ERP環境下的內部控制不但要關注傳統的內部控制環節,還要關注信息系統本身的內部控制。以往的研究成果,對公司的傳統內部控制評價已有了深入詳盡的研究,本文將在此基礎上,探討如何在信息化管理基礎上開展內部控制評價命題。
一、ERP與內部控制概述
1.ERP概念
ERP(EntERPrise Resources Planning,企業資源計劃)是建立在信息技術基礎上,利用現代企業的先進管理思想,將企業所有資源信息有機集成在一起,有效利用企業各種資源,為企業決策、計劃、控制、經營業績評估提供全面支持的系統化管理平臺。ERP的基本思想是將企業的運營流程看作是一個緊密連接的供應鏈;將企業內部劃分成幾個相互協同作業的子系統,如財務管理、生產制造等。
2.企業內部控制的目標和評價要素
2008年5月22日,我國發布了《企業內部控制基本規范》,將企業內部控制目標定位為“遵循、資產安全、報告、經營和戰略”五方面。這個目標在第二點和第五點甚至超過了美國COSO的《內部控制——整體框架》的要求,因而有一個很高的起點。而對內部控制的五要素,則是全盤借鑒了COSO的分類。即控制環境、風險識別與評估、控制活動與措施、信息溝通與反饋、監督與評價。我國內部控制制度的建立和評價都是按照這五個要素展開的。內部控制評價,是指由企業董事會和管理層實施的,對企業內部控制有效性進行評價,形成評價結論,出具評價報告的過程。在評價內容上,要求對五要素進行全面的、有針對性的評價。企業評價的結果,除了對內控整體目標是否有效下結論外,還需對報告中列示的問題進行改進。并追究相關人員責任。
二、ERP環境對企業內部控制評價的影響
內部控制環境,原來是作為內部控制評價的外部條件和因素存在的,企業實施ERP后,內部控制環境成為了控制手段、評價對象,和整個控制過程融合在一起。因此,ERP環境下的內部控制評價與傳統狀態下的評價相比,發生了較大的變化,主要體現在以下四個方面。
1.內部控制評價的目標由以糾錯防弊為重點轉變為持續優化
隨著企業內外部環境的發展變化及各利益相關者對企業的要求日益提高,內部控制的目標由內部牽制時代簡單的以糾錯防弊為重點轉變為在ERP環境下的持續優化,提高業務活動準確性、運行效率及企業整體績效,并支持企業戰略目標的實現。
2.內部控制評價的范圍擴大、內容更廣
傳統手工環境下,記錄的內容多為結果性的內容,頻率較低、數量較少;內部控制的評價也以此為對象;此外由于紙質材料傳遞麻煩,審計人員的工作范圍受到地域的限制;在ERP環境下,記錄的內容大大增加,除結果性內容外還增加了大量過程性的內容。在信息集成條件下內部控制評價由定期轉變為實時,可以跨地域進行;同時,由于對系統審計的重要性增加。內部控制評價的內容除了傳統手工環境下的所有內容外,還包括對基于ERP系統的業務流程的評價;對ERP系統中權限設置、流程的規范程度等的評價;對ERP系統本身的安全性、有效性、準確性的評價。
3.內部控制評價的手段發生變化
企業內部控制評價的對象由傳統手工環境下主要以部門為對象的模式轉變為在ERP環境下以業務流程為主線對涉及的各個部門內控措施的設計和執行進行評價;傳統手工環境下的人工手段、紙質記錄等簡單模式轉變為電子化的、基于系統的、即時的記錄;零散的、依靠經驗為主的評價手段轉變為可以依靠系統實現標準化和統一化并迅速推廣創新的模式。
4.內部控制評價的時效發生變化
由于傳統會計系統的業務核算和數據統計不可避免的存在時滯性,對經濟業務的控制實質上都是事后進行的,在實務中表現為對業務的單點控制。在信息高度集成環境下,控制活動是否有效、有效控制是否貫穿整個評價期間等信息能夠實時反映到內部控制評價部門。因此,控制信息的實時共享為實施實時評價創造條件,同時為企業及時發現內部控制設計缺陷和執行不力,及時控制業務風險和管理風險提供更加有效的依據。
三、ERP環境下的企業內部控制評價
企業應當結合ERP系統自身的特點及具體實施情況,按照內部控制評價辦法規定的程序,有序開展內部控制評價工作。內部控制評價程序一般包括:制定評價工作方案、組成評價工作組、實施現場測試、認定控制缺陷、匯總評價結果、編報評價報告等環節。
1.制定ERP系統內部控制評價方案
企業內部控制評價部門應根據ERP系統自身的特點及具體實施情況擬訂評價工作方案。在全面評價的基礎七,關注重要業務單位、重大業務事項和高風險領域,明確評價范圍、工作任務、人員組織、進度安排和費用預算等相關內容,報經董事會或其授權機構審批后實施。制定ERP系統的內部控制評價方案可循以下基本的思路:評價范嗣應涉及到信息系統應用的全生命周期過程,按照風險導向原則,著重關注重點的關鍵風險因素和關鍵控制點;ERP系統相關內部控制評價應首先分析評價企業層面的控制環境。進而開展部門層面的控制評價;分析信息系統相關的風險影響因素時,應充分考慮不同行業的特性差異;選擇適應信息系統要求的評價方法,注意將定量和定性評價有效結合,依據綜合評價的結果,采取合適的動態監控和管理措施。
2.ERP系統控制評價
信息系統內部控制是企業在信息系統環境下,為了保證業務活動的有效進行,保護資產的安全與完整,防止、發現、糾正錯誤與舞弊,為確保信息系統提供的信息真實、合法、完整而制定和實施的一系列政策與程序措施。凡是與信息系統的建立、運行維護、管理和業務處理有關的部門、人員和活動,都屬于信息系統內部控制的對象。信息系統內部控制評價分為一般控制評價和應用控制評價。
(1)ERP系統一般控制評價。一般控制評價應著重考慮與ERP系統開發有關的信息技術控制目標、程序變更、計算機運行和對數據的接觸是否符合企業內部控制的要求,是否有利于企業內部控制目標的實現,并以此評價信息系統的安全性、可靠性和合理性。其主要內容包括:ERP系統的組織與管理情況;硬件和網絡管理情況;系統訪問控制措施;系統的安全性和災難恢復控制措施等。
(2)ERP系統應用控制評價。應用控制評價是ERP系統內部控制評價在業務流程和管理流程方面的延伸,應用控制評價應當結合企業業務流程特點,按照業務類型進行組織,著重考慮信息系統中與業務流程相關的控制點,并以此評價相關應用系統操作數據的真實性、準確性和合規性。其主要內容包括:描述企業現有的業務流程、管理流程,找出其中的關鍵控制點,并據以評價關鍵控制點是否適當和健全;評價實現關鍵控制點的控制措施是否健全和合理;評價措施的運行是否持續有效。ERP系統內部控制評價可遵循以下步驟進行:調閱關于計算機信息系統的各項管理制度和相關文件,對內部控制的健全性和合理性初步了解;通過與相關人員座談和實地觀察,了解硬件配置、軟件運行及維護、相關人員操作經驗等計算機信息系統使用環境;檢查被審計單位內部控制過程中形成的文件和記錄,包括各種操作日志、軟件修改記錄、災難恢復記錄等;描述業務流程,從中找出關鍵控制點和控制措施;設計調查問卷和問題清單,交由相關人員據實填寫,再進行檢查核實;實行白箱法對計算機系統應用控制的輸入控制、處理控制和輸出控制進行測試;匯總并確認發現問題。
3.ERP環境下的內部控制評價報告
在實施完ERP系統內部控制評審后,企業要對內部控制作出評價,以確定內部控制是否真正發揮作用。對內部控制評價過程中發現的問題,應當從定量和定性等方面進行衡量,判斷是否構成內部控制缺陷。
如果認為內部控制存在設計或運行缺陷,應針對每一項缺陷提出整改建議。根據缺陷對應的風險的高低,結合企業的實際情況,制定整改計劃和方案。整改計劃應符合有針對性、可衡量、可完成、符合現實情況、及時性五項原則。整改方案的內容包括對內部控制的重新設計、修正和重新運行,如需要還可能包括對相關人員重新進行的培訓等。在整改措施運行一段時間后,應對整改結果進行核查和確認。
京公網安備 11010502049343號