【摘 要】本文基于ITGI剛剛發布的COBIT 4.1，對IT環境下會計信息系統發展的最新狀況進行分析，探討了跨國公司執行COBIT的經驗和做法，進而提出，借助于COBIT 4.1，加強我國企業會計信息系統的內部控制是當務之急，也是大勢所趨。

　　【關鍵詞】COBIT；會計信息系統；內部控制

　　一 、COBIT簡介與淺析

　　COBIT（Control Objectives for Information and related Technology，信息及相關技術控制目標）是目前國際公認的最先進、最權威的安全和信息技術管理和控制的標準。普華永道發布的《2006年全球信息安全狀況報告》中統計，全世界63%的公司采用了COBIT控制框架標準，這一比率是IT控制框架采用率最高的。COBIT是由信息系統審計和控制協會（Information System Audit and Control Association，ISACA）（www. isaca. org）下屬的IT治理研究院（ITGI，Information Technology Governance Institute）（www.itgi.org）開發和發布的，旨在為IT 的治理、安全和控制提供一個普遍適用的公認的標準，以輔助企業管理層進行IT治理。自COBIT 問世以來，先后經歷了1998年、2000年和2006年的修改補充，2007年5月，ITGI發布了COBIT 4.1，它從IT治理的角度，從更高的層面上來指導管理層進行IT控制和信息系統管理。由于一方面全球信息化的加劇和我國信息化的發展，另一方面COBIT對信息系統控制與審計又有著很好的指導作用，所以當前介紹和引進COBIT對于推動我國信息化的健康發展有重要的意義。

　　COBIT 4.1主要是由4部分組成：框架、控制目標、管理指南和成熟度模型。其相互關系如圖1所示。

　　COBIT是由相互關聯的各組成部分有機結合在一起的，能夠為不同的顧客群提供有關治理、管理、控制和保證方面的需要。下面對其組成部分逐一介紹分析。

　　1. 框架（Framework）

　　COBIT將IT過程、IT資源、與業務要求相適應的IT目標結合起來，形成一個三維的體系結構，如圖2所示。與業務要求相適應的COBIT的IT總體控制目標具體是有效性（Effectiveness）、高效性（Efficiency）、機密性（Confidentiality）、完整性（Integrity）、可用性（Availability）、符合性（Compliance）、可靠性（Reliability）;IT資源主要包括應用系統（Applications）、信息（Information）、基礎設施（Infrastructure）和人(People);IT過程則是在與業務要求相適應的COBIT的IT總體控制目標的導向下，對信息及相關資源進行規劃和處理，從信息技術的計劃與組織、獲取與實施、交付與支持、監控與評價等4個方面確定了34個信息技術處理過程。實際上， COBIT的IT控制目標的實現就是在IT過程中管理IT資源來完成的。圖3詳細地描述了完整的COBIT框架，顯示了COBIT的處理模式是如何根據業務和治理要求來管理IT資源并使之給業務傳遞信息的，該模式由4個領域構成，包括34個一般過程。

　　2. 控制目標（Control Objectives）

　　從領域、過程和活動3個層面對總體目標進行分解，通過對特定的活動實施控制，以實現預定的系統目標。為有效地進行IT治理，在COBIT框架內部通常將需要進行管理的活動和風險分為4個領域，即計劃與組織(Planning and Arrangement)、獲取與實施（Acquisition and Implementation）、交付與支持（Delivery and Support）和監測與評價（Monitoring and Evaluation）,領域目標按34個過程進行細分，根據每一個信息技術過程所涉及的系統資源，確定出相應的控制目標；針對每一個信息技術處理過程進一步細分為若干任務，確定出210個具體的控制目標。針對這些具體的控制目標，COBIT提供了詳細的系統管理策略，包括具體要采取的措施以及要考慮的問題等。這3個層次的控制目標體系使系統管理目標更清楚、更明確，更有操作性。COBIT覆蓋了整個信息系統的全部生命周期，涵蓋了戰略、戰術與操作的所有層次，處于各個階段的信息系統都可以參照使用，它所帶來的益處是十分明顯的，它使IT戰略與組織戰略緊密聯系，在業務目標、信息系統、業務績效目標之間維持平衡。

　　3. 管理指南（Management Guidelines）

　　管理指南是控制目標在企業的具體應用準則，以進行自我評價與選擇，進而實施并完善對信息及相關技術的控制，其目的是對IT業務活動進行有效控制，使IT與業務活動保持高度一致，并通過傳遞組織所需要的信息使業務活動得以進行。管理指南給出了度量信息系統生命周期各個IT控制過程的安全、可靠與有效的指標體系。

　　4. 成熟度模型（Maturity Models）

　　對IT過程進行管理和控制的成熟度模型是評價組織的一種方法。它劃定6個成熟等級，如圖4所示。每一個成熟度等級都規定相應特征，企業可以結合自身的特點，界定出本企業的當前狀態。該方法來自于軟件工程研究所（Software Engineering Institute，SEI）為軟件開發能力所定義的成熟度模型，但COBIT只是借助于能力成熟度模型（CMM）的形式來為其IT管理過程的性質界定出成熟度等級。在COBIT 4.1中，34個IT治理過程都規定了自己的具體模型。

　　二、IT環境下，加強會計信息系統內部控制的必要性

　　1. 會計信息系統的演進

　　會計信息系統的產生和發展是社會經濟、技術發展的必然產物。從會計數據處理工具與處理模式來看，會計信息系統的發展可分為3個階段：一是手工會計信息系統階段，二是機械會計信息系統階段，三是計算機會計信息系統階段。楊周南教授認為計算機會計信息系統階段又可分為3個階段：一是電子數據處理階段，二是綜合數據處理階段，三是決策支持與專家系統階段。

　　2. 會計信息系統的定義和特征

　　會計信息系統（Accounting Information System，AIS）是一種面向價值信息和基于會計管理活動的系統，是在計算機軟件和網絡環境下，采用現代信息處理技術的一個人機交互的管理信息系統。其基本特征如下：

　　（1）AIS以符合會計管理工作和會計變更的需求為主要目標。

　　（2）AIS以解決企業會計核算和管理所面臨的問題為主要功能。

　　（3）AIS以現代計算機硬軟件和網絡平臺為處理環境，由人（含會計人員）、信息技術設備（含數據文件）和運行規程三要素組成，其核心部分是功能完備的會計軟件。

　　（4）AIS能充分利用現代信息處理技術，自動（或半自動）采集、存貯、處理、分析、傳遞和反饋會計信息。

　　3. 會計信息系統所面臨的風險

　　在IT環境下，由于與傳統的手工操作環境有了很大的差別，會計信息系統面臨著前所未有的風險。主要有以下幾類：

　　（1）疏忽差錯（Unintended Errors）。系統操作員或交易執行員在經濟業務資料的輸入與處理過程中，由于缺乏必要的上崗作業培訓或身體狀況欠佳等原因造成的非故意差錯。

　　（2）蓄意差錯(Deliberated Errors)。蓄意差錯也就是故意性差錯，實質就是舞弊，是不正當的或違法的。在信息的輸入—處理—輸出的流程中，甚至在軟件的開發與研制過程中，都可能產生這種差錯。它不僅對有關數據或輸出信息的正確性與可信性造成影響，而且還可能導致企業資源的短缺損失和掩飾有關盜竊行為。

　　（3）疏忽性資產毀損（Unintended Asset Damages）。企業數據資料記錄可能承受非故意的毀損，比如存儲于硬盤中的應收賬款記錄未作備份，可能因偶然的斷電故障這類偶發事件而消失。

　　（4）安全措施破壞（Breaches of Securities）。未經授權許可的人員可能非法接近企業的交易資料與其他記錄。電腦“黑客”通過互聯網擅自進入企業的計算機系統竊取、篡改或惡意破壞交易資料或記錄，以及未經授權員工私自偷閱未設定密碼或口令保護的企業員工薪金報告等。這種風險可能在被競爭對手竊取本單位的重要資料時造成極為嚴重的后果。

　　（5）暴力（Forces）。暴力的存在來源于外界人士（如恐怖分子）和懷有怨氣的現有員工或已遭解雇員工的報復行為。如損壞會計信息系統或銷毀企業的客戶往來檔案記錄等。其后果可能是毀損企業的資產和資料，甚至導致經營過程中斷以及企業的破產倒閉。

　　基于以上風險，IT環境下的會計信息系統加強內部控制具有前所未有的必要性，具體如下：

　　（1）IT環境下電腦操作隱形化和無紙化存儲介質的缺陷。

　　（2）IT環境下內部稽核削弱。

　　（3）IT環境下會計工作質量有賴于計算機硬軟件系統自身的可靠性及會計人員本身的操作水平。

　　（4）管理型會計軟件的發展對內部控制提出了新要求。

　　（5）網絡財務是IT環境下的新型管理模式，其安全性和保密性有賴于建立健全有效的內部控制。

　　三、借鑒跨國公司經驗，運用COBIT，加強我國企業會計信息系統的內部控制

　　1． 保誠公司的經驗分析簡介

　　保誠公司于1848年在英國成立,它是目前全球領先的金融服務大鱷和在亞洲領先的歐洲壽險公司。隨著其資產管理業務的快速增長,保誠公司（亞洲）在亞太地區的12個國家里擁有了9 000多位員工，除了在新加坡有一個區域分中心之外，它還有兩個關鍵的區域IT中心,其中一個在馬來西亞,另一個在中國大陸。

　　保誠公司亞洲地區的資訊科技部長羅德里格斯在2005年首次引進COBIT。他在香港領導著一個區域IT小組，該小組擁有6名成員。由于得到這個區域IT小組的支持, 保誠的CEO及其委員會成員同意采用COBIT的倡議，他們強烈地支持采用更好的IT框架、系統和程序以在整個地區給公司提供更好的競爭優勢。“COBIT是一個非常簡單而強有力的管理工具,它讓我們實現我們的目標”，羅德里格斯說。

　　羅德里格斯還認為，“一個好醫生是一位能夠清楚地向她或他的病人解釋如何保持健康的人，同樣,一個好的IT專業人員是能夠使該項目對一個公司觀眾來說容易得到理解的人。毫無疑問,我認為COBIT是允許我獲得這種能力的工具,利用COBIT，我相信我們能為保誠建立一個更好的IT和公司責任的文化。”

　　雖然保誠實施COBIT仍在進行之中,但是，很顯然,羅德里格斯已經獲得了一些經驗，具體如下:

　　（1）IT治理:泛區域戰略構成、一致性；

　　（2）削減成本:減少重復；

　　（3）安全:區域客戶資料管理；

　　（4）外包:為外包業務伙伴提供適當債務；

　　（5）溝通:讓廣大的公司員工易于理解各種術語；

　　（6）業務增長:為領導者提供了一個更安全、更一致的全面IT環境，以使其把精力集中在可增加企業價值的解決方案上。

　　上述這些經驗顯然是對整個保誠公司（亞洲）的IT治理而言的，但是可以看到其中一些經驗對會計信息系統的內部控制和審計具有指導意義。

　　2. 勇于開拓，爭取早日構建基于我國實際情況并與國際接軌的COBIT框架

　　隨著我國經濟的迅速發展和經濟全球化的突飛猛進，近年來我國已逐漸重視企業內部控制，特別是2006年，被業界稱為中國的“內部控制年”。財政部牽頭聯合發起成立了企業內部控制標準委員會，并邀請行政機關、高校、社會團體以及大中型企業的專家兼職咨詢。該委員會發布了《企業內部控制規范》（征求意見稿），包括基本規范和一系列具體規范，并專門針對信息系統內部控制制定了《企業內部控制規范第××號——計算機信息系統》（征求意見稿），包括總則、崗位分工和授權批準、信息系統開發、變更與維護控制、信息系統訪問安全和會計電算化及其控制等6部分。另外，財政部還于2006年頒布了新審計準則《中國注冊會計師審計準則第1633號——電子商務對財務報表審計的影響》，針對電子商務環境下的信息系統審計進行了規范，其中第5章“對內部控制的考慮”里，提到了“注冊會計師應當按照《中國注冊會計師審計準則第1211號——了解被審計單位及其環境并評估重大錯報風險》和《中國注冊會計師審計準則第1231號——針對評估的重大錯報風險實施的程序》的規定，考慮被審計單位在電子商務中運用的與審計相關的內部控制”。這些標準或規范只是為本專業的內部控制提供了一個應用指導，在一定程度上為進行IT治理環境下的內部控制發揮了一定的作用。但是，從綜合的 IT治理或IT內部控制來看，還沒有形成一個能夠滿足各方面要求，適應各種需要的綜合的、完整的、系統的框架。目前雖然有些在國際上有顯著影響力的IT服務公司使用自己制定的標準或框架，如IBM公司使用IBM IT Process Model（ IBM流程模型）；HP公司使用HO ITSM Reference Model（HP服務管理參考模型）；微軟使用Microsoft Operational Framework（MOF,微軟運營框架），但是國際上絕大多數公司都使用主流的像COBIT這樣的IT治理標準。因此，有必要建立我國自己的COBIT框架，一方面是提升我國公司的管理能力，提高其經濟效益，使其不斷發展的需要；另一方面，也是我國企業走出國門融入經濟全球化大潮中去的需要 。

　　主要參考文獻

　　［1］ 楊周南等. 會計信息系統［M］. 北京： 經濟科學出版社，2004.

　　［2］ 楊寶剛. 會計信息系統［M］. 北京：高等教育出版社，2001.

　　［3］ 蔡傳勛. 會計信息系統［M］. 大連：東北財經大學出版社，2004.

　　［4］ 金文等. 基于COBIT的信息系統管理、控制與審計的模型構建研究［J］. 審計研究, 2005, （4）.

　　［5］ IT Governance Institute .COBIT 4.1［EB/OL］. .