论文部分内容阅读
[摘要]本文首先阐述了COSO框架对ERP软件的全面性要求、完整性要求、精确性要求、有效性要求、受控访问的要求、透明性要求和一致性要求,然后具体分析了目前的ERP软件在哪些方面已经满足了这些要求,在哪些方面没有满足这些要求,应该采取哪些措施才能满足这些要求。
[关键词]COSO框架;完整性;精确性;有效性;受控访问;一致性
[中图分类号]F232 [文献标识码]A [文章编号]1673-0194(2008)08-0005-03
从2002年美国颁布的萨班斯法案到我国财政部最近颁布的企业内部控制基本规范和具体规范,从发展趋势看,内部控制对企业越来越重要。不管是美国萨班斯法案对企业内部控制的要求。还是我国颁布的企业内部控制规范,都采用了COSO的内部控制框架。由于目前企业都采用计算机进行业务处理与业务控制,企业的内部控制制度要通过ERP软件实现才更有效。国内的ERP软件究竟在哪些方面符合COSO框架的要求,哪些方面还有待改进。是本文要探讨的问题。
一、COSO框架对ERP软件的内控要求
根据COSO框架对控制活动的定义,笔者认为它从如下几个方面对ERP软件提出内控要求:
(1)全面性要求。内部控制环节全面,使内部控制深入到每一业务环节。
(2)完整性要求。所有的信息仅被记录或处理一次,每一业务的信息要完整。
(3)精确性要求。信息能够被正确地输入和处理。
(4)有效性要求。业务处理能够被正确授权,并能够被有效的原始凭证支持。
(5)受控访问的要求。只有授权的人才能修改信息,公司的资产能够受到保护,不能被窃取和滥用。
(6)透明性要求。业务处理过程透明、业务处理方法及变化透明、业务权限透明、重要业务发生情况透明。
(7)一致性要求。要求系统各部分处理的数据应当一致。
二、COSO框架对ERP软件要求的具体分析
1、全面性要求
COSO框架对ERP软件的全面性要求具体体现在如下两个方面:
(1)要求ERP软件的模块设置应该管理到企业重要的业务循环,如筹资、投资、销售、采购、生产等。目前的ERP软件对销售、采购、生产等业务循环有管理与控制,但对筹资和投资循环则没有。
(2)要求模块功能的设置应该包括每一循环中的关键控制点,如采购入库、付款等关键控制点。对内部控制来说,完成一个关键点的控制需要很多个审批与检查的步骤,如采购入库的确认,需要各质检部门对采购材料的质量检验,需要库房对采购材料数量的检验等。各部门检验的结果都合格后,才能确认采购入库。目前的ERP软件大多通过审批流的方式,来实现一个业务由多个部门或岗位来控制。有些软件还没有审批流功能。也就无法做到这一点。
2、完整性要求
COSO框架对ERP软件的完整性要求体现在如下两个方面:
(1)要求一个会计期的所有业务都被记录或处理,并且仅记录或处理一次。
1)要求ERP软件的总账模块结账前应该检查所有的凭证是否全部记账。
2)要求ERP软件的其他业务模块结账前应该检查所有的业务单据是否产生凭证且已记账。
第一点所有的ERP软件都做到了。但第二点做到的不多,有些ERP软件其他业务系统结账时,并未检查所有的业务单据是否都已经产生会计凭证。有些ERP软件一个业务单据可能产生多个会计凭证。
(2)要求ERP软件记录每一业务的信息要完整,包括记录谁、什么时候、干什么、为什么干(who,when,what。why)。
ERP软件用某一单据来记录某一业务的信息。单据上的信息基本上能够反映“谁、什么时候、干什么”。但对“为什么干”的信息反映得不够全面。因为,“为什么干”的信息需要其他单据的支持,才能解释清楚,一个会计凭证要有原始凭证的支持,但这种原始凭证可能不止一张,如一个采购材料的付款会计凭证,可能需要付款单、入库单、质量检验单等同时存在,才能完整地支持一个采购付款会计凭证,但目前ERP软件往往都是一个会计凭证仅对应一个原始业务单据。
3、精确性要求
COSO框架对ERP软件的精确性要求体现在如下两个方面:
(1)数据上的精确性要求:
1)要求ERP软件所有输入的信息能够被正确计算。
2)要求ERP软件所有输入的信息如果有逻辑关系的,一定要有满足逻辑关系的校验。
3)要求ERP软件输入信息尽量有提示,既方便输入又可以减少错误。
第一点所有的ERP软件应该都做到了,第二点、第三点有些ERP软件做得好。有些软件尚有欠缺。
(2)时间上的精确要求。要求ERP能够正确地按照会计期来核算。
由于有些ERP软件在业务系统结账时。没有检查本期所有的业务单据是否已经生成会计凭证,因此,也就很难保证当期的业务都已形成了会计凭证。另外,时间上的精确还应有所体现,同一会计期的收入与成本要正确匹配。而有些ERP软件,计算销售成本依据的是当期的出库单,计算销售收入依据的是销售发票,两者不匹配。
4、有效性要求
COSO框架对ERP软件的有效性要求体现在如下几个方面:
(1)要求ERP软件必须有一个有效的功能授权系统:
1)要求ERP软件的授权系统可以授权到菜单级。
2)要求授权有记录(谁授予谁什么权限)。
3)要求授权有审批机制。
4)要求能够输出授权的记录与审批信息。
目前的ERP软件由系统管理员授权给系统的业务操作员,系统管理员可以授任何权限给任何人,没有人监督他,这样不符合内部控制的要求。实际上,授权的应该是一个人,对此授权进行审批应该是另外一个人,从而形成牵制机制。同时也要求ERP软件能够输出什么人、在什么时候、给什么人、授了什么权限,使授权的过程透明。
(2)要求对输入的信息除了有输入功能的授权以外,还应该有数据的授权,如按产品的品种、数量或金额授权。
目前所有的ERP软件都可以按功能授权,也就是说,输入单据的功能可以授予一些操作员,但根据内部控制的要求。这还不够。还应该根据输入的参数进行授权。如按不同产品的品种、数量、单价、金额进行授权,也就是说,某一操作员只能输入某些品种的、一定数量、单价和金额的单据。这一点有些ERP软件还做不到。
(3)要求由公式模板产生的单据不应手工修改,只能删除。
ERP软件中的很多会计凭证都是通过设定的公式模板由已经记账的凭证产生的,这些凭证一经修改,就没有有效单据支持,但目前有些ERP软件对此没有控制。
(4)要求由其他单据产生的单据不应手工修改,只能删除。
与上一条一样。如果由一张业务单据产生的会计凭证 人工做了修改,那么,这张凭证将失去有效的原始凭证支持,目前很多ERP软件已经对此进行了控制,只有少量软件缺少控制。
(5)要求凭证模板的修改与新建要经过审批,修改前的模板作为一个版本留下线索。凭证模板一经使用将不能删除。
ERP软件中的凭证模板是如何将业务单据形成会计凭证的转换模型,相当于一类业务都依据这个模型转换为会计凭证。如果这个模型正确。则所有这类业务的凭证处理就正确,一张一张地再去审凭证意义其实不大。因此,当凭证模板新建与修改时,需要审批,但目前的ERP软件都没有这样做。另外,笔者认为,这也是审计要审的重点。审计时。应该先审企业对某类业务的会计处理是否正确,也就应该审这些会计凭证模板。然后再去抽样。对个别业务进行审计。
(6)要求审批流程的修改与新建要经过审批,修改前的模板作为一个版本留下线索。凭证模板一经使用将不能删除。
企业内部控制制度中规定的审批流程在ERP软件中是通过审批流功能实现的,通过审批流的设置,决定了某一业务执行时,在什么条件下,通过什么岗位审批,才能执行。因此,为了保证每一业务的执行都能经过相同的审批流程,在ERP软件中,审批流在设置和修改时,必须要经过审批。但目前的ERP软件都没有这样做。
(7)要求除原始输入外,每个单据应该有有效的凭证或公式支持(一张凭证可能会有多个原始单据的支持,如应收账款要有发票、发货单或客户的接受单、销售合同或订单支持)。
按照内部控制的要求,一张会计凭证往往需要一张以上原始凭证的支持,而在目前的ERP软件中,一张会计凭证往往只能有一张原始凭证支持。
(8)要求业务单据有审批流支持,审批权限按业务单据上的参数进行审批授权。
这一点具有审批流功能的ERP软件都能够做到。
(9)要求模块功能划分应该合理,以便于授权与监督。
ERP软件都是按照企业的业务循环进行子系统与模块划分的,因此,这一点也基本上能够做到。
5、受控访问要求
(1)要求会计政策的修改必须经过审批后,才能够进行修改(包括固定资产的折旧方法和发出存货的计价方法)。
按照企业会计制度的规定。企业的会计政策一旦执行,一般不允许随便修改。在目前的ERP软件中,会计政策(包括固定资产的折旧方法、发出存货的计价方法)能够随意进行修改,而且修改后,没有任何痕迹。
(2)要求单据的修改不但有修改功能权限的授权,而且有修改单据的参数授权。
业务单据的修改和业务单据的输入一样,不但要求能够按功能权限授权,而且要求能够按修改单据的参数授权,这一点很多ERP软件不能做到。
(3)追溯调整方式的修改,要得到审批(不但要在总账系统进行修改,还要在其他业务系统修改)。
不同的ERP软件有不同的追溯调整的解决方式,有些ERP软件可以做到这一点,有些做不到。
(4)要求信息的输出系统既能按照功能授权输出,也能够按照数据授权输出。
这一点ERP软件基本都能做到。
6、透明性要求
(1)要求业务处理过程的透明:
1)要求输出每种业务的处理流程图。
目前的ERP系统查询某一种单据的能力特别强,但把反映某一业务的几个单据都联系在一起的能力还不令人满意。如对一个销售业务来说,销售订单是一个销售业务的开始。由销售订单应能查到销售的出库单、销售发票和反映此销售业务的会计凭证。但很多ERP软件做不到。
2)要求输出审批流的具体审批流程及应用单据。
因为企业内部控制制度规定的审批流程,在ERP系统中是通过审批流功能来实现的,因此,通过ERP系统输出的具体审批流程及应用单据,才能了解哪些内控制度中规定的审批流程具体应用到了哪些业务上。这是审计人员必须应该了解的。但目前的ERP软件做到这一点的较少。
3)要求输出凭证模板应用的单据。
输出凭证模板应用的单据可以使审计人员了解到哪些业务已经按此凭证模板生成会计凭证,哪些还没有,防止相同业务会计处理方式不同,目前的ERP软件都没有这样做。
(2)要求业务处理方法及变化的透明。要求ERP软件能够输出企业当期所使用的各种会计政策、执行过程、结果及变化情况。
在目前的ERP软件中,当前执行的各种会计政策能够在相应的业务模块查询到,如存货的计价方法,可在存货核算模块查到;固定资产计提折旧的方法,可在固定资产管理模块查到,但不能集中在一处查询。
在目前的ERP软件中,会计政策的修改不需要审批,可较随意地进行修改,修改之后,也不留下任何的痕迹,因此,ERP软件究竟执行了什么样的会计政策,除非审计人员亲自核对数据,否则根本无法知道。
(3)要求业务权限的透明。要求ERP软件能够输出人员的权限和职位图。这种图应该将人员的权限与业务的处理流程相结合,两个不相容的职位能够显示出来。如:
目前的ERP软件没有这样做。
(4)要求输出重要业务的发生情况。要求ERP软件从发生金额和发生频率两方面判断重要业务,以有助于风险识别和判定审计的重点。
目前的ERP软件没有专门判断重要业务的功能,只能通过业务单据的查询功能,人工进行判断。
7、一致性要求
要求ERP软件对相同业务在不同系统反映时。数据应当保持一致。
(1)总账系统的期初数据应当与其他业务系统的期初数据一致。
(2)总账系统的发生数据应当与其他业务系统的发生数据一致。
这一点目前的ERP软件基本都能做到。
[关键词]COSO框架;完整性;精确性;有效性;受控访问;一致性
[中图分类号]F232 [文献标识码]A [文章编号]1673-0194(2008)08-0005-03
从2002年美国颁布的萨班斯法案到我国财政部最近颁布的企业内部控制基本规范和具体规范,从发展趋势看,内部控制对企业越来越重要。不管是美国萨班斯法案对企业内部控制的要求。还是我国颁布的企业内部控制规范,都采用了COSO的内部控制框架。由于目前企业都采用计算机进行业务处理与业务控制,企业的内部控制制度要通过ERP软件实现才更有效。国内的ERP软件究竟在哪些方面符合COSO框架的要求,哪些方面还有待改进。是本文要探讨的问题。
一、COSO框架对ERP软件的内控要求
根据COSO框架对控制活动的定义,笔者认为它从如下几个方面对ERP软件提出内控要求:
(1)全面性要求。内部控制环节全面,使内部控制深入到每一业务环节。
(2)完整性要求。所有的信息仅被记录或处理一次,每一业务的信息要完整。
(3)精确性要求。信息能够被正确地输入和处理。
(4)有效性要求。业务处理能够被正确授权,并能够被有效的原始凭证支持。
(5)受控访问的要求。只有授权的人才能修改信息,公司的资产能够受到保护,不能被窃取和滥用。
(6)透明性要求。业务处理过程透明、业务处理方法及变化透明、业务权限透明、重要业务发生情况透明。
(7)一致性要求。要求系统各部分处理的数据应当一致。
二、COSO框架对ERP软件要求的具体分析
1、全面性要求
COSO框架对ERP软件的全面性要求具体体现在如下两个方面:
(1)要求ERP软件的模块设置应该管理到企业重要的业务循环,如筹资、投资、销售、采购、生产等。目前的ERP软件对销售、采购、生产等业务循环有管理与控制,但对筹资和投资循环则没有。
(2)要求模块功能的设置应该包括每一循环中的关键控制点,如采购入库、付款等关键控制点。对内部控制来说,完成一个关键点的控制需要很多个审批与检查的步骤,如采购入库的确认,需要各质检部门对采购材料的质量检验,需要库房对采购材料数量的检验等。各部门检验的结果都合格后,才能确认采购入库。目前的ERP软件大多通过审批流的方式,来实现一个业务由多个部门或岗位来控制。有些软件还没有审批流功能。也就无法做到这一点。
2、完整性要求
COSO框架对ERP软件的完整性要求体现在如下两个方面:
(1)要求一个会计期的所有业务都被记录或处理,并且仅记录或处理一次。
1)要求ERP软件的总账模块结账前应该检查所有的凭证是否全部记账。
2)要求ERP软件的其他业务模块结账前应该检查所有的业务单据是否产生凭证且已记账。
第一点所有的ERP软件都做到了。但第二点做到的不多,有些ERP软件其他业务系统结账时,并未检查所有的业务单据是否都已经产生会计凭证。有些ERP软件一个业务单据可能产生多个会计凭证。
(2)要求ERP软件记录每一业务的信息要完整,包括记录谁、什么时候、干什么、为什么干(who,when,what。why)。
ERP软件用某一单据来记录某一业务的信息。单据上的信息基本上能够反映“谁、什么时候、干什么”。但对“为什么干”的信息反映得不够全面。因为,“为什么干”的信息需要其他单据的支持,才能解释清楚,一个会计凭证要有原始凭证的支持,但这种原始凭证可能不止一张,如一个采购材料的付款会计凭证,可能需要付款单、入库单、质量检验单等同时存在,才能完整地支持一个采购付款会计凭证,但目前ERP软件往往都是一个会计凭证仅对应一个原始业务单据。
3、精确性要求
COSO框架对ERP软件的精确性要求体现在如下两个方面:
(1)数据上的精确性要求:
1)要求ERP软件所有输入的信息能够被正确计算。
2)要求ERP软件所有输入的信息如果有逻辑关系的,一定要有满足逻辑关系的校验。
3)要求ERP软件输入信息尽量有提示,既方便输入又可以减少错误。
第一点所有的ERP软件应该都做到了,第二点、第三点有些ERP软件做得好。有些软件尚有欠缺。
(2)时间上的精确要求。要求ERP能够正确地按照会计期来核算。
由于有些ERP软件在业务系统结账时。没有检查本期所有的业务单据是否已经生成会计凭证,因此,也就很难保证当期的业务都已形成了会计凭证。另外,时间上的精确还应有所体现,同一会计期的收入与成本要正确匹配。而有些ERP软件,计算销售成本依据的是当期的出库单,计算销售收入依据的是销售发票,两者不匹配。
4、有效性要求
COSO框架对ERP软件的有效性要求体现在如下几个方面:
(1)要求ERP软件必须有一个有效的功能授权系统:
1)要求ERP软件的授权系统可以授权到菜单级。
2)要求授权有记录(谁授予谁什么权限)。
3)要求授权有审批机制。
4)要求能够输出授权的记录与审批信息。
目前的ERP软件由系统管理员授权给系统的业务操作员,系统管理员可以授任何权限给任何人,没有人监督他,这样不符合内部控制的要求。实际上,授权的应该是一个人,对此授权进行审批应该是另外一个人,从而形成牵制机制。同时也要求ERP软件能够输出什么人、在什么时候、给什么人、授了什么权限,使授权的过程透明。
(2)要求对输入的信息除了有输入功能的授权以外,还应该有数据的授权,如按产品的品种、数量或金额授权。
目前所有的ERP软件都可以按功能授权,也就是说,输入单据的功能可以授予一些操作员,但根据内部控制的要求。这还不够。还应该根据输入的参数进行授权。如按不同产品的品种、数量、单价、金额进行授权,也就是说,某一操作员只能输入某些品种的、一定数量、单价和金额的单据。这一点有些ERP软件还做不到。
(3)要求由公式模板产生的单据不应手工修改,只能删除。
ERP软件中的很多会计凭证都是通过设定的公式模板由已经记账的凭证产生的,这些凭证一经修改,就没有有效单据支持,但目前有些ERP软件对此没有控制。
(4)要求由其他单据产生的单据不应手工修改,只能删除。
与上一条一样。如果由一张业务单据产生的会计凭证 人工做了修改,那么,这张凭证将失去有效的原始凭证支持,目前很多ERP软件已经对此进行了控制,只有少量软件缺少控制。
(5)要求凭证模板的修改与新建要经过审批,修改前的模板作为一个版本留下线索。凭证模板一经使用将不能删除。
ERP软件中的凭证模板是如何将业务单据形成会计凭证的转换模型,相当于一类业务都依据这个模型转换为会计凭证。如果这个模型正确。则所有这类业务的凭证处理就正确,一张一张地再去审凭证意义其实不大。因此,当凭证模板新建与修改时,需要审批,但目前的ERP软件都没有这样做。另外,笔者认为,这也是审计要审的重点。审计时。应该先审企业对某类业务的会计处理是否正确,也就应该审这些会计凭证模板。然后再去抽样。对个别业务进行审计。
(6)要求审批流程的修改与新建要经过审批,修改前的模板作为一个版本留下线索。凭证模板一经使用将不能删除。
企业内部控制制度中规定的审批流程在ERP软件中是通过审批流功能实现的,通过审批流的设置,决定了某一业务执行时,在什么条件下,通过什么岗位审批,才能执行。因此,为了保证每一业务的执行都能经过相同的审批流程,在ERP软件中,审批流在设置和修改时,必须要经过审批。但目前的ERP软件都没有这样做。
(7)要求除原始输入外,每个单据应该有有效的凭证或公式支持(一张凭证可能会有多个原始单据的支持,如应收账款要有发票、发货单或客户的接受单、销售合同或订单支持)。
按照内部控制的要求,一张会计凭证往往需要一张以上原始凭证的支持,而在目前的ERP软件中,一张会计凭证往往只能有一张原始凭证支持。
(8)要求业务单据有审批流支持,审批权限按业务单据上的参数进行审批授权。
这一点具有审批流功能的ERP软件都能够做到。
(9)要求模块功能划分应该合理,以便于授权与监督。
ERP软件都是按照企业的业务循环进行子系统与模块划分的,因此,这一点也基本上能够做到。
5、受控访问要求
(1)要求会计政策的修改必须经过审批后,才能够进行修改(包括固定资产的折旧方法和发出存货的计价方法)。
按照企业会计制度的规定。企业的会计政策一旦执行,一般不允许随便修改。在目前的ERP软件中,会计政策(包括固定资产的折旧方法、发出存货的计价方法)能够随意进行修改,而且修改后,没有任何痕迹。
(2)要求单据的修改不但有修改功能权限的授权,而且有修改单据的参数授权。
业务单据的修改和业务单据的输入一样,不但要求能够按功能权限授权,而且要求能够按修改单据的参数授权,这一点很多ERP软件不能做到。
(3)追溯调整方式的修改,要得到审批(不但要在总账系统进行修改,还要在其他业务系统修改)。
不同的ERP软件有不同的追溯调整的解决方式,有些ERP软件可以做到这一点,有些做不到。
(4)要求信息的输出系统既能按照功能授权输出,也能够按照数据授权输出。
这一点ERP软件基本都能做到。
6、透明性要求
(1)要求业务处理过程的透明:
1)要求输出每种业务的处理流程图。
目前的ERP系统查询某一种单据的能力特别强,但把反映某一业务的几个单据都联系在一起的能力还不令人满意。如对一个销售业务来说,销售订单是一个销售业务的开始。由销售订单应能查到销售的出库单、销售发票和反映此销售业务的会计凭证。但很多ERP软件做不到。
2)要求输出审批流的具体审批流程及应用单据。
因为企业内部控制制度规定的审批流程,在ERP系统中是通过审批流功能来实现的,因此,通过ERP系统输出的具体审批流程及应用单据,才能了解哪些内控制度中规定的审批流程具体应用到了哪些业务上。这是审计人员必须应该了解的。但目前的ERP软件做到这一点的较少。
3)要求输出凭证模板应用的单据。
输出凭证模板应用的单据可以使审计人员了解到哪些业务已经按此凭证模板生成会计凭证,哪些还没有,防止相同业务会计处理方式不同,目前的ERP软件都没有这样做。
(2)要求业务处理方法及变化的透明。要求ERP软件能够输出企业当期所使用的各种会计政策、执行过程、结果及变化情况。
在目前的ERP软件中,当前执行的各种会计政策能够在相应的业务模块查询到,如存货的计价方法,可在存货核算模块查到;固定资产计提折旧的方法,可在固定资产管理模块查到,但不能集中在一处查询。
在目前的ERP软件中,会计政策的修改不需要审批,可较随意地进行修改,修改之后,也不留下任何的痕迹,因此,ERP软件究竟执行了什么样的会计政策,除非审计人员亲自核对数据,否则根本无法知道。
(3)要求业务权限的透明。要求ERP软件能够输出人员的权限和职位图。这种图应该将人员的权限与业务的处理流程相结合,两个不相容的职位能够显示出来。如:
目前的ERP软件没有这样做。
(4)要求输出重要业务的发生情况。要求ERP软件从发生金额和发生频率两方面判断重要业务,以有助于风险识别和判定审计的重点。
目前的ERP软件没有专门判断重要业务的功能,只能通过业务单据的查询功能,人工进行判断。
7、一致性要求
要求ERP软件对相同业务在不同系统反映时。数据应当保持一致。
(1)总账系统的期初数据应当与其他业务系统的期初数据一致。
(2)总账系统的发生数据应当与其他业务系统的发生数据一致。
这一点目前的ERP软件基本都能做到。