ERP環境下企業內部控製評價探析

發布時間:2012-09-11

2012/9/10 來源:萬方數據

      ERP環境下的內部控製不但要關注傳統的內部控製環節,還要關注信息係統本身的內部控製。以往的研究成果,對公司的傳統內部控製評價已有了深入詳盡的研究,本文將在此基礎上,探討如何在信息化管理基礎上開展內部控製評價命題。

一、ERP與內部控製概述

    1ERP概念

    ERP(Enterprise Resources Planning,企業資源計劃)是建立在信息技術基礎上,利用現代企業的先進管理思想,將企業所有資源信息有機集成在一起,有效利用企業各種資源,為企業決策、計劃、控製、經營業績評估提供全麵支持的係統化管理平台。ERP的基本思想是將企業的運營流程看作是一個緊密連接的供應鏈;將企業內部劃分成幾個相互協同作業的子係統,如財務管理、生產製造等。

    2.企業內部控製的目標和評價要素

    2008年5月22日,我國發布了《企業內部控製基本規範》,將企業內部控製目標定位為“遵循、資產安全、報告、經營和戰略”五方麵。這個目標在第二點和第五點甚至超過了美國COSO的《內部控製——整體框架》的要求,因而有一個很高的起點。而對內部控製的五要素,則是全盤借鑒了COSO的分類。即控製環境、風險識別與評估、控製活動與措施、信息溝通與反饋、監督與評價。我國內部控製製度的建立和評價都是按照這五個要素展開的。內部控製評價,是指由企業董事會和管理層實施的,對企業內部控製有效性進行評價,形成評價結論,出具評價報告的過程。在評價內容上,要求對五要素進行全麵的、有針對性的評價。企業評價的結果,除了對內控整體目標是否有效下結論外,還需對報告中列示的問題進行改進。並追究相關人員責任。

二、ERP環境對企業內部控製評價的影響

    內部控製環境,原來是作為內部控製評價的外部條件和因素存在的,企業實施ERP後,內部控製環境成為了控製手段、評價對象,和整個控製過程融合在一起。因此,ERP環境下的內部控製評價與傳統狀態下的評價相比,發生了較大的變化,主要體現在以下四個方麵。

    1.內部控製評價的目標由以糾錯防弊為重點轉變為持續優化
      隨著企業內外部環境的發展變化及各利益相關者對企業的要求日益提高,內部控製的目標由內部牽製時代簡單的以糾錯防弊為重點轉變為在ERP環境下的持續優化,提高業務活動準確性、運行效率及企業整體績效,並支持企業戰略目標的實現。

    2.內部控製評價的範圍擴大、內容更廣

    傳統手工環境下,記錄的內容多為結果性的內容,頻率較低、數量較少;內部控製的評價也以此為對象;此外由於紙質材料傳遞麻煩,審計人員的工作範圍受到地域的限製;在ERP環境下,記錄的內容大大增加,除結果性內容外還增加了大量過程性的內容。在信息集成條件下內部控製評價由定期轉變為實時,可以跨地域進行;同時,由於對係統審計的重要性增加。內部控製評價的內容除了傳統手工環境下的所有內容外,還包括對基於ERP係統的業務流程的評價;對ERP係統中權限設置、流程的規範程度等的評價;對ERP係統本身的安全性、有效性、準確性的評價。

    3.內部控製評價的手段發生變化

    企業內部控製評價的對象由傳統手工環境下主要以部門為對象的模式轉變為在ERP環境下以業務流程為主線對涉及的各個部門內控措施的設計和執行進行評價;傳統手工環境下的人工手段、紙質記錄等簡單模式轉變為電子化的、基於係統的、即時的記錄;零散的、依靠經驗為主的評價手段轉變為可以依靠係統實現標準化和統一化並迅速推廣創新的模式。

    4.內部控製評價的時效發生變化

    由於傳統會計係統的業務核算和數據統計不可避免的存在時滯性,對經濟業務的控製實質上都是事後進行的,在實務中表現為對業務的單點控製。在信息高度集成環境下,控製活動是否有效、有效控製是否貫穿整個評價期間等信息能夠實時反映到內部控製評價部門。因此,控製信息的實時共享為實施實時評價創造條件,同時為企業及時發現內部控製設計缺陷和執行不力,及時控製業務風險和管理風險提供更加有效的依據。

三、ERP環境下的企業內部控製評價

    企業應當結合ERP係統自身的特點及具體實施情況,按照內部控製評價辦法規定的程序,有序開展內部控製評價工作。內部控製評價程序一般包括:製定評價工作方案、組成評價工作組、實施現場測試、認定控製缺陷、匯總評價結果、編報評價報告等環節。

    1.製定ERP係統內部控製評價方案

    企業內部控製評價部門應根據ERP係統自身的特點及具體實施情況擬訂評價工作方案。在全麵評價的基礎七,關注重要業務單位、重大業務事項和高風險領域,明確評價範圍、工作任務、人員組織、進度安排和費用預算等相關內容,報經董事會或其授權機構審批後實施。製定ERP係統的內部控製評價方案可循以下基本的思路:評價範嗣應涉及到信息係統應用的全生命周期過程,按照風險導向原則,著重關注重點的關鍵風險因素和關鍵控製點;ERP係統相關內部控製評價應首先分析評價企業層麵的控製環境。進而開展部門層麵的控製評價;分析信息係統相關的風險影響因素時,應充分考慮不同行業的特性差異;選擇適應信息係統要求的評價方法,注意將定量和定性評價有效結合,依據綜合評價的結果,采取合適的動態監控和管理措施。

    2ERP係統控製評價

    信息係統內部控製是企業在信息係統環境下,為了保證業務活動的有效進行,保護資產的安全與完整,防止、發現、糾正錯誤與舞弊,為確保信息係統提供的信息真實、合法、完整而製定和實施的一係列政策與程序措施。凡是與信息係統的建立、運行維護、管理和業務處理有關的部門、人員和活動,都屬於信息係統內部控製的對象。信息係統內部控製評價分為一般控製評價和應用控製評價。

    (1)ERP係統一般控製評價。一般控製評價應著重考慮與ERP係統開發有關的信息技術控製目標、程序變更、計算機運行和對數據的接觸是否符合企業內部控製的要求,是否有利於企業內部控製目標的實現,並以此評價信息係統的安全性、可靠性和合理性。其主要內容包括:ERP係統的組織與管理情況;硬件和網絡管理情況;係統訪問控製措施;係統的安全性和災難恢複控製措施等。

    (2)ERP係統應用控製評價。應用控製評價是ERP係統內部控製評價在業務流程和管理流程方麵的延伸,應用控製評價應當結合企業業務流程特點,按照業務類型進行組織,著重考慮信息係統中與業務流程相關的控製點,並以此評價相關應用係統操作數據的真實性、準確性和合規性。其主要內容包括:描述企業現有的業務流程、管理流程,找出其中的關鍵控製點,並據以評價關鍵控製點是否適當和健全;評價實現關鍵控製點的控製措施是否健全和合理;評價措施的運行是否持續有效。ERP係統內部控製評價可遵循以下步驟進行:調閱關於計算機信息係統的各項管理製度和相關文件,對內部控製的健全性和合理性初步了解;通過與相關人員座談和實地觀察,了解硬件配置、軟件運行及維護、相關人員操作經驗等計算機信息係統使用環境;檢查被審計單位內部控製過程中形成的文件和記錄,包括各種操作日誌、軟件修改記錄、災難恢複記錄等;描述業務流程,從中找出關鍵控製點和控製措施;設計調查問卷和問題清單,交由相關人員據實填寫,再進行檢查核實;實行白箱法對計算機係統應用控製的輸入控製、處理控製和輸出控製進行測試;匯總並確認發現問題。

    3ERP環境下的內部控製評價報告

    在實施完ERP係統內部控製評審後,企業要對內部控製作出評價,以確定內部控製是否真正發揮作用。對內部控製評價過程中發現的問題,應當從定量和定性等方麵進行衡量,判斷是否構成內部控製缺陷。

    如果認為內部控製存在設計或運行缺陷,應針對每一項缺陷提出整改建議。根據缺陷對應的風險的高低,結合企業的實際情況,製定整改計劃和方案。整改計劃應符合有針對性、可衡量、可完成、符合現實情況、及時性五項原則。整改方案的內容包括對內部控製的重新設計、修正和重新運行,如需要還可能包括對相關人員重新進行的培訓等。在整改措施運行一段時間後,應對整改結果進行核查和確認。


Copyright ? 2003-2011 廣東AG8亚游集团信息技術有限公司 版權所有 粵ICP備 10000923號

法律聲明 | 站點地圖