基于COBIT模型的A企業會計信息系統內部控制研究

文/龍露，婁底職業技術學院

基于COBIT模型的A企業會計信息系統內部控制研究

文/龍露，婁底職業技術學院

隨著信息時代的到來，會計信息系統得到迅速發展和廣泛應用，傳統的會計信息系統內部控制不能滿足日趨復雜的要求，正面臨著巨大的考驗，因而需進一步加強會計信息系統的內部控制體系建設。COBIT即信息及相關技術控制目標，是一個標準的IT治理框架，本文以企業內部控制、COBIT治理模型為理論基礎，運用理論聯系實際、歸納分析等方法，以A企業的會計信息系統內部控制為研究對象，對其目前內部控制的現狀進行分析，并對其會計信息系統的內控控制存在的問題進行了探究，針對其現狀與問題，提出運用CO?BIT治理模型對其會計信息系統內部控制體系進行重新構建，以解決目前存在的問題。

會計信息系統；內部控制；COBIT；A企業

1 COBIT的相關概念

1.1 COBIT的含義

COBIT(Control Objectives for Information and related Technolo?gy)是目前國際上通用的信息系統審計的標準，由信息系統審計與控制協會在1996年公布。是一個在國際上公認的、權威的安全與信息技術管理和控制的標準，目前已經更新至5.0版。它在商業風險、控制需要和技術問題之間架起了一座橋梁，以滿足管理的多方面需要。該標準體系已在世界一百多個國家的重要組織與企業中運用，指導這些組織有效利用信息資源，有效地管理與信息相關的風險。

1.2 COBIT的組成

COBIT由六個部分組成，如下圖1所示：

圖1 COBIT模型組成圖

1)執行概要。組織的高層管理者要做出一個正確的決策通常建立在在全面、精確、及時、可靠的信息資源基礎上，他們需要通過執行概要來了解COBIT的關鍵性涵義以及實施原則。2)框架。COBIT可細化為三十多項高層控制目標，三百多個可細化的控制目標，并且每個目標都針對特定的IT過程，這些控制目標被劃分為策劃與組織、采購與實施、交付與支持、監控四個部分。

3)實施工具集。為了使得COBIT模型可以有效的運用，可以在受用方在在各個不同的環境中構建架構，并且成功地發揮其作用，就需要運用到實施工具。

4)管理指南。管理指南是用于指導實踐的，它可以確保信息技術的組織和相關過程的控制管理可以有效運行，確保組織的目標與預期并且監控其中每個進程。

5)詳細控制目標。IT控制需要制定正確的政策和有效的準則，此時詳細控制目標則提供了有效的參考準則，其包函了用來達到所期待結果，而且用于實施的二百一十個詳細控制目標的詳細解釋。

6)審計指南。為了使得預期的目標得到實現，必須在每個IT過程落實相應的審計環節，COBIT模型的審計指南就規劃和建議了三十四個IT過程的審計步驟。

2 A企業信息系統內部控制存在的問題

2.1 戰略規劃與組織結構問題

2.1.1 戰略規劃不全面

一個企業想要在競爭激烈的市場環境中始終保持其市場優勢，一個重要的落腳點就是合理的企業戰略規劃，企業的戰略規劃又被稱為企業發展的靈魂，對企業未來的走向起著舉足輕重的作用。

2.1.2 部門職能結構不完善

A企業設立了兩個互相獨立的部門來進行會計信息系統的管理與操作，分別為財務部與企業的信息公司，這樣的組織架構造成該系統的操作由于缺乏財務部和信息公司之間的有效溝通，進而時常出現運行障礙，也不利于資源的共享。

2.1.3 投資缺乏全面的數據支撐

投資該會計信息系統之前，管理者僅根據自身企業運營情況，通過適當的投資預算，對預算的編制進行了規定。

2.1.4 人才配備不到位

公司對員工的執行力和勝任力控制采取了一系列相對應的措施，但沒從根本上解決問題。缺少對同時掌握會計與IT技術雙重技能的人才引進。

2.2 獲取與實施方面的問題

2.2.1 會計信息系統解決方案確定帶有主觀性

A企業在系統選型過程中，存在一些憑直覺來識別會計信息系統解決方案的現象，并隨業務不同而變化。公司主要依靠內部經驗和知識，釆用非正規方式識別解決方案。

2.2.2 信息系統維護不到位

在運營維護方面，公司雖然對信息中心的會計信息系統維護任務和職責進行了規范，但是信息中心在接到會計信息系統維護任務后，沒有按照任務的重要性進行明確的等級劃分，并進行知識管理。

2.2.3 變更管理無制度支撐

A企業建立了包括分類，劃分優先級，但由于公司業務發展，會有突然變化的情形發生，如授權正式或臨時變更的管理環節。

2.3 服務與支持方面的問題

2.3.1 服務管理欠缺

A企業在尋求開發商后續服務時往往處于被動局面，主要依賴于公司的主動催促及服務商的經驗積累，從而導致公司對第三方的服務評價降低，進而影響長期的服務質量。

2.3.2 連續服務不完善

A公司針對需額外考慮的如不可抗力等影響操作的其他因素，并沒有規定出相對應的應對風險措施，制定突發事件應對計劃，未能對人員負責進行嚴格劃分，責任到人，各種應急措施，并沒有計劃業務連續性和有效性的評價，對經營活動的替代工藝的不足。

2.3.3 會計信息系統安全管理缺少監控機制

A企業雖然已經根據制定出了信息安全等級保護制度，但是公司對系統的管理主要采取實時問題控制這一舉措，并沒有對系統安全進行監控和測試，無法衡量會計信息安全是否達標，也不能及早的對不尋常活動進行制止。

2.3.4 用戶的培訓不完善

對用戶的培訓，公司注重業務知識結構的強化，忽視了對用戶道德的指導。在培訓結束后，公司沒有采取相應的考評措施，降低了對員工學習的約束力度，無法對培訓的效果進行估量，不利于后續培訓內容的展開。

2.4 評估與監控方面的問題

2.4.1 未展開安全評估與風險管理

雖建立相應管控制度，但A企業的風險評估結果卻并未引起高層重視，而針對風險的識別和未來影響力，企業更幾乎沒有考慮，更沒有相應制度的出臺和實施。

2.4.2 未進行業績評估與監控

A企業的內部審計由于沒有相應的完善制度支撐，流程也沒有明確的規范，使得內審的完整性與正確性欠佳。公司無特殊情況不進行外聘第三方審計公司參與審計，因而缺少審計結果之間的比較，不能確保企業內部控制的正確和有效。最終，A公司無法公正地對內部控制制度的進行客觀、有效的評測，這將嚴重影響信息系統內部控制的完善進度。

3 運用COBIT構建A企業會計信息系統內部控制體系

依據會計信息系統應用指引的要求，同時與國際上普遍認同的信息系統控制標準——COBIT模型框架相結合，對A企業信息系統作出進一步的梳理與完善。下面依據A企業的現狀以及存在的問題，利用COBIT模型對A企業的會計信息系統內部控制體系進行重新構建，具體從四個方面進行幵展：

3.1 戰略規劃與組織結構方面的控制

3.1.1 擬定會計信息系統戰略性規劃

A企業目前沒有制定成熟的IT戰略規劃，成熟度較低。該環節中的把控目標是要保持控制IT戰略與企業戰略的相一致。

3.1.2 確定會計信息系統組織結構

A企業在戰略層面考慮會計信息系統的應該關注軟件程序在數據和編碼上的統一性，以免出現同樣的材料在不同部門之間傳遞時缺乏數據一致性，進而加大數據匯總的難度。同時隨著會計信息系統環境的變化，需要設立專門的信息中心，以完成企業各項數據的收集與分析，以提高其及時有效性。

3.1.3 IT投資管理

A企業管理層希望得到較高的投資回報率，即IT滿足業務需求，進而提高增加利益相關方的收益。COBIT在運用中對投資的管理明確為，有效推動業務利益方與IT的共同合作，促進IT資源的有效利用，并將總成本、總收益的實際實現結果與IT的投資回報率反饋給所有者，并對結果負責。

3.1.4 IT人力資源管理

企業人力資源的管理是企業管理的重要方面，主要包括：進行員工的招聘、開展人員培訓、疏通職員晉升渠道、有計劃進行干部儲備，適時完成人員精簡；有效提高員工素質，明確企業崗位職責劃分，合理做出人員績效考評，以及崗位人員流動，工作內容變更等。

3.2 獲取與實施方面的控制

從A企業目前的現狀出發，要對其會計信息系統的內部控制體系進行構建，需要建立在可操作、可維護、可持續的基礎上。在COBIT中，IT獲取與實施是一個控制域，在這個域中，有相應需要控制的流程。對A企業內控體系的構建也需要從3個方面入手。

3.2.1 確定解決方案

建議A企業對其系統的需求進行全面充分的分析。該需求分析要從四個環節把控。首先要保持各個部門的需要相統一；其次所統計的需要必須是完整的；再次制定的需要應該是可實現的，即目前的軟件水平和硬件水平可以提供支持的。最后要關注需求的實用性，即最后匯總的需要要能切實解決A企業所面臨的實際問題。

3.2.2 會計信息系統的使用與維護

建議A企業組織人力編制明確界定的、可接受的并被廣泛理解的用戶文檔、操作手冊。

3.2.3 會計信息系統變更管理

建議A企業對會計信息系統變更實行問責制，對于不經過正式變更流程實行變更的人員，采取相應的懲罰措施，以防止此類事件的發生，將意外情況降至最低。

3.3 服務與支持方面的控制

3.3.1 加強服務管理

⑴明確服務層次定義。建議A企業制定出詳細的服務層次框架，對框架中涉及的服務領域，服務處理流程、服務內容、服務監管以及服務完善流程都要作出明確的說明與定義。

⑵管理好來自于第三方的服務。由于信息系統的很多服務來源于第三方服務公司，并且服務包含后期的系統維護，因而建議A企業在合作時要對第三方的服務作出明確管控，與第三方系統開發商制定詳細的服務合同。

⑶對服務的性能進行管理。A企業要明確服務性能，同時要確保服務的可行性。想要做到服務可行，就要對目前可用的資源和未來所在的規劃要做到心中有數，然后依靠模型建立中的工具對資源以及性能進行管理和監控，并且定期生成報告，對服務的滿足程度進行預測。

3.3.2 保證服務的連續性

A企業在搭建IT框架時要始終將服務的連續性作為第一要義，同時盡量將連貫性的依賴性降到最低。

3.3.3 保證系統的安全

⑴用戶安全。信息系統的安全是企業信息系統管理的重要環節，為了加強系統的安全性，建議A企業對信息訪問要進行嚴格的授權，增加身份確認環節。

⑵數據安全。A企業應注意做好數據的管理工作。首先建立專門的數據源搜集檔案，并按時檢查處理檔案中的數據出入和運行分析中產生的數據沖突錯誤。

⑶操作安全。IT系統的運作是建立在人為操作的基礎上，所以如何對日常操作進行管理也是信息系統管理的重要環節。

3.3.4 完善用戶的后續培訓

建議A企業任命培訓師并及時組織培訓，考慮新的培訓方法的運用，培訓內容應包括公司價值培訓：道德價值、控制和安全文化等。

3.4 評估與監控方面的控制

3.4.1 業績評估與監控

建議A企業首先需要制定相應的書面監控制度，并通過教育和培訓，確保相關人員具備相應技能水平，并明確內控制度流程及服務水平所需的相關工具，形成持續性記錄的績效相關的理論基礎。

3.4.2 會計信息系統內部控制的監控與評估

建議A企業設立專門的評估小組，小組人員由審計人員和IT技術人員組成，同時明確劃分各自之間監控范圍。

4 結語

基于COBIT模型的有效應用，為企業帶來極大便利，省時省力，信息交流也更為便利，如此環境下，內部控制制度建設尤為重要。因此，應不斷創新管理理念，提升內部控制制度建設水平，及時為企業引進管理人才、技術人才，將COBIT模型的功能與先進的管理理念相結合，才能促使企業在如此激烈的市場競爭環境中獲得長久發展。

［1］呂瑋.基于COBIT模型的Q企業會計信息系統內部控制研究[D].碩士學位論文.安徽大學,2015,4.

［2］肖茜.基于COBIT模型的會計信息系統內部控制研究[D].碩士學位論文.華中科技大學,2013,4.

本文為2017年湖南省教育廳科研項目：基于COBIT模型的A企業會計信息系統內部控制研究（編號：17C1346）；婁底職業技術學院重點課題：基于ASP.NET設計并實現高校財務管理信息系統（編號：2016ZK005）的研究成果。

龍露（1979-），女，湖南婁底職業技術學院，副教授，碩士研究生，研究方向：財務理論及實踐研究。