◆基金項(xiàng)目：2015年廣東省本科高校教學(xué)質(zhì)量與教學(xué)改革工程項(xiàng)目“應(yīng)用型卓越

會(huì)計(jì)人才培養(yǎng)計(jì)劃”（項(xiàng)目編號(hào)：粵教高粵[2015]133號(hào)）

◇中圖分類號(hào)：F275 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1002-5812（2016）09-0032-02

摘要：會(huì)計(jì)信息化影響了企業(yè)內(nèi)部控制的方式，COBIT為信息化內(nèi)控提供了科學(xué)的指導(dǎo)。本文從會(huì)計(jì)信息化對(duì)企業(yè)內(nèi)部控制的作用和風(fēng)險(xiǎn)兩方面，進(jìn)一步引出COBIT框架對(duì)企業(yè)內(nèi)部控制的具體影響。

關(guān)鍵詞：會(huì)計(jì)信息化 內(nèi)部控制 COBIT

進(jìn)入21世紀(jì)以來(lái)，信息化的浪潮席卷了各個(gè)領(lǐng)域，包括會(huì)計(jì)職能的發(fā)揮。其中，會(huì)計(jì)信息化除了體現(xiàn)在會(huì)計(jì)核算從手工做賬轉(zhuǎn)變?yōu)殡娮有问剑瑯O大地提高了會(huì)計(jì)工作的效率和質(zhì)量之外，財(cái)務(wù)軟件、ERP、XBRL等技術(shù)的發(fā)展更多的是對(duì)會(huì)計(jì)管理職能的拓展和鞏固，特別是對(duì)企業(yè)內(nèi)部控制的建立和執(zhí)行有了長(zhǎng)足的影響。

我國(guó)內(nèi)部控制的發(fā)展經(jīng)歷了漫長(zhǎng)的階段，是在總結(jié)我國(guó)企業(yè)管理實(shí)踐經(jīng)驗(yàn)、借鑒國(guó)際先進(jìn)成果的基礎(chǔ)上形成的。其中，《企業(yè)內(nèi)部控制基本規(guī)范》第四十一條指出，企業(yè)應(yīng)當(dāng)利用信息技術(shù)促進(jìn)信息的集成與共享，加強(qiáng)對(duì)信息系統(tǒng)開(kāi)發(fā)與維護(hù)、訪問(wèn)與變更、數(shù)據(jù)輸入與輸出、文件儲(chǔ)存與保管、網(wǎng)絡(luò)安全等方面的控制，保證信息系統(tǒng)安全穩(wěn)定運(yùn)行，充分發(fā)揮信息技術(shù)在信息與溝通中的作用。因此COBIT框架作為目前國(guó)際公認(rèn)的最先進(jìn)、最權(quán)威的安全和信息技術(shù)管理和控制的標(biāo)準(zhǔn)，開(kāi)始成為信息系統(tǒng)內(nèi)部控制的重要保障。COBIT綜合了包括COSO報(bào)告在內(nèi)的內(nèi)部控制標(biāo)準(zhǔn)，并將之嵌入企業(yè)信息化工作流程，從而將企業(yè)戰(zhàn)略目標(biāo)和業(yè)務(wù)目標(biāo)落實(shí)到作業(yè)執(zhí)行過(guò)程中，通過(guò)控制過(guò)程作業(yè)活動(dòng)達(dá)到控制業(yè)務(wù)活動(dòng)，實(shí)現(xiàn)戰(zhàn)略目標(biāo)。因此，相比較COSO報(bào)告等具有導(dǎo)向作用的內(nèi)部控制標(biāo)準(zhǔn)，COBIT更具體，對(duì)會(huì)計(jì)信息系統(tǒng)內(nèi)部控制點(diǎn)的設(shè)置具有直接的指導(dǎo)意義。

一、會(huì)計(jì)信息化對(duì)企業(yè)內(nèi)部控制的影響

會(huì)計(jì)信息化由會(huì)計(jì)電算化演變而來(lái)，從最開(kāi)始借助機(jī)器的精密運(yùn)算程序來(lái)彌補(bǔ)手工計(jì)算的復(fù)雜和失誤，到現(xiàn)在逐步運(yùn)用于管理信息系統(tǒng)，比如企業(yè)內(nèi)部控制框架的建立和執(zhí)行，其中存在著絲絲縷縷的必然聯(lián)系。會(huì)計(jì)信息化能使得內(nèi)部控制的八大要素通過(guò)數(shù)據(jù)構(gòu)建的手段緊密結(jié)合起來(lái)，并在各大關(guān)鍵點(diǎn)設(shè)立互通機(jī)制，讓信息與溝通不再堵塞、延遲甚至錯(cuò)亂；而健全的內(nèi)部控制則保證了在人的主觀能動(dòng)性基礎(chǔ)上，發(fā)揮出信息化的強(qiáng)大覆蓋力及執(zhí)行效率。然而，有利即有弊，在我國(guó)內(nèi)部控制初步發(fā)展階段，過(guò)快的步入信息化進(jìn)程同樣可能導(dǎo)致二者相互制約。其作用與風(fēng)險(xiǎn)具體表現(xiàn)為：

（一）會(huì)計(jì)信息化對(duì)企業(yè)內(nèi)部控制產(chǎn)生的作用

1.會(huì)計(jì)核算結(jié)構(gòu)優(yōu)化，組織職能發(fā)揮強(qiáng)效。財(cái)務(wù)軟件、ERP等信息系統(tǒng)的使用不僅使會(huì)計(jì)部門(mén)的機(jī)構(gòu)設(shè)置變得更為精簡(jiǎn)高效，同時(shí)使每一位財(cái)務(wù)人員參與到數(shù)據(jù)處理的管理系統(tǒng)中來(lái)，實(shí)現(xiàn)了權(quán)利與義務(wù)的統(tǒng)一。在流暢的數(shù)據(jù)互通中，登錄權(quán)限的設(shè)置與模塊的分工充分體現(xiàn)了內(nèi)部控制中的職責(zé)分工、授權(quán)審批等制度，同時(shí)也滿足了治理層履行其監(jiān)督職能的需求。

2.保證了會(huì)計(jì)信息的真實(shí)、完整與準(zhǔn)確性。目前我國(guó)企業(yè)會(huì)計(jì)信息失真現(xiàn)象普遍，一方面是管理層舞弊等有意為之，因此賬外設(shè)賬，藏匿、修改、毀損憑證賬簿的手法層出不窮；另一方面是手工運(yùn)算與信息傳遞產(chǎn)生的失誤也時(shí)有發(fā)生。而信息技術(shù)的運(yùn)用則有效解決了這些問(wèn)題，一方面是各類權(quán)限的設(shè)置具有高度保密性和監(jiān)督功能；另一方面，數(shù)據(jù)的運(yùn)算基本可實(shí)現(xiàn)零失誤，并且系統(tǒng)間的信息傳遞速度也只在一“指”之間。同時(shí)信息的相互關(guān)聯(lián)性可進(jìn)行實(shí)時(shí)的檢查與稽核，保證授權(quán)的合理與執(zhí)行以及失誤的預(yù)警與彌補(bǔ)，從而保證了每一筆會(huì)計(jì)信息的及時(shí)錄入，真實(shí)反映，準(zhǔn)確核算。

3.激發(fā)了內(nèi)部控制作用的外延。信息化會(huì)計(jì)較傳統(tǒng)會(huì)計(jì)增加大量工作，例如：遠(yuǎn)程報(bào)表 、網(wǎng)上支付、網(wǎng)上報(bào)稅等。所以，會(huì)計(jì)信息化條件下的內(nèi)部控制范圍也相應(yīng)擴(kuò)大，如網(wǎng)絡(luò)系統(tǒng)安全的控制、系統(tǒng)權(quán)限的控制、會(huì)計(jì)信息資料的安全保護(hù)、計(jì)算機(jī)病毒防護(hù)、計(jì)算機(jī)操作管理、系統(tǒng)開(kāi)發(fā)與維護(hù)等，都成為會(huì)計(jì)信息化條件下內(nèi)部控制的內(nèi)容。

（二）會(huì)計(jì)信息化對(duì)企業(yè)內(nèi)部控制產(chǎn)生的風(fēng)險(xiǎn)

1.我國(guó)內(nèi)部控制的建設(shè)與信息化進(jìn)程的不匹配。從我國(guó)內(nèi)部控制發(fā)展的歷程來(lái)看，一直是在借鑒國(guó)際研究成果的基礎(chǔ)上結(jié)合國(guó)情作出的調(diào)整和創(chuàng)新，這就決定了我國(guó)企業(yè)在建立內(nèi)控制度上起點(diǎn)過(guò)高而后勁不足。因此，在新的會(huì)計(jì)信息化環(huán)境下，很多現(xiàn)存的制度和機(jī)制已無(wú)法適應(yīng)發(fā)展的要求，加速建立健全會(huì)計(jì)信息環(huán)境下的內(nèi)部控制制度和相應(yīng)的管理機(jī)制顯得迫在眉睫。從現(xiàn)實(shí)來(lái)看，一方面表現(xiàn)為我國(guó)會(huì)計(jì)信息系統(tǒng)開(kāi)發(fā)機(jī)構(gòu)與技術(shù)都欠成熟，而復(fù)雜的市場(chǎng)經(jīng)濟(jì)形勢(shì)導(dǎo)致各企業(yè)甚至各部門(mén)的訴求遠(yuǎn)超設(shè)定，比如龐大數(shù)據(jù)庫(kù)的建立就已經(jīng)很困難了，需要前期投入大量人力物力財(cái)力。另一方面，國(guó)外的經(jīng)驗(yàn)并不適用于我國(guó)企業(yè)內(nèi)控的建設(shè)，如果盲目追求與國(guó)際接軌使得信息系統(tǒng)的使用不能構(gòu)造暢通的渠道，甚至數(shù)據(jù)對(duì)接出現(xiàn)問(wèn)題的話，結(jié)果可能導(dǎo)致我國(guó)在內(nèi)部控制建設(shè)上出現(xiàn)嚴(yán)重偏差，企業(yè)也極其容易因?yàn)樾畔⒉粫硨?dǎo)致決策失誤加大經(jīng)營(yíng)風(fēng)險(xiǎn)。

2.信息安全得不到保障。在采用了信息系統(tǒng)的內(nèi)部控制管理體系里，其五個(gè)關(guān)鍵控制點(diǎn)：開(kāi)發(fā)與維護(hù)、訪問(wèn)與變更、數(shù)據(jù)輸入與輸出、文件存儲(chǔ)與保管、網(wǎng)絡(luò)安全都容易比傳統(tǒng)手工控制產(chǎn)生更多的安全風(fēng)險(xiǎn)。比如，研發(fā)技術(shù)不當(dāng)會(huì)使得信息系統(tǒng)不能與企業(yè)內(nèi)控制度兼容，或者是產(chǎn)生安全漏洞導(dǎo)致黑客攻擊從而泄露商業(yè)機(jī)密；權(quán)限設(shè)置不嚴(yán)密使得信息被隨意篡改，授權(quán)審批等控制活動(dòng)流于形式；數(shù)據(jù)存儲(chǔ)與交互、備份與恢復(fù)等功能不全導(dǎo)致數(shù)據(jù)丟失；對(duì)系統(tǒng)程序的缺陷或漏洞安全防護(hù)不夠，無(wú)法保障信息安全；對(duì)各種計(jì)算機(jī)病毒防范清理不力，導(dǎo)致系統(tǒng)運(yùn)行不穩(wěn)定甚至癱瘓等。

3.工作人員的綜合素質(zhì)有待加強(qiáng)。由于是在信息化條件下建立的內(nèi)控制度，許多環(huán)節(jié)忽視了人的作用導(dǎo)致大部分決策是機(jī)器分析的結(jié)果，而沒(méi)有人的思考與判斷，容易滋生偷懶思想，抑制工作積極性，因此需要協(xié)調(diào)好人工與自動(dòng)化成分在整個(gè)內(nèi)控系統(tǒng)中的關(guān)系。另外，體現(xiàn)最明顯的就是專業(yè)勝任能力方面，現(xiàn)在的財(cái)務(wù)人員除了要掌握會(huì)計(jì)基礎(chǔ)知識(shí)，還必須熟悉甚至精通信息技術(shù)相關(guān)要求，才能達(dá)到在專業(yè)指導(dǎo)下去執(zhí)行和完成信息系統(tǒng)分配的職責(zé)，不然不僅不能提高工作效率，反而還會(huì)造成操作不熟練、權(quán)責(zé)分配不清、監(jiān)督失效等問(wèn)題。

二、會(huì)計(jì)信息化下COBIT框架的建立及對(duì)企業(yè)內(nèi)部控制的影響

（一）COBIT概念及其框架和發(fā)展

COBIT （Control Objectives for Inform ation and related Technology信息及相關(guān)技術(shù)控制目標(biāo)）是由信息系統(tǒng)審計(jì)和控制協(xié)會(huì)（ISACA）下屬的 IT治理研究院（ITGI）發(fā)布的 ，旨在為 IT 的治理、安全和控制提供一個(gè)普遍適用的公認(rèn)的標(biāo)準(zhǔn)，以輔助企業(yè)管理層進(jìn)行IT治理。1996年COBIT體系作為一個(gè)審計(jì)框架而被提出，經(jīng)歷了多次調(diào)整，直至2012年推出COBIT 5.0，是目前最新的研究成果。COBIT 5.0在借鑒了前面系列框架的基礎(chǔ)上，被定位為IT治理與IT管理框架，不僅僅為IT治理框架，更加符合了COBIT的實(shí)際應(yīng)用。

簡(jiǎn)要來(lái)說(shuō)，COBIT 框架的IT過(guò)程就是在IT總體控制目標(biāo)的導(dǎo)向下，對(duì)組織的信息化歸納為34個(gè)IT處理流程，在控制目標(biāo)的確定上，COBIT 將管理活動(dòng)分為4個(gè)領(lǐng)域：計(jì)劃與組織、獲取與實(shí)施、交付與支持、檢測(cè)和評(píng)價(jià)，針對(duì)34個(gè)IT處理流程進(jìn)一步進(jìn)行分解，確定了210個(gè)具體的控制目標(biāo)，在梳理控制目標(biāo)的基礎(chǔ)上，對(duì)每一控制目標(biāo)的實(shí)現(xiàn)建立詳細(xì)的管理策略等，在對(duì)業(yè)務(wù)目標(biāo)分解和控制具體目標(biāo)確定的基礎(chǔ)上，COBIT又形成了管理指南，使得COBIT 的可操作性大大提高。利用成熟度模型，可以對(duì)組織目前所處的 IT 環(huán)境進(jìn)行判斷，同時(shí)，在管理指南中詳細(xì)地?cái)⑹隽嗣總€(gè)過(guò)程的成熟度模型——渾沌狀態(tài)的0級(jí)到優(yōu)化的5級(jí)、KGI、KPI以及要達(dá)到 KGI的 “重要成功因素”CSF。同時(shí)，還給出了與這個(gè)過(guò)程密切相關(guān)的IT資源，以及信息判據(jù)中哪些特征最為重要和比較重要。在文件“詳細(xì)控制目標(biāo)”中，則按照34個(gè)IT 處理流程逐一給出“詳細(xì)控制目標(biāo)”。最后，COBIT還包括“信息系統(tǒng)審計(jì)指南”，構(gòu)成比較復(fù)雜，包含了“審計(jì)道德要求”“信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)”“信息系統(tǒng)審計(jì)指南”“信息系統(tǒng)審計(jì)過(guò)程”等子文件。

（二）COBIT框架對(duì)企業(yè)內(nèi)部控制的影響

COBIT框架在對(duì)信息化目標(biāo)進(jìn)行分解過(guò)程中，能夠有效地平衡企業(yè)效益實(shí)現(xiàn)、風(fēng)險(xiǎn)水平和資源使用的關(guān)系，能為各個(gè)層級(jí)提供治理或管理需要。如對(duì)COSO框架中的內(nèi)部控制體系進(jìn)行補(bǔ)充，則可為管理層在信息不對(duì)稱的IT環(huán)境中權(quán)衡風(fēng)險(xiǎn)與投資關(guān)系，使用者隨時(shí)獲取信息安全與控制保證，審計(jì)人員證實(shí)其對(duì)企業(yè)內(nèi)控整體的評(píng)價(jià)與建議等方面發(fā)揮極大作用。

1.統(tǒng)籌IT控制目標(biāo)和內(nèi)部控制目標(biāo)。在COBIT模型中，企業(yè)在對(duì)信息進(jìn)行控制時(shí)，將IT資源、信息準(zhǔn)則、IT過(guò)程與企業(yè)目標(biāo)或策略結(jié)合起來(lái)，形成一個(gè)三維立體結(jié)構(gòu)。而內(nèi)部控制框架同樣通過(guò)四目標(biāo)、八要素、三主題構(gòu)成，通過(guò)對(duì)二者的對(duì)比可發(fā)現(xiàn)，如果將內(nèi)部控制目標(biāo)與IT控制目標(biāo)進(jìn)行目標(biāo)級(jí)連，自定義COBIT以適應(yīng)內(nèi)控需求，則可將高級(jí)的內(nèi)控目標(biāo)轉(zhuǎn)化為易管理的、指定的IT相關(guān)目標(biāo)并映射到具體的內(nèi)控流程和實(shí)踐。其全覆蓋率、高兼容性、整體聯(lián)系性使得在各內(nèi)控目標(biāo)指導(dǎo)下能夠合理配置IT資源，準(zhǔn)確有序完成業(yè)務(wù)過(guò)程，高效評(píng)估風(fēng)險(xiǎn)，實(shí)現(xiàn)各利益相關(guān)者的信息需求。

2.從戰(zhàn)略層面考慮企業(yè)內(nèi)部控制體系設(shè)置。會(huì)計(jì)信息化下內(nèi)部控制的變化不僅僅體現(xiàn)在財(cái)務(wù)軟件、管理信息系統(tǒng)的運(yùn)用，更多的是讓信息化的管理意識(shí)及其操作流程貫穿于所有生產(chǎn)、經(jīng)營(yíng)的場(chǎng)所與人員。由此，企業(yè)應(yīng)該從戰(zhàn)略角度上進(jìn)行企業(yè)內(nèi)控體系的設(shè)置。結(jié)合COBIT框架，確定每個(gè)內(nèi)部控制過(guò)程的控制目標(biāo) 、涉及到的IT資源、過(guò)程成熟度指標(biāo)、監(jiān)控和評(píng)價(jià)標(biāo)準(zhǔn)。在區(qū)分管理與治理的基礎(chǔ)上，根據(jù)業(yè)務(wù)需求，治理層對(duì)管理層進(jìn)行評(píng)估、指導(dǎo)、監(jiān)控，做好基于內(nèi)部控制的IT績(jī)效評(píng)價(jià)，分析成功經(jīng)驗(yàn)為下期做好借鑒；管理層負(fù)責(zé)計(jì)劃、構(gòu)建、運(yùn)營(yíng)與監(jiān)控，并及時(shí)對(duì)治理層進(jìn)行管理反饋；具體業(yè)務(wù)執(zhí)行者在這四個(gè)領(lǐng)域里按照IT資源的分配完成相關(guān)流程，并需注意為企業(yè)內(nèi)控建設(shè)創(chuàng)造合適環(huán)境，識(shí)別難點(diǎn)與觸發(fā)事件，采用生命周期方法進(jìn)行缺陷的發(fā)現(xiàn)與彌補(bǔ)。

3.在風(fēng)險(xiǎn)管理方面的應(yīng)用。COBIT框架設(shè)計(jì)了詳細(xì)的信息流通路徑，企業(yè)可以根據(jù)具體經(jīng)營(yíng)情況，梳理業(yè)務(wù)流程節(jié)點(diǎn)，建立起風(fēng)險(xiǎn)控制機(jī)制。首先，可以采用COBIT中的風(fēng)險(xiǎn)衡量（定性分析法）對(duì)風(fēng)險(xiǎn)進(jìn)行評(píng)估，通過(guò)對(duì)風(fēng)險(xiǎn)級(jí)別的衡量，管理層可以在投資決策上進(jìn)行更多的分析，保證資產(chǎn)的安全性，并通過(guò)預(yù)警機(jī)制及時(shí)處理突發(fā)情況。其次，參考 COBIT的“IT風(fēng)險(xiǎn)評(píng)估及管理”模塊，為每個(gè)風(fēng)險(xiǎn)制定潛在控制措施列表，實(shí)施控制措施后建立風(fēng)險(xiǎn)等級(jí)對(duì)比表 ，以評(píng)估風(fēng)險(xiǎn)降低程度和解決方案的成本，選擇風(fēng)險(xiǎn)緩解方案。最后，啟用C0BIT的“確保系統(tǒng)安全”程序，管理層應(yīng)時(shí)刻關(guān)注信息數(shù)據(jù)的完整性、準(zhǔn)確性、有效性和相關(guān)授權(quán)來(lái)保證用于財(cái)務(wù)報(bào)告和相關(guān)披露的信息的質(zhì)量和完整性。同時(shí)通過(guò)審計(jì)人員的評(píng)價(jià)確定內(nèi)部控制的有效性，并加強(qiáng)內(nèi)部監(jiān)督的作用。要求企業(yè)建立一套完整的安全事故監(jiān)控和反應(yīng)制度，及時(shí)報(bào)告安全事故、安全弱點(diǎn)、軟件故障，妥善處理后歸檔保存。

綜上所述，會(huì)計(jì)信息化為企業(yè)內(nèi)部控制的建設(shè)和發(fā)展帶來(lái)了深遠(yuǎn)的影響，但無(wú)論利弊都是生產(chǎn)力發(fā)展到一定階段的必然結(jié)果。為了取長(zhǎng)補(bǔ)短，由此產(chǎn)生了COBIT框架與內(nèi)部控制框架的有效結(jié)合，從而優(yōu)化了信息系統(tǒng)內(nèi)部控制的科學(xué)性和嚴(yán)謹(jǐn)性，可為我國(guó)大部分企業(yè)提供有效借鑒，加快會(huì)計(jì)信息化下我國(guó)企業(yè)內(nèi)部控制的進(jìn)程，并保障其健康、有序地發(fā)展。Z

參考文獻(xiàn)：

[1]鐘紅英.基于COBIT的會(huì)計(jì)信息系統(tǒng)內(nèi)部控制研究[J].財(cái)會(huì)通訊·綜合（上） ，2009，（8）.

[2]張喜娟.會(huì)計(jì)信息化內(nèi)部控制與有效實(shí)施[J].信息技術(shù)，2011，（7）.

[3]羅燦姬.會(huì)計(jì)信息化與內(nèi)部控制[J].沿海企業(yè)與科技，2012，（02）.

[4]李強(qiáng).COBIT框架下的會(huì)計(jì)信息系統(tǒng)內(nèi)部控制初探[J].當(dāng)代經(jīng)濟(jì)，2010，1月（下）.

[5]陳亞娟.IT環(huán)境下COBIT在內(nèi)部控制中的應(yīng)用[J].Commercial Accounting ，2011，（14）.

[6]謝羽霄，邱晨旭.基于COBIT框架的電信企業(yè)信息技術(shù)內(nèi)部控制體系研究[J].電信科學(xué)，2009，（7）.

作者簡(jiǎn)介：

何萍，女，廣東海洋大學(xué)寸金學(xué)院會(huì)計(jì)系，主要講授審計(jì)學(xué)、內(nèi)部控制等課程。