在erp环境下建立内部控制系统 是erp项目实施中不可缺少的一部分。erp的引入,一方面可以帮助企业节省内部控制的人力成本,提高内部控制的效率,但是另一方面也会给企业内控体系带来很多具有it技术特点的新问题。ERP虽然在技术上依托于现代信息技术,但本质上是个管理工程,其目的是要把根据企业 实际情况提炼出来的先进管理流程、管理方法、管理技术及管理理念,用现代it技术固化成型,从而提升企业的工作效率。而内部控制作为一种先进的组织管理制度在现代企业管理中有着重要的地位,它对于确保企业经营目标的实现、国家法规制度的贯彻、财会信息质量的保证、以及财产物资的安全与审计工作的开展等诸多方面都有着非常重要的作用。
在erp系统开发与的实施过程中,应当全面考虑,将完善的内部控制体系有步骤地融入erp环境当中,并将由信息技术带来的风险纳入新的内部控制之中,以便在内部控制方面尽量扬erp之长,避erp之短,为企业引入erp带来最大的收益。
1.明确差异,确立erp系统内部控制体系建立所需要的内部控制框架
为了在erp环境中建立完善有效的内部控制体系,首先需要认识到erp内部控制与传统内部控制存在差异,并需要从理论上选定适用于企业erp环境的内部控制框架,并依据该框架建立企业自己的内部控制制度,设计内部控制流程、内部控制点、内部控制检测点等内容。传统的企业内部控制主要包括:管理控制和会计控制,而在我国则特别强调了会计控制;引入erp之后,内部控制则除了上述两个控制内容外又增加了it控制,由于erp中it技术渗透到整个管理系统中,因而it控制并非一个与管理控制、会计控制相剥离的独立部分,而是与它们紧密结合、相互作用的部分,需要共同考虑;同时还应当认识到,引进erp的企业未必能够建立起一个比非erp环境下更完善有效的内部控制系统,除非它成功地规避了it技术本身带来的风险。
为了建立erp环境下的内部控制系统,企业应当首先确立一个erp内部控制的总体框架,企业内部控制框架可供选择与参考的标准很多,目前受到广泛认可的内部控制框架是美国coso1992年提出的内部控制框架,该框架中内部控制有3个目标(运营效果效率、财务报告的可靠性、相关法律的遵守)以及5个要素(控制环境、风险评估、控制活动、信息沟通、监督)。虽然依据coso的内部控制框架可以帮助企业建立一个较为完整科学的内控体系,但是coso并非一个针对it环境的内控体系,并没有将it技术纳入考量的范围之内。因而在选择erp内部控制框架的时候,还应当借鉴一些偏重于it环境下的内部控制框架,比如信息系统和技术控制目标,它由覆盖信息化生命周期的4个域、34个it控制目标、318个详细控制目标组成。
虽然cobit也涉及企业经营、合法合规等方面的控制,但是偏重信息技术控制,因而应当与coso共同参考使用。当然还有其他着重it内部控制的控制框架,例如英国的bs7799-2以及iso20000、iso17799等可供参考。依据可供参考的内部控制框架