摘要:内部控制是现代企业管理的重要内容,COSO(Committee of Sponsoring Organizations of the Treadway Commission)将内部控制定义为合理保证单位经营活动的效益性、财务报告的可靠性和法律法规的遵循性而自行检查、制约和调整内部业务活动的自律系统。企业达成内部控制目标所必需的要素包括控制环境、风险评估、控制活动、信息沟通、监督。
关键词:企业资源,内部控制,ERP
随着越来越多的企业引入企业资源计划(Enterprise Resource Planning,ERP)系统,原有的人工控制系统需要转化为人机协同控制系统,以完成内部控制所要达到的目标。本文在探讨引入ERP系统对企业内部控制理论框架及其要素影响的基础上,对如何将ERP系统与内部控制系统相整合提出了自己的看法和建议。
(一)对控制环境的影响。控制环境指企业的控制氛围,是内部控制的基础。ERP系统在以下几方面对企业的控制环境具有积极的影响:(1)员工的道德观。员工的道德观是企业文化层面的内容,ERP系统作为管理信息系统,似乎与企业文化没有直接关系,但ERP系统是一套钩稽关系严密、各职能间关系密切的信息共享系统,其造成的工作环境和氛围有利于管理层塑造诚实的企业文化。(2)员工的胜任能力。ERP系统中固化了很多预测和执行方法,可以帮助员工提高计算速度模拟能力,大大提高员工的胜任能力。(3)董事会或审计委员会。如董事会是否独立于管理层,审计委员会、独立董事是否能够完成其监督职责。这一点是超越ERP系统能力范围之外的。(4)管理哲学和经营方式。通常认为,ERP系统的建设过程,就是企业从粗放式经营向集约化经营的转变过程。ERP系统的实施,标志着企业的管理哲学和经营方式向精确、快速、量化的转变。(5)组织结构。ERP系统可以通过业务流程重组来改变企业的组织结构。在系统的运营过程中,ERP系统首先解决组织结构中的信息传递问题;然后,解决业务流程的顺畅与规范问题;最后,潜移默化地使企业组织结构走向合理化。(6)授予权利和责任的方式。ERP系统的运行要求企业有规范严格的授权体系,系统的登录权、单据与报表的查询权,每笔经济业务的审批权等,在系统中都有明确的授权、审批与执行过程,并对所有的过程进行记录。ERP系统的实施极大地强化了这个环节。(7)人力资源政策和实施。ERP系统中的人力资源管理系统能够为管理层提供全面快捷的人力资源信息,更好地执行企业的人力资源政策。同时,ERP系统的引入本身也对控制环境提出了更高的要求,因为ERP技术本身也会给企业带来一定的风险,如程序或资料也有可能被不适当地修改,系统中也可能会未经授权进行交易处理等,需要管理层充分认识并分配足够的资源去管理这些技术风险。
(二)风险评估。指企业对经营、财务报告、复合性目标有影响的内部风险和外部风险进行识别与分析,风险评估主要是为了协助企业及时制定和修正内部控制措施,主要包括风险识别和风险分析。在风险识别过程中,对于技术发展、竞争格局、经济环境变化等外部风险,ERP系统的识别作用有限;对于内部风险识别则可以起到很好的作用。因为ERP系统有一部分报表与流程是专门用以分析内部风险的,如库存上下限分析、岗位与人员的契合度分析、订单履约能力与盈利能力分析等。在风险分析过程中,ERP系统对于重要程度方面的问题,如时间(如交货期)、数量(如物料配套状况)、金额(如成本波动)等,可以直接得出量化数据供管理层参考;对于风险发生的可能性,如销售预测误差率、人员流失率等,ERP系统可以通过对数据进行结构性分析、趋势分析等,得出近似的可能性参考值;对于风险管理途径,ERP系统则不能直接给出解决办法,系统只是预置尽可能多的参考方案,以便在提供分析结果后供管理人员选择使用。应当看到,ERP系统在增强企业风险评估能力的同时,也增加了企业风险评估的内容,如对提供实时信息的风险进行辨认和管理,因此,应当考虑风险评估中ERP系统自身相关内容。
(三)控制活动。指确保管理层的指令得以实施的政策和程序,主要包括:(1)业绩评价。指将实际业绩与标准进行比较,将不同系列的数据相联系,如经营数据和财务数据。业绩评价正是ERP系统的所长,没有ERP系统的帮助,企业难以及时准确进行业绩评价。(2)信息处理。信息处理分为应用控制和一般控制两类。应用控制指个人操作过程中的控制,如对输入资料进行检查、对系统产生的非常规报告进行处理。一般控制是关于应用控制的政策和程序。ERP系统可以自动进行一定的应用控制,而在一般控制方面,则需要增加有关ERP系统本身的内容,如数据中心和网络运行控制、系统软件的获得和维护等。(3)实物控制。也称资产和纪录接近控制,包括实物安全控制、计算机及数据资料接触授权控制、定期盘点等。在实物控制领域,ERP系统不能提供较好的帮助,而且ERP系统本身会增加实物控制的内容。(4)职责分离。将各种不相容职责分离,以防止员工单独作业时从事或隐藏不当行为。一般来说,应将业务授权(管理功能)、业务执行(保管职能)、业务记录(会计职能)、业绩评价(监督职能)等职责分开。ERP系统本身不能保障职责的分离,但在ERP系统职责划分与授权体系下,可以利用系统的安全控制实现职责分离。
(四)监督。也就是评价内部控制运行及改进活动进行评价,包括持续监控、独立评价或两者相结合。(1)持续监控。持续监控建立于单位内部的业务循环当中,包括日常的管理监控活动。如分部和总部采购、生产和销售部门之间的经理保持日常经营联系,对与他们观点不同的报告提出质疑,以保证相互间的监督。ERP系统为持续监控的实施提供了有力的帮助,对于保证持续监控的客观、科学标准,有不可替代的作用。如ERP系统中的主生产计划衔接销售部门与生产部门、物料需求计划衔接生产部门与采购仓储部门、资金计划衔接业务部门与财务部门,相互之间的监控以翔实的记录为依据,以科学的计划为准绳,当然可以实现持续有效的监控。(2)独立评价。独立评价通常由内部审计部门或人事部门执行,对内部控制的设计和执行情况进行检查评价,与有关人员进行交流并收集改进意见。ERP系统可以让内部审计人员快捷深入地了解业务流程与其间的控制体系,并在业务抽样、正确性复核等方面节约部分工作量。
应当看到,使用ERP系统后,内部审计人员需要更多地了解从交易发生到报表生成所有自动以及人工过程,了解系统是如何捕捉对于报表而言的重大事件,并了解错误可能发生的方式和环节。不仅如此,在监督环节中,由于大部分监督信息是由ERP系统本身产生的,在利用该类信息之前,需要对信息本身的正确性进行审核。以上所述影响可归结为下表:
值得注意的是,在考虑ERP系统对于企业内部控制的影响时,不能简单地把ERP系统当作作用于企业管理体系的客体,因为ERP系统本身就是企业管理系统的组成部分,许多管理思想和管理程序固化在ERP系统当中。
总之,ERP系统对于内部控制的影响既有积极的一面,也有消极的一面。积极的一面在于,由于使用了先进的信息技术,ERP系统可以按照确定的规则来执行复杂的处理和计算,减少了处理过程中的错误;ERP系统可以实时提供信息,增强了信息的时效性、可获取性和正确性;ERP系统能够显著增强监督的功能,并通过系统的设定降低因勾结而遭破坏的可能性;通过对于应用程序、资料库和作业系统的安全控制,可实现有效的职能分工。消极的一面在于,系统程序本身可能出现错误而不易被察觉;可能由于授权系统本身的缺陷造成未经授权的使用、变更、毁损资料;如果使用者过多,可能会影响系统的安全等。
具体说来,建立引入ERP系统后的内部控制系统,应当注意两方面的问题。一是从ERP系统的业务流程入手,重新进行控制点设置和控制流程设计。内部会计控制所涵盖的控制内容包括货币资金、实物资产、对外投资、工程项目、采购与付款、筹资、销售与收款、成本费用、担保等经济业务的会计控制。人工业务控制流程是建立在这些经济业务循环之上的,ERP系统的引入对于这些业务流程产生了显著的影响。因此,建立ERP系统环境下的人机协同内部控制系统,需要针对发生改变的业务流程重新进行控制点设置及控制流程设计,将控制流程整合到ERP系统的业务处理流程中去。二是在ERP系统引入后,不应当仅仅考虑ER对于原有内控系统的过程性影响,还应当考虑计算机系统本身的内部控制问题。也就是说,ERP系统本身也应当成为内部控制的内容。ERP系统本身带来的技术风险要求企业在内部控制方面对其进行风险控制,主要风险控制点在:对ERP系统技术支持部门的功能及职责划分;对ERP系统程序开发及修改的控制;对ERP系统文件资料的控制;对ERP系统程序及数据资料存取的控制;对资料输入、处理、输出的控制;对档案及设备安全的控制;对软硬件维护的控制;对信息安全监察控制;对外部进行信息发布相关操作的控制。
* 稍后学术顾问联系您