قالب کنترل داخلي براي سيستم موافق برنامه ريزي منابع سازماني

قالب کنترل داخلي براي سيستم موافق برنامه ريزي منابع سازماني

ترجمه چکيده
پس از وقوع رسوايي هاي مالي متعدد در سراسر جهان، اهميت مسائل مرتبط از جمله کنترل داخلي و امنيت اطلاعات تا حد زيادي افزايش يافته است. اين مطالعه يک چارچوب کنترل داخلي ايجاد مي کند که قابل اعمال در سيستم برنامه ريزي منابع سازماني (ERP) است. در ابتدا بررسي منابع انجام شده تا فرم هاي لازم کنترل داخلي در سيستم هاي فناوري اطلاعات (IT) بررسي شوند. سپس معيارهاي کنترل براي ايجاد چارچوب کنترل داخلي ساخته شده است. مطالعه موردي انجام شده تا امکان سنجي چارچوب توليد شده بررسي شود. اين مطالعه يک چارچوب 12 بعدي با 37 مورد کنترل با هدف کمک به حسابرسان در انجام حسابرسي موثر با بررسي نقاط کنترل داخلي و ضروري در سيستم هاي ERP پيشنهاد مي کند. چارچوب پيشنهادي به شرکت ها اجازه مي دهد تا بهره وري حسابرسي IT را افزايش و خطر کنترل را کاهش دهند. علاوه بر اين، شرکت هايي که به اين چارچوب مراجعه کنند و محدوديت هاي مديريت IT خاص خود را در نظر گيرند مي توانند مکانيزم مديريت IT قوي تر ايجاد کنند.
ترجمه مقدمه
محبوبيت کاربرد فن آوري اطلاعات (IT) اتکا بر کامپيوترها را براي پردازش معاملات تجاري افزايش داده است. شرکت ها سيستم هاي IT را به کار مي گيرند تا عمليات خود را بهبود دهند. نظرسنجي ها بر عمليات مشترک سيستم هاي IT که توسط موسسه مشاوره و اطلاعات بازار [42] انجام شده نشان مي دهد که سيستم برنامه ريزي منابع سازماني (ERP) مورد استفاده ترين سيستم IT در ميان شرکت هاي بزرگ است.
با توجه به اين که ERP يک سيستم اطلاعات محبوب و همه جانبه است که مورد استفاده بسياري از سازمان ها است و به دليل ملاحظه فزاينده خطرات مرتبط با IT، امنيت سيستم اطلاعات و کنترل داخلي مربوط به سيستم هاي اطلاعاتي تا حد زيادي افزايش يافته است [17،45،63،75]. کميته سازمانهاي حامي کميسيون تريدوي ((COSO کنترل داخلي را به عنوان «يک فرايند، تحت تاثير هيئت مديره، مديريت و ساير کارکنان موسسه تعريف کرد که به منظور فراهم کردن اطمينان ناظر بر دستيابي به اهداف از قبيل اثر بخشي و کارايي عمليات، قابليت اطمينان گزارش هاي مالي و انطباق با مقررات طراحي شده است» [15]. کنترل داخلي مربوط به سيستم هاي اطلاعات معمولا به عنوان کنترل IT است و مرکب از کنترل ها (يعني سياست ها و روش ها) بر سيستم ها و زيرساخت هاي IT سازماني است [47،63]. کنترل IT شامل کنترل هاي عمومي و کاربردي است. کنترل هاي عمومي اشاره به کنترل هاي مرتبط طراحي شده دارد تا اطمينان حاصل شود که محيط کنترل سازماني به خوبي مديريت شده و بر هر سيستمي با هر اندازه اي با دامنه بين سيستم هاي پردازنده مرکزي بزرگ تا سيستم هاي کلاينت/سرور و سيستم هاي کامپيوتري دسکتاپ و/يا لپ تاپ اعمال شده است. کنترل هاي کاربردي عبارتند از ورودي، پردازش و کنترل خروجي بر اساس جريان پردازش داده ها. به عبارت ديگر، کنترل هاي کاربردي بر دقت، کامل بودن، اعتبار، و مجوز داده هاي گرفته شده، وارد شده در سيستم، پردازش شده، ذخيره شده، انتقال يافته به ساير سيستم ها و گزارش شده تمرکز مي کند [54]. علاوه بر اين، کنترل هاي عمومي قابل استفاده براي حمايت از کنترل هاي کاربردي هستند و، از اين رو، عمليات آسان سيستم اطلاعات را ممکن مي سازند [22]. با توجه به اين که گزارش مالي در بسياري سازمان ها براساس سيستم هاي اطلاعاتي مانند سيستم هاي ERP است، کنترل هاي IT به سازمان ها کمک مي کند تا به هدف کنترل داخلي دست يابند. مشابه با امنيت اطلاعات، کنترل هاي IT نيز قادر به مديريت و محافظت از اطلاعات و سيستم هاي اطلاعاتي در برابر دسترسي، استفاده، افشاء، اختلال، اصلاح يا تخريب هستند [68].
حمله به اطلاعات به طور کلي منجر به سرقت اطلاعات محرمانه، تقلب مالي، وب سرور هاي ضعيف و داده هاي عملياتي فاسد شده مي گردد [27]، که همگي بر دقت و قابليت اطمينان داده هاي مالي حاصل از سيستم اطلاعات [75] تاثير مي گذارند. اگر سازمان ها موفق به ايجاد امنيت اطلاعات مناسب نباشند نمي توانند صحت و قابليت اطمينان اطلاعات مالي خود را تضمين کنند [51]. ويژگي هاي کنترل ساخت داخلي ERP ممکن است اثر مثبتي بر کارآمدي کنترل هاي داخلي گزارشگري مالي داشته باشد. با اين حال، ERP لزوماً در برابر بعضي دستکاري هاي عمدي سيستم ايمن نيست، مثلاً ممکن است چند ويژگي بهنگام در مرحله پياده سازي فعال نشده باشند [45]. علاوه بر اين، براي دستکاري در تاريخ براي انجام مديريت سود، ممکن است مديران ارشد تلاش کنند تا برخي ويژگي هاي کنترل را ناديده بگيرند [6]. پس از گزارش چند رسوايي کسب و کار، سرمايه گذاران شروع به زير سوال بردن دقت و صحت گزارش هاي مالي کردند، از جمله گزارش هاي مالي ايجاد شده توسط شرکت هاي بزرگ در سراسر جهان. در حقيقت، اعتماد سرمايه گذار به صحت گزارش هاي مالي و موقعيت هاي مشترک شرکت هاي بزرگ در طي سالهاي اخير از بين رفته است. دورفي تاکيد مي کند که اعلام نقطه ضعف مادي در سيستم کنترل داخلي ممکن است منجر به افت قيمت سهام، افزايش حجم سهم، و از بين رفتن موقعيت هاي مالي عمده گردد. گوئل و شاوکي نيز نشان مي دهند که ابلاغ نقض امنيت سهم بازاري شرکت ها را کاهش خواهد داد. در مقابل، کنترل داخلي موثر مي تواند به شرکت ها کمک کند تا به اهداف مالي مورد انتظار خود برسند، سوابق دقيق معاملات روزانه خود را حفظ کنند و صورت هاي مالي صحيح ايجاد کنند. صحت و قابليت اعتماد داده ها در درون سيستم ERP براي اطمينان از شفافيت موقعيت شرکت در تمام اوقات حياتي هستند، به اين منظور که به بازسازي اعتماد سرمايه گذار کمک کند و هزينه پايين سرمايه را تضمين نمايد.
فروشندگان نرم افزار کنترل «ساخت داخل» را در سيستم هاي ERP تبيين مي کنند. همچنين کمپاني ها قالب کنترل داخلي را در سيستم هاي ERP خود دارند. قالب مديريت براي تاسيس مورد نياز است، به خصوص وقتي که کمپاني سهامي عام است. کمپاني ها به صورت دائم کارآمدي کنترل داخلي سيستم ERP خود را بررسي مي کنند. از اين رو، تعداد فزاينده اي از کمپاني ها شروع به تمرکز بر پياده سازي کنترل هاي موثر در سيستم هاي ERP خود کرده اند در حالي که در همين زمان قالب مناسبي به مديريت و حسابرس هاي بيروني ارائه کرده اند که از طريق آن دسترسي به کنترل دروني سيستم ERP وجود دارد. COSO گزارشي تحت عنوان «قالب يکپارچه کنترل داخلي» در سال 1992 در تلاش براي نمايش قالب نظام مند براي کنترل داخلي ارائه داد. با اين حال، گزارش نتوانست معيارهاي تکميلي در پياده سازي و ارزيابي کنترل هاي IT را نشان دهد. ارجاع به اقلام کنترل ويژه به مديريت و حسابرس ها اجازه خواهد داد تا رويه هاي کنترل IT را اجرا کنند. با اين حال، رويه هاي کنترل IT نه تنها محيط درون سازمان بلکه کنترل را آنطور که مرتبط با محيط بيروني باشد در نظر مي گيرد. بعلاوه، با توجه به راهنماي تطابق حداقلي در استفاده از IT تبيين شده توسط نظارت، تفسير حوزه و ماهيت محيط IT متناقض است. اين محدوديت ها سختي تطابق را افزايش مي دهند. عليرغم اهميت استقرار قالب هاي کنترل داخلي مناسب براي توسعه کامل کارامدي سيستم ERP، تنها چند مطالعه آکادميک به ارزيابي اين مسئله پرداخته اند. مطابق با اين امر، اين پژوهش نخستين سوال تحقيقاتي خود را مطرح مي کند: انواع کنترل داخلي که بايد هنگام حسابرسي سيستم ERP لحاظ کرد کدام هستند؟ هدف اصلي اين پژوهش ايجاد يک قالب کنترل داخلي ابتدايي براي کاربرد در سيستم ERP است.