在ERP环境下,企业信息流、物资流和资金流高度集成,业务处理流程大大简化,大部分手工处理都由计算机完成。 这就产生了会计人员无法直接参与管理、管理效率低、审查和审计机制受损等内部牵制措施无法执行的问题。 另外,计算机技术和网络通信技术本身存在的可靠性、安全性等问题,也给防止企业内部的风险管理带来了相应的课题。 在ERP环境下,企业只有优化内部控制系统,才能保障内部控制系统的有效实施,促进企业资源配置和优化,实现经营的可持续增长。
一、ERP环境下的内部控制风险
在ERP环境中,企业业务处理是跨部门进行的,企业资源和信息是统一管理和共享的。 由于企业信息的存储介质、存储格式和处理方式发生了重大更改,企业内部管理的新风险主要包括:
(一)业务流程变更带来的风险
首先,在系统部署之初,由于业务流程的变化,与手动操作的差异很大,用户可能无法及时应对新的操作方法,从而导致一系列不确定因素带来风险。 其次,业务流程的变化,关系到企业管理结构扁平,内部控制由程序执行,自动化程度高,业务人员大幅减少,给个人兼职带来可能性,降低风险。 再次,流程化管理进一步密切部门与部门之间的联系,部门之间的流程管理在一个环节出现问题直接影响其他流程的运行。 过去的功能化管理可能有绕过几个阶段变通的方法,但集成系统必须经过所有过程。 在这种情况下,任何一个阶段出现错误都会直接影响后续流程的实施。 最后,由于集成系统采用单个数据库,所有数据都采用一次单输入,如某产品入库的具体数量只在仓库确认,如有错误,将直接影响销售、生产、财务等部门的统计。
(二)互联网大量使用带来的风险
在企业内部的业务被整合到系统中的过程中,网络在企业内部也被大量使用。 不仅各部门,互联网也连接了异地的分公司。 由于网络环境具有开放性的特点,因此在该环境中所有信息在理论上都是可访问的。 互联网上的会计信息系统很可能受到非法访问和病毒的入侵,内部人员非法访问成功的机会也很高,一旦发生就会造成很大的损失。
(三)内部控制要素构成变化及其带来的风险
内部控制的总体结构主要由控制环境、风险评估、控制活动、信息与沟通、监督五个要素组成。 在ERP环境下,企业内部控制系统仍由以上五个基本要素组成,控制体系框架没有实质性变化。 但是,各基本要素的内部构成发生了变化。
1 .控制环境
的实施,改变了企业内部的组织结构体系,治理结构扁平化、流程化,舒适的手册和执行者可以快速沟通,企业内部控制水平明显减少,控制责任更加明确,控制效率更高。 ERP的应用增强了企业内部控制的灵活性,通过对等的渠道,信息在任何地方都相对容易得到。
2 .风险评估
ERP的实施将为企业带来新的风险发现、风险分析和风险评估理念和方法,使企业能够及时准确地分析、识别和及时处理在实现既定目标过程中可能出现的风险。 将ERP系统的信息技术与业务活动有机结合起来作为风险防范的工具,可以大大减少差错的发生,保证企业业务活动的正常进行。 同时,ERP系统给企业带来了新的风险。 例如,计算机系统的复杂性增加了企业潜在的应用风险; 容易改写和删除电子数据、无法直观观察数据处理过程等,都会增加数据安全风险。
3 .控制活动
ERP的实施增强了控制手段的灵活性、多样性和效率,增强了内部控制系统的预防、检查和纠正功能。 ERP的应用可以使企业摆脱人员和资源内部控制系统有效性的限制,在企业内部形成新的控制理念。 内部控制系统依靠信息技术合理设计,经济高效地实现控制目标,而不是依靠过多的检查、批准、批准或复杂的控制过程。 同时,信息技术的运用增加了企业内部控制的难度和复杂性。
4 .信息和交流
在ERP环境下,企业各功能部门通过网络连接,实现各种业务流程的一体化处理,信息用户可以实时获取各种信息。 相对开放的信息系统还为内部员工和成果牛排提供了开放的沟通管道,有利于内部沟通的进行,使组织内部员工明确了解内部控制体系和各自的责任。 达成的牛排也能随时掌握内部统制制度的执行和生效情况。 但是,开放的技术环境难以避免非法入侵,ERP系统也可能受到非法访问和破坏,信息的真实性受到质疑。
5 .监督
在ERP环境下,内部控制体系的程序化在一定程度上使内部控制具有对ERP软件系统的依赖性。 同时,ERP的应用使内部控制系统具有人工控制与程序控制相结合的特点。 程序化内部控制体系的有效性取决于APP应用程序设计的质量,如果程序存在错误或不起作用,则长期无法发现失去控制,程序运行的重复性可能导致系统重复相同的错误。
二、ERP环境下内部控制的优化策略
(一)完善风险管理机制
企业信息化是指企业各部门、各工作单位之间以及企业与外部(如供应商、客户、合作伙伴等)通过实时互联的网络高度共享信息、工作,网络的开放性使企业面临各种风险。 企业除建立传统风险管理机制外,还结合信息化特点,建立基于信息化的风险管理机制。 一是建立信息网络系统安全
政策和制度;二是定期对系统安全政策与制度的实施效果进行评价;三是通过企业内部会计控制框架的构建,建立、健全预算及责任控制,强化信息化的风险意识。必要时企业可设置风险评估部门或岗位,专门负责有关风险的识别、规避和控制。(二)优化企业内部控制的环境
COSO报告指出,内部控制环境是内部控制的主要构成因素。影响控制环境的因素很多,主要包括管理理念、公司的治理结构、管理控制方式、人力资源等方面。为了能够有效地实施企业内部控制,企业主要应从以下几个方面着手:
1.优化企业的组织结构,明确权利职责
作为公司制的企业,应该按照相关法规设立相应的董事会、股东会、监事会,并按照公司章程运转,合理选聘优良的经理管理层,处理好集权与分权的关系,明确董事会、股东会、监事会的职责,为设计、执行、控制和监督活动提供基本的框架。同时,在各职责部门之间应该建立起畅通的沟通渠道,保证各部门能够进行有效沟通与交流,使整个组织在高效、协调的机制下运行。
2.建立起有效、合理的内部管理制度
为了保证企业的正常运营,应该实行权责明确、管理科学、激励和约束相匹配的内部管理制度,调节所有者、经营者和员工之间的关系。并根据公司运营的现状,建立起一套合理、有效的内部经理人激励机制,包括规范经理人员的选拔,规范公司资本保值增值目标的考核程序,维护股东方利益,防止内部人为控制,严格实行内部会计与审计控制制度,强化对经理人员的在任审计和监督。另外,还要通过产品市场、资本市场及经理人市场,建立起相配套的经理约束机制。通过合理的激励与约束机制,使经理人既有充分的经营管理权,又能使其尽职尽责地履行对受托人的义务,使企业的效益最大化。通过机制的逐步完善,来推进企业经营管理的规范与调整,使内部控制的目标责任能顺利实现。
3.明确岗位职责,实施关键岗位分离制、轮岗制
现行的ERP系统都相对使得业务流程复杂化,越来越多地依靠系统进行控制。系统是死的,更主要还是由人来实际操控的。因此,对人的控制要比对系统的控制更加重要。对于程序设计与开发人员,他们应仅有对数据测试运行的权限,而不能进行实际操作。除非有特殊事项,在征得相关负责人的同意后,方可以进行数据的传输,但不得对数据进行修改、删除。对于一般业务部门录入的基础数据,在数据生成完毕后要及时传输给财务部门进行确认,在财务人员已经确认审核通过后,业务部门不得再对数据进行修改。财务部门的员工之间也要做到相互监督与控制,以SAP系统为例,财务部门员工对业务输入的基本数据进行确认审核的时候,应做到审核人员与确认记账人员相分离,以防止财务人员与业务人员相勾结。对重要报表的输出应有相关的控制程序,报表输出与录入应建立专门的ERP管理系统,报表的输入输出需要详细的记录。一旦发现异常,应有相应的警告与提示,并呈报相应的主管领导和内部审计人员,达到实时监控的职能。对在ERP系统中的信息数据,应该有日志备份文档,对在系统中的所存操作都要详细记录,即便有人故意篡改数据,都能够方便、详实地查询到相关操作信息,将系统受人为影响降到最低限度。
4.确立董事会在公司经营管理中的核心地位
董事会要真正成为公司运营的主导机构,重大经营决策方针都必须由董事会讨论决定,而不是由大股东或几个人说了算。ERP系统的有效运行应该是以董事会的有效运营为基础,否则就会沦为dddxmf的工具。积极推进董事会制度建设的同时,要逐步改善公司治理结构,保护投资者利益,真正发挥独立董事的外部独立监督作用。
5.加强对ERP信息系统的软硬件的监督和管理
作为内部控制重要手段的ERP信息系统,所依赖的是一个强大的软硬件平台。为了保证企业的正常运转,必须保证这个平台的稳定与高速运行。要加大对软硬件系统的维护与评价,定期出具系统运行报告,定期轮换系统监测与维护人员。对于重大系统故障,要向董事会报告,不得私自做出决定,以免造成重大损失。每年的审计,注明会计师应当对企业的ERP系统的软硬件进行审计,测试在这个系统上运行的ERP提供的数据是否真实、准确、可靠,并在审计报告中给予披露。
6.加强专业人才的培养与开发
信息经济时代对从事财务工作的人员提出了更高的要求,要求有扎实的计算机水平和不断更新的专业知识。这就要求企业应加强对员工的培训,不断地为其提供新的课程培训和企业文化引导,形成爱岗敬业的基本素质,并加强员工职业道德和企业文化建设。优秀的企业文化,往往能够将员工的道德风险降到较低水平,对于企业内部控制是相当有利的。在信息化环境下,应倡导动态的企业文化,提倡团队精神,对不断变化的环境做出快速反应。
(三)加强外部审计机构对内部控制的评价
为了更有效地实施内部控制,企业应聘请外部专业的审计机构对企业的内部控制进行评价与分析,重点是实施ERP系统以后,企业的内部控制是变好了还是比以前差了,在ERP系统上运行是更安全还是危险增大了,在ERP系统上运行的数据是否真实、可靠地反映了企业的经营管理状况,企业的治理是否稳定在一个合理、健康的水平上。外部审计机构需要定期提供内部控制状况报告,提交给企业的董事会、股东会、监事会等相关职能部门。若是上市公司,还应提交给证监会等相关部门,让企业的经营信息公开化、透明化,促进企业自身的健康、持续发展。
原文:http://www.intkr.com/articleDetail-p-articleId-16574.html
责编:银科软件