ERP环境下企业会计信息系统内部控制设计研究

摘要：在ERP环境下的企业信息系统，尤其是对与业务、财务相关的会计信息系统而言，除了使内部控制的职能得以实现之外，还为企业带来了新的问题和挑战。具有《企业内部控制基本规范》合规需求的上市公司，设计与所依赖的会计信息系统相关的内部控制问题成为了重中之重。与会计信息系统管理与安全相关的内部控制具体包括公司层面控制、一般控制以及应用控制，本文从实务的角度对这三个方面内部控制的设计分别进行探讨。
关键词：会计信息系统 内部控制 设计


我国财政部、证监会、审计署、银监会、保监会五部委于2008年5月联合发布了《企业内部控制基本规范》，规定自2012年1月1日起，沪深两市主板上市公司必须在一年内完成企业内部控制体系的建设和实施。在此之后又于2010年4月出台了《企业内部控制配套指引》，该配套指引涵盖18项《企业内部控制应用指引》、《企业内部控制评价指引》以及《企业内部控制审计指引》。对于具有合规需求的2 000余家上市公司而言，虽然内部控制实施的程度各不相同，但如何降低高昂的合规成本则成为了一个共同的难题。
　　一、设计会计信息系统内部控制的必要性
　　国内外以往的内部控制实施经验显示，内部控制理念与会计信息系统的结合有助于解决合规成本高昂这一难题，得到了上市公司的广泛采纳。《企业内部控制应用指引第18号——信息系统》也结合COSO框架和COBIT标准的要求，作出了相应的规定。将企业会计信息化工作与业务活动相联系，能够使企业利用外部资源，结合自身优势，更快速、更高效地完成监管机构的内部控制建设和实施要求，提高内部控制管理的工作效率、节约成本；更重要的是能够实现内部控制提供有助于决策的信息，辅助决策，提高企业经营效率的更高层面的职能。然而，在ERP环境下的企业信息系统，尤其是对业务与财务相关的会计信息系统而言，除了使内部控制的职能得以实现之外，也为企业带来了新的问题和挑战。因此，有合规需求的上市公司设计与所依赖的会计信息系统相关的内部控制成为了亟待解决的问题。
　　
　　论文检测天使-免费论文相似性查重http://www.jiancetianshi.com
[1]电大学习网.免费论文网[EB/OL]. /d/file/p/2024/0425/fontbr二、会计信息系统公司层面控制的设计br />　　COSO内部控制框架认为，内部控制系统由控制环境、风险评估、控制活动、信息与沟通及监督构成，取决于管理层经营企业的方式，并融入管理过程本身。对会计信息系统公司层面的控制而言，应分别对这五个要素进行内部控制设计并实施。控制环境是所有其他组成要素的基础，对信息系统具有关键的影响作用，在一定程度上决定着内部控制的目标能否实现。需要注意不能使信息部门脱离其他部门而独立存在，设计应对由信息技术产生的新型风险等问题。风险评估作为控制活动的基础，应采取信息系统管理以及优化流程等措施，使得公司管理层能够识别、评估和应对风险。控制活动是确保风险应对计划得以实施的方法和流程，包括授权、审批、核对、职责分离等内容。信息与沟通是整个内部控制系统中最为关键的环节，能够满足各方面提出的合理需求，同时便于职责的履行。监控便于对内部控制的设计和实施予以监督并使问题能够得到及时的解决，也使得运行结果能够及时的检验。
　　三、会计信息系统一般控制的设计
　　由于各种应用系统的IT一般控制具有共通性，所以会计信息系统一般控制的范围主要涵盖支持同一组IT一般控制的IT技术环境。例如涵盖多应用系统的变更管理控制、支持多种应用系统的技术平台以及支持多应用系统并有相同IT一般控制的数据中心等。对于计划依赖IT一般控制的应用系统，应对满足各IT一般控制类别的目标的IT一般控制予以考虑。如果其他会计信息系统一般控制类别的失效可能对财务报表或披露事项产生影响，也应将其纳入考虑的范围。一般控制的主要内部控制程序包括变更管理控制、逻辑访问控制及其他IT一般控制。
　　（一）变更管理控制
　　针对变更管理内部控制的设计而言，其目标为唯有经过适当授权、测试与审批的变更，才能应用于应用系统、程序接口、数据库与操作系统。
　　1.系统开发。如果发生大型的系统开发，并涉及系统外包开发，则应执行系统外包开发规程。具体包括：（1）项目立项阶段，有关人员应对项目的外包内容进行确定，并通过竞标的方式选择适合的开发商。（2）项目开发过程中，外包小组应对项目的进展、质量进行监督检查，及时纠正偏差。（3）项目开发完成后，验收人员审查承包商应当交付的成果，例如代码、文档等，确保这些成果的完整性和正确性；对待交付的产品进行的测试，确保产品符合需求后，应将检查结果与测试结果记录于外包开发成果验收报告。
　　2.程序变更及补丁升级。应建立系统外包开发、程序变更上线制度，规范程序变更及补丁升级的管理流程。具体包括：（1）需求部门提出系统变更需求，并将变更需求整理成系统变更申请表，由部门负责人审批后提交给系统管理员。（2）系统管理员负责接受需求并上报给信息部门主管进行需求分析并提出系统变更建议，信息技术部经理根据变更建议对申请表进行审批。（3）系统根据自行开发、合作开发和外包开发的不同要求组织实现系统变更需求，应将需求提交至内部开发人员、合作开发商或外包开发商，编写供发布的程序。（4）系统管理员组织业务部门的最终用户对系统程序变更进行测试，并撰写用户测试报告，提交业务部门负责人和信息技术部主管领导签字确认。（5）在系统变更完成后，应由系统管理员和业务部门的最终用户共同撰写程序变更验收报告，经业务部门负责人签字验收后，报送信息部门经理审批。补丁升级也适用于程序变更的内部控制流程。
　　3.紧急变更。应建立系统外包开发、程序变更上线制度，对紧急变更的管理流程予以规范。具体包括：（1）如果有紧急变更的需要，应由需求部门通过电子邮件或传真等书面形式提出申请，信息部门根据重要性和紧迫性做出判断，确定优先级和影响程度，并进行相应处理。（2）紧急变更过程中应使用专设的系统用户账号，由负责部门或人员启动紧急变更程序。信息部门应对紧急变更的处理进行规范的文档记录。（3）在紧急事件处理完成后，必须在一定时间内补办正式、完整的文档。其中包括问题发现人填写的紧急变更申请、问题发现人所在部门负责人对该申请的审批、需求部门或信息部门经过确认的测试记录。
　　4.数据修改。应建立关键业务系统数据管理制度来规范后台数据修改流程。后台数据修改指信息部门指定的IT人员应数据拥有部门要求，对公司信息系统中的数据在后台数据库中进行的修改。具体包括：（1）数据拥有部门提交数据导入/修改申请表，表中需要具体描述导入/修改的原因和内容且需要数据拥有部门负责人审批。（2）数据库超级用户收到申请表后，应再次与申请部门核对申请表的内容，分析导入/修改可行性及后果并将分析结果提交IT系统主管审批。（3）如需测试，应在测试环境下进行方案测试。系统管理员需在数据导入/修改之前对所影响的数据进行备份。（4）数据导入/修改操作完毕后，系统管理员通知申请人检查数据导入/修改结果是否与需求一致。若符合要求，应由申请人填写验收结论；否则应由系统管理员重新检查和修改数据导入方案，经主管部门负责人审批后，进行下一步工作。
　　（二）逻辑存取
　　针对逻辑存取内部控制的设计而言，其目标为只允许授权人员访问数据和应用程序，并且这些人员只能执行明确授权的功能。具体包括：（1）系统安全设置和密码设置。应建立信息系统账号管理制度对用户账号密码管理进行规范。（2）特权用户账号管理。应将应用系统层面、操作系统层面和数据库层面的超级账号分配给不同使用者并基于工作职责进行分工。（3）关键系统资源和工具安全。只有特定账号拥有系统文件的访问权限。（4）用户账号的管理。应制定信息系统用户账号管理制度对用户账号管理进行规范，其中包括用户账号的创建、修改和删除以及账号的定期审阅。（5）用户访问控制。应制定信息系统用户账号管理制度，对用户账号管理进行规范，特别是对于特权账号和超级用户账号管理规定，应由信息部门定期查看系统日志，监督特权账号和超级用户账号使用情况，并填写系统日志审阅表。（6）物理安全。应建立机房管理制度来规范机房的日常管理。
　　需要注意的是，一方面，未能规范的特权用户账号定期审阅管理，将难以保证会计信息系统中拥有较高权限的账号是在经过审批和授权的情况下被使用。另一方面，主要应用系统的安全性及其数据库中财务及业务数据的完整性和可靠性，均在很大程度上依赖于对用户账号及权限的管理。如果未能定期对用户账号的使用情况和权限进行审阅，未能及时对岗位变化的员工的权限进行调整，不及时删除或锁定离职员工的账号，或者出现一人同时拥有多个账号的情况，便有可能出现对财务及业务数据进行非法修改，甚至删除的操作。
　　（三）其他IT一般控制
　　针对其他IT一般控制的设计而言，其具体目标为有关财务信息的系统数据应进行备份，以在系统发生故障或数据完整性遭到破坏时能够准确而完整地恢复数据。批处理程序均按计划执行，任何与计划执行结果的偏差都应被及时识别并解决。会计信息系统运行中发生的问题或事件应被及时识别、解决、复核与分析。其他IT一般控制的设计主要针对相关控制失效可能对财务报表与披露事项产生影响的情况下。
　　需要注意的是，关键业务及财务系统数据对于公司业务运行而言至关重要。如果未能对数据备份状态的检查结果进行记录，将难以保证数据备份结果的监督被有效的执行，也无法保证发生备份失败的情况时，失败的备份操作被及时的汇报与跟进。
　　（四）职责分离
　　职责分离是内部控制设计和实施时的一个不容忽视的问题。对于变更管理中的职责分离，应规定进行程序升级或变更的执行人员，不能进行审批、将程序移植进出生产环境以及程序升级和变更相关的监督工作；负责程序升级和变更相关的监督控制人员，不能负责审批程序升级和变更，也不能负责程序升级和变更的实施工作以及将程序移植进出生产环境。对于应用层面的超级用户和相关的系统平台管理员的职责分离，应规定不能由同一员工拥有信息系统应用层面、操作系统、数据库三个层面中两个或两个以上的超级用户权限；需对系统管理员等特权用户的操作进行必要的监督，否则将增加未经授权而对信息系统进行访问或修改的可能性，对信息系统和数据库的整体安全性构成威胁。
　　四、会计信息系统应用控制的设计
　　会计信息系统应用控制指利用会计信息系统对业务处理实施的控制。与会计信息系统一般控制不同的是，应用控制与具体的业务相联系，对不同应用系统而言其相应的应用控制有可能不一致。在此以某上市公司会计信息系统为例，对具体的应用控制的设计进行探讨。
　　例如，在会计信息系统的财务模块中，采购环节系统配置供应商主数据的统驭科目为必输项，以保证客户明细账数据自动过账到总账；在物料管理模块，在系统中进行收货入库操作后，系统根据收货入库信息自动准确生成会计凭证，借记“原材料”科目，贷记“应付账款”以及“材料采购差异”科目；执行发票校验时，不可人工修改采购订单、供应商及物料等基本信息等。在财务模块中，销售环节系统配置客户主数据的统驭科目为必输项，以保证客户明细账数据自动过账到总账；在销售与分销模块中，在系统中发货出库后确认后，系统根据收货出库信息自动准确生成会计凭证，借记“发出商品”科目，贷记“库存商品”科目；在系统中出具系统发票后，系统自动生成确认收入的会计凭证，借记“应收账款”科目，贷记“主营业务收入”及“应交税费”科目，同时自动生成结转成本的会计凭证，借记“主营业务成本”科目，贷记“发出商品”科目；在财务模块中，在系统中针对同一个外向交货单，不能重复开据系统发票等。X



【参考文献】
[1]电大学习网.免费论文网[EB/OL]. /d/file/p/2024/0425/br
[1]论文检测天使-论文免费检测软件[EB/OL]. /d/file/p/2024/0425/shu.html />　　1.安广实，陶芸辉.IT审计风险成因及其防范对策思考〔J〕.中国乡镇企业会计，2012，（8）.
　　2.杰普·布勒姆.SOX环境下的信息技术治理〔M〕.大连：东北财经大学出版社，2008.
　　3.林斌，覃东，吴炎太.信息技术内部控制操作指引与典型案例研究〔M〕.大连：大连出版社，2010.