李九斤 叶雨晴 徐畅
[摘要] ERP技术对中国石油企业内部控制体系由传统粗放式管理向信息细致化管理的转变具有积极影响,其风险控制的复杂性、信息混杂性等特征对中国石油企业的管理提出了新的挑战。中国石油企业应结合ERP环境重新拟定并整合业务控制目标和流程,建立ERP岗位责任制和控制权限,在互联网环境下完善其软件的开发与控制系统,为中国石油企业内部控制构建一个新型的科学体系。
[关键词] ERP;石油企业;内部控制
[中图分类号]F272.3
[文献标识码]A
[文章编号] 1673-5595(2015)02-0006-06
一、引言
当下,现代企业管理中的内部控制制度越来越受专家学者的青睐,但内部控制真正在中国成为学术热点还不到10年。据相关记载,内部控制一词于20世纪早期针对财务报告丑闻这一现象应审计师要求出现。1992年,美国COSO委员会发表的《内部控制整体框架》报告,被视为国际研究内部控制问题的里程碑。此时,内部控制研究出现了一个普遍现象——COSO崇拜,将COSO报告奉为解决内部控制问题的权威经典。但2000年以后,伴随财务舞弊案的相继爆发,美国在内部控制制度上的问题暴露显著,国内外学者对内部控制进行重新研究。他们发现整个COSO报告以私有制企业为研究对象,甚少考虑政府的实际影响,设计关注点也只是在不同类型企业内部控制与风险管理的“共性”特征上,没有具体到不同类型企业内部控制问题的“个性”特征。[1]然而在以公有制经济与国有企业占据主导地位的中国,尤其是作为中国国民经济重要基础产业之一的石油企业,事关国家命脉,不能简单地引入国际先进的内部控制理论,必须结合中国企业的特殊性质和现状,真正探索出一条适应中国企业特征的内部控制体系。
由于石油企业是中国国民经济的重要基础产业之一,对中国社会主义市场经济持续稳定发展起举足轻重的作用,因此,加强石油企业内部生产经营流程的监督和控制,完善防范相关潜在风险的内部控制体系,对中国经济的健康发展意义重大。然而目前,中国对内部控制的认知仍然存在很大误区,虽然石油企业已经开始重视内部控制并制定了相应的内部控制制度,但理论与实际存在脱节,实施过程中还存在不完善之处。因此,石油企业必须顺应市场而作出调整。一个对市场反应迅速,基于信息和网络技术结合,实现了资金流、信息流、物流和各种资源信息的管理信息系统——企业资源计划(Enterprise Resource Planning,ERP)应运而生。它的实施将内部控制方法与信息技术有机结合,有利于实现石油企业由传统粗放式管理向信息细致化方向的转变。
二、研究综述
(一)国外研究综述
国外关于ERP环境下内部控制问题的研究主要分为两个方面:一是关注信息技术环境下内部控制信息披露的成本;二是主要探讨内部控制的实质性缺陷。
对于第一方面,2002年美国颁布《萨班斯—奥克斯利法案》, Meearthy分析发现该法案的提出不仅对财务舞弊行为有所抑制,而且在一定程度上能有效降低处理成本,进一步研究他还发现存在内部控制缺陷的公司比内部控制制度完善公司的披露成本更高。[2]
对于第二方面,Hollis运用《萨班斯—奥克斯利法案》披露会计信息时,发现上市公司存在内部控制投入较少、会计风险较多的问题。2011年,David首次提出“功能驱动”和“事件驱动”概念,阐述了ERP系统的本质并发现:“无论管理者何时考虑改变组织的业务运行都应该将内部控制嵌入到企业基础结构中,这是基本的指导前提。”[3]
(二)国内研究综述
内部控制在中国企业的应用研究主要有两个层面:第一个层面是中国内部控制评价体系的建立及有效性分析;第二个层面是如何更好地结合网络信息技术建立内部控制体系。
中国内部控制体系的建立必须立足国情,用科学的方法对内部控制有效性指标进行判断。[4]李心合通过分析中国公司环境的变化发现,决定公司命运的不是虚假财务报告而是公司业绩,因此内部控制应以价值创造为导向。[5]杨有红和陈凌云研究了2007年沪市公司的内部控制情况,发现高管对内部控制的自我评价能增强信息有效性,帮助外部信息使用者做决策。[6]周小燕采用定性分析和定量分析相结合的方式评价企业内部控制有效性,认为中国国有企业应结合信息技术环境来提高内部控制有效性。[7]
关于如何结合信息技术建立内部控制体系是近几年内部控制研究的热点问题。李万福等以盛威尔公司为研究样本,指出ERP 在实施中进行内部控制整合才能对企业成功运营起关键性作用。[8]陈志斌认为处于信息化生态环境中的企业,内部控制应加强对软件漏洞风险、系统运转的不稳定性和操作中的人为风险等不稳定因素的控制。[9]
中国石油大学学报(社会科学版)2015年4月
第31卷第2期李九斤,等:ERP环境下石油企业内部控制研究
由上述文献可知,国内外学者对于内部控制框架结构、内部控制评价体系及内部控制信息披露体系均有一定研究,为本文打下了坚实基础。但伴随IT技术的广泛应用,信息技术大环境下如何有效将内部控制制度通过业务流程整合等手段,成功嵌入ERP系统中以发挥其应有作用的研究几乎没有,这给本文留下了一定的研究空间。
三、ERP对石油企业内部控制的影响
(一)中国石油企业内部控制的内涵及特征
石油企业内部控制是指石油企业为实现经营目标、保护资产、保证财务报告的准确可靠、维护经营效果和效率而在企业内部采取的自我调整、约束、规划、评价和控制的一系列方法与措施的总称。[10]
石油企业作为国民经济的重要部门,其内部控制既存在一般生产类企业对人、财、物、产、供、销进行的管理控制,又包括自身所特有的一部分属性:(1)石油企业上中下游业务协同一体化发展,然而各项环节均有地域跨度,没有传统工业企业那样集中。(2)经营集约化需求特殊。石油企业业务流程复杂,对数据的采集与汇总工作量大,依赖仪表进行数字化管理。[11](3)中国石油公司下属单位繁多且在全国范围分布广泛,在集团公司整体实施协同管理异常困难。因此,石油企业本身的特殊复杂性,加大了内部控制管理的难度。
(二)ERP对石油企业内部控制要素的影响
ERP采取国际先进的现代企业管理模式,这与传统管理模式存有较大差异。在ERP环境下,中国石油企业内部控制系统中涉及的控制要素和各项基本要素的内部构成都呈现出了新的特征。
1.内部控制环境
中国各大石油企业组织结构层次繁多,各部门间信息沟通不畅、传递速度缓慢,公司整体决策较慢,工作效率不高,采用目前国际上先进的现代企业扁平集约化管理模式的ERP,将有效提升决策者与执行者的沟通效率,明确责任。企业的所有业务流程可以看成一个环环相扣的集物流、资金流和信息流“三流合一”的供应链,见图1。
图1ERP环境下企业的供应链流程
由此可见,ERP的实施将改变以往石油企业单一部门运行的条块分割的业务体系,转而围绕某一流程和业务模块来整体运行。因此,石油企业应用ERP的管理,将会共享资源与信息,业务处理将变为跨职能、跨部门的整体运作。
2.风险评价
ERP的应用,企业任何有价值的信息均通过网络实现实时同步传递,传统封闭集中的环境不得不发生改变。由于信息较分散,电子数据还易被篡改,因此增加了企业应用ERP的风险,所以石油企业在ERP实施过程及日后的日常维护中需着重对这类风险进行控制。
3.控制活动
ERP的实施将改变以往石油企业内部控制体系依赖检查审批等复杂的控制程序,转而依靠信息技术,控制手段更加灵活,能合理高效地实现控制目标。ERP的应用将使企业的程序性活动自动实现,但企业首先应拟定内部控制制度。企业中的各项业务从政策制定到操作执行均进行系统化处理,一切按预算执行,若超出预算,系统将无法受理,须经预算调整程序解决。同时设置权限,业务操作经层层审批可杜绝越权处理。2004年,震惊中外的“中航油”陈久霖事件暴露出中国石油企业内部高管层还存在一些问题,个人专断给企业造成了巨大损失。
4.信息与沟通
中国石油企业管理层次多,各部门沟通不畅,决策效益很不明显。传统管理体制如果与ERP有效结合,将更好地拓宽员工与高管的沟通渠道,同时也能利用ERP的权限设置明确操作人员各自的权利和责任。可出现的新问题是各种信息在开放的技术环境下借助网络传递,很难避免非法侵扰,必须引起重视。
5.监督
ERP的应用改变了石油企业以往单一人工控制的内部控制方式,将程序控制与内部控制有效结合,但这会导致企业对ERP系统的依赖,如果程序出现偏差而没有得到及时更正,将会导致系统发生循环往复的错误。因此,必须指定人员在恰当的时候对企业整体内部控制运行情况进行评估。
(三) ERP环境下石油企业内部控制面临的风险
1.业务流程风险
石油企业原有的职能部门条块分割,而ERP采用的流程化管理模式,各部门统一管理共享资源,导致企业内部控制环境发生变化、风险控制更加复杂。另一方面,由于ERP的优化,业务流程得以重组,组织结构也将有所改变。因此,必须建立一个基于ERP系统的业务流程控制体系,增强对流程的控制,追踪业务系统的变化,及时优化内部控制流程。
2.技术风险
ERP系统流程化、集约化的模式,使用户可以控制或改变企业重要的业务参数,这样虽然可以灵活高效地处理问题,但也给一些恶意访问者提供了可乘之机,进而给企业带来巨大的系统安全风险。
3.数据质量风险
ERP的数据录入主要分为两种:一种是手工录入,另一种是数据的自动传递导入。人工录入不可避免出现主观差错,ERP系统中的防差错参数报警无法从根本上解决这个问题,因此,ERP系统的投入使用应以数据传递导入为主。但是,数据通过网络传递及系统升级过程的稳定性都需要在内部控制设计时加以考虑。
四、ERP环境下石油企业内部控制设计原则和步骤
(一)ERP环境下石油企业内部控制设计的原则
1.合法性原则
法律法规是由国家制定的,对企业的生产经营活动起着强制指导性作用。石油企业作为关乎国家命脉的能源型企业,内部控制设计一定要遵循国家的各项方针政策,确保每一项经济活动合法、合规。
2.全面系统性原则
企业内部控制贯穿于经营活动的各个方面,因此制定过程中,各元素间要形成一定的逻辑关系,要综合考虑石油企业的行业背景、经营规模等因素,形成一个相对全面的有机整体。
3.内部牵制原则
内部控制的精髓就在于内部牵制,具体到中国石油企业上,应该做到单独一个单位或部门无法全权处理任何一项或多项业务,应由稽查部门进行核对,以此确保内部控制的顺利运行。
4.权责明确奖惩结合原则
根据各部门的职能与性质,要明确责任和相应的权限,在ERP内部控制体系下,做到权责分明、奖惩结合。
5.成本效益原则
企业以盈利为目的的宗旨永远不会改变,石油企业作为特大型企业,倘若能处理好成本与效益间的关系,将会为国家产生巨大的经济利润,提高中国的国际竞争力。因此,应尽量减少和控制管理成本。
6.信息反馈原则
对于控制系统而言,控制主体与受控系统相互影响,只有信息反馈及时才能确保内部控制的有效性。因此,应在石油企业内部制定严密的信息反馈系统,及时了解控制措施的执行情况,确保内部控制顺利进行。
(二) ERP环境下石油企业内部控制设计的步骤
1.拟定控制目标
ERP环境下内部控制的目标是石油企业实施内部控制的最终目的和最高标准。其基本目标包括:保护资产的安全完整、保证财务会计报告的正确可靠、确保经营方针的贯彻执行、维护经营的效果和效率以及保证国家法律法规的遵守执行。
2.整合控制流程
控制流程贯穿于企业业务活动的始终,是管理层指令得以实现的保证,主要由控制点组成,当流程出现缺陷时会根据内部控制目标重新整合。当石油企业出现新的技术可以更高效地完成控制目标时,应该重新整合控制流程。ERP毕竟是一个由人操作而成的资源规划系统,它无法解决人脑不能解决的问题,因此,在导入新的适合企业业务流程的ERP系统前,企业首先要解决好内部控制的规划问题。
3.鉴别控制环节
在整个业务控制活动过程中,决定全局成效的控制点称为关键控制点,影响局部范围的控制点为一般控制点。在进行内部控制规划时,首先要发现旧系统存在的缺陷,再设计新的先进的适应企业未来发展的内部控制流程图,见图2。
图2实施ERP内部控制体系建立的流程
4.采取控制措施
控制措施一般指为防止错弊而在各控制节点上采取的一系列控制手段和方法。业务内容不同,相应的控制措施也不一样,因此,必须根据控制目标和对象采取相应的技术与手段。
五、ERP环境下石油企业内部控制设计的内容
ERP对石油企业内部控制制度的影响复杂而全面,这既包含积极的一面,同时又蕴藏新的危机。因此,如何通过石油企业控制目标来建立适应新环境的控制体系显得尤为必要。ERP的应用将传统内部控制以职能为导向转变为以流程为导向。所以,根据石油企业的具体现状在设计内部控制体系时,要综合考虑内部控制要素的新特点,具体应从以下三方面着手:
(一)组织与管理控制
组织控制是为实现组织目标而进行的结构设计、权责安排和制度改进。在ERP环境下,流程决定组织结构。因此,石油企业的组织结构设计应以产出为中心,结合信息化流程特点全盘考虑,尽可能将不同职能部门和不同专业人员完成的工作环节集合起来,形成适应ERP流程管理与控制的企业组织结构。
1.建立ERP岗位责任制
在建立ERP内部控制系统时,根据石油企业的实际情况划分出不同的岗位,明确各自职责,并在原有基本岗位基础上增加一个ERP系统岗位,直接操作和维护ERP系统。
2.建立ERP操作管理制度
建立ERP操作管理制度就是为了明确各自职责,杜绝越权操作。具体应包括建立ERP硬件、软件管理制度,确保信息安全。同时,石油企业内部操作权限要分别设置,定期轮岗作业,并建立一个健全的ERP档案管理制度,确保石油企业内部控制操作的安全可靠。
(二)业务流程控制
中国石油企业的大部分业务流程比较复杂,涉及的环节比较多,对流程控制的好坏将直接影响企业的工作效率和经营绩效。因此,完善石油企业内部控制制度,提高石油企业业务流程控制水平紧迫而重要。
BPR(Business Process Reengineering)即企业流程重组,是以经营过程为改造对象,以关心客户的需求和满意度为目标,对现有的经营过程进行根本改革,利用先进的信息制造技术及现代化管理手段最大限度地实现技术功能集成和管理职能集成,打破传统职能型组织结构(Function-Organization),建立全新过程型组织结构(Process-Oriented Organization)。它的实施将会打破以往金字塔状的组织结构,而是以作业流程为中心,实现石油企业内部整体的有效沟通,增强石油企业的应变能力和灵活性。
当前,石油企业的业务流程与信息流程已融合在一起,对它们进行控制是内部控制系统设计的重要内容。首先要熟悉石油企业相关业务与信息产生流程间的相互的联系,针对目标的制定评估出风险点,结合风险点的位置和特征,综合制定有效控制措施和可行控制方法。控制重心转移至预防为主,然后检查、纠偏,将内部控制从适时控制向事前、实时控制转移。企业基本业务流程见图3。
图3企业基本业务流程
由图3可知,业务流程重组涉及职责分工、流程设计和信息技术,因此,内部控制必须将这三方面贯穿始终。在石油企业的一系列经营活动中,要明确业务流和信息流的关键控制点,设定控制参数和程序,并将其嵌入信息系统跟踪和监控活动中;协调增值性工作的辅助增值性活动尽量减少,剔除无贡献的非增值性活动,提高流程效率。
(三)ERP信息系统控制
1.软件的开发与维护控制
ERP的应用改变了以往企业封闭式的各项业务活动,包括保密性较强的会计信息资料也完全应用在网络系统中,因此,为了更好地完成企业的营运活动,必须维护整个业务流程软件的安全。具体维护工作包括突发事件的处理、以管理和技术的手段维护和发展ERP运行环境、及时纠偏、操作人员定期培训、日常工作备份等。
2.系统安全控制
为确保数据程序的安全有效,应制定风险管理制度。为防止错误操作、不可控自然灾害以及人为非法篡改数据、计算机病毒等造成的数据破坏,需建立维护和备份的转移系统,确保系统安全。
3.数据流程控制
数据处理流程控制设计主要包括数据输入、通信处理、数据输出。在数据输入环节,为确保数据准确应建立计算平衡等相应的审批机制;要建立科目名称与代码对照文件,设计科目代码校验,设立对应关系参照文件等。在通信过程中,数据可能会遭到破坏,因此要将控制重点落在批量控制、业务时序控制、数据编码控制与发放和接收标识控制上,要采取数据加密、备份控制等技术手段进行控制。在输出控制中,要保证会计信息在传输过程中没有被遗失和错发,将控制重点放在数据的稽核上。
4.互联网下信息系统的控制
在互联网环境下,“内部”控制已是一个相对概念。因此,需把内部控制扩展到互联网的大环境下,对企业内网以外的系统空间以及关联方企业电子商务活动进行管理与控制,在集团型企业中实现远程查账、远程报表和远程审计,建立操作权限控制、内容授权控制和处理程序控制等,防止远程实时处理时集团公司和分支机构间安全隐患的扩散。
ERP环境下石油企业内部控制三个模块之间是一个相互联系的有机整体,内部控制设计应以业务流程为导向,以现行作业体系为范本,区分无效冗余作业、关键作业和增值作业,将作业、流程和经营管理重组,最终实现资源重组目标,如图4所示。
图4ERP环境下石油企业内部控制设计
六、结语
石油企业庞大的组织结构、复杂的业务流程决定了在ERP环境下要建立内部控制体系并非易事。本文针对内部控制风险和石油企业的特点,遵循内部控制设计的原则,在规范内部控制的基础上,结合ERP环境下石油企业内部控制的特殊性,提出石油企业内部控制构建的具体原则、步骤、方法和内容,并在此基础上,结合ERP环境的特点设计石油企业内部控制体系,为中国石油企业内部控制的顺利实施和其他企业内部控制的进一步完善,提供科学的建议和可行的对策。
[参考文献]
[1] 王琳,庞雪伊. 中国石油天然气行业上市公司内部控制信息披露现状及完善对策[J]. 中国石油大学学报:社会科学版,2013(10):2832.
[2] W Meearthy. The Evolution of Enterprise Infermation systems[J]. Internal Control Integrated Framework,2008(9):2331.
[3] J S David. The Committee of Sponsoring Orgnization of the Treedway Conumission[J].Internal Control Intergrated Framework,2012(11):1119.
[4] 陈关亭,张少华. 论上市公司内部控制的披露及其审核[J]. 审计研究,2003(6):3438.
[5] 李心合. 内部控制:从财务报告导向到价值创造导向[J]. 会计研究,2007(4):5460.
[6] 杨有红,陈凌云. 2007年沪市公司内部控制自我评价研究[J]. 会计研究,2009(6):5864.
[7] 周小燕. 我国企业内部控制有效性评价指标体系[J]. 财经科学,2012(5):117124.
[8] 李万福,林斌,宋璐.内部控制在公司投资中的角色:效率促进还是抑制?[J].管理世界,2011(2):8199.
[9] 陈志斌. 信息化生态环境下企业内部控制框架研究[J]. 会计研究,2007(1):3037.
[10] W Meearthy, J S David, B Sommer. The Evolution of Enterprise Information Systems[J]. Resource Science, 2011(9):2327.
[11] 赵选民,张继伟.系统论视角下的中石油内部控制[J].系统科学学报,2010(2):5461.
[责任编辑:张岩林]