基于COBIT企业会计信息系统内部控制分析与重建.docVIP

基于COBIT的企业会计信息系统内部控制分析与重建 　　一、基于TCOBIT框架的企业会计信息系统内部控制分析 　　 　　为满足组织对信息的需求，建立有效的信息系统，使企业内部能迅速取得并交换、管理及控制其工作流程所需信息；再考量信息管理和信息技术生命周期，COBIT在结构上将IT过程分为三层，从上至下是过程域(也叫过程组)、过程、活动。COBIT定义了34个过程，分为四个过程域，即规划与组织、获得与实施、交付与支持、监控与评价。 　　 　　(一)规划与组织规划与组织涵盖为达成营运目标应有的IT策略规划。 　　一是制定企业会计信息系统战略性规划。系统规划是系统建设的第一步，在COBIT中，要求通过战略规划，为企业提供长期并符合企业发展目标的IT规划，并定期将这些目标转换成可以操作的短期实施计划。需要针对企业业务战略，市场环境需要，IT支撑技术，可行性研究，风险控制等方面，由信息部门和企业董事在充分考虑这些问题后制定计划。 　　二是确定企业会计信息系统的组织结构。“信息孤岛”是目前许多企业面临的一个问题。造成“信息孤岛”的原因很多，有管理方面的原因，但更重要的是企业在IT规划与组织过程中没有对企业的信息架构进行明确的定义。COBIT对这一过程提出了明确的控制目标：信息系统应建立并随时更新业务信息模型，定义适当的系统以优化对信息的使用。 　　三是确定企业会计信息系统的技术方向。COBIT认为IT在企业中的作用是服务于业务自身的需要，那么企业在决定信息技术方向时必须有一个能够很好制定和管理技术的流程，而这个流程就是要确保技术能够很好地实现企业对产品、服务和交付能力的期望。 　　四是企业IT投资管理。对IT投资决策和资金使用管理流程的控制是确保企业信息系统有效性的关键。对于这个决策和管理的控制，企业可以参照COBIT的控制目标建立并维护管理IT投资项目的框架。该框架涵盖成本、收益、预算及预算管理，与企业业务战略的匹配程度和控制在IT战略战术规划中的总成本与收益，并能在错误发生时及时更正。这样可达到IT成本一效益的持续、显著提升并创造更多价值。 　　五是确保信息系统控制目标传达到企业各部门。管理层在IT方面的目标和方向需要通过合适的渠道和流程由上至下传达，同时要确保用户的意识和对这些目标的正确理解。 　　六是评估IT新系统的投入风险。目前，企业的会计业务和管理越来越依赖于IT，而依赖就意味着风险。信息系统在企业中的应用，需要有一套管理体系去应对系统使用过程中的风险。COBIT提出在这一风险管理体系中，需要有IT风险的识别、影响力分析，涉及到多个部门并且需要采取最经济和有效的措施来规避风险。同时还要考虑：风险管理的所有权和责任权，不同类型IT的风险(技术、安全、持续性、规范性等)，所定义和发布的风险容忍限度，根本原因的分析，风险的定性和定量衡量，风险评估方法论，风险行动计划，及时的再评估等。 　　 　　(二)获取与实施获得与实施涵盖实行IT策略规划，应确认、开发或购买IT解决方案并施行，变更及维护现有系统。 　　一是会计信息系统解决方案的确定。系统解决方案的确定过程即通常所说的系统选型的过程，系统解决方案的确定是企业信息化建设中的一个重要环节。在会计信息系统的开发设计上更是如此。COBIT在对这一过程的控制中提出：企业需要在明确业务需求的情况下，客观而清晰地对多种方案进行识别和分析。 　　二是系统应用软件的获取。如果说识别解决方案或者说系统选型的过程是让企业知道什么方案是适合自己的，那么获得和维护系统软件的过程才是实现系统给企业带来收益的开始。COBIT对于这一过程的控制是确保其能够提供支持业务流程的有效应用功能。具体而言就是软件系统必须能够和业务流程很好的融合。在这一过程里，关键是企业的业务需求是否能够获得所选系统的支持，企业的业务流程(经过优化)能否和系统融合，系统在实施过程中的每个阶段是否都有明确的成果。 　　三是会计信息系统的使用与维护。企业对信息系统的依赖性使得业务运行的稳定对系统的敏感性越来越强。系统一方面在给企业的业务运作和管理带来收益的同时，另一方面其复杂性也给企业信息系统的管理带来了很大的压力。要确保信息系统的有效运行首先要有标准化的软硬件及评价标准、一致的系统管理等行为，为支持业务过程的应用程序提供适当的平台。其次要求通过为用户提供新系统的使用文件及手册，并提供培训以确保对应用程序和基础设施的正确使用。 　　四是会计信息系统的变更管理。信息系统是为业务部门服务的，但企业的业务是不断变化和发展的，相应的信息系统也必须与业务发展同步。COBIT对这一流程的控制目标是最小化破坏、非法篡改和发生错误的可能性。实现该目标要构建一个管理系统，分析、实施、跟踪所有现有IT设施要求的及所作的变化。控