◆基金項目:2015年廣東省本科高校教學(xué)質(zhì)量與教學(xué)改革工程項目“應(yīng)用型卓越
會計人才培養(yǎng)計劃”(項目編號:粵教高粵[2015]133號)
◇中圖分類號:F275 文獻(xiàn)標(biāo)識碼:A 文章編號:1002-5812(2016)09-0032-02
摘要:會計信息化影響了企業(yè)內(nèi)部控制的方式,COBIT為信息化內(nèi)控提供了科學(xué)的指導(dǎo)。本文從會計信息化對企業(yè)內(nèi)部控制的作用和風(fēng)險兩方面,進一步引出COBIT框架對企業(yè)內(nèi)部控制的具體影響。
關(guān)鍵詞:會計信息化 內(nèi)部控制 COBIT
進入21世紀(jì)以來,信息化的浪潮席卷了各個領(lǐng)域,包括會計職能的發(fā)揮。其中,會計信息化除了體現(xiàn)在會計核算從手工做賬轉(zhuǎn)變?yōu)殡娮有问?,極大地提高了會計工作的效率和質(zhì)量之外,財務(wù)軟件、ERP、XBRL等技術(shù)的發(fā)展更多的是對會計管理職能的拓展和鞏固,特別是對企業(yè)內(nèi)部控制的建立和執(zhí)行有了長足的影響。
我國內(nèi)部控制的發(fā)展經(jīng)歷了漫長的階段,是在總結(jié)我國企業(yè)管理實踐經(jīng)驗、借鑒國際先進成果的基礎(chǔ)上形成的。其中,《企業(yè)內(nèi)部控制基本規(guī)范》第四十一條指出,企業(yè)應(yīng)當(dāng)利用信息技術(shù)促進信息的集成與共享,加強對信息系統(tǒng)開發(fā)與維護、訪問與變更、數(shù)據(jù)輸入與輸出、文件儲存與保管、網(wǎng)絡(luò)安全等方面的控制,保證信息系統(tǒng)安全穩(wěn)定運行,充分發(fā)揮信息技術(shù)在信息與溝通中的作用。因此COBIT框架作為目前國際公認(rèn)的最先進、最權(quán)威的安全和信息技術(shù)管理和控制的標(biāo)準(zhǔn),開始成為信息系統(tǒng)內(nèi)部控制的重要保障。COBIT綜合了包括COSO報告在內(nèi)的內(nèi)部控制標(biāo)準(zhǔn),并將之嵌入企業(yè)信息化工作流程,從而將企業(yè)戰(zhàn)略目標(biāo)和業(yè)務(wù)目標(biāo)落實到作業(yè)執(zhí)行過程中,通過控制過程作業(yè)活動達(dá)到控制業(yè)務(wù)活動,實現(xiàn)戰(zhàn)略目標(biāo)。因此,相比較COSO報告等具有導(dǎo)向作用的內(nèi)部控制標(biāo)準(zhǔn),COBIT更具體,對會計信息系統(tǒng)內(nèi)部控制點的設(shè)置具有直接的指導(dǎo)意義。
一、會計信息化對企業(yè)內(nèi)部控制的影響
會計信息化由會計電算化演變而來,從最開始借助機器的精密運算程序來彌補手工計算的復(fù)雜和失誤,到現(xiàn)在逐步運用于管理信息系統(tǒng),比如企業(yè)內(nèi)部控制框架的建立和執(zhí)行,其中存在著絲絲縷縷的必然聯(lián)系。會計信息化能使得內(nèi)部控制的八大要素通過數(shù)據(jù)構(gòu)建的手段緊密結(jié)合起來,并在各大關(guān)鍵點設(shè)立互通機制,讓信息與溝通不再堵塞、延遲甚至錯亂;而健全的內(nèi)部控制則保證了在人的主觀能動性基礎(chǔ)上,發(fā)揮出信息化的強大覆蓋力及執(zhí)行效率。然而,有利即有弊,在我國內(nèi)部控制初步發(fā)展階段,過快的步入信息化進程同樣可能導(dǎo)致二者相互制約。其作用與風(fēng)險具體表現(xiàn)為:
(一)會計信息化對企業(yè)內(nèi)部控制產(chǎn)生的作用
1.會計核算結(jié)構(gòu)優(yōu)化,組織職能發(fā)揮強效。財務(wù)軟件、ERP等信息系統(tǒng)的使用不僅使會計部門的機構(gòu)設(shè)置變得更為精簡高效,同時使每一位財務(wù)人員參與到數(shù)據(jù)處理的管理系統(tǒng)中來,實現(xiàn)了權(quán)利與義務(wù)的統(tǒng)一。在流暢的數(shù)據(jù)互通中,登錄權(quán)限的設(shè)置與模塊的分工充分體現(xiàn)了內(nèi)部控制中的職責(zé)分工、授權(quán)審批等制度,同時也滿足了治理層履行其監(jiān)督職能的需求。
2.保證了會計信息的真實、完整與準(zhǔn)確性。目前我國企業(yè)會計信息失真現(xiàn)象普遍,一方面是管理層舞弊等有意為之,因此賬外設(shè)賬,藏匿、修改、毀損憑證賬簿的手法層出不窮;另一方面是手工運算與信息傳遞產(chǎn)生的失誤也時有發(fā)生。而信息技術(shù)的運用則有效解決了這些問題,一方面是各類權(quán)限的設(shè)置具有高度保密性和監(jiān)督功能;另一方面,數(shù)據(jù)的運算基本可實現(xiàn)零失誤,并且系統(tǒng)間的信息傳遞速度也只在一“指”之間。同時信息的相互關(guān)聯(lián)性可進行實時的檢查與稽核,保證授權(quán)的合理與執(zhí)行以及失誤的預(yù)警與彌補,從而保證了每一筆會計信息的及時錄入,真實反映,準(zhǔn)確核算。
3.激發(fā)了內(nèi)部控制作用的外延。信息化會計較傳統(tǒng)會計增加大量工作,例如:遠(yuǎn)程報表 、網(wǎng)上支付、網(wǎng)上報稅等。所以,會計信息化條件下的內(nèi)部控制范圍也相應(yīng)擴大,如網(wǎng)絡(luò)系統(tǒng)安全的控制、系統(tǒng)權(quán)限的控制、會計信息資料的安全保護、計算機病毒防護、計算機操作管理、系統(tǒng)開發(fā)與維護等,都成為會計信息化條件下內(nèi)部控制的內(nèi)容。
(二)會計信息化對企業(yè)內(nèi)部控制產(chǎn)生的風(fēng)險
1.我國內(nèi)部控制的建設(shè)與信息化進程的不匹配。從我國內(nèi)部控制發(fā)展的歷程來看,一直是在借鑒國際研究成果的基礎(chǔ)上結(jié)合國情作出的調(diào)整和創(chuàng)新,這就決定了我國企業(yè)在建立內(nèi)控制度上起點過高而后勁不足。因此,在新的會計信息化環(huán)境下,很多現(xiàn)存的制度和機制已無法適應(yīng)發(fā)展的要求,加速建立健全會計信息環(huán)境下的內(nèi)部控制制度和相應(yīng)的管理機制顯得迫在眉睫。從現(xiàn)實來看,一方面表現(xiàn)為我國會計信息系統(tǒng)開發(fā)機構(gòu)與技術(shù)都欠成熟,而復(fù)雜的市場經(jīng)濟形勢導(dǎo)致各企業(yè)甚至各部門的訴求遠(yuǎn)超設(shè)定,比如龐大數(shù)據(jù)庫的建立就已經(jīng)很困難了,需要前期投入大量人力物力財力。另一方面,國外的經(jīng)驗并不適用于我國企業(yè)內(nèi)控的建設(shè),如果盲目追求與國際接軌使得信息系統(tǒng)的使用不能構(gòu)造暢通的渠道,甚至數(shù)據(jù)對接出現(xiàn)問題的話,結(jié)果可能導(dǎo)致我國在內(nèi)部控制建設(shè)上出現(xiàn)嚴(yán)重偏差,企業(yè)也極其容易因為信息不暢導(dǎo)致決策失誤加大經(jīng)營風(fēng)險。
2.信息安全得不到保障。在采用了信息系統(tǒng)的內(nèi)部控制管理體系里,其五個關(guān)鍵控制點:開發(fā)與維護、訪問與變更、數(shù)據(jù)輸入與輸出、文件存儲與保管、網(wǎng)絡(luò)安全都容易比傳統(tǒng)手工控制產(chǎn)生更多的安全風(fēng)險。比如,研發(fā)技術(shù)不當(dāng)會使得信息系統(tǒng)不能與企業(yè)內(nèi)控制度兼容,或者是產(chǎn)生安全漏洞導(dǎo)致黑客攻擊從而泄露商業(yè)機密;權(quán)限設(shè)置不嚴(yán)密使得信息被隨意篡改,授權(quán)審批等控制活動流于形式;數(shù)據(jù)存儲與交互、備份與恢復(fù)等功能不全導(dǎo)致數(shù)據(jù)丟失;對系統(tǒng)程序的缺陷或漏洞安全防護不夠,無法保障信息安全;對各種計算機病毒防范清理不力,導(dǎo)致系統(tǒng)運行不穩(wěn)定甚至癱瘓等。
3.工作人員的綜合素質(zhì)有待加強。由于是在信息化條件下建立的內(nèi)控制度,許多環(huán)節(jié)忽視了人的作用導(dǎo)致大部分決策是機器分析的結(jié)果,而沒有人的思考與判斷,容易滋生偷懶思想,抑制工作積極性,因此需要協(xié)調(diào)好人工與自動化成分在整個內(nèi)控系統(tǒng)中的關(guān)系。另外,體現(xiàn)最明顯的就是專業(yè)勝任能力方面,現(xiàn)在的財務(wù)人員除了要掌握會計基礎(chǔ)知識,還必須熟悉甚至精通信息技術(shù)相關(guān)要求,才能達(dá)到在專業(yè)指導(dǎo)下去執(zhí)行和完成信息系統(tǒng)分配的職責(zé),不然不僅不能提高工作效率,反而還會造成操作不熟練、權(quán)責(zé)分配不清、監(jiān)督失效等問題。
二、會計信息化下COBIT框架的建立及對企業(yè)內(nèi)部控制的影響
(一)COBIT概念及其框架和發(fā)展
COBIT (Control Objectives for Inform ation and related Technology信息及相關(guān)技術(shù)控制目標(biāo))是由信息系統(tǒng)審計和控制協(xié)會(ISACA)下屬的 IT治理研究院(ITGI)發(fā)布的 ,旨在為 IT 的治理、安全和控制提供一個普遍適用的公認(rèn)的標(biāo)準(zhǔn),以輔助企業(yè)管理層進行IT治理。1996年COBIT體系作為一個審計框架而被提出,經(jīng)歷了多次調(diào)整,直至2012年推出COBIT 5.0,是目前最新的研究成果。COBIT 5.0在借鑒了前面系列框架的基礎(chǔ)上,被定位為IT治理與IT管理框架,不僅僅為IT治理框架,更加符合了COBIT的實際應(yīng)用。
簡要來說,COBIT 框架的IT過程就是在IT總體控制目標(biāo)的導(dǎo)向下,對組織的信息化歸納為34個IT處理流程,在控制目標(biāo)的確定上,COBIT 將管理活動分為4個領(lǐng)域:計劃與組織、獲取與實施、交付與支持、檢測和評價,針對34個IT處理流程進一步進行分解,確定了210個具體的控制目標(biāo),在梳理控制目標(biāo)的基礎(chǔ)上,對每一控制目標(biāo)的實現(xiàn)建立詳細(xì)的管理策略等,在對業(yè)務(wù)目標(biāo)分解和控制具體目標(biāo)確定的基礎(chǔ)上,COBIT又形成了管理指南,使得COBIT 的可操作性大大提高。利用成熟度模型,可以對組織目前所處的 IT 環(huán)境進行判斷,同時,在管理指南中詳細(xì)地敘述了每個過程的成熟度模型——渾沌狀態(tài)的0級到優(yōu)化的5級、KGI、KPI以及要達(dá)到 KGI的 “重要成功因素”CSF。同時,還給出了與這個過程密切相關(guān)的IT資源,以及信息判據(jù)中哪些特征最為重要和比較重要。在文件“詳細(xì)控制目標(biāo)”中,則按照34個IT 處理流程逐一給出“詳細(xì)控制目標(biāo)”。最后,COBIT還包括“信息系統(tǒng)審計指南”,構(gòu)成比較復(fù)雜,包含了“審計道德要求”“信息系統(tǒng)審計標(biāo)準(zhǔn)”“信息系統(tǒng)審計指南”“信息系統(tǒng)審計過程”等子文件。
(二)COBIT框架對企業(yè)內(nèi)部控制的影響
COBIT框架在對信息化目標(biāo)進行分解過程中,能夠有效地平衡企業(yè)效益實現(xiàn)、風(fēng)險水平和資源使用的關(guān)系,能為各個層級提供治理或管理需要。如對COSO框架中的內(nèi)部控制體系進行補充,則可為管理層在信息不對稱的IT環(huán)境中權(quán)衡風(fēng)險與投資關(guān)系,使用者隨時獲取信息安全與控制保證,審計人員證實其對企業(yè)內(nèi)控整體的評價與建議等方面發(fā)揮極大作用。
1.統(tǒng)籌IT控制目標(biāo)和內(nèi)部控制目標(biāo)。在COBIT模型中,企業(yè)在對信息進行控制時,將IT資源、信息準(zhǔn)則、IT過程與企業(yè)目標(biāo)或策略結(jié)合起來,形成一個三維立體結(jié)構(gòu)。而內(nèi)部控制框架同樣通過四目標(biāo)、八要素、三主題構(gòu)成,通過對二者的對比可發(fā)現(xiàn),如果將內(nèi)部控制目標(biāo)與IT控制目標(biāo)進行目標(biāo)級連,自定義COBIT以適應(yīng)內(nèi)控需求,則可將高級的內(nèi)控目標(biāo)轉(zhuǎn)化為易管理的、指定的IT相關(guān)目標(biāo)并映射到具體的內(nèi)控流程和實踐。其全覆蓋率、高兼容性、整體聯(lián)系性使得在各內(nèi)控目標(biāo)指導(dǎo)下能夠合理配置IT資源,準(zhǔn)確有序完成業(yè)務(wù)過程,高效評估風(fēng)險,實現(xiàn)各利益相關(guān)者的信息需求。
2.從戰(zhàn)略層面考慮企業(yè)內(nèi)部控制體系設(shè)置。會計信息化下內(nèi)部控制的變化不僅僅體現(xiàn)在財務(wù)軟件、管理信息系統(tǒng)的運用,更多的是讓信息化的管理意識及其操作流程貫穿于所有生產(chǎn)、經(jīng)營的場所與人員。由此,企業(yè)應(yīng)該從戰(zhàn)略角度上進行企業(yè)內(nèi)控體系的設(shè)置。結(jié)合COBIT框架,確定每個內(nèi)部控制過程的控制目標(biāo) 、涉及到的IT資源、過程成熟度指標(biāo)、監(jiān)控和評價標(biāo)準(zhǔn)。在區(qū)分管理與治理的基礎(chǔ)上,根據(jù)業(yè)務(wù)需求,治理層對管理層進行評估、指導(dǎo)、監(jiān)控,做好基于內(nèi)部控制的IT績效評價,分析成功經(jīng)驗為下期做好借鑒;管理層負(fù)責(zé)計劃、構(gòu)建、運營與監(jiān)控,并及時對治理層進行管理反饋;具體業(yè)務(wù)執(zhí)行者在這四個領(lǐng)域里按照IT資源的分配完成相關(guān)流程,并需注意為企業(yè)內(nèi)控建設(shè)創(chuàng)造合適環(huán)境,識別難點與觸發(fā)事件,采用生命周期方法進行缺陷的發(fā)現(xiàn)與彌補。
3.在風(fēng)險管理方面的應(yīng)用。COBIT框架設(shè)計了詳細(xì)的信息流通路徑,企業(yè)可以根據(jù)具體經(jīng)營情況,梳理業(yè)務(wù)流程節(jié)點,建立起風(fēng)險控制機制。首先,可以采用COBIT中的風(fēng)險衡量(定性分析法)對風(fēng)險進行評估,通過對風(fēng)險級別的衡量,管理層可以在投資決策上進行更多的分析,保證資產(chǎn)的安全性,并通過預(yù)警機制及時處理突發(fā)情況。其次,參考 COBIT的“IT風(fēng)險評估及管理”模塊,為每個風(fēng)險制定潛在控制措施列表,實施控制措施后建立風(fēng)險等級對比表 ,以評估風(fēng)險降低程度和解決方案的成本,選擇風(fēng)險緩解方案。最后,啟用C0BIT的“確保系統(tǒng)安全”程序,管理層應(yīng)時刻關(guān)注信息數(shù)據(jù)的完整性、準(zhǔn)確性、有效性和相關(guān)授權(quán)來保證用于財務(wù)報告和相關(guān)披露的信息的質(zhì)量和完整性。同時通過審計人員的評價確定內(nèi)部控制的有效性,并加強內(nèi)部監(jiān)督的作用。要求企業(yè)建立一套完整的安全事故監(jiān)控和反應(yīng)制度,及時報告安全事故、安全弱點、軟件故障,妥善處理后歸檔保存。
綜上所述,會計信息化為企業(yè)內(nèi)部控制的建設(shè)和發(fā)展帶來了深遠(yuǎn)的影響,但無論利弊都是生產(chǎn)力發(fā)展到一定階段的必然結(jié)果。為了取長補短,由此產(chǎn)生了COBIT框架與內(nèi)部控制框架的有效結(jié)合,從而優(yōu)化了信息系統(tǒng)內(nèi)部控制的科學(xué)性和嚴(yán)謹(jǐn)性,可為我國大部分企業(yè)提供有效借鑒,加快會計信息化下我國企業(yè)內(nèi)部控制的進程,并保障其健康、有序地發(fā)展。Z
參考文獻(xiàn):
[1]鐘紅英.基于COBIT的會計信息系統(tǒng)內(nèi)部控制研究[J].財會通訊·綜合(上) ,2009,(8).
[2]張喜娟.會計信息化內(nèi)部控制與有效實施[J].信息技術(shù),2011,(7).
[3]羅燦姬.會計信息化與內(nèi)部控制[J].沿海企業(yè)與科技,2012,(02).
[4]李強.COBIT框架下的會計信息系統(tǒng)內(nèi)部控制初探[J].當(dāng)代經(jīng)濟,2010,1月(下).
[5]陳亞娟.IT環(huán)境下COBIT在內(nèi)部控制中的應(yīng)用[J].Commercial Accounting ,2011,(14).
[6]謝羽霄,邱晨旭.基于COBIT框架的電信企業(yè)信息技術(shù)內(nèi)部控制體系研究[J].電信科學(xué),2009,(7).
作者簡介:
何萍,女,廣東海洋大學(xué)寸金學(xué)院會計系,主要講授審計學(xué)、內(nèi)部控制等課程。