林励

在移动互联网日新月异的今天，企业发展不能离开信息化。目前绝大多数大中型企业都不同程度的建立了信息系统。在供应链使中的ERP系统、研发领域PDM系统，营销领域的CRM系統，还有用于商业智能决策分析的BI系统，日常办公中应用的OA系统等。2009年7月1日正式实施的《企业内部控制基本规范》要求已经上市公司必须坚决实行，提倡非上市公司执行，包括各种大中型企业。国资委的征求意见稿中，也有部分内容是建立专门的风险管理和内部控制的信息平台。国内的政策监管上也是要求内部控制向信息化的方向发展。

内部控制在我国经历了一个较长时间的发展，起先人们接触的很少，对其实施意义的理解也尚浅，开始就只有小部分公司认识到其作用，后来随着我国经济的迅速发展，越来越多的公司开始上市、不断扩大、走出国门与国际接轨，内部控制才逐渐完善好。对于不同行业的企业来讲，他们对内部控制的理解是有差异的，以至于不同行业在具体实施上也不同。根据我国《独立审计具体准则》中第九号关于对内部控制制度和审计风险作了这样的描述：内部控制主要是指为了让被审计企业正常有序开展有效的业务活动而不发生风险，确保企业资产的完整性和安全性，避免防止发生错误，从而也更有效的让企业会计信息合法、完整、真实，这样在后期制定相关政策和程序才有依据。

根据COSO委员会的定义，内部控制被这样定义为：它本身是企业在管理过程中的一种，跟企业的运转息息相关，在实施内部控制过程中受到企业董事会、企业管理层和企业各部门员工的影响，由于部门重要性不一样，影响程度也不一样，最终内部控制的目的是合力确保企业的目标顺利完成，这些跟企业相关的目标有三种：一是财务报告准确性和真实性，二是经营管理高效性，三是法律法规遵从性。其中内部控制主要有五个要素构成：内部环境控制、内部风险控制、内部活动控制、内部信息与沟通控制，这五个要素也互相影响，相互连接，共同发挥好作用。

根据上述概念，我国企业在具体构建内部控制系统时，都认为实施内部控制是为了更好的完成企业经营目标，促进企业快速发展，让企业的财务信息更完整精确，资产更完整，相关法律法规更清晰，规章制度更规范，以至于企业能够高效确保整个运营正常化、合理化以及经济性。

企业建立内部控制制度的目的在于：

1、确保企业生产经营活动效率更高，效果更好；

2、确保财务会计信息更准确和完整，财务报告真实有效，防止企业出现财务漏洞，影响企业正常运转，这样企业的各项数据准确无误，在为后期制定目标和业绩考核时提供真实的数据支持；

3、严格遵守国家法律法规，地方法令，促使企业不断完善相关企业制度建设，共同做好内部控制，杜绝舞弊行为，损害集体利益。

按照国际权威美国COSO委员会定义，企业内部控制包括5个要素：

1、控制环境影响企业员工内部控制意识，使内部控制得以贯彻执行，确保企业经营战略目标的实现。

2、风险评估在市场日趋激烈竞争中，企业内部控制必须分析、了解自身所面临的各种风险，并适时加以处理。

3、控制活动确保企业管理层的指令得以实现的政策和程序。控制活动主要包括：交易授权、职责分离、监管、业务记录、接触控制和独立稽核。

4、信息和沟通企业必须保证员工能够取得他们在执行、管理和控制企业经营过程中所需的信息，使员工顺利履行其职责。

5、监督整个内部控制的过程必须施以恰当的监督，并在必要时对其加以修正。

随着计算机技术和网络的快速发展，企业信息化程度越来越高，在企业享受信息化带来方便与快捷的时候，也加重了企业内部控制增大的风险。企业开始由传统管理向信息化管理进行转变的过程中，对企业架构会做一些调整和改变，相对于内部控制来讲，一个适合信息化的完善的系统、完整的体系将重要很多，所以这就要求企业必须遵循现代化科学的基本管理方法，不断提高企业经营管理能力，降低企业运营风险。时至今日，上市公司，包括大中型企业，一般都通过聘请了外部咨询公司，或通过人力，开展了内部控制的基本建设工作。那么如何通过IT手段，在信息系统中做内部控制方面的实践呢？ 如何将信息系统与管理思想的有机的融合呢？

在企业信息化过程中，通常采用的是ERP系统，它是一个对企业资源进行有效共享与利用的系统。ERP通过将有序的信息，有效将企业信息在内部间进行有效传递，确保跟企业运营息息相关的产、销、存、供、财、物、人、技术等最大化利用，并保障企业高效运作。

作为企业信息化建设中的最核心部分，ERP能够有效为企业建立一套信息化管理系统，帮助企业进行高效管理工作。不管是定制的还是外购的ERP软件，企业在实施时都必须根据自身的业务流程重组。新的会计业务流程不是对现有会计业务流程的完全否定，而是在其基础上进行改进，能使其适应信息系统的建立，使ERP的信息可以更有效地集成和传递。在ERP应用中，已将优化的管理流程和业务流程固化，这样就避免了人为的一些差错，提高了经营的效率。建立监控预警的指标体系的时候，要建立动态的监控，要落实内控的执行责任等等。除了要把相关内部控制措施，这里我着重谈下在医药商业企业GSP的要求下，我们要设置那些关键控制点呢。结合我的自身工作，我着重谈谈销售过程中结合新版GSP要求的内部控制风险控制的关键点：

一、适当的职务分离。在企业内部进行职务分离符合现代化信息化管理系统，可以有效防止企业无端发生各种错误，避免无谓的损失，因此，企业应该做到：

1、企业要单独设立销售、发货、收款三个业务部门，分别由相应的领导管理；企业的销售岗位与员工信用管理分开设立；正在从事销售岗位与进行收款业务的人员轮替，而不是一直不变。

2、由于医药企业GSP的要求，对从事验收、养护工作的，都具有相关学历要求，而且不能不得兼职其他业务工作。对于含麻含毒药品，和精神类药品，蛋白同化制剂、肽类激素、含特殊药品复方制剂等特殊药品要求有采购、销售进行权限控制，由专人负责。

在企业的ERP实施中，用户名和权限的设置上就会充分体现出以上内控关键点的要求。

二、销售预算管理。销售预算管理能帮助企业对销售进度，销售利润，销售费用进行合理规划。在进度的掌控上，可以通过ERP系统进行实时提示。可以设置上下限提醒，在达不到或大幅超出预算指标是做出报警提示。在费用控制方面，可以有效避免经费不足等情况而无法对客户信用状况、产品销售状态不佳而影响销售；也可以避免产生浪费，降低企业利润。

三、充分的客户信用资料。目前在各行业的企业中，赊销方式已不可避免的成为主要销售方法，因此为保证应收账款的回收率必须加强客户的信息管理。作为医药企业必须关注客户是否具有相关购买资质。及时调整客户基础档案及新增变更流程，由业务部门填写并由质量部人员审核资质。

四、对于授权审批问题，主要关注以下五个关键点上的审批程序：

1、在销货发生之前，赊销已经正确审批。

2、非经正当审批，不得发出货物。

前两项控制的目的在于防止企业因向虚构的或者无力支付货款的顾客发货而蒙受损失。

3、销售价格、销售条件、运费和折扣等必须经过审批。价格审批控制的目的在于保证销售交易按照企业定价政策规定的价格开票收款。

4、审批人应当根据销售与收款授权批准制度的规定，在授权范围内进行审批，不得超越审批权限。

5、销售退货单由发货单生成，不能填写空白单据。

在ERP的实际应用中可以通过系统设置进行提醒，随时关注客户资质的到期和更新。特别对含麻含毒药品，和精神类药品，蛋白同化制剂、肽类激素、含特殊药品复方制剂等特殊药品有特别的资质要求。通过系统自行对没有资质购买以上相关药品的客户进行过滤。

同时在货品运输的承运商资质也有具体要求，对需要冷链运输的药品发货时自动通过ERP系统加以控制。对有运输时限要求的，提示或预警相关部门和岗位人员；药品运输的在途时间进行跟踪管理，填制药品运输记录单。

五、充分的凭证和记录

關键内部控制。只有具备充分的记录手续，才有可能实现其他各项控制目标。企业按照GSP规定直调药品的，直调药品出库时，由供货单位开具两份随货同行单（票），分别发往直调企业和购货单位。随货同行单（票）的内容应当符合本规范第七十三条第二款的要求，还应当标明直调企业名称。

监管机构要求通过信息化的平台，对内部控制的控制点进行在线监控和在线测试，包括整个内部控制的评价，以及内部控制的测试工作，也希望是可以通过信息系统完成的。鉴于ERP管理系统具有运算速度快、数据共享、数据存储容量大、查询方便等优势，企业实施ERP管理系统，能方便的企业对运营风险进行定期评估，通过评价风险，及时掌握企业内部控制中出现的问题，并提出相应的改进措施。在企业内部控制小组或者外部聘请的内控咨询机构需要相关数据时可以很方便的从中采集。通过ERP系统的实施可以给企业的内部控制带来诸多方便。是目前企业内控实施的重要助手。（作者单位：中国医药工业有限公司）