ERP的引入给企业内部控制带来了新问题,在ERP实施中应将完善的内部控制体系有步骤地融入ERP环境当中,将信息技术带来的风险纳入内部控制之中,扬长避短,实现最大收益。笔者从比较ERP与内控管理的目标差异入手,着重分析实施ERP对企业内部控制产生的影响,从内部控制“五要素”查找其带来的风险,在此基础上探讨了ERP环境下强化内部控制的应对措施。
一、ERP目标与内控目标的一致性与差异性
ERP即企业资源计划,是依托于现代信息技术的管理工程,目标在于把先进的管理流程、管理方法、管理技术及管理理念用现代IT技术固化成型,提升企业的工作效率。其核心思想是在统一的技术平台上,通过标准化的数据和业务操作流程,全面、及时、集成地体现企业日常经营业务中“物流”、“资金流”和“信息流”,从而实现三流合一。ERP的突出特点有:一是使企业的主要业务流程集成化和自动化;二是在整个企业组织内共享数据和业务活动结果;三是在实时环境下产生和获取数据。
企业内部控制是完善公司治理的核心内容,其目标在于保证企业运营效果效率、财务报告的可靠性、相关法律的遵守。从总的目标上看,与企业实施ERP是一致的。而且从理论上讲,ERP拥有的特点有助于实施内部控制:ERP涵盖范围广,可以覆盖企业运作的全过程,也就有利于对企业生产经营全过程的控制;ERP打破了传统的部门界限,在企业组织内共享数据和业务活动结果,有利于控制和监督;ERP可以方便地实现各个不同业务模块之间信息的即时传递,可以实时反映运营状况,具备了实时控制的思想,如果能够针对各个关键控制点设定实时控制手段,可能帮助企业从传统的发现问题、事后补救,转变为在业务运行过程中实施的事前预防和事中控制。
但在实际运行中,企业实施ERP与实施内控是不完全一致的,甚至是有冲突的。首先,实施ERP与实施内控在时间上不同步,ERP在前,内控在后。其次,实施ERP和实施内控,由企业不同部门负责牵头组织,各自要实现的目标是不一致的。再次,传统的内部控制基于组织控制,而ERP强调打破部门界限,实现流程化、集成化和实时采集、自动生成并共享数据,从内在要求上讲二者也是存在冲突的。
从实际运作来看,实施ERP会给企业带来一些原有内部控制要求无法执行的问题,包括会计人员无法直接参与控制、控制效率低、其审查和稽核机制被削弱等。此外,IT技术本身存在的可靠性、安全性等问题,也给企业内部控制风险的防范带来了相应的难题。在ERP环境下,企业只有对内部控制体系进行优化,才能保障内部控制系统的有效实施,促进企业资源的配置和优化,实现经营的可持续增长。
二、ERP环境下的内部控制风险
在ERP环境下,企业的业务处理是跨职能部门的,企业的资源和信息可以得到统一的管理和共享。由于信息的录入产生、存储传输、处理方式都有重大改变,企业实现内部控制也产生了新的风险,主要表现在以下几个方面。
(一)业务流程的改变带来的财务内部控制风险
首先,由于业务流程的变化,和传统会计处理方式差异很大,相关岗位员工接受、适应新操作方式的程度存在差异,由此带来一系列人为的不确定因素,构成会计质量风险。其次,在ERP环境下,内部控制的内容及形式与传统会计处理存在差异。在ERP环境下,业务处理全部以计算机集成为主,出现了计算机的安全及维护、系统管理及操作员的制度职责、计算机病毒防治等新内容。再次,ERP环境下由于会计信息的核算及处理的主体发生了变化,内部控制的对象也发生了变化。在ERP环境下,会计数据一般由各业务集成部门进行处理,而财务人员往往只负责原始数据的收集、审核,并对以ERP系统数据为依据输出的各种会计报表进行分析。这样,内控对象转变为对人与计算机二者为主。
(二)内部控制要素构成的变化及其带来的风险
内部控制整体架构主要由控制环境、风险评估、控制活动、信息与沟通、监督五项要素构成。在ERP环境下,企业内部控制系统仍是由以上五个基本要素构成,控制体系框架并没有发生实质性的改变。但是,每项基本要素的内部构成却发生了变化。
1.控制环境
ERP的实施,改变了企业内部的组织结构体系,管理结构变为扁平化、流程化,决策者和执行者能够快速沟通,企业的内部控制层次明显减少,控制责任更加明确,控制效率更高。ERP的应用增强了企业内部控制的灵活性,对等的渠道使信息无论处于何处都可以被企业内外部人员比较容易地获得。
2.风险评价
ERP的实施给企业带来了新的风险发现、风险分析和风险评估的理念和方法,使企业可以及时准确地分析、辨认企业在实现既定目标过程中可能发生的风险并适时地加以处理。把ERP系统的信息技术与业务活动有机结合起来作为风险防范的工具,将能大大减少错误的发生,保证企业业务活动的正常进行。同时,ERP系统也给企业带来了新的风险,例如计算机系统的复杂性增加了企业潜在的应用风险;电子数据可以被方便地改写和删除、数据处理过程无法直观观测等都增加了数据安全风险。
3.控制活动
ERP的实施增强了控制手段的灵活性、多样性和高效性,加强了内部控制体系的预防、检查和纠正功能。ERP的应用,可以使企业摆脱人员和资源对内控体系有效性的限制并在企业内部形成新的控制理念:内控体系不再仅仅依赖过多的检查、审批、核准人员或复杂的控制程序,而是依靠信息技术对其进行合理设计,经济、高效地达到控制目标。同时,信息技术的运用也增加了企业内部控制的难度与复杂性。
4.信息与沟通
在ERP环境下,网络连接企业各职能部门,实现了各种业务流程的一体化处理,信息需求者可以实时获取各种信息。相对开放的信息系统也为内部员工和管理者提供了开放的沟通管道,有利于内部沟通的进行,使组织内的员工清楚地了解内部控制体系和各自的责任。管理者也可以随时掌握内部控制制度的执行与生效情况。
5.监督
在ERP环境下,内部控制体系的程序化使内部控制在一定程度上具有了对ERP软件系统的依赖性。同时,ERP的应用使内部控制体系具有了人工控制与程序控制相结合的特点。程序化内部控制体系的有效性取决于应用程序设计的质量,如果程序发生差错或不起作用,那么控制失效就可能长期不被发现,从而使系统由于程序运行的重复性而反复发生相同的纰漏。
三、ERP环境下强化内部控制应对策略
(一)完善风险管理机制
企业信息化意味着企业各部门、各作业单位之间,以及企业与外部,如供应商、客户、合作伙伴等通过实时互联的网络实现信息、作业高度共享,网络的开放性把企业暴露于各种风险之中。企业除了要建立传统的风险管理机制之外,还要结合信息化的特点,建立基于信息化的风险管理机制:一是建立一套信息网络系统安全政策和制度;二是定期对系统安全政策与制度的实施效果进行评价;三是通过企业内部会计控制框架的构建,建立、健全预算及责任控制,强化信息化的风险意识。
(二)优化企业内部控制的环境
企业的内部控制环境是企业内部控制的基础,是实施企业内部控制的根本保障。影响控制环境的因素很多,主要包括管理理念、公司的治理结构、管理控制方式、人力资源等方面。为了能够有效地实施企业内部控制,企业主要应从以下几个方面着手。
1.建立合理的内部管理制度
作为公司制的企业,应该按照相关法规设立相应的股东会、董事会、监事会,并按照公司章程运转,处理好集权与分权的关系,明确各自职责,为设计、执行、控制和监督活动提供好的基础框架。在此前提下建立权责明确、管理科学、激励和约束相匹配的内部管理制度,调节管理层和员工之间的关系。并根据公司运营的现状,建立起一套合理、有效的内部激励机制,防止内部人为控制,严格实行内部会计与审计控制制度,强化对管理层的在任审计和监督。通过合理的激励与约束机制,使企业管理层既有充分的经营管理权,又能使其尽职尽责地履行义务,使企业的效益最大化。
2.逐步将内控体系嵌入ERP系统
ERP本身有极强的包容性,其应用也在不断完善,完全可以将内控体系嵌入ERP系统之中。建立ERP内部控制系统应当从重点模块入手,逐步扩展完成整个ERP内部控制系统的融入。财务与各项业务关系密切,在每一笔业务发生的同时,财务也能获得其业务信息,因而内部控制从财务入手就容易对业务的成本费用进行有效监控和管理;财务管理和其他业务模块的集成使得企业的所有业务环节、所有部门都能被有效地制约和监控,做到事前预算、事中控制、事后准确核算;财务与业务的一体化集成,也使得任何部门发生的业务开支如果不进入财务系统就无法实现,而一旦进入系统就必然受到财务内部控制功能跟踪,能够实现财务的集中控制。在财务模块的内部控制融入完成后,再在其他模块中逐步进行扩展、融入和实施。当所有预定的控制程序和控制参数被固化到ERP系统内部后,就初步完成了面向流程的人机内部控制系统的雏形。
3.加强对关键岗位人员的授权管理
现行的ERP系统都相对使得业务流程化,越来越多地依靠系统进行控制。对不同岗位、不同部门和不同职级的人,要通过管理上的和技术上的手段给予合理授权和有效控制,尤其要重视从技术上强化对以下关键岗位人员的授权管理。
程序设计与开发人员比较特殊,对他们的授权应特别注意。他们应仅有对数据测试运行的权限,而不能进行实际操作。除非有特殊事项,在征得相关负责人的同意后,方可以进行数据的传输,但不得对数据进行修改、删除。对于一般业务部门录入的基础数据,在数据生成完毕后要及时传输给财务部门进行确认,在财务人员已经确认审核通过后,业务部门不得再对数据进行修改。财务部门的员工之间也要做到相互监督与控制,一旦发现异常,应有相应的警告与提示,并呈报相应的主管领导和内部审计人员,达到实时监控的职能。对在ERP系统中的信息数据,应该有日志备份文档,对在系统中的所存操作都要详细记录,即便有人故意篡改数据,都能够方便、准确地查询到相关操作信息,将系统受人为影响降到最低限度。
4.加强对ERP信息系统软硬件的管理
ERP依赖的是一个强大的软硬件平台,必须保证这个平台的稳定与高速运行。要加大对软硬件系统的维护与评价,定期出具系统运行报告,定期轮换系统监测与维护人员。对于重大系统故障,要向公司经理报告,不得私自做出决定,以免造成重大损失。每年应当对企业的ERP系统的软硬件进行审计,测试在这个系统上运行的ERP提供的数据是否真实、准确、可靠,并在审计报告中给予反映。
5.提高财务及相关人员业务素质
ERP本身是跨部门、综合了多个专业的,要求应用人员通晓企业的各项业务流程,特别是财务方面的各项业务,掌握一定的计算机专业技术,具有系统分析员的某些素质,具备了这些条件的专业人员比较容易与ERP系统开发人员沟通,能够精确地表述企业的意图和需要。坚持“企业管理以财务管理为中心”,要求财务人员认识自身负有监督和指导经营的责任,应首当其冲负起促进信息化管理的重任。这种环境要求企业加强对员工的培训,不断地为其提供新的课程培训和企业文化引导,形成爱岗敬业的基本素质,并加强员工职业道德和企业文化建设。
(三)加强外部审计机构对内部控制的评价
为了更有效地实施内部控制,企业应聘请外部专业的审计机构对企业的内部控制进行评价与分析。外部审计机构需要定期提供内部控制状况报告,提交给企业相关职能部门。