ERP 背景下企业内控风险管理
2023-03-11王旭花
□文/ 王旭花
(浙江宏远智能科技有限公司 浙江·义乌)
[提要] 当前我国企业信息化建设取得长足的进步,各行各业都在广泛应用ERP 系统,在提升企业管理水平和竞争力方面起到重要作用,但是在实际应用过程中也存在着一些问题,尤其是在企业内部控制方面。本文对ERP 系统和企业内部控制进行简单概述,总结ERP 背景下企业内控风险管理的重要性,同时结合互联网企业对ERP 背景下企业内控风险管理问题进行分析,并提出相应的对策建议。
随着科学技术的广泛应用,人们越来越深刻认识到科技的力量,尤其是互联网企业的各种技术服务深入各行各业,为行业的经营生产注入了新的活力,而互联网企业自身的发展也应得到关注,如何规范化管理,如何进行有效的内部控制都需要进行系统研究。
一、ERP 系统与企业内控概述
(一)ERP 系统概述。ERP 系统是指企业的资源计划,在1990 年由美国公司提出,是在原有的MRP(企业制造资源计划)的基础上升级的新一代制造业系统和资源性计划软件,功能包括生产资源计划、制造、财务、销售、质量管理、实验室管理、业务流程管理、产品数据管理、存货、分销与运输管理、人力管理信息报告。在我国ERP 的含义更为宽泛,包括用于企业改善业务流程的各类软件。ERP 也是一种供应链管理思想,是指建立在信息技术基础上,系统化的管理思想。ERP 也是为企业决策层和员工提供决策运行手段的管理平台。
当前ERP 系统广泛应用于各行各业,从大规模上市公司到中小型企业都在企业管理中构建ERP 系统,ERP 系统最先应用于财务管理方面,同时财务管理也是ERP 应用最为成熟的领域。
(二)企业内部控制概述
1、内部控制的概念。内部控制指的是企业为了实现安全有效的经营目标,维护企业资产的稳定,掌握准确的财务信息,在企业内部管理过程中实施的一系列措施。狭义的内部控制是财务管理的范畴,广义的内部控制包括企业管理各个部门、各个环节,例如对经营决策的规划、对销售的约束、对项目完成的评价等都是内部控制的范畴,因此广义上内部控制需要企业所有部门和所有员工共同参与执行。
2、内部控制的具体内容。从内部控制的概念中可以看出,内部控制的内容是十分广泛的,以下笔者结合互联网企业对内部控制的具体内容进行简单阐述:第一,公司整体的管理环境。这其中包括企业经营者对内部控制的认识和态度,企业员工对内部控制实施的配合度,这些因素关系着企业的运行效率,只有在共同目标下进行协调行动才能保证企业经营目标的实现。第二,对风险的识别和分析。内外各种因素的变化都可能给企业带来风险,这也包括ERP 系统自身的应用,因此必须通过风险识别和分析来进行内部控制,这也是内部控制的核心内容。第三,控制措施。围绕管理目标对经营信息进行处理、对项目业绩进行评估、对资产现金进行盘点、对现金流进行记录等。第四,监督活动。监督活动是企业内部控制的重要内容,监督的对象包含企业的各个方面,例如资产、员工、项目以及内部控制本身。
(三)ERP 系统与企业内部控制的关系。首先,从表面上来看,ERP系统改变了内部控制的范围、形式和内容,ERP 系统将生产经营各个环节的数据信息进行汇总、分析、处理,企业内部控制相应地也要对更加复杂的数据信息进行管理控制,既能够为企业内部控制提供依据和帮助,也增加了内部控制的管理内容,提高了内部控制的要求;ERP 背景下企业运营数据上传系统,内部控制也要从传统的对账凭证的形式转变为利用计算机软件对数据进行内控管理,随着技术的不断更新,内控管理的形式也在不断变化;ERP 系统在财务管理方面的应用使得内部控制的内容也发生了转移,由原来的记载内容是否准确转向对输入会计信息的准确度以及对ERP 系统自身的控制。其次,企业内部控制的实施对ERP 系统也具有反作用,即内部控制通过控制每个环节数据信息的真实性能够更好地维护ERP 系统运行的安全性、可靠性,有利于ERP 系统功能的发挥。
二、ERP 背景下企业内控风险管理的重要性
内部控制的实质就是风险管理,一个企业要发挥出内部控制功效,就必须从控制和防范内部控制风险开始。ERP 的应用使得内部控制风险的因素更加复杂,因此在ERP 背景下进行有效的内控风险管理更加重要。
(一)提高企业内控数据信息的准确性。内部控制风险管理实施的依据就是内控数据信息,只有信息准确才能保证内控风险管理的实施效果和目标。ERP 系统本身就具有开放性,能够汇总各个经营环节和经营过程中海量的信息,保证数据来源的全面性和来源准确性;现代ERP 系统还能够利用不同环节输入的数据信息进行相互印证,同时还有原始票证的上传作为佐证,也能够对数据信息的准确性进行检验,因此ERP 系统能够对所上传的以上资料信息进行核对处理,能够保证数据信息的准确性,避免人工记账模式下失误带来的风险。ERP 系统在融合了现代网络技术后更加智能,可以按照管理者的指令进行数据信息的筛选和分析,通过模拟沙盘来直观展现清晰的结果,有利于企业按照内控原则实施精准内控措施。作为互联网企业,在ERP 系统运行上本身就具有技术上的优越性,因此可以更有效地利用ERP 系统来实施企业内控风险管理。
(二)提高企业内控的效率和关联性。ERP 系统以现代信息技术的方式提高了获得数据信息的效率,这也直接转化为企业内控效率的提升,大大缩短了从企业生产经营各个环节获取数据信息的时间,例如销售环节应用ERP 系统对销售信息上传,财务部门在获得授权的情况下是可以实时得到销售数据的,从而能够第一时间对其进行分析预判。同时,ERP 系统的应用也提高了获得数据信息的完整性和关联性。由于ERP 系统本身就包含着生产经营的各个环节,其关联性显而易见,通过系统模拟分析很快就能够检验哪一环节存在疏漏,这也成为内控管理有效的助手。
(三)有利于提高内部控制的预判能力和控制效果。在ERP 背景下,企业经营各个环节的数据信息能够得到全面准确的反映,还能够反映各个部门、不同岗位员工职责履行情况,这为内部控制提供了重要依据。同时,系统本身能够通过模拟来进行预期观测,提高了内部控制的预判能力,在这样的依据下所实施的内部控制更加具有风险防范的效果。
三、企业内控风险管理存在的问题
现代信息技术的发展为现代社会生产生活带来了全新的发展之路,这其中互联网企业的贡献尤为突出。作为新兴行业,互联网企业应当不断完善企业管理,发挥内部控制的作用,尤其要正视当前内控风险管理存在的问题。以下笔者结合互联网企业实际来分析当前内控管理存在的问题。
(一)对内控的风险管理认识不到位。上文提到ERP 系统的运用有益于企业内控数据信息的准确,但同时也要认识到ERP 系统由于具有较强的开放性也给企业的内控带来了潜在风险。首先,ERP 系统中录入的数据信息容易被篡改,例如有的企业为了给投资者或者客户展现自身实力故意做出一套漂亮的财务报表,甚至还有的上市公司为了通过财务审计而恶意虚构数据,这都是内部控制的风险。其次,ERP 系统也可能受到木马病毒、网络黑客的攻击,造成各类数据信息发生损坏甚至丢失。此外,还有的企业在管理层就缺乏对内控风险管理的认识,在引入ERP 系统并应用时没有充分考虑其带来的风险。
(二)缺乏ERP 与内控相结合的专业技术人员。ERP 系统的运用需要的是信息技术专业人员,现代ERP 系统融合了网络技术后对人员的技术要求更高了,内部控制本身就需要具有综合业务知识的人员,要求具备财务、法律、运营等综合业务知识,因此在ERP 背景下实施企业内控风险管理需要的人才是复合型的。但是从当前来看,企业的内部控制多数是由财务人员实施,有的企业认为ERP 系统的运用就是按照规定输入数据即可,因此由财务人员实施即可,但这样有时无法充分发挥出ERP 系统的功能,也影响企业内控的风险管理。虽然互联网公司在网络技术上存在优势,但大多数还是由财务人员来实施内控,同样也面临着缺乏复合型技术人员的问题。
(三)ERP 系统与企业运行实际结合性差。ERP 系统起源于国外,国内企业引入应用之初既是为了提高运行效率,也是为了跟上时代发展步伐,但大多数企业在引入ERP 系统时采取的是拿来主义,没有将ERP 系统的运行与企业自身发展实际相结合,不但影响了ERP 系统功能的发挥,也带来了内控风险。
(四)系统授权管理不规范。上文提到ERP 背景下企业内部控制的重点发生转移,因此实施内控风险管理也要重点针对ERP 系统执行及审批权限管理进行内部控制。在整个ERP 系统中,不同部门、不同岗位的员工应当获得的授权不同,但是由于企业在管理上的不规范或者是由于人员力量的不足,产生授权不明确甚至是授权不当,进而导致ERP 系统中数据信息无法及时准确上传,同时也会导致数据信息被不相关人员查看甚至造成数据信息泄露,由此带来的风险也是内部控制风险管理面临的重要难题。
四、ERP 背景下企业内控风险管理对策建议
在ERP 这一大的企业管理背景下,企业内控的风险管理要有效利用ERP 系统给企业管理带来的提升,同时也要客观认识在ERP 背景下企业内控存在的风险,更为重要的是采取有效措施来避免或者降低风险。以下笔者从四个方面提出企业内控风险管理的建议:
(一)完善内控制度,提高ERP 系统安全运行效率。内部控制作为企业财务管理的一部分要真正发挥作用必须形成有效的内控制度。结合ERP 系统运用,完善互联网企业内控制度可以从以下几点入手:一是结合企业具体的工作流程和经营业务制定相关的工作流程和标准,明确内部控制的范围,重点制定岗位责任制、内部牵制制度等基本的财务控制制度;二是建立健全内控人员奖惩制度,鼓励内控人员揭发内控失真现象,坚决杜绝徇私舞弊现象的出现;三是在ERP 背景下,加强内控信息化的安全建设,严格控制人员登陆和使用权限,有效防范网络风险。
(二)加强对企业内控风险的监督,建立评估机制。针对企业内控风险的管理要加强监督,制定有效的监督机制,通过对企业内部控制各项工作进行监督、指导,保障各个环节符合法律法规,实现企业内部控制制度建设的优化配置。同时,还要进行严格的风险评估,对可能存在的风险通过有效措施进行防范。风险评估机制的建立要以控制目标为依据,在各种复杂的管理要素中,找出制约控制目标的关键问题,对风险进行科学、有效的评估,最后来采取有效的防范措施进行控制。针对上文所述,企业运用ERP 系统中可能面临木马病毒、黑客攻击等风险,在进行内控管理时可以采取安装杀毒软件、聘请专业技术人员防御黑客攻击等措施。以互联网公司为例,可以利用其技术优势,建立专门的ERP 运营小组,来建立安全防护体系,同时专门对突发状况进行应急处理。
(三)引进和培养复合型专业技术人才。企业要想切实有效地加强内部控制,必须积极引进和培养复合型专业技术人才。首先,在人才引进方面,要拓宽人才引进渠道,组织招聘活动,开通网上人才信息、交流、招聘功能,开展网上招聘活动,还可以与高校合作,从高校毕业生中挑选有跨学科知识的优秀人才;其次,除了引进复合型内控人才,企业更应当注重对内部从事内控工作的人员进行培养提高,建立多途径的培训机制,例如参加学历提升、专业培训班、到大公司观摩学习等。
(四)结合企业内控风险管理实际完善ERP 系统。我国ERP 系统引进应用时缺乏与企业自身实际的结合,对此企业要结合生产经营实际完善ERP 系统,结合本文所论述的内容,从内控风险管理的角度完善ERP 系统应当做到以下几点:一是成立专门的内控风险管理小组,整理分析企业的业务流程、全面评估风险,并随着业务和风险的变化随时优化ERP 系统;二是保证数据信息的准确性和完整性,尤其是利用系统生成报表过程中,必须要在内控风险管理中做到有据可循,要保证数据信息经得起检验。不同类型、不同规模的企业都应在完善ERP系统中建立内控风险管理模块,其原则是结合企业自身实际。
五、结语
ERP 技术系统作为全新的信息技术,在企业经营管理中运用得已经十分广泛,在数据信息收集、汇总和分析方面为企业的管理提供了重要支撑,但作为开放性技术系统,也给企业内控带来了风险,因此企业必须重视在ERP 背景下的内控风险管理,要结合企业自身经营发展实际,全面客观认识并重视风险的存在,并从内部控制出发采取必要措施进行风险的管理。