內(nèi)控體系作為一種先進(jìn)的管理模式在現(xiàn)代企業(yè)管理中有著重要的作用。ERP在系統(tǒng)運(yùn)行過(guò)程中存在的數(shù)據(jù)安全等方面的風(fēng)險(xiǎn),帶來(lái)的諸如內(nèi)部控制的技術(shù)、內(nèi)部控制關(guān)注的內(nèi)容、重點(diǎn)等方面的變化。因此,在ERP環(huán)境下,如果搞好內(nèi)控工作是企業(yè)內(nèi)控工作人員面臨的一個(gè)新課題。
1 ERP的使用對(duì)企業(yè)內(nèi)控體系的影響
1.1 控制環(huán)節(jié)的變化在ERP環(huán)境下,數(shù)據(jù)的傳遞通過(guò)數(shù)據(jù)共享保證了數(shù)據(jù)的一致性;通過(guò)網(wǎng)絡(luò)技術(shù)保證其同步性;數(shù)據(jù)計(jì)算、匯總由計(jì)算機(jī)根據(jù)程序公式自動(dòng)完成,確保其正確性。從內(nèi)控執(zhí)行角度看,這些環(huán)節(jié)都排除了人為因素,不再具有手工控制方式下錯(cuò)報(bào)、漏報(bào)、舞弊易發(fā)、高發(fā)的特征,也就不成為內(nèi)控體系重點(diǎn)關(guān)注的環(huán)節(jié)。但這些環(huán)節(jié)的正常運(yùn)行又依賴(lài)于ERP系統(tǒng)設(shè)計(jì)的正確性、系統(tǒng)運(yùn)行的穩(wěn)定性。如何保證這些條件,成為內(nèi)部控制應(yīng)關(guān)注的重點(diǎn)。
1.2 控制方式的變化ERP環(huán)境下,數(shù)據(jù)的傳遞、處理是由計(jì)算機(jī)根據(jù)程序設(shè)定的公式自動(dòng)完成的,其數(shù)據(jù)的準(zhǔn)確性、完整性及傳遞的及時(shí)性取決于程序設(shè)定的正確與否,諸如核對(duì)、復(fù)查等手工控制方式不能完成基于計(jì)算機(jī)技術(shù)的控制要求,因此系統(tǒng)自動(dòng)控制以及在關(guān)鍵環(huán)節(jié)采用手工記錄并行的方式成為ERP環(huán)境下主要的控制手段。這種控制方式的變化對(duì)企業(yè)內(nèi)控工作人員提出了更高的要求。
1.3 數(shù)據(jù)安全環(huán)境的變化ERP環(huán)境下,數(shù)據(jù)的存儲(chǔ)、傳遞、處理等方面與傳統(tǒng)工作環(huán)境相比都發(fā)生的很大變化。數(shù)據(jù)處理、訪(fǎng)問(wèn)權(quán)限由手工方式下的物理控制變?yōu)橐杂?jì)算機(jī)技術(shù)為基礎(chǔ)的自動(dòng)控制。這種轉(zhuǎn)變使數(shù)據(jù)安全性控制需要考慮的因素發(fā)生變化。數(shù)據(jù)安全性控制應(yīng)主要以數(shù)據(jù)自身安全性保障為重點(diǎn),而數(shù)據(jù)自身安全性主要取決于系統(tǒng)運(yùn)行的穩(wěn)定性及數(shù)據(jù)保管環(huán)境。
2 ERP環(huán)境下如何搞好企業(yè)內(nèi)控工作
2.1 ERP環(huán)境下,系統(tǒng)自動(dòng)對(duì)收集到的數(shù)據(jù)進(jìn)行存儲(chǔ)和處理。因此,控制環(huán)節(jié)的變化應(yīng)把控制重點(diǎn)放在系統(tǒng)的配置和數(shù)據(jù)采集環(huán)節(jié)。系統(tǒng)自動(dòng)采集的數(shù)據(jù)應(yīng)重點(diǎn)對(duì)自動(dòng)采集過(guò)程的系統(tǒng)配置正確與否進(jìn)行檢查,并保留系統(tǒng)配置清單和檢查記錄,系統(tǒng)配置過(guò)程應(yīng)由擁有系統(tǒng)全部管理權(quán)限的管理者來(lái)進(jìn)行或者由專(zhuān)業(yè)技術(shù)人員在管理者嚴(yán)格監(jiān)控下進(jìn)行,應(yīng)避免系統(tǒng)使用人員的深入?yún)⑴c,避免系統(tǒng)使用人員全面了解系統(tǒng)并發(fā)現(xiàn)和利用系統(tǒng)漏洞。系統(tǒng)的修改和二次開(kāi)發(fā)必須由經(jīng)過(guò)授權(quán)的專(zhuān)業(yè)人員進(jìn)行。
需要工作人員處理才能錄入系統(tǒng)的數(shù)據(jù),要保管好數(shù)據(jù)的來(lái)源,要強(qiáng)調(diào)保留原始憑證及經(jīng)辦人員和復(fù)核人員的記錄。便于為內(nèi)控測(cè)試和內(nèi)部審計(jì)提供線(xiàn)索。
定期進(jìn)行內(nèi)控體系測(cè)試或?qū)徲?jì)對(duì)系統(tǒng)輸入的基礎(chǔ)數(shù)據(jù)的完整性和正確性抽查核對(duì)。
2.2 控制環(huán)節(jié)的變化應(yīng)重點(diǎn)抓好業(yè)務(wù)流程的建設(shè)和重組ERP環(huán)境下,必然使傳統(tǒng)的人工控制的業(yè)務(wù)處理過(guò)程發(fā)生變化。因此,應(yīng)根據(jù)ERP系統(tǒng)的自動(dòng)控制、數(shù)據(jù)管理信息化的特點(diǎn),對(duì)企業(yè)的現(xiàn)有運(yùn)作模式、業(yè)務(wù)流程進(jìn)行重組,以便更好的發(fā)揮企業(yè)內(nèi)控體系的作用。
2.3 在數(shù)據(jù)安全方面應(yīng)重點(diǎn)抓好以下幾方面:
2.3.1 組織機(jī)構(gòu)設(shè)置①系統(tǒng)維護(hù)部門(mén)和系統(tǒng)使用部門(mén)相分離,系統(tǒng)維護(hù)部門(mén)不接觸實(shí)際業(yè)務(wù)操作,系統(tǒng)使用部門(mén)無(wú)權(quán)維護(hù)系統(tǒng);②系統(tǒng)維護(hù)部門(mén)內(nèi)部各個(gè)崗位應(yīng)分離;③業(yè)務(wù)部門(mén)內(nèi)部應(yīng)按照不相容崗位要分離的原則設(shè)置崗位。
2.3.2 信息系統(tǒng)安全①未經(jīng)授權(quán)的用戶(hù),不可接觸ERP系統(tǒng):②配備專(zhuān)用機(jī)房、安裝空調(diào)、UPS不間斷電源等措施保證ERP系統(tǒng)核心硬件系統(tǒng)的環(huán)境安全:③設(shè)定可靠的安全加密和殺毒軟件保證系統(tǒng)應(yīng)用軟件的安全;④設(shè)置專(zhuān)人保管系統(tǒng)產(chǎn)生的文檔,包括電子文件和紙質(zhì)文件。
2.3.3 系統(tǒng)操作方面①系統(tǒng)用戶(hù)應(yīng)根據(jù)其崗位職責(zé)和內(nèi)控體系要求分別設(shè)定不同的使用權(quán)限,授予相應(yīng)的用戶(hù)代碼和口令,用戶(hù)口令應(yīng)不定期更換;②系統(tǒng)內(nèi)的所有業(yè)務(wù)操作活動(dòng)均需經(jīng)過(guò)授權(quán);③錯(cuò)誤的輸入需經(jīng)授權(quán)才可更改:④定期對(duì)系統(tǒng)進(jìn)行數(shù)據(jù)備份,明確數(shù)據(jù)保管的人員、地點(diǎn)和方式。
2.3.4 系統(tǒng)監(jiān)控方面①設(shè)定系統(tǒng)自我保護(hù)體系,建立完整的日志,對(duì)于日志文件的管理應(yīng)列入重點(diǎn)控制的內(nèi)容。②系統(tǒng)在使用過(guò)程中發(fā)生錯(cuò)誤,應(yīng)實(shí)時(shí)通知相關(guān)管理人員并進(jìn)行及時(shí)處理。
2.4 制度建設(shè)是搞好內(nèi)控工作的基石規(guī)章制度是企業(yè)實(shí)現(xiàn)目標(biāo),開(kāi)展業(yè)務(wù)依據(jù),也是內(nèi)控體系建設(shè)和執(zhí)行過(guò)程中,針對(duì)風(fēng)險(xiǎn)制定控制措施的的依據(jù)。例如,在ERP環(huán)境下,為保證系統(tǒng)數(shù)據(jù)的安全,應(yīng)該制定相應(yīng)的制度,規(guī)定系統(tǒng)備份的數(shù)量和時(shí)間,系統(tǒng)被破壞時(shí),數(shù)據(jù)恢復(fù)的條件:數(shù)據(jù)保管的人員、數(shù)據(jù)接觸人員、數(shù)據(jù)存儲(chǔ)地點(diǎn)、數(shù)據(jù)存儲(chǔ)的條件等內(nèi)容。控制措施應(yīng)當(dāng)嚴(yán)格執(zhí)行,各崗位一視同仁。當(dāng)然,這些制度也不是一成不變的,應(yīng)根據(jù)實(shí)際情況及時(shí)加以修改、完善。
2.5 培訓(xùn)宣傳,提高人員寨質(zhì)是搞好企業(yè)內(nèi)控工作的關(guān)鍵ERP系統(tǒng)的使用對(duì)傳統(tǒng)工作環(huán)境下企業(yè)人員來(lái)講。并不意味著內(nèi)控工作越來(lái)越輕松。而是對(duì)企業(yè)員工提出了更高的要求。只有加強(qiáng)對(duì)內(nèi)控、ERP及崗位專(zhuān)業(yè)知識(shí)等內(nèi)容的培訓(xùn),不斷提高企業(yè)員工素質(zhì)才能更好的發(fā)揮企業(yè)員工的主觀(guān)能動(dòng)性,更好的適應(yīng)ERP環(huán)境下的內(nèi)控工作。
2.6 建立健全內(nèi)部控制評(píng)價(jià)體系搞好內(nèi)控工作的保障內(nèi)部控制體系評(píng)價(jià)是發(fā)現(xiàn)內(nèi)控體系中存在的不足,進(jìn)行動(dòng)態(tài)調(diào)整和校正的過(guò)程。在ERP環(huán)境下,除了關(guān)注重要風(fēng)險(xiǎn)的關(guān)鍵控制設(shè)計(jì)合理性和執(zhí)行的有效性外,還應(yīng)把測(cè)試的重點(diǎn)放在ERP系統(tǒng)的權(quán)限設(shè)置、數(shù)據(jù)采集和安全控制方面,有針對(duì)性的了解因ERP系統(tǒng)的使用,給企業(yè)帶來(lái)的新風(fēng)險(xiǎn)的管控情況,為內(nèi)控體系的健全和完善提供保障?傊,ERP環(huán)境下,內(nèi)控工作在內(nèi)控體系建設(shè)上要遵循與ERP相結(jié)舍的原則:在執(zhí)行上要做到“執(zhí)行主體有授權(quán),關(guān)鍵操作有依據(jù)、執(zhí)行過(guò)程有審核、執(zhí)行結(jié)果有痕跡(留下實(shí)施證據(jù))”。
【轉(zhuǎn)載自IT專(zhuān)家網(wǎng)】http://esoft.ctocio.com.cn/157/12341657.shtml
億恩科技www.enidc.com 做IDC13年了是華北和華中地區(qū)最大的IDC之一。
優(yōu)惠活動(dòng)
CPU:E5200
內(nèi)存:2G DDR2
硬盤(pán):160GB
新鄉(xiāng)聯(lián)通和江蘇電信 月付+1元,免費(fèi)把內(nèi)存從2G升級(jí)到4G
服務(wù)器租用/托管/機(jī)柜/大帶寬VIP售前銷(xiāo)售 億恩-藍(lán)天QQ:89287750 電話(huà):0371-60135992