IT治理下會計(jì)系統(tǒng)內(nèi)控體系探討

王偉

摘要：在IT環(huán)境下，為了滿足利益相關(guān)者對高質(zhì)量會計(jì)信息的需求，企業(yè)有必要引進(jìn)新的理論框架對該系統(tǒng)從構(gòu)建到運(yùn)行的全過程進(jìn)行控制。COBIT作為全球公認(rèn)IT治理的最佳控制模型，采用生命周期的思想，可用來指導(dǎo)會計(jì)系統(tǒng)內(nèi)部控制的實(shí)施、評價(jià)及完善。同時(shí)，IT的應(yīng)用使得會計(jì)系統(tǒng)暴露在更為復(fù)雜多樣的風(fēng)險(xiǎn)之下，為了有效的規(guī)避這些風(fēng)險(xiǎn)，企業(yè)在構(gòu)建該系統(tǒng)內(nèi)部控制時(shí)，有必要引進(jìn)現(xiàn)階段風(fēng)險(xiǎn)管理的最高研究成果ERM框架的思想。

關(guān)鍵詞：

COBIT模型；ERM框架；會計(jì)系統(tǒng)內(nèi)控體系

中圖分類號：

F23

文獻(xiàn)標(biāo)識碼：A

文章編號：16723198（2015）05013202

在IT環(huán)境下，要建立會計(jì)系統(tǒng)的內(nèi)控體系，不僅要考慮會計(jì)系統(tǒng)業(yè)務(wù)的目標(biāo)及IT的特點(diǎn)，還要保證相關(guān)人員能理解并認(rèn)同，這就需要我們引入一個(gè)標(biāo)準(zhǔn)化的框架作為控制的指南。COBIT模型的流程控制觀念及其應(yīng)用控制目標(biāo)正好為我們提供了合適的參考，這就為利用其構(gòu)建會計(jì)系統(tǒng)內(nèi)控體系提供了契機(jī)。

通過對COBIT模型控制框架以及企業(yè)風(fēng)險(xiǎn)管理框架（ERM）的全方位解讀，有助于我們理解并掌握內(nèi)控的核心思想，同時(shí)將風(fēng)險(xiǎn)管理的理念引入到IT環(huán)境下的會計(jì)系統(tǒng)內(nèi)部控制體系的構(gòu)建過程中，有利于我們借鑒其中的優(yōu)秀控制方法和思想來完善企業(yè)會計(jì)系統(tǒng)的內(nèi)控框架及應(yīng)用模式，從而提高企業(yè)經(jīng)營的效率和效果、保障企業(yè)資產(chǎn)的安全完整和財(cái)務(wù)報(bào)告的真實(shí)可靠，滿足利益相關(guān)者的要求。

1COBIT模型簡介

COBIT（信息及相關(guān)技術(shù)的控制目標(biāo)）由ISACA（美國信息系統(tǒng)審計(jì)與控制協(xié)會）最早于1996年發(fā)布，現(xiàn)已更新到COBIT4.1第四版。該模型目前已經(jīng)成為國際上共同認(rèn)可的最權(quán)威、最先進(jìn)的IT管理、控制和審計(jì)的標(biāo)準(zhǔn)。

COBIT模型將IT資源、IT過程及信息與企業(yè)戰(zhàn)略目標(biāo)緊密聯(lián)系起來，形成了一個(gè)三維的立體結(jié)構(gòu)，從而將IT治理目標(biāo)與企業(yè)戰(zhàn)略目標(biāo)有機(jī)結(jié)合起來。該模型的核心思想可以簡單概括為：企業(yè)為了實(shí)現(xiàn)自身的戰(zhàn)略目標(biāo)，需要在IT資源上投入資金，并在IT過程中合理的使用這些可以控制的IT資源，最終交付出企業(yè)需要的有用信息。

COBIT 4.1版將信息技術(shù)流程按生命周期的思想分為三個(gè)層次來控制，分別為四個(gè)域（Domains）、34個(gè)處理過程（Processes）及210項(xiàng)任務(wù)活動（Activities Tasks）。其中四個(gè)域的內(nèi)涵分別為：規(guī)劃與組織域（PO）、獲得與實(shí)施域（AI）、交付與支持域（DS）及監(jiān)控與評價(jià)域（ME）；34個(gè)過程中提供了每個(gè)過程的控制目標(biāo)、涉及到的IT資源、過程成熟度指標(biāo)、監(jiān)控和評價(jià)標(biāo)準(zhǔn)及方便執(zhí)行的應(yīng)用指南。

COBIT模型可以作為業(yè)務(wù)需求、風(fēng)險(xiǎn)控制和技術(shù)機(jī)制之間有效溝通的橋梁，可以滿足管理的多方面需求。作為IT控制模型中最佳的研究實(shí)踐，COBIT能為世界各國廣泛接受和實(shí)施，自然有它獨(dú)到的地方。概括起來，它的優(yōu)勢主要表現(xiàn)在：

（1）以業(yè)務(wù)為中心，立足于公司戰(zhàn)略目標(biāo)，通過域、過程、活動的三層控制體系，保證IT目標(biāo)與企業(yè)目標(biāo)的一致性，規(guī)避具體活動與最終目標(biāo)偏離的風(fēng)險(xiǎn)。

（2）可以增強(qiáng)管理層和員工對整個(gè)系統(tǒng)的理解和支持。COBIT的使用者并不局限在IT服務(wù)提供者、用戶和審計(jì)師，還為管理層和過程使用者提供全面的使用指南，并且明確了實(shí)施過程中的責(zé)任歸屬。這就使得所有相關(guān)人員可以理解系統(tǒng)，了解自己的位置及作用，并支持系統(tǒng)的實(shí)施及完善。

（3）將IT控制變得簡化，減輕復(fù)雜系統(tǒng)實(shí)施的難度。COBIT模型采用一致性的控制思路對IT周期的34個(gè)過程進(jìn)行控制。具體方法為：確定每個(gè)過程的高級控制目標(biāo)、具體控制目標(biāo)及管理指南，通過控制、管理實(shí)施過程中的偏差來保證達(dá)到每個(gè)過程高級控制目標(biāo)的要求，滿足組織對信息系統(tǒng)安全性、可靠性及有效性的要求，支持組織目標(biāo)的實(shí)現(xiàn)。

（4）具有持續(xù)有效性。COBIT模型不僅面向現(xiàn)在，還可以為企業(yè)系統(tǒng)的持續(xù)優(yōu)化提供指導(dǎo)，防范業(yè)務(wù)變化或系統(tǒng)管理不當(dāng)造成的風(fēng)險(xiǎn)，保證系統(tǒng)目標(biāo)與業(yè)務(wù)目標(biāo)的一致性。

（5）具有國際通用性。COBIT模型使用能被利益相關(guān)方理解的通用術(shù)語及定義，并且與國際公認(rèn)的IT治理關(guān)注領(lǐng)域、公司治理標(biāo)準(zhǔn)如COSO模型及審計(jì)人員等對內(nèi)控的要求保持了一致，故實(shí)施該模型可以保證組織滿足相關(guān)法律法規(guī)的要求。

綜上所述，COBIT 4.1模型的實(shí)用性及可操作性都比較強(qiáng)，并且其是國際上公認(rèn)的IT管理與控制標(biāo)準(zhǔn)，故本文將其作為IT治理下會計(jì)系統(tǒng)內(nèi)部控制體系構(gòu)建的基礎(chǔ)。

2ERM企業(yè)風(fēng)險(xiǎn)管理框架

ERM框架的出臺是內(nèi)外部環(huán)境催化的結(jié)果。2002年頒布的《薩班斯法案》要求上市公司加強(qiáng)風(fēng)險(xiǎn)管理，強(qiáng)化風(fēng)險(xiǎn)控制，這在客觀上推動了COSO《內(nèi)部控制整合框架》的進(jìn)一步發(fā)展。同時(shí)，COSO委員會也意識到了《整合框架》自身存在的不足之處，如過分重視財(cái)務(wù)報(bào)告，而沒有從企業(yè)戰(zhàn)略與目標(biāo)的角度關(guān)注組織風(fēng)險(xiǎn)。這些因素從客觀上推動了ERM框架的頒布。

企業(yè)風(fēng)險(xiǎn)管理（ERM）框架是在國外一些重大財(cái)務(wù)丑聞的催化下誕生的，將企業(yè)的全面風(fēng)險(xiǎn)管理分為八個(gè)要素來控制，分別為：內(nèi)部環(huán)境、目標(biāo)設(shè)定、事件識別、風(fēng)險(xiǎn)評估、風(fēng)險(xiǎn)對策、控制活動、信息與溝通、監(jiān)督。從該框架的配套指南可以看出，該框架沒有對內(nèi)部控制重新定義，而是在COSO報(bào)告對內(nèi)控定義的基礎(chǔ)上，引入了風(fēng)險(xiǎn)管理的理念，對內(nèi)部控制進(jìn)行了拓展和細(xì)化，形成了一個(gè)更全面、更有效的管理風(fēng)險(xiǎn)的框架?？傮w來說，ERM框架在COSO的基礎(chǔ)上增加了一個(gè)新理念、一個(gè)戰(zhàn)略目標(biāo)、兩個(gè)新概念和三個(gè)基本要素：

（1）引入風(fēng)險(xiǎn)組合觀：要求企業(yè)在評估自身風(fēng)險(xiǎn)時(shí)要從整體出發(fā)，即使每個(gè)下屬單位的個(gè)別風(fēng)險(xiǎn)都在自身可接受范圍之內(nèi)，也要考慮總風(fēng)險(xiǎn)超過企業(yè)整體可控風(fēng)險(xiǎn)偏好的可能性。

（2）增加戰(zhàn)略目標(biāo)：COSO框架將企業(yè)的目標(biāo)分為三類，即經(jīng)營目標(biāo)、報(bào)告目標(biāo)和合規(guī)性目標(biāo)。ERM框架中的經(jīng)營目標(biāo)與報(bào)告目標(biāo)與COSO相同，但對合規(guī)性目標(biāo)進(jìn)行了拓展，包含企業(yè)編制的對內(nèi)、對外所有報(bào)告，不僅包括財(cái)務(wù)信息，也包括非財(cái)務(wù)信息。同時(shí)，ERM框架還增加了一大目標(biāo)，即企業(yè)的戰(zhàn)略目標(biāo)。

要求企業(yè)的經(jīng)營目標(biāo)、報(bào)告目標(biāo)及合規(guī)性目標(biāo)要以自身的戰(zhàn)略愿景為基石，使企業(yè)在實(shí)現(xiàn)自身使命的過程中少走彎路。

（3）風(fēng)險(xiǎn)偏好及風(fēng)險(xiǎn)容忍度：

風(fēng)險(xiǎn)偏好是指為了實(shí)現(xiàn)自身戰(zhàn)略愿景，企業(yè)愿意承受的廣泛意義的風(fēng)險(xiǎn)數(shù)量，其指導(dǎo)著企業(yè)的戰(zhàn)略制定及目標(biāo)選擇。風(fēng)險(xiǎn)容忍度即風(fēng)險(xiǎn)可接受程度，指企業(yè)對在目標(biāo)實(shí)現(xiàn)過程中出現(xiàn)差異的可接受程度。在確定各目標(biāo)的風(fēng)險(xiǎn)容忍度時(shí)，企業(yè)一方面要考慮該目標(biāo)的重要性，另一方面還要將其與自身的風(fēng)險(xiǎn)偏好聯(lián)系起來，最終將風(fēng)險(xiǎn)控制在可以承受的最大范圍內(nèi)，保證企業(yè)最大限度的實(shí)現(xiàn)自身目標(biāo)。

（4）新增風(fēng)險(xiǎn)管理三要素，即目標(biāo)設(shè)定、事項(xiàng)識別、風(fēng)險(xiǎn)應(yīng)對：

ERM框架在COSO五要素的基礎(chǔ)上新增加了目標(biāo)設(shè)定、事項(xiàng)識別及風(fēng)險(xiǎn)應(yīng)對三個(gè)要素，風(fēng)險(xiǎn)管理在企業(yè)管理中的地位越發(fā)重要。同時(shí)，在內(nèi)部環(huán)境要素中，更加強(qiáng)調(diào)了董事會對風(fēng)險(xiǎn)管理的理念。

由此可見，ERM風(fēng)險(xiǎn)管理框架更加強(qiáng)調(diào)風(fēng)險(xiǎn)管理理念，并且將控制的對象設(shè)定為整個(gè)企業(yè)，控制的范圍涵蓋了業(yè)務(wù)的事前、事中及事后全過程，使得風(fēng)險(xiǎn)控制不僅貫穿于具體業(yè)務(wù)層次也貫穿于戰(zhàn)略愿景層次，不僅貫穿于執(zhí)行層次也貫穿于反饋層次。而在IT治理的大環(huán)境下，會計(jì)系統(tǒng)已經(jīng)與其他信息系統(tǒng)融為一體、密不可分，共同服務(wù)于企業(yè)戰(zhàn)略目標(biāo)。這就要求引入新的觀念，采取措施積極應(yīng)對IT帶來的新風(fēng)險(xiǎn)，將各種風(fēng)險(xiǎn)控制在企業(yè)可接受的范圍之內(nèi)。因此，本文將戰(zhàn)略目標(biāo)管理理念引入會計(jì)系統(tǒng)中，將ERM框架作為構(gòu)建IT治理的會計(jì)系統(tǒng)內(nèi)控體系應(yīng)遵循的標(biāo)準(zhǔn)。

3IT治理下會計(jì)系統(tǒng)內(nèi)控體系構(gòu)建

在信息技術(shù)高速發(fā)達(dá)的當(dāng)今社會，理解并評估會計(jì)系統(tǒng)內(nèi)部控制面臨很多障礙及風(fēng)險(xiǎn)。這就要求我們引入新的理論框架，很好的建立并理解會計(jì)系統(tǒng)內(nèi)部控制體系。ERM框架是通用的內(nèi)部控制建立及評估的規(guī)范，沒有單獨(dú)對IT控制目標(biāo)和相關(guān)控制活動做出具體要求，而COBIT采用生命周期的思想，將整個(gè)IT流程分為域、過程、活動來控制IT資源，使復(fù)雜的系統(tǒng)控制簡單化，對評估IT環(huán)境下的內(nèi)部控制特別有效。兩者實(shí)際上是一般與應(yīng)用的關(guān)系，所以本文將ERM風(fēng)險(xiǎn)管理的思想及COBIT模型的控制方法結(jié)合起來控制會計(jì)系統(tǒng)的IT資源，三者共同組成IT治理的會計(jì)系統(tǒng)內(nèi)部控制體系的立體模型，如圖1所示。

該三維體系將會計(jì)系統(tǒng)內(nèi)部控制流程、ERM框架八要素及會計(jì)系統(tǒng)IT資源緊密結(jié)合在一起，為會計(jì)系統(tǒng)內(nèi)部控制的構(gòu)建及運(yùn)行發(fā)揮了獨(dú)特的作用。一方面，該體系利用COBIT模型的生命周期法將會計(jì)系統(tǒng)內(nèi)部控制分為域、過程、活動的三層架構(gòu)，使控制活動更易于實(shí)施；另一方面，利用ERM框架風(fēng)險(xiǎn)控制的思想管理會計(jì)系統(tǒng)的內(nèi)控過程，有助于每個(gè)過程的順利完成。同時(shí)，通過會計(jì)系統(tǒng)內(nèi)部控制的每個(gè)過程管理會計(jì)系統(tǒng)的IT資源，能夠保證IT資源使用的效率及效果，促進(jìn)企業(yè)目標(biāo)的達(dá)成。

3.1從企業(yè)戰(zhàn)略層面入手設(shè)置會計(jì)系統(tǒng)目標(biāo)，減少了信息孤島

COBIT框架中規(guī)劃與組織的第一個(gè)過程就是制定會計(jì)系統(tǒng)的戰(zhàn)略計(jì)劃，這就為會計(jì)系統(tǒng)的設(shè)置定下了基調(diào)：為企業(yè)的戰(zhàn)略目標(biāo)服務(wù)，從根本上保證了數(shù)據(jù)初始采集的準(zhǔn)確性及目標(biāo)性，避免出現(xiàn)如內(nèi)部編碼不統(tǒng)一造成的數(shù)據(jù)匯總及對比問題。為了提高企業(yè)信息系統(tǒng)的整合度，企業(yè)可以配備一個(gè)專門的IT管理部門，從最初企業(yè)信息系統(tǒng)的標(biāo)準(zhǔn)設(shè)定、初始設(shè)置到最后的監(jiān)控改進(jìn)持續(xù)跟進(jìn)，保證數(shù)據(jù)采集及數(shù)據(jù)分析的準(zhǔn)確性，提高會計(jì)系統(tǒng)的可靠性及及時(shí)性。

3.2建立起制度和技術(shù)之間的紐帶

IT技術(shù)在企業(yè)中的廣泛使用使得會計(jì)系統(tǒng)的內(nèi)控體系越來越復(fù)雜，對企業(yè)的管理人員及實(shí)施人員都提出了巨大挑戰(zhàn)。ERM框架側(cè)重于策略層次，只是對企業(yè)內(nèi)部控制設(shè)置的一般性要求，沒有指出具體的實(shí)施方法。而COBIT模型側(cè)重于具體的實(shí)施方法，按照生命周期的思想將信息系統(tǒng)流程細(xì)化為210項(xiàng)任務(wù)活動，使得企業(yè)在實(shí)施過程中能按照相對應(yīng)活動的控制流程來設(shè)置信息系統(tǒng)，并達(dá)到每個(gè)活動的控制目標(biāo)。因此，將ERM框架與COBIT模型思想結(jié)合，不僅可以滿足ERM企業(yè)風(fēng)險(xiǎn)管理的要求，還能降低設(shè)置會計(jì)系統(tǒng)內(nèi)控的實(shí)施難度，使得整個(gè)控制流程更加易于理解和實(shí)施，最終為企業(yè)交付滿意的信息。

3.3構(gòu)建了事前、事中和事后的全方位風(fēng)險(xiǎn)控制體系

COBIT模型將會計(jì)系統(tǒng)流程分為四個(gè)過程，即規(guī)劃與組織、獲取與實(shí)施、交付與支持、監(jiān)控與評價(jià)。其中第一個(gè)流程規(guī)劃與組織屬于實(shí)施過程中的事前控制，第二個(gè)獲取與實(shí)施及第三個(gè)交付與支持流程屬于事中控制，監(jiān)控與評價(jià)屬于事后的反饋控制流程。通過一系列的控制流程，企業(yè)可以建立覆蓋整個(gè)會計(jì)系統(tǒng)的風(fēng)險(xiǎn)控制機(jī)制，同時(shí)通過監(jiān)測各個(gè)過程的指標(biāo)控制可能出現(xiàn)的偏差，并及時(shí)解決遇到的問題，將風(fēng)險(xiǎn)控制在可接受的范圍之內(nèi)，進(jìn)而確保系統(tǒng)戰(zhàn)略的實(shí)現(xiàn)。

在IT技術(shù)迅猛發(fā)展的當(dāng)今社會，會計(jì)系統(tǒng)的內(nèi)控體系是否有效直接決定了企業(yè)能否合理配置資源、能否提高勞動生產(chǎn)率、能否為眾多利益相關(guān)者提供合法及公允的會計(jì)信息。本文基于ERM框架及COBIT模型構(gòu)建的會計(jì)系統(tǒng)內(nèi)控體系對于企業(yè)防范舞弊、減少損失、提高資產(chǎn)使用效率及達(dá)成企業(yè)戰(zhàn)略目標(biāo)都具有積極的意義。不過在具體構(gòu)建會計(jì)系統(tǒng)內(nèi)控體系時(shí)，企業(yè)應(yīng)遵循“適合的才是最好的”原則。企業(yè)可以參考現(xiàn)有成功或失敗的案例，但不要盲目相信別人，要在對自己企業(yè)的實(shí)際情況深入了解的基礎(chǔ)上選擇合適的模型，并在實(shí)踐過程中靈活運(yùn)用，對不符合要求的流程適當(dāng)進(jìn)行修改完善。另外，在實(shí)施前要對用戶進(jìn)行必要的培訓(xùn)和溝通，傳達(dá)組織的目標(biāo)并使其理解，讓用戶明白自身在流程中的角色及責(zé)任，調(diào)動他們的積極性推動相應(yīng)內(nèi)控的建設(shè)，從而將新方案實(shí)施的阻力降低到最小。

參考文獻(xiàn)

[1]財(cái)政部等.企業(yè)內(nèi)部控制基本規(guī)范[J].會計(jì)研究動態(tài)，2008，（4）.

[2]劉翠.內(nèi)部會計(jì)控制理論研究綜述[J].產(chǎn)業(yè)與科技論壇，2010，9（5）：105.

[3]ITGI.COBIT4.1[EB].www.itgi.org， 2007.

[4]嚴(yán)暉.公司治理、公司管理與內(nèi)部控制—對COSO企業(yè)風(fēng)險(xiǎn)管理框架（ERM）的分析[J].財(cái)會通訊，2012，（4）：1014.

[5]謝志華.內(nèi)部控制、公司治理、風(fēng)險(xiǎn)管理：關(guān)系與整合[J].會計(jì)研究，2007，（10）：3745.