林勵

在移動互聯(lián)網日新月異的今天，企業(yè)發(fā)展不能離開信息化。目前絕大多數大中型企業(yè)都不同程度的建立了信息系統(tǒng)。在供應鏈使中的ERP系統(tǒng)、研發(fā)領域PDM系統(tǒng)，營銷領域的CRM系統(tǒng)，還有用于商業(yè)智能決策分析的BI系統(tǒng)，日常辦公中應用的OA系統(tǒng)等。2009年7月1日正式實施的《企業(yè)內部控制基本規(guī)范》要求已經上市公司必須堅決實行，提倡非上市公司執(zhí)行，包括各種大中型企業(yè)。國資委的征求意見稿中，也有部分內容是建立專門的風險管理和內部控制的信息平臺。國內的政策監(jiān)管上也是要求內部控制向信息化的方向發(fā)展。

內部控制在我國經歷了一個較長時間的發(fā)展，起先人們接觸的很少，對其實施意義的理解也尚淺，開始就只有小部分公司認識到其作用，后來隨著我國經濟的迅速發(fā)展，越來越多的公司開始上市、不斷擴大、走出國門與國際接軌，內部控制才逐漸完善好。對于不同行業(yè)的企業(yè)來講，他們對內部控制的理解是有差異的，以至于不同行業(yè)在具體實施上也不同。根據我國《獨立審計具體準則》中第九號關于對內部控制制度和審計風險作了這樣的描述：內部控制主要是指為了讓被審計企業(yè)正常有序開展有效的業(yè)務活動而不發(fā)生風險，確保企業(yè)資產的完整性和安全性，避免防止發(fā)生錯誤，從而也更有效的讓企業(yè)會計信息合法、完整、真實，這樣在后期制定相關政策和程序才有依據。

根據COSO委員會的定義，內部控制被這樣定義為：它本身是企業(yè)在管理過程中的一種，跟企業(yè)的運轉息息相關，在實施內部控制過程中受到企業(yè)董事會、企業(yè)管理層和企業(yè)各部門員工的影響，由于部門重要性不一樣，影響程度也不一樣，最終內部控制的目的是合力確保企業(yè)的目標順利完成，這些跟企業(yè)相關的目標有三種：一是財務報告準確性和真實性，二是經營管理高效性，三是法律法規(guī)遵從性。其中內部控制主要有五個要素構成：內部環(huán)境控制、內部風險控制、內部活動控制、內部信息與溝通控制，這五個要素也互相影響，相互連接，共同發(fā)揮好作用。

根據上述概念，我國企業(yè)在具體構建內部控制系統(tǒng)時，都認為實施內部控制是為了更好的完成企業(yè)經營目標，促進企業(yè)快速發(fā)展，讓企業(yè)的財務信息更完整精確，資產更完整，相關法律法規(guī)更清晰，規(guī)章制度更規(guī)范，以至于企業(yè)能夠高效確保整個運營正常化、合理化以及經濟性。

企業(yè)建立內部控制制度的目的在于：

1、確保企業(yè)生產經營活動效率更高，效果更好；

2、確保財務會計信息更準確和完整，財務報告真實有效，防止企業(yè)出現財務漏洞，影響企業(yè)正常運轉，這樣企業(yè)的各項數據準確無誤，在為后期制定目標和業(yè)績考核時提供真實的數據支持；

3、嚴格遵守國家法律法規(guī)，地方法令，促使企業(yè)不斷完善相關企業(yè)制度建設，共同做好內部控制，杜絕舞弊行為，損害集體利益。

按照國際權威美國COSO委員會定義，企業(yè)內部控制包括5個要素：

1、控制環(huán)境影響企業(yè)員工內部控制意識，使內部控制得以貫徹執(zhí)行，確保企業(yè)經營戰(zhàn)略目標的實現。

2、風險評估在市場日趨激烈競爭中，企業(yè)內部控制必須分析、了解自身所面臨的各種風險，并適時加以處理。

3、控制活動確保企業(yè)管理層的指令得以實現的政策和程序?？刂苹顒又饕ǎ航灰资跈?、職責分離、監(jiān)管、業(yè)務記錄、接觸控制和獨立稽核。

4、信息和溝通企業(yè)必須保證員工能夠取得他們在執(zhí)行、管理和控制企業(yè)經營過程中所需的信息，使員工順利履行其職責。

5、監(jiān)督整個內部控制的過程必須施以恰當的監(jiān)督，并在必要時對其加以修正。

隨著計算機技術和網絡的快速發(fā)展，企業(yè)信息化程度越來越高，在企業(yè)享受信息化帶來方便與快捷的時候，也加重了企業(yè)內部控制增大的風險。企業(yè)開始由傳統(tǒng)管理向信息化管理進行轉變的過程中，對企業(yè)架構會做一些調整和改變，相對于內部控制來講，一個適合信息化的完善的系統(tǒng)、完整的體系將重要很多，所以這就要求企業(yè)必須遵循現代化科學的基本管理方法，不斷提高企業(yè)經營管理能力，降低企業(yè)運營風險。時至今日，上市公司，包括大中型企業(yè)，一般都通過聘請了外部咨詢公司，或通過人力，開展了內部控制的基本建設工作。那么如何通過IT手段，在信息系統(tǒng)中做內部控制方面的實踐呢？ 如何將信息系統(tǒng)與管理思想的有機的融合呢？

在企業(yè)信息化過程中，通常采用的是ERP系統(tǒng)，它是一個對企業(yè)資源進行有效共享與利用的系統(tǒng)。ERP通過將有序的信息，有效將企業(yè)信息在內部間進行有效傳遞，確保跟企業(yè)運營息息相關的產、銷、存、供、財、物、人、技術等最大化利用，并保障企業(yè)高效運作。

作為企業(yè)信息化建設中的最核心部分，ERP能夠有效為企業(yè)建立一套信息化管理系統(tǒng)，幫助企業(yè)進行高效管理工作。不管是定制的還是外購的ERP軟件，企業(yè)在實施時都必須根據自身的業(yè)務流程重組。新的會計業(yè)務流程不是對現有會計業(yè)務流程的完全否定，而是在其基礎上進行改進，能使其適應信息系統(tǒng)的建立，使ERP的信息可以更有效地集成和傳遞。在ERP應用中，已將優(yōu)化的管理流程和業(yè)務流程固化，這樣就避免了人為的一些差錯，提高了經營的效率。建立監(jiān)控預警的指標體系的時候，要建立動態(tài)的監(jiān)控，要落實內控的執(zhí)行責任等等。除了要把相關內部控制措施，這里我著重談下在醫(yī)藥商業(yè)企業(yè)GSP的要求下，我們要設置那些關鍵控制點呢。結合我的自身工作，我著重談談銷售過程中結合新版GSP要求的內部控制風險控制的關鍵點：

一、適當的職務分離。在企業(yè)內部進行職務分離符合現代化信息化管理系統(tǒng)，可以有效防止企業(yè)無端發(fā)生各種錯誤，避免無謂的損失，因此，企業(yè)應該做到：

1、企業(yè)要單獨設立銷售、發(fā)貨、收款三個業(yè)務部門，分別由相應的領導管理；企業(yè)的銷售崗位與員工信用管理分開設立；正在從事銷售崗位與進行收款業(yè)務的人員輪替，而不是一直不變。

2、由于醫(yī)藥企業(yè)GSP的要求，對從事驗收、養(yǎng)護工作的，都具有相關學歷要求，而且不能不得兼職其他業(yè)務工作。對于含麻含毒藥品，和精神類藥品，蛋白同化制劑、肽類激素、含特殊藥品復方制劑等特殊藥品要求有采購、銷售進行權限控制，由專人負責。

在企業(yè)的ERP實施中，用戶名和權限的設置上就會充分體現出以上內控關鍵點的要求。

二、銷售預算管理。銷售預算管理能幫助企業(yè)對銷售進度，銷售利潤，銷售費用進行合理規(guī)劃。在進度的掌控上，可以通過ERP系統(tǒng)進行實時提示?？梢栽O置上下限提醒，在達不到或大幅超出預算指標是做出報警提示。在費用控制方面，可以有效避免經費不足等情況而無法對客戶信用狀況、產品銷售狀態(tài)不佳而影響銷售；也可以避免產生浪費，降低企業(yè)利潤。

三、充分的客戶信用資料。目前在各行業(yè)的企業(yè)中，賒銷方式已不可避免的成為主要銷售方法，因此為保證應收賬款的回收率必須加強客戶的信息管理。作為醫(yī)藥企業(yè)必須關注客戶是否具有相關購買資質。及時調整客戶基礎檔案及新增變更流程，由業(yè)務部門填寫并由質量部人員審核資質。

四、對于授權審批問題，主要關注以下五個關鍵點上的審批程序：

1、在銷貨發(fā)生之前，賒銷已經正確審批。

2、非經正當審批，不得發(fā)出貨物。

前兩項控制的目的在于防止企業(yè)因向虛構的或者無力支付貨款的顧客發(fā)貨而蒙受損失。

3、銷售價格、銷售條件、運費和折扣等必須經過審批。價格審批控制的目的在于保證銷售交易按照企業(yè)定價政策規(guī)定的價格開票收款。

4、審批人應當根據銷售與收款授權批準制度的規(guī)定，在授權范圍內進行審批，不得超越審批權限。

5、銷售退貨單由發(fā)貨單生成，不能填寫空白單據。

在ERP的實際應用中可以通過系統(tǒng)設置進行提醒，隨時關注客戶資質的到期和更新。特別對含麻含毒藥品，和精神類藥品，蛋白同化制劑、肽類激素、含特殊藥品復方制劑等特殊藥品有特別的資質要求。通過系統(tǒng)自行對沒有資質購買以上相關藥品的客戶進行過濾。

同時在貨品運輸的承運商資質也有具體要求，對需要冷鏈運輸的藥品發(fā)貨時自動通過ERP系統(tǒng)加以控制。對有運輸時限要求的，提示或預警相關部門和崗位人員；藥品運輸的在途時間進行跟蹤管理，填制藥品運輸記錄單。

五、充分的憑證和記錄

關鍵內部控制。只有具備充分的記錄手續(xù)，才有可能實現其他各項控制目標。企業(yè)按照GSP規(guī)定直調藥品的，直調藥品出庫時，由供貨單位開具兩份隨貨同行單（票），分別發(fā)往直調企業(yè)和購貨單位。隨貨同行單（票）的內容應當符合本規(guī)范第七十三條第二款的要求，還應當標明直調企業(yè)名稱。

監(jiān)管機構要求通過信息化的平臺，對內部控制的控制點進行在線監(jiān)控和在線測試，包括整個內部控制的評價，以及內部控制的測試工作，也希望是可以通過信息系統(tǒng)完成的。鑒于ERP管理系統(tǒng)具有運算速度快、數據共享、數據存儲容量大、查詢方便等優(yōu)勢，企業(yè)實施ERP管理系統(tǒng)，能方便的企業(yè)對運營風險進行定期評估，通過評價風險，及時掌握企業(yè)內部控制中出現的問題，并提出相應的改進措施。在企業(yè)內部控制小組或者外部聘請的內控咨詢機構需要相關數據時可以很方便的從中采集。通過ERP系統(tǒng)的實施可以給企業(yè)的內部控制帶來諸多方便。是目前企業(yè)內控實施的重要助手。（作者單位：中國醫(yī)藥工業(yè)有限公司）