在ERP环境下,企业的信息流、物资流和资金流高度集成,业务处理程序被大大简化,大部分手工处理改由计算机完成。由此带来了一些内部牵制措施无法执行的问题,包括会计人员无法直接参与和控制、控制效率低、其审查和稽核机制被削弱等。此外,计算机技术和网络通讯技术本身存在的可靠性、安全性等问题,也给企业内部控制风险的防范带来了相应的难题。在ERP环境下,企业只有对内部控制体系进行优化,才能保障内部控制系统的有效实施,促进企业资源的配置和优化,实现经营的可持续增长。
一、ERP环境下的内部控制风险
在ERP环境下,企业的业务处理是跨职能部门的,企业的资源和信息可以得到统一的管理和共享。由于企业信息的存储介质、存储形式、处理方式都有重大改变,企业内部控制的新风险主要表现在以下方面:
(一)业务流程的改变带来的风险
首先,在系统实施之初,由于业务流程的变化,和手工方式差异很大,用户可能不能马上适应新的操作方式,由此带来一系列的不确定因素造成了风险。其次,业务流程的变化,企业的管理架构趋向扁平,内部控制由程序执行,自动化程度高,业务人员大大减少,给个人身兼多职带来可能,因而导致控制风险。再次,流程化管理进一步密切了部门与部门之间的联系,跨职能部门的流程管理使得某个环节出现问题直接影响其他流程的运作。过去职能化的管理也许还有绕过某些环节变通的方法,而集成系统就必须经过每个流程。在这种情况下,任何一个环节出现差错,将直接影响到后续流程的实施。最后,由于集成系统采用的是单一数据库,所有的数据采取一次性单点输入,如某产品入库的具体数量若只有仓库确认,如果有差错,将直接影响销售、生产、财务等部门统计。
(二)网络的大量应用带来的风险
在企业内的业务逐渐集成到系统的过程中,网络在企业内也开始大量地应用。不仅是各个部门,网络也把异地的分支机构也连接起来。
由于网络环境具有开放性的特点,在这个环境中,一切信息在理论上都是可以被访问到的。网络下的会计信息系统很有可能遭受非法访问或者病毒的侵扰,而且内部人的非法访问成功的机会还很高,一旦发生将造成巨大的损失。
(三)内部控制要素构成的变化及其带来的风险
内部控制整体架构主要由控制环境、风险评估、控制活动、信息与沟通、监督五项要素构成。在ERP环境下,企业内部控制系统仍是由以上五个基本要素构成,控制体系框架并没有发生实质性的改变。但是,每项基本要素的内部构成却发生了变化。
1.控制环境
ERP的实施,改变了企业内部的组织结构体系,管理结构变的扁平化、流程化,决策者和执行者能够快速沟通,企业的内部控制层次明显减少,控制责任更加明确,控制效率更高。ERP的应用增强了企业内部控制的灵活性,对等的渠道使信息无论处于何处都可以被企业内外部人员比较容易地获得。
2.风险评价
ERP的实施给企业带来了新的风险发现、风险分析和风险评估的理念和方法,使企业可以及时准确地分析、辨认企业在实现既定目标过程中可能发生的风险并适时地加以处理。把ERP系统的信息技术与业务活动有机结合起来作为风险防范的工具,将能大大减少错弊的发生,保证企业业务活动的正常进行。同时,ERP系统也给企业带来了新的风险,例如计算机系统的复杂性增加了企业潜在的应用风险;电子数据可以被方便地改写和删除、数据处理过程无法直观观测等都增加了数据安全风险。
3.控制活动
ERP的实施增强了控制手段的灵活性、多样性和高效性,加强了内部控制体系的预防、检查和纠正功能。ERP的应用,可以使企业摆脱人员和资源对内控体系有效性的限制并在企业内部形成新的控制理念:内控体系不再仅仅依赖过多的检查、审批、核准人员或复杂的控制程序,而是依靠信息技术对其进行合理设计,经济、高效地达到控制目标。同时,信息技术的运用也增加了企业内部控制的难度与复杂性.
4.信息与沟通
在ERP环境下,网络连接企业各职能部门,实现了各种业务流程的一体化处理,信息需求者可以实时获取各种信息。相对开放的信息系统也为内部员工和管理者提供了开放的沟通管道,有利于内部沟通的进行,使组织内的员工清楚地了解内部控制体系和各自的责任。管理者也可以随时掌握内部控制制度的执行与生效情况。但是,开放的技术环境很难避免非法侵扰,ERP系统也存在着遭受非法访问甚至破坏的可能性,这使信息的真实性受到了质疑。
5.监督
在ERP环境下,内部控制体系的程序化使内部控制在一定程度上具有了对ERP软件系统的依赖性。同时,ERP的应用使内部控制体系具有了人工控制与程序控制相结合的特点。程序化内部控制体系的有效性取决于应用程序设计的质量,如果程序发生差错或不起作用,那么控制失效就可能长期不被发现,从而使系统由于程序运行的重复性而反复发生相同的纰漏。
二、ERP环境下的内部控制优化策略
(一)完善风险管理机制
企业信息化意味着企业各部门、各作业单位之间,以及企业与外部,如供应商、客户、合作伙伴等通过实时互联的网络实现信息、作业高度共享,网络的开放性把企业暴露于各种风险之中。企业除了要建立传统的风险管理机制之外,还要结合信息化的特点,建立基于信息化的风险管理机制:一是建立一套信息网络系统安全政策和制度;二是定期对系统安全政策与制度的实施效果进行评价;三是通过企业内部会计控制框架的构建,建立、健全预算及责任控制,强化信息化的风险意识。必要时企业可设置风险评估部门或岗位,专门负责有关风险的识别、规避和控制。
(二)优化企业内部控制的环境
COSO报告指出,内部控制环境是内部控制的主要构成因素。影响控制环境的因素很多,主要包括管理理念、公司的治理结构、管理控制方式、人力资源等方面。为了能够有效地实施企业内部控制,企业主要应从以下几个方面着手:
1.优化企业的组织结构,明确权利职责
作为公司制的企业,应该按照相关法规设立相应的董事会、股东会、监事会,并按照公司章程运转,合理选聘优良的经理管理层,处理好集权与分权的关系,明确董事会、股东会、监事会的职责,为设计、执行、控制和监督活动提供基本的框架。同时,在各职责部门之间应该建立起畅通的沟通渠道,保证各部门能够进行有效沟通与交流,使整个组织在高效、协调的机制下运行。
2.建立起有效、合理的内部管理制度
为了保证企业的正常运营,应该实行权责明确、管理科学、激励和约束相匹配的内部管理制度,调节所有者、经营者和员工之间的关系。并根据公司运营的现状,建立起一套合理、有效的内部经理人激励机制,包括规范经理人员的选拔,规范公司资本保值增值目标的考核程序,维护股东方利益,防止内部人为控制,严格实行内部会计与审计控制制度,强化对经理人员的在任审计和监督。另外,还要通过产品市场、资本市场及经理人市场,建立起相配套的经理约束机制。通过合理的激励与约束机制,使经理人既有充分的经营管理权,又能使其尽职尽责地履行对受托人的义务,使企业的效益最大化。通过机制的逐步完善,来推进企业经营管理的规范与调整,使内部控制的目标责任能顺利实现。
3.明确岗位职责,实施关键岗位分离制、轮岗制
现行的ERP系统都相对使得业务流程复杂化,越来越多地依靠系统进行控制。系统是死的,更主要还是由人来实际操控的。因此,对人的控制要比对系统的控制更加重要。对于程序设计与开发人员,他们应仅有对数据测试运行的权限,而不能进行实际操作。除非有特殊事项,在征得相关负责人的同意后,方可以进行数据的传输,但不得对数据进行修改、删除。对于一般业务部门录入的基础数据,在数据生成完毕后要及时传输给财务部门进行确认,在财务人员已经确认审核通过后,业务部门不得再对数据进行修改.
财务部门的员工之间也要做到相互监督与控制,以SAP系统为例,财务部门员工对业务输入的基本数据进行确认审核的时候,应做到审核人员与确认记账人员相分离,以防止财务人员与业务人员相勾结。对重要报表的输出应有相关的控制程序,报表输出与录入应建立专门的ERP管理系统,报表的输入输出需要详细的记录。一旦发现异常,应有相应的警告与提示,并呈报相应的主管领导和内部审计人员,达到实时监控的职能。对在ERP系统中的信息数据,应该有日志备份文档,对在系统中的所存操作都要详细记录,即便有人故意篡改数据,都能够方便、详实地查询到相关操作信息,将系统受人为影响降到最低限度。
4.确立董事会在公司经营管理中的核心地位
董事会要真正成为公司运营的主导机构,重大经营决策方针都必须由董事会讨论决定,而不是由大股东或几个人说了算。ERP系统的有效运行应该是以董事会的有效运营为基础,否则就会沦为利益集团的工具。积极推进董事会制度建设的同时,要逐步改善公司治理结构,保护投资者利益,真正发挥独立董事的外部独立监督作用。
5.加强对ERP信息系统的软硬件的监督和管理
作为内部控制重要手段的ERP信息系统,所依赖的是一个强大的软硬件平台。为了保证企业的正常运转,必须保证这个平台的稳定与高速运行。要加大对软硬件系统的维护与评价,定期出具系统运行报告,定期轮换系统监测与维护人员。对于重大系统故障,要向董事会报告,不得私自做出决定,以免造成重大损失。每年的审计,注明会计师应当对企业的ERP系统的软硬件进行审计,测试在这个系统上运行的ERP提供的数据是否真实、准确、可靠,并在审计报告中给予披露。
6.加强专业人才的培养与开发
信息经济时代对从事财务工作的人员提出了更高的要求,要求有扎实的计算机水平和不断更新的专业知识。这就要求企业应加强对员工的培训,不断地为其提供新的课程培训和企业文化引导,形成爱岗敬业的基本素质,并加强员工职业道德和企业文化建设。
优秀的企业文化,往往能够将员工的道德风险降到较低水平,对于企业内部控制是相当有利的。在信息化环境下,应倡导动态的企业文化,提倡团队精神,对不断变化的环境做出快速反应。
(三)加强外部审计机构对内部控制的评价
为了更有效地实施内部控制,企业应聘请外部专业的审计机构对企业的内部控制进行评价与分析,重点是实施ERP系统以后,企业的内部控制是变好了还是比以前差了,在ERP系统上运行是更安全还是危险增大了,在ERP系统上运行的数据是否真实、可靠地反映了企业的经营管理状况,企业的治理是否稳定在一个合理、健康的水平上。外部审计机构需要定期提供内部控制状况报告,提交给企业的董事会、股东会、监事会等相关职能部门。若是上市公司,还应提交给证监会等相关部门,让企业的经营信息公开化、透明化,促进企业自身的健康、持续发展。