基于COBIT模型的A企業(yè)會(huì)計(jì)信息系統(tǒng)內(nèi)部控制研究

文/龍露，婁底職業(yè)技術(shù)學(xué)院

基于COBIT模型的A企業(yè)會(huì)計(jì)信息系統(tǒng)內(nèi)部控制研究

文/龍露，婁底職業(yè)技術(shù)學(xué)院

隨著信息時(shí)代的到來，會(huì)計(jì)信息系統(tǒng)得到迅速發(fā)展和廣泛應(yīng)用，傳統(tǒng)的會(huì)計(jì)信息系統(tǒng)內(nèi)部控制不能滿足日趨復(fù)雜的要求，正面臨著巨大的考驗(yàn)，因而需進(jìn)一步加強(qiáng)會(huì)計(jì)信息系統(tǒng)的內(nèi)部控制體系建設(shè)。COBIT即信息及相關(guān)技術(shù)控制目標(biāo)，是一個(gè)標(biāo)準(zhǔn)的IT治理框架，本文以企業(yè)內(nèi)部控制、COBIT治理模型為理論基礎(chǔ)，運(yùn)用理論聯(lián)系實(shí)際、歸納分析等方法，以A企業(yè)的會(huì)計(jì)信息系統(tǒng)內(nèi)部控制為研究對(duì)象，對(duì)其目前內(nèi)部控制的現(xiàn)狀進(jìn)行分析，并對(duì)其會(huì)計(jì)信息系統(tǒng)的內(nèi)控控制存在的問題進(jìn)行了探究，針對(duì)其現(xiàn)狀與問題，提出運(yùn)用CO?BIT治理模型對(duì)其會(huì)計(jì)信息系統(tǒng)內(nèi)部控制體系進(jìn)行重新構(gòu)建，以解決目前存在的問題。

會(huì)計(jì)信息系統(tǒng)；內(nèi)部控制；COBIT；A企業(yè)

1 COBIT的相關(guān)概念

1.1 COBIT的含義

COBIT(Control Objectives for Information and related Technolo?gy)是目前國際上通用的信息系統(tǒng)審計(jì)的標(biāo)準(zhǔn)，由信息系統(tǒng)審計(jì)與控制協(xié)會(huì)在1996年公布。是一個(gè)在國際上公認(rèn)的、權(quán)威的安全與信息技術(shù)管理和控制的標(biāo)準(zhǔn)，目前已經(jīng)更新至5.0版。它在商業(yè)風(fēng)險(xiǎn)、控制需要和技術(shù)問題之間架起了一座橋梁，以滿足管理的多方面需要。該標(biāo)準(zhǔn)體系已在世界一百多個(gè)國家的重要組織與企業(yè)中運(yùn)用，指導(dǎo)這些組織有效利用信息資源，有效地管理與信息相關(guān)的風(fēng)險(xiǎn)。

1.2 COBIT的組成

COBIT由六個(gè)部分組成，如下圖1所示：

圖1 COBIT模型組成圖

1)執(zhí)行概要。組織的高層管理者要做出一個(gè)正確的決策通常建立在在全面、精確、及時(shí)、可靠的信息資源基礎(chǔ)上，他們需要通過執(zhí)行概要來了解COBIT的關(guān)鍵性涵義以及實(shí)施原則。2)框架。COBIT可細(xì)化為三十多項(xiàng)高層控制目標(biāo)，三百多個(gè)可細(xì)化的控制目標(biāo)，并且每個(gè)目標(biāo)都針對(duì)特定的IT過程，這些控制目標(biāo)被劃分為策劃與組織、采購與實(shí)施、交付與支持、監(jiān)控四個(gè)部分。

3)實(shí)施工具集。為了使得COBIT模型可以有效的運(yùn)用，可以在受用方在在各個(gè)不同的環(huán)境中構(gòu)建架構(gòu)，并且成功地發(fā)揮其作用，就需要運(yùn)用到實(shí)施工具。

4)管理指南。管理指南是用于指導(dǎo)實(shí)踐的，它可以確保信息技術(shù)的組織和相關(guān)過程的控制管理可以有效運(yùn)行，確保組織的目標(biāo)與預(yù)期并且監(jiān)控其中每個(gè)進(jìn)程。

5)詳細(xì)控制目標(biāo)。IT控制需要制定正確的政策和有效的準(zhǔn)則，此時(shí)詳細(xì)控制目標(biāo)則提供了有效的參考準(zhǔn)則，其包函了用來達(dá)到所期待結(jié)果，而且用于實(shí)施的二百一十個(gè)詳細(xì)控制目標(biāo)的詳細(xì)解釋。

6)審計(jì)指南。為了使得預(yù)期的目標(biāo)得到實(shí)現(xiàn)，必須在每個(gè)IT過程落實(shí)相應(yīng)的審計(jì)環(huán)節(jié)，COBIT模型的審計(jì)指南就規(guī)劃和建議了三十四個(gè)IT過程的審計(jì)步驟。

2 A企業(yè)信息系統(tǒng)內(nèi)部控制存在的問題

2.1 戰(zhàn)略規(guī)劃與組織結(jié)構(gòu)問題

2.1.1 戰(zhàn)略規(guī)劃不全面

一個(gè)企業(yè)想要在競爭激烈的市場環(huán)境中始終保持其市場優(yōu)勢(shì)，一個(gè)重要的落腳點(diǎn)就是合理的企業(yè)戰(zhàn)略規(guī)劃，企業(yè)的戰(zhàn)略規(guī)劃又被稱為企業(yè)發(fā)展的靈魂，對(duì)企業(yè)未來的走向起著舉足輕重的作用。

2.1.2 部門職能結(jié)構(gòu)不完善

A企業(yè)設(shè)立了兩個(gè)互相獨(dú)立的部門來進(jìn)行會(huì)計(jì)信息系統(tǒng)的管理與操作，分別為財(cái)務(wù)部與企業(yè)的信息公司，這樣的組織架構(gòu)造成該系統(tǒng)的操作由于缺乏財(cái)務(wù)部和信息公司之間的有效溝通，進(jìn)而時(shí)常出現(xiàn)運(yùn)行障礙，也不利于資源的共享。

2.1.3 投資缺乏全面的數(shù)據(jù)支撐

投資該會(huì)計(jì)信息系統(tǒng)之前，管理者僅根據(jù)自身企業(yè)運(yùn)營情況，通過適當(dāng)?shù)耐顿Y預(yù)算，對(duì)預(yù)算的編制進(jìn)行了規(guī)定。

2.1.4 人才配備不到位

公司對(duì)員工的執(zhí)行力和勝任力控制采取了一系列相對(duì)應(yīng)的措施，但沒從根本上解決問題。缺少對(duì)同時(shí)掌握會(huì)計(jì)與IT技術(shù)雙重技能的人才引進(jìn)。

2.2 獲取與實(shí)施方面的問題

2.2.1 會(huì)計(jì)信息系統(tǒng)解決方案確定帶有主觀性

A企業(yè)在系統(tǒng)選型過程中，存在一些憑直覺來識(shí)別會(huì)計(jì)信息系統(tǒng)解決方案的現(xiàn)象，并隨業(yè)務(wù)不同而變化。公司主要依靠內(nèi)部經(jīng)驗(yàn)和知識(shí)，釆用非正規(guī)方式識(shí)別解決方案。

2.2.2 信息系統(tǒng)維護(hù)不到位

在運(yùn)營維護(hù)方面，公司雖然對(duì)信息中心的會(huì)計(jì)信息系統(tǒng)維護(hù)任務(wù)和職責(zé)進(jìn)行了規(guī)范，但是信息中心在接到會(huì)計(jì)信息系統(tǒng)維護(hù)任務(wù)后，沒有按照任務(wù)的重要性進(jìn)行明確的等級(jí)劃分，并進(jìn)行知識(shí)管理。

2.2.3 變更管理無制度支撐

A企業(yè)建立了包括分類，劃分優(yōu)先級(jí)，但由于公司業(yè)務(wù)發(fā)展，會(huì)有突然變化的情形發(fā)生，如授權(quán)正式或臨時(shí)變更的管理環(huán)節(jié)。

2.3 服務(wù)與支持方面的問題

2.3.1 服務(wù)管理欠缺

A企業(yè)在尋求開發(fā)商后續(xù)服務(wù)時(shí)往往處于被動(dòng)局面，主要依賴于公司的主動(dòng)催促及服務(wù)商的經(jīng)驗(yàn)積累，從而導(dǎo)致公司對(duì)第三方的服務(wù)評(píng)價(jià)降低，進(jìn)而影響長期的服務(wù)質(zhì)量。

2.3.2 連續(xù)服務(wù)不完善

A公司針對(duì)需額外考慮的如不可抗力等影響操作的其他因素，并沒有規(guī)定出相對(duì)應(yīng)的應(yīng)對(duì)風(fēng)險(xiǎn)措施，制定突發(fā)事件應(yīng)對(duì)計(jì)劃，未能對(duì)人員負(fù)責(zé)進(jìn)行嚴(yán)格劃分，責(zé)任到人，各種應(yīng)急措施，并沒有計(jì)劃業(yè)務(wù)連續(xù)性和有效性的評(píng)價(jià)，對(duì)經(jīng)營活動(dòng)的替代工藝的不足。

2.3.3 會(huì)計(jì)信息系統(tǒng)安全管理缺少監(jiān)控機(jī)制

A企業(yè)雖然已經(jīng)根據(jù)制定出了信息安全等級(jí)保護(hù)制度，但是公司對(duì)系統(tǒng)的管理主要采取實(shí)時(shí)問題控制這一舉措，并沒有對(duì)系統(tǒng)安全進(jìn)行監(jiān)控和測(cè)試，無法衡量會(huì)計(jì)信息安全是否達(dá)標(biāo)，也不能及早的對(duì)不尋?；顒?dòng)進(jìn)行制止。

2.3.4 用戶的培訓(xùn)不完善

對(duì)用戶的培訓(xùn)，公司注重業(yè)務(wù)知識(shí)結(jié)構(gòu)的強(qiáng)化，忽視了對(duì)用戶道德的指導(dǎo)。在培訓(xùn)結(jié)束后，公司沒有采取相應(yīng)的考評(píng)措施，降低了對(duì)員工學(xué)習(xí)的約束力度，無法對(duì)培訓(xùn)的效果進(jìn)行估量，不利于后續(xù)培訓(xùn)內(nèi)容的展開。

2.4 評(píng)估與監(jiān)控方面的問題

2.4.1 未展開安全評(píng)估與風(fēng)險(xiǎn)管理

雖建立相應(yīng)管控制度，但A企業(yè)的風(fēng)險(xiǎn)評(píng)估結(jié)果卻并未引起高層重視，而針對(duì)風(fēng)險(xiǎn)的識(shí)別和未來影響力，企業(yè)更幾乎沒有考慮，更沒有相應(yīng)制度的出臺(tái)和實(shí)施。

2.4.2 未進(jìn)行業(yè)績?cè)u(píng)估與監(jiān)控

A企業(yè)的內(nèi)部審計(jì)由于沒有相應(yīng)的完善制度支撐，流程也沒有明確的規(guī)范，使得內(nèi)審的完整性與正確性欠佳。公司無特殊情況不進(jìn)行外聘第三方審計(jì)公司參與審計(jì)，因而缺少審計(jì)結(jié)果之間的比較，不能確保企業(yè)內(nèi)部控制的正確和有效。最終，A公司無法公正地對(duì)內(nèi)部控制制度的進(jìn)行客觀、有效的評(píng)測(cè)，這將嚴(yán)重影響信息系統(tǒng)內(nèi)部控制的完善進(jìn)度。

3 運(yùn)用COBIT構(gòu)建A企業(yè)會(huì)計(jì)信息系統(tǒng)內(nèi)部控制體系

依據(jù)會(huì)計(jì)信息系統(tǒng)應(yīng)用指引的要求，同時(shí)與國際上普遍認(rèn)同的信息系統(tǒng)控制標(biāo)準(zhǔn)——COBIT模型框架相結(jié)合，對(duì)A企業(yè)信息系統(tǒng)作出進(jìn)一步的梳理與完善。下面依據(jù)A企業(yè)的現(xiàn)狀以及存在的問題，利用COBIT模型對(duì)A企業(yè)的會(huì)計(jì)信息系統(tǒng)內(nèi)部控制體系進(jìn)行重新構(gòu)建，具體從四個(gè)方面進(jìn)行幵展：

3.1 戰(zhàn)略規(guī)劃與組織結(jié)構(gòu)方面的控制

3.1.1 擬定會(huì)計(jì)信息系統(tǒng)戰(zhàn)略性規(guī)劃

A企業(yè)目前沒有制定成熟的IT戰(zhàn)略規(guī)劃，成熟度較低。該環(huán)節(jié)中的把控目標(biāo)是要保持控制IT戰(zhàn)略與企業(yè)戰(zhàn)略的相一致。

3.1.2 確定會(huì)計(jì)信息系統(tǒng)組織結(jié)構(gòu)

A企業(yè)在戰(zhàn)略層面考慮會(huì)計(jì)信息系統(tǒng)的應(yīng)該關(guān)注軟件程序在數(shù)據(jù)和編碼上的統(tǒng)一性，以免出現(xiàn)同樣的材料在不同部門之間傳遞時(shí)缺乏數(shù)據(jù)一致性，進(jìn)而加大數(shù)據(jù)匯總的難度。同時(shí)隨著會(huì)計(jì)信息系統(tǒng)環(huán)境的變化，需要設(shè)立專門的信息中心，以完成企業(yè)各項(xiàng)數(shù)據(jù)的收集與分析，以提高其及時(shí)有效性。

3.1.3 IT投資管理

A企業(yè)管理層希望得到較高的投資回報(bào)率，即IT滿足業(yè)務(wù)需求，進(jìn)而提高增加利益相關(guān)方的收益。COBIT在運(yùn)用中對(duì)投資的管理明確為，有效推動(dòng)業(yè)務(wù)利益方與IT的共同合作，促進(jìn)IT資源的有效利用，并將總成本、總收益的實(shí)際實(shí)現(xiàn)結(jié)果與IT的投資回報(bào)率反饋給所有者，并對(duì)結(jié)果負(fù)責(zé)。

3.1.4 IT人力資源管理

企業(yè)人力資源的管理是企業(yè)管理的重要方面，主要包括：進(jìn)行員工的招聘、開展人員培訓(xùn)、疏通職員晉升渠道、有計(jì)劃進(jìn)行干部儲(chǔ)備，適時(shí)完成人員精簡；有效提高員工素質(zhì)，明確企業(yè)崗位職責(zé)劃分，合理做出人員績效考評(píng)，以及崗位人員流動(dòng)，工作內(nèi)容變更等。

3.2 獲取與實(shí)施方面的控制

從A企業(yè)目前的現(xiàn)狀出發(fā)，要對(duì)其會(huì)計(jì)信息系統(tǒng)的內(nèi)部控制體系進(jìn)行構(gòu)建，需要建立在可操作、可維護(hù)、可持續(xù)的基礎(chǔ)上。在COBIT中，IT獲取與實(shí)施是一個(gè)控制域，在這個(gè)域中，有相應(yīng)需要控制的流程。對(duì)A企業(yè)內(nèi)控體系的構(gòu)建也需要從3個(gè)方面入手。

3.2.1 確定解決方案

建議A企業(yè)對(duì)其系統(tǒng)的需求進(jìn)行全面充分的分析。該需求分析要從四個(gè)環(huán)節(jié)把控。首先要保持各個(gè)部門的需要相統(tǒng)一；其次所統(tǒng)計(jì)的需要必須是完整的；再次制定的需要應(yīng)該是可實(shí)現(xiàn)的，即目前的軟件水平和硬件水平可以提供支持的。最后要關(guān)注需求的實(shí)用性，即最后匯總的需要要能切實(shí)解決A企業(yè)所面臨的實(shí)際問題。

3.2.2 會(huì)計(jì)信息系統(tǒng)的使用與維護(hù)

建議A企業(yè)組織人力編制明確界定的、可接受的并被廣泛理解的用戶文檔、操作手冊(cè)。

3.2.3 會(huì)計(jì)信息系統(tǒng)變更管理

建議A企業(yè)對(duì)會(huì)計(jì)信息系統(tǒng)變更實(shí)行問責(zé)制，對(duì)于不經(jīng)過正式變更流程實(shí)行變更的人員，采取相應(yīng)的懲罰措施，以防止此類事件的發(fā)生，將意外情況降至最低。

3.3 服務(wù)與支持方面的控制

3.3.1 加強(qiáng)服務(wù)管理

⑴明確服務(wù)層次定義。建議A企業(yè)制定出詳細(xì)的服務(wù)層次框架，對(duì)框架中涉及的服務(wù)領(lǐng)域，服務(wù)處理流程、服務(wù)內(nèi)容、服務(wù)監(jiān)管以及服務(wù)完善流程都要作出明確的說明與定義。

⑵管理好來自于第三方的服務(wù)。由于信息系統(tǒng)的很多服務(wù)來源于第三方服務(wù)公司，并且服務(wù)包含后期的系統(tǒng)維護(hù)，因而建議A企業(yè)在合作時(shí)要對(duì)第三方的服務(wù)作出明確管控，與第三方系統(tǒng)開發(fā)商制定詳細(xì)的服務(wù)合同。

⑶對(duì)服務(wù)的性能進(jìn)行管理。A企業(yè)要明確服務(wù)性能，同時(shí)要確保服務(wù)的可行性。想要做到服務(wù)可行，就要對(duì)目前可用的資源和未來所在的規(guī)劃要做到心中有數(shù)，然后依靠模型建立中的工具對(duì)資源以及性能進(jìn)行管理和監(jiān)控，并且定期生成報(bào)告，對(duì)服務(wù)的滿足程度進(jìn)行預(yù)測(cè)。

3.3.2 保證服務(wù)的連續(xù)性

A企業(yè)在搭建IT框架時(shí)要始終將服務(wù)的連續(xù)性作為第一要義，同時(shí)盡量將連貫性的依賴性降到最低。

3.3.3 保證系統(tǒng)的安全

⑴用戶安全。信息系統(tǒng)的安全是企業(yè)信息系統(tǒng)管理的重要環(huán)節(jié)，為了加強(qiáng)系統(tǒng)的安全性，建議A企業(yè)對(duì)信息訪問要進(jìn)行嚴(yán)格的授權(quán)，增加身份確認(rèn)環(huán)節(jié)。

⑵數(shù)據(jù)安全。A企業(yè)應(yīng)注意做好數(shù)據(jù)的管理工作。首先建立專門的數(shù)據(jù)源搜集檔案，并按時(shí)檢查處理檔案中的數(shù)據(jù)出入和運(yùn)行分析中產(chǎn)生的數(shù)據(jù)沖突錯(cuò)誤。

⑶操作安全。IT系統(tǒng)的運(yùn)作是建立在人為操作的基礎(chǔ)上，所以如何對(duì)日常操作進(jìn)行管理也是信息系統(tǒng)管理的重要環(huán)節(jié)。

3.3.4 完善用戶的后續(xù)培訓(xùn)

建議A企業(yè)任命培訓(xùn)師并及時(shí)組織培訓(xùn)，考慮新的培訓(xùn)方法的運(yùn)用，培訓(xùn)內(nèi)容應(yīng)包括公司價(jià)值培訓(xùn)：道德價(jià)值、控制和安全文化等。

3.4 評(píng)估與監(jiān)控方面的控制

3.4.1 業(yè)績?cè)u(píng)估與監(jiān)控

建議A企業(yè)首先需要制定相應(yīng)的書面監(jiān)控制度，并通過教育和培訓(xùn)，確保相關(guān)人員具備相應(yīng)技能水平，并明確內(nèi)控制度流程及服務(wù)水平所需的相關(guān)工具，形成持續(xù)性記錄的績效相關(guān)的理論基礎(chǔ)。

3.4.2 會(huì)計(jì)信息系統(tǒng)內(nèi)部控制的監(jiān)控與評(píng)估

建議A企業(yè)設(shè)立專門的評(píng)估小組，小組人員由審計(jì)人員和IT技術(shù)人員組成，同時(shí)明確劃分各自之間監(jiān)控范圍。

4 結(jié)語

基于COBIT模型的有效應(yīng)用，為企業(yè)帶來極大便利，省時(shí)省力，信息交流也更為便利，如此環(huán)境下，內(nèi)部控制制度建設(shè)尤為重要。因此，應(yīng)不斷創(chuàng)新管理理念，提升內(nèi)部控制制度建設(shè)水平，及時(shí)為企業(yè)引進(jìn)管理人才、技術(shù)人才，將COBIT模型的功能與先進(jìn)的管理理念相結(jié)合，才能促使企業(yè)在如此激烈的市場競爭環(huán)境中獲得長久發(fā)展。

［1］呂瑋.基于COBIT模型的Q企業(yè)會(huì)計(jì)信息系統(tǒng)內(nèi)部控制研究[D].碩士學(xué)位論文.安徽大學(xué),2015,4.

［2］肖茜.基于COBIT模型的會(huì)計(jì)信息系統(tǒng)內(nèi)部控制研究[D].碩士學(xué)位論文.華中科技大學(xué),2013,4.

本文為2017年湖南省教育廳科研項(xiàng)目：基于COBIT模型的A企業(yè)會(huì)計(jì)信息系統(tǒng)內(nèi)部控制研究（編號(hào)：17C1346）；婁底職業(yè)技術(shù)學(xué)院重點(diǎn)課題：基于ASP.NET設(shè)計(jì)并實(shí)現(xiàn)高校財(cái)務(wù)管理信息系統(tǒng)（編號(hào)：2016ZK005）的研究成果。

龍露（1979-），女，湖南婁底職業(yè)技術(shù)學(xué)院，副教授，碩士研究生，研究方向：財(cái)務(wù)理論及實(shí)踐研究。