淺談Cobit在會計信息系統審計中的應用

盧薪伈

【摘要】信息及相關技術控制目標，簡稱Cobit，是現階段國際上普遍認同的較為權威、先進的信息技術與安全控制和管理的標準。Cobit框架構建初衷是為企業的IT治理、安全和控制提供較為普遍的公認標準。多次地修改與完善，Cobit框架對于IT及信息系統的管理指導層面提升。同時隨著各行業的信息系統化，會計信息系統的控制與審計也進入到業界的視野。本文先對Cobit進行簡單介紹，然后基于框架內容與理念淺談Cobit在會計信息系統審計中的應用，僅供參考。

【關鍵詞】Cobit 會計信息系統 審計 應用

在會計信息系統審計中，內部控制長久以來都是這個領域中的探討熱點。20世紀90年代，美國COSO委員會發布的《內部控制——整合框架》或COSO內部控制框架①，一直以來成為多數發達國家企業內部控制構建和規范的參照標準。隨著信息技術的日益更新，尤其是電子商務的廣泛應用，信息技術已成為現代企業重點資源之一。未來企業的生存與發展，都將以信息系統的使用和發展作為基礎和依靠。信息技術的日趨成熟使會計信息系統得以廣泛應用，會計信息系統的安全及風險管理也因此受到關注。Cobit②框架作為更側重于IT治理和控制的框架，不僅囊括COSO內控框架中的所有內控標準，其以IT系統為研究對象的特點，使其能為會計信息系統的審計和內控管理提供更具體、更有針對性的指導和啟發。

一、Cobit框架概念

1996年，美國信息系統審計和控制協會（簡稱ISACA）③首次公布了Cobit框架，我國將其定義為信息及相關技術控制目標，是一種最新的信息技術管理模型[1]。通過不斷地發展與完善，當前這一模型已經廣泛應用于信息化領域，并漸漸形成了“Cobit治理”理念，成為基于IT治理概念的，面向信息系統建設過程的治理實現指南和審計標準。

Cobit把IT資源、業務要求和IT過程同企業的目標與戰略發展策略緊密結合起來，構成一個三維的體系結構（如圖1所示）[2]。其中IT資源一般包含了應用系統、信息、基礎設施及人在內的有關資源，這是IT治理過程中的主要對象；業務要求則全面反映企業的戰略目標，也可理解為企業為完成業務目標對IT資源和IT過程的要求標準。一般從有效性、高效性、保密性、完整性、可獲取性、符合性及可靠性七個方面來衡量對象的質量。IT過程則是在業務要求相適應的COBIT的IT總體控制目標的導向下，科學合理地規劃和處理信息及有關資源。其為企業管理的成功提供了集成的IT管理模型和信息處理高效改進的對策，更好地符合企業的發展需求。IT資源、IT過程與業務要求以三面立體的模式展現，生動地體現了三者獨立而相互依賴的交互聯系。

IT過程一般又認為是框架中的最重要部分。IT過程由三部分構成：過程域、過程及活動。其中，不同的“過程域”集合不同的“活動”，“活動”歸屬劃分到哪個“過程域”，根據IT“活動”配合的是企業中哪些機構的具體職責。在Cobit中劃分了四個“過程域”：計劃與組織（Planning and enterprise）、獲取與實施（Acquisition and implementation）、交付與支持（Delivery and support）及監測和評價（Monitoring and evaluation）。

二、Cobit在會計信息系統審計中的應用

分析審計發展歷程得知，控制同審計之間的關系越來越密切，現代審計一個典型的特征便是在審計過程中，首先需要對被審計單位的內部控制進行研究與評價。Cobit為企業提供了新型系統控制的目標與信息標準，同時為企業提供了信息系統的審計指南。Cobit在很大程度上啟示和指導了會計信息系統審計工作。

（一）基于內控理念基礎

Cobit框架能夠為會計信息系統審計和內部控制提供參照標準，出于其框架概念覆蓋了內部控制的思想，同時也顯著體現了IT管理的重要理念：

1.戰略性聯合。會計信息系統的規劃與運轉應與企業其他業務的運轉和需要相結合匹配，在定位、合作、保持、維護質量和價值方面，使信息系統的計劃和過程的組織與業務建立起良好關系。

2.價值傳遞。在過程中，應確保會計信息系統通過良性的傳遞流程為業務項目或部門提供承諾的服務和服務質量。傳遞過程中能合理控制成本，最大化地利用資源，完成的任務能體現信息系統本身的內在價值。

3.風險管理。無論在哪個層面，信息系統的風險管理都應充分認識企業承擔風險的能力、弱化風險的要求以及重大風險可能帶來的后果。企業中的會計信息系統和其他功能系統一樣，都應有各自的，也應有共擔的風險管理責任，在風險管理中擔當一定角色。

4.資源管理。應有側重性地對會計信息系統及相關資源進行投資優化及妥善管理，尤其關注信息技術、應用程序、數據信息、基礎設施和專業人士資源。企業中高效的IT管理往往依賴于相關專業技術知識和專業基礎設施的不斷優化。

5.業績評估。應有相應的過程控制程序追蹤和監控系統策略的執行精度、項目的完成進度、資源的使用情況、成果的業績表現和服務的交付質量等。信息系統的管理機制應將這些內控目標轉化成明確的行動指令和評價標準，方能對信息系統進行科學合理評估，最終達成內控目標。

（二）審計風險控制

現階段企業審計一般是以風險為導向的審計，尤其注重對審計風險的控制。審計風險包括了控制風險、固有風險與檢查風險[3]。雖然固有風險和控制風險與被審計單位有關，審計人員對此無能為力，但審計人員可以在對固有風險和控制風險的高低做出評估的基礎上，確定實質性測試的性質、時間和范圍，以便將檢查風險以及總體審計風險降低至可接受的水平。Cobit中的管理指南、控制目標和審計指南，正好可以指導我們評價信息系統的固有風險、控制風險和檢查風險。例如，管理指南給出了度量信息系統安全、可靠與有效的指標體系，給出了為管理者提供評估標準的度量模型。其中成熟度模型可以幫助確定被審信息系統是否符合行業和國際標準，通過與行業和國際標準相比較，審計師可以了解被審計信息系統的固有風險水平。而控制目標按照過程域、過程和任務活動逐步細化，定義了四個域的34個高層次控制目標以及318個具體控制目標，通過評估被審信息系統在各個層面上是否達到了控制標準，就可以確定信息系統的控制風險水平。Cobit的審計指南為中介評估機構或信息系統審計師對信息系統進行分析、評估和實施審計提供了建議與指導，可以直接使用于信息系統審計。

（二）確定審計流程

傳統審計一般按照實施時間的不同劃分為事前審計、事中審計與事后審計，但是會計信息系統審計應該根據信息系統生命周期的不同，將其劃分為系統規劃與組織過程的審計、系統獲取與實施過程的審計、系統交付與支持過程的審計、系統監控過程的審計[4]。在信息系統審計中，可借助Cobit的“控制目標匯總表”確定各個IT過程的具體審計目標。例如，在程序開發與維護（AI4）這一IT過程中，所涉及的IT資源包括人員、應用、技術、設備，這些IT資源的有效性、高效性是最重要的控制目標，完整性、符合性和可靠性則是較為次要的控制目標，相應地，審查這些控制是否達到標準就是這一過程的具體審計目標。以人員為例，在這一IT過程的審計中，審計人員要重點關注系統開發人員是否有效（是否有專業能力，能否勝任系統開發工作）并保持高效率工作；其次要關注開發人員的完整性（即整個開發團隊的完整性，是否有真正起作用的用戶代表和內審人員的參與）、符合性（即隊伍是否穩定，人員不會經常發生變動）以及可靠性（即人員的忠誠可信，已簽訂保密協議等）。

雖然審計具體目標的確定僅僅是審計工作的開端，但是一旦將具體目標確定下來，便能夠進入到下一階段的審計測試。Cobit不僅可幫助確定每一IT過程的具體審計目標，而且其審計指南建議了每一IT過程具體的審計步驟，并對如何開展審計測試提供了操作規范和方法。

當前，企業對會計信息系統的依賴性越來越大，大多數管理者已意識到會計信息系統審計的重要性。同時，會計信息系統審計已成為審計發展的新動力和新方向。Cobit框架與COSO框架在結構和理念上有相似性，都采用了立體三維空間呈現結構，這也體現Cobit和COSO在思想上有融合和嵌入。COSO由于設計所站視角更高，使用范圍更寬泛，具有普遍的內控指導意義，Cobit遵從COSO的控制思想，但強調IT控制，從這點來看其是COSO的深化和延伸。這也啟示我們，使用Cobit框架進行會計信息系統審計時，在理解COSO內控思想的前提下，需掌握基礎的IT管理和信息系統知識，具備一定IT思維方式和素質，方能較好地運用Cobit進行會計信息系統審計，提高審計效率和質量。

注釋

{1}COSO為全國反虛假財務報告委員會下屬的發起委員會（The Committee of Sponsoring Organizations of the Treadway Commission）的英文縮寫。1992年9月，COSO委員會發布《內部控制——整合框架》（Internal Control-Integrated Framework）也稱COSO內部控制框架。

{2}Cobit：信息及相關技術控制目標，英文Control Objectives for Information and related Technology的縮寫。

{3}信息系統審計和控制聯合會，英文全稱為：Information Systems Audit and Control Association（ISACA）。

參考文獻

[1]苗連琦.COBIT：加強會計信息系統的內部控制與審計的一個不可或缺的工具[J].中國管理信息化，2012，03（02）：90-93.

[2]王會金.中觀信息系統審計風險控制體系研究——以COBIT框架與數據挖掘技術相結合為視角[J].審計與經濟研究，2012，04（01）：16-23.

[3]張磊.基于COBIT的中國人壽信息系統審計框架設計研究[D].浙江大學，2014.

[4]魯璐.企業信息系統審計一般控制應用框架探究——基于COBIT理論[J].財會通訊，2015，04（31）：110-112.