基于COBIT模型的A企业会计信息系统内部控制研究

文/龙露，娄底职业技术学院

基于COBIT模型的A企业会计信息系统内部控制研究

文/龙露，娄底职业技术学院

随着信息时代的到来，会计信息系统得到迅速发展和广泛应用，传统的会计信息系统内部控制不能满足日趋复杂的要求，正面临着巨大的考验，因而需进一步加强会计信息系统的内部控制体系建设。COBIT即信息及相关技术控制目标，是一个标准的IT治理框架，本文以企业内部控制、COBIT治理模型为理论基础，运用理论联系实际、归纳分析等方法，以A企业的会计信息系统内部控制为研究对象，对其目前内部控制的现状进行分析，并对其会计信息系统的内控控制存在的问题进行了探究，针对其现状与问题，提出运用CO⁃BIT治理模型对其会计信息系统内部控制体系进行重新构建，以解决目前存在的问题。

会计信息系统；内部控制；COBIT；A企业

1 COBIT的相关概念

1.1 COBIT的含义

COBIT(Control Objectives for Information and related Technolo⁃gy)是目前国际上通用的信息系统审计的标准，由信息系统审计与控制协会在1996年公布。是一个在国际上公认的、权威的安全与信息技术管理和控制的标准，目前已经更新至5.0版。它在商业风险、控制需要和技术问题之间架起了一座桥梁，以满足管理的多方面需要。该标准体系已在世界一百多个国家的重要组织与企业中运用，指导这些组织有效利用信息资源，有效地管理与信息相关的风险。

1.2 COBIT的组成

COBIT由六个部分组成，如下图1所示：

图1 COBIT模型组成图

1)执行概要。组织的高层管理者要做出一个正确的决策通常建立在在全面、精确、及时、可靠的信息资源基础上，他们需要通过执行概要来了解COBIT的关键性涵义以及实施原则。2)框架。COBIT可细化为三十多项高层控制目标，三百多个可细化的控制目标，并且每个目标都针对特定的IT过程，这些控制目标被划分为策划与组织、采购与实施、交付与支持、监控四个部分。

3)实施工具集。为了使得COBIT模型可以有效的运用，可以在受用方在在各个不同的环境中构建架构，并且成功地发挥其作用，就需要运用到实施工具。

4)管理指南。管理指南是用于指导实践的，它可以确保信息技术的组织和相关过程的控制管理可以有效运行，确保组织的目标与预期并且监控其中每个进程。

5)详细控制目标。IT控制需要制定正确的政策和有效的准则，此时详细控制目标则提供了有效的参考准则，其包函了用来达到所期待结果，而且用于实施的二百一十个详细控制目标的详细解释。

6)审计指南。为了使得预期的目标得到实现，必须在每个IT过程落实相应的审计环节，COBIT模型的审计指南就规划和建议了三十四个IT过程的审计步骤。

2 A企业信息系统内部控制存在的问题

2.1 战略规划与组织结构问题

2.1.1 战略规划不全面

一个企业想要在竞争激烈的市场环境中始终保持其市场优势，一个重要的落脚点就是合理的企业战略规划，企业的战略规划又被称为企业发展的灵魂，对企业未来的走向起着举足轻重的作用。

2.1.2 部门职能结构不完善

A企业设立了两个互相独立的部门来进行会计信息系统的管理与操作，分别为财务部与企业的信息公司，这样的组织架构造成该系统的操作由于缺乏财务部和信息公司之间的有效沟通，进而时常出现运行障碍，也不利于资源的共享。

2.1.3 投资缺乏全面的数据支撑

投资该会计信息系统之前，管理者仅根据自身企业运营情况，通过适当的投资预算，对预算的编制进行了规定。

2.1.4 人才配备不到位

公司对员工的执行力和胜任力控制采取了一系列相对应的措施，但没从根本上解决问题。缺少对同时掌握会计与IT技术双重技能的人才引进。

2.2 获取与实施方面的问题

2.2.1 会计信息系统解决方案确定带有主观性

A企业在系统选型过程中，存在一些凭直觉来识别会计信息系统解决方案的现象，并随业务不同而变化。公司主要依靠内部经验和知识，釆用非正规方式识别解决方案。

2.2.2 信息系统维护不到位

在运营维护方面，公司虽然对信息中心的会计信息系统维护任务和职责进行了规范，但是信息中心在接到会计信息系统维护任务后，没有按照任务的重要性进行明确的等级划分，并进行知识管理。

2.2.3 变更管理无制度支撑

A企业建立了包括分类，划分优先级，但由于公司业务发展，会有突然变化的情形发生，如授权正式或临时变更的管理环节。

2.3 服务与支持方面的问题

2.3.1 服务管理欠缺

A企业在寻求开发商后续服务时往往处于被动局面，主要依赖于公司的主动催促及服务商的经验积累，从而导致公司对第三方的服务评价降低，进而影响长期的服务质量。

2.3.2 连续服务不完善

A公司针对需额外考虑的如不可抗力等影响操作的其他因素，并没有规定出相对应的应对风险措施，制定突发事件应对计划，未能对人员负责进行严格划分，责任到人，各种应急措施，并没有计划业务连续性和有效性的评价，对经营活动的替代工艺的不足。

2.3.3 会计信息系统安全管理缺少监控机制

A企业虽然已经根据制定出了信息安全等级保护制度，但是公司对系统的管理主要采取实时问题控制这一举措，并没有对系统安全进行监控和测试，无法衡量会计信息安全是否达标，也不能及早的对不寻常活动进行制止。

2.3.4 用户的培训不完善

对用户的培训，公司注重业务知识结构的强化，忽视了对用户道德的指导。在培训结束后，公司没有采取相应的考评措施，降低了对员工学习的约束力度，无法对培训的效果进行估量，不利于后续培训内容的展开。

2.4 评估与监控方面的问题

2.4.1 未展开安全评估与风险管理

虽建立相应管控制度，但A企业的风险评估结果却并未引起高层重视，而针对风险的识别和未来影响力，企业更几乎没有考虑，更没有相应制度的出台和实施。

2.4.2 未进行业绩评估与监控

A企业的内部审计由于没有相应的完善制度支撑，流程也没有明确的规范，使得内审的完整性与正确性欠佳。公司无特殊情况不进行外聘第三方审计公司参与审计，因而缺少审计结果之间的比较，不能确保企业内部控制的正确和有效。最终，A公司无法公正地对内部控制制度的进行客观、有效的评测，这将严重影响信息系统内部控制的完善进度。

3 运用COBIT构建A企业会计信息系统内部控制体系

依据会计信息系统应用指引的要求，同时与国际上普遍认同的信息系统控制标准——COBIT模型框架相结合，对A企业信息系统作出进一步的梳理与完善。下面依据A企业的现状以及存在的问题，利用COBIT模型对A企业的会计信息系统内部控制体系进行重新构建，具体从四个方面进行幵展：

3.1 战略规划与组织结构方面的控制

3.1.1 拟定会计信息系统战略性规划

A企业目前没有制定成熟的IT战略规划，成熟度较低。该环节中的把控目标是要保持控制IT战略与企业战略的相一致。

3.1.2 确定会计信息系统组织结构

A企业在战略层面考虑会计信息系统的应该关注软件程序在数据和编码上的统一性，以免出现同样的材料在不同部门之间传递时缺乏数据一致性，进而加大数据汇总的难度。同时随着会计信息系统环境的变化，需要设立专门的信息中心，以完成企业各项数据的收集与分析，以提高其及时有效性。

3.1.3 IT投资管理

A企业管理层希望得到较高的投资回报率，即IT满足业务需求，进而提高增加利益相关方的收益。COBIT在运用中对投资的管理明确为，有效推动业务利益方与IT的共同合作，促进IT资源的有效利用，并将总成本、总收益的实际实现结果与IT的投资回报率反馈给所有者，并对结果负责。

3.1.4 IT人力资源管理

企业人力资源的管理是企业管理的重要方面，主要包括：进行员工的招聘、开展人员培训、疏通职员晋升渠道、有计划进行干部储备，适时完成人员精简；有效提高员工素质，明确企业岗位职责划分，合理做出人员绩效考评，以及岗位人员流动，工作内容变更等。

3.2 获取与实施方面的控制

从A企业目前的现状出发，要对其会计信息系统的内部控制体系进行构建，需要建立在可操作、可维护、可持续的基础上。在COBIT中，IT获取与实施是一个控制域，在这个域中，有相应需要控制的流程。对A企业内控体系的构建也需要从3个方面入手。

3.2.1 确定解决方案

建议A企业对其系统的需求进行全面充分的分析。该需求分析要从四个环节把控。首先要保持各个部门的需要相统一；其次所统计的需要必须是完整的；再次制定的需要应该是可实现的，即目前的软件水平和硬件水平可以提供支持的。最后要关注需求的实用性，即最后汇总的需要要能切实解决A企业所面临的实际问题。

3.2.2 会计信息系统的使用与维护

建议A企业组织人力编制明确界定的、可接受的并被广泛理解的用户文档、操作手册。

3.2.3 会计信息系统变更管理

建议A企业对会计信息系统变更实行问责制，对于不经过正式变更流程实行变更的人员，采取相应的惩罚措施，以防止此类事件的发生，将意外情况降至最低。

3.3 服务与支持方面的控制

3.3.1 加强服务管理

⑴明确服务层次定义。建议A企业制定出详细的服务层次框架，对框架中涉及的服务领域，服务处理流程、服务内容、服务监管以及服务完善流程都要作出明确的说明与定义。

⑵管理好来自于第三方的服务。由于信息系统的很多服务来源于第三方服务公司，并且服务包含后期的系统维护，因而建议A企业在合作时要对第三方的服务作出明确管控，与第三方系统开发商制定详细的服务合同。

⑶对服务的性能进行管理。A企业要明确服务性能，同时要确保服务的可行性。想要做到服务可行，就要对目前可用的资源和未来所在的规划要做到心中有数，然后依靠模型建立中的工具对资源以及性能进行管理和监控，并且定期生成报告，对服务的满足程度进行预测。

3.3.2 保证服务的连续性

A企业在搭建IT框架时要始终将服务的连续性作为第一要义，同时尽量将连贯性的依赖性降到最低。

3.3.3 保证系统的安全

⑴用户安全。信息系统的安全是企业信息系统管理的重要环节，为了加强系统的安全性，建议A企业对信息访问要进行严格的授权，增加身份确认环节。

⑵数据安全。A企业应注意做好数据的管理工作。首先建立专门的数据源搜集档案，并按时检查处理档案中的数据出入和运行分析中产生的数据冲突错误。

⑶操作安全。IT系统的运作是建立在人为操作的基础上，所以如何对日常操作进行管理也是信息系统管理的重要环节。

3.3.4 完善用户的后续培训

建议A企业任命培训师并及时组织培训，考虑新的培训方法的运用，培训内容应包括公司价值培训：道德价值、控制和安全文化等。

3.4 评估与监控方面的控制

3.4.1 业绩评估与监控

建议A企业首先需要制定相应的书面监控制度，并通过教育和培训，确保相关人员具备相应技能水平，并明确内控制度流程及服务水平所需的相关工具，形成持续性记录的绩效相关的理论基础。

3.4.2 会计信息系统内部控制的监控与评估

建议A企业设立专门的评估小组，小组人员由审计人员和IT技术人员组成，同时明确划分各自之间监控范围。

4 结语

基于COBIT模型的有效应用，为企业带来极大便利，省时省力，信息交流也更为便利，如此环境下，内部控制制度建设尤为重要。因此，应不断创新管理理念，提升内部控制制度建设水平，及时为企业引进管理人才、技术人才，将COBIT模型的功能与先进的管理理念相结合，才能促使企业在如此激烈的市场竞争环境中获得长久发展。

［1］吕玮.基于COBIT模型的Q企业会计信息系统内部控制研究[D].硕士学位论文.安徽大学,2015,4.

［2］肖茜.基于COBIT模型的会计信息系统内部控制研究[D].硕士学位论文.华中科技大学,2013,4.

本文为2017年湖南省教育厅科研项目：基于COBIT模型的A企业会计信息系统内部控制研究（编号：17C1346）；娄底职业技术学院重点课题：基于ASP.NET设计并实现高校财务管理信息系统（编号：2016ZK005）的研究成果。

龙露（1979-），女，湖南娄底职业技术学院，副教授，硕士研究生，研究方向：财务理论及实践研究。