ERP环境下内部控制系统建立与实施要点
【 信息化】 ERP虽然在技术上依托于现代信息技术,但本质上是个管理工程,其目的是要把根据企业实际情况提炼出来的先进管理流程、管理方法、管理技术及管理理念,用现代IT技术固化成型,从而提升企业的工作效率。而内部控制作为一种先进的组织管理制度在现代企业管理中有着重要的地位,它对于确保企业经营目标的实现、国家法规制度的贯彻、财会信息质量的保证、以及财产物资的安全与审计工作的开展等诸多方面都有着非常重要的作用。因而,在ERP环境下建立内部控制系统是ERP项目实施中不可缺少的一部分。ERP的引入,一方面可以帮助企业节省内部控制的人力成本,提高内部控制的效率,但是另一方面也会给企业内控体系带来很多具有IT技术特点的新问题。因而在ERP系统开发与的实施过程中,应当全面考虑,将完善的内部控制体系有步骤地融入ERP环境当中,并将由信息技术带来的风险纳入新的内部控制之中,以便在内部控制方面尽量扬ERP之长,避ERP 之短,为企业引入ERP带来最大的收益。 1. 明确差异,确立ERP系统内部控制体系建立所需要的内部控制框架 为了在ERP环境中建立完善有效的内部控制体系,首先需要认识到ERP内部控制与传统内部控制存在差异,并需要从理论上选定适用于企业ERP环境的内部控制框架,并依据该框架建立企业自己的内部控制制度,设计内部控制流程、内部控制点、内部控制检测点等内容。传统的企业内部控制主要包括:管理控制和会计控制,而在我国则特别强调了会计控制;引入ERP之后,内部控制则除了上述两个控制内容外又增加了IT控制,由于ERP中IT技术渗透到整个管理系统中, 因而IT控制并非一个与管理控制、会计控制相剥离的独立部分,而是与它们紧密结合、相互作用的部分,需要共同考虑;同时还应当认识到,引进ERP的企业未必能够建立起一个比非ERP环境下更完善有效的内部控制系统,除非它成功地规避了IT技术本身带来的风险。为了建立ERP环境下的内部控制系统,企业应当首先确立一个ERP内部控制的总体框架,企业内部控制框架可供选择与参考的标准很多,目前受到广泛认可的内部控制框架是美国COSO 1992年提出的内部控制框架, 该框架中内部控制有3个目标(运营效果效率、财务报告的可靠性、相关法律的遵守)以及5个要素(控制环境、风险评估、控制活动、信息沟通、监督)。虽然依据COSO的内部控制框架可以帮助企业建立一个较为完整科学的内控体系,但是COSO并非一个针对IT 环境的内控体系,并没有将IT 技术纳入考量的范围之内。因而在选择ERP内部控制框架的时候,还应当借鉴一些偏重于IT环境下的内部控制框架,比如信息系统和技术控制目标 (Control Objectives for ***mation and related Technology,COBIT)它由覆盖信息化生命周期的4个域、34个IT控制目标、318个详细控制目标组成。虽然COBIT也涉及企业经营、合法合规等方面的控制,但是偏重信息技术控制,因而应当与COSO共同参考使用。当然还有其他着重IT 内部控制的控制框架,例如英国的BS7799-2以及ISO 20000、ISO 17799等可供参考。依据可供参考的内部控制框架并结合企业的具体实际情况,企业最终确立自己的内部控制框架,并设计出内控蓝图和目标。企业自身对于内部控制目标的精准认识对于企业后续与ERP开发商技术人员之间的沟通会起到关键的作用。 2. 在已确定的内部控制框架内对具体的内部控制方案进行细化设计 在基本确立了企业将采用的内部控制框架后,还需要依据此框架建立内部控制制度并对单项内部控制方案进行设计,使确定的内控方案更加细化。一般单项内部控制方案设计思路有3种:按部门设计、按项目设计、按流程设计。由于ERP本身的设计是面向流程的,采用按流程来设计内部控制方案会比较切合实际,关于按照 ERP业务循环流程来设计ERP内部控制方案的可行性也有学者提出过论证并予以了肯定。但是需要特别强调的是,按流程设计必须要建立在企业业务流程本身比较合理的基础上,所以引进ERP时企业对于业务流程的梳理与提炼是至关重要的。围绕业务流程,企业会计、审计人员与业务人员密切协作,共同分析信息技术环境下的企业订单、采购、库存、计划、生产制造、质量控制、运输、分销、人事管理等环节的作业过程、管理过程和信息过程的新特点,制定对应控制规则。在进行设计时,首先,应当明确业务流程中各个作业前后的衔接,明确这些作业相互之间的关系;其次,制定每一项作业相应的作业标准和考核指标;再次,明确每项作业中的任务组合,对每项任务制定出相应的标准,即完成任务的指标,其中包括量化和非量化指标;最后,将每一项任务落实到执行任务的个人或者功能模块,用上述制定的量化和非量化指标作为考核业绩指标。同时由于任务最终落实到组织,涉及授权和责任的划分,这样流程的设计和组织的设计就达到了有效的结合;而在一项业务流程的执行过程中,也可能涉及不同的内部控制项目,那么组织、项目、流程就可以完成三维的组合。 3. 在ERP项目引入的需求分析阶段与开发阶段必须重视与开发商充分沟通 企业在通过前面的两个步骤明确了自身的内部控制的架构与方案后,在正式启动ERP项目时企业还必须清晰准确地将自己的内部控制设计意图与方案向ERP供应商的IT人员进行精准的描述。对于不同的企业来说,其管理流程与业务循环各有不同,因而几乎没有企业能够使用ERP 提供商提供的不加任何变动的ERP 系统,在企业引进ERP之初,都需要与ERP 提供商进行需求分析与沟通,将本企业的特定需求融入到ERP系统中去,企业既定的内部控制方案也需要在这一过程中融入ERP系统。因而,在实施ERP 项目之初,企业必须根据自己制定的内控蓝图与提供方作充分的交流沟通,对战略理念的控制范围、控制程序及实现控制的方法都进行清晰的界定。而ERP提供商也必须充分重视和用户的沟通联系,分领导决策层、管理执行层和操作实现层3个层次分别进行沟通和培训,以最终达到理念认识上的统一。即便如此,在ERP系统当中将内部控制具体化的过程也需要努力做很多的工作,除了需要对提供商的IT人员进行详细的流程业务描述使其能够将一些内控手段固化到系统当中去之外, 还必须听取IT人员的意见,明确哪些内控功能不能完全依赖于计算机信息系统而仍然需要传统的方式来进行, 即仍需要明确ERP系统中的内部控制系统是一个人机共同作用的系统,只有通过供需双方的充分沟通和努力,才能建立起完善有效的ERP内部控制体系。 4. 建立ERP内部控制系统应当从重点模块入手,逐步扩展完成整个ERP内部控制系统的融入 ERP 实施阶段的工作很繁杂,应当重点从财务模块入手,逐步地实施内部控制体系的融入。ERP系统中影响面最广的模块是财务模块,可以说ERP是一个以财务为导向的系统,因而考虑最先从财务模块入手最有利于内部控制重点内容的实施。在ERP系统当中,财务与各项业务关系密切,在每一笔业务发生的同时,财务也能获得其业务信息,因而内部控制从财务入手就容易对业务的成本费用进行有效监控和管理;财务管理和其他业务模块的集成使得企业的所有业务环节、所有部门都能被有效地制约和监控,做到事前预算、事中控制、事后准确核算;财务与业务的一体化集成,也使得任何地方发生的业务开支如果不进入财务系统也就无法实现,而一进入系统就可被公司总部的财务内部控制功能跟踪,能够实现财务的集中控制。此外,从财政部要求实施全面预算管理模式的政府强制性要求来看,财务部门内部控制的观念和程序相比其他部门更为牢固和自然,因此,也是ERP这样一个注重内部控制的项目最易于实现的部分。在财务模块的内部控制融入完成后,再在销售、供应、生产等环节的业务循环中的逐步进行扩展、融入和实施,重点应放在强化贯彻遵从内部控制的规范性上。当所有预定的控制程序和控制参数被固化到计算机信息系统内部后,就初步完成了面向流程的人机内部控制系统的雏形。 5. 内部控制系统随着ERP项目的推进建立起来之后,还要经历一个不断完善和发展的过程 一个企业建立ERP系统不是一蹴而就的,其中的内部控制系统也必然要随着ERP系统本身的使用不断修改而趋于完善。为此,首先企业应当针对已经建成的内部控制系统,在ERP系统运行的过程中不断进行ERP内部控制效果自测与自评,并最终以报告书的形式对外呈现,这有助于企业监控完善企业内部控制,也有助于管理者对内部控制有效性做出一个明确的评定,用以表明ERP中控制系统总体的可靠性及完整性。其次,企业的发展阶段、管理状况以及外部环境的变化都是决定企业内控体系建立和有效运行的前提,在企业ERP系统的整个生命周期中,会由于各种原因导致需求发生变化,相应地必须进行系统功能的修改和扩充,而依附于ERP之上的内部控制系统也必须随着ERP系统的使用与修改不断进行变动完善。ERP系统中的内部控制系统的成熟完善是一个渐进的过程。 另外,在ERP环境下的内控系统建立及运行,还需要非常重视相关人才的培养。企业在实施ERP 系统时会普遍遇到人才缺乏的问题。因为企业此时所需的人才必须精通本企业的各项业务流程,特别是财务方面的各项业务,最好掌握一定的计算机专业技术,还应当具有系统分析员的某些素质,能关注诸如数据环境、数据处理和最新的信息技术等问题,具备了这些专业条件的人才比较容易与ERP系统开发人员沟通,能够精确地表述企业的意图和需要。不仅如此,在组织和沟通方面,参与ERP项目的企业员工,除自身能提出较高层次的信息需求外,还应当能够了解高层领导和基层干部的信息需求,并能利用自己的影响力和号召力,争取高层领导对系统开发的支持力度,调动和组织相关业务人员参与系统开发,提高开发效率。在一个系统的建设过程中, 如果能够具有跨计算机专业、财会专业、管理专业及企业相关专业的复合型人才,那么系统成功的把握应相当大,这应是企业引入ERP过程中特别值得关注的问题。 总之,ERP中内部控制系统的建立应当与ERP 项目的建设与实施同步联动进行,充分考虑IT环境的影响,采取自顶向下的开发思路,兼顾整体与细节,循序渐进地不断完善。