会计信息系统审计中Cobit模型的运用论文
在会计信息系统审计中,内部控制长久以来都是这个领域中的探讨热点。20 世纪 90 年代,美国 COSO 委员会发布的《内部控制---整合框架》或 COSO 内部控制框架①,一直以来成为多数发达国家企业内部控制构建和规范的参照标准。随着信息技术的日益更新,尤其是电子商务的广泛应用,信息技术已成为现代企业重点资源之一。未来企业的生存与发展,都将以信息系统的使用和发展作为基础和依靠。信息技术的日趋成熟使会计信息系统得以广泛应用,会计信息系统的安全及风险管理也因此受到关注。C obit②框架作为更侧重于 IT 治理和控制的框架,不仅囊括 COSO 内控框架中的所有内控标准,其以 IT 系统为研究对象的特点,使其能为会计信息系统的审计和内控管理提供更具体、更有针对性的指导和启发。
一、Cobit 框架概念
1996 年,美国信息系统审计和控制协会(简称 ISA C A )③首次公布了 C obit框架,我国将其定义为信息及相关技术控制目标,是一种最新的信息技术管理模型[1].通过不断地发展与完善,当前这一模型已经广泛应用于信息化领域,并渐渐形成了“C obit治理”理念,成为基于 IT 治理概念的,面向信息系统建设过程的治理实现指南和审计标准。
C obit把 IT 资源、业务要求和 IT 过程同企业的目标与战略发展策略紧密结合起来,构成一个三维的体系结构(如图 1 所示)[2].其中 IT 资源一般包含了应用系统、信息、基础设施及人在内的有关资源,这是 IT 治理过程中的主要对象;业务要求则全面反映企业的战略目标,也可理解为企业为完成业务目标对 IT 资源和 IT 过程的要求标准。一般从有效性、高效性、保密性、完整性、可获取性、符合性及可靠性七个方面来衡量对象的质量。IT 过程则是在业务要求相适应的 C O B IT 的 IT 总体控制目标的导向下,科学合理地规划和处理信息及有关资源。其为企业管理的成功提供了集成的 IT 管理模型和信息处理高效改进的对策,更好地符合企业的发展需求。IT 资源、IT 过程与业务要求以三面立体的模式展现,生动地体现了三者独立而相互依赖的交互联系。
IT 过程一般又认为是框架中的最重要部分。IT过程由三部分构成:过程域、过程及活动。其中,不同的“过程域”集合不同的“活动”,“活动”归属划分到哪个“过程域”,根据 IT“活动”配合的是企业中哪些机构的具体职责。在 C obit中划分了四个“过程域”:计划与 组 织 (Planning andenterprise)、获 取 与 实施(A cquisition and im plem entation)、交付与支持 (D elivery andsupport)及监测和评价(M onitoring and evaluation)。
二、C obit 在会计信息系统审计中的应用
分析审计发展历程得知,控制同审计之间的关系越来越密切,现代审计一个典型的特征便是在审计过程中,首先需要对被审计单位的内部控制进行研究与评价。C obit为企业提供了新型系统控制的目标与信息标准,同时为企业提供了信息系统的审计指南。C obit在很大程度上启示和指导了会计信息系统审计工作。
(一)基于内控理念基础
Cobit框架能够为会计信息系统审计和内部控制提供参照标准,出于其框架概念覆盖了内部控制的思想,同时也显着体现了 IT管理的重要理念:
1.战略性联合。会计信息系统的规划与运转应与企业其他业务的运转和需要相结合匹配,在定位、合作、保持、维护质量和价值方面,使信息系统的计划和过程的组织与业务建立起良好关系。
2.价值传递。在过程中,应确保会计信息系统通过良性的传递流程为业务项目或部门提供承诺的服务和服务质量。传递过程中能合理控制成本,最大化地利用资源,完成的任务能体现信息系统本身的内在价值。
3.风险管理。无论在哪个层面,信息系统的风险管理都应充分认识企业承担风险的能力、弱化风险的要求以及重大风险可能带来的后果。企业中的会计信息系统和其他功能系统一样,都应有各自的,也应有共担的风险管理责任,在风险管理中担当一定角色。
4.资源管理。应有侧重性地对会计信息系统及相关资源进行投资优化及妥善管理,尤其关注信息技术、应用程序、数据信息、基础设施和专业人士资源。企业中高效的 IT 管理往往依赖于相关专业技术知识和专业基础设施的不断优化。
5.业绩评估。应有相应的`过程控制程序追踪和监控系统策略的执行精度、项目的完成进度、资源的使用情况、成果的业绩表现和服务的交付质量等。信息系统的管理机制应将这些内控目标转化成明确的行动指令和评价标准,方能对信息系统进行科学合理评估,最终达成内控目标。
(二)审计风险控制
现阶段企业审计一般是以风险为导向的审计,尤其注重对审计风险的控制。审计风险包括了控制风险、固有风险与检查风险[3].虽然固有风险和控制风险与被审计单位有关,审计人员对此无能为力,但审计人员可以在对固有风险和控制风险的高低做出评估的基础上,确定实质性测试的性质、时间和范围,以便将检查风险以及总体审计风险降低至可接受的水平。C obit中的管理指南、控制目标和审计指南,正好可以指导我们评价信息系统的固有风险、控制风险和检查风险。例如,管理指南给出了度量信息系统安全、可靠与有效的指标体系,给出了为管理者提供评估标准的度量模型。其中成熟度模型可以帮助确定被审信息系统是否符合行业和国际标准,通过与行业和国际标准相比较,审计师可以了解被审计信息系统的固有风险水平。而控制目标按照过程域、过程和任务活动逐步细化,定义了四个域的 34 个高层次控制目标以及 318 个具体控制目标,通过评估被审信息系统在各个层面上是否达到了控制标准,就可以确定信息系统的控制风险水平。C obit的审计指南为中介评估机构或信息系统审计师对信息系统进行分析、评估和实施审计提供了建议与指导,可以直接使用于信息系统审计。
(二)确定审计流程
传统审计一般按照实施时间的不同划分为事前审计、事中审计与事后审计,但是会计信息系统审计应该根据信息系统生命周期的不同,将其划分为系统规划与组织过程的审计、系统获取与实施过程的审计、系统交付与支持过程的审计、系统监控过程的审计[4].在信息系统审计中,可借助 C obit的“控制目标汇总表”确定各个 IT过程的具体审计目标。例如,在程序开发与维护(A I4)这一 IT 过程中,所涉及的 IT 资源包括人员、应用、技术、设备,这些 IT 资源的有效性、高效性是最重要的控制目标,完整性、符合性和可靠性则是较为次要的控制目标,相应地,审查这些控制是否达到标准就是这一过程的具体审计目标。以人员为例,在这一 IT 过程的审计中,审计人员要重点关注系统开发人员是否有效(是否有专业能力,能否胜任系统开发工作)并保持高效率工作;其次要关注开发人员的完整性(即整个开发团队的完整性,是否有真正起作用的用户代表和内审人员的参与)、符合性(即队伍是否稳定,人员不会经常发生变动)以及可靠性(即人员的忠诚可信,已签订保密协议等)。
虽然审计具体目标的确定仅仅是审计工作的开端,但是一旦将具体目标确定下来,便能够进入到下一阶段的审计测试。C obit不仅可帮助确定每一 IT 过程的具体审计目标,而且其审计指南建议了每一 IT 过程具体的审计步骤,并对如何开展审计测试提供了操作规范和方法。
当前,企业对会计信息系统的依赖性越来越大,大多数管理者已意识到会计信息系统审计的重要性。同时,会计信息系统审计已成为审计发展的新动力和新方向。C obit框架与C O SO 框架在结构和理念上有相似性,都采用了立体三维空间呈现结构,这也体现C obit和 C O SO 在思想上有融合和嵌入。C O SO 由于设计所站视角更高,使用范围更宽泛,具有普遍的内控指导意义,C obit 遵从C O SO 的控制思想,但强调 IT 控制,从这点来看其是 C O SO 的深化和延伸。这也启示我们,使用 C obit框架进行会计信息系统审计时,在理解 C O SO 内控思想的前提下,需掌握基础的 IT 管理和信息系统知识,具备一定 IT 思维方式和素质,方能较好地运用 C obit进行会计信息系统审计,提高审计效率和质量。
注释
①COSO 为全国反虚假财务报告委员会下属的发起委员会(TheCommittee of Sponsoring Organizations of the TreadwayCommission) 的英文缩写。1992 年 9 月,COSO 委员会发布《内部控制---整合框架》(Internal Control-Integrated Framework) 也称COSO 内部控制框架。
②Cobit:信息及相关技术控制目标,英文 Control Objectivesfor Information and related Technology 的缩写。
③信息系统审计和控制联合会, 英文全称为:InformationSystems Audit and Control Association(ISACA)。
参考文献
[1]苗连琦。COBIT:加强会计信息系统的内部控制与审计的一个不可或缺的工具[J].中国管理信息化,2012,03(02):90-93.
[2]王会金。中观信息系统审计风险控制体系研究---以 COBIT框架与数据挖掘技术相结合为视角[J].审计与经济研究,2012,04(01):16-23.
[3]张磊。基于 COBIT 的中国人寿信息系统审计框架设计研究[D].浙江大学,2014.
[4]鲁璐。企业信息系统审计一般控制应用框架探究---基于 COBIT理论[J].财会通讯,2015,04(31):110-112.
【会计信息系统审计中Cobit模型的运用论文】相关文章: