數(shù)據(jù)安全保護關(guān)鍵點包括：異地備份、數(shù)據(jù)包自帶自我保護程序，云端數(shù)據(jù)存儲、數(shù)據(jù)傳遞介質(zhì)管理、黑客入侵防范、數(shù)據(jù)間諜人力資源防范、手機客戶端與遠程登陸用戶身份識別、數(shù)據(jù)流入外網(wǎng)后的多層加密防范等。

用戶還應(yīng)建設(shè)系統(tǒng)數(shù)據(jù)匿名測試內(nèi)控制度、數(shù)據(jù)安全線索舉報獎勵制度、保護舉報人安全制度、不同重要信息等級責(zé)任人制度等。并不定期組織數(shù)據(jù)內(nèi)控安全事故演練，提高操作員應(yīng)對系統(tǒng)數(shù)據(jù)內(nèi)控突發(fā)風(fēng)險的實戰(zhàn)能力。

四、結(jié)論

Harriso（1996）研究認(rèn)為企業(yè)對管理信息技術(shù)與相關(guān)內(nèi)控的巨額投資和建設(shè)行為，必須輔之與企業(yè)日常管理中發(fā)現(xiàn)的建設(shè)障礙和持續(xù)改進，才能真正發(fā)揮其對企業(yè)流程式管理的真正效力，并最終提高管理效率。通過上文分析，可知其建設(shè)過程是一個不斷優(yōu)化用戶、組織、管理、業(yè)務(wù)、環(huán)境之間博弈的帕累托改進過程。將COBIT5.0框架與用戶管理目標(biāo)、標(biāo)準(zhǔn)、內(nèi)控技術(shù)（不限于信息技術(shù)）手段結(jié)合起來，才能增加COBIT5.0框架的可操作性和實用性。

美國管理系統(tǒng)專家諾蘭分析了西方發(fā)達國家信息系統(tǒng)的發(fā)展路徑后提出信息系統(tǒng)進化的六階段模型，用戶到達第六階段（終點）“將企業(yè)發(fā)展與信息技術(shù)處理適應(yīng)”前的五個階段都不能跨越。當(dāng)前中國用戶所經(jīng)歷的各種障礙是一個必然的過程，用戶首先要明確自身所處階段，確定主要障礙，進而制定破解對策。最后，COBIT5.0建議用戶持續(xù)對建設(shè)結(jié)果做以下數(shù)值檢驗：滿足用戶需求程度、實現(xiàn)預(yù)期效益、系統(tǒng)操作體驗友好程度、內(nèi)外部利益相關(guān)者的期望是否得到滿足、管理風(fēng)險降低率、有效預(yù)防運營風(fēng)險和舞弊是否增強、可否做到適時管理信息系統(tǒng)升級等。

針對這一主題的研究，本文只是從規(guī)范研究的角度分析并提出一些建議，今后的研究更應(yīng)當(dāng)從實證與實例角度，深入企業(yè)用戶管理的具體業(yè)務(wù)，參與追蹤用戶業(yè)務(wù)過程，發(fā)現(xiàn)具體建設(shè)因難，并實證這些影響因素的相關(guān)性，確定系數(shù)，再從具體到一般歸納普遍適應(yīng)性的完善措施。

［1］ 繆艷娟、楊雄勝：《企業(yè)內(nèi)部控制實施：進程、效果、建議——來自江蘇企業(yè)問卷調(diào)查》，《會計研究》2014年第1期。

［2］ 毛基業(yè)、王偉：《管理信息系統(tǒng)與企業(yè)不接軌以及調(diào)試過程研究》，《管理世界》2012年第8期。

［3］ 王凡林：《企業(yè)會計信息化實施問題與對策》，《經(jīng)濟與管理研究》2012年第11期。

［4］ 李萬福、林斌、舒?zhèn)ィ骸痘趦?nèi)控視角的ERP系統(tǒng)實施改進研究》，《審計研究》2011年第1期。

［5］ 張念珍：《我國集團企業(yè)財務(wù)管理信息化的問題和對策研究》，太原理工大學(xué)2013年碩士學(xué)位論文。

［6］ 李凱華：《我國家族上市公司治理結(jié)構(gòu)對內(nèi)部控制有效性影響研究》，河北經(jīng)貿(mào)大學(xué)2014年碩士學(xué)位論文。

［7］ 欒竹：《H公司ERP系統(tǒng)實施及內(nèi)控構(gòu)建相關(guān)問題研究》，上海交通大學(xué)2009年碩士學(xué)位論文。

［8］ 宋仕杰：《企業(yè)內(nèi)控監(jiān)督模式研究》，西南財經(jīng)大學(xué)2011年博士學(xué)位論文。

［9］ 趙穎：《MB公司管理信息系統(tǒng)實施的組織匹配研究》，電子科技大學(xué)2013年碩士學(xué)位論文。

［10］ Fengyi Lin,Liming Guan,Wenchang Fang:Critical Factors Affecting the Evaluation of Information Control Systems with the COBIT Framework—A Study of CPA Firms in Taiwan,Emerging Markets Finance&Trade,2010（1）.

［11］ Harrison:The Importance of Being Complementary,Technology Rreview,1996（7）.

［12］ Abbott L，J.,Parker,S.Etc:Corporate governance，audit quality，and the Sarbanes-Oxley Act:Evidence from internal audit out sourcing，The Accounting Rreview,2007（4）.

［13］ Harrison:The Importance of Being Complementary,Technology Rreview，1996（7）．