摘要:
(一)建立全面风险管理,加强系统流程审批过程稽核
企业应建立全面风险管理,对整个企业的各个层次及各种业务的风险控制岗位进行监督控制。同时还应设置风险管理机构的垂直管理模式,在系统中设计严密的批准层级制度,保证风险管理部门的独立性,例如,对经理的批准权限规定限额,款项的支付要都在财务部门稽核后财务经理才审批,出纳支付后,总账会计还要审核是否依据经恰当批准的原始凭证。此外,要定期或不定期地对系统数据进行稽核,同时加强对系统权限的合理规划与控制,尤其是对数据修改权限的控制,审批岗位不允许修改单据或凭证数,发现问题由发起人调整。这些措施可有效地降低ERP系统数据流转过程缺乏可视化证明文件和痕迹所带来的风险。
(二)合理设置企业组织结构,规划系统权限控制
在ERP系统环境下,企业内部控制层次明显减少,对组织机构设置的要求也更加严格。企业必须建立完善的岗位责任制和规范的岗位管理措施,确保系统维护部门和实际操作使用部门相分离,维护部门不应接触实际业务活动的操作,且内部各个岗位相互制衡;建立授权审批制度,将系统操作者按照不同需要授予不同的使用权限。同时,建立安全高效的沟通制度,充分利用ERP...
(一)建立全面风险管理,加强系统流程审批过程稽核
企业应建立全面风险管理,对整个企业的各个层次及各种业务的风险控制岗位进行监督控制。同时还应设置风险管理机构的垂直管理模式,在系统中设计严密的批准层级制度,保证风险管理部门的独立性,例如,对经理的批准权限规定限额,款项的支付要都在财务部门稽核后财务经理才审批,出纳支付后,总账会计还要审核是否依据经恰当批准的原始凭证。此外,要定期或不定期地对系统数据进行稽核,同时加强对系统权限的合理规划与控制,尤其是对数据修改权限的控制,审批岗位不允许修改单据或凭证数,发现问题由发起人调整。这些措施可有效地降低ERP系统数据流转过程缺乏可视化证明文件和痕迹所带来的风险。
(二)合理设置企业组织结构,规划系统权限控制
在ERP系统环境下,企业内部控制层次明显减少,对组织机构设置的要求也更加严格。企业必须建立完善的岗位责任制和规范的岗位管理措施,确保系统维护部门和实际操作使用部门相分离,维护部门不应接触实际业务活动的操作,且内部各个岗位相互制衡;建立授权审批制度,将系统操作者按照不同需要授予不同的使用权限。同时,建立安全高效的沟通制度,充分利用ERP系统中的信息识别、收集、报告及共享功能,保证信息横向和纵向上的及时反馈,并对ERP系统的操作权限、操作规范、信息安全和数据处理流程进行控制。具体措施包括:为ERP系统核心硬件系统提供专用的、合适的环境,保障数据安全;在软件应用上设定可靠的安全加密和病毒防范体系,定期由有权限的用户对系统进行备份;设定不同的系统权限,授予相应的用户名和口令,所有在系统内进行的业务操作活动均需经过授权;落实责任和权限,任何对信息的读取或修改都应分级控制;建立账套核对机制和复核制度,对会计流程的各个方面进行复核,确保账证、账账、账表相符;建立分批控制和检查差错的制度,对错误的输入需经过授权方可更改;设定系统的自动记录功能,保证经授权的管理人员实时获得信息并进行分析;系统产生的文档,无论是电子文件还是纸质文件,均需由经过授权的专人保管;系统在使用过程中发生错误,应保证相关的管理人员实时得到通知并及时进行处理,防止数据泄露或被破坏等风险。
(三)加强系统开发、建设及应用过程的监控
一是系统开发和初始化过程的控制。系统开发阶段应严格按照最初的设计方案,不可临时增加或删减系统功能,以保证功能设计的完整性,开发完成的系统需经过严格的测试后才能交付使用。系统初始化过程应建立一套权限管理制度,具有系统配置权限的账号严禁操作业务功能,而最终用户也绝对不能进行系统配置,系统的初始化及相关配置,要在完善的监控机制下开展。按照软件开发规范等详细规则,引入密码保护或身份鉴别等安全机制,限制对信息数据的修改与访问,系统的修改和二次开发必须由经过授权的专业人员在监督下进行。
二是系统使用过程的控制。加强员工培训,使其了解ERP系统的流程与管理思想,加深对ERP理念的理解,防控人为造成的ERP数据风险。建立各项制度并定期检查制度执行情况,搜集整理员工的日常操作程序,分析员工的业务流程及行为方式是否合乎规范。通过进行事前预防、事中和事后控制,评价内部控制系统的可行性及有效性,确保检查报告的客观性、可靠性,及时发现在目标实现及制度执行过程中的各项偏差。加强内部监督人员的素质培养,提高检查效率、降低检查成本,进而使系统应用风险得到有效控制。
三是完善风险评估系统。利用ERP系统的集成性对信息进行有效的采集和加工,提高风险评估技术,完善评级方法。通过预设指标,实现预警提示。建立动态风险评估系统,通过风险识别、评估与防范,规避作业流程和信息系统风险。
四是强化信息的沟通。整合业务流程,使局部控制变为全局控制。加快信息沟通的速度,尽量使控制点设置在执行地点,降低内部控制成本。利用信息技术带来的多点收集与集中处理条件,抽取所需要的信息,实现信息的一次性处理和数据共享,将串行工作流程改为并行工作流程,使滞后控制变为实时控制。■
责任编辑 李卓