ERP环境下内部控制系统的建立与实施
【 分析评论】
ERP虽然在技术上依托于现代信息技术,但本质上是个管理工程,其目的是要把根据企业实际情况提炼出来的先进管理流程、管理方法、管理技术及管理理念,用现代IT技术固化成型,从而提升企业的工作效率。而内部控制作为一种先进的组织管理制度在现代企业管理中有着重要的地位,它对于确保企业经营目标的实现、国家法规制度的贯彻、财会信息质量的保证、以及财产物资的安全与审计工作的开展等诸多方面都有着非常重要的作用。因而,在ERP环境下建立内部控制系统是ERP项目实施中不可缺少的一部分。ERP的引入,一方面可以帮助企业节省内部控制的人力成本,提高内部控制的效率,但是另一方面也会给企业内控体系带来很多具有IT技术特点的新问题。因而在ERP系统开发与的实施过程中,应当全面考虑,将完善的内部控制体系有步骤地融入ERP环境当中,并将由信息技术带来的风险纳入新的内部控制之中,以便在内部控制方面尽量扬ERP之长,避ERP 之短,为企业引入ERP带来最大的收益。
1. 明确差异,确立ERP系统内部控制体系建立所需要的内部控制框架
为了在ERP环境中建立完善有效的内部控制体系,首先需要认识到ERP内部控制与传统内部控制存在差异,并需要从理论上选定适用于企业ERP环境的内部控制框架,并依据该框架建立企业自己的内部控制制度,设计内部控制流程、内部控制点、内部控制检测点等内容。传统的企业内部控制主要包括:管理控制和会计控制,而在我国则特别强调了会计控制;引入ERP之后,内部控制则除了上述两个控制内容外又增加了IT控制,由于ERP中IT技术渗透到整个管理系统中, 因而IT控制并非一个与管理控制、会计控制相剥离的独立部分,而是与它们紧密结合、相互作用的部分,需要共同考虑;同时还应当认识到,引进ERP的企业未必能够建立起一个比非ERP环境下更完善有效的内部控制系统,除非它成功地规避了IT技术本身带来的风险。为了建立ERP环境下的内部控制系统,企业应当首先确立一个ERP内部控制的总体框架,企业内部控制框架可供选择与参考的标准很多,目前受到广泛认可的内部控制框架是美国COSO 1992年提出的内部控制框架, 该框架中内部控制有3个目标(运营效果效率、财务报告的可靠性、相关法律的遵守)以及5个要素(控制环境、风险评估、控制活动、信息沟通、监督)。虽然依据COSO的内部控制框架可以帮助企业建立一个较为完整科学的内控体系,但是COSO并非一个针对IT 环境的内控体系,并没有将IT 技术纳入考量的范围之内。因而在选择ERP内部控制框架的时候,还应当借鉴一些偏重于IT环境下的内部控制框架,比如信息系统和技术控制目标 (Control Objectives for ***mation and related Technology,COBIT)它由覆盖信息化生命周期的4个域、34个IT控制目标、318个详细控制目标组成。虽然COBIT也涉及企业经营、合法合规等方面的控制,但是偏重信息技术控制,因而应当与COSO共同参考使用。当然还有其他着重IT 内部控制的控制框架,例如英国的BS7799-2以及ISO 20000、ISO 17799等可供参考。依据可供参考的内部控制框架并结合企业的具体实际情况,企业最终确立自己的内部控制框架,并设计出内控蓝图和目标。企业自身对于内部控制目标的精准认识对于企业后续与ERP开发商技术人员之间的沟通会起到关键的作用。
2. 在已确定的内部控制框架内对具体的内部控制方案进行细化设计
在基本确立了企业将采用的内部控制框架后,还需要依据此框架建立内部控制制度并对单项内部控制方案进行设计,使确定的内控方案更加细化。一般单项内部控制方案设计思路有3种:按部门设计、按项目设计、按流程设计。由于ERP本身的设计是面向流程的,采用按流程来设计内部控制方案会比较切合实际,关于按照 ERP业务循环流程来设计ERP内部控制方案的可行性也有学者提出过论证并予以了肯定。但是需要特别强调的是,按流程设计必须要建立在企业业务流程本身比较合理的基础上,所以引进ERP时企业对于业务流程的梳理与提炼是至关重要的。围绕业务流程,企业会计、审计人员与业务人员密切协作,共同分析信息技术环境下的企业订单、采购、库存、计划、生产制造、质量控制、运输、分销、人事管理等环节的作业过程、管理过程和信息过程的新特点,制定对应控制规则。在进行设计时,首先,应当明确业务流程中各个作业前后的衔接,明确这些作业相互之间的关系;其次,制定每一项作业相应的作业标准和考核指标;再次,明确每项作业中的任务组合,对每项任务制定出相应的标准,即完成任务的指标,其中包括量化和非量化指标;最后,将每一项任务落实到执行任务的个人或者功能模块,用上述制定的量化和非量化指标作为考核业绩指标。同时由于任务最终落实到组织,涉及授权和责任的划分,这样流程的设计和组织的设计就达到了有效的结合;而在一项业务流程的执行过程中,也可能涉及不同的内部控制项目,那么组织、项目、流程就可以完成三维的组合。