COBIT框架下的會計信息系統(tǒng)內(nèi)部控制初探

○李 強 （西安航天動力研究所 陜西 西安 710100）

近年來，財務(wù)軟件已經(jīng)逐漸代替?zhèn)鹘y(tǒng)的算盤成為會計工作的主要工具，大部分企業(yè)通過財務(wù)軟件的使用，極大的提高了日常會計核算工作的效率，隨著信息化技術(shù)的快速發(fā)展，財務(wù)軟件的功能逐漸得以擴展，和企業(yè)資源管理系統(tǒng)集成的趨勢日益明顯，會計業(yè)務(wù)流程和信息化技術(shù)的這種融合使得會計信息系統(tǒng)的不確定增加，而對信息化技術(shù)浪潮下的內(nèi)部控制研究卻鮮有成果出現(xiàn)，COBIT（信息及相關(guān)技術(shù)控制目標）框架在全世界范圍得到了推廣，研究COBIT框架的主要內(nèi)容，探討在此框架下的會計信息系統(tǒng)內(nèi)部控制具有積極的現(xiàn)實意義。

一、COBIT框架概述

COBIT全稱為：Control Objectives for Information&related Technology，中文暫譯為：信息及相關(guān)技術(shù)控制目標。它是一系列關(guān)于IT管理最佳實踐（框架）的集合，由美國信息系統(tǒng)審計與控制協(xié)會（ISACA）下屬的IT治理委員會（ITGL，Information Technology Governance Institute）于1992年創(chuàng)建。COBIT為管理人員、審計人員和IT用戶提供了一套通用的測量、顯示和處理的方法以及最佳的實踐，幫助其通過在公司中使用信息技術(shù)和適當?shù)腎T治理與控制，使公司的利益最大化。2007年5月ITGL發(fā)布了COBIT4.1，主要由四部分組成：框架、控制目標、管理指南和成熟度模型。其主要內(nèi)容及關(guān)系見圖1。

從圖1可以看出，COBIT框架將業(yè)務(wù)目標和IT過程緊密的結(jié)合了起來，在IT流程支撐下的業(yè)務(wù)流程首要的IT控制目標，根據(jù)其將IT活動通過分解、度量過程、審計和控制有效的結(jié)合起來。分解主要是對關(guān)鍵活動的分解，具體執(zhí)行過程中則要加以職責和可操作性；度量過程則使用了業(yè)績、結(jié)果和成熟度模型；通過審計和控制活動，對內(nèi)部控制的結(jié)果和目標進行測試，獲得最佳的控制實踐。

圖1 COBIT主要內(nèi)容及關(guān)系

COBIT的IT過程就是在IT總體控制目標的導向下，對組織的信息化歸納為34個IT處理流程，在控制目標的確定上，COBIT將管理活動分為4個領(lǐng)域：計劃與組織、獲取與實施、交付與支持、檢測和評價，針對34個IT處理流程進一步進行分解，確定了210個具體的控制目標，在梳理控制目標的基礎(chǔ)上，對每一控制目標的實現(xiàn)建立詳細的管理策略等，在對業(yè)務(wù)目標分解和控制具體目標確定的基礎(chǔ)上，COBIT又形成了管理指南，使得COBIT的可操作性大大提高。利用成熟度模型，可以對組織目前所處的IT環(huán)境進行判斷，同時，在管理指南中詳細地敘述了每個過程的成熟度模型——從渾沌狀態(tài)的0級到優(yōu)化的5級、KGI、KPI以及要達到KGI的“重要成功因素”CSF。同時，還給出了與這個過程密切相關(guān)的IT資源，以及信息判據(jù)中哪些特征最為重要和比較重要。在文件“詳細控制目標”中，則按照34個IT處理流程逐一給出“詳細控制目標”。最后，COBIT還包括“信息系統(tǒng)審計指南”，構(gòu)成比較復(fù)雜，包含了“審計道德要求”、“信息系統(tǒng)審計標準”、“信息系統(tǒng)審計指南”、“信息系統(tǒng)審計過程”等子文件。

目前，COBIT已經(jīng)在100多個國家的超過10000家企業(yè)獲得應(yīng)用，全球有160余個機構(gòu)在推廣COBIT的知識體系和方法論。COBIT從體系化、標準化的高度，構(gòu)建關(guān)于信息系統(tǒng)投資、建設(shè)、評估、風險控制的知識框架，超越了傳統(tǒng)的產(chǎn)品與服務(wù)的概念，是IT行業(yè)乃至信息化事業(yè)的新的發(fā)展思路。COBIT模型實現(xiàn)了企業(yè)戰(zhàn)略和IT戰(zhàn)略的互動，形成了持續(xù)改進的良性循環(huán)機制，為企業(yè)提供了具有一定參考價值的解決方案，對推動信息技術(shù)的發(fā)展和應(yīng)用具有十分重要的現(xiàn)實意義。

二、會計信息系統(tǒng)風險現(xiàn)狀

會計信息系統(tǒng)使得傳統(tǒng)的手工會計核算轉(zhuǎn)化為計算機程序控制的會計管理活動，一方面原來大量的會計數(shù)據(jù)輸入得以簡化，在會計憑證記賬階段，輸入關(guān)于經(jīng)濟業(yè)務(wù)的相關(guān)信息，按照會計準則規(guī)定選擇會計科目，在憑證生成保存后，會計明細賬、總賬、會計報表等都可以通過初始化設(shè)置提取會計記賬憑證數(shù)據(jù)而產(chǎn)生，會計工作效率得以大大提高。另一方面，會計信息系統(tǒng)的廣泛使用，使得會計人員過多的依賴于計算機，在滿足“借方金額=貸方金額”的輸入條件后會計信息系統(tǒng)不會對業(yè)務(wù)發(fā)生的合理性進行判斷，會計信息的質(zhì)量有可能受到影響，而過多的依賴于計算機所產(chǎn)生的軟硬件錯誤可能會給會計信息系統(tǒng)帶來災(zāi)難性的后果，會計信息系統(tǒng)面臨以下風險。

1、計劃與組織風險

信息技術(shù)的快速發(fā)展推動了企業(yè)的信息化進程。傳統(tǒng)的財務(wù)軟件在初始階段主要是滿足如何把手工信息變?yōu)橛嬎銠C信息，隨著企業(yè)規(guī)模的擴展和競爭的加劇，會計數(shù)據(jù)在企業(yè)經(jīng)營管理中的作用日益重要，會計數(shù)據(jù)向綜合數(shù)據(jù)轉(zhuǎn)化，企業(yè)利益相關(guān)者對會計數(shù)據(jù)“背后的故事”的需求增加，財務(wù)軟件的各種輔助管理模塊應(yīng)運而生，發(fā)展到今天，財務(wù)軟件已經(jīng)和企業(yè)其他管理軟件融合，會計人員提供的數(shù)據(jù)更多是幫助企業(yè)進行決策支持等。

企業(yè)在財務(wù)軟件的實施過程要考慮多方面的因素，除了成本要進行控制外，軟件的合規(guī)性以及可操作性等也非常重要，但是，很多企業(yè)都忽略了財務(wù)軟件和其他管理軟件的融合問題，比如企業(yè)物資管理采用的Oracle數(shù)據(jù)庫，人力資源采用了Sybase數(shù)據(jù)庫，而財務(wù)軟件又采用了DB2數(shù)據(jù)庫，數(shù)據(jù)庫的多樣性導致了企業(yè)業(yè)務(wù)數(shù)據(jù)和會計數(shù)據(jù)匹配上存在一定的困難，進而使得會計數(shù)據(jù)的及時性和可靠性都受到影響。

在組織結(jié)構(gòu)及制度的建立上，企業(yè)往往是各個部門都設(shè)有自己的“系統(tǒng)維護員”，而系統(tǒng)之間的數(shù)據(jù)對接及信息變化等缺乏相應(yīng)的組織結(jié)構(gòu)進行協(xié)調(diào)，造成了企業(yè)的信息化投入成本很大，但結(jié)果卻是“信息孤島”越來越多，各種信息最終在企業(yè)的經(jīng)營管理過程中的有效性大大降低，信息判斷的偏差很可能會導致企業(yè)經(jīng)營決策判斷失誤，加大企業(yè)經(jīng)營風險。

2、維護與支持風險

財務(wù)軟件往往都由專門的軟件公司提供，一般在項目實施階段，財務(wù)軟件公司會成立專門的項目組負責軟件的初始化及培訓工作，在項目實施結(jié)束后很少有軟件公司留下專門的人員負責財務(wù)軟件的后續(xù)支持工作，這在很大程度上要求企業(yè)財務(wù)人員除了具備專業(yè)的財務(wù)知識外，具備基本的計算機操作能力就成為必須，甚至有專門的系統(tǒng)管理人員。而在現(xiàn)實的企業(yè)經(jīng)營中，由于會計人員專業(yè)知識結(jié)構(gòu)等差異，很難有人對財務(wù)軟件的后續(xù)問題提供及時的支持，大部分“系統(tǒng)管理員”從事于添加會計科目、增加往來單位等事項，很少對現(xiàn)有軟件的運行風險進行綜合考慮。這導致了在實際的運行過程中財務(wù)軟件的使用效率大大降低，同時，沒有充分的利用財務(wù)軟件進行綜合數(shù)據(jù)的收集與分析也降低了會計數(shù)據(jù)的有效性。

3、審計與評估風險

2006年以來，我國政府陸續(xù)頒布了多項內(nèi)部控制規(guī)范，向社會公開征求意見，內(nèi)部控制已經(jīng)成為理論和實踐關(guān)注的熱點問題，但是，在IT環(huán)境下的內(nèi)部控制卻還沒有專門的規(guī)范，目前僅有的《企業(yè)內(nèi)部控制規(guī)范XX號——計算機信息系統(tǒng)》（征求意見稿）、中國注冊會計師準則1633號和1231號等分別對被審單位在電子商務(wù)環(huán)境的審計風險進行了描述，對于會計信息系統(tǒng)在審計中應(yīng)關(guān)注的風險點和具體審計程序、目標等尚未有相應(yīng)的規(guī)范出臺。注冊會計師在執(zhí)行審計的過程中一般是要求被審單位將會計賬薄打印出來，按照傳統(tǒng)的審計方法進行審計，但對于計算機與網(wǎng)絡(luò)技術(shù)的運用有什么風險、怎樣才能控制并降低這些風險缺乏相應(yīng)的指導，另一方面，如何利用計算機技術(shù)對財務(wù)軟件數(shù)據(jù)進行收集和分析也缺乏相關(guān)的知識和工具，IT環(huán)境下注冊會計師審計面臨新的挑戰(zhàn)。

三、COBIT框架下加強會計信息系統(tǒng)內(nèi)部控制的建議

1、從戰(zhàn)略層面考慮企業(yè)會計信息系統(tǒng)設(shè)置，建立IT管理部門

COBIT是基于企業(yè)業(yè)務(wù)流程的IT治理、安全與控制的框架，根據(jù)COBIT框架，會計信息系統(tǒng)業(yè)已成為企業(yè)整體信息系統(tǒng)的一個重要構(gòu)成部分。企業(yè)應(yīng)在戰(zhàn)略層面考慮會計信息系統(tǒng)的設(shè)置，重視軟件的數(shù)據(jù)采集、編碼統(tǒng)一、人員集中等，避免出現(xiàn)同一材料在不同部門之間的數(shù)據(jù)傳遞缺乏統(tǒng)一的編碼規(guī)范，造成數(shù)據(jù)匯總的困難。同時，隨著企業(yè)經(jīng)營規(guī)模的擴張，基于IT流程的計算機數(shù)據(jù)會快速膨脹，成立專門的IT數(shù)據(jù)管理部門已成為現(xiàn)實的需要，IT管理部門可以完成企業(yè)各種軟件的標準統(tǒng)一、數(shù)據(jù)采集、數(shù)據(jù)分析等大量工作，提高會計信息系統(tǒng)數(shù)據(jù)的有效性和及時性。

2、梳理企業(yè)業(yè)務(wù)流程，建立會計信息系統(tǒng)風險控制機制

COBIT框架中的34個業(yè)務(wù)流程和210個控制目標為企業(yè)實施COBIT提供了具體的指導，企業(yè)可以根據(jù)具體經(jīng)營情況，梳理業(yè)務(wù)流程節(jié)點，根據(jù)各節(jié)點建立相應(yīng)的內(nèi)部控制目標，在此基礎(chǔ)上，建立企業(yè)會計信息系統(tǒng)風險控制機制，包括業(yè)務(wù)流程預(yù)警體系、計算機信息系統(tǒng)數(shù)據(jù)采集與存儲制度、網(wǎng)絡(luò)安全管理制度、管理員權(quán)限與人員授權(quán)管理等。充分保障會計信息系統(tǒng)在IT環(huán)境下運行的安全、穩(wěn)定，將風險降低到可接受范圍內(nèi)。

3、加大培訓，提高專業(yè)人員素質(zhì)

會計信息系統(tǒng)的廣泛使用使得會計人員的技能必須得以提高，持續(xù)的培訓是提高人才能力有效途徑。在人才培訓上，不僅包括專業(yè)的會計人員，還應(yīng)包括審計人員、企業(yè)技術(shù)人員等，可以考慮對低層次人員培訓與高層次人員培訓、在職人員培訓和未來人才培養(yǎng)、集中培訓和自主學習等多方式多層次的培訓模式。應(yīng)該看到，掌握更多的IT技能已經(jīng)成為未來信息技術(shù)環(huán)境下人才必備的技能之一，會計人員應(yīng)主動和技術(shù)人員溝通，參與到項目的實施過程中，更好地推動企業(yè)經(jīng)營管理水平的提高。

[1]胡曉明、林娟：COBIT4.0：解讀與啟示[J].科技管理研究，2007（11）.

[2]陽杰、莊明來、陶黎娟：基于COBIT的會計業(yè)務(wù)流程控制[J].審計與經(jīng)濟研究，2009（2）.

[3]董榆梅、夏建光：基于COBIT的ERP實施績效評價研究[J].云南財經(jīng)大學學報，2007（S1）.

[4]陳婉玲、袁若賓：COBIT及其在信息系統(tǒng)控制與審計中的應(yīng)用[J].審計研究，2006（S1）.

[5]羅小琴：淺談會計電算化與內(nèi)部控制[J].財會研究，2006（12）.

[6]丘朝才：中小型單位會計信息系統(tǒng)的風險分析與防范[J].中國管理信息化（會計版），2006（12）.

[7]陳婉玲、袁若賓：COBIT及其啟示[J].會計之友（上旬刊），2006（1）.