IT治理下会计系统内控的体系的探讨.docVIP

IT治理下会计系统内控的体系的探讨 　　摘要：在IT环境下，为了满足利益相关者对高质量会计信息的需求，企业有必要引进新的理论框架对该系统从构建到运行的全过程进行控制。COBIT作为全球公认IT治理的最佳控制模型，采用生命周期的思想，可用来指导会计系统内部控制的实施、评价及完善。同时，IT的应用使得会计系统暴露在更为复杂多样的风险之下，为了有效的规避这些风险，企业在构建该系统内部控制时，有必要引进现阶段风险管理的最高研究成果ERM框架的思想。 　　关键词： 　　COBIT模型；ERM框架；会计系统内控体系 　　中图分类号： 　　F23 　　文献标识码：A 　　文章编号2015 　　在IT环境下，要建立会计系统的内控体系，不仅要考虑会计系统业务的目标及IT的特点，还要保证相关人员能理解并认同，这就需要我们引入一个标准化的框架作为控制的指南。COBIT模型的流程控制观念及其应用控制目标正好为我们提供了合适的参考，这就为利用其构建会计系统内控体系提供了契机。 　　通过对COBIT模型控制框架以及企业风险管理框架（ERM）的全方位解读，有助于我们理解并掌握内控的核心思想，同时将风险管理的理念引入到IT环境下的会计系统内部控制体系的构建过程中，有利于我们借鉴其中的优秀控制方法和思想来完善企业会计系统的内控框架及应用模式，从而提高企业经营的效率和效果、保障企业资产的安全完整和财务报告的真实可靠，满足利益相关者的要求。 　　1COBIT模型简介 　　COBIT（信息及相关技术的控制目标）由ISACA（美国信息系统审计与控制协会）最早于1996年发布，现已更新到COBIT4.1第四版。该模型目前已经成为国际上共同认可的最权威、最先进的IT管理、控制和审计的标准。 　　COBIT模型将IT资源、IT过程及信息与企业战略目标紧密联系起来，形成了一个三维的立体结构，从而将IT治理目标与企业战略目标有机结合起来。该模型的核心思想可以简单概括为：企业为了实现自身的战略目标，需要在IT资源上投入资金，并在IT过程中合理的使用这些可以控制的IT资源，最终交付出企业需要的有用信息。 　　COBIT 4.1版将信息技术流程按生命周期的思想分为三个层次来控制，分别为四个域（Domains）、34个处理过程（Processes）及210项任务活动（Activities Tasks）。其中四个域的内涵分别为：规划与组织域（PO）、获得与实施域（AI）、交付与支持域（DS）及监控与评价域（ME）；34个过程中提供了每个过程的控制目标、涉及到的IT资源、过程成熟度指标、监控和评价标准及方便执行的应用指南。 　　COBIT模型可以作为业务需求、风险控制和技术机制之间有效沟通的桥梁，可以满足管理的多方面需求。作为IT控制模型中最佳的研究实践，COBIT能为世界各国广泛接受和实施，自然有它独到的地方。概括起来，它的优势主要表现在： 　　（1）以业务为中心，立足于公司战略目标，通过域、过程、活动的三层控制体系，保证IT目标与企业目标的一致性，规避具体活动与最终目标偏离的风险。 　　（2）可以增强管理层和员工对整个系统的理解和支持。COBIT的使用者并不局限在IT服务提供者、用户和审计师，还为管理层和过程使用者提供全面的使用指南，并且明确了实施过程中的责任归属。这就使得所有相关人员可以理解系统，了解自己的位置及作用，并支持系统的实施及完善。 　　（3）将IT控制变得简化，减轻复杂系统实施的难度。COBIT模型采用一致性的控制思路对IT周期的34个过程进行控制。具体方法为：确定每个过程的高级控制目标、具体控制目标及管理指南，通过控制、管理实施过程中的偏差来保证达到每个过程高级控制目标的要求，满足组织对信息系统安全性、可靠性及有效性的要求，支持组织目标的实现。 　　（4）具有持续有效性。COBIT模型不仅面向现在，还可以为企业系统的持续优化提供指导，防范业务变化或系统管理不当造成的风险，保证系统目标与业务目标的一致性。 　　（5）具有国际通用性。COBIT模型使用能被利益相关方理解的通用术语及定义，并且与国际公认的IT治理关注领域、公司治理标准如COSO模型及审计人员等对内控的要求保持了一致，故实施该模型可以保证组织满足相关法律法规的要求。 　　综上所述，COBIT 4.1模型的实用性及可操作性都比较强，并且其是国际上公认的IT管理与控制标准，故本文将其作为IT治理下会计系统内部控制体系构建的基础。 　　2ERM企业风险管理框架 　　ERM框架的出台是内外部环境催化的结果。2002年颁布的《萨班斯法案》要求上市公司加强风险管理，强化风险控制，这在客观上推动了COSO《内部控制整合框架》的进一步发展。同时