文/王 琼 叶 勇
ERPP环境下的企业内部控制问题研究
文/王琼叶勇
内部控制是现代企业管理中的一个重要内容,是为了保证企业的正常经营活动所采取的必要的管理措施,伴随着经济环境及科学技术的不断变化,面临巨大挑战的企业集团迫于生存及发展更加重视内部控制。而信息化浪潮使得企业集团的生产经营活动也在悄然发生着变化,越来越多的企业集团开始关注ERP系统在内部控制中的应用和发展。因此如何使规模庞大的企业集团在ERP环境下实现有效的内部控制就成为了一个很重要的课题。本文主要以控制环境为出发点,对ERP环境下内部控制面临的问题及如何建立健全的企业内部控制评价体系进行探讨,旨在促使企业内部控制朝着规范、有效的方向发展。
ERP环境下对企业内部控制各要素有一定的帮助,很大程度上提高了企业的工作效率和市场竞争力,但是任何事物都是具有双重性的,有利必有弊,对企业有有利的一面,当然避免不了也会带来一定的风险。
实施风险
由于不同行业、不同企业千差万别,ERP实施过程中的风险也各有不同。总体来说具有以下共性:
1.蓝图设计阶段的风险
(1)如果用户决定自行实施ERP系统,是否具备足够的技术力量、项目管理和控制的能力以及有效的实施方法相当关键。
(2)用户决定雇佣顾问公司帮助实施,需要重点考察其是否具备足够的水平和经验。
(3)在实施过程中难免会遇到企业管理流程和机构重组问题,由于牵涉到企业各部门的利益和运作习惯,相关人员的观念难以转变,部门之间难以协调,中层领导出现阻力,缺乏改革的动力。
(4)企业实施ERP系统的目标不明确,实施范围不确定,并且在实施过程中经常发生变化,导致实施困难。
2.系统建设阶段的风险
(1)实施过程中需要企业项目实施小组成员全力的投入。但因为业务繁忙、时间冲突,造成项目人力资源方面的矛盾。
(2)项目管理能力不足,沟通不够,造成项目实施过程中的混乱。
(3)决策层缺乏充分投入,关键问题长期悬而未决。
(4)由于选型不当,造成实施过程中业务流程和管理的需求在系统中难以实现。
(5)企业用户缺乏足够的技术支持。
(6)实施的时间不充分。
3.系统切换阶段及后续使用阶段的风险
(1)系统过于复杂导致操作人员难以掌握系统,或者操作人员的培训不够充分。
(2)企业的业务方向在实施过程中发生改变,或者市场环境发生变化。
(3)投入高,但预期的目标和效果难以达到。
(4)流程的重组、系统的实施给企业带来的变化使企业难以适应,从而造成管理上的混乱。
(5)如果企业用户在实施新的系统之前正在使用一套旧的系统,新系统的启动会造成历史数据与新系统无法兼容。
控制环境风险
在ERP环境下,基于网络的会计信息系统使会计信息在企业公共信息平台上成为开放的信息系统,这就涉及信息系统如何识别人的身份及授权问题。在ERP系统中,由于功能和知识高度集中,导致职责的集中,会计岗位合并,企业财务人员从事数据的输入、处理又负责数据和财务报告的输出、报送。这就容易使他们在未经批准的情况下,对信息系统中的程序和数据库进行修改等操作处理,从而加大了错误与弊端出现的风险。
业务流程风险
ERP系统中单一的数据库,使过去跨部门的审批流程得到简化和压缩。压缩所造成的一个结果是,用于企业内部控制的许多审计线索在ERP系统的引入后消失了。同时,企业过去基于文件审批的内部控制机制,也无法适应ERP基于流程的管理需要。
数据风险
如果没有建立硬件、软件和数据管理制度,并不经常对有关设备进行保养、保持机房与设备的整洁等措施,就不能保证机房设备和计算机正常运行;如果不能确保ERP数据和ERP软件的安全保密,就不能防止对数据和软件的非法修改和删除;如果对ERP软件更换、修改、升级和硬件设备进行更换时,没有一定的审批手续,并由有关人员进行监督,就难以以保证ERP数据的连续和安全;如果不健全硬件和软件的定时维护措施,就不能防治计算机病毒、黑客等入侵的措施。
公司治理结构不完善
企业缺乏良好的治理,使得内部控制成为了无源之水、无本之木,大有纸上谈兵之势。
风险评估制度的缺失
一旦风险转化为危机,必将造成企业的巨大损失。企业在业务流程内部控制方面,资产控制和授权控制的漏洞较大。
内部控制措施缺乏保障
其具体体现在对现金管理不严,造成资金闲置或不足,应收账款周转缓慢,造成资金收回困难,存货控制薄弱,造成资金呆滞,重钱不重物,资产流失浪费严重。采购制度不够严密,缺乏审核和牵制;存货收发手续不严,未及时和会计记录核对;经济往来中审查制度不健全,造成资产不清等方面。
监督机制不全
目前有很多企业监督评审主要依靠内审部门来实现,而有些企业的内审部门隶属于财务部门,与财务部同属一人领导,内部审计在形式上就缺乏应有的独立性。
另外,如果不了解内控与管理的关系,就不可能充分加强内控工作。
面向ERP环境的内部控制体系的设计,不仅要遵循与传统环境下的内控系统相同的原则,而且还要根据控制对象、控制方式和控制环节的变化采取一些新的控制措施和方法。
系统开发和初始化控制
(1)系统开发阶段应该避免日后日常操作者的深入参与,避免操作者全面了解系统并发现和利用系统漏洞。
(2)系统初始化过程应该聘请第三方中介机构或者由拥有系统全部管理权限的管理者来进行或者由专业技术人员在管理者严格监控下进行。
(3)系统的修改和二次开发必须由经过授权的专业机构或者人员进行。
组织控制
(1)日常系统维护部门和实际操作使用部门分离,系统维护部门无权接触实际业务活动的操作。
(2)系统维护部门内部如系统管理员、操作员、资料保管员等各个岗位应分别设立不同的人员。
(3)业务处理部门内部应按照内控审核批准体系对不同的用户在系统应用上设定不同的操作授权。人员发生岗位变动时,应及时取消或增加授权。
信息系统安全控制
(1)所有ERP的用户均需要获得授权,方可接触软硬件系统。
(2)通过提供专用办公地点、安装空调、安装UPS不间断电源等硬件措施保证ERP系统核心硬件系统的环境安全。
(3)在软件应用上设定可靠的安全加密和病毒防范体系。
(4)系统产生的文档,无论是电子文件还是纸质文件,均需由经过授权的专人保管。
操作控制
(1)对使用ERP系统的用户根据其岗位职责和内控体系要求分别设定不同的系统权限,授予相应的用户代码和口令。
(2)所有在系统内进行的业务操作活动均需经过授权。
(3)需要核准、审批的业务凭证必须由有权限的用户审核后方可在系统内进入下一道处理程序。
(4)错误的输入需要经过授权方可更改。
(5)定期由有权限的用户对系统进行备份。
实时监督控制
(1)设定系统自我保护体系,自动记录使用情况,记录应保证经授权的管理人员实时获得和分析。
(2)系统在使用过程中发生错误,应保证相关的管理人员实时得到信息通知并进行及时处理。
(3) 输入的基础数据的完整性和正确性应有抽核机制。
公司简介
中国昊华化工集团股份有限公司是由中国化工集团公司、光大金控化工投资有限公司共同投资,以氟化工、精细化工和氯碱化工为主导产业的大型化工企业集团。昊华公司的管理需求促使他们认定,必须选择一个能不断发展、不断增进新管理理念的软件。他们了解到SAP不但有软件的开发能力,还有软件系统的设计能力和管理设计能力。因此,他们认为SAP是一个能不断发展的软件。昊华公司的很多人认为,SAP在一定程度上引领了他们的信息化管理方向。昊华公司把实施和使用ERP的历程分为三个阶段,第一阶段是软件通用模块的实施阶段;第二阶段是企业特有模块实施阶段;第三阶段就是利用已经实施的系统进行管理流程再造以追求效率和效益最大化的阶段。昊华公司认为,真正的流程再造必须发生在系统模块上线以后。随着计算机系统的应用,不合理的流程逐渐显现或被发现。即使是基层业务人员也会提出朴素的流程再造要求:“这样的流程设计会更加麻烦,不能够修改吗?”显然,这种关于企业业务流程的持续优化再造,很难依靠外在的力量。昊华公司自己的系统维护部门在这个时候开始发挥巨大的作用。
ERP系统实施评价
1.定位成功
ERP系统自上线开始,从无到有,再逐步连锁反应触及相关管理业务,这是一个连续的进程。昊华公司在系统上线之初,就将其定义为不断发展的软件,是明智之举。
2.选取优质的系统咨询服务并本地化
由于ERP软件是一个很大的系统,企业往往只用其中的一部分功能,对于大部分有待开发的功能,开始时企业不可能也没有必要全部掌握。因此随着应用的深入,项目实施中的技术咨询不可缺少。在这样一个长期的实施过程中,沟通良好、回应迅速、不间断是包括三菱在内的所有用户对咨询服务的期望。显然,只有本地化的服务队伍,才能较好地满足这样的期望。因此,在选择管理软件,尤其是选择国外软件时,本地化服务必须强调。
3.主体实施意识明确
在项目一开始,昊华公司就向SAP明确表态:SAP的职责就是跟他们很好配合,通过前期项目实施,帮他们培养团队。负责项目实施的管理信息部在系统上线后将作为企业的管理职能部门长期存在。因此,这些做项目的人要通过项目的熏陶,具备三种素质:第一,熟悉相关业务;第二,具有现代管理知识;第三,很好的信息技术背景。以昊华公司的人马为主,SAP的项目经理只起咨询作用。
4.真正的流程再造发生在系统模块上线以后
流程再造不可能在选型前进行,因为系统没有上线运行前很难被发现,这样的流程咨询人员,在系统实施前无法找到,而且没有系统的依托,这种再造也无法进行。同时,这种流程再造也不可能在模块实施中进行,否则反复修改会影响实施进度。
昊华公司ERP环境下主要业务内部控制设计
作为一个庞大的系统工程,其每一功能模块都贯穿了ERP先进的内部控制与管理经验,基于公司的业务状况及性质(根据项目合同组织资源),昊华公司整个业务链条是以销售为起点,根据销售签订或预计合同状况,采购及生产部开始准备基础物料,根据合同开工时间工程部安排工程师到现场进行设备安装督导及调试,直至项目完工验收合格交付使用单位。
1.采购生产系统
物料管理的目的是满足下列各种处理,即物料需求计划、物料采购、库存 管理、发票确认和物料估价。ERP的各个部分是集成在一起的,ERP系统与下列部分有接口:
(1)通过使用采购和仓库/库存系统,ERP系统能够提供物料需求计划的基础数据。
(2)采购具有强大的功能,可以优化相关的处理过程,即从采购申请的生成到打印采购订单和长期采购协议。
(3)仓库管理能够定义并管理复杂的仓库机构,可以将仓库分为不同的物理或逻辑单元,例如高架区和存储区。可以随机的组织和管理,或按图示存储原则组织和管理。
(4)发票确认(发票匹配或发票取消)功能清晰地表明了系统集成的程度。
2.项目管理系统
在昊华公司项目管理模块是整个公司的核心业务模块,该模块主要是针对项目的目标对项目进行计划,控制以及对长期复杂项目进行的监控管理。项目经理要在项目所需资源保障的前提下确保项目高效、及时并在预算控制范围内完成项目,因此,项目的目标必须能准确描述,项目活动必须能够分层架构。每个销售订单都会独立地作为一个项目进行收入及成本费用的归集、然后每个项目,根据其不同的性质再向下分解为物料、服务两部分,同样物料又可向下细分为进口物料,本地物料,服务分解为现场督导、初步验收、最终验收等活动,每一个具体的工作单位根据工作时间的先后顺序就组成了项目业务管理的网络结构,各个具体工作单位又是相应的成本费用归集单元,从而实现以项目为核算对象的财务管理模式。
3. 内部会计控制系统
内部会计控制的目标是保证业务按照适当的授权进行;保证业务活动以正确的金额,在规定的会计期间,记录于规定的账户;保证账面资产与实有资产定期核对,并揭示薄弱环节;保证企业经济活动依法、有效、有序地进行。为此昊华公司根据内部会计控制的内容,建立了以下实施控制的方法。
(1)组织结构和权责体系的控制。组织结构是计划、行动、监控、督导活动的分工体系。
(2)授权批准控制。授权批准是处理经济业务活动的游戏规则,是一种指导企业业务活动的程序性文件,包括作业程序、操作规范、授权批准等。
(3)信息记录控制。信息记录控制是以满足信息使用者的需要而构建的控制系统。通过表单、程序、操作规范等方式进行控制。
(4)财务预算控制。财务预算是以货币形式规定了经济活动的数量标准,为内部会计控制提供了控制标准和对经济活动的评价依据。
(5)内部会计控制有效性评估。会计控制制度的可理解性、可操作性是控制有效性的前提。通过对内部会计控制有效性的评估导出对下一经济循环更好的控制。
(6)内部审计。内部审计是企业内部审计部门对企业经营状况、资产状况和会计信息真实状况以及工程预决算等重大经济事项所进行的审查。内部审计包括内部财务审计及内部经营审计。
作者单位:(中国昊华化工集团股份有限公司)