COBIT框架下的会计信息系统内部控制初探

○李 强 （西安航天动力研究所 陕西 西安 710100）

近年来，财务软件已经逐渐代替传统的算盘成为会计工作的主要工具，大部分企业通过财务软件的使用，极大的提高了日常会计核算工作的效率，随着信息化技术的快速发展，财务软件的功能逐渐得以扩展，和企业资源管理系统集成的趋势日益明显，会计业务流程和信息化技术的这种融合使得会计信息系统的不确定增加，而对信息化技术浪潮下的内部控制研究却鲜有成果出现，COBIT（信息及相关技术控制目标）框架在全世界范围得到了推广，研究COBIT框架的主要内容，探讨在此框架下的会计信息系统内部控制具有积极的现实意义。

一、COBIT框架概述

COBIT全称为：Control Objectives for Information&related Technology，中文暂译为：信息及相关技术控制目标。它是一系列关于IT管理最佳实践（框架）的集合，由美国信息系统审计与控制协会（ISACA）下属的IT治理委员会（ITGL，Information Technology Governance Institute）于1992年创建。COBIT为管理人员、审计人员和IT用户提供了一套通用的测量、显示和处理的方法以及最佳的实践，帮助其通过在公司中使用信息技术和适当的IT治理与控制，使公司的利益最大化。2007年5月ITGL发布了COBIT4.1，主要由四部分组成：框架、控制目标、管理指南和成熟度模型。其主要内容及关系见图1。

从图1可以看出，COBIT框架将业务目标和IT过程紧密的结合了起来，在IT流程支撑下的业务流程首要的IT控制目标，根据其将IT活动通过分解、度量过程、审计和控制有效的结合起来。分解主要是对关键活动的分解，具体执行过程中则要加以职责和可操作性；度量过程则使用了业绩、结果和成熟度模型；通过审计和控制活动，对内部控制的结果和目标进行测试，获得最佳的控制实践。

图1 COBIT主要内容及关系

COBIT的IT过程就是在IT总体控制目标的导向下，对组织的信息化归纳为34个IT处理流程，在控制目标的确定上，COBIT将管理活动分为4个领域：计划与组织、获取与实施、交付与支持、检测和评价，针对34个IT处理流程进一步进行分解，确定了210个具体的控制目标，在梳理控制目标的基础上，对每一控制目标的实现建立详细的管理策略等，在对业务目标分解和控制具体目标确定的基础上，COBIT又形成了管理指南，使得COBIT的可操作性大大提高。利用成熟度模型，可以对组织目前所处的IT环境进行判断，同时，在管理指南中详细地叙述了每个过程的成熟度模型——从浑沌状态的0级到优化的5级、KGI、KPI以及要达到KGI的“重要成功因素”CSF。同时，还给出了与这个过程密切相关的IT资源，以及信息判据中哪些特征最为重要和比较重要。在文件“详细控制目标”中，则按照34个IT处理流程逐一给出“详细控制目标”。最后，COBIT还包括“信息系统审计指南”，构成比较复杂，包含了“审计道德要求”、“信息系统审计标准”、“信息系统审计指南”、“信息系统审计过程”等子文件。

目前，COBIT已经在100多个国家的超过10000家企业获得应用，全球有160余个机构在推广COBIT的知识体系和方法论。COBIT从体系化、标准化的高度，构建关于信息系统投资、建设、评估、风险控制的知识框架，超越了传统的产品与服务的概念，是IT行业乃至信息化事业的新的发展思路。COBIT模型实现了企业战略和IT战略的互动，形成了持续改进的良性循环机制，为企业提供了具有一定参考价值的解决方案，对推动信息技术的发展和应用具有十分重要的现实意义。

二、会计信息系统风险现状

会计信息系统使得传统的手工会计核算转化为计算机程序控制的会计管理活动，一方面原来大量的会计数据输入得以简化，在会计凭证记账阶段，输入关于经济业务的相关信息，按照会计准则规定选择会计科目，在凭证生成保存后，会计明细账、总账、会计报表等都可以通过初始化设置提取会计记账凭证数据而产生，会计工作效率得以大大提高。另一方面，会计信息系统的广泛使用，使得会计人员过多的依赖于计算机，在满足“借方金额=贷方金额”的输入条件后会计信息系统不会对业务发生的合理性进行判断，会计信息的质量有可能受到影响，而过多的依赖于计算机所产生的软硬件错误可能会给会计信息系统带来灾难性的后果，会计信息系统面临以下风险。

1、计划与组织风险

信息技术的快速发展推动了企业的信息化进程。传统的财务软件在初始阶段主要是满足如何把手工信息变为计算机信息，随着企业规模的扩展和竞争的加剧，会计数据在企业经营管理中的作用日益重要，会计数据向综合数据转化，企业利益相关者对会计数据“背后的故事”的需求增加，财务软件的各种辅助管理模块应运而生，发展到今天，财务软件已经和企业其他管理软件融合，会计人员提供的数据更多是帮助企业进行决策支持等。

企业在财务软件的实施过程要考虑多方面的因素，除了成本要进行控制外，软件的合规性以及可操作性等也非常重要，但是，很多企业都忽略了财务软件和其他管理软件的融合问题，比如企业物资管理采用的Oracle数据库，人力资源采用了Sybase数据库，而财务软件又采用了DB2数据库，数据库的多样性导致了企业业务数据和会计数据匹配上存在一定的困难，进而使得会计数据的及时性和可靠性都受到影响。

在组织结构及制度的建立上，企业往往是各个部门都设有自己的“系统维护员”，而系统之间的数据对接及信息变化等缺乏相应的组织结构进行协调，造成了企业的信息化投入成本很大，但结果却是“信息孤岛”越来越多，各种信息最终在企业的经营管理过程中的有效性大大降低，信息判断的偏差很可能会导致企业经营决策判断失误，加大企业经营风险。

2、维护与支持风险

财务软件往往都由专门的软件公司提供，一般在项目实施阶段，财务软件公司会成立专门的项目组负责软件的初始化及培训工作，在项目实施结束后很少有软件公司留下专门的人员负责财务软件的后续支持工作，这在很大程度上要求企业财务人员除了具备专业的财务知识外，具备基本的计算机操作能力就成为必须，甚至有专门的系统管理人员。而在现实的企业经营中，由于会计人员专业知识结构等差异，很难有人对财务软件的后续问题提供及时的支持，大部分“系统管理员”从事于添加会计科目、增加往来单位等事项，很少对现有软件的运行风险进行综合考虑。这导致了在实际的运行过程中财务软件的使用效率大大降低，同时，没有充分的利用财务软件进行综合数据的收集与分析也降低了会计数据的有效性。

3、审计与评估风险

2006年以来，我国政府陆续颁布了多项内部控制规范，向社会公开征求意见，内部控制已经成为理论和实践关注的热点问题，但是，在IT环境下的内部控制却还没有专门的规范，目前仅有的《企业内部控制规范XX号——计算机信息系统》（征求意见稿）、中国注册会计师准则1633号和1231号等分别对被审单位在电子商务环境的审计风险进行了描述，对于会计信息系统在审计中应关注的风险点和具体审计程序、目标等尚未有相应的规范出台。注册会计师在执行审计的过程中一般是要求被审单位将会计账薄打印出来，按照传统的审计方法进行审计，但对于计算机与网络技术的运用有什么风险、怎样才能控制并降低这些风险缺乏相应的指导，另一方面，如何利用计算机技术对财务软件数据进行收集和分析也缺乏相关的知识和工具，IT环境下注册会计师审计面临新的挑战。

三、COBIT框架下加强会计信息系统内部控制的建议

1、从战略层面考虑企业会计信息系统设置，建立IT管理部门

COBIT是基于企业业务流程的IT治理、安全与控制的框架，根据COBIT框架，会计信息系统业已成为企业整体信息系统的一个重要构成部分。企业应在战略层面考虑会计信息系统的设置，重视软件的数据采集、编码统一、人员集中等，避免出现同一材料在不同部门之间的数据传递缺乏统一的编码规范，造成数据汇总的困难。同时，随着企业经营规模的扩张，基于IT流程的计算机数据会快速膨胀，成立专门的IT数据管理部门已成为现实的需要，IT管理部门可以完成企业各种软件的标准统一、数据采集、数据分析等大量工作，提高会计信息系统数据的有效性和及时性。

2、梳理企业业务流程，建立会计信息系统风险控制机制

COBIT框架中的34个业务流程和210个控制目标为企业实施COBIT提供了具体的指导，企业可以根据具体经营情况，梳理业务流程节点，根据各节点建立相应的内部控制目标，在此基础上，建立企业会计信息系统风险控制机制，包括业务流程预警体系、计算机信息系统数据采集与存储制度、网络安全管理制度、管理员权限与人员授权管理等。充分保障会计信息系统在IT环境下运行的安全、稳定，将风险降低到可接受范围内。

3、加大培训，提高专业人员素质

会计信息系统的广泛使用使得会计人员的技能必须得以提高，持续的培训是提高人才能力有效途径。在人才培训上，不仅包括专业的会计人员，还应包括审计人员、企业技术人员等，可以考虑对低层次人员培训与高层次人员培训、在职人员培训和未来人才培养、集中培训和自主学习等多方式多层次的培训模式。应该看到，掌握更多的IT技能已经成为未来信息技术环境下人才必备的技能之一，会计人员应主动和技术人员沟通，参与到项目的实施过程中，更好地推动企业经营管理水平的提高。

[1]胡晓明、林娟：COBIT4.0：解读与启示[J].科技管理研究，2007（11）.

[2]阳杰、庄明来、陶黎娟：基于COBIT的会计业务流程控制[J].审计与经济研究，2009（2）.

[3]董榆梅、夏建光：基于COBIT的ERP实施绩效评价研究[J].云南财经大学学报，2007（S1）.

[4]陈婉玲、袁若宾：COBIT及其在信息系统控制与审计中的应用[J].审计研究，2006（S1）.

[5]罗小琴：浅谈会计电算化与内部控制[J].财会研究，2006（12）.

[6]丘朝才：中小型单位会计信息系统的风险分析与防范[J].中国管理信息化（会计版），2006（12）.

[7]陈婉玲、袁若宾：COBIT及其启示[J].会计之友（上旬刊），2006（1）.