爱华网ARP系统内部控制探讨
曹 炜
(中国科学院新疆分院,新疆,乌鲁木齐,中国,830011)
摘要:随着信息技术的飞速发展,ERP的理念和技术在中科院系统得以推广应用,必将引发管理活动领域各方面的变革,也将对内部控制体系产生深刻影响。对于日常管理中所面临的风险,需要通过建立ARP内部控制体系,提高风险管理水平,规避和弱化管理过程中遇到的各类风险。
关键词:ERP,ARP,内部控制,信息系统内部控制
引言
随着知识经济时代的来临、信息技术的迅速发展,利用先进的信息技术重组组织结构和调整管理模式,越来越受到企业决策层的重视,ERP(Enterprise Resource Planning,企业资源规划)的理念被广泛接受。ERP的核心理念是以供应链管理为核心,科学的整合企业全部资源,加快企业资金流和信息流的速度,提高企业竞争力。 中国科学院综合运用创新的管理思想,以科研计划与执行管理为核心,借鉴ERP理念,引入ERP技术,构建了有效的管理服务信息技术平台-- ARP(Academia Resource Planning,中国科学院资源规划),以实现全院人力、物力、资金、科研基础条件等资源配置及相关管理流程的整合与优化,提高整体科研管理水平。
作为一种管理和控制的工具和手段,ARP的优势在于最大化的信息集成,并把特定的管理要求固定化,但是它本身并不创造内部控制体系,它只是内部控制体系的一个重要组成部分。对于日常管理中所面临的风险,仍需要通过建立ARP内部控制体系来提高风险管理水平,规避和弱化管理过程中遇到的各类风险。因此,在ARP应用不断推进的过程中,对于建立有效的ARP系统内部控制体系,应该给予充分的考虑和高度重视。
1. 计算机信息系统内部控制
内部控制是指单位为了保护其资产的安全、完整,保证经济和会计信息的正确可靠,提高经营管理效率,确保国家有关法律、法规和单位内部规章制度的贯彻执行等而制定和实施的一系列控制方法、措施和程序。
内部控制是社会经济发展的必然产物,它随着外部竞争的加剧和内部强化管理的需要而不断丰富和发展。其大致经历了内部牵制、内部控制制度、内部会计控制与管理控制、内部控制结构、内部控制整合框架五个发展阶段,特别是1992年美国COSO委员会提出的《内部控制整合框架》,给内部控制理论及实务带来了突破性的进展。 近几年来,财政部、国资委、证监会等相关部门发布了一系列内部控制制度,标志着强化内部控制制度建设,必将成为我国企事业单位管理活动的重中之重。而随着信息技术的飞速发展,ERP的理念和技术得以推广应用,引发了管理活动领域各方面的变革,也必将对内部控制体系产生深刻影响。
计算机信息系统内部控制是用来预防、发现和纠正系统所发生的错误、舞弊和故障,维护系统的正常运行,确保信息的准确无误。通常分为两大类:一般控制(General Controls)和应用控制(Application Controls)。 a) 一般控制
一般控制,是面向整个系统的控制,其对象涉及人员、设备和程序等,它直接影响到计算机信息系统应用的成败,是应用控制的基础。一般控制主要包括系统的组织控制、安全控制和内部审计控制。
组织控制是指通过部门的设置、人员的分工、岗位职责的制定、权限的划分等形式进行的控制。其基本目标是建立恰当的组织机构和职责分工制度,以达到相互牵制、相互制约的目的,防止或减少舞弊的发生。安全控制是为
了保证计算机系统的运行安全.避免由于内部或外部环境因素导致系统运行错误或舞弊。安全控制主要包括硬件安全控制、软件安全控制、网络安全控制和实体安全控制等。在系统运行和操作过程中,为了保证运行环境的安全、数据处理的准确性和安全性,必须制定和执行各种标准的操作管理规程。例如,机房管理制度,软硬件操作规程,作业运行规程,用机时间记录规程等。审计控制是内部控制的一种特殊形式,在某种意义上说是对其他内部控制的再控制,因而是内部控制最有效的手段之一。通过内部审计,可以了解现有的内部控制是否能满足保证系统提供准确可靠信息的需要,以及这些控制能否有效地运作并达到预期的效果。
b) 应用控制
应用控制,是指对计算机信息系统中具体的数据处理功能的控制。是一般控制的深化,可以在一般控制的基础上,直接深入到具体的业务数据处理,为数据处理的准确性、完整性和可靠性提供最后的保证。应用控制主要包括:输入控制、处理控制、输出控制三个方面。
在系统业务处理过程中,只有输入正确的数据,才能进行正确的处理和输出正确的结果。输入控制应确保经济业务在处理前经过适当的批准,确保经济业务没有被遗漏、添加、重复或不正当的更改等。处理控制是对数据处理的准确性和可靠性的控制。除保证输入数据的准确性、计算机硬件和软件安装的可靠性外,还必须设置处理控制措施,采用各种技术手段对输入数据的准确性进行校验。例如,在会计系统下未经复核的凭证不能记账等。输出控制的主要目的是为了保证计算机输出结果的正确性、可靠性、及时性和必要的保密性,应确保输出数据的接触人员是经过授权的人员。
2. ARP系统内部控制现状
ARP系统实施初期,使系统完整运转起来并尽快掌握系统操作,成为工作之重;ARP推进阶段,决策层开始意识到,系统环境安全的重要性,并组织全局的系统环境安全检查。而环境安全只是内部控制的一个组成部分,要控制ARP系统风险,需要深入分析ARP系统的内部控制现状,发现内部控制的薄弱环节和控制风险,并采取必要措施,建立一套有效的ARP系统内部控制体系。以下对ARP系统内部控制现状的部分重要问题作粗浅分析,以期对建立内部控制体系具有借鉴意义。
1)如何控制系统管理员
系统管理员拥有“至高无上”的权限,或者说可以不受限制的做任何事情。ARP内部控制必须面对系统管理员做最坏的设想。实际运作中,系统管理员多数配有各模块“超级用户”职责,以便于系统维护。比如,在ARP系统层面安装完补丁后,还需要进行业务模块的运行请求等相关操作,为了工作方便,系统管理员给自己授权“超级用户”,同时他拥有了所有业务模块的最高权限。
即便系统管理员没有业务操作权限,业务信息之于系统管理员,从某种意义上说是透明的。他不必通过自我授权或窃取用户帐号密码的方式查看数据,拥有数据库管理权限,对于他已没有任何秘密可言。一般业务信息也许没有实质的保密意义,会计信息、军工等涉密信息的保密问题必然引起极大的风险。
对于系统管理员,除了要求个人品质外,在技术上的监督检查相对困难。系统管理员大都具有较高的计算机水平,使研究所面临计算机舞弊的极大风险。内部控制要求第三方监督检查系统管理员,这种监督检查也需要较高的计算机水平,而内部审计队伍中有较高计算机水平者可谓寥寥无几,ARP内部审计对于从事内审工作的人来说,目前还仅仅是一个概念。
SOX认为,如果存在风险,就会导致损失,它警惕任何人的可能风险。对信息系统的安全来说,如果谁控制安全(ARP权限),就可以破坏整个系统,因为他完全可以用任何身份进入系统。研究所信守“疑人不用,用人不疑”的原则,把网络安全、ARP系统安全托付给系统管理员,最起码应该把系统管理员的用户管理权限分离出来,
禁止接触业务数据是对系统管理员最基本的控制。
2)如何控制超级用户
超级用户拥有该业务模块的所有权限。如,总账超级用户可以录入凭证、可以审核凭证、可以过账、可以维护总账模块的全局性设置;总账超级用户不可以审核自己录入的凭证,但可以绕过审核,过账自己录入的凭证,使凭证审核功能形同虚设。有些单位财务部门只有2名会计人员,会计是超级用户,拥有总帐业务的所有权限,这种情形即便是手工操作下也缺乏控制关系。超级用户是否应该设置,需要从全局考虑;同时管理岗位的人数限制,产生了同样的风险威胁。
3)薪酬系统由谁负责
ARP实施前,一般情况下,由财务部门利用工资核算软件,根据人事部门的工资变动通知单,进行工资的维护及成本核算。ARP改变了工资维护与成本核算的理念及流程,许多单位出现了“薪酬系统之争”,职责划分也是多种多样:
财务部门负责全部薪酬系统,理由是原来就是这么做的,不能给人事部门增加工作量;人事部门负责工资维护、工资核对,财务部门负责成本核算、工资发放,理由是工资变动并核对其正确性与人事部门相关,成本核算、工资发放是会计业务;把工资维护职责划分为发项维护和扣项维护,人事部门负责发项维护,财务部门负责扣项维护,其他职责归属财务部门,理由是扣款项(水电费、扣借款等)与人事部门无关;人事部门负责工资维护、财务部门负责工资核对、成本核算、工资发放等,形成了多种职责分工模式。这需要从内部控制的原则出发,制定全院统一的职责分工标准。
4)出纳对账还是会计对账
这不是ARP所带来的新问题,但由于ARP处在需要不断学习和实践的过程中,研究所会计业务的重心倾斜到ARP系统的使用上,某些研究所的银行对帐工作传统地、理所当然地由出纳负责。单位有没有使用ARP的银行对帐系统?银行对帐由谁负责?主管会计每个月都在银行余额调节表上签字,还是年终才去关注银行余额是否正确?这些都是值得关注的问题。
在上述管理惯性下,尤其是会计人员较少的单位,可能产生出纳舞弊的极大风险。在同一个月内动用单位资金而后归还,在月末的银行余额中是无法发现的,唯一的控制办法,是由会计而不是出纳每月核对银行帐。如果能利用银行交易系统,并启用ARP的银行对帐功能,主管会计认真地在银行余额调节表上签字,这个环节的内部控制会变得真正有效。
5)ARP密码满天飞
对于我们,ARP是一个全新的信息系统,同时带来许多新的理念。实施初期,ARP中心的维护人员几乎拥有所有单位的各模块用户密码,甚至是数据库权限、系统权限。他们只是急于解决问题,希望ARP在本单位顺利实施,无暇考虑“安全”问题。这种系统维护现状似乎成了定式,目前各单位为了解决问题,仍是通过MSN等在线通讯工具,把本单位的VPN及用户密码,甚至apps密码告知系统维护人员,并且test用户、123456密码等持续存在。这是对“自家人”的充分信任,且不说网络传播密码的极度不安全性,关键问题是这种“全员”的安全意识令人担忧。
6)信息安全的约束力
2002年SOX规定:企业的CEO必须对企业财务数据的真实性负责,否则要承担最多监禁25年的刑事责任!其中要求:CEO必须将财务信息保存8年以上,供随时审计,其中过程、由网络产生的数据都作为审计对象,因此,实际上是要求企业CEO必须对信息的存储、保密性、真实性、可用性负责。企业CEO不得不高度重视信息安全,以免于刑事责任。
1999年修订《会计法》的一项重要内容是:单位负责人对本单位的会计工作和会计资料的真实性、完整性负
责。从中我们看不到信息安全的有效约束力,同时科研事业单位相对于企业,内部控制需求相对较弱。因此从法规层面和和内部管理层面,信息安全控制都缺乏动因和有效的约束力。
3.ARP系统内部控制体系的建立
1)转变管理观念
在ARP系统应用初期,系统安全性在局部范围得到一定的重视,侧重于对系统运行环境安全性的考虑,而对于业务操作权限、职责标准以及业务流程控制等诸多方面缺乏全局性认识,内部审计控制更是无暇顾及。因此必须要抓住内部控制中的主体因素,科学院决策层、所长以及管理层管理观念的转变、风险意识的提高对完善内部控制有着积极的意义。单位各个层面的人员,无论是管理者还是内部控制的参与者,在思想上要转变按传统业务流程进行控制的观念,树立以风险控制为导向的,以科研管理为核心的控制思想,才能使ARP系统更好地服务于科研管理并有效地提高科研管理水平。
2)完善管理制度
ARP系统的相关管理制度,是在ARP验收时匆匆出台的(制度范本也非集体智慧的结晶)。ARP系统没有进入应用的成熟期,每年都在完善;同时ARP系统庞大而繁杂,真正熟练掌握需要学习和实践的过程。在此情况下,不可能产生一个成熟可行的管理制度。而内控制度应该是建立在管理制度基础之上的,管理制度也应该依据内部控制的要求加以完善,应该充分考虑ARP对传统管理方式的影响,高度认识ARP环境下管理理念的升华。另外,管理制度的有效执行也是研究所决策层需要重视的问题,必须建立起能使管理制度有效执行的机制,否则内部控制只能是无源之水。
3)建立内控体系
APR的实施对研究所内部控制的影响是全面的,既有积极的一面,同时也蕴含着新的风险。随着ARP应用的推进,ARP的管理理念,将通过研究所决策层的重视而深入到管理工作中,管理制度的完善也将成为科研管理的客观需求。在此基础上,根据内部控制目标来建立适应新环境的内部控制体系就显得尤为必要。首先,必须重视ARP系统实施所带来的系统风险,并对不适应科研管理的内部控制体系做出评估和改进。其次,通过管理诊断,对业务流程进行重新设计,消除流程中不合理的部分;以科研管理为主线对流程进行整合,重新确定关键业务流程,并确定其是否能有效满足内部控制目标;按照职责划分和授权的内控思想,在整个流程中增加适当的监测点和平衡点。最后,在此基础上设置相应的组织结构来实现对常规业务和系统信息的双重控制。
4)推进审计监督
审计监督是内部控制的重要手段,从某种意义上,它是对内部控制的再控制。内部控制的核心是内部牵制,而在管理工作中,一方面需要监督内部牵制是否有效;另一方面存在客观上无法实现内部牵制的职责或业务流程。这就需要通过内部审计手段对其进行监督检查,以确保内部控制机制的有效运行。ARP的实施,给内部审计带来了新的挑战,对审计人员的职业道德和职业水平提出了更高的要求。审计人员不仅要掌握会计、审计知识,而且需要涉猎法律、计算机等领域。目前,研究所内部审计普遍弱化,ARP系统审计更是一个全新的课题,在此情形下,研究所领导必须给予内部审计以高度重视,强化内部审计职能,推进ARP系统的审计监督,使研究所的内部控制体系不断完善和真正有效。
ARP的实施,给研究所带来了新的管理理念,而ARP作为一种管理手段也带来了新的风险,必须树立全员的风险意识,建立并不断完善管理制度、内部控制制度,以推进ARP系统科学、稳步地应用,提高全院整体科研管
理水平。
参考文献
[1]李小衡.COSO内部控制整体框架:内容、理论贡献和借鉴[J]. 北京工商大学学报(社会科学版),2007,22(2).
[2]孙晓燕. ERP环境下企业内部控制方案再设计[J].科技与管理,2007(6).
[3]陈靓,阳迅.对ERP环境下企业内部会计控制创新的思考[J].中国管理信息化,2007,10(5).
[4]余用云.ERP条件下的三维会计控制模型[J].财会月刊,2006(4).
[5]徐广成.网络环境下会计电算化信息系统内部控制创新研究[J]. 会计之友,2006(8).
百度搜索“爱华网”,专业资料,生活学习,尽在爱华网
