ERP系统与企业内部控制整合的关系
网络
2017-07-31
次浏览
ERP(企业资源计划)基于先进的企业管理理念,一方面作为集信息和控制于一体的系统应用,为内部控制提供了工具和平台;另一方面作为集成的大型信息系统,其固有的信息系统风险,也为企业内部控制带来了挑战。因此,加强ERP与企业内部控制的整合研究,全面防范企业经营风险,已经成为企业上线ERP必须需要思考和关注的迫切问题。
ERP系统的实施对内部控制的影响具有两面性:一方面,ERP实现了最大化的信息集成,可以把特定的管理要求固化,提高了内部控制自动化程度,也可以实时信息共享,增强了信息的时效性、可获取性和正确性,因此企业可以通过ERP来优化内部控制;另一方面ERP作为一种管理和控制的工具和手段,本身并不创造控制体系,而且作为大型的复杂的集成信息系统,也给内部控制来了新的风险,因此ERP环境下,企业必须加强信息系统控制,提高风险管理水平,确保企业内部控制持续有效运行。
ERP与内部控制的整合
(一)业务流程规范。ERP系统的成功应用离不开业务流程规范。ERP侧重在合理的业务流程基础上实现对企业资源的整合和有效利用,各模块之间有着密切的关系,数据在系统内实时传递和共享,数据的处理责任、方式和流向都会较ERP实施之前发生重大变化,企业原有的业务流程不再适应新的管理思想和管理模式,因此,只有通过业务流程规范,建立基于ERP系统标准流程上的、符合内控要求的新流程,才有可能上线ERP系统。
(二)信息系统控制规范。ERP作为集成的大型信息系统,系统外围物理安全和系统本身逻辑安全均对企业内部控制带来风险,为此,必须建立相应的信息系统总体控制和信息系统应用控制,确保系统的总体安全。信息系统总体控制适用于企业在信息技术的开发、实施、运行、维护及管理等方面的控制,它可以更好地保护企业的信息资产,可以提高信息系统对业务的支撑力度,增强企业信息系统的运行效力。信息系统应用控制包括应用软件中的电算化步骤以及用以控制不同种类交易处理的相关手工操作程序。这些控制结合在一起,可以保证系统中的财务和其他信息的安全性、完整性、准确性和有效性。信息系统总体控制是应用系统控制的基础,应用系统控制依赖于信息系统总体控制,两者共同保证信息处理的完整性和准确性。
(三)权限管理规范。权限管理是ERP系统内部控制的重中之重,如何权限管理不到位,造成授权不当,企业运营的风险也大大提高,这种风险主要包括两个方面:一是让更多原本没有必要了解这些信息的员工可随时掌握这些信息,大大增加了泄密的可能性;二是原本没有必要操作或加工这些信息的员工拥有了这些权利,增加了管理失控的可能。
(四)加强内控监督。ERP环境下,内部控制体系的程序化使得内部控制在一定程度上具有了对ERP系统的依赖性,虽然在ERP项目建设过程中,内控体系针对ERP系统对现有内控体系的影响因素,进行了业务流程规范、加强了信息系统控制和权限控制,但企业真正上线ERP系统后,规范的流程在实际业务中是否可以良好的运行,设计的关键控制是否可以得到正确的执行,权限互斥和冗余权限是否可以得到控制,都需要在ERP系统上线后,开展专项测试,强化内控监督,确保内部控制体系设计有效,执行有力。
ERP系统先进的管理思想和信息技术在提高企业内部控制效率的同时,也为内部控制带来新的风险,必须进行风险评估和控制设计,同时,ERP环境下的内部控制还可能面临新的未知风险,是一项长期的系统工程,必须常抓不懈。