内控体系作为一种先进的管理模式在现代企业管理中有着重要的作用。ERP在系统运行过程中存在的数据安全等方面的风险,带来的诸如内部控制的技术、内部控制关注的内容、重点等方面的变化。因此,在ERP环境下,如果搞好内控工作是企业内控工作人员面临的一个新课题。
1 ERP的使用对企业内控体系的影响
1.1 控制环节的变化在ERP环境下,数据的传递通过数据共享保证了数据的一致性;通过网络技术保证其同步性;数据计算、汇总由计算机根据程序公式自动完成,确保其正确性。从内控执行角度看,这些环节都排除了人为因素,不再具有手工控制方式下错报、漏报、舞弊易发、高发的特征,也就不成为内控体系重点关注的环节。但这些环节的正常运行又依赖于ERP系统设计的正确性、系统运行的稳定性。如何保证这些条件,成为内部控制应关注的重点。
1.2 控制方式的变化ERP环境下,数据的传递、处理是由计算机根据程序设定的公式自动完成的,其数据的准确性、完整性及传递的及时性取决于程序设定的正确与否,诸如核对、复查等手工控制方式不能完成基于计算机技术的控制要求,因此系统自动控制以及在关键环节采用手工记录并行的方式成为ERP环境下主要的控制手段。这种控制方式的变化对企业内控工作人员提出了更高的要求。
1.3 数据安全环境的变化ERP环境下,数据的存储、传递、处理等方面与传统工作环境相比都发生的很大变化。数据处理、访问权限由手工方式下的物理控制变为以计算机技术为基础的自动控制。这种转变使数据安全性控制需要考虑的因素发生变化。数据安全性控制应主要以数据自身安全性保障为重点,而数据自身安全性主要取决于系统运行的稳定性及数据保管环境。
2 ERP环境下如何搞好企业内控工作
2.1 ERP环境下,系统自动对收集到的数据进行存储和处理。因此,控制环节的变化应把控制重点放在系统的配置和数据采集环节。系统自动采集的数据应重点对自动采集过程的系统配置正确与否进行检查,并保留系统配置清单和检查记录,系统配置过程应由拥有系统全部管理权限的管理者来进行或者由专业技术人员在管理者严格监控下进行,应避免系统使用人员的深入参与,避免系统使用人员全面了解系统并发现和利用系统漏洞。系统的修改和二次开发必须由经过授权的专业人员进行。
需要工作人员处理才能录入系统的数据,要保管好数据的来源,要强调保留原始凭证及经办人员和复核人员的记录。便于为内控测试和内部审计提供线索。
定期进行内控体系测试或审计对系统输入的基础数据的完整性和正确性抽查核对。
2.2 控制环节的变化应重点抓好业务流程的建设和重组ERP环境下,必然使传统的人工控制的业务处理过程发生变化。因此,应根据ERP系统的自动控制、数据管理信息化的特点,对企业的现有运作模式、业务流程进行重组,以便更好的发挥企业内控体系的作用。
2.3 在数据安全方面应重点抓好以下几方面:
2.3.1 组织机构设置①系统维护部门和系统使用部门相分离,系统维护部门不接触实际业务操作,系统使用部门无权维护系统;②系统维护部门内部各个岗位应分离;③业务部门内部应按照不相容岗位要分离的原则设置岗位。
2.3.2 信息系统安全①未经授权的用户,不可接触ERP系统:②配备专用机房、安装空调、UPS不间断电源等措施保证ERP系统核心硬件系统的环境安全:③设定可靠的安全加密和杀毒软件保证系统应用软件的安全;④设置专人保管系统产生的文档,包括电子文件和纸质文件。
2.3.3 系统操作方面①系统用户应根据其岗位职责和内控体系要求分别设定不同的使用权限,授予相应的用户代码和口令,用户口令应不定期更换;②系统内的所有业务操作活动均需经过授权;③错误的输入需经授权才可更改:④定期对系统进行数据备份,明确数据保管的人员、地点和方式。
2.3.4 系统监控方面①设定系统自我保护体系,建立完整的日志,对于日志文件的管理应列入重点控制的内容。②系统在使用过程中发生错误,应实时通知相关管理人员并进行及时处理。
2.4 制度建设是搞好内控工作的基石规章制度是企业实现目标,开展业务依据,也是内控体系建设和执行过程中,针对风险制定控制措施的的依据。例如,在ERP环境下,为保证系统数据的安全,应该制定相应的制度,规定系统备份的数量和时间,系统被破坏时,数据恢复的条件:数据保管的人员、数据接触人员、数据存储地点、数据存储的条件等内容。控制措施应当严格执行,各岗位一视同仁。当然,这些制度也不是一成不变的,应根据实际情况及时加以修改、完善。
2.5 培训宣传,提高人员寨质是搞好企业内控工作的关键ERP系统的使用对传统工作环境下企业人员来讲。并不意味着内控工作越来越轻松。而是对企业员工提出了更高的要求。只有加强对内控、ERP及岗位专业知识等内容的培训,不断提高企业员工素质才能更好的发挥企业员工的主观能动性,更好的适应ERP环境下的内控工作。
2.6 建立健全内部控制评价体系搞好内控工作的保障内部控制体系评价是发现内控体系中存在的不足,进行动态调整和校正的过程。在ERP环境下,除了关注重要风险的关键控制设计合理性和执行的有效性外,还应把测试的重点放在ERP系统的权限设置、数据采集和安全控制方面,有针对性的了解因ERP系统的使用,给企业带来的新风险的管控情况,为内控体系的健全和完善提供保障。总之,ERP环境下,内控工作在内控体系建设上要遵循与ERP相结舍的原则:在执行上要做到“执行主体有授权,关键操作有依据、执行过程有审核、执行结果有痕迹(留下实施证据)”。
【转载自IT专家网】http://esoft.ctocio.com.cn/157/12341657.shtml
亿恩科技www.enidc.com 做IDC13年了是华北和华中地区最大的IDC之一。
优惠活动
CPU:E5200
内存:2G DDR2
硬盘:160GB
新乡联通和江苏电信 月付+1元,免费把内存从2G升级到4G
服务器租用/托管/机柜/大带宽VIP售前销售 亿恩-蓝天QQ:89287750 电话:0371-60135992