楊安冉

(云南民族大學管理學院 云南 昆明 650000)

一、引言

隨著信息技術(shù)逐漸成為支撐企業(yè)可持續(xù)發(fā)展和增長的關(guān)鍵因素，有關(guān)企業(yè)內(nèi)部控制信息化的發(fā)展也日益成為了企業(yè)生存和發(fā)展的重要組成部分，企業(yè)也必須面對信息技術(shù)帶來的新風險。信息和相關(guān)技術(shù)的控制目標(COBIT)作為世界上目前承認度最高的一項信息技術(shù)管理標準，可以說是幫助組織確保信息技術(shù)使用與企業(yè)業(yè)務(wù)目標一致的最適宜控制框架，目前已更新到COBIT2019版。

某網(wǎng)絡(luò)公司A企業(yè)從最初的企業(yè)對企業(yè)網(wǎng)上貿(mào)易交易平臺，到面向中國電子商務(wù)市場推出基于中介的安全交易服務(wù)平臺，目前已發(fā)展成為具有數(shù)字獨特，充滿活力和創(chuàng)新的經(jīng)濟。然而，先進的技術(shù)管理必然伴隨著不成熟管理體系與信息技術(shù)漏洞的問題，例如近幾年來一直困擾該企業(yè)且難以解決的內(nèi)部管理人員腐敗問題，盡管企業(yè)每年都針對該問題進行內(nèi)部整治，但效果似乎并非特別顯著。因此，在如今信息技術(shù)發(fā)展迅猛的年代，作為信息技術(shù)發(fā)展應(yīng)用的先驅(qū)者，A企業(yè)的信息化內(nèi)部控制研究將是十分有意義的。

二、企業(yè)的信息化治理

(一)企業(yè)的信息化治理。有關(guān)企業(yè)信息化治理的概念存在時間不過30年，Steven[1]在相關(guān)研究中，將信息化治理研究的發(fā)展主要的分為三個階段：第一個階段為信息化治理對企業(yè)內(nèi)部控制的替代組織形式以及該形式對企業(yè)業(yè)績的影響研究；第二階段為信息化服務(wù)與功能對企業(yè)內(nèi)部控制的影響研究；第三階段是在受Porter有關(guān)戰(zhàn)略和競爭優(yōu)勢研究的啟發(fā)下，企業(yè)戰(zhàn)略，信息技術(shù)的投資和企業(yè)績效之間聯(lián)系的研究。COBIT是由ISACA開發(fā)的信息化治理框架，自1996年問世以來，已在許多國家和地區(qū)進行了實施。2012年4月，COBIT 5發(fā)布，將信息化企業(yè)治理概念作為了信息化治理框架的基礎(chǔ)，該框架圍繞五項核心原則進行構(gòu)建：(1)滿足利益相關(guān)者的需求——戰(zhàn)略業(yè)務(wù)與信息化管理的統(tǒng)一、平衡記分卡；(2)端到端覆蓋企業(yè)——涵蓋企業(yè)所有內(nèi)部的功能和流程；(3)應(yīng)用單一的綜合框架——COBIT，RISKIT和VAL IT；(4)采取整體方法——組織系統(tǒng)；(5)將治理與管理分開。

(二)A企業(yè)的信息化治理。利用新興信息技術(shù)建立網(wǎng)上貿(mào)易平臺起家的A企業(yè)，注定了其在未來的發(fā)展中必定面臨新興技術(shù)帶來的各項不確定性風險。目前，A企業(yè)正致力于開發(fā)大型數(shù)字經(jīng)濟，以達到在公共平臺上的價值創(chuàng)造與分享，涉及的領(lǐng)域主要包括核心商務(wù)、云計算、數(shù)字媒體和娛樂以及創(chuàng)新計劃。接下來，我們將A企業(yè)涉及到的信息化管理整合到COBIT5框架中進行內(nèi)部控制分析。

1.滿足利益相關(guān)者的需求——戰(zhàn)略業(yè)務(wù)與信息化管理的統(tǒng)一。滿足利益相關(guān)者的需求意味著COBIT5提供了所有必須的流程和支持因素，以通過使用信息技術(shù)來支持業(yè)務(wù)價值的創(chuàng)造與風險管理，采用時，企業(yè)將明晰并重視不同方面的信息技術(shù)對不同時期不同目標的企業(yè)的重要性。在A企業(yè)2019年的財務(wù)報告中我們可以比較容易地在零售貿(mào)易，物流服務(wù)，消費服務(wù)以及數(shù)字經(jīng)濟四個方面發(fā)現(xiàn)企業(yè)應(yīng)用了多項信息技術(shù)促進企業(yè)的業(yè)務(wù)價值創(chuàng)造。其中，零售貿(mào)易方面，通過將數(shù)字化的系統(tǒng)操作，店內(nèi)技術(shù)，供應(yīng)鏈系統(tǒng)，消費者洞察力和移動生態(tài)系統(tǒng)進行融合，提供在線和離線零售消費者的無縫購物體驗；物流方面，通過運營物流數(shù)據(jù)網(wǎng)絡(luò)和全球配送網(wǎng)絡(luò)，提供國內(nèi)外一站式物流服務(wù)和供應(yīng)鏈管理解決方案；消費服務(wù)方面，通過使用移動和在線技術(shù)服務(wù)，提高為消費者服務(wù)的有效性和便利性；數(shù)字經(jīng)濟方面，通過云計算進行發(fā)展，在數(shù)字經(jīng)濟的關(guān)系中，企業(yè)的技術(shù)平臺，市場規(guī)則以及規(guī)則中的參與者可以隨時發(fā)現(xiàn)，參與和交易，并管理他們的業(yè)務(wù)。

2.端到端覆蓋企業(yè)——涵蓋企業(yè)所有內(nèi)部的功能和流程。端到端覆蓋企業(yè)的原則明確規(guī)定，COBIT5涵蓋企業(yè)內(nèi)的所有功能和流程。COBIT5不僅關(guān)注“信息技術(shù)的功能”，同時還需要將信息和相關(guān)技術(shù)視為與企業(yè)中的其他資產(chǎn)一樣，對其資產(chǎn)或功能進行檢查。作為A企業(yè)旗下最為重要的技術(shù)板塊——云計算，該技術(shù)提供了完整的云服務(wù)套件，包括了彈性計算，數(shù)據(jù)庫，存儲，網(wǎng)絡(luò)虛擬化服務(wù)，大規(guī)模計算，安全性，管理和應(yīng)用服務(wù)，大數(shù)據(jù)分析，機器學習平臺和IoT服務(wù)(物聯(lián)網(wǎng)服務(wù)平臺)，為A企業(yè)的數(shù)字經(jīng)濟及其他進行了一系列的服務(wù)。

3.應(yīng)用單一的綜合框架——COBIT，RISKIT和VAL IT。單一的綜合框架是包括了企業(yè)治理和管理的總體框架。其中五個治理過程包括了治理框架的設(shè)置，價值、風險、資源以及向利益相關(guān)者提供有關(guān)信息治理的公開程度。管理方面包括了“統(tǒng)一，計劃，組織”(APO)；“建立，獲取和實施”(BAI)；“交付，服務(wù)和支持”(DSS)以及“監(jiān)測，評估和測評”(MEA)。在有關(guān)各項業(yè)務(wù)價值創(chuàng)造與風險評估方面，企業(yè)則綜合地運用了某數(shù)據(jù)平臺的相關(guān)算法來進行風險價值評估以及決策制定。

4.采取整體方法——組織系統(tǒng)。有效地實施企業(yè)的信息技術(shù)治理和管理需要一個整體的方法，這種方法需要考慮到了幾個相互影響的組件：流程，組織結(jié)構(gòu)和人力資源。企業(yè)可以通過混合使用各種結(jié)構(gòu)，流程和關(guān)系機制來部署EGIT。EGIT結(jié)構(gòu)包括了負責制定信息技術(shù)決策以及促進業(yè)務(wù)和信息技術(shù)管理決策之間聯(lián)系的組織單位。目前，A企業(yè)通過專有的新零售供應(yīng)鏈管理和銷售市場營銷系統(tǒng)為其數(shù)字經(jīng)濟平臺的眾多參與者服務(wù)，并且從整合的在線和離線運營，有效的客戶參與，創(chuàng)新性地利用零售空間，更高的運營效率和新的業(yè)務(wù)模式中受益。

5.將治理與管理分開。有關(guān)信息化的管理與治理問題，COBIT5遵循了ISO38500預印本中規(guī)定的EDM模型(“評估—直接—監(jiān)控”)。信息化治理流程是董事會的職責，通過評估利益相關(guān)者的需求確保實現(xiàn)企業(yè)目標；并根據(jù)計劃監(jiān)控企業(yè)績效。有關(guān)信息化的治理和管理問題，A企業(yè)的財報中尚未有較為明晰的區(qū)分說明。

三、A企業(yè)信息化治理中存在的問題分析與總結(jié)

過去的三十年，信息技術(shù)在企業(yè)中的作用已由最初的支持和交易功能轉(zhuǎn)變?yōu)閼?zhàn)略價值創(chuàng)造的必要前提。依據(jù)COBIT5的五項核心原則對A企業(yè)的信息化治理進行分析，我們發(fā)現(xiàn)，無論是依靠自身，還是第三方，A企業(yè)的整個運營都通過依賴一個較為龐大的信息技術(shù)體系，制定了高質(zhì)量的發(fā)展戰(zhàn)略并獲得了成功。然而，我們也發(fā)現(xiàn)，企業(yè)在利用先進的信息技術(shù)引導企業(yè)發(fā)展時，相關(guān)的信息化治理體系也是存在著一些不足的。根據(jù)分析，我們發(fā)現(xiàn)A企業(yè)的信息化治理多偏向于為企業(yè)的發(fā)展戰(zhàn)略服務(wù)，而有關(guān)信息化的治理與管理問題往往是混為一談、模糊不清的，即有關(guān)企業(yè)的管理問題是較為缺乏的。近年來，企業(yè)內(nèi)部頻發(fā)不止的腐敗事件便是企業(yè)信息管理不足的表現(xiàn)。正如Weill和Ross[2]指出的那樣：“如果高級的管理人員不接受信息技術(shù)的相應(yīng)責任，公司將不可避免地將信息技術(shù)的資金投入到多種戰(zhàn)略計劃中，而對組織能力沒有明顯影響，信息技術(shù)應(yīng)該成為一種責任，而非戰(zhàn)略資產(chǎn)”。