信息系統環境下的內部控制理論框架COBIT模型

2011-12-31 00:00:00邢永哲

時代金融 2011年21期

【摘要】雖然IT環境下會計系統內部控制的目的、原則不變，但隨著會計信息系統數據儲存和處理方式以及會計工作組織的改變，大部分內部控制方法已經失效或不再適用，因此需要重新建立健全會計信息系統的內部控制制度和措施。本文將介紹信息系統環境下的內部控制理論框架COBIT模型，力圖為企業會計信息系統內部控制建設提供有益的幫助。

【關鍵詞】會計信息系統內部控制 COBIT

引言

信息及相關技術控制目標（Control Objectives for Information and related Technology，COBIT）是由美國信息系統審計和控制協會下屬的IT治理研究院（ITGI）發布并推廣使用的IT治理控制框架。2007年5月，ITGI發布了COBIT 4.1，將企業戰略目標和業務目標落實到作業執行過程中，通過控制流程作業活動達到控制業務活動，實現戰略目標，對會計信息系統內部控制點的設置具有直接的指導意義。

一、COBIT模型的構成及運行流程

COBIT4.1由七個部分組成，分別是IT治理執行概覽、管理指南、框架、控制目標、IT治理實施指南、COBIT控制實踐和IT確認指導。他們從滿足管理層和董事會管理需要，滿足經營及技術管理需要，滿足具體進行治理、控制、安全保證的專業人員需求等三個層次幫助企業進行IT治理。

COBIT模型的各組成部分是相互聯系的，經營目標通過IT流程提供相關信息實現，每個IT流程又被分解為各項作業，各項作業經過對責任劃分表的執行得以完成。同時，為了保證IT流程執行的有效性，必須對每一個IT流程設置相應的IT目標，IT目標由控制目標進行控制，經過控制結果測試的審核由成熟度模型及績效測量的兩個方式——績效指標和結果測量進行衡量，其中控制目標是由控制實踐實施并經過控制設計測試的審核。

COBIT模型雖然包含了7個組成部分并且各司其事，但核心內容只有框架、控制目標和管理指南，本文也將從這三個方面對COBIT模型進行介紹。

二、COBIT框架

COBIT框架通過建立一個流程模，將IT系統細分為4個域和34個信息技術處理流程，與信息標準相聯系，提供端到端的操作效果。

（一）COBIT流程設定

COBIT將所有的流程分成四個域，分別是規劃與組織、獲取與實施、交付與支持與監控和評估。這四個域映射到傳統責任區的計劃、建設、運行和監督。規劃與組織，為遞交“獲取與實施”的解決方案和提供“交付與支持”的服務指明方向。獲取與實施，提供解決方案并使其轉化為具體服務。交付與支持，接收解決方案并將其轉化為最終使用者可用的資料。監控與評估，監控所有流程，以確保遵循了“規劃與組織”提供的方向。所有的IT流程需要定期對他們的質量和控制規定進行評估。該域進行績效管理，內部控制監督，保障治理合規性。

在這四個域中，COBIT框架確定了34個IT流程為日常使用，雖然多數企業已確定IT職責為計劃，建設，運行和監測，并且大多數具有相同的主要流程，但很少會有相同的流程結構或能夠適用所有 COBIT的34個流程。"COBIT框架提供了一個IT流程的完整列表，可以用來驗證業務的完整性和責任劃分，但是，他們不必全部適用，每個企業可以結合自己的需求來采用這些IT流程。

（二）COBIT提供信息的控制標準

為了滿足經營目標，IT所提供的信息需要符合一些控制標準，根據廣泛的質量、信用和安全要求，COBIT制定了七個不同的信息標準——正確性、有效性、機密性、完整性、可用性、合規性、可靠性。

三、COBIT控制目標

COBIT不僅為34個IT流程確定了控制目標，同時也為總體流程和應用程序確定了控制目標。

（一）流程控制

IT控制目標為管理部門有效控制每個IT流程提供了一整套高層次需求，包括設計適當的政策，程序，做法和組織結構為企業目標的實現和非預期事件的預測、發現和修正提供合理的保證。而企業管理層需要依據這些目標是否會在企業實施來選擇，并決定如何實施這些目標，包括使用頻率、跨度、自動化等，并且還要接受沒有實施某些適合于企業的控制目標的風險。

控制目標由一個雙維度的域加上一些流程標碼和控制目標標碼確定。除了控制目標，每個COBIT的流程一般是由流程控制標碼確定。他們應與流程控制目標一同考慮以便有一個共同控制的完整視圖。

（二）應用控制

信息系統的控制分為一般控制和應用控制。一般控制是指嵌入IT流程和IT服務中的控制，例如系統升級，管理變革，安全保障和計算機運行；而嵌入業務流程的控制通常被稱為應用控制，例如完整性，精度，有效性，授權和職責分離。COBIT假定設計和應用實施自動化控制是IT的責任，在“獲取和實施”域進行，根據業務需求確定使用COBIT的信息標準。

四、COBIT管理指南

COBIT管理指南的目的是幫助企業了解自身的IT系統的定位，決策管理和控制水平，認識和解決能力差距。對企業自身的績效水平有客觀的評價是不容易的，而COBIT對企業績效衡量的內容以及方式，提供了以下三個途徑以幫助企業進行自我評價。

（一）成熟度模型

成熟度水平并非設計為一個門欄模型，即如果不能完成低級別的所有條件，便不能移動到下一個更高的水平，而是設計成IT流程的參數文檔，企業應將其看做對現在和未來狀態的描述。

成熟度模型是衡量流程管理實際能力和發展程度的一個方式，流程管理的發展程度和管理能力主要依賴于IT目標和它們支持的業務需求。管理能力的大小大部分取決于投資回報率的高低。成熟度模型的評分將可以幫助專業人士發現IT流程管理上的缺陷，并訂立他們需要的目標。正確的成熟度水平，將被企業的經營目標、經營環境和行業規范所影響。

（二）績效衡量

COBIT中的目標分為IT目標、流程目標以及作業目標三個層次。IT目標和指標確定了企業對IT的期望，以及如何衡量；流程目標和指標確定了為了支持IT目標所應完成的任務，以及如何衡量；活動目標和指標確定了為達到所要求的績效哪些任務需要在流程內部完成，以及如何衡量。

為了業務目標的實現，需要將業務目標分解為IT目標、流程目標和作業目標等三個層次的目標。COBIT4.1運用了兩種新的測量方式對目標進行衡量，一種是結果測量，代替關鍵目標指標（KGIs），顯示目標是否已經達到，但這部分只有在事后衡量，因此，被稱為“滯后指標”。另一種是績效指標，代替關鍵績效指標（KPIs），說明目標實現的可能性。他們可以在結果前清晰測量，因此，被稱為“領先指標”。

績效測量的目的是為了企業能夠清楚自身的定位以及做出下一步發展的規劃，因此績效測量的原理是一個在確定目標，測量成果，顯示績效，提高和再對齊的循環。

小結

通過以上的介紹與分析，我們可以總結出COBIT模型的四大特征：

1. 以業務為中心

以業務為中心是COBIT模型的主題，其不僅被設計成為IT服務供應商、用戶和審計人員所能利用的工具，更重要的是為企業管理層和業務主管人員提供一個綜合性管理指南。

2. 定位于流程

根據企業應用IT技術的全部活動，COBIT模型將IT流程分為三層，第一層是四個流程域，第二層是34個流程，第三層是300多個作業，而流程起到承上啟下的核心作用。COBIT模型又根據流程的相對重要性，將之分成高、中、低三等，重要性高的流程嚴加控制，重要性適中的流程重點控制，重要性低的流程一般控制。

3. 以控制為基礎

COBIT模型認為控制是為了合理保證業務目標的實現和阻止、發現、糾正不良事件而設計的政策、程序、做法和組織結構，對每一流程實行控制是COBIT框架的關鍵思想。

4. 由測量驅動變革

COBIT模型對每一流程進行測量，便于企業清楚自身IT系統所處的狀態，決定企業管理和控制水平。為了對管理和服務水平有一個正確的決策，COBIT模型通過成熟度模型評價IT流程的質量，通過結果測量和績效指標對流程進行績效測量。

COBIT模型實現了企業戰略、業務目標與IT流程的互動，并通過成熟度模型對流程進行持續的監控和改良，是我國建設信息系統內部控制應該學習和借鑒的典范。