○李 強(qiáng) （西安航天動(dòng)力研究所 陜西 西安 710100）

近年來(lái)，財(cái)務(wù)軟件已經(jīng)逐漸代替?zhèn)鹘y(tǒng)的算盤(pán)成為會(huì)計(jì)工作的主要工具，大部分企業(yè)通過(guò)財(cái)務(wù)軟件的使用，極大的提高了日常會(huì)計(jì)核算工作的效率，隨著信息化技術(shù)的快速發(fā)展，財(cái)務(wù)軟件的功能逐漸得以擴(kuò)展，和企業(yè)資源管理系統(tǒng)集成的趨勢(shì)日益明顯，會(huì)計(jì)業(yè)務(wù)流程和信息化技術(shù)的這種融合使得會(huì)計(jì)信息系統(tǒng)的不確定增加，而對(duì)信息化技術(shù)浪潮下的內(nèi)部控制研究卻鮮有成果出現(xiàn)，COBIT（信息及相關(guān)技術(shù)控制目標(biāo)）框架在全世界范圍得到了推廣，研究COBIT框架的主要內(nèi)容，探討在此框架下的會(huì)計(jì)信息系統(tǒng)內(nèi)部控制具有積極的現(xiàn)實(shí)意義。

一、COBIT框架概述

COBIT全稱(chēng)為：Control Objectives for Information&related Technology，中文暫譯為：信息及相關(guān)技術(shù)控制目標(biāo)。它是一系列關(guān)于IT管理最佳實(shí)踐（框架）的集合，由美國(guó)信息系統(tǒng)審計(jì)與控制協(xié)會(huì)（ISACA）下屬的IT治理委員會(huì)（ITGL，Information Technology Governance Institute）于1992年創(chuàng)建。COBIT為管理人員、審計(jì)人員和IT用戶(hù)提供了一套通用的測(cè)量、顯示和處理的方法以及最佳的實(shí)踐，幫助其通過(guò)在公司中使用信息技術(shù)和適當(dāng)?shù)腎T治理與控制，使公司的利益最大化。2007年5月ITGL發(fā)布了COBIT4.1，主要由四部分組成：框架、控制目標(biāo)、管理指南和成熟度模型。其主要內(nèi)容及關(guān)系見(jiàn)圖1。

從圖1可以看出，COBIT框架將業(yè)務(wù)目標(biāo)和IT過(guò)程緊密的結(jié)合了起來(lái)，在IT流程支撐下的業(yè)務(wù)流程首要的IT控制目標(biāo)，根據(jù)其將IT活動(dòng)通過(guò)分解、度量過(guò)程、審計(jì)和控制有效的結(jié)合起來(lái)。分解主要是對(duì)關(guān)鍵活動(dòng)的分解，具體執(zhí)行過(guò)程中則要加以職責(zé)和可操作性；度量過(guò)程則使用了業(yè)績(jī)、結(jié)果和成熟度模型；通過(guò)審計(jì)和控制活動(dòng)，對(duì)內(nèi)部控制的結(jié)果和目標(biāo)進(jìn)行測(cè)試，獲得最佳的控制實(shí)踐。

圖1 COBIT主要內(nèi)容及關(guān)系

COBIT的IT過(guò)程就是在IT總體控制目標(biāo)的導(dǎo)向下，對(duì)組織的信息化歸納為34個(gè)IT處理流程，在控制目標(biāo)的確定上，COBIT將管理活動(dòng)分為4個(gè)領(lǐng)域：計(jì)劃與組織、獲取與實(shí)施、交付與支持、檢測(cè)和評(píng)價(jià)，針對(duì)34個(gè)IT處理流程進(jìn)一步進(jìn)行分解，確定了210個(gè)具體的控制目標(biāo)，在梳理控制目標(biāo)的基礎(chǔ)上，對(duì)每一控制目標(biāo)的實(shí)現(xiàn)建立詳細(xì)的管理策略等，在對(duì)業(yè)務(wù)目標(biāo)分解和控制具體目標(biāo)確定的基礎(chǔ)上，COBIT又形成了管理指南，使得COBIT的可操作性大大提高。利用成熟度模型，可以對(duì)組織目前所處的IT環(huán)境進(jìn)行判斷，同時(shí)，在管理指南中詳細(xì)地?cái)⑹隽嗣總€(gè)過(guò)程的成熟度模型——從渾沌狀態(tài)的0級(jí)到優(yōu)化的5級(jí)、KGI、KPI以及要達(dá)到KGI的“重要成功因素”CSF。同時(shí)，還給出了與這個(gè)過(guò)程密切相關(guān)的IT資源，以及信息判據(jù)中哪些特征最為重要和比較重要。在文件“詳細(xì)控制目標(biāo)”中，則按照34個(gè)IT處理流程逐一給出“詳細(xì)控制目標(biāo)”。最后，COBIT還包括“信息系統(tǒng)審計(jì)指南”，構(gòu)成比較復(fù)雜，包含了“審計(jì)道德要求”、“信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)”、“信息系統(tǒng)審計(jì)指南”、“信息系統(tǒng)審計(jì)過(guò)程”等子文件。

目前，COBIT已經(jīng)在100多個(gè)國(guó)家的超過(guò)10000家企業(yè)獲得應(yīng)用，全球有160余個(gè)機(jī)構(gòu)在推廣COBIT的知識(shí)體系和方法論。COBIT從體系化、標(biāo)準(zhǔn)化的高度，構(gòu)建關(guān)于信息系統(tǒng)投資、建設(shè)、評(píng)估、風(fēng)險(xiǎn)控制的知識(shí)框架，超越了傳統(tǒng)的產(chǎn)品與服務(wù)的概念，是IT行業(yè)乃至信息化事業(yè)的新的發(fā)展思路。COBIT模型實(shí)現(xiàn)了企業(yè)戰(zhàn)略和IT戰(zhàn)略的互動(dòng)，形成了持續(xù)改進(jìn)的良性循環(huán)機(jī)制，為企業(yè)提供了具有一定參考價(jià)值的解決方案，對(duì)推動(dòng)信息技術(shù)的發(fā)展和應(yīng)用具有十分重要的現(xiàn)實(shí)意義。

二、會(huì)計(jì)信息系統(tǒng)風(fēng)險(xiǎn)現(xiàn)狀

會(huì)計(jì)信息系統(tǒng)使得傳統(tǒng)的手工會(huì)計(jì)核算轉(zhuǎn)化為計(jì)算機(jī)程序控制的會(huì)計(jì)管理活動(dòng)，一方面原來(lái)大量的會(huì)計(jì)數(shù)據(jù)輸入得以簡(jiǎn)化，在會(huì)計(jì)憑證記賬階段，輸入關(guān)于經(jīng)濟(jì)業(yè)務(wù)的相關(guān)信息，按照會(huì)計(jì)準(zhǔn)則規(guī)定選擇會(huì)計(jì)科目，在憑證生成保存后，會(huì)計(jì)明細(xì)賬、總賬、會(huì)計(jì)報(bào)表等都可以通過(guò)初始化設(shè)置提取會(huì)計(jì)記賬憑證數(shù)據(jù)而產(chǎn)生，會(huì)計(jì)工作效率得以大大提高。另一方面，會(huì)計(jì)信息系統(tǒng)的廣泛使用，使得會(huì)計(jì)人員過(guò)多的依賴(lài)于計(jì)算機(jī)，在滿(mǎn)足“借方金額=貸方金額”的輸入條件后會(huì)計(jì)信息系統(tǒng)不會(huì)對(duì)業(yè)務(wù)發(fā)生的合理性進(jìn)行判斷，會(huì)計(jì)信息的質(zhì)量有可能受到影響，而過(guò)多的依賴(lài)于計(jì)算機(jī)所產(chǎn)生的軟硬件錯(cuò)誤可能會(huì)給會(huì)計(jì)信息系統(tǒng)帶來(lái)災(zāi)難性的后果，會(huì)計(jì)信息系統(tǒng)面臨以下風(fēng)險(xiǎn)。

1、計(jì)劃與組織風(fēng)險(xiǎn)

信息技術(shù)的快速發(fā)展推動(dòng)了企業(yè)的信息化進(jìn)程。傳統(tǒng)的財(cái)務(wù)軟件在初始階段主要是滿(mǎn)足如何把手工信息變?yōu)橛?jì)算機(jī)信息，隨著企業(yè)規(guī)模的擴(kuò)展和競(jìng)爭(zhēng)的加劇，會(huì)計(jì)數(shù)據(jù)在企業(yè)經(jīng)營(yíng)管理中的作用日益重要，會(huì)計(jì)數(shù)據(jù)向綜合數(shù)據(jù)轉(zhuǎn)化，企業(yè)利益相關(guān)者對(duì)會(huì)計(jì)數(shù)據(jù)“背后的故事”的需求增加，財(cái)務(wù)軟件的各種輔助管理模塊應(yīng)運(yùn)而生，發(fā)展到今天，財(cái)務(wù)軟件已經(jīng)和企業(yè)其他管理軟件融合，會(huì)計(jì)人員提供的數(shù)據(jù)更多是幫助企業(yè)進(jìn)行決策支持等。

企業(yè)在財(cái)務(wù)軟件的實(shí)施過(guò)程要考慮多方面的因素，除了成本要進(jìn)行控制外，軟件的合規(guī)性以及可操作性等也非常重要，但是，很多企業(yè)都忽略了財(cái)務(wù)軟件和其他管理軟件的融合問(wèn)題，比如企業(yè)物資管理采用的Oracle數(shù)據(jù)庫(kù)，人力資源采用了Sybase數(shù)據(jù)庫(kù)，而財(cái)務(wù)軟件又采用了DB2數(shù)據(jù)庫(kù)，數(shù)據(jù)庫(kù)的多樣性導(dǎo)致了企業(yè)業(yè)務(wù)數(shù)據(jù)和會(huì)計(jì)數(shù)據(jù)匹配上存在一定的困難，進(jìn)而使得會(huì)計(jì)數(shù)據(jù)的及時(shí)性和可靠性都受到影響。

在組織結(jié)構(gòu)及制度的建立上，企業(yè)往往是各個(gè)部門(mén)都設(shè)有自己的“系統(tǒng)維護(hù)員”，而系統(tǒng)之間的數(shù)據(jù)對(duì)接及信息變化等缺乏相應(yīng)的組織結(jié)構(gòu)進(jìn)行協(xié)調(diào)，造成了企業(yè)的信息化投入成本很大，但結(jié)果卻是“信息孤島”越來(lái)越多，各種信息最終在企業(yè)的經(jīng)營(yíng)管理過(guò)程中的有效性大大降低，信息判斷的偏差很可能會(huì)導(dǎo)致企業(yè)經(jīng)營(yíng)決策判斷失誤，加大企業(yè)經(jīng)營(yíng)風(fēng)險(xiǎn)。

2、維護(hù)與支持風(fēng)險(xiǎn)

財(cái)務(wù)軟件往往都由專(zhuān)門(mén)的軟件公司提供，一般在項(xiàng)目實(shí)施階段，財(cái)務(wù)軟件公司會(huì)成立專(zhuān)門(mén)的項(xiàng)目組負(fù)責(zé)軟件的初始化及培訓(xùn)工作，在項(xiàng)目實(shí)施結(jié)束后很少有軟件公司留下專(zhuān)門(mén)的人員負(fù)責(zé)財(cái)務(wù)軟件的后續(xù)支持工作，這在很大程度上要求企業(yè)財(cái)務(wù)人員除了具備專(zhuān)業(yè)的財(cái)務(wù)知識(shí)外，具備基本的計(jì)算機(jī)操作能力就成為必須，甚至有專(zhuān)門(mén)的系統(tǒng)管理人員。而在現(xiàn)實(shí)的企業(yè)經(jīng)營(yíng)中，由于會(huì)計(jì)人員專(zhuān)業(yè)知識(shí)結(jié)構(gòu)等差異，很難有人對(duì)財(cái)務(wù)軟件的后續(xù)問(wèn)題提供及時(shí)的支持，大部分“系統(tǒng)管理員”從事于添加會(huì)計(jì)科目、增加往來(lái)單位等事項(xiàng)，很少對(duì)現(xiàn)有軟件的運(yùn)行風(fēng)險(xiǎn)進(jìn)行綜合考慮。這導(dǎo)致了在實(shí)際的運(yùn)行過(guò)程中財(cái)務(wù)軟件的使用效率大大降低，同時(shí)，沒(méi)有充分的利用財(cái)務(wù)軟件進(jìn)行綜合數(shù)據(jù)的收集與分析也降低了會(huì)計(jì)數(shù)據(jù)的有效性。

3、審計(jì)與評(píng)估風(fēng)險(xiǎn)

2006年以來(lái)，我國(guó)政府陸續(xù)頒布了多項(xiàng)內(nèi)部控制規(guī)范，向社會(huì)公開(kāi)征求意見(jiàn)，內(nèi)部控制已經(jīng)成為理論和實(shí)踐關(guān)注的熱點(diǎn)問(wèn)題，但是，在IT環(huán)境下的內(nèi)部控制卻還沒(méi)有專(zhuān)門(mén)的規(guī)范，目前僅有的《企業(yè)內(nèi)部控制規(guī)范XX號(hào)——計(jì)算機(jī)信息系統(tǒng)》（征求意見(jiàn)稿）、中國(guó)注冊(cè)會(huì)計(jì)師準(zhǔn)則1633號(hào)和1231號(hào)等分別對(duì)被審單位在電子商務(wù)環(huán)境的審計(jì)風(fēng)險(xiǎn)進(jìn)行了描述，對(duì)于會(huì)計(jì)信息系統(tǒng)在審計(jì)中應(yīng)關(guān)注的風(fēng)險(xiǎn)點(diǎn)和具體審計(jì)程序、目標(biāo)等尚未有相應(yīng)的規(guī)范出臺(tái)。注冊(cè)會(huì)計(jì)師在執(zhí)行審計(jì)的過(guò)程中一般是要求被審單位將會(huì)計(jì)賬薄打印出來(lái)，按照傳統(tǒng)的審計(jì)方法進(jìn)行審計(jì)，但對(duì)于計(jì)算機(jī)與網(wǎng)絡(luò)技術(shù)的運(yùn)用有什么風(fēng)險(xiǎn)、怎樣才能控制并降低這些風(fēng)險(xiǎn)缺乏相應(yīng)的指導(dǎo)，另一方面，如何利用計(jì)算機(jī)技術(shù)對(duì)財(cái)務(wù)軟件數(shù)據(jù)進(jìn)行收集和分析也缺乏相關(guān)的知識(shí)和工具，IT環(huán)境下注冊(cè)會(huì)計(jì)師審計(jì)面臨新的挑戰(zhàn)。

三、COBIT框架下加強(qiáng)會(huì)計(jì)信息系統(tǒng)內(nèi)部控制的建議

1、從戰(zhàn)略層面考慮企業(yè)會(huì)計(jì)信息系統(tǒng)設(shè)置，建立IT管理部門(mén)

COBIT是基于企業(yè)業(yè)務(wù)流程的IT治理、安全與控制的框架，根據(jù)COBIT框架，會(huì)計(jì)信息系統(tǒng)業(yè)已成為企業(yè)整體信息系統(tǒng)的一個(gè)重要構(gòu)成部分。企業(yè)應(yīng)在戰(zhàn)略層面考慮會(huì)計(jì)信息系統(tǒng)的設(shè)置，重視軟件的數(shù)據(jù)采集、編碼統(tǒng)一、人員集中等，避免出現(xiàn)同一材料在不同部門(mén)之間的數(shù)據(jù)傳遞缺乏統(tǒng)一的編碼規(guī)范，造成數(shù)據(jù)匯總的困難。同時(shí)，隨著企業(yè)經(jīng)營(yíng)規(guī)模的擴(kuò)張，基于IT流程的計(jì)算機(jī)數(shù)據(jù)會(huì)快速膨脹，成立專(zhuān)門(mén)的IT數(shù)據(jù)管理部門(mén)已成為現(xiàn)實(shí)的需要，IT管理部門(mén)可以完成企業(yè)各種軟件的標(biāo)準(zhǔn)統(tǒng)一、數(shù)據(jù)采集、數(shù)據(jù)分析等大量工作，提高會(huì)計(jì)信息系統(tǒng)數(shù)據(jù)的有效性和及時(shí)性。

2、梳理企業(yè)業(yè)務(wù)流程，建立會(huì)計(jì)信息系統(tǒng)風(fēng)險(xiǎn)控制機(jī)制

COBIT框架中的34個(gè)業(yè)務(wù)流程和210個(gè)控制目標(biāo)為企業(yè)實(shí)施COBIT提供了具體的指導(dǎo)，企業(yè)可以根據(jù)具體經(jīng)營(yíng)情況，梳理業(yè)務(wù)流程節(jié)點(diǎn)，根據(jù)各節(jié)點(diǎn)建立相應(yīng)的內(nèi)部控制目標(biāo)，在此基礎(chǔ)上，建立企業(yè)會(huì)計(jì)信息系統(tǒng)風(fēng)險(xiǎn)控制機(jī)制，包括業(yè)務(wù)流程預(yù)警體系、計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)采集與存儲(chǔ)制度、網(wǎng)絡(luò)安全管理制度、管理員權(quán)限與人員授權(quán)管理等。充分保障會(huì)計(jì)信息系統(tǒng)在IT環(huán)境下運(yùn)行的安全、穩(wěn)定，將風(fēng)險(xiǎn)降低到可接受范圍內(nèi)。

3、加大培訓(xùn)，提高專(zhuān)業(yè)人員素質(zhì)

會(huì)計(jì)信息系統(tǒng)的廣泛使用使得會(huì)計(jì)人員的技能必須得以提高，持續(xù)的培訓(xùn)是提高人才能力有效途徑。在人才培訓(xùn)上，不僅包括專(zhuān)業(yè)的會(huì)計(jì)人員，還應(yīng)包括審計(jì)人員、企業(yè)技術(shù)人員等，可以考慮對(duì)低層次人員培訓(xùn)與高層次人員培訓(xùn)、在職人員培訓(xùn)和未來(lái)人才培養(yǎng)、集中培訓(xùn)和自主學(xué)習(xí)等多方式多層次的培訓(xùn)模式。應(yīng)該看到，掌握更多的IT技能已經(jīng)成為未來(lái)信息技術(shù)環(huán)境下人才必備的技能之一，會(huì)計(jì)人員應(yīng)主動(dòng)和技術(shù)人員溝通，參與到項(xiàng)目的實(shí)施過(guò)程中，更好地推動(dòng)企業(yè)經(jīng)營(yíng)管理水平的提高。

[1]胡曉明、林娟：COBIT4.0：解讀與啟示[J].科技管理研究，2007（11）.

[2]陽(yáng)杰、莊明來(lái)、陶黎娟：基于COBIT的會(huì)計(jì)業(yè)務(wù)流程控制[J].審計(jì)與經(jīng)濟(jì)研究，2009（2）.

[3]董榆梅、夏建光：基于COBIT的ERP實(shí)施績(jī)效評(píng)價(jià)研究[J].云南財(cái)經(jīng)大學(xué)學(xué)報(bào)，2007（S1）.

[4]陳婉玲、袁若賓：COBIT及其在信息系統(tǒng)控制與審計(jì)中的應(yīng)用[J].審計(jì)研究，2006（S1）.

[5]羅小琴：淺談會(huì)計(jì)電算化與內(nèi)部控制[J].財(cái)會(huì)研究，2006（12）.

[6]丘朝才：中小型單位會(huì)計(jì)信息系統(tǒng)的風(fēng)險(xiǎn)分析與防范[J].中國(guó)管理信息化（會(huì)計(jì)版），2006（12）.

[7]陳婉玲、袁若賓：COBIT及其啟示[J].會(huì)計(jì)之友（上旬刊），2006（1）.