COBIT:加强会计信息系统的内部控制与审计不可或缺的工具
【摘 要】本文基于ITGI刚刚发布的COBIT 4.1,对IT环境下会计信息系统发展的最新状况进行分析,探讨了跨国公司执行COBIT的经验和做法,进而提出,借助于COBIT 4.1,加强我国企业会计信息系统的内部控制是当务之急,也是大势所趋。
【关键词】COBIT;会计信息系统;内部控制
一 、COBIT简介与浅析
COBIT(Control Objectives for Information and related Technology,信息及相关技术控制目标)是目前国际公认的最先进、最权威的安全和信息技术管理和控制的标准。普华永道发布的《2006年全球信息安全状况报告》中统计,全世界63%的公司采用了COBIT控制框架标准,这一比率是IT控制框架采用率最高的。COBIT是由信息系统审计和控制协会(Information System Audit and Control Association,ISACA)(www. isaca. org)下属的IT治理研究院(ITGI,Information Technology Governance Institute)(www.itgi.org)开发和发布的,旨在为IT 的治理、安全和控制提供一个普遍适用的公认的标准,以辅助企业管理层进行IT治理。自COBIT 问世以来,先后经历了1998年、2000年和2006年的修改补充,2007年5月,ITGI发布了COBIT 4.1,它从IT治理的角度,从更高的层面上来指导管理层进行IT控制和信息系统管理。由于一方面全球信息化的加剧和我国信息化的发展,另一方面COBIT对信息系统控制与审计又有着很好的指导作用,所以当前介绍和引进COBIT对于推动我国信息化的健康发展有重要的意义。
COBIT 4.1主要是由4部分组成:框架、控制目标、管理指南和成熟度模型。其相互关系如图1所示。
COBIT是由相互关联的各组成部分有机结合在一起的,能够为不同的顾客群提供有关治理、管理、控制和保证方面的需要。下面对其组成部分逐一介绍分析。
1. 框架(Framework)
COBIT将IT过程、IT资源、与业务要求相适应的IT目标结合起来,形成一个三维的体系结构,如图2所示。与业务要求相适应的COBIT的IT总体控制目标具体是有效性(Effectiveness)、高效性(Efficiency)、机密性(Confidentiality)、完整性(Integrity)、可用性(Availability)、符合性(Compliance)、可靠性(Reliability);IT资源主要包括应用系统(Applications)、信息(Information)、基础设施(Infrastructure)和人(People);IT过程则是在与业务要求相适应的COBIT的IT总体控制目标的导向下,对信息及相关资源进行规划和处理,从信息技术的计划与组织、获取与实施、交付与支持、监控与评价等4个方面确定了34个信息技术处理过程。实际上, COBIT的IT控制目标的实现就是在IT过程中管理IT资源来完成的。图3详细地描述了完整的COBIT框架,显示了COBIT的处理模式是如何根据业务和治理要求来管理IT资源并使之给业务传递信息的,该模式由4个领域构成,包括34个一般过程。
2. 控制目标(Control Objectives)
从领域、过程和活动3个层面对总体目标进行分解,通过对特定的活动实施控制,以实现预定的系统目标。为有效地进行IT治理,在COBIT框架内部通常将需要进行管理的活动和风险分为4个领域,即计划与组织(Planning and Arrangement)、获取与实施(Acquisition and Implementation)、交付与支持(Delivery and Support)和监测与评价(Monitoring and Evaluation),领域目标按34个过程进行细分,根据每一个信息技术过程所涉及的系统资源,确定出相应的控制目标;针对每一个信息技术处理过程进一步细分为若干任务,确定出210个具体的控制目标。针对这些具体的控制目标,COBIT提供了详细的系统管理策略,包括具体要采取的措施以及要考虑的问题等。这3个层次的控制目标体系使系统管理目标更清楚、更明确,更有操作性。COBIT覆盖了整个信息系统的全部生命周期,涵盖了战略、战术与操作的所有层次,处于各个阶段的信息系统都可以参照使用,它所带来的益处是十分明显的,它使IT战略与组织战略紧密联系,在业务目标、信息系统、业务绩效目标之间维持平衡。
3. 管理指南(Management Guidelines)
管理指南是控制目标在企业的具体应用准则,以进行自我评价与选择,进而实施并完善对信息及相关技术的控制,其目的是对IT业务活动进行有效控制,使IT与业务活动保持高度一致,并通过传递组织所需要的信息使业务活动得以进行。管理指南给出了度量信息系统生命周期各个IT控制过程的安全、可靠与有效的指标体系。
4. 成熟度模型(Maturity Models)
对IT过程进行管理和控制的成熟度模型是评价组织的一种方法。它划定6个成熟等级,如图4所示。每一个成熟度等级都规定相应特征,企业可以结合自身的特点,界定出本企业的当前状态。该方法来自于软件工程研究所(Software Engineering Institute,SEI)为软件开发能力所定义的成熟度模型,但COBIT只是借助于能力成熟度模型(CMM)的形式来为其IT管理过程的性质界定出成熟度等级。在COBIT 4.1中,34个IT治理过程都规定了自己的具体模型。
二、IT环境下,加强会计信息系统内部控制的必要性
1. 会计信息系统的演进
会计信息系统的产生和发展是社会经济、技术发展的必然产物。从会计数据处理工具与处理模式来看,会计信息系统的发展可分为3个阶段:一是手工会计信息系统阶段,二是机械会计信息系统阶段,三是计算机会计信息系统阶段。杨周南教授认为计算机会计信息系统阶段又可分为3个阶段:一是电子数据处理阶段,二是综合数据处理阶段,三是决策支持与专家系统阶段。
2. 会计信息系统的定义和特征
会计信息系统(Accounting Information System,AIS)是一种面向价值信息和基于会计管理活动的系统,是在计算机软件和网络环境下,采用现代信息处理技术的一个人机交互的管理信息系统。其基本特征如下:
(1)AIS以符合会计管理工作和会计变更的需求为主要目标。
(2)AIS以解决企业会计核算和管理所面临的问题为主要功能。
(3)AIS以现代计算机硬软件和网络平台为处理环境,由人(含会计人员)、信息技术设备(含数据文件)和运行规程三要素组成,其核心部分是功能完备的会计软件。
(4)AIS能充分利用现代信息处理技术,自动(或半自动)采集、存贮、处理、分析、传递和反馈会计信息。
3. 会计信息系统所面临的风险
在IT环境下,由于与传统的手工操作环境有了很大的差别,会计信息系统面临着前所未有的风险。主要有以下几类:
(1)疏忽差错(Unintended Errors)。系统操作员或交易执行员在经济业务资料的输入与处理过程中,由于缺乏必要的上岗作业培训或身体状况欠佳等原因造成的非故意差错。
(2)蓄意差错(Deliberated Errors)。蓄意差错也就是故意性差错,实质就是舞弊,是不正当的或违法的。在信息的输入—处理—输出的流程中,甚至在软件的开发与研制过程中,都可能产生这种差错。它不仅对有关数据或输出信息的正确性与可信性造成影响,而且还可能导致企业资源的短缺损失和掩饰有关盗窃行为。
(3)疏忽性资产毁损(Unintended Asset Damages)。企业数据资料记录可能承受非故意的毁损,比如存储于硬盘中的应收账款记录未作备份,可能因偶然的断电故障这类偶发事件而消失。
(4)安全措施破坏(Breaches of Securities)。未经授权许可的人员可能非法接近企业的交易资料与其他记录。电脑“黑客”通过互联网擅自进入企业的计算机系统窃取、篡改或恶意破坏交易资料或记录,以及未经授权员工私自偷阅未设定密码或口令保护的企业员工薪金报告等。这种风险可能在被竞争对手窃取本单位的重要资料时造成极为严重的后果。
(5)暴力(Forces)。暴力的存在来源于外界人士(如恐怖分子)和怀有怨气的现有员工或已遭解雇员工的报复行为。如损坏会计信息系统或销毁企业的客户往来档案记录等。其后果可能是毁损企业的资产和资料,甚至导致经营过程中断以及企业的破产倒闭。
基于以上风险,IT环境下的会计信息系统加强内部控制具有前所未有的必要性,具体如下:
(1)IT环境下电脑操作隐形化和无纸化存储介质的缺陷。
(2)IT环境下内部稽核削弱。
(3)IT环境下会计工作质量有赖于计算机硬软件系统自身的可靠性及会计人员本身的操作水平。
(4)管理型会计软件的发展对内部控制提出了新要求。
(5)网络财务是IT环境下的新型管理模式,其安全性和保密性有赖于建立健全有效的内部控制。
三、借鉴跨国公司经验,运用COBIT,加强我国企业会计信息系统的内部控制
1. 保诚公司的经验分析简介
保诚公司于1848年在英国成立,它是目前全球领先的金融服务大鳄和在亚洲领先的欧洲寿险公司。随着其资产管理业务的快速增长,保诚公司(亚洲)在亚太地区的12个国家里拥有了9 000多位员工,除了在新加坡有一个区域分中心之外,它还有两个关键的区域IT中心,其中一个在马来西亚,另一个在中国大陆。
保诚公司亚洲地区的资讯科技部长罗德里格斯在2005年首次引进COBIT。他在香港领导着一个区域IT小组,该小组拥有6名成员。由于得到这个区域IT小组的支持, 保诚的CEO及其委员会成员同意采用COBIT的倡议,他们强烈地支持采用更好的IT框架、系统和程序以在整个地区给公司提供更好的竞争优势。“COBIT是一个非常简单而强有力的管理工具,它让我们实现我们的目标”,罗德里格斯说。
罗德里格斯还认为,“一个好医生是一位能够清楚地向她或他的病人解释如何保持健康的人,同样,一个好的IT专业人员是能够使该项目对一个公司观众来说容易得到理解的人。毫无疑问,我认为COBIT是允许我获得这种能力的工具,利用COBIT,我相信我们能为保诚建立一个更好的IT和公司责任的文化。”
虽然保诚实施COBIT仍在进行之中,但是,很显然,罗德里格斯已经获得了一些经验,具体如下:
(1)IT治理:泛区域战略构成、一致性;
(2)削减成本:减少重复;
(3)安全:区域客户资料管理;
(4)外包:为外包业务伙伴提供适当债务;
(5)沟通:让广大的公司员工易于理解各种术语;
(6)业务增长:为领导者提供了一个更安全、更一致的全面IT环境,以使其把精力集中在可增加企业价值的解决方案上。
上述这些经验显然是对整个保诚公司(亚洲)的IT治理而言的,但是可以看到其中一些经验对会计信息系统的内部控制和审计具有指导意义。
2. 勇于开拓,争取早日构建基于我国实际情况并与国际接轨的COBIT框架
随着我国经济的迅速发展和经济全球化的突飞猛进,近年来我国已逐渐重视企业内部控制,特别是2006年,被业界称为中国的“内部控制年”。财政部牵头联合发起成立了企业内部控制标准委员会,并邀请行政机关、高校、社会团体以及大中型企业的专家兼职咨询。该委员会发布了《企业内部控制规范》(征求意见稿),包括基本规范和一系列具体规范,并专门针对信息系统内部控制制定了《企业内部控制规范第××号——计算机信息系统》(征求意见稿),包括总则、岗位分工和授权批准、信息系统开发、变更与维护控制、信息系统访问安全和会计电算化及其控制等6部分。另外,财政部还于2006年颁布了新审计准则《中国注册会计师审计准则第1633号——电子商务对财务报表审计的影响》,针对电子商务环境下的信息系统审计进行了规范,其中第5章“对内部控制的考虑”里,提到了“注册会计师应当按照《中国注册会计师审计准则第1211号——了解被审计单位及其环境并评估重大错报风险》和《中国注册会计师审计准则第1231号——针对评估的重大错报风险实施的程序》的规定,考虑被审计单位在电子商务中运用的与审计相关的内部控制”。这些标准或规范只是为本专业的内部控制提供了一个应用指导,在一定程度上为进行IT治理环境下的内部控制发挥了一定的作用。但是,从综合的 IT治理或IT内部控制来看,还没有形成一个能够满足各方面要求,适应各种需要的综合的、完整的、系统的框架。目前虽然有些在国际上有显著影响力的IT服务公司使用自己制定的标准或框架,如IBM公司使用IBM IT Process Model( IBM流程模型);HP公司使用HO ITSM Reference Model(HP服务管理参考模型);微软使用Microsoft Operational Framework(MOF,微软运营框架),但是国际上绝大多数公司都使用主流的像COBIT这样的IT治理标准。因此,有必要建立我国自己的COBIT框架,一方面是提升我国公司的管理能力,提高其经济效益,使其不断发展的需要;另一方面,也是我国企业走出国门融入经济全球化大潮中去的需要 。
主要参考文献
[1] 杨周南等. 会计信息系统[M]. 北京: 经济科学出版社,2004.
[2] 杨宝刚. 会计信息系统[M]. 北京:高等教育出版社,2001.
[3] 蔡传勋. 会计信息系统[M]. 大连:东北财经大学出版社,2004.
[4] 金文等. 基于COBIT的信息系统管理、控制与审计的模型构建研究[J]. 审计研究, 2005, (4).
[5] IT Governance Institute .COBIT 4.1[EB/OL]. .