（会计学专业论文）基于cobit的信息系统内部控制研究——以tw外资公司为例.pdf

己02n 0 t 3 原创性声明 本人郑重声明：所呈交的学位论文，是本人在导师的指导下，独立进行研究 工作所取得的成果。除文中已经注明引用的内容外，本论文不包含任何其它个人 或集体已经发表或撰写过的作品成果。对本人的研究作出重要贡献的个人和集 体，均已在文中以明确的方式标明。本人完全意识到本声明的法律结果由本人承 担。 学位做储躲、磁 日期：渺肄多月，e l ， 学位论文使用授权声明 本人完全了解中山大学有关保留、使用学位论文的规定，即：学校有权保留 学位论文并向国家主管部门或其指定机构送交论文的电子版和纸质版，有权将学 位论文用于非赢利目的的少量复制并允许论文进入学校图书馆、院系资料室被查 阅，有权将学位论文的内容编入有关数据库进行检索，可以采用复印、缩印或其 他方法保存学位论文。 导师签名：1 日期：歹年钐月j 日 亟日烨 签么 者f 懈筘 文 吁蹴砷 位期学目 基于c o b i t 的信息系统内部控制研究 以t w 外资公司为例 专业：会计学 硕士生：肖婷 指导老师：林斌教授 摘要 随着i ，i 技术的发展和应用，信息系统广泛深入地渗透至唾企业组织中，加大 了企业对信息系统的依赖性，信息系统的安全、可靠和有效显得越来越重要。信 息系统的内部控制成为企业管理的关键。当前我国多数企业已经或正在尝试建立 信息系统内部控制，但仍然处于起步阶段。c o b i t 作为国际上最先进、最权威 的信息及相关技术管理和控制的标准，可以给我们提供很好的借鉴。财政部会同 其他相关部门发布的企业内部控制基本规范，制定了对信息系统内部控制的 规定，将有助于规范、指导我国企业建立、完善信息系统的内部控制。 本文在简要介绍内部控制的历史发展和信息系统内部控制的产生背景的基 础上，分析了国内外信息系统内部控制的相关研究成果；其次介绍了信息及其相 关技术的控制标准c o b i t 的内容；再次，论文分析了我国目前关于信息系统控 制的相关规定，并与国际标准进行了比较分析。此后，本文以t w 外资公司为例， 具体分析了该公司信息系统安全控制的做法，用c o b i t 标准中关于信息系统安 全控制成熟度模型来分析、评价该公司的信息系统安全控制，提出改进建议。最 后，本文以企业内部控制基本规范为指导，借鉴c o b i t 标准提出完善我国 企业信息系统内部控制的建议。 关键词：信息系统，内部控制，c o b i t r e s e a r c h0 1 1i n t e r n a lc o n t r o lb a s e do i lc o b i t ：t wf o r e i g nc a p i t a lc o m p a n yi l l sa l le x a m p l e m a j o r ：a c c o u n t i n g n a m e ：x i a ot i n g s u p e r v i s o r ：p r o f e s s o rl i nb i n a b s t ra c t a st h er a p i dd e v e l o p m e n ta n du s eo fi n f o r m a t i o nt e c h n o l o g y ，i n f o r m a t i o ns y s t e m i sw i d e l yu s e di ne n t e r p r i s e sa n di n c r e a s ee n t e r p r i s e s d e p e n d e n c eo ni n f o r m a t i o n t e c h n o l o g y t h es a f e t y ，r e l i a b i l i t ya n de f f i c i e n c yo fi n f o r m a t i o ns y s t e mb e c o m em o r e a n dm o r ei m p o r t a n t t h ee o n t r o lo fi n f o r m a t i o ns y s t e mi sc r i t i c a lt oe n t e r p r i s e s m a n a g e m e n t m a n yd o m a i ne n t e r p r i s e sh a v es e tu pt h ei n f o r m a t i o ns y s t e mc o n t r o l0 1 t i t l et r y i n gt od os o b u tt h ei n f o r m a t i o ns y s t e mi sp r i m a r yy e t c o b i th a sb e e n d e v e l o p e d 舔ag e n e r a l l ya p p l i c a b l ea n da c c e p t e ds t a n d a r df o rg o o di n f o r m a t i o n s y s t e m sm a n a g e m e n ta n dc o n t r o lp r a c t i c e s d o m a i ne n t e r p r i s e sm a ym a k eg o o du s e o fc o b i tf o rr e f e r e n c e t h em i n i s t r yo ff i n a n c ea n ds o m eo t h e rr e l a t e dm i n i s t r i e s h a v ei s s u e dt h e “e n t e r p r i s ei n t e r n a lc o n t r o lb a s ec r i t e r i o n ，s e t t i n gu pt h e p r i n c i p l eo fi n t e r n a lc o n t r o lo ni n f o r m a t i o ns y s t e m t h i sc r i t e r i o nw i l ls t a n d a r d i z ea n d i n s t r u c td o m e s t i ce n t e r p r i s e st os e tu pa n dd e v e l o pt h ei n t e r n a lc o n t r o lo ni n f o r m a t i o n s y s t e m b a s e do nt h eb r i e fa n a l y s i so ft h ep r e s e n tr e s e a r c ho ff o r e i g na n dd o m e s t i c i n t e r n a lc o n t r o lt h e o r ya n dm e t h o d ，t h i sa r t i c l ea n a l y z e st h ed e v e l o p m e n ta n dc o n t e n t o fi n t e r n a lc o n t r 0 1 t h i sp a p e ri n t r o d u c e $ t h ec o b i ta n dc o m p a r e st h ed o m e s t i c i n f o r m a t i o nt e c h n o l o g ys t a n d a r dt ot h ei n t e r n a t i o n a ls t a n d a r d t h e n , t h ea r t i c l e a n a l y z e st h ei n f o r m a t i o ns a f e t yc o n t r o lo faf o r e i g nc a p i t a lc o m p a n y ( t wc o m p a n y ) w i t ht h e t h e o r e t i e a l i n s t r u c t i o no ft h ep r o c e s sd s 5 一e n s u r es y s t e m ss e c u r i t ya n d t a b l e ss o m ep r o p o s a l s a tt h ee n d ，t h ea r t i c l eb r i n g sf o r w a r ds o n i cs u g g e s t i o n st o d e v e l o pi n f o r m a t i o ns y s t e mc o n t r o lf o rd o m a i ne n t e r p r i s e su s i n gt h ec o b i ta n d “e n t e r p r i s ei n t e r n a lc o n t r o lb a s ec r i t e r i o n f o rr e f e r e n c e k e yw o r d s ：h l f o r m a t i o ns y s t e m ，i n t e r n a lc o n t r o l ，c o b i t l l 摘要 目录 a b s t f l a ( ；1 f 1 口i 目录 图表目录 第1 章引言 1 1 写作意义l 1 2 论文结构及框架图2 第2 章信息系统内部控制概述4 2 1 历史渊源4 2 2 国内外信息系统内部控制研究8 2 3 信息系统内部控制的目标1 1 第3 章信息及相关技术控制目标c o bit 模型1 2 3 1c o b i t 的历史和背景1 2 3 2c o b i t 的控制原理分析1 2 3 3c o b i t 的主要内容1 4 3 4c o b i t 第四版本和第三版本的比较2 3 3 5 c o b i t 在信息系统中的运用2 4 第4 章我国信息系统内部控制规定及其国际比较2 5 4 1 我国信息系统内部控制的现有规定2 5 4 2 我国信息系统内部控制规定和国际标准的比较2 6 第5 章w 外资公司的信息系统安全内部控制3 1 5 1 t w 外资公司内部控制和信息系统控制现状。3 l i l l 5 2t w 外资公司的信息系统安全内部控制基本情况3 6 5 3 t w 外资公司的信息系统安全内部控制案例分析。3 8 第6 章完善w 外资公司及我国信息系统控制的建议4 5 6 1 完善t w 外资公司信息系统内部控制的建议4 5 6 2 完善我国企业信息系统控制的建议4 7 第7 章总结 7 1 主要结论5 2 7 2 主要创新及局限性。5 2 参考文献。 j 舌记。! ； i i v 图l 一1 图3 1 图3 2 图3 3 图3 4 图3 5 表3 一l 图5 一l 图5 2 图5 3 图5 4 图5 5 图5 6 图5 7 图表目录 论文框架3 c o b l t 基本原理图1 3 c o b i t 组成部分相互关系图1 5 c o b i t 4 1 完整框架图1 6 确保系统安全的r a c i 图1 9 成熟度模型的示意图2 0 确保系统安全的成熟度特征表2 l t w 外资公司组织结构图3 2 t w 外资公司信息化体系结构j 3 3 t w 外资公司内网网络拓扑图3 4 t w 外资公司信息系统结构图3 4 t w 外资公司信息系统内部控制框架图3 5 t w 外资公司信息系统安全控制体系结构：3 7 t w 外资公司信息系统安全控制的r a c i 图4 2 v 1 1 写作意义 第1 章引言 在当前全球信息化的大环境下，信息技术正广泛深入地渗透到企业组织中， 各种各样的信息系统成为企业各种业务处理的核心，加大了企业对信息系统的依 赖性。一方面，信息系统使企业的结构和运行模式产生了变革，改变了人们的思 维模式，提升工作效率，创造新的商业机会，人们正在享受着信息化带来的方便 和效益；而另一方面，信息技术的运用也在严重地挑战传统的监管方式，如果不 加强对信息系统的控制，将会导致信息化过程、信息系统及其业务应用产生巨大 风险。随着信息系统而来的风险和利益使得信息系统的内部控制成为企业管理中 的关键。 在美国、日本及欧洲的发达国家，信息系统已经成为企业的中枢，信息系统 的内部控制得到了普及，几乎所有企业都认识到了信息系统内部控制的重要性， 也越来越清楚地意识到有效管理和控制信息及信息相关技术是进入信息化社会的 可靠保障。i t 治理协会( i tg o v e r n a n c ei n s t i t u t e ，缩写为i t g l ) 开发和推广了信 息及相关技术控制目标c o b l t ( c o n t r o lo b j e c t i v e sf o ri n f o r m a t i o na n dr e l a t e d t e c h n o l o g y ) ，来指导和规范信息系统的管理和控制。 当前，我国的信息化事业也进入了一个新的阶段。加入w t o 后，信息的重 要性已广为认同，信息系统也逐步渗透到企业组织中，开始从传统的后台支持转 变为新业务开展的直接驱动力，并且日益成为企业的直接利润中心。企业对信息 系统的依赖程度在不断增加，甚至更有一些企业如果没有信息系统将不复存在。 随着对信息系统依赖性的增加，信息系统内部控制对于企业成功是至关重要的， 企业管理层对信息化的风险有了一定的认识。但总体来看，我国信息系统内部控 制尚处于起步阶段，对信息及相关技术内部控制的理解还不深入、不全面。实践 中，企业信息系统内部控制普遍比较薄弱。 为了保证信息系统环境下的内部控制能够发挥预期效果，提升企业的价值， 在当前形势下研究信息系统内部控制具有重要的理论意义和现实价值。 1 2 论文结构及框架图 本文以c o b i t 模型为基础，对企业信息系统内部控制的实际进行探析，挖掘 其存在的问题，提出改进思路，试图提出完善信息系统环境下企业内部控制的理 论方法。 本文在简要介绍内部控制的发展历史和信息系统内部控制产生背景的基础 上，分析了国内外信息系统内部控制的相关研究成果；然后分析了信息及其相关 技术的控制标准c o b i t 的内容；再次，论文分析了我国目前关于信息系统内部控 制的相关规定，并进行了国际比较分析。此后，本文以t w 外资公司为例，具体 分析了该公司信息安全控制的做法，用c o b i t 标准中关于信息系统安全控制的流 程来分析、评价该公司的信息安全控制，提出改进建议。最后，本文在理论和实 践相结合的分析中，提出完善我国企业信息系统内部控制的方法、建议。 2 图1 1 论文框架 3 第2 章信息系统内部控制概述 2 1 历史渊源 2 1 1 内部控制的历史发展 内部控制是随着经营管理实践的发展逐渐发展和完善起来的，内部控制的概 念具有历史性，由内部牵制阶段发展到最新的风险管理概念。 内部牵制是内部控制的最初形式，其思想源远流长。在古罗马时期，就有了 “双人记账制 1 、财产支出检查和复核制度。2 0 世纪4 0 年代以前，通常使用的 都是“内部牵制 ，主要是为保护财产安全而设置。最常见的牵制规则是管钱、管 物、管账分工负责，相互制约。在现代内部控制理论中，内部牵制仍占据相当重 要的地位，是有关组织规划控制的基础。 在内部控制制度阶段，1 9 4 7 年，a i c p a 下属的审计程序委员会在其审计准 则暂行公告中第一次正式提出了内部控制这一概念。1 9 4 9 年，审计程序委员会 发布了一份特别报告内部控制一种协调制度要素及其对管理当局和独立审 计人员的重要性，该报告首次给内部控制制度下了如下权威定义：包括组织的组 成结构及该组织为保护其财产安全、检查其会计资料的准确性和可靠性，提高经 营效率，保证既定的管理政策得以实施而采取的所有方法和措旋。 1 9 5 8 年，审计程序委员会对内部控制定义重新进行表述，将内部控制划分为 内部会计控制和内部管理控制。 1 9 8 8 年，审计准则委员会发布第5 5 号审计准则公告，提出“内部控制结 构这一概念，该文告首次以“内部控制结构弦一词取代原有盼“内部控制 一 词，内部控制结构具体包括控制环境、会计系统及控制程序三个部分，将控制环 境纳入内部控制的范畴。 2 0 世纪9 0 年代，美国提出内部控制整体框架思想。1 9 9 2 年，c o s o 委员会 1 楼德华中小企业内部控制上海：上海三联书店，2 0 0 5 5 4 在进行专门研究后提出专题报告：内部控制一整体框架，也称c o s o 报告， 提出了内部控制的五大要素，分别是控制环境、风险评估、控制活动、信息与沟 通、监督。c o s o 报告标志着内部控制进入一个新的发展阶段。 继1 9 9 2 年提出内部控制的纲领性文件内部控翩一整体框架后，c o s o 于2 0 0 4 年6 月提出企业风险管理整合框架，为企业有效地进行风险管理 提供了强有力的理论指导。企业风险管理旨在识别影响组织的潜在事件，在组织 的风险偏好范围内管理风险，为组织目标的实现提供合理的保证。 企业风险管理涵盖了内部控制，比内部控制更广泛，是对内部控制的拓展和 细化，内部控制是风险管理不可分割的一部分。企业风险管理整合框架扩充了内 部控制整体框架，首先表现在目标类别，内部控制整体框架明确了三类目标，即 经营目标、财务报告目标和合规性目标，企业风险管理整合框架除了明确了以上 三类目标，还增加了另一类目标，即战略目标，它处于比其他目标更高的层次。 战略目标来自一个主体的使命或者愿景，因而经营、报告和合规目标必须与它相 防调。其次是构成要素的不同，由于企业风险管理整合框架更多地关注风险，因 此拓展了内部控制框架的风险评估要素，扩展成了四个构成要素，即目标设定、 事项识别、风险评估和风险应对。 2 1 2 信息系统内部控制产生的背景 在当前全球信息化的大环境下，信息技术正广泛深入地渗透到企业组织中， 各种各样的信息系统成为企业各种业务处理的核心，加大了企业对信息系统的依 赖性。正所谓“水能载舟，亦能覆舟”，信息技术对于内部控制，既带来了全新的 控制风险又带来了崭新的风险控制工具。一方面，信息系统使企业的结构和运行 模式产生了变革，改变了人们的思维模式，提升工作效率，创造新的商业机会， 正在享受着信息化带来的方便和效益：而另一方面，信息技术的运用也在严重地 挑战传统的监管方式，如果不加强对信息系统的控制，将会导致信息化过程、信 息系统及其业务应用产生巨大风险。 一、信息技术为内部控制带来了新的挑战 风险，使控制成为必要。不同的风险，需要不同的控制手段。信息技术为企 业带来了新的风险，也为内部控制带来了新的挑战。 s l 、信息系统对交易授权的影响 授权、批准控制是常见的、基础的内部控制。信息系统环境下操作权限的授 予与手工环境不同。在手工环境下，处理一项经济业务时，其各个环节都需要经 过某些拥有相应权限人员的签章，这自然形成了层层复核、道道把关的严格审核 机制。而在信息系统环境下，操作人员可利用特殊的授权文件或口令获取某项权 利或进行特定操作。用口令方式授权是信息系统环境下常见的和基本的内部控制， 但口令一旦失控将会对企业造成重大损失。 2 、系统性错误易反复发生 信息系统环境下的内部控制具有人工控制和程序控制相结合的特点。许多信 息系统应用程序中包含内部控制功能。通常这种控制能够检查某些特定类型的非 法或异常交易，但程序化的内部控制的有效性取决于应用程序。如果发生错误的 原因在于系统程序和系统软件，则计算机就会重复执行同一错误操作。更严重的 是，由于内部控制的程序化，人们在长期的使用过程中对程序化的内部控制产生 了一定的依赖性，如果程序发生差错或不起作用，失效的控制将会长期不被发现， 并且多次重复，从而使系统在特定方面发生错误或违规行为的可能性更大。 3 、数据的安全性受到威胁 信息系统环境下原来纸质的数据被直接记录在磁盘或光盘上，很容易被删除 或篡改，并且在技术上对电子数据的非法修改可以做到不留痕迹。另外，电磁介 质容易受到损坏，一旦发生火灾、水灾、被盗之类的事件，就使得企业信息存在 丢失或毁坏的危险。 4 、系统整合集成加大信息风险 传统的内部控制主要针对单独的交易处理，而在信息系统环境下，整合集成 系统要求集中存储数据和程序，则在一定程度上带来了信息安全隐患。对于日益 庞大复杂的信息系统，其内部稽核难度加大、成本增加，如由外部机构完成，则 可能泄露商业机密，影响其竞争力；如由企业内部自行解决，则必须配备具有复 杂高深查核技术的专业人员。 5 、网络开放性危及信息安全 网络是一个开放的环境，大量信息通过网络传播，有可能被非法拦截、窃取 甚至篡改，在这个环境中一切信息在理论上都是可以被访问到的。网络下的信息 6 系统遭到非法访问甚至黑客或病毒攻击的可能性更大，这种攻击可能来自于系统 外部，也可能来自于系统内部，而且一旦发生将造成巨大的损失。 ， 6 、提高了对安全管理的要求 目前大多数组织的最高管理层都已树立不同程度的安全意识，但对信息资产 所面临问题的严重性认识不足，突出表现为重视安全技术，轻视安全管理，没有 形成合理的信息安全方针来指导组织的信息安全管理工作，在安全规划、应急计 划、安全教育培训、安全系统的评估等多方面总是出现了问题才去想补救的办法， 是一种就事论事、静态的管理，不是建立在安全管理基础上的动态的全局管理方 法。 二、信息技术为内部控制提供了新的机遇 信息技术是一把双刃剑，在为企业内部控制带来全新风险的同时，也为其控 制风险提供了崭新的工具。 1 、事前检查提高信息质量 开发应用系统，除了强调一些技术特征，更应确保业务活动被正确处理，最 大可能的防范风险。因此，要针对活动产生的风险进行事前控制，即在业务活动 发生、有关数据进入数据库之前，检查这些数据的准确性、完整性和合法性。如 果输入数据不符合既定的逻辑和控制标准，处理可能被中断，如果让处理继续下 去，负责控制的某些人应该得到例外通知。在某些情况下，可能会允许一些人凌 驾于控制之上，但任何这种超越控制权限的行为应该通知所有有关控制人员。这 样一来，只有数据准确、完整、合法，继续处理也符合流程，相关数据才能被加 入到数据库中。 2 、事中网上公证形成三方牵制 由于信息技术环境下原始凭证以数字方式存储，可以利用网络技术所特有的 实时传输功能和日益丰富的互联网服务项目实现信息的第三方监控，即网上公证。 也就是说，手工环境下的内部牵制是通过多人的分工劳动实现牵制，信息系统环 境下的内部牵制依然遵循职责分离原则，只不过有些分工由人人分离转为人机分 离甚至机机分离而得以实现。 3 、事后追溯利用电子审计线索 在信息系统环境下，数据的生成、存储和传递方式都发生了巨大变化，不再 7 少甚至消失，审计线索不再可视。然而，利用信 息技术记载和再现原始业务依然可行，利用电子审计线索追溯业务的来龙去脉甚 至变得更为便利高效。实际上，较之以往分散的手工处理环境，电子审计线索更 加简洁，也更容易获得，高度集成整合的信息系统，则为每一笔交易建立了单独 的审计线索，环环相扣的连接关系使原始业务的再现更为方便易行。 信息系统环境下的内部控制，挑战与机遇并存，风险与收益同增。有效的信 息系统内部控制不在于运用过多的审核人员，而在于利用信息时代深刻的控制哲 学和控制技术实现对业务和信息过程的充分控制。 随着管理规则的认识逐渐深入和信息技术的不断发展，信息系统若不考虑实 施控制，就不能使信息系统发挥应有的作用。在信息系统的不断演化过程中，曾 经需要管理人员亲力亲为的控制，将不断成为自动化的业务控制，融入到信息系 统之中。管理人员则可将更多的精力集中到计算机无法胜任的活动上，更好的完 成信息系统无法模拟的控制。随着信息技术的不断发展，系统对业务和信息过程 的整合集成能力越来越强。企业当前的信息系统，实际上应是利用信息集成技术 实现自动化生产与管理的系统，但因本文的研究范围限定在管理领域，因此所指 的信息系统仅限于管理信息系统，而不深入具体生产过程。 2 2 国内外信息系统内部控制研究 2 2 1 国外研究 随着业务的不断扩展和信息化的持续深入，企业信息系统越来越复杂，业务 对信息系统的依赖程度也越来越紧密，信息系统的任何波动，都会直接影响到业 务的正常开展，信息系统如果崩溃，对于业务的影响将是致命的。全世界各国组 织和专家都投入了很大的精力来研究信息系统的内部控制，并提出了很多行之有 效的模型。其中较为成熟的模型有美国i t 治理协会的c o b i t 、英国政府的i t 服 务管理标准模型i t i l 、国际信息安全管理体系标准b s 7 7 9 9 等。 i t 治理协会( i tg o v e r n a n c ei n s t i t u t e ，缩写为i t g i ) 开发和推广的信息及相 关技术控制目标c o b i t ，是目前国际上公认的最先进、最权威的安全与信息技术 管理和控制的标准。该标准为1 t 的治理、安全与控制提供了一个一般适用的公认 8 标准，以辅助管理层进行i t 治理。自1 9 9 6 年c o b i t 问世以来，该标准体系经修 改补充，现在已经发展到4 1 版，已在全世界一百多个国家的重要组织与企业中 运用，指导这些组织有效利用信息资源，有效管理与信息相关的风险。 l t 管理框架_ 叫1 1 l ( i n f o r m a t i o nt e c h n o l o g yi n f i a s t r u c t u r el i b r a r y ) 是英国政 府中央计算机与电信管理中心( c c t a ) 在2 0 世纪9 0 年代初期发布的一套l t 服 务管理最佳实践指南，包含了i t 战略规划、安全管理、成本管理、突发事件管理、 配置管理、变更管理等众多内容，这些管理是否到位都直接影响着i t 投资效果。 b s 7 7 9 9 是英国标准协会制定的信息安全管理体系标准，已得到了一些国家的 采纳，是国际上具有代表性的信息安全管理体系标准。b s 7 7 9 9 包括信息安全的实 施细则和信息安全管理体系规范两个部分。b s 7 7 9 9 完全从管理角度制定，并不涉 及具体的安全技术，实施不复杂，主要是告诉管理者一些安全管理的注意事项和 安全制度。 2 2 2 国内研究 在当前全球信息化的大环境下，我国的信息化事业也进入了一个新的阶段。 在加入w t o 后的中国经济环境中，信息的重要性已广为认同，信息系统也逐步 渗透到企业中。随着信息系统而来的风险、利益和机会使得信息系统的内部控制 成为企业管理中的关键。从目前我国研究情况来看，我国理论界和实务界对信息 系统内部控制问题很重视，结合我国国情，吸收国际标准的先进经验，对信息系 统内部控制进行了系统而深入的研究。但是，在研究中存在重理论、轻实践的倾 向。在理论研究方面，我国学者开始借鉴西方信息系统内部控制理论研究和应用 情况，系统研究信息系统内部控制问题。目前，我国信息系统内部控制理论和实 践的研究中具有代表性的成果主要有以下四个方面。 在对各个i t 治理工具的比较研究方面，主要研究成果有：李维安、王德禄 ( 2 0 0 6 ) 比较分析了c o b i t 标准和c i s r 模型，c o b i t 模型尚处于i t 管理层面， 其核心是强调信息技术资源的合理使用、监督和控制，c i s r 模型则从制度的高度 为信息技术的合理投入、使用提供保证的同时，强调所有利益相关者的利益；甄 阜铭( 2 0 0 7 ) 简单地介绍了c o s o e r m 、c o b t t 和i t i l 等与i t 治理有关的理论， 并针对这些理论各自的特点进行了分析，提出不同组织不同的信息技术阿题，需 9 要不同的i t 治理理论来指导，i t 治理的理论模型需要纵向整合。 探讨c o b i t 在信息系统审计与内部控制方面的应用的研究成果主要有：陈婉 玲、袁若宾( 2 0 0 6 ) 简要地介绍了c o b i t 的构成和框架内容，并在此基础上讨论 了其对我国信息系统控制、信息系统审计及信息系统审计准则制定等方面的启示； 陈志斌、何忠莲( 2 0 0 7 ) 深入研究美国内部控制的执行机制，对我国当前的内部 控制标准建设具有深刻的借鉴意义，针对我国实际提出在统一内控标准体系建设 中应适当引用信息机制和声誉机制，强调责任主体的落实和检查监督，建立严格 的问责机制和惩戒机制，以保证内部控制标准的有效实施；金文、张金城( 2 0 0 5 ) 在c o b i t 研究的基础上，提出从信息系统生命周期出发，通过对生命周期各个阶 段的任务与活动的有序排列，构建符合c o b i t 定义的信息技术过程和管理、控制 与评价模型，并在此基础上，构建信息系统管理、控制与审计的模型；李兆华、 曾桂华( 2 0 0 7 ) 提出c o b i t 标准不仅为人们提供了信息系统控制目标和信息技术 标准，而且提供了信息系统的审计指南，c o b i t 标准对我国开展信息系统审计有 很好的启示和指导作用。 i t 治理方面，研究成果主要有饶艳超( 2 0 0 3 ) 从解决公司治理问题的角度出 发详细论述了关注i t 治理的理由，并参考c o b i t 给出了i t 治理的基本框架，企 业可以通过关键成功因素、成熟度模型、关键目标指标、关键绩效指标四个方面 的相互作用，建立企业目标和i t 之间的联系，实施i t 治理，提高企业的公司治 理水平；唐志豪等( 2 0 0 8 ) 在综述i t 治理核心思想基础上，有机整合i t 治理三 要素；组织、流程和机制，构建了企业i t 治理实施框架模型，并对其中的关键要 素及其之间的相互关系进行了深入的论述；张倩( 2 0 0 5 ) 论述了信息系统审计在 l t 治理中的作用、信息系统审计师和审计构架等问题，并引入c o b i t 控制模型， 引导信息系统审计的实现。 c o b i t 的实践运用方面的主要研究有：关莉莉( 2 0 0 8 ) 论述了c o b i t 控制 目标体系的理论模型和在信息系统中的有效应用，提出了基于c o b i t 的网上银行 控制目标体系的建立；郭顺利、杨小虎( 2 0 0 4 ) 深入分析了c o b i t 控制目标体系， 论述了c o b i t 控制目标体系在信息系统建设中的有效应用，结合国内电子政务建 设的具体情况，提出了电子政务系统的控制目标体系；王德禄( 2 0 0 6 ) 通过对目 前i t 治理的概念、研究现状和实践的分析，提出应尽快确定i t 治理的研究范围、 1 0 制定符合我国企业实际情况的i t 治理实践标准或框架；苗连琦( 2 0 0 8 ) 基于c o b l t 4 1 ，对l t 环境下会计信息系统发展的最新状况进行分析，探讨了跨国公司执行 c o b i t 的经验和做法，进而提出，借助于c o b i t4 1 加强我国企业会计信息系统 的内部控制是当务之急，也是大势所趋。 总体来讲，对c o b i t 运用情况的研究较少，对运用效果的研究更是少之又少。 在我国现阶段，如何完善信息系统内部控制是一项任重而道远的工作，有必要建 立一套信息系统内部控制标准体系，促进企业完善信息系统内部控制。 2 3 信息系统内部控制的目标 信息系统内部控制有以下三个目标： l 、与业务目标致：信息系统内部控制要从组织目标和信息化战略中抽取 信息需求和功能需求，形成总体的信息系统内部控制框架，为进一步系统设计和 实施奠定基础，保证信息技术跟上持续变化的业务目标。 2 、有效利用信息资源：目前信息化工程超期、i t 外部的需求没有满足、i t 平台不支持业务应用等问题较为突出，通过信息系统内部控制可以对信息资源进 行有效管理，保证投资的有效回收，并支持决策。 3 、风险管理：由于组织越来越依赖于信息技术，新的风险不断涌现，例如， 新出现的技术没有管理，不符合现有法律和规章制度、没有识尉对l t 服务的威胁 等。信息系统内部控制强调风险管理，通过制定信息资源的保护级别，强调关键 的信息技术资源，有效实施监控，事故处理。信息系统内部控制使组织适应外部 环境变化，为组织内部实现对业务流程中资源的有效利用，从而达到改善管理效 率和水平。 信息系统内部控制的目标将帮助管理层建立以组织战略为导向，以业务与i t 整合为中心的观念，正确定位i t 职能部门在整个组织中的作用，最终能够针对不 同业务发展要求，整合信息资源，制定并执行推动组织发展的i t 战略。 第3 章信息及相关技术控制目标c o b it 模型 3 1c o b i t 的历史和背景 c o b i t ，关于信息及相关技术的控制目标，是由信息技术治理协会提出的i t 内部控制框架，该协会于1 9 9 6 年、1 9 9 8 年、2 0 0 0 年、2 0 0 5 年分别颁布了c o b i t l 0 、 c o b i t 2 0 、c o b i t 3 0 以及c o b i t 4 0 ，2 0 0 7 年5 月，版本更新到c o b i t 4 1 。在 这个过程中，c o b i t 已从审计师的审计工具演变为i t 内部控制框架，越来越多 地被l t 管理人员使用。 从c o b i t 第一个版本中定义的框架开始，国际化标准的应用和对实践的研究 带来了控制目标的发展。然后，审计准则用来评价这些控制目标是否得到了适当 的执行。c o b i t 第一个版本和第二个版本的研究是欧洲、美国和澳大利亚的团队 完成的，研究者深入的检查每一个控制域和过程，修改特定i t 过程的控制目标， 或者提出新的目标。c o b i t 指导委员会完成了研究结果的整合。 2 0 0 0 年7 月发布的c o b i t 第三版收集了新的和更新的国际参考资料，提出 了管理指南，更新了c o b i t 第二版。进一步来说，更新和提高的c o b i t 框架可 以支持增长的管理控制、介绍执行管理并且进一步发展了l t 治理。 2 0 0 5 年，i s a c a 发布了c o b i t 4 0 ，对框架进行了重大的调整。2 0 0 7 年4 月， i s a c a 发布了c o b i t 最新版本c o b i t 4 1 ，根据新的控制实践，改进了控制目标 等内容，从i t 治理的角度，从更高的层面上来指导管理层进行i t 控制和信息系 统管理。 3 2c o b i t 的控制原理分析 c o b i t 的控制目标体系从一个简单而实际的假设开始：为提供实现企业目标 而需要的信息，企业要投资、管理和控制i t 资源，并通过一系列i t 过程来传递 信息。c o b i t 的控制目标体系可以看作i t 资源、i t 处理过程、信息和业务需求相 互间所衍生出的循环。基本原理如图3 1 所示。 1 2 3 2 1 业务需求 信息及其相关技术是组织内部最有价值的资产，组织的管理者期望信息系统 的服务质量能不断提高，功能逐渐强大，并且易于使用，服务效率高，同时在不 断提高服务质量的同时，维持较低的服务成本。为了实现提出的目标，信息需要 遵守一定的规范，在c o b i t 中称为信息的业务需求，信息的业务需求包括质量需 求、信任需求和安全需求三个部分。 3 2 2i t 资源 i t 资源描述了i t 治理过程的主要对象，包括应用系统、信息、基础架构和 人员四项资源。应用系统指自动化用户系统及处理信息的人工过程。信息指信息 系统输入、处理和输出的所有形态的数据。基础架构指可以支持应用系统处理过 程的技术和设施，包括硬件、操作系统、数据管理系统、网络、多媒体等。人员 指在计划、组织、获取、实施、交付、支持和监控评价信息系统和服务中所需要 的人员，他们可以是内部的、外部的或者合约的。 1 3 3 2 3 信息 为了满足业务需求，信息需要达到一系列控制标准，c 0 8 i t 定义了七个相互 独立的信息评价指标来满足信息的质量需求、信任需求和安全需求，即信息的有 效性、高效性、保密性、完整性、可用性、一致性和可靠性。有效性指以及时、 正确、一致和可用的方式处理和传递业务流程相关的信息。高效性指以最优化的 资源使用方式提供要求的信息。保密性指防止敏感信息被非法泄漏。完整性指保 证信息的准确性、完备性和合法性，同时符合政府或企业的价值观和期望值。可 用性指保证业务流程要求的信息是可用的，无论现在还是将来。一致性指业务流 程必须遵守的法律、法规和合同。可靠性指为政府或企业的管理提供恰当的信息。 3 2 4 玎过程 c o b i t 确定3 4 个i t 过程，每一个处理过程是一系列关联的i t 活动或任务， 它们被划分成四个域，分别是规划与组织、获取与实施、交付与支持、监督与评 价。 规划与组织的内容包括战略和战术，关注i t 如何才能更好地服务于业务目 标，以及战略和战术的实现需要从不同的方面去计划、交流和管理，同时合理的 组织和技术设施也要准备妥当。 获取与实施的内容包括为实现i t 战略，选择、开发或获取相关的i t 解决方 案，同时必须同业务处理过程结合起来去实施。另外，这个域还覆盖对现有系统 的更新和维护，确保解决方案持续满足业务目标。 交付与支持这个域关注提供所需要的服务，包括传递服务、安全管理、对所 有用户的服务支持及数据和应用工具的管理。 监督与评价这个域关注是否经常评估所有的i t 过程的效率并检查他们是否 符合控制需求，包括执行管理、内部控制监督、调整一致以及提供管理。 3 3c o b i t 的主要内容 c o b i t4 1 主要是由三部分组成：框架、控制目标和成熟度模型。其相互关系 如图3 - 2 所示。 1 4 图3 2c o b i t 组成部分棺互关系图 c o b i t 是由相互关联的各组成部分有机结合在一起的，能够为不同的顾客群 提供有关治理、管理、控锘i j 和保证方面的需要。下面对其组成部分逐一介绍分析。 3 3 1 总体框架 c o b i t 的i t 控制目标的实现就是在i t 过程中管理i t 资源来完成的。图3 3 详细地描述了完整的c o b i t 框架，显示了c o b i t 的处理模式是如何根据业务和治 理要求来管理i t 资源并使之给业务传递信息的，该模式由4 个域构成，包括3 4 个一般过程。 1 5 图3 3c o b i t 4 1 完整框架图 1 6 从总体框架来看，c o b i t 所体现的一个基本原则就是通过3 4 个i t 流程的执 行运作，对i t 资源进行管理、控制与利用，从而达到使i t 治理的实施最终满足 商业需求这一目标。 3 3 2 控制目标 控制目标根据域、过程、任务活动三个层面对总体目标进行分解，通过对特 定的活动实施控制，以达到预定的系统目标。按照系统生命周期，在c o b i t 框架 内部通常将需要进行管理的活动和风险分为四个域：规划与组织( p o ) 、获取与实 施( a i ) 、交付与支持( d s ) 、监督与评价( m e ) 。域目标按3 4 个i t 过程进行细分， 对于每一过程，c o b i t 首先描述过程的总体内容，提供该过程所影响的i t 信息标 准、利用的i t 资源和该过程所属的i t 治理领域，并给出了过程对应的p , a c i 图。 r a c i 图描绘对于某项具体活动( 实现具体控制目标的行为) ，组织中的各个角色 ( 如c e o 、c f o 、业务经理、c i o 等) 分别负有何种职责( 报告的责任、被咨询的责任、 被告知的责任) 。参照c o b i t 的过程框架，利用r a c i 图可以更好地理解不同人员 在该过程中的责任和义务。过程目标无法顺利实现时，可以根据r a c i 图找到相关 负责人，从而追根溯源，更及时地发现和解决问题。另外，i t 内部控制系统中各 个过程之间相互作用、相互影响，某一过程的失误未必源自该过程本身的执行不 力，而是有可能源自其他相关过程。c o b i t 还提供了每一过程所涉及的输入与输 出。在考核过程绩效时，可以依据输入输出图，依次排查有关人员在相关过程中 的责任履行情况，更准确地发现问题所在。因而，c o b i t 作为一整套系统模型， 为企业组织各种i t 资源、权衡各个过程之间的输入输出关系、全方位进行i t 内 部控制和审核、实现i t 对企业战略的切实支持提供了基础框架。 下面以“交付与支持( o s