會(huì )計信息系統審計中Cobit模型的運用論文

　　在會(huì )計信息系統審計中，內部控制長(cháng)久以來(lái)都是這個(gè)領(lǐng)域中的探討熱點(diǎn)。20 世紀 90 年代，美國 COSO 委員會(huì )發(fā)布的《內部控制---整合框架》或 COSO 內部控制框架①，一直以來(lái)成為多數發(fā)達國家企業(yè)內部控制構建和規范的參照標準。隨著(zhù)信息技術(shù)的日益更新，尤其是電子商務(wù)的廣泛應用，信息技術(shù)已成為現代企業(yè)重點(diǎn)資源之一。未來(lái)企業(yè)的生存與發(fā)展，都將以信息系統的使用和發(fā)展作為基礎和依靠。信息技術(shù)的日趨成熟使會(huì )計信息系統得以廣泛應用，會(huì )計信息系統的安全及風(fēng)險管理也因此受到關(guān)注。C obit②框架作為更側重于 IT 治理和控制的框架，不僅囊括 COSO 內控框架中的所有內控標準，其以 IT 系統為研究對象的特點(diǎn)，使其能為會(huì )計信息系統的審計和內控管理提供更具體、更有針對性的指導和啟發(fā)。

　　一、Cobit 框架概念

　　1996 年，美國信息系統審計和控制協(xié)會(huì )（簡(jiǎn)稱(chēng) ISA C A ）③首次公布了 C obit框架，我國將其定義為信息及相關(guān)技術(shù)控制目標，是一種最新的信息技術(shù)管理模型[1].通過(guò)不斷地發(fā)展與完善，當前這一模型已經(jīng)廣泛應用于信息化領(lǐng)域，并漸漸形成了“C obit治理”理念，成為基于 IT 治理概念的，面向信息系統建設過(guò)程的治理實(shí)現指南和審計標準。

　　C obit把 IT 資源、業(yè)務(wù)要求和 IT 過(guò)程同企業(yè)的目標與戰略發(fā)展策略緊密結合起來(lái)，構成一個(gè)三維的體系結構（如圖 1 所示）[2].其中 IT 資源一般包含了應用系統、信息、基礎設施及人在內的有關(guān)資源，這是 IT 治理過(guò)程中的主要對象；業(yè)務(wù)要求則全面反映企業(yè)的戰略目標，也可理解為企業(yè)為完成業(yè)務(wù)目標對 IT 資源和 IT 過(guò)程的要求標準。一般從有效性、高效性、保密性、完整性、可獲取性、符合性及可靠性七個(gè)方面來(lái)衡量對象的質(zhì)量。IT 過(guò)程則是在業(yè)務(wù)要求相適應的 C O B IT 的 IT 總體控制目標的導向下，科學(xué)合理地規劃和處理信息及有關(guān)資源。其為企業(yè)管理的成功提供了集成的 IT 管理模型和信息處理高效改進(jìn)的對策，更好地符合企業(yè)的發(fā)展需求。IT 資源、IT 過(guò)程與業(yè)務(wù)要求以三面立體的模式展現，生動(dòng)地體現了三者獨立而相互依賴(lài)的交互聯(lián)系。

　　IT 過(guò)程一般又認為是框架中的最重要部分。IT過(guò)程由三部分構成：過(guò)程域、過(guò)程及活動(dòng)。其中，不同的“過(guò)程域”集合不同的“活動(dòng)”,“活動(dòng)”歸屬劃分到哪個(gè)“過(guò)程域”,根據 IT“活動(dòng)”配合的是企業(yè)中哪些機構的具體職責。在 C obit中劃分了四個(gè)“過(guò)程域”:計劃與 組 織 （Planning andenterprise）、獲 取 與 實(shí)施（A cquisition and im plem entation）、交付與支持 （D elivery andsupport）及監測和評價(jià)（M onitoring and evaluation）。

　　二、C obit 在會(huì )計信息系統審計中的應用

　　分析審計發(fā)展歷程得知，控制同審計之間的關(guān)系越來(lái)越密切，現代審計一個(gè)典型的特征便是在審計過(guò)程中，首先需要對被審計單位的內部控制進(jìn)行研究與評價(jià)。C obit為企業(yè)提供了新型系統控制的目標與信息標準，同時(shí)為企業(yè)提供了信息系統的審計指南。C obit在很大程度上啟示和指導了會(huì )計信息系統審計工作。

　�。ㄒ唬┗�于內控理念基礎

　　Cobit框架能夠為會(huì )計信息系統審計和內部控制提供參照標準，出于其框架概念覆蓋了內部控制的思想，同時(shí)也顯著(zhù)體現了 IT管理的重要理念：

　　1.戰略性聯(lián)合。會(huì )計信息系統的規劃與運轉應與企業(yè)其他業(yè)務(wù)的運轉和需要相結合匹配，在定位、合作、保持、維護質(zhì)量和價(jià)值方面，使信息系統的計劃和過(guò)程的組織與業(yè)務(wù)建立起良好關(guān)系。

　　2.價(jià)值傳遞。在過(guò)程中，應確保會(huì )計信息系統通過(guò)良性的傳遞流程為業(yè)務(wù)項目或部門(mén)提供承諾的服務(wù)和服務(wù)質(zhì)量。傳遞過(guò)程中能合理控制成本，最大化地利用資源，完成的任務(wù)能體現信息系統本身的內在價(jià)值。

　　3.風(fēng)險管理。無(wú)論在哪個(gè)層面，信息系統的風(fēng)險管理都應充分認識企業(yè)承擔風(fēng)險的能力、弱化風(fēng)險的要求以及重大風(fēng)險可能帶來(lái)的后果。企業(yè)中的會(huì )計信息系統和其他功能系統一樣，都應有各自的，也應有共擔的風(fēng)險管理責任，在風(fēng)險管理中擔當一定角色。

　　4.資源管理。應有側重性地對會(huì )計信息系統及相關(guān)資源進(jìn)行投資優(yōu)化及妥善管理，尤其關(guān)注信息技術(shù)、應用程序、數據信息、基礎設施和專(zhuān)業(yè)人士資源。企業(yè)中高效的 IT 管理往往依賴(lài)于相關(guān)專(zhuān)業(yè)技術(shù)知識和專(zhuān)業(yè)基礎設施的不斷優(yōu)化。

　　5.業(yè)績(jì)評估。應有相應的過(guò)程控制程序追蹤和監控系統策略的執行精度、項目的完成進(jìn)度、資源的使用情況、成果的業(yè)績(jì)表現和服務(wù)的交付質(zhì)量等。信息系統的管理機制應將這些內控目標轉化成明確的行動(dòng)指令和評價(jià)標準，方能對信息系統進(jìn)行科學(xué)合理評估，最終達成內控目標。

　�。ǘ�）審計風(fēng)險控制

　　現階段企業(yè)審計一般是以風(fēng)險為導向的審計，尤其注重對審計風(fēng)險的控制。審計風(fēng)險包括了控制風(fēng)險、固有風(fēng)險與檢查風(fēng)險[3].雖然固有風(fēng)險和控制風(fēng)險與被審計單位有關(guān)，審計人員對此無(wú)能為力，但審計人員可以在對固有風(fēng)險和控制風(fēng)險的高低做出評估的基礎上，確定實(shí)質(zhì)性測試的性質(zhì)、時(shí)間和范圍，以便將檢查風(fēng)險以及總體審計風(fēng)險降低至可接受的水平。C obit中的管理指南、控制目標和審計指南，正好可以指導我們評價(jià)信息系統的固有風(fēng)險、控制風(fēng)險和檢查風(fēng)險。例如，管理指南給出了度量信息系統安全、可靠與有效的指標體系，給出了為管理者提供評估標準的度量模型。其中成熟度模型可以幫助確定被審信息系統是否符合行業(yè)和國際標準，通過(guò)與行業(yè)和國際標準相比較，審計師可以了解被審計信息系統的固有風(fēng)險水平。而控制目標按照過(guò)程域、過(guò)程和任務(wù)活動(dòng)逐步細化，定義了四個(gè)域的 34 個(gè)高層次控制目標以及 318 個(gè)具體控制目標，通過(guò)評估被審信息系統在各個(gè)層面上是否達到了控制標準，就可以確定信息系統的控制風(fēng)險水平。C obit的審計指南為中介評估機構或信息系統審計師對信息系統進(jìn)行分析、評估和實(shí)施審計提供了建議與指導，可以直接使用于信息系統審計。

　�。ǘ�）確定審計流程

　　傳統審計一般按照實(shí)施時(shí)間的不同劃分為事前審計、事中審計與事后審計，但是會(huì )計信息系統審計應該根據信息系統生命周期的不同，將其劃分為系統規劃與組織過(guò)程的審計、系統獲取與實(shí)施過(guò)程的審計、系統交付與支持過(guò)程的審計、系統監控過(guò)程的審計[4].在信息系統審計中，可借助 C obit的“控制目標匯總表”確定各個(gè) IT過(guò)程的具體審計目標。例如，在程序開(kāi)發(fā)與維護（A I4）這一 IT 過(guò)程中，所涉及的 IT 資源包括人員、應用、技術(shù)、設備，這些 IT 資源的有效性、高效性是最重要的控制目標，完整性、符合性和可靠性則是較為次要的控制目標，相應地，審查這些控制是否達到標準就是這一過(guò)程的具體審計目標。以人員為例，在這一 IT 過(guò)程的審計中，審計人員要重點(diǎn)關(guān)注系統開(kāi)發(fā)人員是否有效（是否有專(zhuān)業(yè)能力，能否勝任系統開(kāi)發(fā)工作）并保持高效率工作；其次要關(guān)注開(kāi)發(fā)人員的完整性（即整個(gè)開(kāi)發(fā)團隊的完整性，是否有真正起作用的用戶(hù)代表和內審人員的參與）、符合性（即隊伍是否穩定，人員不會(huì )經(jīng)常發(fā)生變動(dòng)）以及可靠性（即人員的忠誠可信，已簽訂保密協(xié)議等）。

　　雖然審計具體目標的確定僅僅是審計工作的開(kāi)端，但是一旦將具體目標確定下來(lái)，便能夠進(jìn)入到下一階段的審計測試。C obit不僅可幫助確定每一 IT 過(guò)程的具體審計目標，而且其審計指南建議了每一 IT 過(guò)程具體的審計步驟，并對如何開(kāi)展審計測試提供了操作規范和方法。

　　當前，企業(yè)對會(huì )計信息系統的依賴(lài)性越來(lái)越大，大多數管理者已意識到會(huì )計信息系統審計的重要性。同時(shí)，會(huì )計信息系統審計已成為審計發(fā)展的新動(dòng)力和新方向。C obit框架與C O SO 框架在結構和理念上有相似性，都采用了立體三維空間呈現結構，這也體現C obit和 C O SO 在思想上有融合和嵌入。C O SO 由于設計所站視角更高，使用范圍更寬泛，具有普遍的內控指導意義，C obit 遵從C O SO 的控制思想，但強調 IT 控制，從這點(diǎn)來(lái)看其是 C O SO 的深化和延伸。這也啟示我們，使用 C obit框架進(jìn)行會(huì )計信息系統審計時(shí)，在理解 C O SO 內控思想的前提下，需掌握基礎的 IT 管理和信息系統知識，具備一定 IT 思維方式和素質(zhì)，方能較好地運用 C obit進(jìn)行會(huì )計信息系統審計，提高審計效率和質(zhì)量。

　　注釋

　�、貱OSO 為全國反虛假財務(wù)報告委員會(huì )下屬的發(fā)起委員會(huì )（TheCommittee of Sponsoring Organizations of the TreadwayCommission） 的英文縮寫(xiě)。1992 年 9 月，COSO 委員會(huì )發(fā)布《內部控制---整合框架》（Internal Control-Integrated Framework） 也稱(chēng)COSO 內部控制框架。

　�、贑obit:信息及相關(guān)技術(shù)控制目標，英文 Control Objectivesfor Information and related Technology 的縮寫(xiě)。

　�、坌畔⑾到y審計和控制聯(lián)合會(huì )， 英文全稱(chēng)為：InformationSystems Audit and Control Association（ISACA）。

　　參考文獻

　　[1]苗連琦。COBIT:加強會(huì )計信息系統的內部控制與審計的一個(gè)不可或缺的工具[J].中國管理信息化，2012,03（02）：90-93.

　　[2]王會(huì )金。中觀(guān)信息系統審計風(fēng)險控制體系研究---以 COBIT框架與數據挖掘技術(shù)相結合為視角[J].審計與經(jīng)濟研究，2012,04（01）：16-23.

　　[3]張磊�；�于 COBIT 的中國人壽信息系統審計框架設計研究[D].浙江大學(xué)，2014.

　　[4]魯璐。企業(yè)信息系統審計一般控制應用框架探究---基于 COBIT理論[J].財會(huì )通訊，2015,04（31）：110-112.

【會(huì )計信息系統審計中Cobit模型的運用論文】相關(guān)文章：

淺談經(jīng)濟常識教學(xué)中數學(xué)模型的運用的論文07-27

應對IT風(fēng)險-企業(yè)建立COBIT模型的探討05-21

從審計風(fēng)險模型的改進(jìn)看風(fēng)險導向審計在我國的運用10-15

審計方法在財務(wù)會(huì )計工作中的有效運用的論文07-24

水電管理信息系統在企業(yè)經(jīng)營(yíng)中的運用論文06-14

淺談審計過(guò)程中的依據運用08-14

企業(yè)決策中管理會(huì )計的運用論文09-05

對孤立點(diǎn)分析方法在現代審計中的運用技巧分析經(jīng)濟論文07-10

淺談抽樣技術(shù)在審計實(shí)務(wù)中的運用09-28

淺談Exce軟件在審計實(shí)務(wù)中的運用10-12