关于ERP环境下企业内部控制评价探析(2)
作者:佚名; 更新时间:2014-12-14
三、ERP环境下的企业内部控制评价
企业应当结合ERP系统自身的特点及具体实施情况,按照内部控制评价办法规定的程序,有序开展内部控制评价工作。内部控制评价程序一般包括:制定评价工作方案、组成评价工作组、实施现场测试、认定控制缺陷、汇总评价结果、编报评价报告等环节。
1.制定ERP系统内部控制评价方案
企业内部控制评价部门应根据ERP系统自身的特点及具体实施情况拟订评价工作方案。在全面评价的基础上,关注重要业务单位、重大业务事项和高风险领域,明确评价范围、工作任务、人员组织、进度安排和费用预算等相关内容,报经董事会或其授权机构审批后实施。制定ERP系统的内部控制评价方案可循以下基本的思路:评价范围应涉及到信息系统应用的全生命周期过程,按照风险导向原则,着重关注重点的关键风险因素和关键控制点;ERP系统相关内部控制评价应首先分析评价企业层面的控制环境,进而开展部门层面的控制评价;分析信息系统相关的风险影响因素时,应充分考虑不同行业的特性差异;选择适应信息系统要求的评价方法,注意将定量和定性评价有效结合,依据综合评价的结果,采取合适的动态监控和管理措施。
2.ERP系统控制评价
信息系统内部控制是企业在信息系统环境下,为了保证业务活动的有效进行,保护资产的安全与完整,防止、发现、纠正错误与舞弊,为确保信息系统提供的信息真实、合法、完整而制定和实施的一系列政策与程序措施。凡是与信息系统的建立、运行维护、管理和业务处理有关的部门、人员和活动,都属于信息系统内部控制的对象。信息系统内部控制评价分为一般控制评价和应用控制评价。
(1)ERP系统一般控制评价。一般控制评价应着重考虑与ERP系统开发有关的信息技术控制目标、程序变更、计算机运行和对数据的接触是否符合企业内部控制的要求,是否有利于企业内部控制目标的实现,并以此评价信息系统的安全性、可靠性和合理性。其主要内容包括:ERP系统的组织与管理情况;硬件和网络管理情况;系统访问控制措施;系统的安全性和灾难恢复控制措施等。
(2)ERP系统应用控制评价。应用控制评价是ERP系统内部控制评价在业务流程和管理流程方面的延伸,应用控制评价应当结合企业业务流程特点,按照业务类型进行组织,着重考虑信息系统中与业务流程相关的控制点,并以此评价相关应用系统操作数据的真实性、准确性和合规性。其主要内容包括:描述企业现有的业务流程、管理流程,找出其中的关键控制点,信捷职称论文写作发表网,并据以评价关键控制点是否适当和健全;评价实现关键控制点的控制措施是否健全和合理;评价措施的运行是否持续有效。
ERP系统内部控制评价可遵循以下步骤进行:调阅关于计算机信息系统的各项管理制度和相关文件,对内部控制的健全性和合理性初步了解;通过与相关人员座谈和实地观察,了解硬件配置、软件运行及维护、相关人员操作经验等计算机信息系统使用环境;检查被审计单位内部控制过程中形成的文件和记录,包括各种操作日志、软件修改记录、灾难恢复记录等;描述业务流程,从中找出关键控制点和控制措施;设计调查问卷和问题清单,交由相关人员据实填写,再进行检查核实;实行白箱法对计算机系统应用控制的输入控制、处理控制和输出控制进行测试;汇总并确认发现问题。
3.ERP环境下的内部控制评价报告
在实施完ERP系统内部控制评审后,企业要对内部控制作出评价,以确定内部控制是否真正发挥作用。对内部控制评价过程中发现的问题,应当从定量和定性等方面进行衡量,判断是否构成内部控制缺陷。
如果认为内部控制存在设计或运行缺陷,应针对每一项缺陷提出整改建议。根据缺陷对应的风险的高低,结合企业的实际情况,制定整改计划和方案。整改计划应符合有针对性、可衡量、可完成、符合现实情况、及时性五项原则。整改方案的内容包括对内部控制的重新设计、修正和重新运行,如需要还可能包括对相关人员重新进行的培训等。在整改措施运行一段时间后,应对整改结果进行核查和确认。