1、ERP 环境下企业内部控制设计思路探析一、ERP 对企业内部控制的影响 ERP 是信息技术与管理思想创造性融合的产物,在这种背景下,内部控制有着新的方法和内容,表现出新的特征,与之伴随的是内部控制各要素内涵的新变化。 (一)内部环境 内部环境是影响、制约企业内部控制建立与执行的各种内部因素的总称,主要包括治理结构、组织机构设置与权责分配、企业文化、人力资源制度、内部审计机构设置、反舞弊机制等。内部环境是一个有效内部控制的基础,建立起了“高层基调” ,代表了企业治理结构的最高点。由于 ERP 系统涉及企业的各部门、各职能,因而它已经事实上渗透到了整个企业内部环境之中,并改造这企业的内部环境。首先
2、,ERP 使企业管理结构趋于扁平化,提高了决策者与执行者之间的沟通效率;其次,ERP 催生着新的控制方式和管理观念,要求企业高层能够以加快速度、提升效率为导向,对组织结构进行创新,企业管理向精确、快速和量化的方向发展;第三,ERP 系统有着严密的授权体系,可以对所有的过程进行记录,同时,它是一个严密的信息共享与业务协同的工作平台,这种工作环境下有利于诚信企业文化的养成;第四,ERP 系统也为企业的人力资源政策和实施提供更好的支持,从而为 ERP 环境下企业内部控制的运行提供更有力的人力资源保障。 (二)风险评估 ERP 这个名词的主体就是“计划” ,即通过系统且全面的计划来合理配置企业内外的资
3、源,提高企业及供应链的运行效率。ERP 环境下的内部控制可以与 ERP 系统的这个特征,将管理中的计划活动与内部控制的风险评估活动有机结合。在内部控制系统中,风险评估是企业及时识别、系统分析经营活动中与实现内部控制目标相关的风险,合理确定风险应对策略。它是实施内部控制的重要环节。风险评估主要包括目标设定、风险识别、风险分析和风险应对。ERP 系统的计划是以实现企业目标为导向,而内部控制的风险评估是以实现企业内部控制目标为导向,这两个目标中,企业内部控制目标是服务于企业目标的,所以,进行风险评估可视为 ERP 系统计划的一部分。ERP 系统的实施,既为风险评估提供支持,也带来了新的风险,这既包括
4、 ERP 的 IT 基础设施所面临的风险,也包括 ERP 本身业务流程及内部控制不能支持企业目标实现的风险。从对风险评估的支持来看,ERP 系统中有一部分功能是专门用于分析企业内部分先的,例如,对企业库存上下限的分析、盈利能力分析、订单履约能力分析,借助 ERP 的这些功能,可以分析企业当前所面临的风险,或者挖掘隐含的风险,进而得出风险评估结果,为制定相应的控制措施提供基础。由于 ERP 是一个实时信息处理系统,及时更新的信息为风险评估提供了实时的信息来源,这样,风险评估频率更好,为控制措施的及时修订和完善提供了依据。 (三)控制措施 控制措施是根据风险评估结果、结合风险应对策略所采取的确保企
5、业内部控制目标得以实现的方法和手段,是实施内部控制的具体方式。ERP 系统借助信息技术手段,将控制流程与业务流程进行融合,可以降低内部控制的实施成本,减少人为操纵因素,保障内部控制的效果,借助信息的及时和快速反馈,可以提升控制的效率。内部控制流程与业务流程融合的基础就是 ERP 所具备的流程管理导向目标,因为 ERP 是以业务流程为中心,它打破了过去流程的以职能所划定的部门边界,企业内部的组织结构设计及业务的运行都是以流程为依据,这样,部门与部门之间业务的执行实现了无缝结合,效率得到极大的提升。ERP以流程为中心,能够实现对业务流程中的原始数据的一次采集、全局共享,这些数据都存放在一个统一的数
6、据库中,这样,各个部门在操作各自的工作模块的时候,就可以利用企业其他部门所产生的信息来为其服务,这些部门所生成的信息也能为其他部门使用,正因如此,ERP 得以将企业的设计、采购、生产、财务和营销等环节进行集成,不仅实现了整个企业内部信息的集成,还可以延伸到整个供应链,实现对供应链上其他企业的信息集成。正因有了丰富的数据源,使得内部控制可以更加多样和灵活,信息的实时流动使得实时控制也成为可能,从而使控制措施从过去单纯的事后的纠正性控制,转化为事前的预防控制、事中的检测控制与事后的纠正性控制有机结合。控制措施嵌入业务流程之中,大部分控制实现了自动化的强制控制,业务的执行都处于控制的严密监控之下,从
7、而摆脱了由人来执行的控制的主观随意性,控制效率和效果得以极大地提升。ERP 作为一个信息系统,这种新的技术环境的引入,需要控制措施对 ERP 系统的设计、开发、实施、运行、维护和管理的整个生命周期都进行控制,这就是所谓的一般控制,它能为前面的应用控制保驾护航。 (四)信息与沟通 信息与沟通是及时、准确、完整地收集与企业经营管理相关的各种信息,并使这些信息以适当的方式在企业有关层级之间进行及时传递、有效沟通和正确应用的流程,是实施内部控制的重要条件。信息与沟通主要包括信息的收集机制及在企业内部和与企业外部有关方面的沟通机制等。一个良好的信息与沟通系统有助于提高内部控制的效率和效果。ERP 具有开
8、放化、实时化、电子化的技术特点,在内部控制系统中呈现出新的特点并发挥出新的作用。信息系统不仅处理内部资料,而且还处理形成企业决策和外部报告所必须的外部事件、行为和条件的信息。在企业的各个层面,通过信息系统可以进行广泛的交流,企业所有人员都能够从董事会和管理层那里获得清楚无误的指令信息,他们必须了解各自在内部控制制度中的作用,理清个人行为如何与他人的工作相联系。同时,董事会和管理层也能获得内部控制各个环节执行中所获取的反馈信息。网络化的信息系统,建立起了企业与顾客、供应商、监管者和股东这样的外界之间的有效沟通机制。然而,识别、管理和沟通相关的信息,是 ERP 应用所带来的一项挑战,企业管理层需要
9、决定哪些信息对于实现控制目标是必须的,以及采用某种形式和时间框架来沟通这种能够让人们执行他们的职责、支持企业内部控制其他四要素所需的信息,还要确保这些信息的恰当性、及时性、现时性、准确性和可访问性。 (五)内部监督 内部监督是企业对其内部控制的健全性、合理性和有效性进行内部监督与评估,形成书面报告并作出相应处理的流程,是内部控制实施的重要保证。内部监督主要包括对建立并执行内部控制的整体情况进行持续性的内部监督,对内部控制的某一方面或者某些方面进行专项内部监督,以及提交相应的检查报告、提出有针对性的改进措施等。由于 ERP 系统自动执行的特点,只有对其运行进行内部监督,及时发现相关内部控制设计和
10、运行方面的缺陷,保证它们能够根据企业经营环境的变化进行适时调整,才能保障其持续有效性。同时,ERP 系统自动执行的特点,给我们在一个较高的频率上来执行持续性内部监督提供了可能,具体来说,对内部控制控制绩效和有效性的持续性内部监督主要包括两个方面的内容:(1)内部控制缺陷的识别和管理。通过建立衡量内部控制缺陷的相关指标,并以这些指标为标准,来分析趋势的实际结果,这可以提供一个用于理解当前处理失效的潜在的原因;通过对这些原因进行分析并纠正,还可以增进系统处理的准确性、完整性和系统的可用性。 (2)安全监控。通过建立一个有效的 ERP 安全基础设施,可以减少了未经授权访问的风险。安全方面的改善,还可
11、以减少处理未经授权的交易、生成不准确的报告的风险,系统不可用的风险,以及应用系统和 IT 基础设施组件遭受损害的风险。 二、ERP 环境下企业内部控制设计思路 针对 ERP 对企业内部控制各要素的影响,在具体内部控制设计时,就需要充分考虑上面的诸多因素,来合理设计 ERP 环境下的企业内部控制。根据企业内部控制基本规范的要素,在设计内部控制时,还需要遵守全面性、重要性、制衡性、适应性和成本效益原则。 (一)控制环境设计思路 在 ERP 环境下,根据业务流程来设计的组织结构趋于扁平化,企业内部控制的层级大大减少,内部控制的权责关系明晰。所以,在设计控制环境时,需要重点考虑如下几个方面的问题。(1
12、)内部控制目标。ERP 虽然带来全新的技术、管理和文化环境,但它并没有导致内部控制目标的改变,反而提供了更加有利于企业内部控制目标实现的手段,所以,内部控制目标依然是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果,促进企业实现发展战略。 (2)企业组织结构设计。ERP 的实施过程就是一个业务流程进行再造的过程,在这个过程中,保证组织结构的设计能够与 ERP 的先进理念相匹配,是确保 ERP 成功实施的关键。在组织结构设计时,在合理平衡业务流程运行的效率和安全的前提下,严密的权责分配、必要的相互牵制依然是必需的,但需要对传统的控制设计进行全面的审视与优化,
13、消除不必要的控制,减少冗余控制,弥补缺失的控制,增加新的控制。具体来说,应先将企业的业务划分为若干流程,并针对具体流程重新定义企业各部门在相应的流程上的职责关系、部门之间的协调关系,之后再划分为若干作业,进而设定相应的岗位及岗位职责。针对 ERP 环境,应重点关注信息技术控制和预算控制环节。同时,为了保证内部控制的有效执行,建立内部监督部门,例如内部审计机构,实现对内部控制的检查、监督和反馈也是必要的。 (3)对企业人力资源的控制。人是企业内部控制中最为活跃、最为关键的要素,他既是内部控制的设计者、执行者,也是内部控制的被控制对象和服务对象。其实,ERP 环境下的内部控制,就是一个人与人之间的
14、博弈过程,相应的内部控制设计也可看作是一种博弈规则的制定。所以,ERP 环境下的人力资源控制需要充分考虑员工素质的问题,这些员工需要充分了解所应用的 ERP 系统功能的特点,从而能够在工作中,不断为 ERP 系统内部控制的实施提出改进建议。由于 ERP 系统本身所具备的脆弱性,容易受到内部人员的不合理侵害,所以,在人力资源控制方面,需要充分考虑员工的道德品质。在人员到岗后,还应加强培训教育,加深他们对 ERP 系统的流程和管理思想的理解,加强道德教育,防范人为风险。在工作过程中,应将 ERP 系统内部控制相关的内容纳入员工的绩效考核体系。 (二)风险评估设计思路 ERP 系统本身就给企业带来的
15、新的风险因素,而且,随着 ERP 系统的使用,它在支持和推动业务的运行中,给企业带来的新的机会与风险,从而影响企业目标的实现。内部控制是用来支持企业目标的手段,所以,综合评估内部控制所面临的风险,尽可能将企业所面临的风险纳入内部控制的范围,是企业内部控制实施的应有之意。ERP 系统的自动控制与业务流程电子化处理的特征,在设计风险评估时,应将风险预警观念融入其中,通过对 ERP 系统及业务所面临的风险进行综合评估,建立风险指标体系,并通过对这些指标赋予具体的阈值,实现对风险的及早预防和处理。在这个过程中,风险评估与后面的控制措施、内部监督的界限趋于模糊,很难将它作为一个单独的环节进行设计,而应将
16、这三个要素结合起来进行设计,以充分体现风险控制的基本思想。由于 ERP 系统所面临的环境是动态变化的,风险评估过程不能一蹴而就,而应因时因势而变,在 ERP 系统运行中,对风险进行动态评估,这种评估既包括用数据挖掘等方法来挖掘过去未考虑到的风险因素,还可以定期进行人工评估。相应的风险评估安排应在企业中形成制度性文件,以确保风险评估有章可循、有据可依。 (三)控制措施设计思路 ERP 系统给控制措施的设计带来了许多全新的思路,而且基于这种全新的管理思想和技术平台,许多过去难以实施的控制措施皆可能实现。ERP 系统的内部控制包括一般控制与应用控制,它们可以分别进行设计。ERP 系统作为一种信息系统
17、,其基本功能就是进行信息采集、加工、报告和管理。根据控制论的观点,任何信息系统本身就是一个控制系统,正因如此, 企业内部控制应用指引第 18 号信息系统将信息系统定义为企业利用计算机和通信技术,对内部控制进行集成、转化和提升所形成的信息化管理平台。该指南专门针对信息系统的规划、开发、运行维护等环节的一般控制。指南要求企业应根据内部控制的要求,结合企业的组织架构、业务范围、地域分布、技术能力等因素,制定信息系统建设整体规划,加大投入力度,有序组织信息系统开发、运行与维护,优化管理流程,防范经营风险,全面提升企业现代化管理水平。在该指南中,特别强调。企业开发信息系统应当将生产经营管理业务流程、关键
18、控制点和处理规则嵌入系统程序,实现手工环境下难以实现的控制功能。 具体来说,借助 ERP 系统来设计的控制措施,可以企业业务流程优化为基础,将绩效评价体系、预算控制体系、授权控制、职责分离规则、事物控制(即记录和资产接近控制,包括定期盘点、实物安全控制、计算机和数据资料接触授权控制等等)与信息流控制融入 ERP 系统内部控制体系。对于可以融入 ERP 系统中的控制规则,应尽可能地采用 ERP 系统来进行自动化控制,其他难以自动执行的控制,则可以建立起相应的内部控制制度及考评制度,并配合企业的内部审计部门对内部控制的执行进行内部监督。 (四)信息与沟通设计思路 根据控制论与信息论的观点,控制是以
19、信息为基础的,信息是控制的依据,也是要被控制的对象。信息与沟通就是内部控制系统中直接针对信息系统本身的信息功能的一个要素,该要素的设计思路就是如何对业务流程进行优化,实现 ERP 系统与内部控制、业务流程更好地融合,在融合中实现要素之间的相互促进,促进信息与沟通效率的提升。 ERP 的最大特点就是消除了信息孤岛,实现了信息集成,借以将企业的所有业务流程实现了无缝衔接。对会计而言,ERP 引入的最大优势莫过于实现了财务与业务一体化,会计信息的时效性得到了极大提升,会计在整个信息与沟通中发挥的作用越来越大,会计能够更好地支持决策有用观这个目标。正是有了这种广泛的信息支持,对内部控制而言,内部控制设
20、计可以通过将串行的流程转化为并行的流程,借以实现过去沿着业务流程的先后顺序所进行的序列控制,转化为业务流程各个环节的并行控制。通过设计开放的 ERP 系统沟通环节,为企业内部管理层和各个岗位的员工提供了沟通平台,使之了解企业内部各人的职责关系。 (五)内部监督设计思路 内部监督就是为了确保内部控制能够有一个通畅的反馈回路,及时对内部控制系统构建和运行的有效性进行监控,以实现对内部控制系统的持续改进。在 ERP 系统中,内部控制监督的设计应充分发挥 ERP 系统的自动化运行的优势。由于内部监督的专项评价和持续监控所采用的技术手段是相似的,两者的区别还是体现在各自的运行频率之上,持续监控是融入企业
21、经营过程之中的,伴随业务流程的开展而同步进行的,所以其时效性强、效率更高,是应该优先采用的方式。专项评价是定期进行的,用于弥补持续监控的不足。 对于 ERP 系统内部监督的设计,可以参考国际信息系统审计与控制协会(ISACA)在 2010 年发布的内部控制系统和 IT 监控指南 ,该指南详细地阐述了如何对信息化条件下的内部控制进行监督的流程,具体环节包括制定和实施一个成本有效的自动化监控解决方案来评价具有说服力的信息,对与组织目标相关的风险进行理解和排序,识别关键的控制并制定一个适用于自动化监控的策略,识别那些将能够说明控制是否有效运行的具有说服力的电子化信息。除了采用持续监控手段之外,在企业内部设置专门的内部审计部门来对内部控制定期进行自我评价是非常有必要的。在 ERP 环境下,内部审计部门并非只是针对传统的财务审计工作,还需要考虑 ERP 系统特殊的软、硬件环境,信息系统审计应成为内部审计部门日常工作的重要组成部分。 参考文献: 1庄明来、汤四新:会计信息系统 ,经济科学出版社 2012 年版。本文系温州大学实验室研究项目“独立学院的实验室成本控制与价值创造”和福建省教育厅社科研究项目“信息技术引发的企业重大错报风险研究” (项目编号:JA11051S)的阶段性研究成果 (编辑 向玉章)
Copyright © 2018-2021 Wenke99.com All rights reserved
工信部备案号:浙ICP备20026746号-2
公安局备案号:浙公网安备33038302330469号
本站为C2C交文档易平台,即用户上传的文档直接卖给下载用户,本站只是网络服务中间平台,所有原创文档下载所得归上传人所有,若您发现上传作品侵犯了您的权利,请立刻联系网站客服并提供证据,平台将在3个工作日内予以改正。