2008年6月發(fā)布的《企業(yè)內(nèi)部控制基本規(guī)范》中,明確提出“企業(yè)應當利用信息技術加強企業(yè)內(nèi)部控制建設,努力建成與企業(yè)日常經(jīng)營管理相融合相配套的信息管理系統(tǒng),完善內(nèi)部控制與信息管理系統(tǒng)的相互融合”。ERP(企業(yè)資源計劃)基于先進的企業(yè)管理理念,一方面作為集信息和控制于一體的系統(tǒng)應用,為內(nèi)部控制提供了工具和平臺;另一方面作為集成的大型信息系統(tǒng),其固有的信息系統(tǒng)風險,也為企業(yè)內(nèi)部控制帶來了挑戰(zhàn)。因此,加強ERP 與企業(yè)內(nèi)部控制的整合研究,全面防范企業(yè)經(jīng)營風險,已經(jīng)成為企業(yè)上線ERP 必須需要思考和關注的迫切問題。
一、ERP 與內(nèi)部控制的關系
(一) ERP 可以改善企業(yè)內(nèi)部控制。ERP 的實施,使企業(yè)管理結構變的扁平化、流程化,決策者和執(zhí)行者能夠快速溝通,控制層次明顯減少,控制責任更加明確,對內(nèi)部控制環(huán)境的改善和信息與溝通的效率帶來很大的促進作用。ERP 系統(tǒng)通過信息技術手段,對業(yè)務流程和控制進行合理設計并固化在系統(tǒng)中,增強了業(yè)務流程的執(zhí)行力和提高了控制的實時性和準確性,提高了內(nèi)部控制的自動程度和效率,形成新的控制理念。
(二)ERP 是內(nèi)部控制的對象。從本質(zhì)上講,ERP 是一套信息系統(tǒng),是一種工具,是由具有主觀意識的人設計和進行具體操作的,但“垃圾輸入決定了垃圾輸出”,若輸入錯誤的數(shù)據(jù),對實現(xiàn)企業(yè)目標的影響同樣是致命的,有可能導致嚴重的管理決策錯誤。因此,從內(nèi)部控制的角度來講,必須將ERP 系統(tǒng)作為控制對象,從信息技術的角度,評估風險并建立相應的信息系統(tǒng)總體控制和應用控制,確保ERP 系統(tǒng)的運行質(zhì)量和運行效率。
因此,ERP 系統(tǒng)的實施對內(nèi)部控制的影響具有兩面性:一方面,ERP 實現(xiàn)了最大化的信息集成,可以把特定的管理要求固化,提高了內(nèi)部控制自動化程度,也可以實時信息共享,增強了信息的時效性、可獲取性和正確性,因此企業(yè)可以通過ERP 來優(yōu)化內(nèi)部控制;另一方面ERP 作為一種管理和控制的工具和手段,本身并不創(chuàng)造控制體系,而且作為大型的復雜的集成信息系統(tǒng),也給內(nèi)部控制來了新的風險,因此ERP 環(huán)境下,企業(yè)必須加強信息系統(tǒng)控制,提高風險管理水平,確保企業(yè)內(nèi)部控制持續(xù)有效運行。
二、ERP 與內(nèi)部控制的整合
(一)業(yè)務流程規(guī)范。ERP 系統(tǒng)的成功應用離不開業(yè)務流程規(guī)范。ERP 側重在合理的業(yè)務流程基礎上實現(xiàn)對企業(yè)資源的整合和有效利用,各模塊之間有著密切的關系,數(shù)據(jù)在系統(tǒng)內(nèi)實時傳遞和共享,數(shù)據(jù)的處理責任、方式和流向都會較ERP 實施之前發(fā)生重大變化,企業(yè)原有的業(yè)務流程不再適應新的管理思想和管理模式,因此,只有通過業(yè)務流程規(guī)范,建立基于ERP系統(tǒng)標準流程上的、符合內(nèi)控要求的新流程,才有可能上線ERP 系統(tǒng)。業(yè)務流程規(guī)范主要有以下三種情況
1、流程整合。ERP系統(tǒng)將手工控制變?yōu)樽詣涌刂疲虼讼嚓P內(nèi)控流程不再適用,必須通過ERP 藍圖設計過程整合相關流程,如計劃審批流程、成本核算流程等;
2、流程修訂。ERP系統(tǒng)操作貫穿業(yè)務流程的全過程,必須用系統(tǒng)操作流程替換原來手工操作流程,使業(yè)務流程和實際業(yè)務相吻合,如憑證審批、項目進度等流程;
3 、新增流程。原有的內(nèi)控體系并沒有涵蓋全部業(yè)務流程,尤其是針對ERP 系統(tǒng)維護和接口類等相關流程。如基礎數(shù)據(jù)維護,主數(shù)據(jù)維護、價格維護等流程。
(二)信息系統(tǒng)控制規(guī)范。ERP 作為集成的大型信息系統(tǒng),系統(tǒng)外圍物理安全和系統(tǒng)本身邏輯安全均對企業(yè)內(nèi)部控制帶來風險,為此,必須建立相應的信息系統(tǒng)總體控制和信息系統(tǒng)應用控制,確保系統(tǒng)的總體安全。信息系統(tǒng)總體控制適用于企業(yè)在信息技術的開發(fā)、實施、運行、維護及管理等方面的控制,它可以更好地保護企業(yè)的信息資產(chǎn),可以提高信息系統(tǒng)對業(yè)務的支撐力度,增強企業(yè)信息系統(tǒng)的運行效力。信息系統(tǒng)應用控制包括應用軟件中的電算化步驟以及用以控制不同種類交易處理的相關手工操作程序。這些控制結合在一起,可以保證系統(tǒng)中的財務和其他信息的安全性、完整性、準確性和有效性。信息系統(tǒng)總體控制是應用系統(tǒng)控制的基礎,應用系統(tǒng)控制依賴于信息系統(tǒng)總體控制,兩者共同保證信息處理的完整性和準確性。
(三)權限管理規(guī)范。權限管理是ERP 系統(tǒng)內(nèi)部控制的重中之重,如何權限管理不到位,造成授權不當,企業(yè)運營的風險也大大提高,這種風險主要包括兩個方面: 一是讓更多原本沒有必要了解這些信息的員工可隨時掌握這些信息,大大增加了泄密的可能性;二是原本沒有必要操作或加工這些信息的員工擁有了這些權利,增加了管理失控的可能。
1、編制ERP 系統(tǒng)職責分離矩陣!堵氊煼蛛x矩陣》在滿足主數(shù)據(jù)維護、財務活動和其他業(yè)務活動互斥的基礎上,定義相關模塊各項業(yè)務活動之間的互斥關系。
2、嚴格權限設計。權限管理人員根據(jù)實際業(yè)務和ERP 建設情況,確定業(yè)務活動和事務代碼的適用和使用情況,從業(yè)務角度確保權限設計和實施的合理性。
3、開展權限測試。雖然在權限設計的過程中充分考慮到權限職責分離的情況,但并不能實現(xiàn)權限的完全事前控制,因此必須要進行權限測試, 通過定期的權限檢查發(fā)現(xiàn)權限問題并及時進行整改。
(四)加強內(nèi)控監(jiān)督。ERP 環(huán)境下,內(nèi)部控制體系的程序化使得內(nèi)部控制在一定程度上具有了對ERP 系統(tǒng)的依賴性,雖然在ERP 項目建設過程中,內(nèi)控體系針對ERP 系統(tǒng)對現(xiàn)有內(nèi)控體系的影響因素,進行了業(yè)務流程規(guī)范、加強了信息系統(tǒng)控制和權限控制,但企業(yè)真正上線ERP 系統(tǒng)后,規(guī)范的流程在實際業(yè)務中是否可以良好的運行,設計的關鍵控制是否可以得到正確的執(zhí)行,權限互斥和冗余權限是否可以得到控制,都需要在ERP 系統(tǒng)上線后,開展專項測試,強化內(nèi)控監(jiān)督,確保內(nèi)部控制體系設計有效,執(zhí)行有力。
三、整合效果
(一)實現(xiàn)信息的集成。ERP系統(tǒng)集成了企業(yè)核心價值鏈的計劃、項目、采購、制造、銷售和財務各項企業(yè)資源,使財務與業(yè)務、業(yè)務與業(yè)務之間的信息實時傳輸,同時通過財務整合方案實現(xiàn)了ERP 與原有財務管理系統(tǒng)的數(shù)據(jù)傳遞,各項管理信息最后自動歸集到財務進行核算,實現(xiàn)了企業(yè)各項資源信息的集成化。
(二)提高內(nèi)部控制效率。ERP 系統(tǒng)全面支持人、財、物等生產(chǎn)經(jīng)營管理相關資源的調(diào)配,并支撐各種關鍵績效指標的監(jiān)控管理,而且ERP 系統(tǒng)的IT 技術應用,促進了業(yè)務流程的核心價值最大化,將原來事后的監(jiān)督控制轉變?yōu)槭虑邦A防、事中檢查和事后糾正的綜合控制,將原來以會計人員的會計控制轉變?yōu)槿珕T參與的全面控制,提高了內(nèi)部控制的效率。
(三)轉變管理理念,提升管理水平。ERP 帶來了先進的管理思想,強調(diào)對企業(yè)內(nèi)部甚至外部資源進行優(yōu)化配置、規(guī)劃和流轉,著重管理活動的規(guī)范性,打破了部門之間的本位主義,優(yōu)化了業(yè)務流程,標準化信息數(shù)據(jù),提升企業(yè)的決策支持效率,充分發(fā)揮出公司級管理的最大效應,全面提高了企業(yè)管理水平。
ERP 先進的管理思想和信息技術在提高企業(yè)內(nèi)部控制效率的同時,也為內(nèi)部控制帶來新的風險,必須進行風險評估和控制設計,同時,ERP 環(huán)境下的內(nèi)部控制還可能面臨新的未知風險,是一項長期的系統(tǒng)工程,必須常抓不懈。
轉載請注明出處:拓步ERP資訊網(wǎng)http://www.ezxoed.cn/
本文網(wǎng)址:http://www.ezxoed.cn/html/consultation/1082049992.html