淺談Cobit在會(huì)計(jì)信息系統(tǒng)審計(jì)中的應(yīng)用

盧薪伈

【摘要】信息及相關(guān)技術(shù)控制目標(biāo)，簡(jiǎn)稱(chēng)Cobit，是現(xiàn)階段國(guó)際上普遍認(rèn)同的較為權(quán)威、先進(jìn)的信息技術(shù)與安全控制和管理的標(biāo)準(zhǔn)。Cobit框架構(gòu)建初衷是為企業(yè)的IT治理、安全和控制提供較為普遍的公認(rèn)標(biāo)準(zhǔn)。多次地修改與完善，Cobit框架對(duì)于IT及信息系統(tǒng)的管理指導(dǎo)層面提升。同時(shí)隨著各行業(yè)的信息系統(tǒng)化，會(huì)計(jì)信息系統(tǒng)的控制與審計(jì)也進(jìn)入到業(yè)界的視野。本文先對(duì)Cobit進(jìn)行簡(jiǎn)單介紹，然后基于框架內(nèi)容與理念淺談Cobit在會(huì)計(jì)信息系統(tǒng)審計(jì)中的應(yīng)用，僅供參考。

【關(guān)鍵詞】Cobit 會(huì)計(jì)信息系統(tǒng) 審計(jì) 應(yīng)用

在會(huì)計(jì)信息系統(tǒng)審計(jì)中，內(nèi)部控制長(zhǎng)久以來(lái)都是這個(gè)領(lǐng)域中的探討熱點(diǎn)。20世紀(jì)90年代，美國(guó)COSO委員會(huì)發(fā)布的《內(nèi)部控制——整合框架》或COSO內(nèi)部控制框架①，一直以來(lái)成為多數(shù)發(fā)達(dá)國(guó)家企業(yè)內(nèi)部控制構(gòu)建和規(guī)范的參照標(biāo)準(zhǔn)。隨著信息技術(shù)的日益更新，尤其是電子商務(wù)的廣泛應(yīng)用，信息技術(shù)已成為現(xiàn)代企業(yè)重點(diǎn)資源之一。未來(lái)企業(yè)的生存與發(fā)展，都將以信息系統(tǒng)的使用和發(fā)展作為基礎(chǔ)和依靠。信息技術(shù)的日趨成熟使會(huì)計(jì)信息系統(tǒng)得以廣泛應(yīng)用，會(huì)計(jì)信息系統(tǒng)的安全及風(fēng)險(xiǎn)管理也因此受到關(guān)注。Cobit②框架作為更側(cè)重于IT治理和控制的框架，不僅囊括COSO內(nèi)控框架中的所有內(nèi)控標(biāo)準(zhǔn)，其以IT系統(tǒng)為研究對(duì)象的特點(diǎn)，使其能為會(huì)計(jì)信息系統(tǒng)的審計(jì)和內(nèi)控管理提供更具體、更有針對(duì)性的指導(dǎo)和啟發(fā)。

一、Cobit框架概念

1996年，美國(guó)信息系統(tǒng)審計(jì)和控制協(xié)會(huì)（簡(jiǎn)稱(chēng)ISACA）③首次公布了Cobit框架，我國(guó)將其定義為信息及相關(guān)技術(shù)控制目標(biāo)，是一種最新的信息技術(shù)管理模型[1]。通過(guò)不斷地發(fā)展與完善，當(dāng)前這一模型已經(jīng)廣泛應(yīng)用于信息化領(lǐng)域，并漸漸形成了“Cobit治理”理念，成為基于IT治理概念的，面向信息系統(tǒng)建設(shè)過(guò)程的治理實(shí)現(xiàn)指南和審計(jì)標(biāo)準(zhǔn)。

Cobit把IT資源、業(yè)務(wù)要求和IT過(guò)程同企業(yè)的目標(biāo)與戰(zhàn)略發(fā)展策略緊密結(jié)合起來(lái)，構(gòu)成一個(gè)三維的體系結(jié)構(gòu)（如圖1所示）[2]。其中IT資源一般包含了應(yīng)用系統(tǒng)、信息、基礎(chǔ)設(shè)施及人在內(nèi)的有關(guān)資源，這是IT治理過(guò)程中的主要對(duì)象；業(yè)務(wù)要求則全面反映企業(yè)的戰(zhàn)略目標(biāo)，也可理解為企業(yè)為完成業(yè)務(wù)目標(biāo)對(duì)IT資源和IT過(guò)程的要求標(biāo)準(zhǔn)。一般從有效性、高效性、保密性、完整性、可獲取性、符合性及可靠性七個(gè)方面來(lái)衡量對(duì)象的質(zhì)量。IT過(guò)程則是在業(yè)務(wù)要求相適應(yīng)的COBIT的IT總體控制目標(biāo)的導(dǎo)向下，科學(xué)合理地規(guī)劃和處理信息及有關(guān)資源。其為企業(yè)管理的成功提供了集成的IT管理模型和信息處理高效改進(jìn)的對(duì)策，更好地符合企業(yè)的發(fā)展需求。IT資源、IT過(guò)程與業(yè)務(wù)要求以三面立體的模式展現(xiàn)，生動(dòng)地體現(xiàn)了三者獨(dú)立而相互依賴(lài)的交互聯(lián)系。

IT過(guò)程一般又認(rèn)為是框架中的最重要部分。IT過(guò)程由三部分構(gòu)成：過(guò)程域、過(guò)程及活動(dòng)。其中，不同的“過(guò)程域”集合不同的“活動(dòng)”，“活動(dòng)”歸屬劃分到哪個(gè)“過(guò)程域”，根據(jù)IT“活動(dòng)”配合的是企業(yè)中哪些機(jī)構(gòu)的具體職責(zé)。在Cobit中劃分了四個(gè)“過(guò)程域”：計(jì)劃與組織（Planning and enterprise）、獲取與實(shí)施（Acquisition and implementation）、交付與支持（Delivery and support）及監(jiān)測(cè)和評(píng)價(jià)（Monitoring and evaluation）。

二、Cobit在會(huì)計(jì)信息系統(tǒng)審計(jì)中的應(yīng)用

分析審計(jì)發(fā)展歷程得知，控制同審計(jì)之間的關(guān)系越來(lái)越密切，現(xiàn)代審計(jì)一個(gè)典型的特征便是在審計(jì)過(guò)程中，首先需要對(duì)被審計(jì)單位的內(nèi)部控制進(jìn)行研究與評(píng)價(jià)。Cobit為企業(yè)提供了新型系統(tǒng)控制的目標(biāo)與信息標(biāo)準(zhǔn)，同時(shí)為企業(yè)提供了信息系統(tǒng)的審計(jì)指南。Cobit在很大程度上啟示和指導(dǎo)了會(huì)計(jì)信息系統(tǒng)審計(jì)工作。

（一）基于內(nèi)控理念基礎(chǔ)

Cobit框架能夠?yàn)闀?huì)計(jì)信息系統(tǒng)審計(jì)和內(nèi)部控制提供參照標(biāo)準(zhǔn)，出于其框架概念覆蓋了內(nèi)部控制的思想，同時(shí)也顯著體現(xiàn)了IT管理的重要理念：

1.戰(zhàn)略性聯(lián)合。會(huì)計(jì)信息系統(tǒng)的規(guī)劃與運(yùn)轉(zhuǎn)應(yīng)與企業(yè)其他業(yè)務(wù)的運(yùn)轉(zhuǎn)和需要相結(jié)合匹配，在定位、合作、保持、維護(hù)質(zhì)量和價(jià)值方面，使信息系統(tǒng)的計(jì)劃和過(guò)程的組織與業(yè)務(wù)建立起良好關(guān)系。

2.價(jià)值傳遞。在過(guò)程中，應(yīng)確保會(huì)計(jì)信息系統(tǒng)通過(guò)良性的傳遞流程為業(yè)務(wù)項(xiàng)目或部門(mén)提供承諾的服務(wù)和服務(wù)質(zhì)量。傳遞過(guò)程中能合理控制成本，最大化地利用資源，完成的任務(wù)能體現(xiàn)信息系統(tǒng)本身的內(nèi)在價(jià)值。

3.風(fēng)險(xiǎn)管理。無(wú)論在哪個(gè)層面，信息系統(tǒng)的風(fēng)險(xiǎn)管理都應(yīng)充分認(rèn)識(shí)企業(yè)承擔(dān)風(fēng)險(xiǎn)的能力、弱化風(fēng)險(xiǎn)的要求以及重大風(fēng)險(xiǎn)可能帶來(lái)的后果。企業(yè)中的會(huì)計(jì)信息系統(tǒng)和其他功能系統(tǒng)一樣，都應(yīng)有各自的，也應(yīng)有共擔(dān)的風(fēng)險(xiǎn)管理責(zé)任，在風(fēng)險(xiǎn)管理中擔(dān)當(dāng)一定角色。

4.資源管理。應(yīng)有側(cè)重性地對(duì)會(huì)計(jì)信息系統(tǒng)及相關(guān)資源進(jìn)行投資優(yōu)化及妥善管理，尤其關(guān)注信息技術(shù)、應(yīng)用程序、數(shù)據(jù)信息、基礎(chǔ)設(shè)施和專(zhuān)業(yè)人士資源。企業(yè)中高效的IT管理往往依賴(lài)于相關(guān)專(zhuān)業(yè)技術(shù)知識(shí)和專(zhuān)業(yè)基礎(chǔ)設(shè)施的不斷優(yōu)化。

5.業(yè)績(jī)?cè)u(píng)估。應(yīng)有相應(yīng)的過(guò)程控制程序追蹤和監(jiān)控系統(tǒng)策略的執(zhí)行精度、項(xiàng)目的完成進(jìn)度、資源的使用情況、成果的業(yè)績(jī)表現(xiàn)和服務(wù)的交付質(zhì)量等。信息系統(tǒng)的管理機(jī)制應(yīng)將這些內(nèi)控目標(biāo)轉(zhuǎn)化成明確的行動(dòng)指令和評(píng)價(jià)標(biāo)準(zhǔn)，方能對(duì)信息系統(tǒng)進(jìn)行科學(xué)合理評(píng)估，最終達(dá)成內(nèi)控目標(biāo)。

（二）審計(jì)風(fēng)險(xiǎn)控制

現(xiàn)階段企業(yè)審計(jì)一般是以風(fēng)險(xiǎn)為導(dǎo)向的審計(jì)，尤其注重對(duì)審計(jì)風(fēng)險(xiǎn)的控制。審計(jì)風(fēng)險(xiǎn)包括了控制風(fēng)險(xiǎn)、固有風(fēng)險(xiǎn)與檢查風(fēng)險(xiǎn)[3]。雖然固有風(fēng)險(xiǎn)和控制風(fēng)險(xiǎn)與被審計(jì)單位有關(guān)，審計(jì)人員對(duì)此無(wú)能為力，但審計(jì)人員可以在對(duì)固有風(fēng)險(xiǎn)和控制風(fēng)險(xiǎn)的高低做出評(píng)估的基礎(chǔ)上，確定實(shí)質(zhì)性測(cè)試的性質(zhì)、時(shí)間和范圍，以便將檢查風(fēng)險(xiǎn)以及總體審計(jì)風(fēng)險(xiǎn)降低至可接受的水平。Cobit中的管理指南、控制目標(biāo)和審計(jì)指南，正好可以指導(dǎo)我們?cè)u(píng)價(jià)信息系統(tǒng)的固有風(fēng)險(xiǎn)、控制風(fēng)險(xiǎn)和檢查風(fēng)險(xiǎn)。例如，管理指南給出了度量信息系統(tǒng)安全、可靠與有效的指標(biāo)體系，給出了為管理者提供評(píng)估標(biāo)準(zhǔn)的度量模型。其中成熟度模型可以幫助確定被審信息系統(tǒng)是否符合行業(yè)和國(guó)際標(biāo)準(zhǔn)，通過(guò)與行業(yè)和國(guó)際標(biāo)準(zhǔn)相比較，審計(jì)師可以了解被審計(jì)信息系統(tǒng)的固有風(fēng)險(xiǎn)水平。而控制目標(biāo)按照過(guò)程域、過(guò)程和任務(wù)活動(dòng)逐步細(xì)化，定義了四個(gè)域的34個(gè)高層次控制目標(biāo)以及318個(gè)具體控制目標(biāo)，通過(guò)評(píng)估被審信息系統(tǒng)在各個(gè)層面上是否達(dá)到了控制標(biāo)準(zhǔn)，就可以確定信息系統(tǒng)的控制風(fēng)險(xiǎn)水平。Cobit的審計(jì)指南為中介評(píng)估機(jī)構(gòu)或信息系統(tǒng)審計(jì)師對(duì)信息系統(tǒng)進(jìn)行分析、評(píng)估和實(shí)施審計(jì)提供了建議與指導(dǎo)，可以直接使用于信息系統(tǒng)審計(jì)。

（二）確定審計(jì)流程

傳統(tǒng)審計(jì)一般按照實(shí)施時(shí)間的不同劃分為事前審計(jì)、事中審計(jì)與事后審計(jì)，但是會(huì)計(jì)信息系統(tǒng)審計(jì)應(yīng)該根據(jù)信息系統(tǒng)生命周期的不同，將其劃分為系統(tǒng)規(guī)劃與組織過(guò)程的審計(jì)、系統(tǒng)獲取與實(shí)施過(guò)程的審計(jì)、系統(tǒng)交付與支持過(guò)程的審計(jì)、系統(tǒng)監(jiān)控過(guò)程的審計(jì)[4]。在信息系統(tǒng)審計(jì)中，可借助Cobit的“控制目標(biāo)匯總表”確定各個(gè)IT過(guò)程的具體審計(jì)目標(biāo)。例如，在程序開(kāi)發(fā)與維護(hù)（AI4）這一IT過(guò)程中，所涉及的IT資源包括人員、應(yīng)用、技術(shù)、設(shè)備，這些IT資源的有效性、高效性是最重要的控制目標(biāo)，完整性、符合性和可靠性則是較為次要的控制目標(biāo)，相應(yīng)地，審查這些控制是否達(dá)到標(biāo)準(zhǔn)就是這一過(guò)程的具體審計(jì)目標(biāo)。以人員為例，在這一IT過(guò)程的審計(jì)中，審計(jì)人員要重點(diǎn)關(guān)注系統(tǒng)開(kāi)發(fā)人員是否有效（是否有專(zhuān)業(yè)能力，能否勝任系統(tǒng)開(kāi)發(fā)工作）并保持高效率工作；其次要關(guān)注開(kāi)發(fā)人員的完整性（即整個(gè)開(kāi)發(fā)團(tuán)隊(duì)的完整性，是否有真正起作用的用戶(hù)代表和內(nèi)審人員的參與）、符合性（即隊(duì)伍是否穩(wěn)定，人員不會(huì)經(jīng)常發(fā)生變動(dòng)）以及可靠性（即人員的忠誠(chéng)可信，已簽訂保密協(xié)議等）。

雖然審計(jì)具體目標(biāo)的確定僅僅是審計(jì)工作的開(kāi)端，但是一旦將具體目標(biāo)確定下來(lái)，便能夠進(jìn)入到下一階段的審計(jì)測(cè)試。Cobit不僅可幫助確定每一IT過(guò)程的具體審計(jì)目標(biāo)，而且其審計(jì)指南建議了每一IT過(guò)程具體的審計(jì)步驟，并對(duì)如何開(kāi)展審計(jì)測(cè)試提供了操作規(guī)范和方法。

當(dāng)前，企業(yè)對(duì)會(huì)計(jì)信息系統(tǒng)的依賴(lài)性越來(lái)越大，大多數(shù)管理者已意識(shí)到會(huì)計(jì)信息系統(tǒng)審計(jì)的重要性。同時(shí)，會(huì)計(jì)信息系統(tǒng)審計(jì)已成為審計(jì)發(fā)展的新動(dòng)力和新方向。Cobit框架與COSO框架在結(jié)構(gòu)和理念上有相似性，都采用了立體三維空間呈現(xiàn)結(jié)構(gòu)，這也體現(xiàn)Cobit和COSO在思想上有融合和嵌入。COSO由于設(shè)計(jì)所站視角更高，使用范圍更寬泛，具有普遍的內(nèi)控指導(dǎo)意義，Cobit遵從COSO的控制思想，但強(qiáng)調(diào)IT控制，從這點(diǎn)來(lái)看其是COSO的深化和延伸。這也啟示我們，使用Cobit框架進(jìn)行會(huì)計(jì)信息系統(tǒng)審計(jì)時(shí)，在理解COSO內(nèi)控思想的前提下，需掌握基礎(chǔ)的IT管理和信息系統(tǒng)知識(shí)，具備一定IT思維方式和素質(zhì)，方能較好地運(yùn)用Cobit進(jìn)行會(huì)計(jì)信息系統(tǒng)審計(jì)，提高審計(jì)效率和質(zhì)量。

注釋

{1}COSO為全國(guó)反虛假財(cái)務(wù)報(bào)告委員會(huì)下屬的發(fā)起委員會(huì)（The Committee of Sponsoring Organizations of the Treadway Commission）的英文縮寫(xiě)。1992年9月，COSO委員會(huì)發(fā)布《內(nèi)部控制——整合框架》（Internal Control-Integrated Framework）也稱(chēng)COSO內(nèi)部控制框架。

{2}Cobit：信息及相關(guān)技術(shù)控制目標(biāo)，英文Control Objectives for Information and related Technology的縮寫(xiě)。

{3}信息系統(tǒng)審計(jì)和控制聯(lián)合會(huì)，英文全稱(chēng)為：Information Systems Audit and Control Association（ISACA）。

參考文獻(xiàn)

[1]苗連琦.COBIT：加強(qiáng)會(huì)計(jì)信息系統(tǒng)的內(nèi)部控制與審計(jì)的一個(gè)不可或缺的工具[J].中國(guó)管理信息化，2012，03（02）：90-93.

[2]王會(huì)金.中觀信息系統(tǒng)審計(jì)風(fēng)險(xiǎn)控制體系研究——以COBIT框架與數(shù)據(jù)挖掘技術(shù)相結(jié)合為視角[J].審計(jì)與經(jīng)濟(jì)研究，2012，04（01）：16-23.

[3]張磊.基于COBIT的中國(guó)人壽信息系統(tǒng)審計(jì)框架設(shè)計(jì)研究[D].浙江大學(xué)，2014.

[4]魯璐.企業(yè)信息系統(tǒng)審計(jì)一般控制應(yīng)用框架探究——基于COBIT理論[J].財(cái)會(huì)通訊，2015，04（31）：110-112.