基于COBIT与COSO报告的信息系统内部控制研究

基于COBIT与COSO报告的信息系统内部控制研究 重庆理工大学会计学院研究生二年级 张艳芳 邮政编码：400050【摘要】信息化给企业内部控制带来了新的问题与挑战。本文首先分析了国内外相关组织和个人在信息系统内部控制方面的研究成果，主要以国际上公认的COSO《企业风险管理——整合框架》和COBIT的IT治理框架为理论支柱，通过分析IT环境下企业内部控制、公司治理与IT治理三者之间的关系，结合COBIT框架中的规划与组织、获取与实施、交付与支持、监督与评价等若干个IT处理过程及其对应的控制目标，对信息系统内部控制进行深入的分析研究。【关键词】COSO；COBIT；IT；内部控制【Abstract】Informatizationfortheinternalcontrolofenterprisebroughtnewproblemsandchallenges.Thispaperfirstlyanalyzesachievementsofrelevantorganizationsandindividualsintheinternalcontrolresearchofinformationsystem,mainlyontheenterpriseriskmanagementpublishedbyinternationalrecognizedorganization——COSO,andintegratedframeworkofCOBIT.Bytheanalysisoftherelationshipbetweeninternalcontrolofenterprise,corporategovernanceandITgovernanceundertheenvironmentofIT.ApplyingthefourdomainsOftheCOBITframeworksuchasplanningandorganization,acquisitionandimplementation,serviceandsupportandmonitoringandtheircorrespondingcontrolobjectivestothecorporateaccountinginformationsystem’sinternalcontrol,deeplyresearchoftheinternalcontrolofinformationsystem.【KeyWords】COSO;COBIT;IT;internalcontrol  一、国内外研究现状综述随着时代的变革、经济环境的变化以及内部管理的需要，内部控制理论也在不断的发展与完善。内部控制理论的发展共经历了内部牵制、内部会计控制与内部管理控制、内部控制结构、内部控制整体框架和内部控制风险管理五个阶段。当前，IT技术的迅猛发展已经给企业内部控制赋予了新的含义，一方面信息系统使我们享受着前所未有的方便与效益，同时由于信息系统本身的新特征及其应用环境的复杂性也给企业的内部控制带来了新的问题与挑战。国内外相关组织和学术界虽然已经开始对企业信息化的风险与控制进行研究，但至今还没有形成公认的、权威的体系。（一）国外研究现状由美国注册会计师协会（AICPA）、美国会计学会（AAA）、财务经理协会（FEI）、国际内部审计师协会（IIA）和管理会计师协会（MIA）五大学会共同组成的Treadway委员会，于1992年发表，并于1994年修订的《内部控制———整体框架》报告，标志着内部控制理论与实践进入了整体框架的新阶段，并被世界上许多企业所采用。尽管如此，由于该框架在风险管理方面弱化，使得内部控制无法与企业的风险管理相结合。2004年10月份，在原报告的基础上COSO研究并发布了企业风险管理框架。这个框架对比原内部控制报告有了相当大的改变，大大加强了对风险的管理与控制，但依然没有满足日益发展的信息化需要。针对信息系统的内部控制问题，1977年内部审计师协会（IIA）发布了名为《系统可审计性与控制》（SAC）的报告，简称SAC报告；1991年，鉴于IT业发生的巨大变化，IIA也对SAC报告进行了更新；2001年公布了一个更为现代化的信息系统控制模型，称之为“电子系统保证与控制”（ESAC）。该报告强调了基于计算机的信息系统对内部控制系统的作用和冲击以及评估风险、权衡成本和利益、把控制融入系统而不是在实施后再进行控制等。同年，美国注册会计师协会发布的《审计准则公告第94号——信息技术对审计师在财务报表审计中考虑内部控制的影响(SAS94)在一定程度上较为详细的说明了组织使用信息技术可能会对COSO报告所包含的五个内部控制组成要素产生影响。1996年美国信息系统审计与控制协会（ISACA）下属的IT治理研究院（ITGI）公布了COBIT（信息及相关技术控制目标）来辅助企业管理层进行IT治理。2007年，COBIT4.1从IT治理的角度以及更高的层面上来指导管理层管理信息系统并且进行IT控制。该体系提供了对信息技术的基本治理框架，但是对风险控制与治理的方法和模型的研究和描述还是非常的少，仍然处于探索和研究阶段。由于企业信息化的高风险与高失败率，亟需将ERMF的风险管理理念与COBIT的信息系统治理框架结合起来，研究出符合信息系统内部控制与风险管理的框架体系。（二）国内研究现状我国（1999）施行的《独立审计具体准则第20号——计算机信息系统环境下的审计》，其中明确提出计算机信息系统环境下的内部控制包括一般控制和应用控制。财政部（2001）颁布的《内部会计控制规范——基本规范（试行）》。其中第十八条规定把电子信息技术控制纳入了内部会计控制的方法。可见，我国的基本规范已经把电子信息技术控制摆放在一个重要的位置。[1]2006年，财政部牵头联合发起成立了企业内部控制标准委员会，并邀请行政机关、高校、社会团体以及大中型企业的专家兼职咨询。该委员会发布了《企业内部控制规范》（征求意见稿），包括基本规范和一系列具体规范，并专门针对信息系统内部控制制定了相关计算机信息系统（征求意见稿），包括总则、岗位分工和授权批准、信息系统开发、变更与维护控制、信息系统访问安全和会计电算化及其控制等6部分。另外，财政部还于2006年颁布了新审计准则《中国注册会计师审计准则第1633号———电子商务对财务报表审计的影响》，针对电子商务环境下的信息系统审计进行了规范，其中第5章“对内部控制的考虑”里，提到了“注册会计师应当按照《中国注册会计师审计准则第1211号———了解被审计单位及其环境并评估重大错报风险》和《中国注册会计师审计准则第1231号———针对评估的重大错报风险实施的程序》的规定，考虑被审计单位在电子商务中运用的与审计相关的内部控制”。这些标准或规范只是为本专业的内部控制提供了一个应用指导，在一定程度上为进行IT治理环境下的内部控制发挥了一定的作用。但是，从综合的IT治理或IT内部控制来看，还没有形成一个能够满足各方面要求，适应各种需要的综合的、完整的、系统的框架。二、IT环境下内部控制研究（一）内部控制、公司治理、IT治理关系研究内部控制、公司治理与IT治理三者是一个相互交织、相互衔接的整体，没有孰重孰轻、孰大孰小之分。三个之中缺少任何一个，都会对企业目标的实现产生重要的影响。下面对三者之间的关系进行具体的分析。1、内部控制与公司治理的关系对于内部控制与公司治理之间的关系，目前有两种观点：制度环境论和互动关系论。我们分别就两者之间的联系与区别进行阐述。（1）区别其从契约论的角度讲，公司治理是基于所有者与管理者之间的委托关系而产生的，而内部控制则是基于管理当局与其下属高级管理人员之间，高级管理人员与低级管理人员之间、管理人员与一般员工之间的委托代理关系而产生的，主要是防止下级管理人员和工人在生产经营中作出有损于企业利益和无效率的行为。一般我们可以理解为以下几个方面：○1目标公司治理：保证经济运行系统中的公平和效率内部控制：保证会计信息真实，企业资产安全和对资产运营的经济效果。○2主体公司治理：股东、董事会、总经理等内部控制：CEO以下的业务系统，当然，在ERMF中风险管理的主体还包括董事会。○3内容公司治理管理的内容组要是股东、董事会、监事会、总经理之间的委托合同关系，控制权的配置、剩余分配权的安排等。内部控制的管理内容主要是会计信息核算、会计信息披露、资产存储保管、业务审批执行与检查等。○4理论基础公司治理的理论是经济学，尤其是制度经济学和产权经济学。内部控制的理论基础主要是管理学、会计学、审计学。○5手段公司治理的手段主要是激励与控制。内部控制侧重于审批、检查、考核、记账、盘点。○6适用对象公司治理主要研究与解决所有权、监督权和控制权分离与制衡的问题，主要针对公司制企业。而内部控制适用于所有的企业，也包括事业单位和行政机构。○7归属法律体系不同公司治理的内容体现在《公司法》中，而内部控制主要体现在《会计法》和财政部颁布的《内部控制制度基本规范》中。（2）联系公司治理与内部控制也存在着密切的联系。首先，两者目标一致，都是为了实现业务目标而提供保证；且两者都遵循相互牵制、制衡原则；我们一般认为，公司治理是内部控制的前提。2、公司治理与IT治理关系首先，两者偏重对象不同。公司治理是为了整个企业各个模块相互协调，共同为实现企业的使命而进行的控制，而IT治理主要是针对信息系统，对IT资源进行的控制，它可以分为一般控制与应用控制两个方面。其次，层次不同。IT治理采用信息及相关技术为公司战略目标的实现提供满足一定信息标准的信息。IT目标是为了满足业务需求而制定的，但是公司治理与IT治理又是一个分不开的整体，IT治理作为一个过程，融合在公司治理过程之中，提高了公司治理的效率。3、内部控制与IT治理关系内部控制与IT治理的关系不能简单的认为是谁包含了谁，IT治理站在一个较高的层次，对企业信息系统进行全面的管理、控制，而内部控制不仅仅包含信息系统的部分，还包含业务流程部分，主要是为了预防、检查和纠正非预期事件的发生所制定的一系列政策、规程、实务和组织架构。（二）信息系统内部控制研究ERMF共包括八个构成要素，分别是内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监控。随着信息技术的发展，这些要素在信息系统中表现出怎样的特征？随着信息时代的到来与发展，以计算机、网络、通讯等信息技术为基础的信息系统己成为国家和社会生活中不可缺少的基础设施。信息系统整合了数据、应用系统、技术、设施和人员，映射出企业的组织结构并为企业流程提供支持。我们在传统内部控制框架的基础上，通过分析各构成要素的新问题新特征，寻求构建信息系统内部控制框架的有效途径。1、内部环境[2]内部环境包含了一个组织的气氛，形成一个组织的人员识别和看待风险的基础，为其他构成要素提供约束。内部环境主要包括:风险管理哲学和风险偏好；员工诚实性和道德观以及企业经营环境。随着企业的扩张，企业组织结构以及管理流程不断复杂化，而高速变化的市场却需要企业在第一时间对市场做出反应。IT广泛应用后，使得扁平结构成为主流，管理幅度加宽，管理层次减少，企业的组织结构具有了更大的柔性、灵活性和适应性。组织结构的变化，使得信息易得性增强，领导成为行动的中心，从而影响企业文化及经营风格。组织结构变化的同时，人员素质控制也发生了巨大的变化。为了维护企业正常运行，履行个人职责，企业职员不仅需要了解自己业务领域相关知识，还需要对IT技术、IT控制有一定了解，明白自己在IT控制中的角色与职责。因此，在IT环境下，对人员素质的要求相对提高，对这一群高素质的人才进行控制的要求也相应的变高。信息道德问题也变得严重，由网络引发的道德危机将大大提高了企业的经营管理风险。由于信息的易得性迫使管理当局在这样一个动态的环境中更应准确把握个人定位，寻求内部凝聚力，有效加强内部控制。除了道德风险外，信息技术的使用还暴露出商业活动中更多弱点，如“自动化孤岛”等，方便企业发现问题的同时，也迫使企业采用新方法来组织工作，改正问题。2、目标设