COBIT2019模型在企業(yè)信息化內(nèi)部控制中的應(yīng)用

摘" "要：信息化時代的到來對企業(yè)的管理提出了更高的要求。企業(yè)要想提高市場占有率和企業(yè)競爭力，就必須注重大數(shù)據(jù)和人工智能在企業(yè)管理中的應(yīng)用。內(nèi)部控制作為企業(yè)管理的核心，是企業(yè)在信息化環(huán)境的影響下應(yīng)考慮的首要問題，即亟須重視加強(qiáng)內(nèi)部控制建設(shè)。為此，以F藥業(yè)作為研究對象，在分析現(xiàn)有的內(nèi)控缺陷的基礎(chǔ)上，探索運(yùn)用COBIT2019模型優(yōu)化升級企業(yè)內(nèi)部控制體系，以期在大數(shù)據(jù)轉(zhuǎn)型的關(guān)鍵時期，為提高以F藥業(yè)為代表的企業(yè)對信息化內(nèi)部控制建設(shè)的重視程度、促進(jìn)行業(yè)內(nèi)部控制水平的整體提升提供一定的借鑒。

關(guān)鍵詞：信息化；內(nèi)部控制；COBIT2019模型

中圖分類號：F426" " " " 文獻(xiàn)標(biāo)志碼：A" " " 文章編號：1673-291X（2023）20-0095-03

引言

財政部會計司對《企業(yè)內(nèi)部控制應(yīng)用指引》第18號準(zhǔn)則進(jìn)行了解讀，指出運(yùn)用信息系統(tǒng)對內(nèi)部控制的集成、轉(zhuǎn)化和提升所形成的信息化管理平臺能促進(jìn)企業(yè)有效實(shí)施內(nèi)部控制，提高企業(yè)現(xiàn)代化的管理水平，減少人為因素的操縱。這無疑對我國企業(yè)信息化內(nèi)部控制的發(fā)展注入了一針強(qiáng)心劑。在對F藥業(yè)內(nèi)部控制暴露的缺陷進(jìn)行分析的基礎(chǔ)上，針對問題提出相應(yīng)的優(yōu)化升級方案，確保在功能、控制要求和安全性等方面符合開發(fā)需求，最終使企業(yè)信息化內(nèi)部控制得以有效運(yùn)行，從而提高競爭力，實(shí)現(xiàn)企業(yè)戰(zhàn)略目標(biāo)。

一、理論基礎(chǔ)與模型

（一）內(nèi)部控制信息化的演進(jìn)

Pelikan[1]提出，企業(yè)既可能發(fā)生技術(shù)驅(qū)動型的制度創(chuàng)新，也可能發(fā)生成本驅(qū)動型的技術(shù)創(chuàng)新。因此，Bonnie K. Klamm[2]強(qiáng)調(diào)，在信息技術(shù)迅速發(fā)展的時代，每個企業(yè)都應(yīng)該重視內(nèi)部控制的建設(shè)，否則會影響企業(yè)管理的正常運(yùn)行。She-I Chang，et al[3]研究指出，信息化的內(nèi)控框架可以指導(dǎo)企業(yè)規(guī)范經(jīng)營管理活動，保證對IT控制評價的準(zhǔn)確性，間接促進(jìn)企業(yè)內(nèi)部控制執(zhí)行效果的提升。我國學(xué)者也從多角度對信息化內(nèi)控進(jìn)行了研究。曹國法和樊英[4]認(rèn)為，信息化下的內(nèi)部控制可以提高信息溝通與傳達(dá)的效率，促進(jìn)企業(yè)扁平化發(fā)展。程艷、張杰[5]提出，信息化內(nèi)控的實(shí)施有利于企業(yè)針對業(yè)務(wù)活動中高頻發(fā)生的關(guān)鍵風(fēng)險點(diǎn)進(jìn)行追蹤，并建立風(fēng)險預(yù)警及評估機(jī)制。張潔純[6]認(rèn)為，將信息化運(yùn)用到企業(yè)內(nèi)部控制管理之中，就能夠促進(jìn)企業(yè)的良好發(fā)展。

（二）COBIT框架

COBIT是信息及相關(guān)技術(shù)的控制目標(biāo)的縮寫，現(xiàn)在已經(jīng)更新至COBIT2019版。該標(biāo)準(zhǔn)體系運(yùn)用范圍已涉及到世界100多個國家，是目前國際上公認(rèn)的、權(quán)威的IT控制框架。國外學(xué)者M(jìn)arten Simonsson和Pontus Johnson[7]也進(jìn)一步肯定了COBIT在IT治理中的重要作用，并預(yù)測企業(yè)未來順利開展IT業(yè)務(wù)離不開COBIT框架。國內(nèi)學(xué)者中，陳婉玲、袁若賓[8]最早對COBIT框架進(jìn)行了研究，提出COBIT框架在信息化內(nèi)部控制中有較高的應(yīng)用價值。在內(nèi)控體系構(gòu)建方面，劉霞、任意佳[9]指出，使用COBIT5框架構(gòu)建的財務(wù)共享平臺內(nèi)控機(jī)制，能夠幫助企業(yè)有效識別風(fēng)險，并能夠監(jiān)督和完善內(nèi)部控制流程。

（三）COBIT2019核心模型

COBIT2019核心模型在COBIT5以及其他權(quán)威標(biāo)準(zhǔn)和框架的基礎(chǔ)上，歸納出40個核心治理和管理目標(biāo)，依據(jù)COBIT框架，企業(yè)能否通過維持實(shí)現(xiàn)利潤、優(yōu)化風(fēng)險水平和資源使用三者之間的平衡，從中獲得最高的價值，關(guān)鍵在于IT目標(biāo)的實(shí)現(xiàn)。因此，在信息化內(nèi)部控制過程中要重視各個IT流程的執(zhí)行情況，確保信息系統(tǒng)的安全性、可靠性與經(jīng)濟(jì)性。

二、F藥業(yè)內(nèi)部控制暴露的缺陷

（一）F藥業(yè)公司簡介

F藥業(yè)股份有限公司是一家綜合性集團(tuán)，作為國內(nèi)知名的制藥企業(yè)，其主營業(yè)務(wù)范圍廣泛，對于大多數(shù)的投資者來說，稱F藥業(yè)為A股中的“白馬股”也不為過。但自2019年以來，該公司卻深陷ST風(fēng)險警示、股票停牌調(diào)查、債務(wù)逾期等負(fù)面泥潭，因失信被納入執(zhí)行人名單的事件就發(fā)生了4起。

該事件的導(dǎo)火索還要從公司發(fā)放現(xiàn)金紅利說起。F藥業(yè)發(fā)布公告，表示經(jīng)過停牌以來3天時間的資金歸集和籌措，公司仍無法按原定計劃發(fā)放現(xiàn)金紅利。但是F藥業(yè)賬上明明有貨幣資金18億元，卻拿不出6 200余萬元的分紅。這一事件很快引起了證監(jiān)會的注意，并于2019年7月26日展開調(diào)查。至此，F(xiàn)藥業(yè)公司的違規(guī)行為才浮現(xiàn)在公眾眼前。經(jīng)查，F(xiàn)藥業(yè)公司存在諸多重大虛報、漏報和隱瞞的違法事實(shí)。消息一出，曾經(jīng)的藥業(yè)帝國瞬間坍塌。F藥業(yè)淪落到如今的境地，根本原因還是在于其內(nèi)部控制出現(xiàn)了重大缺陷。接下來從COBIT2019模型五個領(lǐng)域?qū)藥業(yè)內(nèi)部控制缺陷進(jìn)行分析。①

（二）基于COBIT2019模型分析F藥業(yè)內(nèi)部控制缺陷

1.評估、指導(dǎo)和監(jiān)控（EDM）方面的問題

F藥業(yè)在2018—2020年的資產(chǎn)負(fù)債率持續(xù)上升，但風(fēng)險識別及評估的重要性未引起F藥業(yè)的重視，因此，2021年其資產(chǎn)負(fù)債率甚至超過了90%。公司的管理層、治理層和基層員工都沒有對企業(yè)日常經(jīng)營活動和投資籌資活動中的風(fēng)險進(jìn)行有效識別和控制，因此，因?yàn)槿狈︶槍π畔⒒h(huán)境的風(fēng)險管理部門導(dǎo)致風(fēng)險識別機(jī)制失效。②

2.調(diào)整、計劃和組織（APO）方面的問題

F藥業(yè)將組織機(jī)構(gòu)劃分成多個分支部門，分別進(jìn)行單獨(dú)管理。但是，過于細(xì)分的組織機(jī)構(gòu)不僅會增加企業(yè)的經(jīng)營成本、分散企業(yè)的管理能力，而且不利于組織內(nèi)部的交流和溝通，不利于資源共享。同時，公司原有的組織結(jié)構(gòu)已落后于信息化需求，因此，必須重新規(guī)劃公司的職能部門及其功能職責(zé)。

3.構(gòu)建、購置和實(shí)施（BAI）方面的問題

F藥業(yè)由于公司層級缺乏科學(xué)決策程序，在選擇系統(tǒng)方案時沒有根據(jù)實(shí)際情況選擇可行性方案，而是用主觀判斷和過往經(jīng)驗(yàn)來進(jìn)行選擇。由于科學(xué)決策程序的缺失，出現(xiàn)了母公司與子公司所使用軟件不一致的情況，最后只好在浪費(fèi)了大量的人力、物力和財力的情況下還重新統(tǒng)一使用新的軟件。

4.交付、服務(wù)和支持（DSS）方面的問題

F藥業(yè)未能確保與內(nèi)部業(yè)務(wù)流程相關(guān)的信息滿足相關(guān)信息控制要求，其還存在兩處業(yè)務(wù)不規(guī)范的問題。第一是通過供應(yīng)商和其他往來單位支付資金給F集團(tuán)以及F控股。這表明F藥業(yè)并沒有嚴(yán)格按照《貨幣資金管理辦法》《供應(yīng)商管理制度》等相關(guān)規(guī)定執(zhí)行。第二是以F藥業(yè)的名義對外進(jìn)行借款并提供擔(dān)保，不僅沒有按照規(guī)定進(jìn)行賬務(wù)處理，相關(guān)披露也沒有做到及時準(zhǔn)確。

5.監(jiān)控、評價和評估（MEA）方面的問題

F藥業(yè)的審計部門對公司存在的資金活動控制失效及關(guān)聯(lián)方違規(guī)交易等諸多問題沒有做到有效監(jiān)督。F藥業(yè)連續(xù)多年存在財務(wù)報告虛假記載和控股股東非經(jīng)營性占用資金等問題，監(jiān)事會也未對董事和高管的違法違規(guī)行為進(jìn)行有效監(jiān)督。F藥業(yè)雖設(shè)有董事會審計委員會，但未對F藥業(yè)存在的重大內(nèi)部控制缺陷進(jìn)行披露，在公司存在財務(wù)風(fēng)險和公司財務(wù)報告存在重大缺陷時沒有及時發(fā)現(xiàn)和糾正。

三、運(yùn)用COBIT2019模型優(yōu)化F藥業(yè)信息化內(nèi)部控制體系

針對F藥業(yè)在信息化內(nèi)部控制中暴露的諸多缺陷，為確保其對信息系統(tǒng)的充分運(yùn)用，借助COBIT2019模型對F藥業(yè)內(nèi)部控制五個流程中的活動進(jìn)行優(yōu)化，以實(shí)現(xiàn)F藥業(yè)內(nèi)部控制的目標(biāo)。

（一）評估、指導(dǎo)和監(jiān)控（EDM）方面的控制：確保風(fēng)險優(yōu)化

F藥業(yè)應(yīng)建立信息化環(huán)境下的風(fēng)險管理部門，對潛在的或已發(fā)生的風(fēng)險及時進(jìn)行識別，對已經(jīng)存在的高風(fēng)險區(qū)域持續(xù)監(jiān)控。同時，管理層及員工也要提高企業(yè)日常經(jīng)營活動和投資籌資活動中的風(fēng)險識別和控制能力，提高風(fēng)險管理的能力。最后，要針對風(fēng)險找出解決辦法，對未發(fā)生的風(fēng)險降低其發(fā)生的可能性，對已發(fā)生的風(fēng)險進(jìn)行風(fēng)險轉(zhuǎn)嫁。

（二）調(diào)整、計劃和組織（APO）方面的控制：確定企業(yè)信息系統(tǒng)組織結(jié)構(gòu)

F藥業(yè)的組織結(jié)構(gòu)要想滿足信息化的需求，首先要減少科層層級結(jié)構(gòu)，制定合理有效的組織結(jié)構(gòu)，使其朝扁平化發(fā)展。其次，隨著信息化環(huán)境的發(fā)展，F(xiàn)藥業(yè)需要設(shè)立符合戰(zhàn)略規(guī)劃的信息中心，以完成企業(yè)各項(xiàng)數(shù)據(jù)的收集與分析。應(yīng)用管理部要積極解決各部門信息化方面的需求，并跟蹤落實(shí)。綜合管理部負(fù)責(zé)網(wǎng)絡(luò)運(yùn)行和技術(shù)數(shù)據(jù)的安全監(jiān)控以及相關(guān)設(shè)備的管理和維護(hù)。系統(tǒng)研發(fā)部要根據(jù)公司整體的信息化建設(shè)規(guī)劃，開發(fā)相關(guān)信息系統(tǒng)，并在后續(xù)過程中不斷進(jìn)行完善和優(yōu)化。

（三）構(gòu)建、購置和實(shí)施（BAI）方面的控制：識別和構(gòu)建妥當(dāng)?shù)慕鉀Q方案

首先，公司應(yīng)結(jié)合實(shí)際情況制訂一個確定新方案是否可行的流程。應(yīng)用管理部要對各部門的需求進(jìn)行全面的分析，制訂解決方案并提交到財務(wù)部；財務(wù)部對其經(jīng)濟(jì)可行性進(jìn)行分析，如果滿足要求，則將該項(xiàng)方案轉(zhuǎn)交到系統(tǒng)研發(fā)部，由系統(tǒng)研發(fā)部對該項(xiàng)方案進(jìn)行技術(shù)和操作可行性分析，如果系統(tǒng)研發(fā)部判定該方案可行，撰寫可行性研究報告后交由風(fēng)險管理部進(jìn)行風(fēng)險評估；風(fēng)險評估通過后進(jìn)行成本效益分析，最終確定解決方案。

（四）交付、服務(wù)和支持（DSS）方面的控制：優(yōu)化業(yè)務(wù)流程控制

F藥業(yè)在業(yè)務(wù)流程的控制上，不僅要對現(xiàn)有工作流程進(jìn)行梳理、完善和改進(jìn)，還要確保流程處理的信息滿足相關(guān)信息控制的要求，并和業(yè)務(wù)需求量保持一致。要不定期地進(jìn)行突擊盤點(diǎn)，嚴(yán)格規(guī)范執(zhí)行現(xiàn)金清查制度。要規(guī)范審批程序，嚴(yán)格執(zhí)行出納與會計崗位互相分離。

（五）監(jiān)控、評價和評估（MEA）方面的控制：加強(qiáng)監(jiān)控與評估的有效性

企業(yè)內(nèi)部的審計機(jī)構(gòu)在整個內(nèi)部控制過程中要監(jiān)督企業(yè)政策是否得到貫徹及執(zhí)行，并保證控制效果，幫助企業(yè)更有效地提高整體控制水平。對于超出監(jiān)控流程范圍外的情況，則需要邀請第三方機(jī)構(gòu)對結(jié)果進(jìn)行評估和鑒定，最后根據(jù)評估報告，制訂和實(shí)施整改方案。

四、結(jié)論與展望

隨著我國相關(guān)法規(guī)的頒布，政府和企業(yè)對信息化內(nèi)控及其評價的重視度也越來越高，逐步認(rèn)識到信息化內(nèi)部控制及評價對于企業(yè)有著重要意義。通過對信息化內(nèi)部控制相關(guān)理論和COBIT2019模型的學(xué)習(xí)以及實(shí)踐結(jié)果的分析，筆者得到以下結(jié)論：COBIT2019模型對于信息化內(nèi)部控制的建設(shè)具有直接的指導(dǎo)意義，其核心模型中的內(nèi)容涵蓋了信息系統(tǒng)與內(nèi)部控制的內(nèi)容，并且能對企業(yè)信息化內(nèi)部控制的程度進(jìn)行有效評估，從而發(fā)現(xiàn)企業(yè)的不足之處，這為國內(nèi)企業(yè)內(nèi)部控制制度的進(jìn)一步規(guī)范和完善提供了一定的理論支持。

參考文獻(xiàn)：

[1]" "Pelikan P.Bringing Institutions into Evolutionary E-conomics：Another View with Links to Changes in Physical and SocialTechnologies[J].Journal of Evolutionary Economics，2003（13）：237-258.

[2]" "Bonnie K Klamm，Kevin W Kobelsky，Marcia Weidenmier Watson. Determinants of the Persistence of Internal Control Weaknesses[J].Accounting Horizons，2012（2）.

[3]" "She-I Chang，David C Yen，I-Cheng Chang，et al. Internal Control Framework for a Compliant ERP System[J].Information amp; Management，

2013，51（2）：187-205.

[4]" "曹國法，樊英.中小企業(yè)信息化問題研究[M].鄭州：鄭州大學(xué)出版社，2003：5-6.

[5]" "程艷，張杰.信息化條件下“隨需管控”財務(wù)模式的實(shí)施與建議：以中國船舶工業(yè)集團(tuán)為例[J].財會通訊，2019（5）：83-88.

[6]" "張潔純.數(shù)字時代對企業(yè)內(nèi)部控制質(zhì)量的影響[J].會計師，2021（1）：84-85.

[7]" "Marten Simonsson，Pontus Johnson. Assessment of IT Governance：A Prioritization of COBIT[D].KTH Royal Institute of Technology，2007.

[8]" "陳婉玲，袁若賓.COBIT及其在信息系統(tǒng)與審計中的應(yīng)用[J].審計研究，2006（3）：12-14.

[9]" "劉霞，任意佳.基于COBIT5建立財務(wù)共享服務(wù)中心風(fēng)險管理機(jī)制[J].財會月刊，2018（19）：99-113.

Research on Application of COBIT 2019 Model in Internal Control of Enterprise Informatization

— A Case Study on F Pharmaceutical

Peng Shiqi

（Evergrande Management School， Wuhan University of Science and Technology， Wuhan 430065， China）

Abstract： The arrival of the information age puts forward higher requirements for enterprise management. If enterprises want to improve their market share and competitiveness， they must pay attention to the application of big data and artificial intelligence in enterprise management. As the core of enterprise management， internal control is the first issue that enterprises should consider under the influence of information environment， namely， the urgent need to strengthen the construction of internal control. Therefore， F Pharmaceutical is taken as the research object， and based on the analysis of existing internal control defects， COBIT2019 model is explored to optimize and upgrade. It is expected to provide some reference and guidance for enterprises represented by F Pharmaceutical to pay more attention to the construction of internal control informatization and promote the overall improvement of the industry’s internal control level during the critical period of big data transformation.

Key words： informatization; internal control; COBIT2019 model

[責(zé)任編輯" "妤" "文]