內控體系作為一種先進的管理模式在現代企業管理中有著重要的作用。ERP在系統運行過程中存在的數據安. . .
引言
內控體系作為一種先進的管理模式在現代企業管理中有著重要的作用。ERP在系統運行過程中存在的數據安全等方面的風險,帶來的諸如內部控制的技術、內部控制關注的內容、重點等方面的變化。因此,在ERP環境下,如果搞好內控工作是企業內控工作人員面臨的一個新課題。
1 ERP的使用對企業內控體系的影響
1.1 控制環節的變化在ERP環境下,數據的傳遞通過數據共享保證了數據的一致性;通過網絡技術保證其同步性;數據計算、匯總由計算機根據程序公式自動完成,確保其正確性。從內控執行角度看,這些環節都排除了人為因素,不再具有手工控制方式下錯報、漏報、舞弊易發、高發的特征,也就不成為內控體系重點關注的環節。但這些環節的正常運行又依賴于ERP系統設計的正確性、系統運行的穩定性。如何保證這些條件,成為內部控制應關注的重點。
1.2 控制方式的變化ERP環境下,數據的傳遞、處理是由計算機根據程序設定的公式自動完成的,其數據的準確性、完整性及傳遞的及時性取決于程序設定的正確與否,諸如核對、復查等手工控制方式不能完成基于計算機技術的控制要求,因此系統自動控制以及在關鍵環節采用手工記錄并行的方式成為ERP環境下主要的控制手段。這種控制方式的變化對企業內控工作人員提出了更高的要求。
1.3 數據安全環境的變化ERP環境下,數據的存儲、傳遞、處理等方面與傳統工作環境相比都發生的很大變化。數據處理、訪問權限由手工方式下的物理控制變為以計算機技術為基礎的自動控制。這種轉變使數據安全性控制需要考慮的因素發生變化。數據安全性控制應主要以數據自身安全性保障為重點,而數據自身安全性主要取決于系統運行的穩定性及數據保管環境。
2 ERP環境下如何搞好企業內控工作
2.1 ERP環境下,系統自動對收集到的數據進行存儲和處理。因此,控制環節的變化應把控制重點放在系統的配置和數據采集環節。系統自動采集的數據應重點對自動采集過程的系統配置正確與否進行檢查,并保留系統配置清單和檢查記錄,系統配置過程應由擁有系統全部管理權限的管理者來進行或者由專業技術人員在管理者嚴格監控下進行,應避免系統使用人員的深入參與,避免系統使用人員全面了解系統并發現和利用系統漏洞。系統的修改和二次開發必須由經過授權的專業人員進行。
需要工作人員處理才能錄入系統的數據,要保管好數據的來源,要強調保留原始憑證及經辦人員和復核人員的記錄。便于為內控測試和內部審計提供線索。
定期進行內控體系測試或審計對系統輸入的基礎數據的完整性和正確性抽查核對。
2.2 控制環節的變化應重點抓好業務流程的建設和重組ERP環境下,必然使傳統的人工控制的業務處理過程發生變化。因此,應根據ERP系統的自動控制、數據管理信息化的特點,對企業的現有運作模式、業務流程進行重組,以便更好的發揮企業內控體系的作用。
2.3 在數據安全方面應重點抓好以下幾方面:
2.3.1 組織機構設置①系統維護部門和系統使用部門相分離,系統維護部門不接觸實際業務操作,系統使用部門無權維護系統;②系統維護部門內部各個崗位應分離;③業務部門內部應按照不相容崗位要分離的原則設置崗位。
2.3.2 信息系統安全①未經授權的用戶,不可接觸ERP系統:②配備專用機房、安裝空調、UPS不間斷電源等措施保證ERP系統核心硬件系統的環境安全:③設定可靠的安全加密和殺毒軟件保證系統應用軟件的安全;④設置專人保管系統產生的文檔,包括電子文件和紙質文件。
2.3.3 系統操作方面①系統用戶應根據其崗位職責和內控體系要求分別設定不同的使用權限,授予相應的用戶代碼和口令,用戶口令應不定期更換;②系統內的所有業務操作活動均需經過授權;③錯誤的輸入需經授權才可更改:④定期對系統進行數據備份,明確數據保管的人員、地點和方式。
2.3.4 系統監控方面①設定系統自我保護體系,建立完整的日志,對于日志文件的管理應列入重點控制的內容。②系統在使用過程中發生錯誤,應實時通知相關管理人員并進行及時處理。
2.4 制度建設是搞好內控工作的基石規章制度是企業實現目標,開展業務依據,也是內控體系建設和執行過程中,針對風險制定控制措施的的依據。例如,在ERP環境下,為保證系統數據的安全,應該制定相應的制度,規定系統備份的數量和時間,系統被破壞時,數據恢復的條件:數據保管的人員、數據接觸人員、數據存儲地點、數據存儲的條件等內容。控制措施應當嚴格執行,各崗位一視同仁。當然,這些制度也不是一成不變的,應根據實際情況及時加以修改、完善。
2.5 培訓宣傳,提高人員寨質是搞好企業內控工作的關鍵ERP系統的使用對傳統工作環境下企業人員來講。并不意味著內控工作越來越輕松。而是對企業員工提出了更高的要求。只有加強對內控、ERP及崗位專業知識等內容的培訓,不斷提高企業員工素質才能更好的發揮企業員工的主觀能動性,更好的適應ERP環境下的內控工作。
2.6 建立健全內部控制評價體系搞好內控工作的保障內部控制體系評價是發現內控體系中存在的不足,進行動態調整和校正的過程。在ERP環境下,除了關注重要風險的關鍵控制設計合理性和執行的有效性外,還應把測試的重點放在ERP系統的權限設置、數據采集和安全控制方面,有針對性的了解因ERP系統的使用,給企業帶來的新風險的管控情況,為內控體系的健全和完善提供保障。總之,ERP環境下,內控工作在內控體系建設上要遵循與ERP相結舍的原則:在執行上要做到“執行主體有授權,關鍵操作有依據、執行過程有審核、執行結果有痕跡(留下實施證據)”。
(來源:萬方數據 作者:曹正林)
