在erp環(huán)境下建立內部控制系統(tǒng) 是erp項目實施中不可缺少的一部分���。erp的引入,一方面可以幫助企業(yè)節(jié)省內部控制的人力成本����,提高內部控制的效率,但是另一方面也會給企業(yè)內控體系帶來很多具有it技術特點的新問題�����。ERP雖然在技術上依托于現(xiàn)代信息技術�,但本質上是個管理工程,其目的是要把根據企業(yè) 實際情況提煉出來的先進管理流程�、管理方法、管理技術及管理理念����,用現(xiàn)代it技術固化成型,從而提升企業(yè)的工作效率����。而內部控制作為一種先進的組織管理制度在現(xiàn)代企業(yè)管理中有著重要的地位,它對于確保企業(yè)經營目標的實現(xiàn)、國家法規(guī)制度的貫徹�、財會信息質量的保證、以及財產物資的安全與審計工作的開展等諸多方面都有著非常重要的作用�����。
在erp系統(tǒng)開發(fā)與的實施過程中��,應當全面考慮�,將完善的內部控制體系有步驟地融入erp環(huán)境當中,并將由信息技術帶來的風險納入新的內部控制之中���,以便在內部控制方面盡量揚erp之長�,避erp之短�����,為企業(yè)引入erp帶來最大的收益��。
1.明確差異�����,確立erp系統(tǒng)內部控制體系建立所需要的內部控制框架
為了在erp環(huán)境中建立完善有效的內部控制體系�����,首先需要認識到erp內部控制與傳統(tǒng)內部控制存在差異�,并需要從理論上選定適用于企業(yè)erp環(huán)境的內部控制框架,并依據該框架建立企業(yè)自己的內部控制制度�����,設計內部控制流程��、內部控制點�、內部控制檢測點等內容。傳統(tǒng)的企業(yè)內部控制主要包括:管理控制和會計控制���,而在我國則特別強調了會計控制;引入erp之后�����,內部控制則除了上述兩個控制內容外又增加了it控制����,由于erp中it技術滲透到整個管理系統(tǒng)中��,因而it控制并非一個與管理控制���、會計控制相剝離的獨立部分�,而是與它們緊密結合、相互作用的部分�����,需要共同考慮;同時還應當認識到����,引進erp的企業(yè)未必能夠建立起一個比非erp環(huán)境下更完善有效的內部控制系統(tǒng),除非它成功地規(guī)避了it技術本身帶來的風險�����。
為了建立erp環(huán)境下的內部控制系統(tǒng)�����,企業(yè)應當首先確立一個erp內部控制的總體框架��,企業(yè)內部控制框架可供選擇與參考的標準很多�����,目前受到廣泛認可的內部控制框架是美國coso1992年提出的內部控制框架�,該框架中內部控制有3個目標(運營效果效率����、財務報告的可靠性����、相關法律的遵守)以及5個要素(控制環(huán)境����、風險評估、控制活動����、信息溝通、監(jiān)督)�。雖然依據coso的內部控制框架可以幫助企業(yè)建立一個較為完整科學的內控體系,但是coso并非一個針對it環(huán)境的內控體系����,并沒有將it技術納入考量的范圍之內。因而在選擇erp內部控制框架的時候����,還應當借鑒一些偏重于it環(huán)境下的內部控制框架,比如信息系統(tǒng)和技術控制目標���,它由覆蓋信息化生命周期的4個域�、34個it控制目標、318個詳細控制目標組成�����。
雖然cobit也涉及企業(yè)經營���、合法合規(guī)等方面的控制����,但是偏重信息技術控制��,因而應當與coso共同參考使用�。當然還有其他著重it內部控制的控制框架,例如英國的bs7799-2以及iso20000��、iso17799等可供參考����。依據可供參考的內部控制框架