探索中国CIO人才现状 | 第四季调研报告
ERP环境下企业内部控制评价探析
2013-11-25  作者:万方数据 

  ERP环境下的内部控制不但要关注传统的内部控制环节,还要关注信息系统本身的内部控制。以往的研究成果,对公司的传统内部控制评价已有了深入详尽的研究,本文将在此基础上,探讨如何在信息化管理基础上开展内部控制评价命题。


  一、ERP与内部控制概述


  1.ERP概念


  ERP(EnterpriseResourcesPlanning,企业资源计划)是建立在信息技术基础上,利用现代企业的先进管理思想,将企业所有资源信息有机集成在一起,有效利用企业各种资源,为企业决策、计划、控制、经营业绩评估提供全面支持的系统化管理平台。ERP的基本思想是将企业的运营流程看作是一个紧密连接的供应链;将企业内部划分成几个相互协同作业的子系统,如财务管理、生产制造等。


  2.企业内部控制的目标和评价要素


  2008年5月22日,我国发布了《企业内部控制基本规范》,将企业内部控制目标定位为“遵循、资产安全、报告、经营和战略”五方面。这个目标在第二点和第五点甚至超过了美国COSO的《内部控制——整体框架》的要求,因而有一个很高的起点。而对内部控制的五要素,则是全盘借鉴了COSO的分类。即控制环境、风险识别与评估、控制活动与措施、信息沟通与反馈、监督与评价。我国内部控制制度的建立和评价都是按照这五个要素展开的。内部控制评价,是指由企业董事会和管理层实施的,对企业内部控制有效性进行评价,形成评价结论,出具评价报告的过程。在评价内容上,要求对五要素进行全面的、有针对性的评价。企业评价的结果,除了对内控整体目标是否有效下结论外,还需对报告中列示的问题进行改进。并追究相关人员责任。


  二、ERP环境对企业内部控制评价的影响


  内部控制环境,原来是作为内部控制评价的外部条件和因素存在的,企业实施ERP后,内部控制环境成为了控制手段、评价对象,和整个控制过程融合在一起。因此,ERP环境下的内部控制评价与传统状态下的评价相比,发生了较大的变化,主要体现在以下四个方面。


  1.内部控制评价的目标由以纠错防弊为重点转变为持续优化


  随着企业内外部环境的发展变化及各利益相关者对企业的要求日益提高,内部控制的目标由内部牵制时代简单的以纠错防弊为重点转变为在ERP环境下的持续优化,提高业务活动准确性、运行效率及企业整体绩效,并支持企业战略目标的实现。


  2.内部控制评价的范围扩大、内容更广


  传统手工环境下,记录的内容多为结果性的内容,频率较低、数量较少;内部控制的评价也以此为对象;此外由于纸质材料传递麻烦,审计人员的工作范围受到地域的限制;在ERP环境下,记录的内容大大增加,除结果性内容外还增加了大量过程性的内容。在信息集成条件下内部控制评价由定期转变为实时,可以跨地域进行;同时,由于对系统审计的重要性增加。内部控制评价的内容除了传统手工环境下的所有内容外,还包括对基于ERP系统的业务流程的评价;对ERP系统中权限设置、流程的规范程度等的评价;对ERP系统本身的安全性、有效性、准确性的评价。


  3.内部控制评价的手段发生变化


  企业内部控制评价的对象由传统手工环境下主要以部门为对象的模式转变为在ERP环境下以业务流程为主线对涉及的各个部门内控措施的设计和执行进行评价;传统手工环境下的人工手段、纸质记录等简单模式转变为电子化的、基于系统的、即时的记录;零散的、依靠经验为主的评价手段转变为可以依靠系统实现标准化和统一化并迅速推广创新的模式。


  4.内部控制评价的时效发生变化


  由于传统会计系统的业务核算和数据统计不可避免的存在时滞性,对经济业务的控制实质上都是事后进行的,在实务中表现为对业务的单点控制。在信息高度集成环境下,控制活动是否有效、有效控制是否贯穿整个评价期间等信息能够实时反映到内部控制评价部门。因此,控制信息的实时共享为实施实时评价创造条件,同时为企业及时发现内部控制设计缺陷和执行不力,及时控制业务风险和管理风险提供更加有效的依据。


  三、ERP环境下的企业内部控制评价


  企业应当结合ERP系统自身的特点及具体实施情况,按照内部控制评价办法规定的程序,有序开展内部控制评价工作。内部控制评价程序一般包括:制定评价工作方案、组成评价工作组、实施现场测试、认定控制缺陷、汇总评价结果、编报评价报告等环节。


  1.制定ERP系统内部控制评价方案


  企业内部控制评价部门应根据ERP系统自身的特点及具体实施情况拟订评价工作方案。在全面评价的基础七,关注重要业务单位、重大业务事项和高风险领域,明确评价范围、工作任务、人员组织、进度安排和费用预算等相关内容,报经董事会或其授权机构审批后实施。制定ERP系统的内部控制评价方案可循以下基本的思路:评价范嗣应涉及到信息系统应用的全生命周期过程,按照风险导向原则,着重关注重点的关键风险因素和关键控制点;ERP系统相关内部控制评价应首先分析评价企业层面的控制环境。进而开展部门层面的控制评价;分析信息系统相关的风险影响因素时,应充分考虑不同行业的特性差异;选择适应信息系统要求的评价方法,注意将定量和定性评价有效结合,依据综合评价的结果,采取合适的动态监控和管理措施。


  2.ERP系统控制评价


  信息系统内部控制是企业在信息系统环境下,为了保证业务活动的有效进行,保护资产的安全与完整,防止、发现、纠正错误与舞弊,为确保信息系统提供的信息真实、合法、完整而制定和实施的一系列政策与程序措施。凡是与信息系统的建立、运行维护、管理和业务处理有关的部门、人员和活动,都属于信息系统内部控制的对象。信息系统内部控制评价分为一般控制评价和应用控制评价。


  (1)ERP系统一般控制评价。一般控制评价应着重考虑与ERP系统开发有关的信息技术控制目标、程序变更、计算机运行和对数据的接触是否符合企业内部控制的要求,是否有利于企业内部控制目标的实现,并以此评价信息系统的安全性、可靠性和合理性。其主要内容包括:ERP系统的组织与管理情况;硬件和网络管理情况;系统访问控制措施;系统的安全性和灾难恢复控制措施等。


  (2)ERP系统应用控制评价。应用控制评价是ERP系统内部控制评价在业务流程和管理流程方面的延伸,应用控制评价应当结合企业业务流程特点,按照业务类型进行组织,着重考虑信息系统中与业务流程相关的控制点,并以此评价相关应用系统操作数据的真实性、准确性和合规性。其主要内容包括:描述企业现有的业务流程、管理流程,找出其中的关键控制点,并据以评价关键控制点是否适当和健全;评价实现关键控制点的控制措施是否健全和合理;评价措施的运行是否持续有效。ERP系统内部控制评价可遵循以下步骤进行:调阅关于计算机信息系统的各项管理制度和相关文件,对内部控制的健全性和合理性初步了解;通过与相关人员座谈和实地观察,了解硬件配置、软件运行及维护、相关人员操作经验等计算机信息系统使用环境;检查被审计单位内部控制过程中形成的文件和记录,包括各种操作日志、软件修改记录、灾难恢复记录等;描述业务流程,从中找出关键控制点和控制措施;设计调查问卷和问题清单,交由相关人员据实填写,再进行检查核实;实行白箱法对计算机系统应用控制的输入控制、处理控制和输出控制进行测试;汇总并确认发现问题。


  3.ERP环境下的内部控制评价报告


  在实施完ERP系统内部控制评审后,企业要对内部控制作出评价,以确定内部控制是否真正发挥作用。对内部控制评价过程中发现的问题,应当从定量和定性等方面进行衡量,判断是否构成内部控制缺陷。


  如果认为内部控制存在设计或运行缺陷,应针对每一项缺陷提出整改建议。根据缺陷对应的风险的高低,结合企业的实际情况,制定整改计划和方案。整改计划应符合有针对性、可衡量、可完成、符合现实情况、及时性五项原则。整改方案的内容包括对内部控制的重新设计、修正和重新运行,如需要还可能包括对相关人员重新进行的培训等。在整改措施运行一段时间后,应对整改结果进行核查和确认。