论文部分内容阅读
摘要:ERP的实施为内部控制向风险控制方向发展创造了有利条件,同时其推行也给内部控制带来了新的风险。因此,如何做好ERP环境下的内部控制风险的防范,就成为企业目前迫切需要解决的一个现实问题。
关键词:ERP;内部控制;内部控制风险
ERP(Enterprise Resource Planning)即企业资源计划,是由美国著名的计算机技术咨询和评估集团Gartner Group公司于20世纪90年代初首先提出来的。ERP是在制造资源计划(MRPⅡ)基础上进一步发展而来的面向供应链(Supply Chain)的一种先进的管理理念。
ERP的核心思想是以供应链管理为核心,尽可能的整合企业全部资源,加快企业资金流和信息流的流通速度,提高企业竞争力。
ERP不仅仅是一种信息化的手段和工具,其实质是集企业组织模式、业务流程、企业规范和信息技术、实施方法为一体的综合应用管理系统。内部控制作为一种先进的组织管理制度在现代企业管理中有着重要的地位,它对于确保企业经营目标的实现、国家法规制度的贯彻、财会信息质量的保证、以及财产物资的安全与审计工作的开展等诸多方面都有着非常重要的作用。因而,在ERP环境下建立内部控制系统是ERP项目实施中不可缺少的一部分。
一、ERP对内部控制的优化
ERP既是一个技术性的信息系统,更是一种管理理念和思想的体现,内部控制是ERP系统设计实施的基础和指导原则之一。通過在ERP系统内设置内部控制点,能够实现各项控制的程序化、规范化,使信息流在企业内部、企业与外界之间进行有效的控制与传递,有效的减少了业务部门分割运行时执行上出现偏差的现象,提高了内部控制的效率和效果。
1.优化了组织结构,为内部控制创造有利条件
由于ERP系统高度集成的特性,数据在事件发生的源头一次性输入,在经过ERP软件的逻辑处理后,不仅实现了信息的共享,而且满足了各职能部门利用ERP系统提供的数据进行分析管理的需要。因此,一些在传统企业下手工操作控制的活动和部门已经虚拟化了。企业组织结构向扁平化方向发展,原来对信息进行传递、处理、协调的垂直部门,其部门职能由ERP系统代为实现。伴随着组织结构的扁平化发展,组织结构边界日益模糊化,组织结构也变得更具柔性。ERP的实施促进了组织结构的优化,进而为内部控制的实行创造了有利的环境。
2.实现了全面控制,有利于提高内部控制水平
ERP系统中采购模块、存货管理模块、销售模块及财务等模块的高度集成,使企业成为真正意义上的有机整体,供、产、销、财务有机结合,使对人、财、物的全面控制成为可能,会计信息将更加如实地反映企业的经营成果和财务状况。同时,ERP系统中的预算控制功能,使企业能对发生的经济业务进行实时、动态的监控。ERP的系统功能使传统控制方式下难以实现的预算滚动编制、预算执行情况的实施监控、预算的差异分析和调整成为可能,丰富了内部控制的手段,提高了内部控制水平。
3.强化了内部控制点,有利于堵塞管理漏洞
按照内部控制的要求,ERP系统将内部控制点设置到ERP系统中进行强化,借助于ERP系统加大在线控制的力度。业务处理的随意性被系统禁止,从而最大限度地减少了内部控制的风险。比如,物资采购计价采用月末加权平均价,在创建采购订单时,价格受采购指导价和库存限价的控制,当采购价格高于库存价或高于采购指导价时,采购订单不能成功保存,有效的控制了采购成本,从而降低了内部控制的风险。
二、ERP环境下内部控制的新风险
ERP的实施为企业带来的变化、产生的效益是显而易见的, 是多方面的,但是在ERP环境下,企业的业务运作更加依赖于ERP系统。就内部控制而言,ERP系统的引入给内部控制的实施创造有利条件的同时,也为内部控制带来了新的风险。这些风险主要有以下几种:
1.控制环境风险
在ERP环境下,企业内部控制层次明显减少,管理扁平化成为可能,领导不再是组织等级的上层,而成为行动的核心,信息经济要求企业的领导层学会协调与基层人员的关系,激发他们的潜能,并在一个开放和动态的环境中发现内聚力,此时企业的内部控制不再是更多地基于权力的需要,而是基于信息的科学性和企业健康发展的需要。
2.业务流程风险
ERP实行的是流程化的管理,它打破原来职能部门的条块分割,强调优化流程结构,尽可能地减少或合并原来业务流程中重复不增值的作业, 实现企业资源的系统配置和信息共享。但ERP系统一般是固定的模式结构,企业在运行时,软件无法灵活地适应个性化的企业流程要求。企业在进行管理与业务流程重整时,也很难真正达到从组织结构、生产流程、业务流程全面适应ERP系统的效果。另外,企业的组织重组与业务流程简化,会造成很多审批环节的缺失,隐含一定的内部控制流程不完善的风险。
3.技术安全风险
ERP的实施依赖于先进的计算机软、硬件技术,但是计算机硬件以及与之相关的设备存在着因外部不可抗拒因素(如火灾、停电等)或人为因素(如操作失误等)出现系统故障,导致数据丢失甚至瘫痪的风险,且由于其系统一体化、数据逻辑化、信息生成自动化的特点,内部控制根本无法触及,所以一旦出现故障,损失非常严重。
4.人员道德风险
ERP系统的管理模式要求会计系统进一步开放与数据共享。开放与共享的程度越深,操作人员和信息使用者通过公用通讯线路干预系统的机会就越大,系统面临的安全隐患也就越多,从而增大了企业内部控制的风险。另外,ERP系统的实施使传统纸质文档手工录入会计凭证的方式转变成电子文档自动录入,弱化了凭证相互之间的证明性、勾稽性控制,使得手工环境下某些有效的相互制衡措施失效,加大了内部控制的难度和深度。
三、在ERP系统下内部控制风险的防范建议
ERP作为一种新的管理工具,短期内会对原有的内部控制带来一定的冲击与风险,及早防范并有效管理ERP环境下内部控制的新风险,才能发挥出ERP先进的管理思想与信息技术给企业带来的内部控制优势。识别和防范这些风险,可以从以下几个方面加强对内部控制的管理:
1.强化风险意识
根据COSO内部风险管理框架(ERM)建立和完善内部控制体系是未来发展的必然趋势,在公司内部控制体系建设和执行的过程中,应该着重关注企业风险。在ERP环境下,我们应从两个方面对风险进行评估:一是要确定风险评估的目标。业务活动层面风险评估的目标应针对各主要活动并与其它活动保持一致,在内部控制风险评估的实践中,可以从影响财务报告目标实现的风险。二是在财务报告中对相关风险及内部控制进行认定。财务报表认定是管理层进行风险评估进而确保内部控制体系有效性的基础,包括存在或发生、完整性、估价或分摊、权利与义务、表达与披露几个方面。
2.确定重要业务流程
与重要会计科目和披露事项相对应的业务流程就是重要业务流程,重要性是以会计科目和事项的披露对财务报告的影响为标准进行评判的。在ERP系统中由于各功能模块的集成,在进行流程描述时,除进行文字说明外还应辅以跨职能流程图。ERP系统中的流程控制一般由输入控制、处理控制、输出控制三部分组成。另外,ERP系统的运用会给业务流程带来新的系统风险,因此企业需要从整体上采取更加充分有效的措施加以控制。
3.严格控制系统工作环境
为保证系统安全,企业应该实施一系列控制措施来保证网络安全,同时要加强员工的信息安全意识防止人为误操作风险。培养员工的信息安全观念,进行信息安全控制的再教育,使员工在进行业务处理时能依据企业集团的信息安全方针进行信息安全控制和风险防范,同时对硬件设备特别是关键设备进行定期检测,及时发现和解决问题。
4.加强内部审计监督
内部审计是内部控制的一种特殊形式,它是了解内部控制是否有效运作并达到预期效果的手段之一。ERP的实施对内部控制的发展起到了推动作用,而且有时内部审计还直接以完善内部控制为目的,而风险管理和内部控制的结合又通过内部结构及要素的变化促使审计模式不断更新。基于企业业务流程的变化,审计业务流程也要进行相应调整。适应ERP的实施,审计模式的调整,审计人员素质的提高有助于内部控制系统的不断完善。
参考文献:
[1]潘颖.试论ERP环境下的内部控制[J].山东纺织经济,2007(1):50.
[2]闫飞雪.对构建我国企业内部控制评价体系的几点看法—基于CSA视角[J].价值工程,2008(9):106.
[3]夏勇.ERP环境下内部控制系统建立与实施要点分析[J].中国管理信息化,2008(7):5.
关键词:ERP;内部控制;内部控制风险
ERP(Enterprise Resource Planning)即企业资源计划,是由美国著名的计算机技术咨询和评估集团Gartner Group公司于20世纪90年代初首先提出来的。ERP是在制造资源计划(MRPⅡ)基础上进一步发展而来的面向供应链(Supply Chain)的一种先进的管理理念。
ERP的核心思想是以供应链管理为核心,尽可能的整合企业全部资源,加快企业资金流和信息流的流通速度,提高企业竞争力。
ERP不仅仅是一种信息化的手段和工具,其实质是集企业组织模式、业务流程、企业规范和信息技术、实施方法为一体的综合应用管理系统。内部控制作为一种先进的组织管理制度在现代企业管理中有着重要的地位,它对于确保企业经营目标的实现、国家法规制度的贯彻、财会信息质量的保证、以及财产物资的安全与审计工作的开展等诸多方面都有着非常重要的作用。因而,在ERP环境下建立内部控制系统是ERP项目实施中不可缺少的一部分。
一、ERP对内部控制的优化
ERP既是一个技术性的信息系统,更是一种管理理念和思想的体现,内部控制是ERP系统设计实施的基础和指导原则之一。通過在ERP系统内设置内部控制点,能够实现各项控制的程序化、规范化,使信息流在企业内部、企业与外界之间进行有效的控制与传递,有效的减少了业务部门分割运行时执行上出现偏差的现象,提高了内部控制的效率和效果。
1.优化了组织结构,为内部控制创造有利条件
由于ERP系统高度集成的特性,数据在事件发生的源头一次性输入,在经过ERP软件的逻辑处理后,不仅实现了信息的共享,而且满足了各职能部门利用ERP系统提供的数据进行分析管理的需要。因此,一些在传统企业下手工操作控制的活动和部门已经虚拟化了。企业组织结构向扁平化方向发展,原来对信息进行传递、处理、协调的垂直部门,其部门职能由ERP系统代为实现。伴随着组织结构的扁平化发展,组织结构边界日益模糊化,组织结构也变得更具柔性。ERP的实施促进了组织结构的优化,进而为内部控制的实行创造了有利的环境。
2.实现了全面控制,有利于提高内部控制水平
ERP系统中采购模块、存货管理模块、销售模块及财务等模块的高度集成,使企业成为真正意义上的有机整体,供、产、销、财务有机结合,使对人、财、物的全面控制成为可能,会计信息将更加如实地反映企业的经营成果和财务状况。同时,ERP系统中的预算控制功能,使企业能对发生的经济业务进行实时、动态的监控。ERP的系统功能使传统控制方式下难以实现的预算滚动编制、预算执行情况的实施监控、预算的差异分析和调整成为可能,丰富了内部控制的手段,提高了内部控制水平。
3.强化了内部控制点,有利于堵塞管理漏洞
按照内部控制的要求,ERP系统将内部控制点设置到ERP系统中进行强化,借助于ERP系统加大在线控制的力度。业务处理的随意性被系统禁止,从而最大限度地减少了内部控制的风险。比如,物资采购计价采用月末加权平均价,在创建采购订单时,价格受采购指导价和库存限价的控制,当采购价格高于库存价或高于采购指导价时,采购订单不能成功保存,有效的控制了采购成本,从而降低了内部控制的风险。
二、ERP环境下内部控制的新风险
ERP的实施为企业带来的变化、产生的效益是显而易见的, 是多方面的,但是在ERP环境下,企业的业务运作更加依赖于ERP系统。就内部控制而言,ERP系统的引入给内部控制的实施创造有利条件的同时,也为内部控制带来了新的风险。这些风险主要有以下几种:
1.控制环境风险
在ERP环境下,企业内部控制层次明显减少,管理扁平化成为可能,领导不再是组织等级的上层,而成为行动的核心,信息经济要求企业的领导层学会协调与基层人员的关系,激发他们的潜能,并在一个开放和动态的环境中发现内聚力,此时企业的内部控制不再是更多地基于权力的需要,而是基于信息的科学性和企业健康发展的需要。
2.业务流程风险
ERP实行的是流程化的管理,它打破原来职能部门的条块分割,强调优化流程结构,尽可能地减少或合并原来业务流程中重复不增值的作业, 实现企业资源的系统配置和信息共享。但ERP系统一般是固定的模式结构,企业在运行时,软件无法灵活地适应个性化的企业流程要求。企业在进行管理与业务流程重整时,也很难真正达到从组织结构、生产流程、业务流程全面适应ERP系统的效果。另外,企业的组织重组与业务流程简化,会造成很多审批环节的缺失,隐含一定的内部控制流程不完善的风险。
3.技术安全风险
ERP的实施依赖于先进的计算机软、硬件技术,但是计算机硬件以及与之相关的设备存在着因外部不可抗拒因素(如火灾、停电等)或人为因素(如操作失误等)出现系统故障,导致数据丢失甚至瘫痪的风险,且由于其系统一体化、数据逻辑化、信息生成自动化的特点,内部控制根本无法触及,所以一旦出现故障,损失非常严重。
4.人员道德风险
ERP系统的管理模式要求会计系统进一步开放与数据共享。开放与共享的程度越深,操作人员和信息使用者通过公用通讯线路干预系统的机会就越大,系统面临的安全隐患也就越多,从而增大了企业内部控制的风险。另外,ERP系统的实施使传统纸质文档手工录入会计凭证的方式转变成电子文档自动录入,弱化了凭证相互之间的证明性、勾稽性控制,使得手工环境下某些有效的相互制衡措施失效,加大了内部控制的难度和深度。
三、在ERP系统下内部控制风险的防范建议
ERP作为一种新的管理工具,短期内会对原有的内部控制带来一定的冲击与风险,及早防范并有效管理ERP环境下内部控制的新风险,才能发挥出ERP先进的管理思想与信息技术给企业带来的内部控制优势。识别和防范这些风险,可以从以下几个方面加强对内部控制的管理:
1.强化风险意识
根据COSO内部风险管理框架(ERM)建立和完善内部控制体系是未来发展的必然趋势,在公司内部控制体系建设和执行的过程中,应该着重关注企业风险。在ERP环境下,我们应从两个方面对风险进行评估:一是要确定风险评估的目标。业务活动层面风险评估的目标应针对各主要活动并与其它活动保持一致,在内部控制风险评估的实践中,可以从影响财务报告目标实现的风险。二是在财务报告中对相关风险及内部控制进行认定。财务报表认定是管理层进行风险评估进而确保内部控制体系有效性的基础,包括存在或发生、完整性、估价或分摊、权利与义务、表达与披露几个方面。
2.确定重要业务流程
与重要会计科目和披露事项相对应的业务流程就是重要业务流程,重要性是以会计科目和事项的披露对财务报告的影响为标准进行评判的。在ERP系统中由于各功能模块的集成,在进行流程描述时,除进行文字说明外还应辅以跨职能流程图。ERP系统中的流程控制一般由输入控制、处理控制、输出控制三部分组成。另外,ERP系统的运用会给业务流程带来新的系统风险,因此企业需要从整体上采取更加充分有效的措施加以控制。
3.严格控制系统工作环境
为保证系统安全,企业应该实施一系列控制措施来保证网络安全,同时要加强员工的信息安全意识防止人为误操作风险。培养员工的信息安全观念,进行信息安全控制的再教育,使员工在进行业务处理时能依据企业集团的信息安全方针进行信息安全控制和风险防范,同时对硬件设备特别是关键设备进行定期检测,及时发现和解决问题。
4.加强内部审计监督
内部审计是内部控制的一种特殊形式,它是了解内部控制是否有效运作并达到预期效果的手段之一。ERP的实施对内部控制的发展起到了推动作用,而且有时内部审计还直接以完善内部控制为目的,而风险管理和内部控制的结合又通过内部结构及要素的变化促使审计模式不断更新。基于企业业务流程的变化,审计业务流程也要进行相应调整。适应ERP的实施,审计模式的调整,审计人员素质的提高有助于内部控制系统的不断完善。
参考文献:
[1]潘颖.试论ERP环境下的内部控制[J].山东纺织经济,2007(1):50.
[2]闫飞雪.对构建我国企业内部控制评价体系的几点看法—基于CSA视角[J].价值工程,2008(9):106.
[3]夏勇.ERP环境下内部控制系统建立与实施要点分析[J].中国管理信息化,2008(7):5.