龙源期刊网 http://www.qikan.com.cn
浅谈企业ERP系统环境下的内部控制
作者:罗丽伟
来源:《中国管理信息化》2010年第18期
[摘 要] 随着企业管理的信息化,ERP系统在企业中得到越来越广泛的应用。在ERP系统建设过程中,改变了企业管理的职责范畴,因此与企业管理密切相关的内部控制规范同时发生了改变。为防范风险企业应对内部控制进行测试并通过测试提高企业的执行能力。 [关键词] ERP;内部控制;风险;测试
doi : 10 . 3969 / j . issn . 1673 - 0194 . 2010 . 18. 019
[中图分类号]F239.45 [文献标识码]A [文章编号]1673 - 0194(2010)18- 0044- 03
一、内部控制管理体系与ERP系统控制关系
1.ERP系统概述
企业资源计划(Enterprise Resource Planning,ERP),是指建立在信息技术基础上,运用先进的管理思想和科学技术为企业管理者提供一种现代化的管理平台。ERP系统实现了流程化管理,实现了部门之间的横向联合,数据、信息的纵向共享,以及战略合作伙伴之间的信息沟通,实现了管理方式的计算机自动化控制。 2.COSO内部控制框架
由美国反欺诈财务报告委员会1992年提出COSO报告《企业内部控制——整体框架》,确认出内部控制的三大主要目标,即运营的效率和效果,财务报告的可靠性,以及遵守适用的法律和规章。此外,将控制环境、风险评估、控制活动、信息与沟通、监控作为框架的五大组成要素,服务于上述三大目标。
3.ERP系统与内部控制体系的关系
从ERP系统实施目标和内部控制目标上看,都是确保经营的有效性和效率性、财务报告的真实性。从COSO内部控制五要素来看,控制环境对ERP系统工作人员的权利和责任提出了具体规定;风险评估根据ERP系统管理功能增加ERP系统流程目录及报告;控制活动的手段可以分为人工控制和自动控制,通过ERP实施控制活动就是典型的自动控制;信息与沟通满足信息系统
龙源期刊网 http://www.qikan.com.cn
总体控制实施要求;监督中根据ERP系统流程和权限规则,确定ERP系统内部控制测试内容。可见,内部控制体系已融合ERP系统控制要求,完全满足规范企业管理执行程序的前提条件。
二、ERP系统环境下的内部控制风险分析
COSO委员会将企业内部控制按照控制环境、风险评估、控制活动、信息与沟通、监督五要素对内部控制体系做了最权威的阐述。本文根据五要素对ERP系统的内部控制进行风险分析。
1.控制环境
(1)员工的诚实性和道德观,员工的胜任能力。任何企业发展的源动力在于员工的素质,在于员工的团队精神。因此企业在实施ERP时,必须对员工进行严格训练,要求其在具有扎实的业务能力的同时,还要具备较强的计算机信息处理能力。
(2)管理者的经营风格和经营理念决定着企业管理方式,管理方式决定着企业的发展,由于ERP时代企业需要适应市场的快速变化,在极短的时间内做出生产决策,同时物资配送、产品设计、产品销售等决策也需要快速响应,因此需要最高管理者高度重视,使所有部门的利益均衡,以企业的整体利益为终点,快速做出决策。
(3)ERP系统是在各种用户共用的环境下运行, ERP系统必须保证数据更改、存储、获取和加工处理的安全。通过系统管理对用户、角色、功能和权责进行合理的配置,分清职责和权利,避免某个用户在操作时同时拥有可能进行舞弊的权限。 2.风险评估
ERP的风险主要来源于企业外部和企业内部。
(1)企业外部风险即环境风险,外部风险主要是ERP系统如果不符合法规或行业的要求,会导致违规行为。
(2)企业内部风险即流程风险,流程风险包括营运风险、授权风险、信息技术风险、财务风险、廉政风险和人员道德风险等,主要表现在项目的管理人员缺乏良好的领导能力,没有对运作流程与管理思想的转变做好准备;公司的供应商也可能不具备系统所要求的基本素质与系统集成和配合;企业内部人员和外部人员如黑客等对会计数据非授权的访问、篡改、泄密和破坏等方面的风险;计算机硬件、软件、网络等都存在不可预见风险,这都将影响ERP系统的正常运行, 给内部控制带来新的潜在风险。
龙源期刊网 http://www.qikan.com.cn
3.控制活动
ERP系统的应用促进了流程自动控制比例的提高,也提高了控制执行的效率。此外,系统对业务、财务、内部管理等方面进行整合,部分控制措施也从财务转移到业务的前端或延伸到业务部门执行。 4.信息与沟通
(1)信息系统:在传统的企业中,企业的信息系统有多种,例如财务管理信息系统、物资管理信息系统、生产信息系统等。ERP系统集成了上述系统,企业的产、供、销、人、财、物的管理全部通过ERP系统实现。
(2)沟通:在ERP系统内控实施过程中,需要充分考虑ERP系统平台线上和线下实际情况,提出有效的控制措施来防范风险,堵住管理漏洞,规范企业行为。企业中的每个人都清楚地知道自己在系统中的角色、所负担的责任以及与其他人员的关联关系,部门之间的沟通显得更加重要。因此,应该保证沟通渠道的畅通。 5.监 督
监督实际上是企业对内部控制实施效果进行评价的过程,是企业站在更高的整体的层面对其他控制要素的整合及调适,是的、进一步的控制活动,因而是企业完整的内部控制系统必不可少的后续要素。包括内部审计和与单位外部人员、团体进行交流。
三、按时开展ERP系统内控测试,充分发挥测试的效力
1.提早准备,加强培训,做好测试前期准备工作
首先应明确ERP系统内控测试的工作内容、工作重点和工作步骤,成立ERP系统内控测试工作领导小组,组建由企业各部门组成的ERP系统内控测试项目组。加强对员工内控知识的培训,提出培训工作目标和要求。 2.精心组织自检自查,逐级落实责任
内控工作的关键在于有效执行,建立内控体系长效机制,按时开展内控测试是内控执行到位的有效保证和监督形式。在保证全方位、全覆盖测试基础上,突出围绕重要风险领域,抓问题的主要环节、抓关键控制点,采取循环、跟进测试的方法进行测试。对ERP重点流程和控制进行循环测试。将测试工作重点放在对上一阶段测试发现的例外事项上实施改进测试,对上一年度
龙源期刊网 http://www.qikan.com.cn
在内控执行过程中的薄弱环节进行强化测试等。对现有流程和控制逐一进行梳理,筛选出控制频率为月度、季度、半年度和年度的控制,提交各业务部门在业务执行时引起关注并组织自查,项目组进行跟进测试,对重要风险领域涉及的流程或控制点进行循环测试。 3.落实整改,跟踪验收,确保测试工作见到实效
测试结束后,项目组对测试发现的问题进行分析总结,提出整改和规范要求,分部门和单位下发整改通知书,明确整改建议、整改期限、整改责任部门和验收标准。根据各部门反馈的整改信息,项目组应及时跟踪,逐项排查,整改到位。对于已追溯整改的,项目组追加样本量进行复查,确保无一遗漏;对于不能追溯整改的问题,项目组须取得相关业务部门经部门领导签字的书面整改意见,跟踪整改措施的落实情况;全面查找工作的疏漏,对于涉及多部门需协调的问题,项目组召集相关部门,讨论解决方案,使得问题得到及时有效的整改,有效弥补ERP体系运行的薄弱环节。
四、建立内控体系长效机制,提升内控监督力和执行力
1.加强环境建设,逐渐提高全员内控意识
控制环境建设是内控体系的基础,是有效实现内部控制的保障,直接影响着企业内部控制的贯彻执行。加强职业道德培训和宣贯工作,通过强化宣传,营造职业道德环境。建立岗位管理制度,完善反舞弊工作机制。
2.深化内控工作考核制度,提高内控监督力和执行力
建立有效的考核机制,确保各项责任的落实是建立内控长效机制的重要内容之一,可以提高内控工作的监督力和执行力。
(1)强化流程建设部门的流程设计责任,对本部门流程设计负责,增强流程设计的有效性、符合性和规范性。明确目标、责任、处罚标准,保证每一项重要控制都有专人负责监督、执行、落实,保证每名财务人员知其事、尽其职、担其责。
(2)严格例外事项考核。对于测试发现的例外事项,进行责任划分,同时,按流程对发现的例外事项进行分类,追究业务主管部门的管理连带责任,并召开内控通报会,对自测问题较多的单位责令限期整改。
3.强化ERP系统及内控体系培训,提高员工队伍素质
龙源期刊网 http://www.qikan.com.cn
ERP系统内控体系涵盖生产经营的方方面面,对内控管理人员综合素质要求高,需要具备财务、生产、经营等多方面知识。通过培训使企业员工对内控知识从感知到认知发生转变,从陌生到模糊直至熟练掌握,使员工遇到问题能够想到内控是否有要求,将内控工作融入企业日常运作。
五、小 结
ERP系统应用到企业内部控制中,对企业内部控制体系产生了广泛而深远的影响。企业在应用ERP系统的过程中,应注意控制以上所分析的各种风险,并将ERP系统与企业的内控管理体系结合起来。通过内控测试,发现问题及时整改并提出规范要求,弥补工作疏漏,完善相关制度,规范业务操作,促进经营管理,为公司经营管理目标的实现提供保障。
主要参考文献
[1] 宋世贵.ERP实施经验[J].石油工业计算机应用,2005(4).
[2]张国平,王维鸿.ERP系统风险控制探究[J].中国管理信息化 :会计版,2006(9). [3]吴荻.浅论企业内部控制及实施方法[J].会计之友:上旬刊, 2006(10).
