SAP信息系統(tǒng)環(huán)境下內(nèi)部控制之思考

郭紅

摘 要：在現(xiàn)代信息化背景下企業(yè)非常重視內(nèi)部控制所發(fā)揮的重要作用。企業(yè)在內(nèi)部控制中常常會采用先進(jìn)的管理系統(tǒng)來提高管理效果和水平，比如常見的ERP-SAP管理系統(tǒng)。為了進(jìn)一步加強(qiáng)對企業(yè)內(nèi)部信息管理系統(tǒng)的建設(shè)，文章將就信息管理系統(tǒng)在應(yīng)用中存在的一些問題展開論述，從而提高內(nèi)部控制的效率，提升企業(yè)的經(jīng)濟(jì)水平。

關(guān)鍵詞：SAP；信息系統(tǒng)；內(nèi)部控制

一、內(nèi)部控制的概述

我國關(guān)于內(nèi)部控制的記載最早出于《周禮》：“慮夫掌財之吏，滲漏乾后，或者容奸面肆欺”，“聽出入以要會”。其中所闡述的就是以會計文書為依據(jù)的財務(wù)收支問題，避免財務(wù)管理人員利用職權(quán)動用公共財產(chǎn)，也就是采用交互考核和分工牽制的辦法進(jìn)行內(nèi)部控制。在現(xiàn)代化信息社會不斷發(fā)展的背景下，企業(yè)不斷改進(jìn)內(nèi)部控制方法和手段。在1992年9月，COSO委員會提出了管理人員和其他人員共同實(shí)現(xiàn)內(nèi)部控制的理念，從而保證經(jīng)營效果、提高財務(wù)報告的可靠性，保證可以按照法律法規(guī)實(shí)施內(nèi)部控制。內(nèi)部控制中這個概念得到了豐富和發(fā)展。COSO委員會到了2004年9月提出了企業(yè)風(fēng)險管理的新概念。COSO公布了《企業(yè)風(fēng)險管理——整合框架》，其中規(guī)定的內(nèi)部控制發(fā)生了是巨大的改變，無論是目標(biāo)還是內(nèi)在實(shí)質(zhì)都有了很大的提升，企業(yè)的內(nèi)部控制逐漸發(fā)展成為企業(yè)風(fēng)險管理，通過查找企業(yè)主要矛盾來應(yīng)對企業(yè)管理中存在的問題。通過這些控制方法表明內(nèi)部控制在未來發(fā)展的很長一段時間將工作的重點(diǎn)放在風(fēng)險識別和評估上。在2010年月初，我國頒布實(shí)施了《企業(yè)內(nèi)部控制基本規(guī)范》，其中對風(fēng)險識別、風(fēng)險分析、風(fēng)險承受能力以及風(fēng)險水平等方面進(jìn)行闡述。

二、SAP信息系統(tǒng)下內(nèi)部控制具體措施

（一）建立用戶管理制度

企業(yè)應(yīng)當(dāng)建立相關(guān)的系統(tǒng)管理制度，做好權(quán)限設(shè)置，對系統(tǒng)開發(fā)、運(yùn)行以及維護(hù)方面做出明確的規(guī)定，將崗位職責(zé)和義務(wù)相結(jié)合，有要加強(qiáng)對重要業(yè)務(wù)系統(tǒng)訪問權(quán)限的管理，從而避免同一用戶具備不相容的職責(zé)。如果有員工離職或者換崗，需要對SAP系統(tǒng)的權(quán)限進(jìn)行修改和重新設(shè)定，從而保證企業(yè)信息系統(tǒng)運(yùn)行的安全性，避免出現(xiàn)授權(quán)不當(dāng)?shù)默F(xiàn)象。如果需要增加或者變更用戶，需要嚴(yán)格按照相關(guān)的順序和流程來變更系統(tǒng)的記錄和實(shí)施，該過程需要經(jīng)過不同管理層的審核批準(zhǔn)。此外，對系統(tǒng)中的賬號應(yīng)當(dāng)進(jìn)行定期的審閱，從而避免存在授權(quán)不當(dāng)后者非授權(quán)用戶在系統(tǒng)中進(jìn)行查閱和管理。

（二）分工職責(zé)，審批授權(quán)

企業(yè)如果使用SAP信息管理系統(tǒng)，內(nèi)部控制應(yīng)當(dāng)采用人工和系統(tǒng)結(jié)合的方式進(jìn)行審批和分工。首先，企業(yè)要充分了解自身的特點(diǎn)和流程，從而制定可行的審批控制制度和崗位分離制度，針對這些制度要求，應(yīng)當(dāng)在SAP系統(tǒng)中對賬戶和權(quán)限進(jìn)行合理地設(shè)置，以授權(quán)審批和崗位分離的方法通過SAP系統(tǒng)自動進(jìn)行企業(yè)的內(nèi)部控制。在SAP中，權(quán)限的設(shè)置內(nèi)容應(yīng)包含如下幾個部分：賬號—角色—權(quán)限對象—事務(wù)代碼。權(quán)限對象的值定義了事務(wù)代碼，然后若干個事務(wù)代碼組成了一個角色，最后可以對某一個賬號賦予其一定的角色。同時，企業(yè)可以針對企業(yè)業(yè)務(wù)的實(shí)際情況，對角色進(jìn)行創(chuàng)建、整合等操作來優(yōu)化企業(yè)權(quán)限的管理。如果SAP系統(tǒng)中的角色包含的職責(zé)能夠滿足這些崗位的職責(zé)要求，那么管理員可以直接將這些角色賦予這些賬號。如果SAP系統(tǒng)中的角色中包含的職責(zé)不能滿足這些請求和審批的職責(zé)，那么企業(yè)則應(yīng)該創(chuàng)建和整合相應(yīng)的角色，從而滿足這些賬號的職責(zé)。

（三）加強(qiáng)信息系統(tǒng)的應(yīng)用控制

應(yīng)當(dāng)建立具有針對性的具體應(yīng)用輸入、處理、輸出控制方法。系統(tǒng)中具有自動校驗(yàn)功能，這樣可以有效地保證數(shù)據(jù)的合理性和正確性。針對一些業(yè)務(wù)量大數(shù)據(jù)有共性的事務(wù)，可以采取系統(tǒng)自動處理以減少人為操作并提高準(zhǔn)確性.例如：SAP中就有可以自動清賬的設(shè)置，當(dāng)然也可以根據(jù)企業(yè)的需求設(shè)置自動付款安排. 另外，企業(yè)應(yīng)當(dāng)建立用戶管理制度，保證在授權(quán)范圍內(nèi)不同權(quán)限的用戶能夠正常地處理相應(yīng)的業(yè)務(wù)。各個用戶的操作日志由不同權(quán)限的用戶進(jìn)行設(shè)置，記錄用戶操作的詳細(xì)情況，留下審計線索。只有授權(quán)的人才能夠在系統(tǒng)中實(shí)施操作并且自動登記輸出記錄，實(shí)現(xiàn)電子數(shù)據(jù)有效追蹤。

三、SAP環(huán)境下實(shí)施內(nèi)部控制應(yīng)該注意的問題

作為一款ERP軟件，SAP不但能夠提高企業(yè)的內(nèi)部控制水平，同時可能會對企業(yè)的內(nèi)部控制帶來一定的風(fēng)險。

（一）SAP需要保障信息安全

信息系統(tǒng)是SAP的基礎(chǔ)，因此能夠保證信息的安全性是最為關(guān)鍵和基本的問題。在信息管理系統(tǒng)背景下，需要依靠設(shè)置流程節(jié)點(diǎn)和權(quán)限角色來實(shí)現(xiàn)內(nèi)部控制，一旦存在設(shè)置流程不合理的情況那么就會出現(xiàn)權(quán)限分配不合理，數(shù)據(jù)接口混亂，這會導(dǎo)致內(nèi)部控制的效果大打折扣，甚至?xí)：Φ男畔⑾到y(tǒng)的安全。此外，信息系統(tǒng)容易受到非法病毒的入侵和侵害，一旦數(shù)據(jù)被惡意盜取或攻擊，會丟失大量系統(tǒng)數(shù)據(jù)，為企業(yè)帶來極大的風(fēng)險。

（二）SAP軟件需要不斷的再開發(fā)和完善

企業(yè)在實(shí)施SAP的某一部分產(chǎn)品之后，隨著企業(yè)內(nèi)外經(jīng)營環(huán)境的變化，內(nèi)控需求會要求做出相應(yīng)的調(diào)整，需要對ERP系統(tǒng)軟件進(jìn)行不斷更新和流程再造，增加了系統(tǒng)的轉(zhuǎn)換成本、內(nèi)控成本和人員培訓(xùn)成本。

四、結(jié)束語

SAP不但是一個信息管理系統(tǒng)，同時也是企業(yè)管理的重要手段，應(yīng)用該系統(tǒng)實(shí)施內(nèi)部控制能夠有效地提高企業(yè)管理效率，但是同時也為企業(yè)帶來的風(fēng)險和挑戰(zhàn)。在應(yīng)用SAP信息管理系統(tǒng)中，應(yīng)當(dāng)不斷優(yōu)化內(nèi)部控制手段，盡量降低系統(tǒng)本身的風(fēng)險，從而保證企業(yè)管理效果，為企業(yè)創(chuàng)造更多的經(jīng)濟(jì)效益。

參考文獻(xiàn)：

[1]林柳燕.SAP信息系統(tǒng)環(huán)境下內(nèi)部控制之思考[J].中國管理信息化，2016.

[2]王鳳翼.信息系統(tǒng)環(huán)境下電網(wǎng)企業(yè)提高內(nèi)部控制管理水平的對策思路[J].中國管理信息化，2016.