首页 > 范文大全 > 正文

SAP信息系统环境下内部控制思考

开篇:润墨网以专业的文秘视角,为您筛选了一篇SAP信息系统环境下内部控制思考范文,如需获取更多写作素材,在线客服老师一对一协助。欢迎您的阅读与分享!

[摘要]

现代企业制度非常重视信息系统在内部控制中的作用。国网系统内企业在进行内部控制管理中,大多采用先进的ERP管理系统———sap成熟套装软件进行管理,因它有其独特的特点。本文提出如何在SAP系统环境中实施内部控制的一些具体的措施以及分析应用信息系统实施内控应注意的一些问题。通过对基于SAP的内部控制的研究,探讨一些国网系统内企业在信息系统环境下进行内部控制的思路。

[关键词]

内部控制;SAP;信息系统

1企业内部控制理论的发展

内部控制是一个古老而又充满活力的话题,其逻辑出发点在于“修己”,“修己”就是自我治理,这也是企业法人治理结构的精髓所在,通过一套由点、线、面结合而成的自我调节与约束的控制系统,规避风险,持续发展。内部控制理论的发展经历了内部牵制阶段、会计控制阶段、内部控制阶段、全面风险管理阶段等。1992年COSO委员会在的《内部控制———整合框架》中对内部控制的定义是:“公司的董事会、管理层及其他人士为实现以下目标提供合理保证而实施的程序:运营的效益和效率,财务报告的可靠性和遵守适用的法律法规。”内部控制包括五要素:内部环境、风险评估、控制活动、信息与沟通、内部监督。2004年COSO委员会的《企业风险管理———整合框架》对当代企业内部控制研究具有深远进步意义。该框架将原来的内部控制目标拓展为四个,即在原有三个目标的基础上增加了战略目标;并将框架的要素从原来的五个增加到八个,即内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监控。但是两个框架都包含了“信息与沟通”这个要素。信息系统作为企业信息沟通的重要组成部分,应当受到企业足够的重视。我国内部控制的研究起步较晚,但发展较快,主要是借鉴以美国COSO报告为代表的国际内部控制框架并结合中国国情。2008年6月28日,财政部会同证监会、审计署、银监会、保监会制定并印发《企业内部控制基本规范》(下称“内控规范”)。自2009年7月1日起在上市公司范围内施行,同时鼓励非上市的大中型企业执行。内控规范要求企业建立内部控制体系时应符合以下目标:①合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整;②提高经营效率和效果;③促进企业实现发展战略。内控规范借鉴了以美国COSO报告为代表的国际内部控制框架,并结合中国国情,要求企业所建立与实施的内部控制,应当包括下列五个要素:①内部环境;②风险评估;③控制活动④信息与沟通;⑤内部监督。在颁布了内控规范之后,财政部陆续起草了一系列的内部控制配套指引征求意见稿,这些配套指引对于如何指导企业落实和实施内控基本规范将作出进一步的明确说明。总则第7条指出:“企业应当运用信息技术加强内部控制,建立与经营管理相适应的信息系统,促进内部控制流程与信息系统的有机结合,实现对业务和事项的自动控制,减少或消除人为操纵因素。”第41条指出:“企业应当利用信息技术促进信息的集成与共享,充分发挥信息技术在信息与沟通中的作用。企业应当加强对信息系统开发与维护、访问与变更、数据输入与输出、文件储存与保管、网络安全等方面的控制,保证信息系统安全稳定运行。”

2SAP信息系统下的内部控制基本要素

随着信息技术的快速发展,国网公司意识到应用国际先进的成熟套装软件系统可以大大提升企业的信息化水平、企业管理能力和集约化水平。SAP是一套管理理念。通过流程设置,权限分配等操作设置,可以形成企业的一套相对稳定而且动态发展的管理控制系统。SAP作为一个复杂的信息系统,如何在新技术环境下优化企业内部控制,提升企业治理水平,是一个值得研究的课题。

2.1内部环境对于采用SAP进行管理的系统内企业来说,SAP系统与企业各个业务单元都有着密切的联系,所以在分析内部环境时,应该将SAP系统作为内部环境的组成部分,予以重点关注。2.1.1治理层SAP系统具有投资大、建设周期长的特点。治理层应该重视系统的战略规划,寻求市场上能够满足企业需求的开发商。经理层应加强与软件开发供应商的沟通,正确地把企业的开发需求提交开发商,防止开发出来的软件与企业的需求不一致而导致开发失败和资源浪费。

2.1.2规章制度SAP系统是一套复杂的系统,企业在制定有关规章制度的同时,应该针对企业的业务和SAP实施情况,制定SAP的操作和使用手册,便于业务人员在实际操作过程中能随时查阅,从而按照正确的流程进行业务操作。

2.1.3人力资源政策系统上线后,人力资源部门应组织全员的基本操作培训和关键用户的高级系统培训,使企业员工能正确地使用SAP系统,在进行具体的业务操作时能进行正确的操作。

2.2风险评估企业在经营过程中,应当由SAP专业人士持续地收集和分析SAP运行过程中存在的风险,并对该风险进行评估。企业对SAP风险的评估,应该包括SAP系统本身风险和企业在实际运行过程中存在的风险。

2.3控制活动在对相关风险进行评估之后,企业应当针对评估的结果,确认一般风险、中等风险、重大风险,针对不同等级的风险和企业自身的风险承受能力,采取相应的风险应对措施,控制措施一般包括:不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制和绩效考评控制等。

2.4信息与沟通企业的信息与沟通制度,应该明确内部控制信息的搜集、传递和分析程序,从而确保信息在企业内部能及时的传递,保证内部控制的有效运行。作为企业运行的信息系统,SAP应该成为一个重要的信息系统,为企业的沟通提供良好的保障和支持。企业在运用SAP进行信息沟通时,应设定各部门之间的信息沟通渠道,确保信息能够在公司内部及时、合理传递。同时企业应当运用信息系统促进信息的集成与共享,充分发挥信息技术的信息与沟通作用,加强对信息系统的开发与维护、访问与变更、数据输入与输出、网络安全等方面的控制,保证信息系统安全稳定运行。

2.5内部监督企业内部监督包括日常监督和专项监督。内部审计人员在对公司进行内部审计的同时,也应该对企业的SAP系统进行控制测试,检查企业的SAP系统是否正常运行、是否在处理数据时存在缺陷。通过SAP系统的权限设置,监督人员可以在系统中看到某些控制活动的执行过程,从而可以在系统中对这些过程进行及时的监督,提高企业内部监督的质量。

3SAP信息系统下内部控制具体措施

3.1建立用户管理制度企业应当合理设置权限,建立信息系统开发、运行与维护的岗位责任制度和不相容职务分离制度,加强对重要业务系统的访问权限管理,避免将不相容职责授予同一用户。对于换岗或者离职员工的SAP系统权限,及时修改,防止授权不当,保护企业信息系统的安全。用户需新增权限或变更权限,应建立标准流程来实施和记录系统变更,保证变更过程得到适当的授权与管理层的批准。另外,企业应当定期对系统中的账号进行审阅,避免存在授权不当或非授权用户。

3.2进行职责分工和授权审批对于采用SAP进行管理的企业,应该采用人工控制和系统控制相结合的方式进行分工和审批的控制。企业首先应该根据企业业务的流程和特点,制定相关的岗位分离制度、授权审批制度。然后针对这些岗位分离和授权审批的要求,在SAP系统中设置相关的账户和权限,通过SAP系统自动对岗位分离和授权审批这两个内部控制点进行管理。在SAP中,权限的设置内容应包含如下几个部分:账号—角色—权限对象—事务代码。权限对象的值定义了事务代码,然后若干个事务代码组成了一个角色,最后可以对某一个账号赋予其一定的角色。同时,企业可以针对企业业务的实际情况,对角色进行创建、整合等操作来优化企业权限的管理。如果SAP系统中的角色包含的职责能够满足这些岗位的职责要求,那么管理员可以直接将这些角色赋予这些账号。如果SAP系统中的角色中包含的职责不能满足这些请求和审批的职责,那么企业则应该创建和整合相应的角色,从而满足这些账号的职责。

3.3加强信息系统的应用控制针对具体应用的输入、处理和输出建立相应的控制。通过系统的自动校验等功能保证输入数据的正确性和合理性。建立健全用户管理制度,确保不同权限用户在授权范围内运用信息系统进行业务处理。设置系统自动记载各个用户的操作日志,详细记录各用户执行的操作,留下审计线索。设置只有授权的人才能执行输出操作,并自动登记输出记录。

4SAP环境下实施内部控制应该注意的问题

SAP作为一款ERP软件,在提高企业内部控制水平的同时,也对企业内部控制带来了一些风险。

4.1SAP需要保障信息安全SAP是以信息系统为依托的,所以信息安全问题也是最基本和最关键的问题。SAP环境下,内部控制主要依靠流程节点的设置和权限角色的设置来实现,如果流程设置不当,权限分配不合理,数据接口混乱,将大大影响内部控制的效果。另外,系统容易受到外部的非法入侵和病毒的侵害,导致企业数据被盗、商业秘密泄漏,或者系统数据丢失。

4.2SAP软件需要不断的再开发和完善企业在实施SAP的某一部分产品之后,随着企业内外经营环境的变化,内控需求会要求做出相应的调整,需要对ERP系统软件进行不断更新和流程再造,增加了系统的转换成本、内控成本和人员培训成本。

总之,SAP是一个信息平台,更是一套管理思想,作为企业内部控制载体,改变了企业内部控制的形式和效果,同时也带来了风险和挑战。企业在利用SAP作为内部控制工具既要充分利用系统的优势,贯彻企业管理思想,优化内部控制手段,也要注意规避和降低系统本身所具有的风险,切实保障系统平稳运行,切实为企业内控带来效益。

主要参考文献

[1]美国COSO委员会.内部控制———整合框架[M].方红星,译.大连:东北财经大学出版社,2008.

[2]美国COSO委员会.企业风险管理———整合框架[M].方红星,译.大连:东北财经大学出版社,2005.

[3]姜禾.价值链内部控制———SAP系统应用为例[J].科技信息:科学教研,2008(2).

[4]吕华.ERP环境下的企业内部控制思考[J].时代经贸:下旬刊,2008(12).

[5]张强.刍议会计信息化条件下加强企业内部控制问题[J].商业经济,2010(12).

[6]奕娜.ERP系统环境下企业内部会计控制探讨[J].会计之友,2007(6).

作者:林柳燕 单位:国网福建省电力有限公司财务服务中心