如何進行ERP環(huán)境下內(nèi)部控制?

責任編輯:sjia

2012-09-10 16:10:06

摘自:ZDNet

ERP環(huán)境下的內(nèi)部控制不但要關(guān)注傳統(tǒng)的內(nèi)部控制環(huán)節(jié),還要關(guān)注信息系統(tǒng)本身的內(nèi)部控制。

ERP環(huán)境下的內(nèi)部控制不但要關(guān)注傳統(tǒng)的內(nèi)部控制環(huán)節(jié),還要關(guān)注信息系統(tǒng)本身的內(nèi)部控制。以往的研究成果,對公司的傳統(tǒng)內(nèi)部控制評價已有了深入詳盡的研究,本文將在此基礎(chǔ)上,探討如何在信息化管理基礎(chǔ)上開展內(nèi)部控制評價命題。

一、ERP與內(nèi)部控制概述

1.ERP概念

ERP(EntERPrise Resources Planning,企業(yè)資源計劃)是建立在信息技術(shù)基礎(chǔ)上,利用現(xiàn)代企業(yè)的先進管理思想,將企業(yè)所有資源信息有機集成在一起,有效利用企業(yè)各種資源,為企業(yè)決策、計劃、控制、經(jīng)營業(yè)績評估提供全面支持的系統(tǒng)化管理平臺。ERP的基本思想是將企業(yè)的運營流程看作是一個緊密連接的供應鏈;將企業(yè)內(nèi)部劃分成幾個相互協(xié)同作業(yè)的子系統(tǒng),如財務(wù)管理、生產(chǎn)制造等。

2.企業(yè)內(nèi)部控制的目標和評價要素

2008年5月22日,我國發(fā)布了《企業(yè)內(nèi)部控制基本規(guī)范》,將企業(yè)內(nèi)部控制目標定位為“遵循、資產(chǎn)安全、報告、經(jīng)營和戰(zhàn)略”五方面。這個目標在第二點和第五點甚至超過了美國COSO的《內(nèi)部控制——整體框架》的要求,因而有一個很高的起點。而對內(nèi)部控制的五要素,則是全盤借鑒了COSO的分類。即控制環(huán)境、風險識別與評估、控制活動與措施、信息溝通與反饋、監(jiān)督與評價。我國內(nèi)部控制制度的建立和評價都是按照這五個要素展開的。內(nèi)部控制評價,是指由企業(yè)董事會和管理層實施的,對企業(yè)內(nèi)部控制有效性進行評價,形成評價結(jié)論,出具評價報告的過程。在評價內(nèi)容上,要求對五要素進行全面的、有針對性的評價。企業(yè)評價的結(jié)果,除了對內(nèi)控整體目標是否有效下結(jié)論外,還需對報告中列示的問題進行改進。并追究相關(guān)人員責任。

二、ERP環(huán)境對企業(yè)內(nèi)部控制評價的影響

內(nèi)部控制環(huán)境,原來是作為內(nèi)部控制評價的外部條件和因素存在的,企業(yè)實施ERP后,內(nèi)部控制環(huán)境成為了控制手段、評價對象,和整個控制過程融合在一起。因此,ERP環(huán)境下的內(nèi)部控制評價與傳統(tǒng)狀態(tài)下的評價相比,發(fā)生了較大的變化,主要體現(xiàn)在以下四個方面。

1.內(nèi)部控制評價的目標由以糾錯防弊為重點轉(zhuǎn)變?yōu)槌掷m(xù)優(yōu)化

隨著企業(yè)內(nèi)外部環(huán)境的發(fā)展變化及各利益相關(guān)者對企業(yè)的要求日益提高,內(nèi)部控制的目標由內(nèi)部牽制時代簡單的以糾錯防弊為重點轉(zhuǎn)變?yōu)樵贓RP環(huán)境下的持續(xù)優(yōu)化,提高業(yè)務(wù)活動準確性、運行效率及企業(yè)整體績效,并支持企業(yè)戰(zhàn)略目標的實現(xiàn)。

2.內(nèi)部控制評價的范圍擴大、內(nèi)容更廣

傳統(tǒng)手工環(huán)境下,記錄的內(nèi)容多為結(jié)果性的內(nèi)容,頻率較低、數(shù)量較少;內(nèi)部控制的評價也以此為對象;此外由于紙質(zhì)材料傳遞麻煩,審計人員的工作范圍受到地域的限制;在ERP環(huán)境下,記錄的內(nèi)容大大增加,除結(jié)果性內(nèi)容外還增加了大量過程性的內(nèi)容。在信息集成條件下內(nèi)部控制評價由定期轉(zhuǎn)變?yōu)閷崟r,可以跨地域進行;同時,由于對系統(tǒng)審計的重要性增加。內(nèi)部控制評價的內(nèi)容除了傳統(tǒng)手工環(huán)境下的所有內(nèi)容外,還包括對基于ERP系統(tǒng)的業(yè)務(wù)流程的評價;對ERP系統(tǒng)中權(quán)限設(shè)置、流程的規(guī)范程度等的評價;對ERP系統(tǒng)本身的安全性、有效性、準確性的評價。

3.內(nèi)部控制評價的手段發(fā)生變化

企業(yè)內(nèi)部控制評價的對象由傳統(tǒng)手工環(huán)境下主要以部門為對象的模式轉(zhuǎn)變?yōu)樵贓RP環(huán)境下以業(yè)務(wù)流程為主線對涉及的各個部門內(nèi)控措施的設(shè)計和執(zhí)行進行評價;傳統(tǒng)手工環(huán)境下的人工手段、紙質(zhì)記錄等簡單模式轉(zhuǎn)變?yōu)殡娮踊?、基于系統(tǒng)的、即時的記錄;零散的、依靠經(jīng)驗為主的評價手段轉(zhuǎn)變?yōu)榭梢砸揽肯到y(tǒng)實現(xiàn)標準化和統(tǒng)一化并迅速推廣創(chuàng)新的模式。

4.內(nèi)部控制評價的時效發(fā)生變化

由于傳統(tǒng)會計系統(tǒng)的業(yè)務(wù)核算和數(shù)據(jù)統(tǒng)計不可避免的存在時滯性,對經(jīng)濟業(yè)務(wù)的控制實質(zhì)上都是事后進行的,在實務(wù)中表現(xiàn)為對業(yè)務(wù)的單點控制。在信息高度集成環(huán)境下,控制活動是否有效、有效控制是否貫穿整個評價期間等信息能夠?qū)崟r反映到內(nèi)部控制評價部門。因此,控制信息的實時共享為實施實時評價創(chuàng)造條件,同時為企業(yè)及時發(fā)現(xiàn)內(nèi)部控制設(shè)計缺陷和執(zhí)行不力,及時控制業(yè)務(wù)風險和管理風險提供更加有效的依據(jù)。

三、ERP環(huán)境下的企業(yè)內(nèi)部控制評價

企業(yè)應當結(jié)合ERP系統(tǒng)自身的特點及具體實施情況,按照內(nèi)部控制評價辦法規(guī)定的程序,有序開展內(nèi)部控制評價工作。內(nèi)部控制評價程序一般包括:制定評價工作方案、組成評價工作組、實施現(xiàn)場測試、認定控制缺陷、匯總評價結(jié)果、編報評價報告等環(huán)節(jié)。

1.制定ERP系統(tǒng)內(nèi)部控制評價方案

企業(yè)內(nèi)部控制評價部門應根據(jù)ERP系統(tǒng)自身的特點及具體實施情況擬訂評價工作方案。在全面評價的基礎(chǔ)七,關(guān)注重要業(yè)務(wù)單位、重大業(yè)務(wù)事項和高風險領(lǐng)域,明確評價范圍、工作任務(wù)、人員組織、進度安排和費用預算等相關(guān)內(nèi)容,報經(jīng)董事會或其授權(quán)機構(gòu)審批后實施。制定ERP系統(tǒng)的內(nèi)部控制評價方案可循以下基本的思路:評價范嗣應涉及到信息系統(tǒng)應用的全生命周期過程,按照風險導向原則,著重關(guān)注重點的關(guān)鍵風險因素和關(guān)鍵控制點;ERP系統(tǒng)相關(guān)內(nèi)部控制評價應首先分析評價企業(yè)層面的控制環(huán)境。進而開展部門層面的控制評價;分析信息系統(tǒng)相關(guān)的風險影響因素時,應充分考慮不同行業(yè)的特性差異;選擇適應信息系統(tǒng)要求的評價方法,注意將定量和定性評價有效結(jié)合,依據(jù)綜合評價的結(jié)果,采取合適的動態(tài)監(jiān)控和管理措施。

2.ERP系統(tǒng)控制評價

信息系統(tǒng)內(nèi)部控制是企業(yè)在信息系統(tǒng)環(huán)境下,為了保證業(yè)務(wù)活動的有效進行,保護資產(chǎn)的安全與完整,防止、發(fā)現(xiàn)、糾正錯誤與舞弊,為確保信息系統(tǒng)提供的信息真實、合法、完整而制定和實施的一系列政策與程序措施。凡是與信息系統(tǒng)的建立、運行維護、管理和業(yè)務(wù)處理有關(guān)的部門、人員和活動,都屬于信息系統(tǒng)內(nèi)部控制的對象。信息系統(tǒng)內(nèi)部控制評價分為一般控制評價和應用控制評價。

(1)ERP系統(tǒng)一般控制評價。一般控制評價應著重考慮與ERP系統(tǒng)開發(fā)有關(guān)的信息技術(shù)控制目標、程序變更、計算機運行和對數(shù)據(jù)的接觸是否符合企業(yè)內(nèi)部控制的要求,是否有利于企業(yè)內(nèi)部控制目標的實現(xiàn),并以此評價信息系統(tǒng)的安全性、可靠性和合理性。其主要內(nèi)容包括:ERP系統(tǒng)的組織與管理情況;硬件和網(wǎng)絡(luò)管理情況;系統(tǒng)訪問控制措施;系統(tǒng)的安全性和災難恢復控制措施等。

(2)ERP系統(tǒng)應用控制評價。應用控制評價是ERP系統(tǒng)內(nèi)部控制評價在業(yè)務(wù)流程和管理流程方面的延伸,應用控制評價應當結(jié)合企業(yè)業(yè)務(wù)流程特點,按照業(yè)務(wù)類型進行組織,著重考慮信息系統(tǒng)中與業(yè)務(wù)流程相關(guān)的控制點,并以此評價相關(guān)應用系統(tǒng)操作數(shù)據(jù)的真實性、準確性和合規(guī)性。其主要內(nèi)容包括:描述企業(yè)現(xiàn)有的業(yè)務(wù)流程、管理流程,找出其中的關(guān)鍵控制點,并據(jù)以評價關(guān)鍵控制點是否適當和健全;評價實現(xiàn)關(guān)鍵控制點的控制措施是否健全和合理;評價措施的運行是否持續(xù)有效。ERP系統(tǒng)內(nèi)部控制評價可遵循以下步驟進行:調(diào)閱關(guān)于計算機信息系統(tǒng)的各項管理制度和相關(guān)文件,對內(nèi)部控制的健全性和合理性初步了解;通過與相關(guān)人員座談和實地觀察,了解硬件配置、軟件運行及維護、相關(guān)人員操作經(jīng)驗等計算機信息系統(tǒng)使用環(huán)境;檢查被審計單位內(nèi)部控制過程中形成的文件和記錄,包括各種操作日志、軟件修改記錄、災難恢復記錄等;描述業(yè)務(wù)流程,從中找出關(guān)鍵控制點和控制措施;設(shè)計調(diào)查問卷和問題清單,交由相關(guān)人員據(jù)實填寫,再進行檢查核實;實行白箱法對計算機系統(tǒng)應用控制的輸入控制、處理控制和輸出控制進行測試;匯總并確認發(fā)現(xiàn)問題。

3.ERP環(huán)境下的內(nèi)部控制評價報告

在實施完ERP系統(tǒng)內(nèi)部控制評審后,企業(yè)要對內(nèi)部控制作出評價,以確定內(nèi)部控制是否真正發(fā)揮作用。對內(nèi)部控制評價過程中發(fā)現(xiàn)的問題,應當從定量和定性等方面進行衡量,判斷是否構(gòu)成內(nèi)部控制缺陷。

如果認為內(nèi)部控制存在設(shè)計或運行缺陷,應針對每一項缺陷提出整改建議。根據(jù)缺陷對應的風險的高低,結(jié)合企業(yè)的實際情況,制定整改計劃和方案。整改計劃應符合有針對性、可衡量、可完成、符合現(xiàn)實情況、及時性五項原則。整改方案的內(nèi)容包括對內(nèi)部控制的重新設(shè)計、修正和重新運行,如需要還可能包括對相關(guān)人員重新進行的培訓等。在整改措施運行一段時間后,應對整改結(jié)果進行核查和確認。

ERP

鏈接已復制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號