浅论加强会计信息系统的内部控制_审计论文
【摘 要】本文基于itgi刚刚发布的cobit 4.1,对it环境下会计系统发展的最新状况进行分析,探讨了跨国公司执行cobit的经验和做法,进而提出,借助于cobit 4.1,加强我国企业会计信息系统的内部控制是当务之急,也是大势所趋。
【关键词】cobit;会计信息系统;内部控制
一 、cobit简介与浅析
cobit(control objectives for information and related technology,信息及相关技术控制目标)是目前国际公认的最先进、最权威的安全和信息技术管理和控制的标准。普华永道发布的《今年全球信息安全状况报告》中统计,全世界63%的公司采用了cobit控制框架标准,这一比率是it控制框架采用率最高的。cobit是由信息系统审计和控制协会(information system audit and control association,isaca)(www. isaca. org)下属的it治理研究院(itgi,information technology governance institute)()开发和发布的,旨在为it 的治理、安全和控制提供一个普遍适用的公认的标准,以辅助企业管理层进行it治理。自cobit 问世以来,先后经历了1998年、2000年和今年的修改补充,今年5月,itgi发布了cobit 4.1,它从it治理的角度,从更高的层面上来指导管理层进行it控制和信息系统管理。由于一方面全球信息化的加剧和我国信息化的发展,另一方面cobit对信息系统控制与审计又有着很好的指导作用,所以当前介绍和引进cobit对于推动我国信息化的健康发展有重要的意义。
cobit 4.1主要是由4部分组成:框架、控制目标、管理指南和成熟度模型。其相互关系如图1所示。
cobit是由相互关联的各组成部分有机结合在一起的,能够为不同的顾客群提供有关治理、管理、控制和保证方面的需要。下面对其组成部分逐一介绍分析。
1. 框架(framework)
cobit将it过程、it资源、与业务要求相适应的it目标结合起来,形成一个三维的体系结构,如图2所示。与业务要求相适应的cobit的it总体控制目标具体是有效性(effectiveness)、高效性(efficiency)、机密性(confidentiality)、完整性(integrity)、可用性(availability)、符合性(compliance)、可靠性(reliability);it资源主要包括应用系统(applications)、信息(information)、基础设施(infrastructure)和人(people);it过程则是在与业务要求相适应的cobit的it总体控制目标的导向下,对信息及相关资源进行规划和处理,从信息技术的与组织、获取与实施、交付与支持、监控与评价等4个方面确定了34个信息技术处理过程。实际上, cobit的it控制目标的实现就是在it过程中管理it资源来完成的。图3详细地描述了完整的cobit框架,显示了cobit的处理模式是如何根据业务和治理要求来管理it资源并使之给业务传递信息的,该模式由4个领域构成,包括34个一般过程。
2. 控制目标(control objectives)
从领域、过程和活动3个层面对总体目标进行分解,通过对特定的活动实施控制,以实现预定的系统目标。为有效地进行it治理,在cobit框架内部通常将需要进行管理的活动和风险分为4个领域,即计划与组织(planning and arrangement)、获取与实施(acquisition and implementation)、交付与支持(delivery and support)和监测与评价(monitoring and evaluation),领域目标按34个过程进行细分,根据每一个信息技术过程所涉及的系统资源,确定出相应的控制目标;针对每一个信息技术处理过程进一步细分为若干任务,确定出210个具体的控制目标。针对这些具体的控制目标,cobit提供了详细的系统管理策略,包括具体要采取的措施以及要考虑的问题等。这3个层次的控制目标体系使系统管理目标更清楚、更明确,更有操作性。cobit覆盖了整个信息系统的全部生命周期,涵盖了战略、战术与操作的所有层次,处于各个阶段的信息系统都可以参照使用,它所带来的益处是十分明显的,它使it战略与组织战略紧密联系,在业务目标、信息系统、业务绩效目标之间维持平衡。
3. 管理指南(management guidelines)
管理指南是控制目标在企业的具体应用准则,以进行自我评价与选择,进而实施并完善对信息及相关技术的控制,其目的是对it业务活动进行有效控制,使it与业务活动保持高度一致,并通过传递组织所需要的信息使业务活动得以进行。管理指南给出了度量信息系统生命周期各个it控制过程的安全、可靠与有效的指标体系。
4. 成熟度模型(maturity models)
对it过程进行管理和控制的成熟度模型是评价组织的一种方法。它划定6个成熟等级,如图4所示。每一个成熟度等级都规定相应特征,企业可以结合自身的特点,界定出本企业的当前状态。该方法来自于软件工程研究所(software engineering institute,sei)为软件开发能力所定义的成熟度模型,但cobit只是借助于能力成熟度模型(cmm)的形式来为其it管理过程的性质界定出成熟度等级。在cobit 4.1中,34个it治理过程都规定了自己的具体模型。
二、it环境下,加强会计信息系统内部控制的必要性
1. 会计信息系统的演进
会计信息系统的产生和发展是社会经济、技术发展的必然产物。从会计数据处理工具与处理模式来看,会计信息系统的发展可分为3个阶段:一是手工会计信息系统阶段,二是机械会计信息系统阶段,三是计算机会计信息系统阶段。杨周南教授认为计算机会计信息系统阶段又可分为3个阶段:一是电子数据处理阶段,二是综合数据处理阶段,三是决策支持与专家系统阶段。
2. 会计信息系统的定义和特征
会计信息系统(accounting information system,ais)是一种面向价值信息和基于会计管理活动的系统,是在计算机软件和网络环境下,采用现代信息处理技术的一个人机交互的管理信息系统。其基本特征如下:
(1)ais以符合会计管理工作和会计变更的需求为主要目标。
(2)ais以解决企业会计核算和管理所面临的问题为主要功能。
(3)ais以现代计算机硬软件和网络平台为处理环境,由人(含会计人员)、信息技术设备(含数据文件)和运行规程三要素组成,其核心部分是功能完备的会计软件。
(4)ais能充分利用现代信息处理技术,自动(或半自动)采集、存贮、处理、分析、传递和反馈会计信息。
3. 会计信息系统所面临的风险
在it环境下,由于与传统的手工操作环境有了很大的差别,会计信息系统面临着前所未有的风险。主要有以下几类:
(1)疏忽差错(unintended errors)。系统操作员或交易执行员在经济业务资料的输入与处理过程中,由于缺乏必要的上岗作业培训或身体状况欠佳等原因造成的非故意差错。
(2)蓄意差错(deliberated errors)。蓄意差错也就是故意性差错,实质就是舞弊,是不正当的或违法的。在信息的输入—处理—输出的流程中,甚至在软件的开发与研制过程中,都可能产生这种差错。它不仅对有关数据或输出信息的正确性与可信性造成影响,而且还可能导致企业资源的短缺损失和掩饰有关盗窃行为。
(3)疏忽性资产毁损(unintended asset damages)。企业数据资料记录可能承受非故意的毁损,比如存储于硬盘中的应收账款记录未作备份,可能因偶然的断电故障这类偶发事件而消失。
(4)安全措施破坏(breaches of securities)。未经授权许可的人员可能非法接近企业的交易资料与其他记录。电脑“黑客”通过互联网擅自进入企业的计算机系统窃取、篡改或恶意破坏交易资料或记录,以及未经授权员工私自偷阅未设定密码或口令保护的企业员工薪金报告等。这种风险可能在被竞争对手窃取本单位的重要资料时造成极为严重的后果。
(5)暴力(forces)。暴力的存在外界人士(如恐怖分子)和怀有怨气的现有员工或已遭解雇员工的报复行为。如损坏会计信息系统或销毁企业的客户往来档案记录等。其后果可能是毁损企业的资产和资料,甚至导致经营过程中断以及企业的破产倒闭。
基于以上风险,it环境下的会计信息系统加强内部控制具有前所未有的必要性,具体如下:
(1)it环境下电脑操作隐形化和无纸化存储介质的缺陷。
(2)it环境下内部稽核削弱。
(3)it环境下会计工作质量有赖于计算机硬软件系统自身的可靠性及会计人员本身的操作水平。
(4)管理型会计软件的发展对内部控制提出了新要求。
(5)网络财务是it环境下的新型管理模式,其安全性和保密性有赖于建立健全有效的内部控制。
三、借鉴跨国公司经验,运用cobit,加强我国企业会计信息系统的内部控制
1. 保诚公司的经验分析简介
[1]