會計信息化下COBIT框架對企業(yè)內(nèi)部控制的影響

◆基金項目：2015年廣東省本科高校教學質(zhì)量與教學改革工程項目“應用型卓越

會計人才培養(yǎng)計劃”（項目編號：粵教高粵[2015]133號）

◇中圖分類號：F275 文獻標識碼：A 文章編號：1002-5812（2016）09-0032-02

摘要：會計信息化影響了企業(yè)內(nèi)部控制的方式，COBIT為信息化內(nèi)控提供了科學的指導。本文從會計信息化對企業(yè)內(nèi)部控制的作用和風險兩方面，進一步引出COBIT框架對企業(yè)內(nèi)部控制的具體影響。

關(guān)鍵詞：會計信息化 內(nèi)部控制 COBIT

進入21世紀以來，信息化的浪潮席卷了各個領域，包括會計職能的發(fā)揮。其中，會計信息化除了體現(xiàn)在會計核算從手工做賬轉(zhuǎn)變?yōu)殡娮有问剑瑯O大地提高了會計工作的效率和質(zhì)量之外，財務軟件、ERP、XBRL等技術(shù)的發(fā)展更多的是對會計管理職能的拓展和鞏固，特別是對企業(yè)內(nèi)部控制的建立和執(zhí)行有了長足的影響。

我國內(nèi)部控制的發(fā)展經(jīng)歷了漫長的階段，是在總結(jié)我國企業(yè)管理實踐經(jīng)驗、借鑒國際先進成果的基礎上形成的。其中，《企業(yè)內(nèi)部控制基本規(guī)范》第四十一條指出，企業(yè)應當利用信息技術(shù)促進信息的集成與共享，加強對信息系統(tǒng)開發(fā)與維護、訪問與變更、數(shù)據(jù)輸入與輸出、文件儲存與保管、網(wǎng)絡安全等方面的控制，保證信息系統(tǒng)安全穩(wěn)定運行，充分發(fā)揮信息技術(shù)在信息與溝通中的作用。因此COBIT框架作為目前國際公認的最先進、最權(quán)威的安全和信息技術(shù)管理和控制的標準，開始成為信息系統(tǒng)內(nèi)部控制的重要保障。COBIT綜合了包括COSO報告在內(nèi)的內(nèi)部控制標準，并將之嵌入企業(yè)信息化工作流程，從而將企業(yè)戰(zhàn)略目標和業(yè)務目標落實到作業(yè)執(zhí)行過程中，通過控制過程作業(yè)活動達到控制業(yè)務活動，實現(xiàn)戰(zhàn)略目標。因此，相比較COSO報告等具有導向作用的內(nèi)部控制標準，COBIT更具體，對會計信息系統(tǒng)內(nèi)部控制點的設置具有直接的指導意義。

一、會計信息化對企業(yè)內(nèi)部控制的影響

會計信息化由會計電算化演變而來，從最開始借助機器的精密運算程序來彌補手工計算的復雜和失誤，到現(xiàn)在逐步運用于管理信息系統(tǒng)，比如企業(yè)內(nèi)部控制框架的建立和執(zhí)行，其中存在著絲絲縷縷的必然聯(lián)系。會計信息化能使得內(nèi)部控制的八大要素通過數(shù)據(jù)構(gòu)建的手段緊密結(jié)合起來，并在各大關(guān)鍵點設立互通機制，讓信息與溝通不再堵塞、延遲甚至錯亂；而健全的內(nèi)部控制則保證了在人的主觀能動性基礎上，發(fā)揮出信息化的強大覆蓋力及執(zhí)行效率。然而，有利即有弊，在我國內(nèi)部控制初步發(fā)展階段，過快的步入信息化進程同樣可能導致二者相互制約。其作用與風險具體表現(xiàn)為：

（一）會計信息化對企業(yè)內(nèi)部控制產(chǎn)生的作用

1.會計核算結(jié)構(gòu)優(yōu)化，組織職能發(fā)揮強效。財務軟件、ERP等信息系統(tǒng)的使用不僅使會計部門的機構(gòu)設置變得更為精簡高效，同時使每一位財務人員參與到數(shù)據(jù)處理的管理系統(tǒng)中來，實現(xiàn)了權(quán)利與義務的統(tǒng)一。在流暢的數(shù)據(jù)互通中，登錄權(quán)限的設置與模塊的分工充分體現(xiàn)了內(nèi)部控制中的職責分工、授權(quán)審批等制度，同時也滿足了治理層履行其監(jiān)督職能的需求。

2.保證了會計信息的真實、完整與準確性。目前我國企業(yè)會計信息失真現(xiàn)象普遍，一方面是管理層舞弊等有意為之，因此賬外設賬，藏匿、修改、毀損憑證賬簿的手法層出不窮；另一方面是手工運算與信息傳遞產(chǎn)生的失誤也時有發(fā)生。而信息技術(shù)的運用則有效解決了這些問題，一方面是各類權(quán)限的設置具有高度保密性和監(jiān)督功能；另一方面，數(shù)據(jù)的運算基本可實現(xiàn)零失誤，并且系統(tǒng)間的信息傳遞速度也只在一“指”之間。同時信息的相互關(guān)聯(lián)性可進行實時的檢查與稽核，保證授權(quán)的合理與執(zhí)行以及失誤的預警與彌補，從而保證了每一筆會計信息的及時錄入，真實反映，準確核算。

3.激發(fā)了內(nèi)部控制作用的外延。信息化會計較傳統(tǒng)會計增加大量工作，例如：遠程報表 、網(wǎng)上支付、網(wǎng)上報稅等。所以，會計信息化條件下的內(nèi)部控制范圍也相應擴大，如網(wǎng)絡系統(tǒng)安全的控制、系統(tǒng)權(quán)限的控制、會計信息資料的安全保護、計算機病毒防護、計算機操作管理、系統(tǒng)開發(fā)與維護等，都成為會計信息化條件下內(nèi)部控制的內(nèi)容。

（二）會計信息化對企業(yè)內(nèi)部控制產(chǎn)生的風險

1.我國內(nèi)部控制的建設與信息化進程的不匹配。從我國內(nèi)部控制發(fā)展的歷程來看，一直是在借鑒國際研究成果的基礎上結(jié)合國情作出的調(diào)整和創(chuàng)新，這就決定了我國企業(yè)在建立內(nèi)控制度上起點過高而后勁不足。因此，在新的會計信息化環(huán)境下，很多現(xiàn)存的制度和機制已無法適應發(fā)展的要求，加速建立健全會計信息環(huán)境下的內(nèi)部控制制度和相應的管理機制顯得迫在眉睫。從現(xiàn)實來看，一方面表現(xiàn)為我國會計信息系統(tǒng)開發(fā)機構(gòu)與技術(shù)都欠成熟，而復雜的市場經(jīng)濟形勢導致各企業(yè)甚至各部門的訴求遠超設定，比如龐大數(shù)據(jù)庫的建立就已經(jīng)很困難了，需要前期投入大量人力物力財力。另一方面，國外的經(jīng)驗并不適用于我國企業(yè)內(nèi)控的建設，如果盲目追求與國際接軌使得信息系統(tǒng)的使用不能構(gòu)造暢通的渠道，甚至數(shù)據(jù)對接出現(xiàn)問題的話，結(jié)果可能導致我國在內(nèi)部控制建設上出現(xiàn)嚴重偏差，企業(yè)也極其容易因為信息不暢導致決策失誤加大經(jīng)營風險。

2.信息安全得不到保障。在采用了信息系統(tǒng)的內(nèi)部控制管理體系里，其五個關(guān)鍵控制點：開發(fā)與維護、訪問與變更、數(shù)據(jù)輸入與輸出、文件存儲與保管、網(wǎng)絡安全都容易比傳統(tǒng)手工控制產(chǎn)生更多的安全風險。比如，研發(fā)技術(shù)不當會使得信息系統(tǒng)不能與企業(yè)內(nèi)控制度兼容，或者是產(chǎn)生安全漏洞導致黑客攻擊從而泄露商業(yè)機密；權(quán)限設置不嚴密使得信息被隨意篡改，授權(quán)審批等控制活動流于形式；數(shù)據(jù)存儲與交互、備份與恢復等功能不全導致數(shù)據(jù)丟失；對系統(tǒng)程序的缺陷或漏洞安全防護不夠，無法保障信息安全；對各種計算機病毒防范清理不力，導致系統(tǒng)運行不穩(wěn)定甚至癱瘓等。

3.工作人員的綜合素質(zhì)有待加強。由于是在信息化條件下建立的內(nèi)控制度，許多環(huán)節(jié)忽視了人的作用導致大部分決策是機器分析的結(jié)果，而沒有人的思考與判斷，容易滋生偷懶思想，抑制工作積極性，因此需要協(xié)調(diào)好人工與自動化成分在整個內(nèi)控系統(tǒng)中的關(guān)系。另外，體現(xiàn)最明顯的就是專業(yè)勝任能力方面，現(xiàn)在的財務人員除了要掌握會計基礎知識，還必須熟悉甚至精通信息技術(shù)相關(guān)要求，才能達到在專業(yè)指導下去執(zhí)行和完成信息系統(tǒng)分配的職責，不然不僅不能提高工作效率，反而還會造成操作不熟練、權(quán)責分配不清、監(jiān)督失效等問題。

二、會計信息化下COBIT框架的建立及對企業(yè)內(nèi)部控制的影響

（一）COBIT概念及其框架和發(fā)展

COBIT （Control Objectives for Inform ation and related Technology信息及相關(guān)技術(shù)控制目標）是由信息系統(tǒng)審計和控制協(xié)會（ISACA）下屬的 IT治理研究院（ITGI）發(fā)布的 ，旨在為 IT 的治理、安全和控制提供一個普遍適用的公認的標準，以輔助企業(yè)管理層進行IT治理。1996年COBIT體系作為一個審計框架而被提出，經(jīng)歷了多次調(diào)整，直至2012年推出COBIT 5.0，是目前最新的研究成果。COBIT 5.0在借鑒了前面系列框架的基礎上，被定位為IT治理與IT管理框架，不僅僅為IT治理框架，更加符合了COBIT的實際應用。

簡要來說，COBIT 框架的IT過程就是在IT總體控制目標的導向下，對組織的信息化歸納為34個IT處理流程，在控制目標的確定上，COBIT 將管理活動分為4個領域：計劃與組織、獲取與實施、交付與支持、檢測和評價，針對34個IT處理流程進一步進行分解，確定了210個具體的控制目標，在梳理控制目標的基礎上，對每一控制目標的實現(xiàn)建立詳細的管理策略等，在對業(yè)務目標分解和控制具體目標確定的基礎上，COBIT又形成了管理指南，使得COBIT 的可操作性大大提高。利用成熟度模型，可以對組織目前所處的 IT 環(huán)境進行判斷，同時，在管理指南中詳細地敘述了每個過程的成熟度模型——渾沌狀態(tài)的0級到優(yōu)化的5級、KGI、KPI以及要達到 KGI的 “重要成功因素”CSF。同時，還給出了與這個過程密切相關(guān)的IT資源，以及信息判據(jù)中哪些特征最為重要和比較重要。在文件“詳細控制目標”中，則按照34個IT 處理流程逐一給出“詳細控制目標”。最后，COBIT還包括“信息系統(tǒng)審計指南”，構(gòu)成比較復雜，包含了“審計道德要求”“信息系統(tǒng)審計標準”“信息系統(tǒng)審計指南”“信息系統(tǒng)審計過程”等子文件。

（二）COBIT框架對企業(yè)內(nèi)部控制的影響

COBIT框架在對信息化目標進行分解過程中，能夠有效地平衡企業(yè)效益實現(xiàn)、風險水平和資源使用的關(guān)系，能為各個層級提供治理或管理需要。如對COSO框架中的內(nèi)部控制體系進行補充，則可為管理層在信息不對稱的IT環(huán)境中權(quán)衡風險與投資關(guān)系，使用者隨時獲取信息安全與控制保證，審計人員證實其對企業(yè)內(nèi)控整體的評價與建議等方面發(fā)揮極大作用。

1.統(tǒng)籌IT控制目標和內(nèi)部控制目標。在COBIT模型中，企業(yè)在對信息進行控制時，將IT資源、信息準則、IT過程與企業(yè)目標或策略結(jié)合起來，形成一個三維立體結(jié)構(gòu)。而內(nèi)部控制框架同樣通過四目標、八要素、三主題構(gòu)成，通過對二者的對比可發(fā)現(xiàn)，如果將內(nèi)部控制目標與IT控制目標進行目標級連，自定義COBIT以適應內(nèi)控需求，則可將高級的內(nèi)控目標轉(zhuǎn)化為易管理的、指定的IT相關(guān)目標并映射到具體的內(nèi)控流程和實踐。其全覆蓋率、高兼容性、整體聯(lián)系性使得在各內(nèi)控目標指導下能夠合理配置IT資源，準確有序完成業(yè)務過程，高效評估風險，實現(xiàn)各利益相關(guān)者的信息需求。

2.從戰(zhàn)略層面考慮企業(yè)內(nèi)部控制體系設置。會計信息化下內(nèi)部控制的變化不僅僅體現(xiàn)在財務軟件、管理信息系統(tǒng)的運用，更多的是讓信息化的管理意識及其操作流程貫穿于所有生產(chǎn)、經(jīng)營的場所與人員。由此，企業(yè)應該從戰(zhàn)略角度上進行企業(yè)內(nèi)控體系的設置。結(jié)合COBIT框架，確定每個內(nèi)部控制過程的控制目標 、涉及到的IT資源、過程成熟度指標、監(jiān)控和評價標準。在區(qū)分管理與治理的基礎上，根據(jù)業(yè)務需求，治理層對管理層進行評估、指導、監(jiān)控，做好基于內(nèi)部控制的IT績效評價，分析成功經(jīng)驗為下期做好借鑒；管理層負責計劃、構(gòu)建、運營與監(jiān)控，并及時對治理層進行管理反饋；具體業(yè)務執(zhí)行者在這四個領域里按照IT資源的分配完成相關(guān)流程，并需注意為企業(yè)內(nèi)控建設創(chuàng)造合適環(huán)境，識別難點與觸發(fā)事件，采用生命周期方法進行缺陷的發(fā)現(xiàn)與彌補。

3.在風險管理方面的應用。COBIT框架設計了詳細的信息流通路徑，企業(yè)可以根據(jù)具體經(jīng)營情況，梳理業(yè)務流程節(jié)點，建立起風險控制機制。首先，可以采用COBIT中的風險衡量（定性分析法）對風險進行評估，通過對風險級別的衡量，管理層可以在投資決策上進行更多的分析，保證資產(chǎn)的安全性，并通過預警機制及時處理突發(fā)情況。其次，參考 COBIT的“IT風險評估及管理”模塊，為每個風險制定潛在控制措施列表，實施控制措施后建立風險等級對比表 ，以評估風險降低程度和解決方案的成本，選擇風險緩解方案。最后，啟用C0BIT的“確保系統(tǒng)安全”程序，管理層應時刻關(guān)注信息數(shù)據(jù)的完整性、準確性、有效性和相關(guān)授權(quán)來保證用于財務報告和相關(guān)披露的信息的質(zhì)量和完整性。同時通過審計人員的評價確定內(nèi)部控制的有效性，并加強內(nèi)部監(jiān)督的作用。要求企業(yè)建立一套完整的安全事故監(jiān)控和反應制度，及時報告安全事故、安全弱點、軟件故障，妥善處理后歸檔保存。

綜上所述，會計信息化為企業(yè)內(nèi)部控制的建設和發(fā)展帶來了深遠的影響，但無論利弊都是生產(chǎn)力發(fā)展到一定階段的必然結(jié)果。為了取長補短，由此產(chǎn)生了COBIT框架與內(nèi)部控制框架的有效結(jié)合，從而優(yōu)化了信息系統(tǒng)內(nèi)部控制的科學性和嚴謹性，可為我國大部分企業(yè)提供有效借鑒，加快會計信息化下我國企業(yè)內(nèi)部控制的進程，并保障其健康、有序地發(fā)展。Z

參考文獻：

[1]鐘紅英.基于COBIT的會計信息系統(tǒng)內(nèi)部控制研究[J].財會通訊·綜合（上） ，2009，（8）.

[2]張喜娟.會計信息化內(nèi)部控制與有效實施[J].信息技術(shù)，2011，（7）.

[3]羅燦姬.會計信息化與內(nèi)部控制[J].沿海企業(yè)與科技，2012，（02）.

[4]李強.COBIT框架下的會計信息系統(tǒng)內(nèi)部控制初探[J].當代經(jīng)濟，2010，1月（下）.

[5]陳亞娟.IT環(huán)境下COBIT在內(nèi)部控制中的應用[J].Commercial Accounting ，2011，（14）.

[6]謝羽霄，邱晨旭.基于COBIT框架的電信企業(yè)信息技術(shù)內(nèi)部控制體系研究[J].電信科學，2009，（7）.

作者簡介：

何萍，女，廣東海洋大學寸金學院會計系，主要講授審計學、內(nèi)部控制等課程。