■王文姣
(上实发展(青岛)投资开发有限公司)
ERP系统是企业现代化管理新模式,其借助计算机信息技术软件,实现产、供、销各个环节的资源整合和信息共享,是现代经营管理不可或缺的重要工具。从整体ERP应用情况来看,越来越多的企业重视ERP系统对内部控制的重要作用。但是,从内部控制的角度来看,很多企业对内部控制风险因素和防范方面认识不足,使得 ERP系统的应用存在较多问题,亟需加以研究。
ERP系统是将企业的人力、财物、时间、空间等资源进行整合和管理,实现企业管理的流程化、标准化。
内部控制是由企业管理层和各部门员工共同实施的,通过制定相关管理制度,保证财务数据和经营数据真实可靠,提高企业经营决策的效率,确保经营活动合法合规,以及及时应对各项风险的一系列过程。
1.2.1 企业ERP系统是内部控制的工具和途径
完善的内控体系是实现企业现代化管理的根本,而内部控制是一项涉及面广泛、操作繁琐的工作。它的运作必须借助一个可以整合所有资源的系统化平台,而ERP系统作为一款信息化先进的软件,很好地满足了这一要求。企业管理层借助ERP系统对全体业务部门进行监督管控,让内部控制从传统模式走向信息化,将企业经营管理嵌入到ERP系统中,实现内部控制动态监管,保证企业经营的高效率运作。
1.2.2 企业ERP系统是内部控制的对象
内部控制需要通过各部门的业务流程、操作规范和部门规章贯彻下去,所以ERP系统中很多控制点和审批权限是根据公司内部控制制度的要求人为设置,与内部控制在控制活动、风险评估、信息沟通等方面的要求完全吻合。因此,ERP系统应针对内部控制的风险,制定科学有效的对策,努力实现风险防范机制的重大突破。
1.2.3 企业ERP系统是内部控制的体现和要素
ERP系统的设置体现了内部控制在控制活动、信息沟通与监督方面的要求,与内部控制的控制要素相辅相成。同时,ERP系统利用各业务部门的数据共享,实现了内部控制从传统的事中控制转为事前控制。因此,ERP系统是内部控制精细化管理的体现,也是内部控制与信息化完美结合的体现。
在ERP系统的支持下,传统的内部控制制度已经不能满足现代化管理的要求,需要业务操作流程更加清晰,让管理逐渐向标准化、扁平化方向发展。在ERP系统应用过程中,业务部门之间信息同步、共享,便于管理层及时发现内部控制中存在的问题,通过对风险进行等级评估,不断优化内部控制制度的内容。
ERP系统应用之前,内部控制的范围主要是作业控制、财务控制。ERP系统上线之后,实现了对标准流程的刚性控制,提升了各环节数据的综合分析能力,让内控范围又扩大到治理控制、管理控制、系统开发控制、系统权限控制、网络安全控制以及岗位职责分离控制,实现企业全范围经营管理的控制。
ERP系统本质上是一款信息化系统软件,各系统模块按照供应链各环节定制,终端用户在责权清晰的情况下处理本部门业务,将业务环节的数据进行横向和纵向传递。同时,各系统模块自动连接数据查询端口,方便实时查询各部门基础数据,根据数据分析结果快速应对市场变化,既能降低成本,又能进行风险预警,同时有助于管理层及时做出经营决策,有利于创造更好的利润和效益。
传统的内部控制模式下,内部控制主要以财务控制为主,而且风险预警相对滞后。现代企业内部控制以“预防为主,治理为辅”的理念为指导,将控制节点分为事前控制、事中控制和事后控制。而ERP系统正是在网络经济迅猛发展的情况下应运而生,它主要是以“业务”为中心开展活动,在业务流程规划设计中更加注重事前计划和事中控制,将采购、成本、设计、营销、财务、人力等融入到系统中,改变了传统风险控制模式,发挥了内部控制预防性职能。
ERP系统实施应用后,对企业组织机构职能设置、岗位权责分离以及反舞弊机制等内部控制环境方面产生一定的影响。在组织机构设置方面,企业组织架构从传统的锥形模式向扁平化模式发展,打破了传统的不合理的流程模式和审批环节,建立了符合现代化企业管理的新的流程模式和秩序,实现了企业内外部资源的一体化管理和信息共享,形成了良好的内部控制环境,有利于风险评估和审计稽核的完成,同时在企业数据同步传递的过程中,能及时同步反馈、在线监督、提前预警。在岗位权责分离方面,ERP系统的上线使得业务操作流程更加清晰流畅,授权机制更加明确,做到不相容岗位分离,让各个业务部门的岗位权限和审批流程标准化、制度化、流程化。在反舞弊机制方面,ERP系统的各个业务流程节点联系紧密,能够相互监督、实时监控,很难单独对自己部门的业务数据进行篡改或舞弊,在很大程度上降低了企业的财务风险和经营风险。
目前,大多数企业认识到ERP系统在企业管理中的重要作用,但只想单方面通过ERP系统健全和完善内控体系,忽略了完善的内控制度体系其实是实施ERP系统的基础。有些企业没有建立相对完善的内控制度体系,业务部门之间缺乏有效的衔接、配合,内部控制工作单一,业务流程无章可依,无法发挥多元化功能;有些企业的组织架构管理落后,业务人员缺乏对制度的认识,ERP系统的实施缺乏统一规划,控制节点之间相互冲突,导致内控与业务流程脱节。没有相对完善的内控制度体系,ERP系统好比没有牢固地基的大厦,缺乏统筹性和稳定性,如果问题出现了再去补救或进行二次开发,会造成资源浪费,甚至发生企业管理上不可挽救的风险。
ERP系统不仅是一个信息化技术平台,更是一种管理理念。很多企业的管理层没有意识到这一点,过分看重系统的技术性,忽略了它对业务流程管理的重要性,甚至认为ERP系统的实施是财务一个部门的事情,导致整个系统的设计和上线与整个公司的业务不匹配、不融合,内控节点的设置也没有与系统相吻合。另外,ERP系统虽然是商业化标准式软件,是一个已经成熟的系统,但是企业购买之后还需要根据企业实际情况进行二次开发设计,如果购买后直接使用,那企业自身的内控节点不会体现在ERP系统流程设计中,有些内控的功能无法被企业所运用,系统本身的一些流程可能与企业的经营管理模式相悖,最终增加企业经营风险。
ERP系统上线之后,虽然实现了部门之间的高效沟通和信息共享,但也带来了不可忽视的隐患。这些信息安全的隐患,一方面来自于ERP系统本身的硬件风险,购买之后未进行风险测试直接上线使用,系统本身存在安全漏洞,再加上很多企业不单独设立机房,仅通过云端服务器备份数据,一旦遭受病毒攻击很容易系统瘫痪。另一方面,很多企业员工风险意识淡薄,权限密码设置简单或直接使用初始密码,更有部分员工将自己的权限与他人共享或直接交予他人操作使用,这样很容易造成企业核心数据丢失或泄露。
很多企业兴致勃勃地引入了ERP系统,但最终实施的结果达不到预期,在很大程度上是因为缺乏内控管理绩效考核机制造成的。一方面,ERP系统虽然是信息化平台,在某些领域可以实现自动控制,但仍然需要和手工控制相结合才能达到最完美的状态。很多企业却存在基础数据录入不完善、错误连篇,却无人校对的情况;另外很多业务人员不重视ERP系统管理流程,线上审批时间过长,导致效率低下。另一方面,ERP系统和内控管理未纳入到考核中,责任落实存在问题。在ERP实施过程中,很多企业未将内控管理细分成考核指标,也没有层层分解落实到各部门、各环节,最终影响ERP系统的全面开展。
信息技术的飞速发展带来了经济环境的变化,很多企业都亟需内控管理知识和信息技术知识兼备的复合型人才。在实务操作中,由于复合型人才的缺乏,ERP系统的应用管理和内部控制管理各自为政,由各条线专业的人员分别实施管理,财务人员只懂得如何完成财务控制目标,却不懂得如何设置ERP系统;IT技术人员懂得如何利用互联网设计系统,却不懂得如何把企业内控管理嵌入到ERP系统中,导致ERP系统与内部控制体系无法完全融合和科学管理,运行效率低下,无法实现内部控制的目标。
首先,按照企业要求梳理各业务部门的所有相关流程,针对每个一流程进行多角度的风险测评分析,既要保证日常经营的便利性又要最大可能地降低风险。其次,将梳理好的业务流程嵌入到ERP系统中,将内部控制与财务控制、风险控制结合起来,利用ERP系统建立风险防控点,最大程度地将企业风的险控制在可控范围内。最后,完善内控制度的同时,也要建立完善的ERP系统实施制度,将ERP应用指南纳入内控制度体系之中。ERP系统应用指南应包含内控风险关键节点的设置、在ERP环境下业务流程的详细描述,增强其可操作性。
企业经营规模越来越大,业务流程会越来越复杂,利用ERP系统提升内控质量的要求也越来越高。一方面,企业管理层应从思想上、行动上统一认识,成立专业化ERP系统推进小组,最好包含各业务部门的骨干人员。小组成员首先全面梳理业务流程,全面评估业务风险,并与其他业务部门充分沟通协调,最终在ERP系统中得到实现和融合。尤其在ERP系统实施前期,小组成员应定期梳理业务流程和内控制度,随时调整各业务模块,持续跟踪学习并优化系统,真正做到系统为企业服务。另一方面,保证基础数据迁移过程中的准确性与完整性,以便日后在ERP系统中数据设置内控管理模块,从各个业务模块提取数据进行分析、评估、形成报表比对等,实现部门之间、上下层级之间的数据共享。通过构建专业化推进小组,以及从ERP系统功能着手,建立ERP系统与业务流程融合体系,提高ERP系统在企业内部控制方面的应用水平和应用质量。
首先,需要在系统开发阶段定期进行风险测试,安装成熟稳定的ERP系统防火墙,对企业网络环境进行实时监控,定期清理垃圾数据,做好网络安全防范。其次,设置专门的机房,配备质量过硬的硬件设备,采取先进硬盘镜像技术,定期对网络数据进行备份;只能进行云备份的企业也应该定期采用硬盘将数据资源转出备份,以防数据丢失或泄露。最后,严格执行ERP系统分级授权管理,岗位权责清晰,禁止员工混用系统账号密码或越权操作使用。同时加强账号密码的管理,在系统中强制要求员工第一次登录时修改初始密码,且定期修改维护密码。
为了使ERP系统和企业内控充分发挥作用,企业应健全内部控制绩效考核制度。首先,建立部门责任制,将各业务部门相关基础数据准确性由部门领导负责把关,并对核心数据设专人审核校对,减少业务处理的失误,禁止用户流程审批拖延等行为。其次,通过在ERP系统中设立内控管理模块,将内控管理目标和执行情况量化、细化,让所有员工都有目标,所有员工都有考核,将员工目标与企业的内控目标融为一体。
ERP系统信息化程度高、应用范围广,对企业管理也提出了更高的要求,要想实现ERP系统与内部控制管理的融合,需要很多复合型人才作为支撑。企业应该加强人才队伍的建设,从现有员工中挑选可塑之才,通过外部专业机构和内部企业管理的培训,培养其财务分析能力、企业管理能力、信息化能力以及风险意识。另外,还可以通过外部招聘,或者与外部专业机构合作,引进具有复合型专业知识能力的人,并鼓励其定期对内部人员进行培训指导,提升整个公司的人员素养,真正发挥ERP系统的功能和作用,提高企业的竞争能力。