1、会计信息系统内部控制研究XUEXIYUJIAOLIU 学习与交流 ZJ 会计信息系统内部控制研究要要基于 COBIT模型阴李玉周一、引言与应用水平,确保信息系统的质量、效用、术记载和再现原始业务,追溯业务的来龙企业会计信息系统的内部控制是伴随安全与可靠,同时也为信息系统的审计与去脉。着企业信息系统的建立而产生的。在信息鉴证提供了基础。可见,信息系统环境下的内部控制,挑的生产过程中,要保证其相关和可靠,必须二、信息技术对会计信息系统内部控战与机遇并存,风险与收益同增。有效的内要有一套制度和技术来进行控制。随着现制的冲击部控制不在于运用过多的审核人员,而在代信息技术的迅猛发展,IT 技术被引入到信
2、息系统对内部控制来说是一把“双于利用信息时代深刻的控制哲学和控制技会计信息系统,使财务系统与企业其他的刃剑” ,它既通过信息技术提供了自动化的术实现对业务和信息过程的充分控制。业务系统实现了集成。会计流程已嵌入到业务控制,又由于其义务流程的改变使传三、信息系统内部控制理论框架业务流程中形成了企业整体的信息系统。统内部控制丢失了部分有效性。主要体现 COBIT 模型同时 IT 技术的深入使信息及信息系统的在挑战与机遇两方面:COBIT 全称 ControlObjectivesforIn 原应用成为企业核心竞争力的重要组成部(一)信息技术为内部控制带来了新的formationandRelatedT
3、echnology,我国专分,也为企业的会计信息系统控制带来了挑战业文献中一般译为 “信息及相关技术控制新的风险与挑战。企业普遍面临着如何确首先,信息技术的应用使传统内部控目标” ,是一个信息技术管理模型,它由美保会计信息系统效率与效果、安全与控制制的基本手段如不相容职务的分离、授权国信息系统审计与控制协会(ISACA)于的问题。而 2002 年美国 SOX 法案的颁布和批准失去了原有的效力。其次,信息系统 1996 年首次公布,经过多次修订,目前最新和实施,尤其是其中的 302 条款和 404 条所内嵌的内部控制功能的程序化操作易使版本是 2007 年发布的 COBIT4.1。 (本文使款全
4、面提高了对上市公司内部控制的要差错反复发生。再次,电子信息处理使交易用的是 COBIT4.0 版)作为 IT 治理的核心求。加之当前 IT 系统越来越多地对业务经缺乏可视痕迹。最后,系统集成性和网络开模型,它包含了 34 个信息技术控制过程,营活动进行自动化处理,这就需要 IT 提供放性给会计信息系统带来了危险,影响了 318 个控制目标,并将其归集为四个控制必要数量的控制程序。因此,无论是满足信信息的安全性。域:IT 规划和组织、系统获得和实施、交付息时代的需要还是遵循 SOX 法案都需要(二)信息技术为内部控制提供了新的与支持以及监控与评价。COBIT 通过域及有基于信息系统的内部控制。以
5、往的研究机遇过程的框架为我们提供了很好的操作指南多侧重于会计,而忽略了其信息系统的信信息技术的应用在给会计信息系统内并且有条理、有逻辑的为我们呈现了具体息技术特征。本文就试着将信息技术的应部控制带来新问题的同时也带来了新的控的活动。自问世以来,COBIT 已在世界 100 用和会计结合起来,运用 COBIT 从信息系制手段和控制理念。我们可以利用信息技多个国家的重要组织和企业中实践着,指统角度出发来探讨会计信息系统的内部控术来设立良好的控制活动,增强内部控制导着这些组织最大限度的利用信息技术带制。系统的预防性功能。我们还可以利用互联来的好处,同时有效地管理与信息相关的信息系统的内部控制研究与实
6、践在欧网技术来加强会计信息系统的监控。主要风险。美发达国家起步较早,也极受重视,目前欧表现为三方面:淤事前检查提高信息质量, (一)COBIT 的三个核心概念美已有不少成熟的信息系统的功能和应用即在业务活动发生,有关数据进入数据库 COBIT 认为在信息环境中,内部控制管理标准或规范,这些标准与规范包括之前,检查这些数据的准确性、完整性和合的三个要素为:BusinessRequirements,ITISO9000、CMM、ISO 辕 IEC17799、ITIL 和 CO 原法性;于事中网上公证形成三方牵制,也就 ResourcesandITProcess,也即:业务需求、BIT 等。其中 CO
7、BIT 为我们提供了 IT 管是利用网络技术所特有的实时传输功能和 IT 资源和 IT 处理过程。三要素关系如图理、安全和控制方面的清晰策略和最佳实日益丰富的互联网服务项目,实现原始交 1。践,是目前国际上公认的 IT 管理与控制标易凭证的第三方监控,即网上公证;盂事后透过图 1,我们不难看出 COBIT 的基准,它的运用将极大地提高信息系统建设追溯利用电子审计线索,即将利用信息技本原理:通过 IT 过程管理 IT 资源,实现 IT 浙江财税与会计 13ZJ 学习与交流 XUEXIYUJIAOLIU 目标以满足业务需求。容纳和支持这些的环境) 。榆 People 人员:足的业务需求,完成 IT
8、 过程的关注重点,1.BusinessRequirements 业务需求:这进行计划、组织、获取、实施、交付、支持、监实现 IT 控制目标的管理以及实施的衡量。是三个基本要素中其他两要素的基础。为管和评价信息系统及其服务的人员,可以另外,在每个高级控制目标中,还特别指出满足业务需求有三个大目标:淤 Quality 是内部或外部人员。了它所适用的信息规范、适用的程度(主要 Requirements 质量需求,具有质量、成本、3.ITProcessIT 过程:为满足组织对信的和次要的)以及涉及到的IT 资源。而详细交付等优质需求。于 FiduciaryRequirements 息的需求,建立有效的
9、信息系统,使企业内控制目标则包含了在每一过程中的每个 IT 信用需求,具有经营效率和效力、财务报告部能迅速取得并交换、管理及控制其工作活动的控制目标。管理指南(控制关键因可靠性、遵循法律规章等可信赖性需求。盂流程所需信息,COBIT 在结构上将 IT 过程素):包括 IT 输入输出(关键成功因素) ,反 SecurityRequirements 安全需求,具有隐秘分为三层,从上至下是过程域(也叫过程映 IT 活动中的职责、责任等相关事项的性、真实性、可用性等安全需求。基于这三组) 、过程、活动。COBIT 定义了 34 个过程,RACI 表,KGI 关键目的指标(keygoalin 原大需求,
10、COBIT 又将其细化为七项准则,分为四个过程域。这四个过程域分别是:dicator) ,KPI 关键绩效指标(keyperfor原 COBIT 称之为“InformationCriteria” (信息 PlanandOrganize 规划与组织:涵盖为达 manceindicator 等。控制度量标准:COBIT 标准):淤Effectiveness 效能性:以及时、正成营运目标应有的 IT 策略规划,包含 10借用了 SEI 的能力成熟度模型来描述 IT 确、一致和可用的方式处理并传送业务流个过程;AcquireandImplement 获得与实过程能力,以此作为 IT 过程能力度量标程中
11、的相关信息。于 Efficiency 效率性:关施:涵盖实行 IT 策略规划,确认、开发或购准;即 IT 过程控制目标的最后部分 Matu 原注以最优化(最具生产力和最经济)的方式买 IT 解决方案并施行,变更及维护现有系 rityModel成熟度模型。MaturityModel 分使用资源来提供信息。盂 Confidentiality 保统等,包含 7 个过程;DeliverandSupport 为 6 级,从 0 原 5 级代表了能力从无到有再密性:关注对敏感信息的保护,避免未经授交付与支持:与实际提供所需服务有关,确到最佳的不同级别。企业可以通过该模型权的披露。榆Integrity 真实
12、性:有关信息的保服务提供,建立必要支援作业,包含 13 明确自身所在级别并为达到更高级别而改正确性和完整性同时保持与企业价值和预个过程;MonitorandEvaluate 监控与评价:善自身的 IT 内控。期的一致。虞Availability 可用性:要求业务经常评估所有 IT 作业,以确保品质及控制为确保资源使用的有效性、高效性和流程中所需的信息能随时获得,并保护企制度的落实,包含 4 个过程。经济性,COBIT 定义了清晰而准确的最精业必要资源。愚 Compliance 遵循性:要求遵(二)COBIT 控制目标体系简控制集。通过控制目标能把 COBIT 中的循业务过程中所涉及的法令法规合
13、约等,COBIT 认为,控制是那些被定义成政概念翻译成适用于每一个 IT 处理过程的如行业标准,内部方针。舆 Reliability 可靠策、流程、实践和组织结构的内容,它们的特殊的控制。通过实现控制目标,就可以保性:要求向管理者提供适当的信息来管理设计目的是为了提供合理的保证,以使得证对组织的 IT 环境建立一套充分的控制企业,维持企业信用和履行政府给予的职业务目标能够被达成,并且能阻止、发现、机制。责。纠正不期望的事件。参照 COSO 的定义, (三)模型的框架组成 2.ITResourcesIT 资源,COBIT 列出了 COBIT 将 IT 控制目标定义为:于特定 ITCOBIT 定义
14、了 300 多个控制管理目四点,分别是:淤 Applications 应用系统:包活动中建立控制程序,以达成预期结果或标,如何组织这些目标,需要一个框架。作括处理信息的自动系统和人工流程。于目标。但与 COSO 不同的是,它的重点集中为面向 IT 过程的控制目标,COBIT 的框架 Information 信息:即在企业输入、处理和输于利用 IT 来达到企业的目标和实施内部自然将以 IT过程来构成。因此,COBIT 借出的所有形态的数据。盂 Infrastructure 基础控制,这是对 COSO 等传统内部控制框架鉴了一些业界研究成果,将 IT 活动归纳到设施:包括使信息系统运行的技术和设备
15、的补充和发展。34 个过程 4 个过程域中,使控制管理目标(如硬件、软件、数据管理系统、网络等以及 COBIT 的控制目标体系是基于 IT 过通过定义 IT 活动目的被组织在这个框架程的。以 IT过程为对象,里。其中的度量和标准都是针对控制管理 COBIT 为企业提供了一个目标的,找到了控制管理目标就找到了相通用的面向 IT 过程的控制应的度量方法和标准。框架,每一 IT 过程 COBIT 图 2 就是 COBIT 的框架图。都设定了一项高级控制目(四)COBIT 的作用标和多项详细的具体控制 COBIT 模型是企业战略目标和信息目标、管理指南(控制关键技术战略目标的桥梁,使得信息技术目标因素
16、)以及控制度量标准。和企业战略目标之间实现互动,它将企业控制目标:高级控制目标的内部控制和 IT 的应用融为一体,对我们图 1COB 包括对应 IT 处理过程要满建设有关信息系统内部控制体系极具参考 IT 三要素关系图 14 浙江财税与会计XUEXIYUJIAOLIU 学习与交流 ZJ 价值。应用 COBIT 能帮助组织达到以下几价四个控制域,参照这四个域再结合会计支持业务过程的应用程序提供适当的平个方面的目的:提供一种被广泛接受的信信息系统的生命周期,我们将会计信息系台;其次,要为用户提供新系统的使用文件息系统管理和控制的框架,使非 IT 专业的统划分为信息系统规划、系统开发实施、运及手册,
17、并提供培训,以确保其对应用程序管理者也能依据它来评估、管理、控制现有行维护和后评估四个阶段来构建其内部控和基础设施的正确使用。的或准备建立的信息系统;提供详细的控制体系。在构建过程中 COBIT 的基本原则 3.运行维护制程序使信息系统内部控制的工作简化、即信息技术和企业目标相一致将始终贯穿会计信息系统往往是由使用单位找专量化,减轻对复杂信息系统内部控制工作其中。同时要以外界环境为依据,采用先进业的商业软件开发公司单独开发或合作开的难度,也使得信息系统审计师具有与 IT 的信息技术加强内部控制手段;以业务与发的,因而在系统实施之后必须关注软件专业人员相同的专业广度,并且可以询问信息技术整合为重
18、点,提高信息的可读性开发商所提供的运行维护服务。这一阶段 IT 工程相关的问题;提供一个衡量的标准,和有用性。的任务将围绕这点进行。淤会计信息系统帮助信息系统审计人员对组织的信息系统(一)会计信息系统的四阶段分析服务的管理与控制。参照 COBIT,我们要求进行合理的评价;提供了一种框架能够帮 1.信息系统规划定义和管理服务水平,尤其对第三方要在助管理者确定各过程责任,从而提高 IT 控系统规划是系统建设的第一步,在服务协议中明确其职务、责任和预期效果制、治理水平。COBIT 中,要求通过战略规划,为企业提供并且监督和检查协议是否得以有效实施从以上的分析可以看出:整个模型实长期并符合企业发展目标
19、的 IT 规划,并且等。于确保会计信息系统服务连续性方面现了企业战略与 IT 战略的互动,并形成持定期将这些目标转换成可以操作的短期实的控制。无论什么样的系统都不可能百分续改进的良性循环机制,为企业提供了具施计划。我们需要针对企业业务战略、市场百的可靠,系统在获取后发生故障的可能有一定参考价值的解决方案。因此,针对我环境需要、IT 支撑技术、可行性研究、风险性是客观存在的。为将系统出现故障时对国信息化存在的问题,借鉴 COBIT 模型的控制等方面,由信息部门和企业董事在充业务的影响控制在最小程度,COBIT 提出信息系统管理和控制的框架,科学、系统地分考虑这些问题后来制定计划。这一阶段要有合理
20、的系统故障重要性分析,故障发对信息及相关技术进行管理,逐步试行建主要包括五个基本任务:淤制定企业会计生时有业务活动的替代流程,准备备份和立信息系统内部控制,对推动我国信息技信息系统战略性规划;于确定企业会计信恢复程序,定期对系统的软硬件进行测试术的发展和应用具有十分重要的现实意息系统的组织结构;盂企业 IT 投资管理;并对相关人员进行培训等。盂确保系统安义。榆确保信息系统控制目标传达到企业各部全,确保系统安全是信息使用安全的基础。四、应用 COBIT 构建企业会计信息门;虞评估 IT 新系统的投入风险。关于系统安全,要求关注和审核对信息机系统的内部控制体系2.系统开发实施密程度和有关隐私信息的
21、定义、授权、身份 COBIT 将 IT 过程控制分为了规划与会计信息系统的开发与实施意味着系甄别和系统访问的控制、系统用户的识别组织、获得与实施、交付与支持、监控与评统进入了实质阶段,它将极大影响着会计和授权的相关信息、密钥管理、防火墙的管信息系统今后的具体使用。该理等。阶段的控制将重点强调有关信 4.后评估息技术的部分,如技术基础设一个新的会计信息系统运行的如何,施、数据基础设施和应用软件它的实施是否能满足企业的需要,实现企包等。这一阶段主要包括三个业的既定目标,为企业带来收益?这是人们基本任务:淤会计信息系统解最关心的事情。后评估就是着重解决这个决方案的确定。即我们通常所问题的阶段,它主要
22、包括:淤绩效监督与评说的系统选型。于会计信息系估。COBIT 要求定义相关的绩效指标及时统应用软件的获取。COBIT 要发表绩效差异报告,并对差异及时采取措求确保这个过程能够提供支持施。通过监控与评估能明晰各流程职责,确业务流程的有效应用功能。具保工作按照既定的方向和方针正确实施。体来说,就是软件系统必须能于会计信息系统审计与内部控制评估。这够和业务流程很好的融合。盂需要我们制定具体的信息系统内部控制、会计信息系统的实施。要确保审计评价指标,包括以下几个方面:对组织信息系统的有效运行,首先,得与管理控制的评价、对系统操作员权限控有标准化的软硬件及评价标制的评价、对系统维护控制的评价、对系统图
23、2COBIT 的框架图准、一致的系统管理等行为,为运行环境控制的评价、对系统输入控制的浙江财税与会计15ZJ 学习与交流 XUEXIYUJIAOLIU 评价、对系统数据存储控制的评价,对风险以及相关会计职能部门的工作范围和职内,并结合国内实际情况,力求理论与实践导向型控制的评价等。盂确保法规遵从。信责。相结合,实施好会计信息系统的内部控制,息系统的实施要遵从相关法规,如会计处五、结束语让会计信息系统能更好的发挥其有效性。理就需要遵循会计法规。企业需要确认对毫无疑问,我们的社会已进入了信息未来信息技术的发展将极为迅猛,我 IT 已经产生影响或可能产生影响的法律法时代。面对信息时代的机遇与挑战,如
24、何保们无法描绘未来信息系统的一切特性,也规,对已确认的法律法规做出积极的回应,证会计信息的可靠性、真实性和及时性,保无法预知会计信息系统还会有怎样的变监督法律法规是否严格执行,依法报告 IT 证我国社会经济的稳步发展,已成为会计化,其内部控制又会存在哪些问题。本文的实施情况。榆加强 IT 治理意识,这一点是界关注的热点。本文从信息系统层面探讨研究仅是在这一领域的探索和尝试,因此服务于整个企业职责的。建立有效的治理了企业内部控制机制,意为降低会计信息缺点和不足在所难免,这些都有待在今后结构包括定义组织结构、程序、领导、职务系统的风险,提高信息时代会计信息系统的研究中不断地完善。随着时代的发展,随
25、和责任以确保企业 IT 投资与企业整体战的有效性。COBIT 的目的就是帮助理解和着管理理论的发展,随着审计技术的发展,略目标一致。管理有关信息和信息技术的风险和利益,随着信息技术的发展,相关研究将会与时(二)依据 COBIT 构建企业会计信息系它是IT 领域专家的知识、技术、能力、相关俱进,向更高更深的层次发展,从而为确保统控制模型研究和不懈努力的成果,不仅可供技术人我国企业会计信息的准确性、可靠性、安全在使用 COBIT 构建企业会计信息系统员和审计人员使用,更重要的是,可以作为性和有效性提供更好的理论与实践指导。姻控制模型时需要注意两点。一是 COBIT 模管理层的控制管理指导。我们应该
26、把国外渊作者单位院西南财经大学会计型是目前国际上普遍接受的信息系统控制先进的信息系统管理与控制的思想引入国学院冤标准。但正由于 COBIT 的普遍适用性,不管哪类企业的信息化评价,都可以从中找企业会计信息系统管控模型的一部分出可以参考的指南,这就注定了它的泛泛性,即缺乏针对性。由于每个企业的经营状况和业务需求都不同,因而会计信息系统的评价重点也有所不同。信息部门工作人员会同财务人员应能够根据企业自身的实际情况、各使用部门的具体需求,对照 CO 原 BIT 过程,选取适合自身的基本控制指标。二是在信息系统的建设与应用过程中,不是 COBIT 的 34 个过程全都必须应用,而是根据具体信息系统的建
27、设与应用过程中的活动,构建一系列符合 COBIT 定义的过程,也就是说,应根据实际情况剪裁 COBIT 的过程。这样,既能够满足评价在基本的标准体系中进行,保证控制模型、评价指标的科学合理性,同时又能够满足会计信息系统的个性化需求,保证了体系的灵活性。模型的构建将依据 COBIT 框架,并结合企业会计信息系统内部控制工作,确定每个阶段的控制目标、具体控制点、各级成熟度指标、各阶段关键因素和各阶段测量标准等。以下就是对规划阶段的会计信息系统战略而建立的控制模型,如表所示。当然根据不同企业的具体情况还应作一定调整。紧接着,就需要根据该模型确定各阶段的控制流程,明确流程之间的接口,并进一步进行角色的划分,确定信息部门 16 浙江财税与会计
