王伟

摘要：在IT环境下，为了满足利益相关者对高质量会计信息的需求，企业有必要引进新的理论框架对该系统从构建到运行的全过程进行控制。COBIT作为全球公认IT治理的最佳控制模型，采用生命周期的思想，可用来指导会计系统内部控制的实施、评价及完善。同时，IT的应用使得会计系统暴露在更为复杂多样的风险之下，为了有效的规避这些风险，企业在构建该系统内部控制时，有必要引进现阶段风险管理的最高研究成果ERM框架的思想。

关键词：

COBIT模型；ERM框架；会计系统内控体系

中图分类号：

F23

文献标识码：A

文章编号：16723198（2015）05013202

在IT环境下，要建立会计系统的内控体系，不仅要考虑会计系统业务的目标及IT的特点，还要保证相关人员能理解并认同，这就需要我们引入一个标准化的框架作为控制的指南。COBIT模型的流程控制观念及其应用控制目标正好为我们提供了合适的参考，这就为利用其构建会计系统内控体系提供了契机。

通过对COBIT模型控制框架以及企业风险管理框架（ERM）的全方位解读，有助于我们理解并掌握内控的核心思想，同时将风险管理的理念引入到IT环境下的会计系统内部控制体系的构建过程中，有利于我们借鉴其中的优秀控制方法和思想来完善企业会计系统的内控框架及应用模式，从而提高企业经营的效率和效果、保障企业资产的安全完整和财务报告的真实可靠，满足利益相关者的要求。

1COBIT模型简介

COBIT（信息及相关技术的控制目标）由ISACA（美国信息系统审计与控制协会）最早于1996年发布，现已更新到COBIT4.1第四版。该模型目前已经成为国际上共同认可的最权威、最先进的IT管理、控制和审计的标准。

COBIT模型将IT资源、IT过程及信息与企业战略目标紧密联系起来，形成了一个三维的立体结构，从而将IT治理目标与企业战略目标有机结合起来。该模型的核心思想可以简单概括为：企业为了实现自身的战略目标，需要在IT资源上投入资金，并在IT过程中合理的使用这些可以控制的IT资源，最终交付出企业需要的有用信息。

COBIT 4.1版将信息技术流程按生命周期的思想分为三个层次来控制，分别为四个域（Domains）、34个处理过程（Processes）及210项任务活动（Activities Tasks）。其中四个域的内涵分别为：规划与组织域（PO）、获得与实施域（AI）、交付与支持域（DS）及监控与评价域（ME）；34个过程中提供了每个过程的控制目标、涉及到的IT资源、过程成熟度指标、监控和评价标准及方便执行的应用指南。

COBIT模型可以作为业务需求、风险控制和技术机制之间有效沟通的桥梁，可以满足管理的多方面需求。作为IT控制模型中最佳的研究实践，COBIT能为世界各国广泛接受和实施，自然有它独到的地方。概括起来，它的优势主要表现在：

（1）以业务为中心，立足于公司战略目标，通过域、过程、活动的三层控制体系，保证IT目标与企业目标的一致性，规避具体活动与最终目标偏离的风险。

（2）可以增强管理层和员工对整个系统的理解和支持。COBIT的使用者并不局限在IT服务提供者、用户和审计师，还为管理层和过程使用者提供全面的使用指南，并且明确了实施过程中的责任归属。这就使得所有相关人员可以理解系统，了解自己的位置及作用，并支持系统的实施及完善。

（3）将IT控制变得简化，减轻复杂系统实施的难度。COBIT模型采用一致性的控制思路对IT周期的34个过程进行控制。具体方法为：确定每个过程的高级控制目标、具体控制目标及管理指南，通过控制、管理实施过程中的偏差来保证达到每个过程高级控制目标的要求，满足组织对信息系统安全性、可靠性及有效性的要求，支持组织目标的实现。

（4）具有持续有效性。COBIT模型不仅面向现在，还可以为企业系统的持续优化提供指导，防范业务变化或系统管理不当造成的风险，保证系统目标与业务目标的一致性。

（5）具有国际通用性。COBIT模型使用能被利益相关方理解的通用术语及定义，并且与国际公认的IT治理关注领域、公司治理标准如COSO模型及审计人员等对内控的要求保持了一致，故实施该模型可以保证组织满足相关法律法规的要求。

综上所述，COBIT 4.1模型的实用性及可操作性都比较强，并且其是国际上公认的IT管理与控制标准，故本文将其作为IT治理下会计系统内部控制体系构建的基础。

2ERM企业风险管理框架

ERM框架的出台是内外部环境催化的结果。2002年颁布的《萨班斯法案》要求上市公司加强风险管理，强化风险控制，这在客观上推动了COSO《内部控制整合框架》的进一步发展。同时，COSO委员会也意识到了《整合框架》自身存在的不足之处，如过分重视财务报告，而没有从企业战略与目标的角度关注组织风险。这些因素从客观上推动了ERM框架的颁布。

企业风险管理（ERM）框架是在国外一些重大财务丑闻的催化下诞生的，将企业的全面风险管理分为八个要素来控制，分别为：内部环境、目标设定、事件识别、风险评估、风险对策、控制活动、信息与沟通、监督。从该框架的配套指南可以看出，该框架没有对内部控制重新定义，而是在COSO报告对内控定义的基础上，引入了风险管理的理念，对内部控制进行了拓展和细化，形成了一个更全面、更有效的管理风险的框架。总体来说，ERM框架在COSO的基础上增加了一个新理念、一个战略目标、两个新概念和三个基本要素：

（1）引入风险组合观：要求企业在评估自身风险时要从整体出发，即使每个下属单位的个别风险都在自身可接受范围之内，也要考虑总风险超过企业整体可控风险偏好的可能性。

（2）增加战略目标：COSO框架将企业的目标分为三类，即经营目标、报告目标和合规性目标。ERM框架中的经营目标与报告目标与COSO相同，但对合规性目标进行了拓展，包含企业编制的对内、对外所有报告，不仅包括财务信息，也包括非财务信息。同时，ERM框架还增加了一大目标，即企业的战略目标。

要求企业的经营目标、报告目标及合规性目标要以自身的战略愿景为基石，使企业在实现自身使命的过程中少走弯路。

（3）风险偏好及风险容忍度：

风险偏好是指为了实现自身战略愿景，企业愿意承受的广泛意义的风险数量，其指导着企业的战略制定及目标选择。风险容忍度即风险可接受程度，指企业对在目标实现过程中出现差异的可接受程度。在确定各目标的风险容忍度时，企业一方面要考虑该目标的重要性，另一方面还要将其与自身的风险偏好联系起来，最终将风险控制在可以承受的最大范围内，保证企业最大限度的实现自身目标。

（4）新增风险管理三要素，即目标设定、事项识别、风险应对：

ERM框架在COSO五要素的基础上新增加了目标设定、事项识别及风险应对三个要素，风险管理在企业管理中的地位越发重要。同时，在内部环境要素中，更加强调了董事会对风险管理的理念。

由此可见，ERM风险管理框架更加强调风险管理理念，并且将控制的对象设定为整个企业，控制的范围涵盖了业务的事前、事中及事后全过程，使得风险控制不仅贯穿于具体业务层次也贯穿于战略愿景层次，不仅贯穿于执行层次也贯穿于反馈层次。而在IT治理的大环境下，会计系统已经与其他信息系统融为一体、密不可分，共同服务于企业战略目标。这就要求引入新的观念，采取措施积极应对IT带来的新风险，将各种风险控制在企业可接受的范围之内。因此，本文将战略目标管理理念引入会计系统中，将ERM框架作为构建IT治理的会计系统内控体系应遵循的标准。

3IT治理下会计系统内控体系构建

在信息技术高速发达的当今社会，理解并评估会计系统内部控制面临很多障碍及风险。这就要求我们引入新的理论框架，很好的建立并理解会计系统内部控制体系。ERM框架是通用的内部控制建立及评估的规范，没有单独对IT控制目标和相关控制活动做出具体要求，而COBIT采用生命周期的思想，将整个IT流程分为域、过程、活动来控制IT资源，使复杂的系统控制简单化，对评估IT环境下的内部控制特别有效。两者实际上是一般与应用的关系，所以本文将ERM风险管理的思想及COBIT模型的控制方法结合起来控制会计系统的IT资源，三者共同组成IT治理的会计系统内部控制体系的立体模型，如图1所示。

该三维体系将会计系统内部控制流程、ERM框架八要素及会计系统IT资源紧密结合在一起，为会计系统内部控制的构建及运行发挥了独特的作用。一方面，该体系利用COBIT模型的生命周期法将会计系统内部控制分为域、过程、活动的三层架构，使控制活动更易于实施；另一方面，利用ERM框架风险控制的思想管理会计系统的内控过程，有助于每个过程的顺利完成。同时，通过会计系统内部控制的每个过程管理会计系统的IT资源，能够保证IT资源使用的效率及效果，促进企业目标的达成。

3.1从企业战略层面入手设置会计系统目标，减少了信息孤岛

COBIT框架中规划与组织的第一个过程就是制定会计系统的战略计划，这就为会计系统的设置定下了基调：为企业的战略目标服务，从根本上保证了数据初始采集的准确性及目标性，避免出现如内部编码不统一造成的数据汇总及对比问题。为了提高企业信息系统的整合度，企业可以配备一个专门的IT管理部门，从最初企业信息系统的标准设定、初始设置到最后的监控改进持续跟进，保证数据采集及数据分析的准确性，提高会计系统的可靠性及及时性。

3.2建立起制度和技术之间的纽带

IT技术在企业中的广泛使用使得会计系统的内控体系越来越复杂，对企业的管理人员及实施人员都提出了巨大挑战。ERM框架侧重于策略层次，只是对企业内部控制设置的一般性要求，没有指出具体的实施方法。而COBIT模型侧重于具体的实施方法，按照生命周期的思想将信息系统流程细化为210项任务活动，使得企业在实施过程中能按照相对应活动的控制流程来设置信息系统，并达到每个活动的控制目标。因此，将ERM框架与COBIT模型思想结合，不仅可以满足ERM企业风险管理的要求，还能降低设置会计系统内控的实施难度，使得整个控制流程更加易于理解和实施，最终为企业交付满意的信息。

3.3构建了事前、事中和事后的全方位风险控制体系

COBIT模型将会计系统流程分为四个过程，即规划与组织、获取与实施、交付与支持、监控与评价。其中第一个流程规划与组织属于实施过程中的事前控制，第二个获取与实施及第三个交付与支持流程属于事中控制，监控与评价属于事后的反馈控制流程。通过一系列的控制流程，企业可以建立覆盖整个会计系统的风险控制机制，同时通过监测各个过程的指标控制可能出现的偏差，并及时解决遇到的问题，将风险控制在可接受的范围之内，进而确保系统战略的实现。

在IT技术迅猛发展的当今社会，会计系统的内控体系是否有效直接决定了企业能否合理配置资源、能否提高劳动生产率、能否为众多利益相关者提供合法及公允的会计信息。本文基于ERM框架及COBIT模型构建的会计系统内控体系对于企业防范舞弊、减少损失、提高资产使用效率及达成企业战略目标都具有积极的意义。不过在具体构建会计系统内控体系时，企业应遵循“适合的才是最好的”原则。企业可以参考现有成功或失败的案例，但不要盲目相信别人，要在对自己企业的实际情况深入了解的基础上选择合适的模型，并在实践过程中灵活运用，对不符合要求的流程适当进行修改完善。另外，在实施前要对用户进行必要的培训和沟通，传达组织的目标并使其理解，让用户明白自身在流程中的角色及责任，调动他们的积极性推动相应内控的建设，从而将新方案实施的阻力降低到最小。

参考文献

[1]财政部等.企业内部控制基本规范[J].会计研究动态，2008，（4）.

[2]刘翠.内部会计控制理论研究综述[J].产业与科技论坛，2010，9（5）：105.

[3]ITGI.COBIT4.1[EB].www.itgi.org， 2007.

[4]严晖.公司治理、公司管理与内部控制—对COSO企业风险管理框架（ERM）的分析[J].财会通讯，2012，（4）：1014.

[5]谢志华.内部控制、公司治理、风险管理：关系与整合[J].会计研究，2007，（10）：3745.