论文部分内容阅读
[摘 要] 本文基于ITGI刚刚发布的COBIT 4.1,对IT环境下会计信息系统发展的最新状况进行分析,探讨了跨国公司执行COBIT的经验和做法,进而提出,借助于COBIT 4.1,加强我国企业会计信息系统的内部控制是当务之急,也是大势所趋。
[关键词] COBIT;会计信息系统;内部控制
[中图分类号]F239.1[文献标识码]A[文章编号]1673-0194(2008)02-0090-04
一 、COBIT简介与浅析
COBIT(Control Objectives for Information and related Technology,信息及相关技术控制目标)是目前国际公认的最先进、最权威的安全和信息技术管理和控制的标准。普华永道发布的《2006年全球信息安全状况报告》中统计,全世界63%的公司采用了COBIT控制框架标准,这一比率是IT控制框架采用率最高的。COBIT是由信息系统审计和控制协会(Information System Audit and Control Association,ISACA)(www. isaca. org)下属的IT治理研究院(ITGI,Information Technology Governance Institute)(www.itgi.org)开发和发布的,旨在为IT 的治理、安全和控制提供一个普遍适用的公认的标准,以辅助企业管理层进行IT治理。自COBIT 问世以来,先后经历了1998年、2000年和2006年的修改补充,2007年5月,ITGI发布了COBIT 4.1,它从IT治理的角度,从更高的层面上来指导管理层进行IT控制和信息系统管理。由于一方面全球信息化的加剧和我国信息化的发展,另一方面COBIT对信息系统控制与审计又有着很好的指导作用,所以当前介绍和引进COBIT对于推动我国信息化的健康发展有重要的意义。
COBIT 4.1主要是由4部分组成:框架、控制目标、管理指南和成熟度模型。其相互关系如图1所示。
3. 会计信息系统所面临的风险
在IT环境下,由于与传统的手工操作环境有了很大的差别,会计信息系统面临着前所未有的风险。主要有以下几类:
(1)疏忽差错(Unintended Errors)。系统操作员或交易执行员在经济业务资料的输入与处理过程中,由于缺乏必要的上岗作业培训或身体状况欠佳等原因造成的非故意差错。
(2)蓄意差错(Deliberated Errors)。蓄意差错也就是故意性差错,实质就是舞弊,是不正当的或违法的。在信息的输入—处理—输出的流程中,甚至在软件的开发与研制过程中,都可能产生这种差错。它不仅对有关数据或输出信息的正确性与可信性造成影响,而且还可能导致企业资源的短缺损失和掩饰有关盗窃行为。
(3)疏忽性资产毁损(Unintended Asset Damages)。企业数据资料记录可能承受非故意的毁损,比如存储于硬盘中的应收账款记录未作备份,可能因偶然的断电故障这类偶发事件而消失。
(4)安全措施破坏(Breaches of Securities)。未经授权许可的人员可能非法接近企业的交易资料与其他记录。电脑“黑客”通过互联网擅自进入企业的计算机系统窃取、篡改或恶意破坏交易资料或记录,以及未经授权员工私自偷阅未设定密码或口令保护的企业员工薪金报告等。这种风险可能在被竞争对手窃取本单位的重要资料时造成极为严重的后果。
(5)暴力(Forces)。暴力的存在来源于外界人士(如恐怖分子)和怀有怨气的现有员工或已遭解雇员工的报复行为。如损坏会计信息系统或销毁企业的客户往来档案记录等。其后果可能是毁损企业的资产和资料,甚至导致经营过程中断以及企业的破产倒闭。
4. 会计信息系统的内部控制的必要性
基于以上风险,IT环境下的会计信息系统加强内部控制具有前所未有的必要性,具体如下:
(1)IT环境下电脑操作隐形化和无纸化存储介质的缺陷。
(2)IT环境下内部稽核削弱。
(3)IT环境下会计工作质量有赖于计算机硬软件系统自身的可靠性及会计人员本身的操作水平。
(4)管理型会计软件的发展对内部控制提出了新要求。
(5)网络财务是IT环境下的新型管理模式,其安全性和保密性有赖于建立健全有效的内部控制。
三、借鉴跨国公司经验,运用COBIT,加强我国企业会计信息系统的内部控制
1. 保诚公司的经验分析简介
保诚公司于1848年在英国成立,它是目前全球领先的金融服务大鳄和在亚洲领先的欧洲寿险公司。随着其资产管理业务的快速增长,保诚公司(亚洲)在亚太地区的12个国家里拥有了9 000多位员工,除了在新加坡有一个区域分中心之外,它还有两个关键的区域IT中心,其中一个在马来西亚,另一个在中国大陆。
保诚公司亚洲地区的资讯科技部长罗德里格斯在2005年首次引进COBIT。他在香港领导着一个区域IT小组,该小组拥有6名成员。由于得到这个区域IT小组的支持, 保诚的CEO及其委员会成员同意采用COBIT的倡议,他们强烈地支持采用更好的IT框架、系统和程序以在整个地区给公司提供更好的竞争优势。“COBIT是一个非常简单而强有力的管理工具,它让我们实现我们的目标”,罗德里格斯说。
罗德里格斯还认为,“一个好医生是一位能够清楚地向她或他的病人解释如何保持健康的人,同样,一个好的IT专业人员是能够使该项目对一个公司观众来说容易得到理解的人。毫无疑问,我认为COBIT是允许我获得这种能力的工具,利用COBIT,我相信我们能为保诚建立一个更好的IT和公司责任的文化。”
虽然保诚实施COBIT仍在进行之中,但是,很显然,罗德里格斯已经获得了一些经验,具体如下:
(1)IT治理:泛区域战略构成、一致性;
(2)削减成本:减少重复;
(3)安全:区域客户资料管理;
(4)外包:为外包业务伙伴提供适当债务;
(5)沟通:让广大的公司员工易于理解各种术语;
(6)业务增长:为领导者提供了一个更安全、更一致的全面IT环境,以使其把精力集中在可增加企业价值的解决方案上。
上述这些经验显然是对整个保诚公司(亚洲)的IT治理而言的,但是可以看到其中一些经验对会计信息系统的内部控制和审计具有指导意义。
2. 勇于开拓,争取早日构建基于我国实际情况并与国际接轨的COBIT框架
随着我国经济的迅速发展和经济全球化的突飞猛进,近年来我国已逐渐重视企业内部控制,特别是2006年,被业界称为中国的“内部控制年”。财政部牵头联合发起成立了企业内部控制标准委员会,并邀请行政机关、高校、社会团体以及大中型企业的专家兼职咨询。该委员会发布了《企业内部控制规范》(征求意见稿),包括基本规范和一系列具体规范,并专门针对信息系统内部控制制定了《企业内部控制规范第××号——计算机信息系统》(征求意见稿),包括总则、岗位分工和授权批准、信息系统开发、变更与维护控制、信息系统访问安全和会计电算化及其控制等6部分。另外,财政部还于2006年颁布了新审计准则《中国注册会计师审计准则第1633号——电子商务对财务报表审计的影响》,针对电子商务环境下的信息系统审计进行了规范,其中第5章“对内部控制的考虑”里,提到了“注册会计师应当按照《中国注册会计师审计准则第1211号——了解被审计单位及其环境并评估重大错报风险》和《中国注册会计师审计准则第1231号——针对评估的重大错报风险实施的程序》的规定,考虑被审计单位在电子商务中运用的与审计相关的内部控制”。这些标准或规范只是为本专业的内部控制提供了一个应用指导,在一定程度上为进行IT治理环境下的内部控制发挥了一定的作用。但是,从综合的 IT治理或IT内部控制来看,还没有形成一个能够满足各方面要求,适应各种需要的综合的、完整的、系统的框架。目前虽然有些在国际上有显著影响力的IT服务公司使用自己制定的标准或框架,如IBM公司使用IBM IT Process Model( IBM流程模型);HP公司使用HO ITSM Reference Model(HP服务管理参考模型);微软使用Microsoft Operational Framework(MOF,微软运营框架),但是国际上绝大多数公司都使用主流的像COBIT这样的IT治理标准。因此,有必要建立我国自己的COBIT框架,一方面是提升我国公司的管理能力,提高其经济效益,使其不断发展的需要;另一方面,也是我国企业走出国门融入经济全球化大潮中去的需要 。
主要参考文献
[1] 杨周南等. 会计信息系统[M]. 北京: 经济科学出版社,2004.
[2] 杨宝刚. 会计信息系统[M]. 北京:高等教育出版社,2001.
[3] 蔡传勋. 会计信息系统[M]. 大连:东北财经大学出版社,2004.
[4] 金文等. 基于COBIT的信息系统管理、控制与审计的模型构建研究[J]. 审计研究, 2005, (4).
[5] IT Governance Institute .COBIT 4.1[EB/OL]. http://www.itgi. org.
[关键词] COBIT;会计信息系统;内部控制
[中图分类号]F239.1[文献标识码]A[文章编号]1673-0194(2008)02-0090-04
一 、COBIT简介与浅析
COBIT(Control Objectives for Information and related Technology,信息及相关技术控制目标)是目前国际公认的最先进、最权威的安全和信息技术管理和控制的标准。普华永道发布的《2006年全球信息安全状况报告》中统计,全世界63%的公司采用了COBIT控制框架标准,这一比率是IT控制框架采用率最高的。COBIT是由信息系统审计和控制协会(Information System Audit and Control Association,ISACA)(www. isaca. org)下属的IT治理研究院(ITGI,Information Technology Governance Institute)(www.itgi.org)开发和发布的,旨在为IT 的治理、安全和控制提供一个普遍适用的公认的标准,以辅助企业管理层进行IT治理。自COBIT 问世以来,先后经历了1998年、2000年和2006年的修改补充,2007年5月,ITGI发布了COBIT 4.1,它从IT治理的角度,从更高的层面上来指导管理层进行IT控制和信息系统管理。由于一方面全球信息化的加剧和我国信息化的发展,另一方面COBIT对信息系统控制与审计又有着很好的指导作用,所以当前介绍和引进COBIT对于推动我国信息化的健康发展有重要的意义。
COBIT 4.1主要是由4部分组成:框架、控制目标、管理指南和成熟度模型。其相互关系如图1所示。
3. 会计信息系统所面临的风险
在IT环境下,由于与传统的手工操作环境有了很大的差别,会计信息系统面临着前所未有的风险。主要有以下几类:
(1)疏忽差错(Unintended Errors)。系统操作员或交易执行员在经济业务资料的输入与处理过程中,由于缺乏必要的上岗作业培训或身体状况欠佳等原因造成的非故意差错。
(2)蓄意差错(Deliberated Errors)。蓄意差错也就是故意性差错,实质就是舞弊,是不正当的或违法的。在信息的输入—处理—输出的流程中,甚至在软件的开发与研制过程中,都可能产生这种差错。它不仅对有关数据或输出信息的正确性与可信性造成影响,而且还可能导致企业资源的短缺损失和掩饰有关盗窃行为。
(3)疏忽性资产毁损(Unintended Asset Damages)。企业数据资料记录可能承受非故意的毁损,比如存储于硬盘中的应收账款记录未作备份,可能因偶然的断电故障这类偶发事件而消失。
(4)安全措施破坏(Breaches of Securities)。未经授权许可的人员可能非法接近企业的交易资料与其他记录。电脑“黑客”通过互联网擅自进入企业的计算机系统窃取、篡改或恶意破坏交易资料或记录,以及未经授权员工私自偷阅未设定密码或口令保护的企业员工薪金报告等。这种风险可能在被竞争对手窃取本单位的重要资料时造成极为严重的后果。
(5)暴力(Forces)。暴力的存在来源于外界人士(如恐怖分子)和怀有怨气的现有员工或已遭解雇员工的报复行为。如损坏会计信息系统或销毁企业的客户往来档案记录等。其后果可能是毁损企业的资产和资料,甚至导致经营过程中断以及企业的破产倒闭。
4. 会计信息系统的内部控制的必要性
基于以上风险,IT环境下的会计信息系统加强内部控制具有前所未有的必要性,具体如下:
(1)IT环境下电脑操作隐形化和无纸化存储介质的缺陷。
(2)IT环境下内部稽核削弱。
(3)IT环境下会计工作质量有赖于计算机硬软件系统自身的可靠性及会计人员本身的操作水平。
(4)管理型会计软件的发展对内部控制提出了新要求。
(5)网络财务是IT环境下的新型管理模式,其安全性和保密性有赖于建立健全有效的内部控制。
三、借鉴跨国公司经验,运用COBIT,加强我国企业会计信息系统的内部控制
1. 保诚公司的经验分析简介
保诚公司于1848年在英国成立,它是目前全球领先的金融服务大鳄和在亚洲领先的欧洲寿险公司。随着其资产管理业务的快速增长,保诚公司(亚洲)在亚太地区的12个国家里拥有了9 000多位员工,除了在新加坡有一个区域分中心之外,它还有两个关键的区域IT中心,其中一个在马来西亚,另一个在中国大陆。
保诚公司亚洲地区的资讯科技部长罗德里格斯在2005年首次引进COBIT。他在香港领导着一个区域IT小组,该小组拥有6名成员。由于得到这个区域IT小组的支持, 保诚的CEO及其委员会成员同意采用COBIT的倡议,他们强烈地支持采用更好的IT框架、系统和程序以在整个地区给公司提供更好的竞争优势。“COBIT是一个非常简单而强有力的管理工具,它让我们实现我们的目标”,罗德里格斯说。
罗德里格斯还认为,“一个好医生是一位能够清楚地向她或他的病人解释如何保持健康的人,同样,一个好的IT专业人员是能够使该项目对一个公司观众来说容易得到理解的人。毫无疑问,我认为COBIT是允许我获得这种能力的工具,利用COBIT,我相信我们能为保诚建立一个更好的IT和公司责任的文化。”
虽然保诚实施COBIT仍在进行之中,但是,很显然,罗德里格斯已经获得了一些经验,具体如下:
(1)IT治理:泛区域战略构成、一致性;
(2)削减成本:减少重复;
(3)安全:区域客户资料管理;
(4)外包:为外包业务伙伴提供适当债务;
(5)沟通:让广大的公司员工易于理解各种术语;
(6)业务增长:为领导者提供了一个更安全、更一致的全面IT环境,以使其把精力集中在可增加企业价值的解决方案上。
上述这些经验显然是对整个保诚公司(亚洲)的IT治理而言的,但是可以看到其中一些经验对会计信息系统的内部控制和审计具有指导意义。
2. 勇于开拓,争取早日构建基于我国实际情况并与国际接轨的COBIT框架
随着我国经济的迅速发展和经济全球化的突飞猛进,近年来我国已逐渐重视企业内部控制,特别是2006年,被业界称为中国的“内部控制年”。财政部牵头联合发起成立了企业内部控制标准委员会,并邀请行政机关、高校、社会团体以及大中型企业的专家兼职咨询。该委员会发布了《企业内部控制规范》(征求意见稿),包括基本规范和一系列具体规范,并专门针对信息系统内部控制制定了《企业内部控制规范第××号——计算机信息系统》(征求意见稿),包括总则、岗位分工和授权批准、信息系统开发、变更与维护控制、信息系统访问安全和会计电算化及其控制等6部分。另外,财政部还于2006年颁布了新审计准则《中国注册会计师审计准则第1633号——电子商务对财务报表审计的影响》,针对电子商务环境下的信息系统审计进行了规范,其中第5章“对内部控制的考虑”里,提到了“注册会计师应当按照《中国注册会计师审计准则第1211号——了解被审计单位及其环境并评估重大错报风险》和《中国注册会计师审计准则第1231号——针对评估的重大错报风险实施的程序》的规定,考虑被审计单位在电子商务中运用的与审计相关的内部控制”。这些标准或规范只是为本专业的内部控制提供了一个应用指导,在一定程度上为进行IT治理环境下的内部控制发挥了一定的作用。但是,从综合的 IT治理或IT内部控制来看,还没有形成一个能够满足各方面要求,适应各种需要的综合的、完整的、系统的框架。目前虽然有些在国际上有显著影响力的IT服务公司使用自己制定的标准或框架,如IBM公司使用IBM IT Process Model( IBM流程模型);HP公司使用HO ITSM Reference Model(HP服务管理参考模型);微软使用Microsoft Operational Framework(MOF,微软运营框架),但是国际上绝大多数公司都使用主流的像COBIT这样的IT治理标准。因此,有必要建立我国自己的COBIT框架,一方面是提升我国公司的管理能力,提高其经济效益,使其不断发展的需要;另一方面,也是我国企业走出国门融入经济全球化大潮中去的需要 。
主要参考文献
[1] 杨周南等. 会计信息系统[M]. 北京: 经济科学出版社,2004.
[2] 杨宝刚. 会计信息系统[M]. 北京:高等教育出版社,2001.
[3] 蔡传勋. 会计信息系统[M]. 大连:东北财经大学出版社,2004.
[4] 金文等. 基于COBIT的信息系统管理、控制与审计的模型构建研究[J]. 审计研究, 2005, (4).
[5] IT Governance Institute .COBIT 4.1[EB/OL]. http://www.itgi. org.