论文部分内容阅读
【摘要】虽然IT环境下会计系统内部控制的目的、原则不变,但随着会计信息系统数据储存和处理方式以及会计工作组织的改变,大部分内部控制方法已经失效或不再适用,因此需要重新建立健全会计信息系统的内部控制制度和措施。本文将介绍信息系统环境下的内部控制理论框架COBIT模型,力图为企业会计信息系统内部控制建设提供有益的帮助。
【关键词】会计信息系统 内部控制 COBIT
引言
信息及相关技术控制目标(Control Objectives for Information and related Technology,COBIT)是由美国信息系统审计和控制协会下属的IT治理研究院(ITGI)发布并推广使用的IT治理控制框架。2007年5月,ITGI发布了COBIT 4.1,将企业战略目标和业务目标落实到作业执行过程中,通过控制流程作业活动达到控制业务活动,实现战略目标,对会计信息系统内部控制点的设置具有直接的指导意义。
一、COBIT模型的构成及运行流程
COBIT4.1由七个部分组成,分别是IT治理执行概览、管理指南、框架、控制目标、IT治理实施指南、COBIT控制实践和IT确认指导。他们从满足管理层和董事会管理需要,满足经营及技术管理需要,满足具体进行治理、控制、安全保证的专业人员需求等三个层次帮助企业进行IT治理。
COBIT模型的各组成部分是相互联系的,经营目标通过IT流程提供相关信息实现,每个IT流程又被分解为各项作业,各项作业经过对责任划分表的执行得以完成。同时,为了保证IT流程执行的有效性,必须对每一个IT流程设置相应的IT目标,IT目标由控制目标进行控制,经过控制结果测试的审核由成熟度模型及绩效测量的两个方式——绩效指标和结果测量进行衡量,其中控制目标是由控制实践实施并经过控制设计测试的审核。
COBIT模型虽然包含了7个组成部分并且各司其事,但核心内容只有框架、控制目标和管理指南,本文也将从这三个方面对COBIT模型进行介绍。
二、COBIT框架
COBIT框架通过建立一个流程模,将IT系统细分为4个域和34个信息技术处理流程,与信息标准相联系,提供端到端的操作效果。
(一)COBIT流程设定
COBIT将所有的流程分成四个域,分别是规划与组织、获取与实施、交付与支持与监控和评估。这四个域映射到传统责任区的计划、建设、运行和监督。规划与组织,为递交“获取与实施”的解决方案和提供“交付与支持”的服务指明方向。获取与实施,提供解决方案并使其转化为具体服务。交付与支持,接收解决方案并将其转化为最终使用者可用的资料。监控与评估,监控所有流程,以确保遵循了“规划与组织”提供的方向。所有的IT流程需要定期对他们的质量和控制规定进行评估。该域进行绩效管理,内部控制监督,保障治理合规性。
在这四个域中,COBIT框架确定了34个IT流程为日常使用,虽然多数企业已确定IT职责为计划,建设,运行和监测,并且大多数具有相同的主要流程,但很少会有相同的流程结构或能够适用所有 COBIT的34个流程。 COBIT框架提供了一个IT流程的完整列表,可以用来验证业务的完整性和责任划分,但是,他们不必全部适用,每个企业可以结合自己的需求来采用这些IT流程。
(二)COBIT提供信息的控制标准
为了满足经营目标,IT所提供的信息需要符合一些控制标准,根据广泛的质量、信用和安全要求,COBIT制定了七个不同的信息标准——正确性、有效性、机密性、完整性、可用性、合规性、可靠性。
三、COBIT控制目标
COBIT不仅为34个IT流程确定了控制目标,同时也为总体流程和应用程序确定了控制目标。
(一)流程控制
IT控制目标为管理部门有效控制每个IT流程提供了一整套高层次需求,包括设计适当的政策,程序,做法和组织结构为企业目标的实现和非预期事件的预测、发现和修正提供合理的保证。而企业管理层需要依据这些目标是否会在企业实施来选择,并决定如何实施这些目标,包括使用频率、跨度、自动化等,并且还要接受没有实施某些适合于企业的控制目标的风险。
控制目标由一个双维度的域加上一些流程标码和控制目标标码确定。除了控制目标,每个COBIT的流程一般是由流程控制标码确定。他们应与流程控制目标一同考虑以便有一个共同控制的完整视图。
(二)应用控制
信息系统的控制分为一般控制和应用控制。一般控制是指嵌入IT流程和IT服务中的控制,例如系统升级,管理变革,安全保障和计算机运行;而嵌入业务流程的控制通常被称为应用控制,例如完整性,精度,有效性,授权和职责分离。COBIT假定设计和应用实施自动化控制是IT的责任,在“获取和实施”域进行,根据业务需求确定使用COBIT的信息标准。
四、COBIT管理指南
COBIT管理指南的目的是帮助企业了解自身的IT系统的定位,决策管理和控制水平,认识和解决能力差距。对企业自身的绩效水平有客观的评价是不容易的,而COBIT对企业绩效衡量的内容以及方式,提供了以下三个途径以帮助企业进行自我评价。
(一)成熟度模型
成熟度水平并非设计为一个门栏模型,即如果不能完成低级别的所有条件,便不能移动到下一个更高的水平,而是设计成IT流程的参数文档,企业应将其看做对现在和未来状态的描述。
成熟度模型是衡量流程管理实际能力和发展程度的一个方式,流程管理的发展程度和管理能力主要依赖于IT目标和它们支持的业务需求。管理能力的大小大部分取决于投资回报率的高低。成熟度模型的评分将可以帮助专业人士发现IT流程管理上的缺陷,并订立他们需要的目标。正确的成熟度水平,将被企业的经营目标、经营环境和行业规范所影响。
(二)绩效衡量
COBIT中的目标分为IT目标、流程目标以及作业目标三个层次。IT目标和指标确定了企业对IT的期望,以及如何衡量;流程目标和指标确定了为了支持IT目标所应完成的任务,以及如何衡量;活动目标和指标确定了为达到所要求的绩效哪些任务需要在流程内部完成,以及如何衡量。
为了业务目标的实现,需要将业务目标分解为IT目标、流程目标和作业目标等三个层次的目标。COBIT4.1运用了两种新的测量方式对目标进行衡量,一种是结果测量,代替关键目标指标(KGIs),显示目标是否已经达到,但这部分只有在事后衡量,因此,被称为“滞后指标”。另一种是绩效指标,代替关键绩效指标(KPIs),说明目标实现的可能性。他们可以在结果前清晰测量,因此,被称为“领先指标”。
绩效测量的目的是为了企业能够清楚自身的定位以及做出下一步发展的规划,因此绩效测量的原理是一个在确定目标,测量成果,显示绩效,提高和再对齐的循环。
小结
通过以上的介绍与分析,我们可以总结出COBIT模型的四大特征:
1. 以业务为中心
以业务为中心是COBIT模型的主题,其不仅被设计成为IT服务供应商、用户和审计人员所能利用的工具,更重要的是为企业管理层和业务主管人员提供一个综合性管理指南。
2. 定位于流程
根据企业应用IT技术的全部活动,COBIT模型将IT流程分为三层,第一层是四个流程域,第二层是34个流程,第三层是300多个作业,而流程起到承上启下的核心作用。COBIT模型又根据流程的相对重要性,将之分成高、中、低三等,重要性高的流程严加控制,重要性适中的流程重点控制,重要性低的流程一般控制。
3. 以控制为基础
COBIT模型认为控制是为了合理保证业务目标的实现和阻止、发现、纠正不良事件而设计的政策、程序、做法和组织结构,对每一流程实行控制是COBIT框架的关键思想。
4. 由测量驱动变革
COBIT模型对每一流程进行测量,便于企业清楚自身IT系统所处的状态,决定企业管理和控制水平。为了对管理和服务水平有一个正确的决策,COBIT模型通过成熟度模型评价IT流程的质量,通过结果测量和绩效指标对流程进行绩效测量。
COBIT模型实现了企业战略、业务目标与IT流程的互动,并通过成熟度模型对流程进行持续的监控和改良,是我国建设信息系统内部控制应该学习和借鉴的典范。
参考文献
[1]宋亮.IT治理的利器之——COBIT.华南金融电脑,2004(2):22-31.
[2]钟红英.基于COBIT的会计信息系统内部控制研究.财会通讯,2009(8):32-33.
[3]ISACA.COBIT Mapping:Overview of International IT Guidance,2nd Edition, 2008.
作者简介:邢永哲(1987-),男,吉林松原人,中南财经政法大学会计学院,研究方向:会计学。
【关键词】会计信息系统 内部控制 COBIT
引言
信息及相关技术控制目标(Control Objectives for Information and related Technology,COBIT)是由美国信息系统审计和控制协会下属的IT治理研究院(ITGI)发布并推广使用的IT治理控制框架。2007年5月,ITGI发布了COBIT 4.1,将企业战略目标和业务目标落实到作业执行过程中,通过控制流程作业活动达到控制业务活动,实现战略目标,对会计信息系统内部控制点的设置具有直接的指导意义。
一、COBIT模型的构成及运行流程
COBIT4.1由七个部分组成,分别是IT治理执行概览、管理指南、框架、控制目标、IT治理实施指南、COBIT控制实践和IT确认指导。他们从满足管理层和董事会管理需要,满足经营及技术管理需要,满足具体进行治理、控制、安全保证的专业人员需求等三个层次帮助企业进行IT治理。
COBIT模型的各组成部分是相互联系的,经营目标通过IT流程提供相关信息实现,每个IT流程又被分解为各项作业,各项作业经过对责任划分表的执行得以完成。同时,为了保证IT流程执行的有效性,必须对每一个IT流程设置相应的IT目标,IT目标由控制目标进行控制,经过控制结果测试的审核由成熟度模型及绩效测量的两个方式——绩效指标和结果测量进行衡量,其中控制目标是由控制实践实施并经过控制设计测试的审核。
COBIT模型虽然包含了7个组成部分并且各司其事,但核心内容只有框架、控制目标和管理指南,本文也将从这三个方面对COBIT模型进行介绍。
二、COBIT框架
COBIT框架通过建立一个流程模,将IT系统细分为4个域和34个信息技术处理流程,与信息标准相联系,提供端到端的操作效果。
(一)COBIT流程设定
COBIT将所有的流程分成四个域,分别是规划与组织、获取与实施、交付与支持与监控和评估。这四个域映射到传统责任区的计划、建设、运行和监督。规划与组织,为递交“获取与实施”的解决方案和提供“交付与支持”的服务指明方向。获取与实施,提供解决方案并使其转化为具体服务。交付与支持,接收解决方案并将其转化为最终使用者可用的资料。监控与评估,监控所有流程,以确保遵循了“规划与组织”提供的方向。所有的IT流程需要定期对他们的质量和控制规定进行评估。该域进行绩效管理,内部控制监督,保障治理合规性。
在这四个域中,COBIT框架确定了34个IT流程为日常使用,虽然多数企业已确定IT职责为计划,建设,运行和监测,并且大多数具有相同的主要流程,但很少会有相同的流程结构或能够适用所有 COBIT的34个流程。 COBIT框架提供了一个IT流程的完整列表,可以用来验证业务的完整性和责任划分,但是,他们不必全部适用,每个企业可以结合自己的需求来采用这些IT流程。
(二)COBIT提供信息的控制标准
为了满足经营目标,IT所提供的信息需要符合一些控制标准,根据广泛的质量、信用和安全要求,COBIT制定了七个不同的信息标准——正确性、有效性、机密性、完整性、可用性、合规性、可靠性。
三、COBIT控制目标
COBIT不仅为34个IT流程确定了控制目标,同时也为总体流程和应用程序确定了控制目标。
(一)流程控制
IT控制目标为管理部门有效控制每个IT流程提供了一整套高层次需求,包括设计适当的政策,程序,做法和组织结构为企业目标的实现和非预期事件的预测、发现和修正提供合理的保证。而企业管理层需要依据这些目标是否会在企业实施来选择,并决定如何实施这些目标,包括使用频率、跨度、自动化等,并且还要接受没有实施某些适合于企业的控制目标的风险。
控制目标由一个双维度的域加上一些流程标码和控制目标标码确定。除了控制目标,每个COBIT的流程一般是由流程控制标码确定。他们应与流程控制目标一同考虑以便有一个共同控制的完整视图。
(二)应用控制
信息系统的控制分为一般控制和应用控制。一般控制是指嵌入IT流程和IT服务中的控制,例如系统升级,管理变革,安全保障和计算机运行;而嵌入业务流程的控制通常被称为应用控制,例如完整性,精度,有效性,授权和职责分离。COBIT假定设计和应用实施自动化控制是IT的责任,在“获取和实施”域进行,根据业务需求确定使用COBIT的信息标准。
四、COBIT管理指南
COBIT管理指南的目的是帮助企业了解自身的IT系统的定位,决策管理和控制水平,认识和解决能力差距。对企业自身的绩效水平有客观的评价是不容易的,而COBIT对企业绩效衡量的内容以及方式,提供了以下三个途径以帮助企业进行自我评价。
(一)成熟度模型
成熟度水平并非设计为一个门栏模型,即如果不能完成低级别的所有条件,便不能移动到下一个更高的水平,而是设计成IT流程的参数文档,企业应将其看做对现在和未来状态的描述。
成熟度模型是衡量流程管理实际能力和发展程度的一个方式,流程管理的发展程度和管理能力主要依赖于IT目标和它们支持的业务需求。管理能力的大小大部分取决于投资回报率的高低。成熟度模型的评分将可以帮助专业人士发现IT流程管理上的缺陷,并订立他们需要的目标。正确的成熟度水平,将被企业的经营目标、经营环境和行业规范所影响。
(二)绩效衡量
COBIT中的目标分为IT目标、流程目标以及作业目标三个层次。IT目标和指标确定了企业对IT的期望,以及如何衡量;流程目标和指标确定了为了支持IT目标所应完成的任务,以及如何衡量;活动目标和指标确定了为达到所要求的绩效哪些任务需要在流程内部完成,以及如何衡量。
为了业务目标的实现,需要将业务目标分解为IT目标、流程目标和作业目标等三个层次的目标。COBIT4.1运用了两种新的测量方式对目标进行衡量,一种是结果测量,代替关键目标指标(KGIs),显示目标是否已经达到,但这部分只有在事后衡量,因此,被称为“滞后指标”。另一种是绩效指标,代替关键绩效指标(KPIs),说明目标实现的可能性。他们可以在结果前清晰测量,因此,被称为“领先指标”。
绩效测量的目的是为了企业能够清楚自身的定位以及做出下一步发展的规划,因此绩效测量的原理是一个在确定目标,测量成果,显示绩效,提高和再对齐的循环。
小结
通过以上的介绍与分析,我们可以总结出COBIT模型的四大特征:
1. 以业务为中心
以业务为中心是COBIT模型的主题,其不仅被设计成为IT服务供应商、用户和审计人员所能利用的工具,更重要的是为企业管理层和业务主管人员提供一个综合性管理指南。
2. 定位于流程
根据企业应用IT技术的全部活动,COBIT模型将IT流程分为三层,第一层是四个流程域,第二层是34个流程,第三层是300多个作业,而流程起到承上启下的核心作用。COBIT模型又根据流程的相对重要性,将之分成高、中、低三等,重要性高的流程严加控制,重要性适中的流程重点控制,重要性低的流程一般控制。
3. 以控制为基础
COBIT模型认为控制是为了合理保证业务目标的实现和阻止、发现、纠正不良事件而设计的政策、程序、做法和组织结构,对每一流程实行控制是COBIT框架的关键思想。
4. 由测量驱动变革
COBIT模型对每一流程进行测量,便于企业清楚自身IT系统所处的状态,决定企业管理和控制水平。为了对管理和服务水平有一个正确的决策,COBIT模型通过成熟度模型评价IT流程的质量,通过结果测量和绩效指标对流程进行绩效测量。
COBIT模型实现了企业战略、业务目标与IT流程的互动,并通过成熟度模型对流程进行持续的监控和改良,是我国建设信息系统内部控制应该学习和借鉴的典范。
参考文献
[1]宋亮.IT治理的利器之——COBIT.华南金融电脑,2004(2):22-31.
[2]钟红英.基于COBIT的会计信息系统内部控制研究.财会通讯,2009(8):32-33.
[3]ISACA.COBIT Mapping:Overview of International IT Guidance,2nd Edition, 2008.
作者简介:邢永哲(1987-),男,吉林松原人,中南财经政法大学会计学院,研究方向:会计学。