本站小編為你精心準備了SAP信息系統環境下內部控制思考參考范文，愿這些范文能點燃您思維的火花，激發您的寫作靈感。歡迎深入閱讀并收藏。

［摘要］

現代企業制度非常重視信息系統在內部控制中的作用。國網系統內企業在進行內部控制管理中，大多采用先進的ERP管理系統———sap成熟套裝軟件進行管理，因它有其獨特的特點。本文提出如何在SAP系統環境中實施內部控制的一些具體的措施以及分析應用信息系統實施內控應注意的一些問題。通過對基于SAP的內部控制的研究，探討一些國網系統內企業在信息系統環境下進行內部控制的思路。

［關鍵詞］

內部控制；SAP；信息系統

1企業內部控制理論的發展

內部控制是一個古老而又充滿活力的話題，其邏輯出發點在于“修己”，“修己”就是自我治理，這也是企業法人治理結構的精髓所在，通過一套由點、線、面結合而成的自我調節與約束的控制系統，規避風險，持續發展。內部控制理論的發展經歷了內部牽制階段、會計控制階段、內部控制階段、全面風險管理階段等。1992年COSO委員會在的《內部控制———整合框架》中對內部控制的定義是：“公司的董事會、管理層及其他人士為實現以下目標提供合理保證而實施的程序：運營的效益和效率，財務報告的可靠性和遵守適用的法律法規。”內部控制包括五要素：內部環境、風險評估、控制活動、信息與溝通、內部監督。2004年COSO委員會的《企業風險管理———整合框架》對當代企業內部控制研究具有深遠進步意義。該框架將原來的內部控制目標拓展為四個，即在原有三個目標的基礎上增加了戰略目標；并將框架的要素從原來的五個增加到八個，即內部環境、目標設定、事項識別、風險評估、風險應對、控制活動、信息與溝通、監控。但是兩個框架都包含了“信息與溝通”這個要素。信息系統作為企業信息溝通的重要組成部分，應當受到企業足夠的重視。我國內部控制的研究起步較晚，但發展較快，主要是借鑒以美國COSO報告為代表的國際內部控制框架并結合中國國情。2008年6月28日，財政部會同證監會、審計署、銀監會、保監會制定并印發《企業內部控制基本規范》（下稱“內控規范”）。自2009年7月1日起在上市公司范圍內施行，同時鼓勵非上市的大中型企業執行。內控規范要求企業建立內部控制體系時應符合以下目標：①合理保證企業經營管理合法合規、資產安全、財務報告及相關信息真實完整；②提高經營效率和效果；③促進企業實現發展戰略。內控規范借鑒了以美國COSO報告為代表的國際內部控制框架，并結合中國國情，要求企業所建立與實施的內部控制，應當包括下列五個要素：①內部環境；②風險評估；③控制活動④信息與溝通；⑤內部監督。在頒布了內控規范之后，財政部陸續起草了一系列的內部控制配套指引征求意見稿，這些配套指引對于如何指導企業落實和實施內控基本規范將作出進一步的明確說明。總則第7條指出：“企業應當運用信息技術加強內部控制，建立與經營管理相適應的信息系統，促進內部控制流程與信息系統的有機結合，實現對業務和事項的自動控制，減少或消除人為操縱因素。”第41條指出：“企業應當利用信息技術促進信息的集成與共享，充分發揮信息技術在信息與溝通中的作用。企業應當加強對信息系統開發與維護、訪問與變更、數據輸入與輸出、文件儲存與保管、網絡安全等方面的控制，保證信息系統安全穩定運行。”

2SAP信息系統下的內部控制基本要素

隨著信息技術的快速發展，國網公司意識到應用國際先進的成熟套裝軟件系統可以大大提升企業的信息化水平、企業管理能力和集約化水平。SAP是一套管理理念。通過流程設置，權限分配等操作設置，可以形成企業的一套相對穩定而且動態發展的管理控制系統。SAP作為一個復雜的信息系統，如何在新技術環境下優化企業內部控制，提升企業治理水平，是一個值得研究的課題。

2．1內部環境對于采用SAP進行管理的系統內企業來說，SAP系統與企業各個業務單元都有著密切的聯系，所以在分析內部環境時，應該將SAP系統作為內部環境的組成部分，予以重點關注。2．1．1治理層SAP系統具有投資大、建設周期長的特點。治理層應該重視系統的戰略規劃，尋求市場上能夠滿足企業需求的開發商。經理層應加強與軟件開發供應商的溝通，正確地把企業的開發需求提交開發商，防止開發出來的軟件與企業的需求不一致而導致開發失敗和資源浪費。

2．1．2規章制度SAP系統是一套復雜的系統，企業在制定有關規章制度的同時，應該針對企業的業務和SAP實施情況，制定SAP的操作和使用手冊，便于業務人員在實際操作過程中能隨時查閱，從而按照正確的流程進行業務操作。

2．1．3人力資源政策系統上線后，人力資源部門應組織全員的基本操作培訓和關鍵用戶的高級系統培訓，使企業員工能正確地使用SAP系統，在進行具體的業務操作時能進行正確的操作。

2．2風險評估企業在經營過程中，應當由SAP專業人士持續地收集和分析SAP運行過程中存在的風險，并對該風險進行評估。企業對SAP風險的評估，應該包括SAP系統本身風險和企業在實際運行過程中存在的風險。

2．3控制活動在對相關風險進行評估之后，企業應當針對評估的結果，確認一般風險、中等風險、重大風險，針對不同等級的風險和企業自身的風險承受能力，采取相應的風險應對措施，控制措施一般包括：不相容職務分離控制、授權審批控制、會計系統控制、財產保護控制、預算控制、運營分析控制和績效考評控制等。

2．4信息與溝通企業的信息與溝通制度，應該明確內部控制信息的搜集、傳遞和分析程序，從而確保信息在企業內部能及時的傳遞，保證內部控制的有效運行。作為企業運行的信息系統，SAP應該成為一個重要的信息系統，為企業的溝通提供良好的保障和支持。企業在運用SAP進行信息溝通時，應設定各部門之間的信息溝通渠道，確保信息能夠在公司內部及時、合理傳遞。同時企業應當運用信息系統促進信息的集成與共享，充分發揮信息技術的信息與溝通作用，加強對信息系統的開發與維護、訪問與變更、數據輸入與輸出、網絡安全等方面的控制，保證信息系統安全穩定運行。

2．5內部監督企業內部監督包括日常監督和專項監督。內部審計人員在對公司進行內部審計的同時，也應該對企業的SAP系統進行控制測試，檢查企業的SAP系統是否正常運行、是否在處理數據時存在缺陷。通過SAP系統的權限設置，監督人員可以在系統中看到某些控制活動的執行過程，從而可以在系統中對這些過程進行及時的監督，提高企業內部監督的質量。

3SAP信息系統下內部控制具體措施

3．1建立用戶管理制度企業應當合理設置權限，建立信息系統開發、運行與維護的崗位責任制度和不相容職務分離制度，加強對重要業務系統的訪問權限管理，避免將不相容職責授予同一用戶。對于換崗或者離職員工的SAP系統權限，及時修改，防止授權不當，保護企業信息系統的安全。用戶需新增權限或變更權限，應建立標準流程來實施和記錄系統變更，保證變更過程得到適當的授權與管理層的批準。另外，企業應當定期對系統中的賬號進行審閱，避免存在授權不當或非授權用戶。

3．2進行職責分工和授權審批對于采用SAP進行管理的企業，應該采用人工控制和系統控制相結合的方式進行分工和審批的控制。企業首先應該根據企業業務的流程和特點，制定相關的崗位分離制度、授權審批制度。然后針對這些崗位分離和授權審批的要求，在SAP系統中設置相關的賬戶和權限，通過SAP系統自動對崗位分離和授權審批這兩個內部控制點進行管理。在SAP中，權限的設置內容應包含如下幾個部分：賬號—角色—權限對象—事務代碼。權限對象的值定義了事務代碼，然后若干個事務代碼組成了一個角色，最后可以對某一個賬號賦予其一定的角色。同時，企業可以針對企業業務的實際情況，對角色進行創建、整合等操作來優化企業權限的管理。如果SAP系統中的角色包含的職責能夠滿足這些崗位的職責要求，那么管理員可以直接將這些角色賦予這些賬號。如果SAP系統中的角色中包含的職責不能滿足這些請求和審批的職責，那么企業則應該創建和整合相應的角色，從而滿足這些賬號的職責。

3．3加強信息系統的應用控制針對具體應用的輸入、處理和輸出建立相應的控制。通過系統的自動校驗等功能保證輸入數據的正確性和合理性。建立健全用戶管理制度，確保不同權限用戶在授權范圍內運用信息系統進行業務處理。設置系統自動記載各個用戶的操作日志，詳細記錄各用戶執行的操作，留下審計線索。設置只有授權的人才能執行輸出操作，并自動登記輸出記錄。

4SAP環境下實施內部控制應該注意的問題

SAP作為一款ERP軟件，在提高企業內部控制水平的同時，也對企業內部控制帶來了一些風險。

4．1SAP需要保障信息安全SAP是以信息系統為依托的，所以信息安全問題也是最基本和最關鍵的問題。SAP環境下，內部控制主要依靠流程節點的設置和權限角色的設置來實現，如果流程設置不當，權限分配不合理，數據接口混亂，將大大影響內部控制的效果。另外，系統容易受到外部的非法入侵和病毒的侵害，導致企業數據被盜、商業秘密泄漏，或者系統數據丟失。

4．2SAP軟件需要不斷的再開發和完善企業在實施SAP的某一部分產品之后，隨著企業內外經營環境的變化，內控需求會要求做出相應的調整，需要對ERP系統軟件進行不斷更新和流程再造，增加了系統的轉換成本、內控成本和人員培訓成本。

總之，SAP是一個信息平臺，更是一套管理思想，作為企業內部控制載體，改變了企業內部控制的形式和效果，同時也帶來了風險和挑戰。企業在利用SAP作為內部控制工具既要充分利用系統的優勢，貫徹企業管理思想，優化內部控制手段，也要注意規避和降低系統本身所具有的風險，切實保障系統平穩運行，切實為企業內控帶來效益。

主要參考文獻

［1］美國COSO委員會．內部控制———整合框架［M］．方紅星，譯.大連：東北財經大學出版社，2008．

［2］美國COSO委員會．企業風險管理———整合框架［M］．方紅星，譯.大連：東北財經大學出版社，2005．

［3］姜禾．價值鏈內部控制———SAP系統應用為例［J］．科技信息：科學教研，2008（2）．

［4］呂華．ERP環境下的企業內部控制思考［J］．時代經貿：下旬刊，2008（12）．

［5］張強．芻議會計信息化條件下加強企業內部控制問題［J］．商業經濟，2010（12）．

［6］奕娜．ERP系統環境下企業內部會計控制探討［J］．會計之友，2007（6）．

作者：林柳燕 單位：國網福建省電力有限公司財務服務中心