COBIT框架下管理信息系统内控研究评述及展望.docVIP

COBIT框架下管理信息系统内控研究评述及展望 　　[摘 要] 2012年5月ITGI发布了COBIT 第5 版，在国际上引起了很大反响。在我国，企业管理信息系统内控的建设急需一个内控框架来指导，本文对国际国内的相关研究进行了评述，提出了今后国内相关研究的展望和困难，以及国内企业在应用COBIT框架中应注意的问题。 　　[关键词] COBIT；国内企业；管理信息系统；内控 　　doi ： 10 . 3969 / j . issn . 1673 - 0194 . 2013. 01. 010 　　[中图分类号] F239.45 [文献标识码] A [文章编号] 1673 - 0194（2013）01- 0017- 02 　　1 国内管理信息系统内控的现状与COBIT的提出 　　管理信息系统的发展模式是：办公自动化模式——会计电算化模式——ERP模式——管理信息系统模式。张荣海（2007）认为管理信息系统为企业带来管理优越性的同时也加重了内控风险，构建管理信息系统内控迫在眉睫。 　　至今，国内尚无针对管理信息系统内控操作层面的专门规范。当前已出台的相关规范有力地促进了管理信息系统内控的完善进程。但是，规范政出多门，特别是，之前曾参与规范制定的国资委在2008年后完全退出，这为规范的推行埋下隐患。 　　国际上，COSO内控框架被美国SEC指定强制执行。2002年安然事件引发美国发布了史上最严厉的《萨班斯-奥克斯利》（Sarbanes-Oxley）法案——SOX 404条款，SOX 404条款为内控管理评估条款，强制要求所有美国上市公司必须由CEO和CFO签名提交关于内控有效性的报告，包括：CPA的审计报告，披露主要内控缺陷，内控设计效力测试结果。至今美国各界仍在争论不休，COSO报告、SOX 404条款对世界各国的企业内控规范制定产生了极为深远的影响。 　　基于COSO，美国ITGI信息科技管理研究所（The IT Governance Institute）从1996年开始发布COBIT信息及相关技术控制目标（Control Objectives for Information and related Technology），Brad Tuttle .et（2007）研究认为COBIT 是一个开发和评估密集型管理信息系统的通用理论框架。ITGI不断公布新版本，于2012年5月发布了 COBIT 第5版，COBIT 5的内容大幅扩充，更加注重与其他架构、基础、认证、标准、资源的相互融合。COBIT为世界上大多数公司采纳的IT 管理框架，并能有力地减少管理信息系统内控的风险。COBIT 还被作为遵从《萨班斯-奥克斯利》法案的工具而广泛采用。钟红英（2009）对COBIT与中国的《企业内部控制基本规范指引18号——信息》比较发现，二者都是基于COSO框架，但COBIT更落到实处，更关注控制过程的动态资源控制，更具可操作性。阳杰、庄明来、陶黎娟（2009）发现，COBIT的理念和内控目标提供了一个管理信息系统下会计业务内控的指南，但尚未引起国内足够重视。 　　在当前国内企业管理信息系统全面升级的背景下，国内尚无针对管理信息系统内控操作层面的规范出台。COBIT的应用显然具有重大意义。本文对有关管理信息系统内控及COBIT的国际和国内研究进行整理和分析评述，提出COBIT在国内应用研究的展望和困难，以及国内企业应用COBIT时应注意的问题。 　　2 国际及台湾地区相关研究和评述 　　国际相关研究较为充分，随着《萨班斯-奥克斯利》法案的颁布，大量学者开始关注这一主题。笔者分析了大量国外文献，将国际上相关研究的脉络归类为3个阶段： 　　2.1 2000年之前主要研究管理信息系统的影响因素 　　Andrew C .et （1994） 应用结构方程模型研究132家大公司发现，管理信息技术知识是决定大公司管理和IT应用水平的关键因素，三者同时受到公司IT管理大环境的影响。Curtis P. Armstrong .et （1999） 通过实证公司管理层的质量、IT基础设施、组织规模3个变量与公司管理信息系统水平提升的关系，发现完全非正式地正相关。 　　2.2 2000—2008年COBIT引起重视，介绍COBIT及与其他标准进行比较 　　Hawkins， Kylee （2003） 发现COBIT提供了一个保持管理信息系统安全的必要工具，并兼顾了政府管制要求和公司成本效益。William Brown， Frank Nasuti （2005） 发现COBIT提供了一个操作指南，管理信息系统要适应SOX 404条款，必须重点在项目管理、变革管理、软件集成方面做出调整。Basie von Solms （2005） 实证发现COBI