当内控遇上ERP
2015-10-21贺延兵
贺延兵
如今,在ERP环境下建立内部控制系统,已成为ERP项目实施中不可缺少的一部分。ERP的引入,可以帮企业节省内部控制的人力成本,提高内部控制的效率,但也会给企业内控体系带来很多具有IT技术特点的新问题。因而在ERP系统开发与实施过程中,应当全面考虑,将完善的内部控制体系有步骤地融入ERP环境当中,并将信息技术带来的风险纳入新的内部控制之中,以便在内部控制方面尽量扬长避短,为企业引入ERP带来最大的收益。
现实问题
虽然,ERP是一种有效的企业治理工具和手段,但它不是万能的。ERP业务复杂、运营和维护成本高,规模较小的企业不太适合采用该技术;ERP各模块是根据业务实际设置的,没有标准化的模型,所以对于不同类型的企业,ERP的内容也不尽相同,对于经营范围广泛的大型企业集团来讲就很难设置统一量化的考核评价标准等。
其一,内部控制制度执行与监督、检查力度不够。企业内部控制的关键点不明确,人员分工与协同没有落到实处,没有专门负责对各部门进行评价制度执行情况的有力组织和考核机制。各部门和各岗位之间缺乏必要的监督与牵制,导致各部门自成一派,各自为战。
其二,内部控制制度设计缺乏科学性和继承性,具体表现在三个方面:一是内部控制组织不健全,把执行了业务规章制度就等同于加强了内部控制制度;二是内部控制目前仅仅是事后的控制,出了问题后才去处罚和控制,实际上已经削弱了内部控制的职能;三是内部控制并非全面的内部控制,只是将关注的重点局限在货币资金等重要资产上,忽视人员素质、信息数据的内部控制,与现时代的经济发展要求相脱节。
其三,业务岗位职责分工不合理。实施了ERP信息系统后,很多企业没有对岗位职责进行明确分工与控制。
其四,内部控制的组织结构设置不尽合理。目前,大多数企业的内部控制的执行检查机构是内审部。内审部应是独立于任何部门,直接对总经理、董事会、股东大会负责的,但实际中有很多单位的内审部却是直接或间接受财务部门领导的。这样的机构设置就会失去独立性,起不到监督与控制的作用。
主要挑战
一般ERP系统采用客户端/服务端结构可以使企业低成本、高效率地获得业务的集成管理功能。但是如果对这种技术结构的灵活性缺乏有效的控制,系统会很容易暴露在被攻击的风险中。这种系统攻击包括内部用户无意或恶意的攻击、外部人员通过网络进行的无意或恶意攻击和病毒攻击等,会给企业的ERP系统,以及基于ERP系统的内部控制体系带来恶劣的后果。
数据的所有权和日常维护也成为一个问题。如果对用户有不合控制体系要求的访问权限设置,那么系統将缺乏有效的反馈机制约束,其对系统的滥用,使得系统中一些机密数据变得非常透明并有可能导致企业的重大损失。数据的一次性输入和即时传递模式也造成了新的控制问题。ERP环境下,数据通常是一次输入完成后在系统内通用的,由于没有了传统环境下对数据的核对和检查过程,那么如果数据初始输入有误,就会导致错误的数据在系统内被反复使用并造成一连串的错误处理活动、输出一连串的错误处理结果,直接影响到其他流程的运作。这种情况对ERP环境下数据输入点的控制提出了更高的要求。
ERP系统所依赖的软、硬件环境也对企业内控体系提出了新的要求。对硬件运行实体环境的安排、对计算机硬件系统和外设的实体控制、对ERP系统二次开发和系统维护的控制、对软件数据的备份安排等内容,也都要被企业纳入内部控制体系中去。
ERP环境下各种业务数据和控制信息的电子化特性给企业的内部控制带来了新的风险。业务数据的电子化特点使其输入和传递更加方便快捷,准确性也得到了保证。这样,企业内部控制体系在ERP环境下具有更高的经济性和效率性,降低了成本,加强了内部基础控制体系的规范性。但是,电子化数据和信息的合法性问题和安全性问题也将成为内控体系关注的重点,网络环境自身的安全性也同样脆弱,任何对企业内部网络系统的破坏都可能会给企业的运作带来严重后果。企业在网络安全上会面面临各种控制难题,需要制订相应的措施来进行防范。
实施关键
在ERP系统开发与实施过程中,应当全面考虑,将完善的内部控制体系有步骤地融入ERP环境当中,并将信息技术带来的风险纳入新的内部控制之中,以便在内部控制方面尽量扬长避短,为企业引入ERP带来最大的收益。
其一,要认识到ERP内部控制与传统内部控制存在差异,并依据该框架建立企业自己的内部控制制度、设计内部控制流程、内部控制点、内部控制检测点等内容。由于ERP中IT技术渗透到整个管理系统中,因而IT控制并非一个与管理控制、会计控制相剥离的独立部分,而是与它们紧密结合、相互作用的部分,需要共同考虑,企业自身对于内部控制目标的精准认识对于企业后续与ERP开发商技术人员之间的沟通会起到关键的作用。
其二,在已确定的内部控制框架内对具体的内部控制方案进行细化设计。在进行设计时,首先,应当明确业务流程中各个作业前后的衔接,明确这些作业相互之间的关系;其次,制定每一项作业相应的作业标准和考核指标;再次,明确每项作业中的任务组合,对每项任务制定出相应的标准,即完成任务的指标,其中包括量化和非量化指标;最后,将每一项任务落实到执行任务的个人或者功能模块,用上述制定的量化和非量化指标作为考核业绩指标。同时由于任务最终落实到组织,涉及授权和责任的划分,这样流程的设计和组织的涉及就达到了有效的结合;而在一项业务流程的执行过程中,也可能涉及不同的内部控制项目,那么组织、项目、流程就可以完成三维的组合。
其三,在ERP项目引入的需求分析阶段与开发阶段必须重视与开发商充分沟通。
其四,从重点模块入手,逐步扩展完成整个ERP内部控制系统的融入。ERP系统中影响面最广的模块是财务模块,财务与各项业务关系密切,因而内部控制从财务入手就容易对业务进行有效的监管和管理;财务管理和其他业务模块的集成使得企业的所有业务环节、所有部门都能被有效地制约和监控,做到事前预算、事中控制、事后准确核算。需要说明的是,企业建立ERP系统不是一蹴而就的,依附于ERP之上的内部控制系统必须随着ERP系统的使用与修改不断进行变动完善,ERP系统中的内部控制系统的成熟完善是一个渐进的过程。
完善建议
在ERP环境下,完善企业内部控制的措施建议从以下几个方面入手:
一、完善公司的治理结构。要确保企业内部控制建设和作用的有效发挥,主要有两点:一方面是硬件条件,即企业组织机构的建立和完善;另一方面是软件条件,即企业内部组织结构间的有效分工与牵制。企业组织结构的设置和完善程度是影响企业内部控制的重要因素,在很大程度上决定了内部控制的效果,所以企业一定要建立科学合理的组织结构,明确划分公司内部的权利与责任,做到权责明确,同时要针对ERP系统的特点,建立有效的监控机制。
二、制定完善的风险评估制度。在實施过程中能够很好很准确地对风险进行评估,这样才能降低风险程度。企业除了要建立传统的风险管理机制之外,还要结合信息化的特点,建立基于信息化的风险管理机制:一是建立一套信息网络系统安全政策和制度;二是定期对系统安全政策与制度的实施效果进行评价;三是通过企业内部会计控制框架的构建,建立、健全预算及责任控制,强化信息化的风险意识。必要时企业可设置风险评估部门或岗位,专门负责有关风险的识别、规避和控制。
三、加强内部控制制度保障。包括:优化企业的组织结构,明确权利职责;建立起有效、合理的内部管理制度;明确岗位职责,实施关键岗位分离制、轮岗制;强化企业内部审计监督。
四、加强对ERP信息系统的软件和软件的监督和管理。ERP信息系统依赖的是一个强大的软硬件平台,为了保证企业的正常运转,必须保证这个平台的稳定与高速运行,要加大对软硬件系统的维护与评价,定期出具系统运行报告,定期对系统进行监测与维护。每年的审计,注明会计师应当对企业的ERP系统的软硬件进行审计,测试在这个系统上运行的ERP提供的数据是否真正在确、可靠,并在审计报告中给予披露。
五、加强专业人才的培养与开发。信息经济时代,对从事财务工作的人员,提出了更高的要求,要有扎实的计算机水平和不断更新的专业知识,这就要求我们企业应当加强对员工的培训,不断地对他们提供新的课程培训和企业文化引导,形成爱岗敬业的基本素质,加强职业道德建设,加快企业文化建设。在信息化环境下,应倡导动态的企业文化,提倡团队精神,对不断变化的环境作出快速的反应。
随着信息化的发展,ERP系统的日趋完善,企业的内部控制必然向着制度化、规范化、信息化的方向发展,内部控制必将为企业的健康持续发展保驾护航,并将迎来一个新的发展里程。
(作者供职于康龙化成(北京)新药技术有限公司)