24周年

財(cái)稅實(shí)務(wù) 高薪就業(yè) 學(xué)歷教育
APP下載
APP下載新用戶掃碼下載
立享專(zhuān)屬優(yōu)惠

安卓版本:8.7.41 蘋(píng)果版本:8.7.40

開(kāi)發(fā)者:北京正保會(huì)計(jì)科技有限公司

應(yīng)用涉及權(quán)限:查看權(quán)限>

APP隱私政策:查看政策>

HD版本上線:點(diǎn)擊下載>

COBIT:加強(qiáng)會(huì)計(jì)信息系統(tǒng)的內(nèi)部控制與審計(jì)不可或缺的工具

來(lái)源: 苗連琦 編輯: 2009/11/08 23:25:54  字體:

  【摘 要】本文基于ITGI剛剛發(fā)布的COBIT 4.1,對(duì)IT環(huán)境下會(huì)計(jì)信息系統(tǒng)發(fā)展的最新?tīng)顩r進(jìn)行分析,探討了跨國(guó)公司執(zhí)行COBIT的經(jīng)驗(yàn)和做法,進(jìn)而提出,借助于COBIT 4.1,加強(qiáng)我國(guó)企業(yè)會(huì)計(jì)信息系統(tǒng)的內(nèi)部控制是當(dāng)務(wù)之急,也是大勢(shì)所趨。

  【關(guān)鍵詞】COBIT;會(huì)計(jì)信息系統(tǒng);內(nèi)部控制

  一 、COBIT簡(jiǎn)介與淺析

  COBIT(Control Objectives for Information and related Technology,信息及相關(guān)技術(shù)控制目標(biāo))是目前國(guó)際公認(rèn)的最先進(jìn)、最權(quán)威的安全和信息技術(shù)管理和控制的標(biāo)準(zhǔn)。普華永道發(fā)布的《2006年全球信息安全狀況報(bào)告》中統(tǒng)計(jì),全世界63%的公司采用了COBIT控制框架標(biāo)準(zhǔn),這一比率是IT控制框架采用率最高的。COBIT是由信息系統(tǒng)審計(jì)和控制協(xié)會(huì)(Information System Audit and Control Association,ISACA)(www. isaca. org)下屬的IT治理研究院(ITGI,Information Technology Governance Institute)(www.itgi.org)開(kāi)發(fā)和發(fā)布的,旨在為IT 的治理、安全和控制提供一個(gè)普遍適用的公認(rèn)的標(biāo)準(zhǔn),以輔助企業(yè)管理層進(jìn)行IT治理。自COBIT 問(wèn)世以來(lái),先后經(jīng)歷了1998年、2000年和2006年的修改補(bǔ)充,2007年5月,ITGI發(fā)布了COBIT 4.1,它從IT治理的角度,從更高的層面上來(lái)指導(dǎo)管理層進(jìn)行IT控制和信息系統(tǒng)管理。由于一方面全球信息化的加劇和我國(guó)信息化的發(fā)展,另一方面COBIT對(duì)信息系統(tǒng)控制與審計(jì)又有著很好的指導(dǎo)作用,所以當(dāng)前介紹和引進(jìn)COBIT對(duì)于推動(dòng)我國(guó)信息化的健康發(fā)展有重要的意義。

  COBIT 4.1主要是由4部分組成:框架、控制目標(biāo)、管理指南和成熟度模型。其相互關(guān)系如圖1所示。

  COBIT是由相互關(guān)聯(lián)的各組成部分有機(jī)結(jié)合在一起的,能夠?yàn)椴煌念櫩腿禾峁┯嘘P(guān)治理、管理、控制和保證方面的需要。下面對(duì)其組成部分逐一介紹分析。

  1. 框架(Framework)

  COBIT將IT過(guò)程、IT資源、與業(yè)務(wù)要求相適應(yīng)的IT目標(biāo)結(jié)合起來(lái),形成一個(gè)三維的體系結(jié)構(gòu),如圖2所示。與業(yè)務(wù)要求相適應(yīng)的COBIT的IT總體控制目標(biāo)具體是有效性(Effectiveness)、高效性(Efficiency)、機(jī)密性(Confidentiality)、完整性(Integrity)、可用性(Availability)、符合性(Compliance)、可靠性(Reliability);IT資源主要包括應(yīng)用系統(tǒng)(Applications)、信息(Information)、基礎(chǔ)設(shè)施(Infrastructure)和人(People);IT過(guò)程則是在與業(yè)務(wù)要求相適應(yīng)的COBIT的IT總體控制目標(biāo)的導(dǎo)向下,對(duì)信息及相關(guān)資源進(jìn)行規(guī)劃和處理,從信息技術(shù)的計(jì)劃與組織、獲取與實(shí)施、交付與支持、監(jiān)控與評(píng)價(jià)等4個(gè)方面確定了34個(gè)信息技術(shù)處理過(guò)程。實(shí)際上, COBIT的IT控制目標(biāo)的實(shí)現(xiàn)就是在IT過(guò)程中管理IT資源來(lái)完成的。圖3詳細(xì)地描述了完整的COBIT框架,顯示了COBIT的處理模式是如何根據(jù)業(yè)務(wù)和治理要求來(lái)管理IT資源并使之給業(yè)務(wù)傳遞信息的,該模式由4個(gè)領(lǐng)域構(gòu)成,包括34個(gè)一般過(guò)程。

  2. 控制目標(biāo)(Control Objectives)

  從領(lǐng)域、過(guò)程和活動(dòng)3個(gè)層面對(duì)總體目標(biāo)進(jìn)行分解,通過(guò)對(duì)特定的活動(dòng)實(shí)施控制,以實(shí)現(xiàn)預(yù)定的系統(tǒng)目標(biāo)。為有效地進(jìn)行IT治理,在COBIT框架內(nèi)部通常將需要進(jìn)行管理的活動(dòng)和風(fēng)險(xiǎn)分為4個(gè)領(lǐng)域,即計(jì)劃與組織(Planning and Arrangement)、獲取與實(shí)施(Acquisition and Implementation)、交付與支持(Delivery and Support)和監(jiān)測(cè)與評(píng)價(jià)(Monitoring and Evaluation),領(lǐng)域目標(biāo)按34個(gè)過(guò)程進(jìn)行細(xì)分,根據(jù)每一個(gè)信息技術(shù)過(guò)程所涉及的系統(tǒng)資源,確定出相應(yīng)的控制目標(biāo);針對(duì)每一個(gè)信息技術(shù)處理過(guò)程進(jìn)一步細(xì)分為若干任務(wù),確定出210個(gè)具體的控制目標(biāo)。針對(duì)這些具體的控制目標(biāo),COBIT提供了詳細(xì)的系統(tǒng)管理策略,包括具體要采取的措施以及要考慮的問(wèn)題等。這3個(gè)層次的控制目標(biāo)體系使系統(tǒng)管理目標(biāo)更清楚、更明確,更有操作性。COBIT覆蓋了整個(gè)信息系統(tǒng)的全部生命周期,涵蓋了戰(zhàn)略、戰(zhàn)術(shù)與操作的所有層次,處于各個(gè)階段的信息系統(tǒng)都可以參照使用,它所帶來(lái)的益處是十分明顯的,它使IT戰(zhàn)略與組織戰(zhàn)略緊密聯(lián)系,在業(yè)務(wù)目標(biāo)、信息系統(tǒng)、業(yè)務(wù)績(jī)效目標(biāo)之間維持平衡。

  3. 管理指南(Management Guidelines)

  管理指南是控制目標(biāo)在企業(yè)的具體應(yīng)用準(zhǔn)則,以進(jìn)行自我評(píng)價(jià)與選擇,進(jìn)而實(shí)施并完善對(duì)信息及相關(guān)技術(shù)的控制,其目的是對(duì)IT業(yè)務(wù)活動(dòng)進(jìn)行有效控制,使IT與業(yè)務(wù)活動(dòng)保持高度一致,并通過(guò)傳遞組織所需要的信息使業(yè)務(wù)活動(dòng)得以進(jìn)行。管理指南給出了度量信息系統(tǒng)生命周期各個(gè)IT控制過(guò)程的安全、可靠與有效的指標(biāo)體系。

  4. 成熟度模型(Maturity Models)

  對(duì)IT過(guò)程進(jìn)行管理和控制的成熟度模型是評(píng)價(jià)組織的一種方法。它劃定6個(gè)成熟等級(jí),如圖4所示。每一個(gè)成熟度等級(jí)都規(guī)定相應(yīng)特征,企業(yè)可以結(jié)合自身的特點(diǎn),界定出本企業(yè)的當(dāng)前狀態(tài)。該方法來(lái)自于軟件工程研究所(Software Engineering Institute,SEI)為軟件開(kāi)發(fā)能力所定義的成熟度模型,但COBIT只是借助于能力成熟度模型(CMM)的形式來(lái)為其IT管理過(guò)程的性質(zhì)界定出成熟度等級(jí)。在COBIT 4.1中,34個(gè)IT治理過(guò)程都規(guī)定了自己的具體模型。

  二、IT環(huán)境下,加強(qiáng)會(huì)計(jì)信息系統(tǒng)內(nèi)部控制的必要性

  1. 會(huì)計(jì)信息系統(tǒng)的演進(jìn)

  會(huì)計(jì)信息系統(tǒng)的產(chǎn)生和發(fā)展是社會(huì)經(jīng)濟(jì)、技術(shù)發(fā)展的必然產(chǎn)物。從會(huì)計(jì)數(shù)據(jù)處理工具與處理模式來(lái)看,會(huì)計(jì)信息系統(tǒng)的發(fā)展可分為3個(gè)階段:一是手工會(huì)計(jì)信息系統(tǒng)階段,二是機(jī)械會(huì)計(jì)信息系統(tǒng)階段,三是計(jì)算機(jī)會(huì)計(jì)信息系統(tǒng)階段。楊周南教授認(rèn)為計(jì)算機(jī)會(huì)計(jì)信息系統(tǒng)階段又可分為3個(gè)階段:一是電子數(shù)據(jù)處理階段,二是綜合數(shù)據(jù)處理階段,三是決策支持與專(zhuān)家系統(tǒng)階段。

  2. 會(huì)計(jì)信息系統(tǒng)的定義和特征

  會(huì)計(jì)信息系統(tǒng)(Accounting Information System,AIS)是一種面向價(jià)值信息和基于會(huì)計(jì)管理活動(dòng)的系統(tǒng),是在計(jì)算機(jī)軟件和網(wǎng)絡(luò)環(huán)境下,采用現(xiàn)代信息處理技術(shù)的一個(gè)人機(jī)交互的管理信息系統(tǒng)。其基本特征如下:

 ?。?)AIS以符合會(huì)計(jì)管理工作和會(huì)計(jì)變更的需求為主要目標(biāo)。

  (2)AIS以解決企業(yè)會(huì)計(jì)核算和管理所面臨的問(wèn)題為主要功能。

 ?。?)AIS以現(xiàn)代計(jì)算機(jī)硬軟件和網(wǎng)絡(luò)平臺(tái)為處理環(huán)境,由人(含會(huì)計(jì)人員)、信息技術(shù)設(shè)備(含數(shù)據(jù)文件)和運(yùn)行規(guī)程三要素組成,其核心部分是功能完備的會(huì)計(jì)軟件。

 ?。?)AIS能充分利用現(xiàn)代信息處理技術(shù),自動(dòng)(或半自動(dòng))采集、存貯、處理、分析、傳遞和反饋會(huì)計(jì)信息。

  3. 會(huì)計(jì)信息系統(tǒng)所面臨的風(fēng)險(xiǎn)

  在IT環(huán)境下,由于與傳統(tǒng)的手工操作環(huán)境有了很大的差別,會(huì)計(jì)信息系統(tǒng)面臨著前所未有的風(fēng)險(xiǎn)。主要有以下幾類(lèi):

  (1)疏忽差錯(cuò)(Unintended Errors)。系統(tǒng)操作員或交易執(zhí)行員在經(jīng)濟(jì)業(yè)務(wù)資料的輸入與處理過(guò)程中,由于缺乏必要的上崗作業(yè)培訓(xùn)或身體狀況欠佳等原因造成的非故意差錯(cuò)。

 ?。?)蓄意差錯(cuò)(Deliberated Errors)。蓄意差錯(cuò)也就是故意性差錯(cuò),實(shí)質(zhì)就是舞弊,是不正當(dāng)?shù)幕蜻`法的。在信息的輸入—處理—輸出的流程中,甚至在軟件的開(kāi)發(fā)與研制過(guò)程中,都可能產(chǎn)生這種差錯(cuò)。它不僅對(duì)有關(guān)數(shù)據(jù)或輸出信息的正確性與可信性造成影響,而且還可能導(dǎo)致企業(yè)資源的短缺損失和掩飾有關(guān)盜竊行為。

 ?。?)疏忽性資產(chǎn)毀損(Unintended Asset Damages)。企業(yè)數(shù)據(jù)資料記錄可能承受非故意的毀損,比如存儲(chǔ)于硬盤(pán)中的應(yīng)收賬款記錄未作備份,可能因偶然的斷電故障這類(lèi)偶發(fā)事件而消失。

 ?。?)安全措施破壞(Breaches of Securities)。未經(jīng)授權(quán)許可的人員可能非法接近企業(yè)的交易資料與其他記錄。電腦“黑客”通過(guò)互聯(lián)網(wǎng)擅自進(jìn)入企業(yè)的計(jì)算機(jī)系統(tǒng)竊取、篡改或惡意破壞交易資料或記錄,以及未經(jīng)授權(quán)員工私自偷閱未設(shè)定密碼或口令保護(hù)的企業(yè)員工薪金報(bào)告等。這種風(fēng)險(xiǎn)可能在被競(jìng)爭(zhēng)對(duì)手竊取本單位的重要資料時(shí)造成極為嚴(yán)重的后果。

  (5)暴力(Forces)。暴力的存在來(lái)源于外界人士(如恐怖分子)和懷有怨氣的現(xiàn)有員工或已遭解雇員工的報(bào)復(fù)行為。如損壞會(huì)計(jì)信息系統(tǒng)或銷(xiāo)毀企業(yè)的客戶往來(lái)檔案記錄等。其后果可能是毀損企業(yè)的資產(chǎn)和資料,甚至導(dǎo)致經(jīng)營(yíng)過(guò)程中斷以及企業(yè)的破產(chǎn)倒閉。

  基于以上風(fēng)險(xiǎn),IT環(huán)境下的會(huì)計(jì)信息系統(tǒng)加強(qiáng)內(nèi)部控制具有前所未有的必要性,具體如下:

 ?。?)IT環(huán)境下電腦操作隱形化和無(wú)紙化存儲(chǔ)介質(zhì)的缺陷。

 ?。?)IT環(huán)境下內(nèi)部稽核削弱。

 ?。?)IT環(huán)境下會(huì)計(jì)工作質(zhì)量有賴于計(jì)算機(jī)硬軟件系統(tǒng)自身的可靠性及會(huì)計(jì)人員本身的操作水平。

 ?。?)管理型會(huì)計(jì)軟件的發(fā)展對(duì)內(nèi)部控制提出了新要求。

 ?。?)網(wǎng)絡(luò)財(cái)務(wù)是IT環(huán)境下的新型管理模式,其安全性和保密性有賴于建立健全有效的內(nèi)部控制。

  三、借鑒跨國(guó)公司經(jīng)驗(yàn),運(yùn)用COBIT,加強(qiáng)我國(guó)企業(yè)會(huì)計(jì)信息系統(tǒng)的內(nèi)部控制

  1. 保誠(chéng)公司的經(jīng)驗(yàn)分析簡(jiǎn)介

  保誠(chéng)公司于1848年在英國(guó)成立,它是目前全球領(lǐng)先的金融服務(wù)大鱷和在亞洲領(lǐng)先的歐洲壽險(xiǎn)公司。隨著其資產(chǎn)管理業(yè)務(wù)的快速增長(zhǎng),保誠(chéng)公司(亞洲)在亞太地區(qū)的12個(gè)國(guó)家里擁有了9 000多位員工,除了在新加坡有一個(gè)區(qū)域分中心之外,它還有兩個(gè)關(guān)鍵的區(qū)域IT中心,其中一個(gè)在馬來(lái)西亞,另一個(gè)在中國(guó)大陸。

  保誠(chéng)公司亞洲地區(qū)的資訊科技部長(zhǎng)羅德里格斯在2005年首次引進(jìn)COBIT。他在香港領(lǐng)導(dǎo)著一個(gè)區(qū)域IT小組,該小組擁有6名成員。由于得到這個(gè)區(qū)域IT小組的支持, 保誠(chéng)的CEO及其委員會(huì)成員同意采用COBIT的倡議,他們強(qiáng)烈地支持采用更好的IT框架、系統(tǒng)和程序以在整個(gè)地區(qū)給公司提供更好的競(jìng)爭(zhēng)優(yōu)勢(shì)。“COBIT是一個(gè)非常簡(jiǎn)單而強(qiáng)有力的管理工具,它讓我們實(shí)現(xiàn)我們的目標(biāo)”,羅德里格斯說(shuō)。

  羅德里格斯還認(rèn)為,“一個(gè)好醫(yī)生是一位能夠清楚地向她或他的病人解釋如何保持健康的人,同樣,一個(gè)好的IT專(zhuān)業(yè)人員是能夠使該項(xiàng)目對(duì)一個(gè)公司觀眾來(lái)說(shuō)容易得到理解的人。毫無(wú)疑問(wèn),我認(rèn)為COBIT是允許我獲得這種能力的工具,利用COBIT,我相信我們能為保誠(chéng)建立一個(gè)更好的IT和公司責(zé)任的文化。”

  雖然保誠(chéng)實(shí)施COBIT仍在進(jìn)行之中,但是,很顯然,羅德里格斯已經(jīng)獲得了一些經(jīng)驗(yàn),具體如下:

 ?。?)IT治理:泛區(qū)域戰(zhàn)略構(gòu)成、一致性;

  (2)削減成本:減少重復(fù);

 ?。?)安全:區(qū)域客戶資料管理;

 ?。?)外包:為外包業(yè)務(wù)伙伴提供適當(dāng)債務(wù);

  (5)溝通:讓廣大的公司員工易于理解各種術(shù)語(yǔ);

 ?。?)業(yè)務(wù)增長(zhǎng):為領(lǐng)導(dǎo)者提供了一個(gè)更安全、更一致的全面IT環(huán)境,以使其把精力集中在可增加企業(yè)價(jià)值的解決方案上。

  上述這些經(jīng)驗(yàn)顯然是對(duì)整個(gè)保誠(chéng)公司(亞洲)的IT治理而言的,但是可以看到其中一些經(jīng)驗(yàn)對(duì)會(huì)計(jì)信息系統(tǒng)的內(nèi)部控制和審計(jì)具有指導(dǎo)意義。

  2. 勇于開(kāi)拓,爭(zhēng)取早日構(gòu)建基于我國(guó)實(shí)際情況并與國(guó)際接軌的COBIT框架

  隨著我國(guó)經(jīng)濟(jì)的迅速發(fā)展和經(jīng)濟(jì)全球化的突飛猛進(jìn),近年來(lái)我國(guó)已逐漸重視企業(yè)內(nèi)部控制,特別是2006年,被業(yè)界稱(chēng)為中國(guó)的“內(nèi)部控制年”。財(cái)政部牽頭聯(lián)合發(fā)起成立了企業(yè)內(nèi)部控制標(biāo)準(zhǔn)委員會(huì),并邀請(qǐng)行政機(jī)關(guān)、高校、社會(huì)團(tuán)體以及大中型企業(yè)的專(zhuān)家兼職咨詢。該委員會(huì)發(fā)布了《企業(yè)內(nèi)部控制規(guī)范》(征求意見(jiàn)稿),包括基本規(guī)范和一系列具體規(guī)范,并專(zhuān)門(mén)針對(duì)信息系統(tǒng)內(nèi)部控制制定了《企業(yè)內(nèi)部控制規(guī)范第××號(hào)——計(jì)算機(jī)信息系統(tǒng)》(征求意見(jiàn)稿),包括總則、崗位分工和授權(quán)批準(zhǔn)、信息系統(tǒng)開(kāi)發(fā)、變更與維護(hù)控制、信息系統(tǒng)訪問(wèn)安全和會(huì)計(jì)電算化及其控制等6部分。另外,財(cái)政部還于2006年頒布了新審計(jì)準(zhǔn)則《中國(guó)注冊(cè)會(huì)計(jì)師審計(jì)準(zhǔn)則第1633號(hào)——電子商務(wù)對(duì)財(cái)務(wù)報(bào)表審計(jì)的影響》,針對(duì)電子商務(wù)環(huán)境下的信息系統(tǒng)審計(jì)進(jìn)行了規(guī)范,其中第5章“對(duì)內(nèi)部控制的考慮”里,提到了“注冊(cè)會(huì)計(jì)師應(yīng)當(dāng)按照《中國(guó)注冊(cè)會(huì)計(jì)師審計(jì)準(zhǔn)則第1211號(hào)——了解被審計(jì)單位及其環(huán)境并評(píng)估重大錯(cuò)報(bào)風(fēng)險(xiǎn)》和《中國(guó)注冊(cè)會(huì)計(jì)師審計(jì)準(zhǔn)則第1231號(hào)——針對(duì)評(píng)估的重大錯(cuò)報(bào)風(fēng)險(xiǎn)實(shí)施的程序》的規(guī)定,考慮被審計(jì)單位在電子商務(wù)中運(yùn)用的與審計(jì)相關(guān)的內(nèi)部控制”。這些標(biāo)準(zhǔn)或規(guī)范只是為本專(zhuān)業(yè)的內(nèi)部控制提供了一個(gè)應(yīng)用指導(dǎo),在一定程度上為進(jìn)行IT治理環(huán)境下的內(nèi)部控制發(fā)揮了一定的作用。但是,從綜合的 IT治理或IT內(nèi)部控制來(lái)看,還沒(méi)有形成一個(gè)能夠滿足各方面要求,適應(yīng)各種需要的綜合的、完整的、系統(tǒng)的框架。目前雖然有些在國(guó)際上有顯著影響力的IT服務(wù)公司使用自己制定的標(biāo)準(zhǔn)或框架,如IBM公司使用IBM IT Process Model( IBM流程模型);HP公司使用HO ITSM Reference Model(HP服務(wù)管理參考模型);微軟使用Microsoft Operational Framework(MOF,微軟運(yùn)營(yíng)框架),但是國(guó)際上絕大多數(shù)公司都使用主流的像COBIT這樣的IT治理標(biāo)準(zhǔn)。因此,有必要建立我國(guó)自己的COBIT框架,一方面是提升我國(guó)公司的管理能力,提高其經(jīng)濟(jì)效益,使其不斷發(fā)展的需要;另一方面,也是我國(guó)企業(yè)走出國(guó)門(mén)融入經(jīng)濟(jì)全球化大潮中去的需要 。

  主要參考文獻(xiàn)

 ?。?] 楊周南等. 會(huì)計(jì)信息系統(tǒng)[M]. 北京: 經(jīng)濟(jì)科學(xué)出版社,2004.

  [2] 楊寶剛. 會(huì)計(jì)信息系統(tǒng)[M]. 北京:高等教育出版社,2001.

  [3] 蔡傳勛. 會(huì)計(jì)信息系統(tǒng)[M]. 大連:東北財(cái)經(jīng)大學(xué)出版社,2004.

 ?。?] 金文等. 基于COBIT的信息系統(tǒng)管理、控制與審計(jì)的模型構(gòu)建研究[J]. 審計(jì)研究, 2005, (4).

 ?。?] IT Governance Institute .COBIT 4.1[EB/OL]. .

責(zé)任編輯:小奇
回到頂部
折疊
網(wǎng)站地圖

Copyright © 2000 - galtzs.cn All Rights Reserved. 北京正保會(huì)計(jì)科技有限公司 版權(quán)所有

京B2-20200959 京ICP備20012371號(hào)-7 出版物經(jīng)營(yíng)許可證 京公網(wǎng)安備 11010802044457號(hào)