一、IT环境下会计信息系统内部控制的必要性
在IT环境下企业会计核算和会计管理的环境发生了很大的变化,对企业会计信息系统内部控制造成了极大地冲击,原有的内部控制形式已满足不了新环境需求。内部控制关系到企业财产物资的安全完整,关系到会计信息系统对企业经济活动反映的正确性、安全性、可靠性,企业为实现既定的管理目标,必须建立一整套与IT环境相适应的会计信息系统控制体系,以保证企业健康、有序地发展。首先,IT的应用使企业交易的处理与相关作业程序都必须依赖于会计信息系统。会计信息系统内部控制的好坏将直接影响企业的营运与发展,如会计信息被记录在磁盘等磁性介质中会失去其直观性;同时,系统的透明度较高,而会计数据的安全性、保密性等控制对企业而言变得更为重要。其次,会计信息系统中的数据处理是在一个封闭的系统中进行,数据处理的准确性完全取决于应用程序和硬件的可靠程度,会计人员无法直接参与控制。由于rr环境下会计信息系统的特殊性,如计算机的资源共享性增加管理控制难度、计算机信息系统的自动化改变牵制形式、权限分工、计算机无限延伸性和多攻击点扩大了信息系统的风险和控制的范围。最后,随着IT在会计工作中的普遍应用,管理部门对由计算机产生的各种数据、报表等会计信息的依赖程度越来越大,这些会计信息的产生只有在严格的控制下才能保证其可靠性和准确性,才能预防和减少计算机犯罪的可能性。目前,我国对内部控制的研究大多处于传统的手工会计阶段,因此IT环境下的会计信息系统内部控制的研究具有一定的现实意义。
二、IT治理参考(COBIT)框架选择的原因
目前,我国对信息系统的管理和控制的了解和应用还处于起步阶段,必须有一个好的参考标准予以指导。如美国的COSO、英国的Cadbury、加拿大的CoCo、南非的King等业务控制模型以及英国贸易和工商部(DTI)的SecurityCode of Conduct、加拿大会计师事务所(CICA)的Information Technology Control Guidelines与美国国家标准技术局(NIST)的Security Handbook等大量的IT方面的控制模型,但这些都不能为组织的业务处理过程提供一个全面而有用的IT控制模型,确保能够成功、有效地整合信息系统与业务流程。COBIT的目的就是为这种整合提供基础,从而在业务需求和IT控制之间建立联系。COBIT使IT环境的会计信息系统管理工作简易并量化,从而减轻对复杂信息系统管理工作的难度。COBIT提供了一种国际通用的IT环境的会计信息系统管理及问题解决方案,普遍适用于各种不同的商业项目和审计,它既包容了当前的情况,也提供将来可能会使用到的指导方针。COBIT框架能够帮助确定过程责任,提高IT环境的会计信息系统治理水平。通过采用该框架,可以将其作为对一个责任矩阵分析的基础,可以做到基于角色的IT环境的会计信息系统管理,定义过程措施,更好地确保客户利益。
笔者认为,针对我国信息化存在的问题,借鉴COBIT的IT环境的会计信息系统治理思想和框架,科学、系统地对信息及相关技术进行管理,逐步试行建立IT环境的会计信息系统治理机制,对推动我国IT环境的会计信息系统的发展和应用都具有十分重要的现实意义。
三、IT治理参考标准(COBIT)使用应注意的问题
框架鉴于COBIT的通用性,它忽略了各个信息系统的特殊性,因此不能照搬COBIT的一套控制目标体系,而应根据实际情况将其具体化。首先,组织在应用COBIT前必须先了解其指导思想,COBIT是为了有效地整合组织的业务流程与信息系统,必须理解从IT资源的规划、信息的产生到整个业务流程的循环中,需要投入的IT资源,可以达到的IT目标,以及如何使每个rr处理过程有效运转、相互协调。其次,以COBIT的处理过程为模版,结合组织的业务流程和信息系统的具体情况,建立基于组织特殊要求的IT处理过程,然后提出每个IT处理过程的控制目标。最后,在应用COBIT的过程中,组织的业务流程、业务需求以及IT技术在不断的变化发展中,COBIT本身也在不断地更新,因此组织的IT处理过程及其控制目标必须及时更新。