浅谈Cobit在会计信息系统审计中应用.docVIP

浅谈Cobit在会计信息系统审计中应用 　　【摘要】信息及相关技术控制目标，简称Cobit，是现阶段国际上普遍认同的较为权威、先进的信息技术与安全控制和管理的标准。Cobit框架构建初衷是为企业的IT治理、安全和控制提供较为普遍的公认标准。多次地修改与完善，Cobit框架对于IT及信息系统的管理指导层面提升。同时随着各行业的信息系统化，会计信息系统的控制与审计也进入到业界的视野。本文先对Cobit进行简单介绍，然后基于框架内容与理念浅谈Cobit在会计信息系统审计中的应用，仅供参考。 　　【关键词】Cobit 会计信息系统 审计 应用 　　在会计信息系统审计中，内部控制长久以来都是这个领域中的探讨热点。20世纪90年代，美国COSO委员会发布的《内部控制――整合框架》或COSO内部控制框架①，一直以来成为多数发达国家企业内部控制构建和规范的参照标准。随着信息技术的日益更新，尤其是电子商务的广泛应用，信息技术已成为现代企业重点资源之一。未来企业的生存与发展，都将以信息系统的使用和发展作为基础和依靠。信息技术的日趋成熟使会计信息系统得以广泛应用，会计信息系统的安全及风险管理也因此受到关注。Cobit②框架作为更侧重于IT治理和控制的框架，不仅囊括COSO内控框架中的所有内控标准，其以IT系统为研究对象的特点，使其能为会计信息系统的审计和内控管理提供更具体、更有针对性的指导和启发。 　　一、Cobit框架概念 　　1996年，美国信息系统审计和控制协会（简称ISACA）③首次公布了Cobit框架，我国将其定义为信息及相关技术控制目标，是一种最新的信息技术管理模型[1]。通过不断地发展与完善，当前这一模型已经广泛应用于信息化领域，并渐渐形成了“Cobit治理”理念，成为基于IT治理概念的，面向信息系统建设过程的治理实现指南和审计标准。 　　Cobit把IT资源、业务要求和IT过程同企业的目标与战略发展策略紧密结合起来，构成一个三维的体系结构（如图1所示）[2]。其中IT资源一般包含了应用系统、信息、基础设施及人在内的有关资源，这是IT治理过程中的主要对象；业务要求则全面反映企业的战略目标，也可理解为企业为完成业务目标对IT资源和IT过程的要求标准。一般从有效性、高效性、保密性、完整性、可获取性、符合性及可靠性七个方面来衡量对象的质量。IT过程则是在业务要求相适应的COBIT的IT总体控制目标的导向下，科学合理地规划和处理信息及有关资源。其为企业管理的成功提供了集成的IT管理模型和信息处理高效改进的对策，更好地符合企业的发展需求。IT资源、IT过程与业务要求以三面立体的模式展现，生动地体现了三者独立而相互依赖的交互联系。 　　IT过程一般又认为是框架中的最重要部分。IT过程由三部分构成：过程域、过程及活动。其中，不同的“过程域”集合不同的“活动”，“活动”归属划分到哪个“过程域”，根据IT“活动”配合的是企业中哪些机构的具体职责。在Cobit中划分了四个“过程域”：计划与组织（Planning and enterprise）、获取与实施（Acquisition and implementation）、交付与支持（Delivery and support）及监测和评价（Monitoring and evaluation）。 　　二、Cobit在会计信息系统审计中的应用 　　分析审计发展历程得知，控制同审计之间的关系越来越密切，现代审计一个典型的特征便是在审计过程中，首先需要对被审计单位的内部控制进行研究与评价。Cobit为企业提供了新型系统控制的目标与信息标准，同时为企业提供了信息系统的审计指南。Cobit在很大程度上启示和指导了会计信息系统审计工作。 　　（一）基于内控理念基础 　　Cobit框架能够为会计信息系统审计和内部控制提供参照标准，出于其框架概念覆盖了内部控制的思想，同时也显著体现了IT管理的重要理念： 　　1.战略性联合。会计信息系统的规划与运转应与企业其他业务的运转和需要相结合匹配，在定位、合作、保持、维护质量和价值方面，使信息系统的计划和过程的组织与业务建立起良好关系。 　　2.价值传递。在过程中，应确保会计信息系统通过良性的传递流程为业务项目或部门提供承诺的服务和服务质量。传递过程中能合理控制成本，最大化地利用资源，完成的任务能体现信息系统本身的内在价值。 　　3.风险管理。无论在哪个层面，信息系统的风险管理都应充分认识企业承担风险的能力、弱化风险的要求以及重大风险可能带来的后果。企业中的会计信息系统和其他功能系统一样，都应有各自的，也应有共担的风险管理责任，在风险管理中担当一定角色。 　　4.资源管理。应有侧重性地对会计信息系统及相关资源进行投资优化及妥善管理，尤其关注信息技术、应用程