随着企业的不断进化,内部控制已成为现代企业管理中极为重要的一环;而ERP的出现和实施,为企业整合内部资源提供了新的平台,但同时引出了企业内部控制的新课题。许多企业投入巨额资金上马ERP项目,有的收效甚微甚至弄巧成拙,连正常的生产经营活动都难以为继;也有部分企业成功实施了ERP系统。企业运作井然有序,迈上了新的台阶。基于上述情况,本文对ERP与内部控制优化进行阐述。
一、ERP与内部控制的基本概念
(一)ERP的涵义及特点
ERP(Enterprise Resource Planning,企业资源计划),是指在企业供应链管理思想指导下,采用面向业务流程的方法,利用计算机技术。以计划为主线,实现对企业整个资源进行综合管理的一种现代企业管理信息系统。
ERP是一个集合企业内部的所有资源并进行有效的计划和控制,以达到最大效益的集成系统。作为企业经营管理的整体解决方案。它不仅仅是一套软件,更多的是管理思想和理念的结晶和体现。是信息时代企业实现现代化、科学化管理的有力工具。
(二)内部控制的发展及要素
纵观会计发展史,可以看出内部控制理论是随着时代的变革、经济环境的变化、内部管理的需要而不断发展和完善的。其演变过程大致可划分为内部牵制、内部控制制度、内部控制结构和内部控制整体框架4个历史阶段。
当前,由COSO委员会提出的内部控制整体框架是内部控制理论中较为成熟的和普遍接受的理论,该理论认为内部控制系统包括5个组成要素:控制环境、风险评估、控制活动、信息与沟通、监督。这5个要素相互联系,共同构成一个立体框架。
二、ERP环境下企业内部控制要素分析
实施ERP系统后,企业的内部控制系统仍由内部控制环境、风险评估、控制活动、信息与沟通、监督等五要素组成,只是这些基本要索的内部构成有了新的发展、内容有了新的变化、特征有了新的表现形式。
(一)控制环境
控制环境决定了企业的基调,直接影响企业员工的控制意识,是其他四要素的基础。影响控制环境的因素包括:企业人员的诚信度、职业道德及能力,管理层的管理哲学及经营风格,公司权责分配方法、人事政策,以及董事会的关注和指导。
ERP实施后,企业内部的组织结构体系会随之发生变化,组织结构柔性化。管理结构变得扁平化、流程化,决策者和执行者之间能够快速有效地沟通,企业的内部控制层次明显减少。控制责任更加明确,控制效率更高。ERP的实施也改变了企业内部控制的方式和管理观念。ERP的应用增强了企业内部控制的灵活性,使信息无论处于何处都可以被企业内外部人员容易地获得。同时,在企业新型的扁平式组织结构中,领导也不再仅仅是组织等级中的上层,还成为行动的中心。
(二)风险评估
企业面临诸多来自内部和外部的有待评估的风险,要了解并应对其面临的风险。就是要在既定的经营目标下分析并减少风险,包括风险识别、风险分析和风险管理等几个方面。
ERP的实施给企业带来了新的风险发现、风险分析和风险评估的理念和方法,使企业可以及时准确地分析、辨认企业在实现所定目标过程中可能发生的风险并适时地加以处理。把ERP系统的信息技术与业务活动有机地结合起来作为风险防范的工具,将能大大减少错弊的发生。保证企业业务处理活动的正常进行。当然,ERP系统对信息技术手段的应用,也给企业带来了新的风险。例如:计算机系统的应用风险、数据安全风险。企业在ERP的实施过程以及在随后的日常使用维护中,都应该着重注意对这类风险进行评估并运用适宜的手段进行控制处理,这些新的风险点构成了内部控制的新内容。
(三)控制活动
控制活动指企业对所确认的风险采取必要的措施以保证组织目标得以实现的政策和程序。
ERP环境下,企业的整体目标没有改变,但是伴随着业务流程的改变,系统的开放性、信息的分散性、数据的共享性,都极大地改变了以往企业封闭、集中的运行环境,从而改变了传统的风险控制内容和方法。ERP的实施增强了控制手段的灵活多样性和高效性,加强了内部控制体系的预防、检查和纠正功能。同时我们看到,ERP系统所运用的信息技术工具也对内控体系提出了新的控制要求。
(四)信息与沟通
信息与沟通是指企业在其经营过程中,需要有效地辨识和取得信息并在企业内部进行沟通,使员工能够按照企业的要求切实履行其职责。
ERP环境下企业的信息系统具有开放性、实时性和电子化的特征,使内部控制系统呈现出新的特点。在ERP环境下,网络连接企业各职能部门,实现了各种业务流程的一体化处理,信息需求者可以实时获取各种信息。在这种条件下,内部控制可以由顺序化控制向并行化控制发展。同时,相对开放的信息系统也为内部员工和管理者提供了开放的沟通渠道,有利于内部沟通的进行。使组织内的员工清楚了解内部控制体系和各自的责任,管理者也可以随时掌握内部控制制度的执行情况。
(五)监督
监督是评估内部控制,保证内部控制系统的有效性并为内控体系的持续改进和优化提供反馈。
在ERP环境下,内部控制体系的程序化使内部控制在一定程度上具有对ERP软件系统的依赖性,同时还增加了由于差错得不到及时有效控制,因而反复发生的可能性。ERP的应用,使内部控制体系具有了人工控制与程序控制相结合的特点。程序化内部控制体系的有效性取决于应用程序设计的质量,如果程序发生差错或不起作用,那么控制失效就可能长期不被发现,从而使系统由于程序运行的重复性而反复发生相同的纰漏。所以,在ERP环境下,更应注意对内部控制体系运行的监督,应该由适当的人员在适当的时候及时评估内部控制体系的设计和运作情况。
可见,内部控制框架的实质并没有发生变化,只是ERP的应用使内部控制框架构成要素的内容发生了新的变化,给企业提高内部控制效率、增强内部控制效果带来了新的机会,也带来了新的风险。三、实施ERP与企业内部控制的关联
ERP是能整合企业内部资源的企业经营管理系统。使企业业务数据系统化、全部在线处理。从技术层面看,它是利用信息技术成果,对企业内部的各类资源包括人、物、财、信息等进行规划、统筹与组合,从而减少环节,提高生产率,增强企业竞争力。从管理层面看,它又是一个较完整的集成化管理信息系统。包括分销、制造、会计、质量控制、售后服务、人力资源、运输等管理系统。因此,ERP系统为企业管理提供了丰富的功能和工具。不仅如此,由于互联网的加入,ERP还可以实现全球范围内的多工厂、多地点的跨国经营运作,使企业在激烈的市场竞争中取得最佳经济效益,ERP在给企业内部控制带来机遇的同时也带来了挑战。
(一)实施ERP给企业内部控制带来的机遇
1.企业内部控制的方式将改善
ERP软件系统的应用使企业可以方便地对内部控制体系进行通盘设计,更好地对企业的各种业务流程进行整体协调。原来在传统环境下对点的控制在ERP环境下可以发展成对线和面的控制,对某一控制点的内控措施可以同业务流程内其他的控制点串成线,进而同其他业务流程的控制系统连成面。
2.内控范围优化
ERP系统的控制评估必须基于风险管理的原则,通过风险评估寻找对主要业务运作影响最大的领域。换句话说,可以从企业整个业务风险域中寻找风险最大的业务流程,从而进一步确定有哪些ERP模块在支持这些业务流程。一般来说,企业通过对业务流程所有者的访谈,来确定企业的评估范围。
3.提高内部控制的效率
ERP环境下的内部控制体系具有高度的经济性和高度驹运作效率,大部分在传统控制体系中通过账、表、单、卡来进行的控制措施在ERP环境下会被软件系统本身的控制功能取代。控制手段的优化使企业的内部控制体系在一定程度上摆脱了对实体控制方法、控制工具和控制岗位的依赖,具有高度的经济性。ERP环境下,控制手段和信息传递方式的变化,使传统内控体系中审核、签字和文件传递交接手续等控制点大大减少,企业的内部控制流程更加通畅,控制效率更高。
4.企业内部控制关系也将发生明显变化
ERP使企业内部控制由命令与控制向集中与协调转变。在工业经济时代,企业内部等级非常明显。工作先按过程分解,然后通过命令和控制再将其进行连接,指令往往来自企业上层。应用ERP系统后,企业通过网络可以很方便地使内部人员之间及与外部人员之间平等、动态地进行协作和沟通。企业中每一个人都是网络中的知识贡献者,都可以成为企业控制网络上的决策点或节点,都可以尽可能地作出自己最大的贡献。
(二)实施ERP给企业内部控制带来的风险
1.ERP系统面临潜在的被攻击的风险
ERP系统的使用涉及整个企业的业务流程。ERP系统下高度集成的功能使用户无论在企业的哪个角落都能应用自己的授权获得系统访问的便利,可以随时控制或改变重要的业务参数。一般ERP系统采用的客户端/服务器端结构可以使企业低成本、高效率地获得业务的集成管理功能。但是如果对这种技术结构的灵活性缺乏有效的控制,系统会很容易受到攻击。这种系统攻击包括内部用户无意或恶意的攻击、外部人员通过网络进行的无意或恶意攻击和病毒攻击等。这些系统攻击一旦成功,都会给企业的ERP系统。给企业基于ERP系统的内部控制体系带来极为严重的后果。
2.业务流程风险加剧
传统的会计业务流程是以凭证—账簿—报表的会计循环方式设计的,内部控制是通过复核凭证、账簿核对,审阅报表等方式实现的,即控制点存在于业务流程的多个环节。ERP彻底改变了传统会计模式下单一化、顺序化的信息传输方式,实现了会计信息与业务信息的同步。在业务流程优化过程中,重复、不增值环节的消除,使一些有利于内部控制的审计线索消失,从而加剧业务流程风险。
3.数据的所有权和日常维护问题
如果对用户有不合控制体系要求的访同权限设置,那么系统将缺乏有效的反馈机制约束其对系统的滥用,系统中的一些机密数据将会变得非常透明并有可能导致企业的重大损失。另外,数据的一次性输入和即时传递模式也造成了新的控制问题——垃圾输入导致垃圾输出。ERP环境下,数据通常是一次输入完成后在系统内通用的,由于没有了传统环境下对数据的核对和检查过程,如果数据初始输入有误,就会导致错误的数据在系统内被反复使用并造成一连串的错误处理活动。输出一连串的错误处理结果,直接影响到其他流程的运作,这种情况对ERP环境下数据输入点的控制提出了更高的要求。
4.ERP系统对企业人员素质提出了更高要求
实质上,不论在传统环境下,还是在ERP环境下,对人的控制都是企业内部控制的基础。企业人员素质的高低实际上决定了其内部控制系统的设计质量和应用效果。ERP系统的应用实际上是通过其体系化、流程化的管理思想来提升企业整体管理水平、提升人员素质,达到提高企业效益的目的。如果企业管理当局无法充分将ERP系统的现代管理理念融入企业管理思想和管理模式,企业员工不能正确理解ERP的内涵,那么内部控制非但无法实现,反而会带来负面影响。
四、ERP环境下优化企业内部控制的对策
(一)加强技术控制
为保证系统安全,企业应该实施一系列控制措施来保证网络安全,比如运行专用的网管软件进行网络监控,采用专用内容过滤技术阻止各种恶意内容的入侵。限制来路不明的软件在系统主机上安装等,最大程度地控制网络攻击和恶意软件带来的风险,同时要加强员工的信息安全意识。防止人为误操作风险。培养员工的信息安全观念,进行信息安全控制的再教育,使员工在进行业务处理时,能依据企业集团的信息安全方针进行信息安全控制和风险防范,同时对硬件设备特别是关键设备进行定期检测,及时发现和解决问题。
(二)完善ERP系统操作和维护控制制度
ERP系统操作和维护控制主要是通过制定一套完整而严格的操作和维护规程来实现的。规程应包括操作的具体流程,各环节的主要分工和职责。注意事项,维护的时间和方面,维护的程序等内容。ERP系统操作和维护控制主要是为了保证ERP各模块软件系统操作的规范化,保证各模块软件正确安全地运转,防止软件被非法修改、删除。信息系统的操作包括信息的输入控制、处理控制和输出控制。
ERP系统输入控制的莺点在于建立适当的授权和审批机制,并对输入数据的准确性进行校验,通过设立专门的审核人员对系统每笔业务进行合法性和准确性的审核,从源头上舫止错误和舞弊行为的发生。避免闪错误或舞弊导致的连环性、重复性错误;采用编码制度,会计科目统一编码,不仅提高了录入的速度和准确性,而且规范了行业管理;设置逻辑控制、平衡校验控制、错误更正控制来完善ERP系统查错、改错的功能。
ERP系统处理控制的重点在于处理过程的适应性控制、数据溢出性检测、重大错误纠正控制。建它系统处理的适应性控制,允许软件用户在一定限度内自由制定或改变各项政策,适应企业自身的规模和环境;建立数据溢出性检测以防止数据超出计算机容量而产生的数据损失,避免因数据溢出所造成的数据信息失真;操作过程中的失误是在所难免的,因此,系统应对用户的某些操作做出再判断和再确认设计,以防止系统数据被执行重大错误操作。
ERP系统输出控制的重点在于输出检查控制和输出文件的使用权限控制。定期或不定期地核对输入信息与输出信息的一致性。通过对凭证、账簿、报表数据的查询、打印,并进一步核对、检查可以有效地预防利用计算机犯罪,在系统输出的资料中。有些资料属于机密文件,未经批准授权。任何人不得接触机密文件,并应建立严格的文件保管和登记制度,以防止恶意窃取和损坏重要机密的数据。
(三)转变管理观念
无论多么规范、完善的控制系统。如果没有人去执行或执行不到位,恐怕也只能是摆设。要进一步完善企业内部挖制,必须抓住内部控制中的主体因素,企业董事会、管理层和其他人员管理观念的转变、风险意识的提高对完善内部控制有着积极的意义。企业各个层面的人员,无论是企业管理者还是内部控制的参与者,在思想上要转变按传统会计业务流程进行控制的观念。树立以风险控制为导向的、以供应链管理为核心的控制思想。