Internal control framework for a compliant ERP
Abstract: After the occurrence of numerous worldwide financial scandals, the importance of related issues such as internal control and information security has greatly increased. This study develops an internal control framework that can be applied within an enterprise resource planning (ERP) system. A literature review is first conducted to examine the necessary forms of internal control in information technology (IT) systems. The control criteria for the establishment of the internal control framework are then constructed. A case study is conducted to verify the feasibility of the established framework. This study proposes a 12-dimensional framework with 37 control items aimed at helping auditors perform effective audits by inspecting essential internal control points in ERP systems. The proposed framework allows companies to enhance IT audit efficiency and mitigates control risk. Moreover, companies that refer to this framework and consider the limitations of their own IT management can establish a more robust IT management mechanism.
1.Introduction
The popularity of information technology (IT) applications has increased reliance on computers for processing business transactions. Companies adopt IT systems to improve their operations. Surveys on the collaborative operations of IT systems conducted by the Market Intelligence and Consulting Institute [42] indicate that the enterprise resource planning (ERP) system is the most widely adopted IT system among large companies. Given that ERP is a popular and all-encompassing information system utilized by many organizations and because of the increased consideration of the risks associated with IT, information system security and internal control related to information systems have greatly increased [17,45,63,75]. The Committee of Sponsoring Organizations of the Treadway Commission (COSO) defines internal control as lsquo;lsquo;a process, effected by an entityrsquo;s board, management, and other personnel, designed to provide reasonable assurance regarding the achievement of objectives such as effectiveness and efficiency of operation, reliability of financial reporting, and compliance with regulationrsquo;rsquo; [15]. The internal control related to information systems is commonly referred to as IT control and is composed of controls (i.e., policies and procedures) over the organizational IT infrastructure and systems [47,63]. IT control consists of general and application controls. General controls refer to the relevant controls designed to ensure that an entityrsquo;s control environment is well managed and applied to all sizes of systems ranging from large mainframe systems to client/server systems and to desktop and/or laptop computer systems. Application controls include input, processing, and output control based on the flow of data processing. In other words, application controls focus on the accuracy, completeness, validity, and authorization of the data captured, entered in the system, processed, stored, transmitted to other systems, and reported [54]. Further, general controls can be used to support the application controls and, hence, allow the smooth operation of the information system [22].Given that financial reporting in many entities is based on information systems such as ERP systems, IT controls help entities achieve the objective of internal control. Similar to information security, IT controls can also manage and protect information and information systems from unauthorized access, use, disclosure, disruption, modification, or destruction [68].An attack on information generally leads to the theft of confidential data, financial fraud, incapacitated web servers, and corrupted operational data [27], which all influence the accuracy and reliability of the financial data derived from the information system [75].If entities fail to establish proper information security, they cannot guarantee the accuracy and reliability of their financial data [51]. ERP built-in control features may positively impact the effectiveness of internal controls over financial reporting. However, ERP does not necessarily safeguard against some deliberate system manipulations, for example, a few control features might not be activated in a timely manner in the implementation stage [45]. Further, to manipulate the date to perform earnings management, top managers may attempt to override some control features [6].
Following a number of reported business scandals,investors are beginning to question the accuracy of financial reports, including those generated by major companies around the world. In fact, investor confidence in the accuracy of financial reports and the shared holding positions of large companies has collapsed over recent years [56]. Durfee [18] emphasizes that an announcement of material weakness in the internal control system may result in a drop in stock prices, an increase in share volume,and the loss of chief financial positions. Goel and Shawky [26] also indicate that announcements of security breaches would decrease the market share of firms. Conversely, effective internal control can help firms to achieve their expected financial goals, maintain precise records of daily transactions, and produce accurate financial statements [20]. The accuracy and reliability of data within the ERP system are critical to ensure the transparency of the companyrsquo;s situation at all times, to help rebuild investor confidence, and to ensure low cost of capital [3]. Software vendors establish lsquo;lsquo;built-inrsquo;rsquo; control within ERP systems [45]. Companies also have an internal control framework in their ERP systems. Management is required to establish the framework, especially when a company is publicly listed.Companies constantly audit the effectiveness of their ERP systemrsquo;s internal control.Thus, an increasing number of companies have started to focus on the implementation of effective controls in their ERP syste
全文共23210字,剩余内容已隐藏,支付完成后下载完整资料
兼容的企业管理系统的内部控制框架
摘要:在发生了众多的全球财务丑闻之后,内部控制和信息安全等相关问题的重要性已大大增加。本文研究开发了一个内部控制框架,可以应用在企业ERP系统中。文献综述被首先用来检验在IT系统中内部控制的必要形式。随之,建立内部控制框架的标准也被提出。然后进行案例分析,来验证所建立框架的可行性。本文提出了一个12维的框架与37个控制项目,旨在通过对ERP系统中关键控制点的检测,来帮助审计师进行有效的审计。该框架可以使得公司提高审计的效率并降低控制的风险。此外,那些使用这一框架并考虑到自身IT管理局限性的公司可以建立一套更完备的管理机制。
- 简介
信息技术的普遍应用已经越来越依赖于计算机进行业务交易处理。公司通过运用IT系统来提高公司的运作水平。由市场情报和咨询研究所进行的信息系统协同运作的调查指出是ERP系统是大型公司中最广泛采用的系统之一。ERP是一个受欢迎的、无所不包且被多个公司采用的信息系统,出于与它相关的风险增加的考虑,信息系统的安全性与相关信息系统的内部控制有了很大程度的提高。COSO将内部控制定义为一个过程,被一个主体的董事会、管理人员和其他人员影响,旨在为实现目标,如有效性和效率,财务报告的可靠性,以及符合规定的目标提供合理的保证。与信息系统相关的内部控制通常被称为IT控制,它是由对组织的基础设施和系统的控制(即政策和程序)组成的。IT控制由一般控制的和应用程序控制组成。一般控制是指为了确保一个实体的控制环境管理良好,适用于所有尺寸范围从大型主机系统,该系统的相关控制新台币/服务器系统和台式电脑和/或笔记本电脑系统。应用控制包括基于数据处理流程而进行的输入、处理和输出控制。换言之,应用程序控制重点放在捕获的数据的准确性、完整性、有效性和授权,在系统中输入、处理、存储、传输到其他系统,并且进行报告。此外,一般的控制可以用来支持应用程序控制,因此,要保持信息系统的顺利运作。鉴于许多公司的财务报告是基于信息系统(如ERP系统)而产生的情况,IT控制帮助公司达到内部控制的目的,类似于信息安全,IT控制也可以管理和保护信息免受未经授权的访问、使用、披露、破坏、修改或破坏。对信息的攻击通常会导致机密数据泄露,金融诈骗盗窃,Web服务器丧失服务能力,并使操作数据损坏,从而影响信息系统提供的财务数据的精度和可靠性。如果公司没有采用正确的的信息安全措施,则系统不能保证其财务数据的准确性和可靠性。ERP内置的控制功能,可以对财务报告内部控制的有效性产生积极的影响。然而,对一些蓄意的系统操作并不一定有绝对的保障,例如,在实施阶段,一些控制功能可能无法及时激活。此外,要操纵时间来进行资金的盈余管理,最高管理者可能试图覆盖一些控制功能。在一些报道的商业丑闻之后,投资者们开始质疑财务报告的准确性,包括世界各大公司所生成的财务报告的准确性。事实上,在最近几年,投资者对财务报告的准确性和大型公司的共享控股地位的信心已经崩溃。德菲强调内部控制制度重大缺陷的公告可能导致股票价格下跌,股票数量的增加,以及首席财务地位的丧失。Goel和肖基也表明内控制度的安全漏洞公告会降低企业的市场份额。相反,有效的内部控制可以帮助企业达到预期的财务目标,保持日常交易的精确记录,并产生准确的财务报表。在任何时候,ERP系统数据的准确性和可靠性,对于确保公司的运行情况,重建投资者的信心,并确保低成本资本都是至关重要的。软件厂商在ERP系统中建立了#39;built-in”控制。公司在其企业的ERP系统中也有一个内部控制框架。管理需要建立框架,特别是当一个公司要公开上市的时候。公司不断审核其ERP系统内部控制的有效性。因此,越来越多的企业开始关注于对他们的ERP系统实施有效的控制,同时也提供管理和适合电子企业内部控制系统内部控制框架的外部审计。COSO在1992年发布了一份题为“内部控制整体框架”的文章来试图说明一个系统框架的内部控制。然而,该报告没有列出对于IT控制在实施和评估方面的补充标准。涉及到具体的控制项目将允许管理层和审计师来执行它的控制程序。然而,IT控制程序,不仅控制在实体内的环境,也控制它涉及到的外部环境。此外,鉴于政府在使用它的最低限度的合规性指导,其范围和性质的解释是不一致的。这些限制增加了合规性的难度。对于为了充分发挥ERP系统的有效性而部署适当的内部控制框架的重要性,只有少数的专业研究已经进行了评估。因此,这项研究得出了其主要的研究问题:在审计ERP系统时哪种内控类型是必须要考虑的?本研究的主要目标是开发一个初步的内部控制框架,用于应用程序的系统。
- 研究背景
随着对IT在来源于信息系统中的管理知识产生的作用的逐步认识使生产的准确和相关的信息成为信息的研究重点,如会计信息系统(AIS)和管理信息系统(MIS)。IT管理最近已经被讨论,并已获得关注;IT治理是“被用来描述人与委托单位治理会考虑在监督,监测,控制,和方向的实体”。定义良好的控制被认为是IT治理必要的一部分。本研究试图通过提出的内部系统的控制框架来对ERP系统建立良好的内部控制标准。
2.1系统安全与ERP系统的内部控制
越来越多的公司依赖于通过ERP系统来进行企业的业务交易。因此,信息系统的安全性必须强调和保证,特别是在金融交易方面。沃尔特斯指出,许多信息系统的威胁,如未经授权的访问和系统漏洞攻击,都影响来自财务数据信息系统的数据的准确性和可靠性。进行信息安全保护和控制IT资源,并要确保信息的准确性和可靠性。Van de里特等人注意一些与企业有关的ERP系统相关联的安全方面;这些方面包括安全策略、用户身份验证、授权、时间限制、日志和跟踪、以及数据库安全。信息安全控制是维护信息系统资源的可靠性和财务数据的可用性和完整性。因此,信息安全控制与信息安全和内部控制是紧密联系在一起的。在众多的全球财务丑闻的发生之后,公司管理团队和审计人员现在必须对他们的财务报告负起责任。在这十年中,一直在强调内部控制的有效性。如果公司缺乏适当的信息安全等级和类型,他们就无法保证内部控制的有效性和财务数据的完整性。因此,对管理层和审计师来说,在ERP系统中识别关键控制点是一个重要的最开始就需要完成的任务。
2.2系统中的审计和检验挑战
对一个公司而言,一个新的信息系统的引入会产生新的风险,这种风险不同于传统框架而产生的风险:这种伴随新框架产生的风险与原始系统产生的风险并不相似。业务流程重组和引入新系统所带来的组织变革,也可能导致公司对ERP系统控制要求的变化。一般包含的问题经常是与系统相关联的。这些问题包括业务中断,过程中相互依存、网络安全、数据库安全、应用安全,和整体内部控制等。因此,许多关键方面的风险控制环境必须要考虑。格洛弗等人建议内部审计员基于他们对风险管理的认识和对公司ERP系统内部风险的介绍来考虑系统计划所需的有关风险及控制方法。审计人员和检查人员应先了解ERP系统的基本架构,并通过它有效地进行内部控制。在IT环境的综合应用,“#39;owning”控制框架可以帮助审计人员评价它的有效性,控制和决定审计策略和程序。控制框架还可以提高控制评估的效率,并减轻审计师的审计风险。
2.3内部控制框架
在一个公司,管理层和审计师必须遵循一个合适的和全面的内部控制框架,以确保内部控制的有效性。COSO发布了一份题为“内部控制整体框架”,建议公司、审计师、调节机构和教育机构利用本报告。报告的概念模型表明,内部控制目标需要五个组成部分的控制,即控制环境,风险评估,控制活动,信息与沟通和监督。然而,由COSO提供的框架关注对内部控制高水平的指导,不提供详细的控制目标,使得审计人员需要再进行审计测试。此外,该框架没有解决特定的IT的风险和复杂性。一个组织和它的审计师需要一个全面的框架来正确地适应当前的审计环境并遵守法规。涉及信息系统的交易要求特定的控制标准和标准,因为业务交易的电算化导致了审计证据的数字化,导致了审计跟踪的困难。因此,它的内部控制通常包括以下步骤:(1)一般控制,是指与EDP相关的控制措施;及(2)根据数据处理的流程,应用控制或输入、处理和输出控制的部门。
在这个数字时代,在一个特定公司信息安全的缺失意味着整个公司是建立在薄弱的基础之上,它不可能逃过任何相关的内部控制测试。企业内部的信息系统需要大量的内部控制,由于IT的普遍实施和最小化问题的需要。如果没有适当的指导,现代系统的复杂性可能超过审计师和管理层的复杂性。因此,审计师和管理层应该增加他们对IT环境和相关流程和控制的理解,因为他们必须定期执行控制程序。鉴于目前使用的2种控制类型不能有效或完全调节内部控制框架的稳定性的情况,特别是当纳入在当前信息系统的时候,许多机构已经建立了自己的信息安全标准。一系列的标准和准则,如英国标准(BS7799)和信息及相关技术的控制目标(COBIT)是受雇于组织。COBIT的补充COSO框架在itintensive环境[ 33,53 ]内部控制和平衡的风险评估。黄等人建立了一个控制评价模型,包括控制目标。参照特定的控制项目,允许管理层和审计师执行控制程序。然而,尽管部署适当的内部控制框架的重要性,只有一些学术研究已经进行了充分发展的有效性的企业管理系统。本研究旨在开发一个初步的内部控制框架,用于应用程序的系统,以弥补这一差距。
本研究中研究流程利用基于V结构由金盛开发的理论策略(图1)。该结构的两侧面之间的相互作用(即,西奥理论和方法)合并相关的概念和方法提出了要实现的研究目标[ 48 ]。以下列出的程序在“理论性”的一面,与之相关的项目控制我总结了以前的研究。一个文献回顾,从而进行了一个企业相关的系统的内部控制框架的发展。为此,在文献回顾中进行了2步:收集文献只读相关源和进行编码程序。具体而言,相关文献收集来自以下来源:
- 公司内部使用的IT控制。收集的数据预计将在公司内部使用的范围,可以与现有的内部控制制度编制到企业信息系统;
(2)信息安全的组织章程。本研究所指的法规和标准体系,和BS7799尤其包括所有信息系统。两个引用都很重要,因为他们已经被全球许多公司使用。
(3)学术文献。
随着初步构建的理论模型和之前进行的案例研究的完成,控制项目的建立要符合应用程序的模型企业系统的要求。在这一过程中,管理专家进行问卷调查。专家问卷调查的主要目的是保证和提高每一个测量的内容效度和BRIDGE的文献和实际应用之间的差距控制项。 分别对测量结构和项目指标进行了筛选,确定了内部控制中普遍存在的问题,提高了检测过程和质量是更深的见解。接下来,按照程序进行“实际”的一面,一个实证案例研究进行探讨提出的框架来自文献综述的可行性以及问卷调查。案例研究包括“怎样”和“为什么”的问题[ 79 ]和一个预先确定的公司被选定为个案进行研究。此外,案例研究包括设计,准备,收集,分析和共享的步骤。不仅是在设计步骤中确定的情况下设计,也要在在这一步骤中详细描述该单元的案例研究。
- 构建企业内部控制系统的初步框架
科学数据库直接进行搜索的相关学术文献。此搜索的主要标准包括以下项目:
- 关键词和摘要必须有#39;#39;information安全”或“内部控制”的字眼;
- 文学必须与信息领域相关;
- 研究应该是在2003年和2007年之间发表的,因为众多的财务丑闻发生在2002年以后,在此期间内部控制问题处于最前沿。因此,提出了几项规定,要求管理层评估他们企业的内部控制,并且审计师也被提出要求进行评估报告以确定其客户的内部控制是否充分。
概念化的结果从基于上述标准的30个相关出版物中收集。所收集的结果如表1所示。还进行了详细的分析,形成了一个完整的、一致的内部控制项目列表。基于文献回顾,构建了初步模型。整个过程大致分为三个步骤:(1)开放式编码,(2)轴编码,和(3)选择性编码。
- 企业系统内部控制的实证研究
本节提供了一个案例公司所采用的的做法的简短说明。选定的公司成立于1996,并致力于无线通信产品的开发和制造。公司旨在改善技术,立志通过努力研究和开发成为无线通信领域的世界领导者(研发)。其产品分为三种:卫星通信、移动通信和无线网络设备。
本公司的管理者可以通过其广泛的经验技术背景,根据其在市场上发生的变化来保持他们的产品线相关联的关键技术领先。因此该公司能够开发相关的利基产品,以满足市场的需求,并迅速将电信技术整合到他们的产品线。
本公司为客户提供全面的无线及通讯产品及售后服务。随着新技术的研发重点和广泛的内部发展随附的软件和硬件的发展,该公司设计和开发了它自己的有效产品。事实上,公司已经通过建立一个越来越全面的产品线来达到最佳规模经济。其结果是,该公司能够保持其在无线电信行业的竞争优势。 参加这项研究的会计师被邀请参加这项研究。还进行了访谈,以研究实际公司的业务,收集目前的内部控制信息作为主要数据。该公司被要求提供辅助数据(即相关操作文件和文件),用于分析和综合研究结果。
一个被选择的公众公司,介绍了企业的系统被简化的案例研究。该公司对无线通信产品的研发与制造进行有针对性的采访。该公司实际上取代BAAN计算机系统与Oracle ERP系统是在2006年。受访者包括内部审计主管,其管理两个不同的ERP系统,另一个是助理经理,其在MIS部门维护和部署这两个不同的系统,还有一位是会计公司的计算机审计经理,其对这家公司的信息系统进行审核。这三个人负责企业的审计。这三个人在审计和维护系统方面都有相关的经验和背景。
使用经审计的财务报告的公用公司的个案进行研究。类似于这家电信公司的制造公司,可以被认为是其他行业的公司的代表性的案例。由于这个原因,这种情况下的结果可以被使用,并作为一个单一的情况下使用。具体而言,在准备步骤的情况下研究协议。对本公司的实际操作的主要数据进行了现场收集,而二次数据的利用是本研究的主要目标。此外,对数据进行收集、分析和整理,在整理之前要对那些在内部控制中的专
全文共5859字,剩余内容已隐藏,支付完成后下载完整资料
资料编号:[154443],资料为PDF文档或Word文档,PDF文档可免费转换为Word
以上是毕业论文外文翻译,课题毕业论文、任务书、文献综述、开题报告、程序设计、图纸设计等资料可联系客服协助查找。
