会计信息化下COBIT框架对企业内部控制的影响

◆基金项目：2015年广东省本科高校教学质量与教学改革工程项目“应用型卓越

会计人才培养计划”（项目编号：粤教高粤[2015]133号）

◇中图分类号：F275 文献标识码：A 文章编号：1002-5812（2016）09-0032-02

摘要：会计信息化影响了企业内部控制的方式，COBIT为信息化内控提供了科学的指导。本文从会计信息化对企业内部控制的作用和风险两方面，进一步引出COBIT框架对企业内部控制的具体影响。

关键词：会计信息化 内部控制 COBIT

进入21世纪以来，信息化的浪潮席卷了各个领域，包括会计职能的发挥。其中，会计信息化除了体现在会计核算从手工做账转变为电子形式，极大地提高了会计工作的效率和质量之外，财务软件、ERP、XBRL等技术的发展更多的是对会计管理职能的拓展和巩固，特别是对企业内部控制的建立和执行有了长足的影响。

我国内部控制的发展经历了漫长的阶段，是在总结我国企业管理实践经验、借鉴国际先进成果的基础上形成的。其中，《企业内部控制基本规范》第四十一条指出，企业应当利用信息技术促进信息的集成与共享，加强对信息系统开发与维护、访问与变更、数据输入与输出、文件储存与保管、网络安全等方面的控制，保证信息系统安全稳定运行，充分发挥信息技术在信息与沟通中的作用。因此COBIT框架作为目前国际公认的最先进、最权威的安全和信息技术管理和控制的标准，开始成为信息系统内部控制的重要保障。COBIT综合了包括COSO报告在内的内部控制标准，并将之嵌入企业信息化工作流程，从而将企业战略目标和业务目标落实到作业执行过程中，通过控制过程作业活动达到控制业务活动，实现战略目标。因此，相比较COSO报告等具有导向作用的内部控制标准，COBIT更具体，对会计信息系统内部控制点的设置具有直接的指导意义。

一、会计信息化对企业内部控制的影响

会计信息化由会计电算化演变而来，从最开始借助机器的精密运算程序来弥补手工计算的复杂和失误，到现在逐步运用于管理信息系统，比如企业内部控制框架的建立和执行，其中存在着丝丝缕缕的必然联系。会计信息化能使得内部控制的八大要素通过数据构建的手段紧密结合起来，并在各大关键点设立互通机制，让信息与沟通不再堵塞、延迟甚至错乱；而健全的内部控制则保证了在人的主观能动性基础上，发挥出信息化的强大覆盖力及执行效率。然而，有利即有弊，在我国内部控制初步发展阶段，过快的步入信息化进程同样可能导致二者相互制约。其作用与风险具体表现为：

（一）会计信息化对企业内部控制产生的作用

1.会计核算结构优化，组织职能发挥强效。财务软件、ERP等信息系统的使用不仅使会计部门的机构设置变得更为精简高效，同时使每一位财务人员参与到数据处理的管理系统中来，实现了权利与义务的统一。在流畅的数据互通中，登录权限的设置与模块的分工充分体现了内部控制中的职责分工、授权审批等制度，同时也满足了治理层履行其监督职能的需求。

2.保证了会计信息的真实、完整与准确性。目前我国企业会计信息失真现象普遍，一方面是管理层舞弊等有意为之，因此账外设账，藏匿、修改、毁损凭证账簿的手法层出不穷；另一方面是手工运算与信息传递产生的失误也时有发生。而信息技术的运用则有效解决了这些问题，一方面是各类权限的设置具有高度保密性和监督功能；另一方面，数据的运算基本可实现零失误，并且系统间的信息传递速度也只在一“指”之间。同时信息的相互关联性可进行实时的检查与稽核，保证授权的合理与执行以及失误的预警与弥补，从而保证了每一笔会计信息的及时录入，真实反映，准确核算。

3.激发了内部控制作用的外延。信息化会计较传统会计增加大量工作，例如：远程报表 、网上支付、网上报税等。所以，会计信息化条件下的内部控制范围也相应扩大，如网络系统安全的控制、系统权限的控制、会计信息资料的安全保护、计算机病毒防护、计算机操作管理、系统开发与维护等，都成为会计信息化条件下内部控制的内容。

（二）会计信息化对企业内部控制产生的风险

1.我国内部控制的建设与信息化进程的不匹配。从我国内部控制发展的历程来看，一直是在借鉴国际研究成果的基础上结合国情作出的调整和创新，这就决定了我国企业在建立内控制度上起点过高而后劲不足。因此，在新的会计信息化环境下，很多现存的制度和机制已无法适应发展的要求，加速建立健全会计信息环境下的内部控制制度和相应的管理机制显得迫在眉睫。从现实来看，一方面表现为我国会计信息系统开发机构与技术都欠成熟，而复杂的市场经济形势导致各企业甚至各部门的诉求远超设定，比如庞大数据库的建立就已经很困难了，需要前期投入大量人力物力财力。另一方面，国外的经验并不适用于我国企业内控的建设，如果盲目追求与国际接轨使得信息系统的使用不能构造畅通的渠道，甚至数据对接出现问题的话，结果可能导致我国在内部控制建设上出现严重偏差，企业也极其容易因为信息不畅导致决策失误加大经营风险。

2.信息安全得不到保障。在采用了信息系统的内部控制管理体系里，其五个关键控制点：开发与维护、访问与变更、数据输入与输出、文件存储与保管、网络安全都容易比传统手工控制产生更多的安全风险。比如，研发技术不当会使得信息系统不能与企业内控制度兼容，或者是产生安全漏洞导致黑客攻击从而泄露商业机密；权限设置不严密使得信息被随意篡改，授权审批等控制活动流于形式；数据存储与交互、备份与恢复等功能不全导致数据丢失；对系统程序的缺陷或漏洞安全防护不够，无法保障信息安全；对各种计算机病毒防范清理不力，导致系统运行不稳定甚至瘫痪等。

3.工作人员的综合素质有待加强。由于是在信息化条件下建立的内控制度，许多环节忽视了人的作用导致大部分决策是机器分析的结果，而没有人的思考与判断，容易滋生偷懒思想，抑制工作积极性，因此需要协调好人工与自动化成分在整个内控系统中的关系。另外，体现最明显的就是专业胜任能力方面，现在的财务人员除了要掌握会计基础知识，还必须熟悉甚至精通信息技术相关要求，才能达到在专业指导下去执行和完成信息系统分配的职责，不然不仅不能提高工作效率，反而还会造成操作不熟练、权责分配不清、监督失效等问题。

二、会计信息化下COBIT框架的建立及对企业内部控制的影响

（一）COBIT概念及其框架和发展

COBIT （Control Objectives for Inform ation and related Technology信息及相关技术控制目标）是由信息系统审计和控制协会（ISACA）下属的 IT治理研究院（ITGI）发布的 ，旨在为 IT 的治理、安全和控制提供一个普遍适用的公认的标准，以辅助企业管理层进行IT治理。1996年COBIT体系作为一个审计框架而被提出，经历了多次调整，直至2012年推出COBIT 5.0，是目前最新的研究成果。COBIT 5.0在借鉴了前面系列框架的基础上，被定位为IT治理与IT管理框架，不仅仅为IT治理框架，更加符合了COBIT的实际应用。

简要来说，COBIT 框架的IT过程就是在IT总体控制目标的导向下，对组织的信息化归纳为34个IT处理流程，在控制目标的确定上，COBIT 将管理活动分为4个领域：计划与组织、获取与实施、交付与支持、检测和评价，针对34个IT处理流程进一步进行分解，确定了210个具体的控制目标，在梳理控制目标的基础上，对每一控制目标的实现建立详细的管理策略等，在对业务目标分解和控制具体目标确定的基础上，COBIT又形成了管理指南，使得COBIT 的可操作性大大提高。利用成熟度模型，可以对组织目前所处的 IT 环境进行判断，同时，在管理指南中详细地叙述了每个过程的成熟度模型——浑沌状态的0级到优化的5级、KGI、KPI以及要达到 KGI的 “重要成功因素”CSF。同时，还给出了与这个过程密切相关的IT资源，以及信息判据中哪些特征最为重要和比较重要。在文件“详细控制目标”中，则按照34个IT 处理流程逐一给出“详细控制目标”。最后，COBIT还包括“信息系统审计指南”，构成比较复杂，包含了“审计道德要求”“信息系统审计标准”“信息系统审计指南”“信息系统审计过程”等子文件。

（二）COBIT框架对企业内部控制的影响

COBIT框架在对信息化目标进行分解过程中，能够有效地平衡企业效益实现、风险水平和资源使用的关系，能为各个层级提供治理或管理需要。如对COSO框架中的内部控制体系进行补充，则可为管理层在信息不对称的IT环境中权衡风险与投资关系，使用者随时获取信息安全与控制保证，审计人员证实其对企业内控整体的评价与建议等方面发挥极大作用。

1.统筹IT控制目标和内部控制目标。在COBIT模型中，企业在对信息进行控制时，将IT资源、信息准则、IT过程与企业目标或策略结合起来，形成一个三维立体结构。而内部控制框架同样通过四目标、八要素、三主题构成，通过对二者的对比可发现，如果将内部控制目标与IT控制目标进行目标级连，自定义COBIT以适应内控需求，则可将高级的内控目标转化为易管理的、指定的IT相关目标并映射到具体的内控流程和实践。其全覆盖率、高兼容性、整体联系性使得在各内控目标指导下能够合理配置IT资源，准确有序完成业务过程，高效评估风险，实现各利益相关者的信息需求。

2.从战略层面考虑企业内部控制体系设置。会计信息化下内部控制的变化不仅仅体现在财务软件、管理信息系统的运用，更多的是让信息化的管理意识及其操作流程贯穿于所有生产、经营的场所与人员。由此，企业应该从战略角度上进行企业内控体系的设置。结合COBIT框架，确定每个内部控制过程的控制目标 、涉及到的IT资源、过程成熟度指标、监控和评价标准。在区分管理与治理的基础上，根据业务需求，治理层对管理层进行评估、指导、监控，做好基于内部控制的IT绩效评价，分析成功经验为下期做好借鉴；管理层负责计划、构建、运营与监控，并及时对治理层进行管理反馈；具体业务执行者在这四个领域里按照IT资源的分配完成相关流程，并需注意为企业内控建设创造合适环境，识别难点与触发事件，采用生命周期方法进行缺陷的发现与弥补。

3.在风险管理方面的应用。COBIT框架设计了详细的信息流通路径，企业可以根据具体经营情况，梳理业务流程节点，建立起风险控制机制。首先，可以采用COBIT中的风险衡量（定性分析法）对风险进行评估，通过对风险级别的衡量，管理层可以在投资决策上进行更多的分析，保证资产的安全性，并通过预警机制及时处理突发情况。其次，参考 COBIT的“IT风险评估及管理”模块，为每个风险制定潜在控制措施列表，实施控制措施后建立风险等级对比表 ，以评估风险降低程度和解决方案的成本，选择风险缓解方案。最后，启用C0BIT的“确保系统安全”程序，管理层应时刻关注信息数据的完整性、准确性、有效性和相关授权来保证用于财务报告和相关披露的信息的质量和完整性。同时通过审计人员的评价确定内部控制的有效性，并加强内部监督的作用。要求企业建立一套完整的安全事故监控和反应制度，及时报告安全事故、安全弱点、软件故障，妥善处理后归档保存。

综上所述，会计信息化为企业内部控制的建设和发展带来了深远的影响，但无论利弊都是生产力发展到一定阶段的必然结果。为了取长补短，由此产生了COBIT框架与内部控制框架的有效结合，从而优化了信息系统内部控制的科学性和严谨性，可为我国大部分企业提供有效借鉴，加快会计信息化下我国企业内部控制的进程，并保障其健康、有序地发展。Z

参考文献：

[1]钟红英.基于COBIT的会计信息系统内部控制研究[J].财会通讯·综合（上） ，2009，（8）.

[2]张喜娟.会计信息化内部控制与有效实施[J].信息技术，2011，（7）.

[3]罗灿姬.会计信息化与内部控制[J].沿海企业与科技，2012，（02）.

[4]李强.COBIT框架下的会计信息系统内部控制初探[J].当代经济，2010，1月（下）.

[5]陈亚娟.IT环境下COBIT在内部控制中的应用[J].Commercial Accounting ，2011，（14）.

[6]谢羽霄，邱晨旭.基于COBIT框架的电信企业信息技术内部控制体系研究[J].电信科学，2009，（7）.

作者简介：

何萍，女，广东海洋大学寸金学院会计系，主要讲授审计学、内部控制等课程。