摘要:
作为国家电网公司ERP项目的首批试点单位,L省电力有限公司(以下简称L公司)于2008年年底完成了上线工作。在实施ERP过程中,L公司在企业原有的内部控制标准基础上,制定了《ERP系统内部控制手册》,建立了包括ERP系统的项目管理、系统安全管理、硬件设备管理、软件程序管理、人力资源管理等一整套内部控制制度。本文仅就其中的软件程序管理的内部控制制度加以介绍。
一、软件程序管理内部控制的具体措施
L公司对软件程序的内部控制主要包括软件程序和数据的访问控制、程序变更控制和后续的程序开发控制三方面。对此,公司分别制订了相关的业务控制目标、业务风险、控制点、控制点考核分值、责任单位、控制文档等具体内容,并标注需职权分离的业务岗位。此外,凡已建立相关制度规范的控制活动,也相应建立了索引,以便查阅相关文件的具体内容。上述内部控制的具体内容,均被纳入内部控制矩阵。
(一)程序和数据访问控制。ERP系统的全面上线,实现了国家电网、总公司、跨专业、跨部门、跨地区的业务数据和资料共享。管理信息集成为决策层提供了更加准确、及时的信息和报表,为公司科学决策提供了有力支持。但是,数据集成也加大了数据越权访问和非法披露...
作为国家电网公司ERP项目的首批试点单位,L省电力有限公司(以下简称L公司)于2008年年底完成了上线工作。在实施ERP过程中,L公司在企业原有的内部控制标准基础上,制定了《ERP系统内部控制手册》,建立了包括ERP系统的项目管理、系统安全管理、硬件设备管理、软件程序管理、人力资源管理等一整套内部控制制度。本文仅就其中的软件程序管理的内部控制制度加以介绍。
一、软件程序管理内部控制的具体措施
L公司对软件程序的内部控制主要包括软件程序和数据的访问控制、程序变更控制和后续的程序开发控制三方面。对此,公司分别制订了相关的业务控制目标、业务风险、控制点、控制点考核分值、责任单位、控制文档等具体内容,并标注需职权分离的业务岗位。此外,凡已建立相关制度规范的控制活动,也相应建立了索引,以便查阅相关文件的具体内容。上述内部控制的具体内容,均被纳入内部控制矩阵。
(一)程序和数据访问控制。ERP系统的全面上线,实现了国家电网、总公司、跨专业、跨部门、跨地区的业务数据和资料共享。管理信息集成为决策层提供了更加准确、及时的信息和报表,为公司科学决策提供了有力支持。但是,数据集成也加大了数据越权访问和非法披露的风险。L公司在ERP系统内部控制制度中,重点对应用程序和数据的访问进行了较为严格的控制,表1为程序和数据访问内部控制矩阵,表述了具体的控制措施。
(二)程序变更控制。L公司认为,电力行业信息化程度比较高,软件更新较快,因此需要在程序变更方面做到规范化和程序化管理,以保障系统功能始终能够满足企业购电、输变电、配电、售电等业务活动的稳定运行和对财务、预算、考评等管理活动的信息支持。同时,要协调人力资源管理,以保障系统的安全使用。此外,还要避免发生违法、违规现象。表2为程序变更内部控制矩阵,详细表述了对程序变更进行控制的具体措施。
(三)程序开发控制。L公司对程序开发实行归口管理,由总公司信息管理部统一负责。新开发程序需经过严格的测试和人员培训后,方可上线。表3的控制矩阵中显示了程序开发的有关内部控制措施。
二、启示
L公司作为一家电力企业,尽管其战略目标和业务流程有一定的行业特征,但其ERP系统中软件程序管理乃至整个ERP系统的内部控制与其他企业存在较多共性,因此其在ERP系统软件程序管理方面建立和实施内部控制制度的经验对于其他类型企业仍具有普遍的借鉴意义。其优点主要体现在以下三个方面:
(一)采用内部控制矩阵,内容表达简洁明晰。内部控制体系是一个复杂的系统,涉及诸多方面内容。为了保证内部控制的有效实施,许多学者和专家都呼吁要加强沟通,使组织内部的相关人员熟悉其内容,充分理解其内在关系,这就要求企业内部控制制度要有一个简明的文字载体,来传达其要求。L公司在建立内部控制制度时采用矩阵表格形式,描述了ERP系统程序软件管理方面各业务活动中可能存在的风险;指出了对业务活动需采取的具体控制措施;如果出现偏差,责任单位需承担的相应责任;根据控制点分值和相关制度对责任单位进行考核,实施奖惩;明确了业务活动中的不相容岗位,对人员的权利进行制衡等。内控矩阵的使用使得内控制度变得简明、直观,便于阅读者更好地理解和执行。
(二)化繁为简,便于有效控制。目前,国际上很多理论模型都给出了有关信息系统内部控制的指导意见,如COBIT(信息及相关技术控制目标)在信息系统内部控制方面划分了4个领域,共设定了34个控制目标和318个详细控制目标,是目前公认的最全面、最权威的信息系统内控指导手册。但像COBIT这样的内控模型内容非常复杂,仅与程序软件管理有关的控制目标就多达数十个,加大了企业的运用难度,并且操作成本也很高。L公司采用“抓大放小”的实施策略,在兼顾全面性的基础上,根据重要性原则,结合企业实际,充分考虑风险与成本的平衡,对高风险环节重点实施内部控制,由此提高了内部控制的效率和效果。
(三)实时监控,定期考评。L公司对包括软件程序管理活动在内的ERP系统整体业务活动采用实时监控的办法,定期输出监控报告。总公司每年统一组织ERP系统内部控制执行情况的综合检查。按照《ERP系统内部控制手册》中规定的内部控制考评程序和标准,依据监控报告提供的信息,对企业ERP系统内部控制有效性进行评价,给出各控制点的得分值,并按总分考核排序。对得分过低的项目进行原因分析,最终形成评价报告。评价报告上报总经理办公室,经审批后由人力资源部备案,并根据《ERP系统内部控制手册》中的有关规定,依据考核结果对相关单位进行奖惩。
责任编辑 李斐然