信息系统环境下内部控制理论框架COBIT模型.docVIP

信息系统环境下内部控制理论框架COBIT模型【摘要】虽然IT环境下会计系统内部控制的目的、原则不变，但随着会计信息系统数据储存和处理方式以及会计工作组织的改变，大部分内部控制方法已经失效或不再适用，因此需要重新建立健全会计信息系统的内部控制制度和措施。本文将介绍信息系统环境下的内部控制理论框架COBIT模型，力图为企业会计信息系统内部控制建设提供有益的帮助。 【关键词】会计信息系统 内部控制 COBIT 引言 信息及相关技术控制目标（Control Objectives for Information and related Technology，COBIT）是由美国信息系统审计和控制协会下属的IT治理研究院（ITGI）发布并推广使用的IT治理控制框架。2007年5月，ITGI发布了COBIT 4.1，将企业战略目标和业务目标落实到作业执行过程中，通过控制流程作业活动达到控制业务活动，实现战略目标，对会计信息系统内部控制点的设置具有直接的指导意义。 一、COBIT模型的构成及运行流程 COBIT4.1由七个部分组成，分别是IT治理执行概览、管理指南、框架、控制目标、IT治理实施指南、COBIT控制实践和IT确认指导。他们从满足管理层和董事会管理需要，满足经营及技术管理需要，满足具体进行治理、控制、安全保证的专业人员需求等三个层次帮助企业进行IT治理。 COBIT模型的各组成部分是相互联系的，经营目标通过IT流程提供相关信息实现，每个IT流程又被分解为各项作业，各项作业经过对责任划分表的执行得以完成。同时，为了保证IT流程执行的有效性，必须对每一个IT流程设置相应的IT目标，IT目标由控制目标进行控制，经过控制结果测试的审核由成熟度模型及绩效测量的两个方式――绩效指标和结果测量进行衡量，其中控制目标是由控制实践实施并经过控制设计测试的审核。 COBIT模型虽然包含了7个组成部分并且各司其事，但核心内容只有框架、控制目标和管理指南，本文也将从这三个方面对COBIT模型进行介绍。 二、COBIT框架 COBIT框架通过建立一个流程模，将IT系统细分为4个域和34个信息技术处理流程，与信息标准相联系，提供端到端的操作效果。 （一）COBIT流程设定 COBIT将所有的流程分成四个域，分别是规划与组织、获取与实施、交付与支持与监控和评估。这四个域映射到传统责任区的计划、建设、运行和监督。规划与组织，为递交“获取与实施”的解决方案和提供“交付与支持”的服务指明方向。获取与实施，提供解决方案并使其转化为具体服务。交付与支持，接收解决方案并将其转化为最终使用者可用的资料。监控与评估，监控所有流程，以确保遵循了“规划与组织”提供的方向。所有的IT流程需要定期对他们的质量和控制规定进行评估。该域进行绩效管理，内部控制监督，保障治理合规性。 在这四个域中，COBIT框架确定了34个IT流程为日常使用，虽然多数企业已确定IT职责为计划，建设，运行和监测，并且大多数具有相同的主要流程，但很少会有相同的流程结构或能够适用所有 COBIT的34个流程。COBIT框架提供了一个IT流程的完整列表，可以用来验证业务的完整性和责任划分，但是，他们不必全部适用，每个企业可以结合自己的需求来采用这些IT流程。 （二）COBIT提供信息的控制标准 为了满足经营目标，IT所提供的信息需要符合一些控制标准，根据广泛的质量、信用和安全要求，COBIT制定了七个不同的信息标准――正确性、有效性、机密性、完整性、可用性、合规性、可靠性。 三、COBIT控制目标 COBIT不仅为34个IT流程确定了控制目标，同时也为总体流程和应用程序确定了控制目标。 （一）流程控制 IT控制目标为管理部门有效控制每个IT流程提供了一整套高层次需求，包括设计适当的政策，程序，做法和组织结构为企业目标的实现和非预期事件的预测、发现和修正提供合理的保证。而企业管理层需要依据这些目标是否会在企业实施来选择，并决定如何实施这些目标，包括使用频率、跨度、自动化等，并且还要接受没有实施某些适合于企业的控制目标的风险。 控制目标由一个双维度的域加上一些流程标码和控制目标标码确定。除了控制目标，每个COBIT的流程一般是由流程控制标码确定。他们应与流程控制目标一同考虑以便有一个共同控制的完整视图。 （二）应用控制 信息系统的控制分为一般控制和应用控制。一般控制是指嵌入IT流程和IT服务中的控制，例如系统升级，管理变革，安全保障和计算机运行；而嵌入业务流程的控制通常被称为应用控制，例如完整性，精度，有效性，授权和职责分离。COBIT假定设计和应用实施自动化控制是IT的责任，在“获取和实施”域