賀延兵

如今，在ERP環(huán)境下建立內(nèi)部控制系統(tǒng)，已成為ERP項(xiàng)目實(shí)施中不可缺少的一部分。ERP的引入，可以幫企業(yè)節(jié)省內(nèi)部控制的人力成本，提高內(nèi)部控制的效率，但也會給企業(yè)內(nèi)控體系帶來很多具有IT技術(shù)特點(diǎn)的新問題。因而在ERP系統(tǒng)開發(fā)與實(shí)施過程中，應(yīng)當(dāng)全面考慮，將完善的內(nèi)部控制體系有步驟地融入ERP環(huán)境當(dāng)中，并將信息技術(shù)帶來的風(fēng)險(xiǎn)納入新的內(nèi)部控制之中，以便在內(nèi)部控制方面盡量揚(yáng)長避短，為企業(yè)引入ERP帶來最大的收益。

現(xiàn)實(shí)問題

雖然，ERP是一種有效的企業(yè)治理工具和手段，但它不是萬能的。ERP業(yè)務(wù)復(fù)雜、運(yùn)營和維護(hù)成本高，規(guī)模較小的企業(yè)不太適合采用該技術(shù);ERP各模塊是根據(jù)業(yè)務(wù)實(shí)際設(shè)置的，沒有標(biāo)準(zhǔn)化的模型，所以對于不同類型的企業(yè)，ERP的內(nèi)容也不盡相同，對于經(jīng)營范圍廣泛的大型企業(yè)集團(tuán)來講就很難設(shè)置統(tǒng)一量化的考核評價(jià)標(biāo)準(zhǔn)等。

其一，內(nèi)部控制制度執(zhí)行與監(jiān)督、檢查力度不夠。企業(yè)內(nèi)部控制的關(guān)鍵點(diǎn)不明確，人員分工與協(xié)同沒有落到實(shí)處，沒有專門負(fù)責(zé)對各部門進(jìn)行評價(jià)制度執(zhí)行情況的有力組織和考核機(jī)制。各部門和各崗位之間缺乏必要的監(jiān)督與牽制，導(dǎo)致各部門自成一派，各自為戰(zhàn)。

其二，內(nèi)部控制制度設(shè)計(jì)缺乏科學(xué)性和繼承性，具體表現(xiàn)在三個方面：一是內(nèi)部控制組織不健全，把執(zhí)行了業(yè)務(wù)規(guī)章制度就等同于加強(qiáng)了內(nèi)部控制制度;二是內(nèi)部控制目前僅僅是事后的控制，出了問題后才去處罰和控制，實(shí)際上已經(jīng)削弱了內(nèi)部控制的職能;三是內(nèi)部控制并非全面的內(nèi)部控制，只是將關(guān)注的重點(diǎn)局限在貨幣資金等重要資產(chǎn)上，忽視人員素質(zhì)、信息數(shù)據(jù)的內(nèi)部控制，與現(xiàn)時代的經(jīng)濟(jì)發(fā)展要求相脫節(jié)。

其三，業(yè)務(wù)崗位職責(zé)分工不合理。實(shí)施了ERP信息系統(tǒng)后，很多企業(yè)沒有對崗位職責(zé)進(jìn)行明確分工與控制。

其四，內(nèi)部控制的組織結(jié)構(gòu)設(shè)置不盡合理。目前，大多數(shù)企業(yè)的內(nèi)部控制的執(zhí)行檢查機(jī)構(gòu)是內(nèi)審部。內(nèi)審部應(yīng)是獨(dú)立于任何部門，直接對總經(jīng)理、董事會、股東大會負(fù)責(zé)的，但實(shí)際中有很多單位的內(nèi)審部卻是直接或間接受財(cái)務(wù)部門領(lǐng)導(dǎo)的。這樣的機(jī)構(gòu)設(shè)置就會失去獨(dú)立性，起不到監(jiān)督與控制的作用。

主要挑戰(zhàn)

一般ERP系統(tǒng)采用客戶端/服務(wù)端結(jié)構(gòu)可以使企業(yè)低成本、高效率地獲得業(yè)務(wù)的集成管理功能。但是如果對這種技術(shù)結(jié)構(gòu)的靈活性缺乏有效的控制，系統(tǒng)會很容易暴露在被攻擊的風(fēng)險(xiǎn)中。這種系統(tǒng)攻擊包括內(nèi)部用戶無意或惡意的攻擊、外部人員通過網(wǎng)絡(luò)進(jìn)行的無意或惡意攻擊和病毒攻擊等，會給企業(yè)的ERP系統(tǒng)，以及基于ERP系統(tǒng)的內(nèi)部控制體系帶來惡劣的后果。

數(shù)據(jù)的所有權(quán)和日常維護(hù)也成為一個問題。如果對用戶有不合控制體系要求的訪問權(quán)限設(shè)置，那么系統(tǒng)將缺乏有效的反饋機(jī)制約束，其對系統(tǒng)的濫用，使得系統(tǒng)中一些機(jī)密數(shù)據(jù)變得非常透明并有可能導(dǎo)致企業(yè)的重大損失。數(shù)據(jù)的一次性輸入和即時傳遞模式也造成了新的控制問題。ERP環(huán)境下，數(shù)據(jù)通常是一次輸入完成后在系統(tǒng)內(nèi)通用的，由于沒有了傳統(tǒng)環(huán)境下對數(shù)據(jù)的核對和檢查過程，那么如果數(shù)據(jù)初始輸入有誤，就會導(dǎo)致錯誤的數(shù)據(jù)在系統(tǒng)內(nèi)被反復(fù)使用并造成一連串的錯誤處理活動、輸出一連串的錯誤處理結(jié)果，直接影響到其他流程的運(yùn)作。這種情況對ERP環(huán)境下數(shù)據(jù)輸入點(diǎn)的控制提出了更高的要求。

ERP系統(tǒng)所依賴的軟、硬件環(huán)境也對企業(yè)內(nèi)控體系提出了新的要求。對硬件運(yùn)行實(shí)體環(huán)境的安排、對計(jì)算機(jī)硬件系統(tǒng)和外設(shè)的實(shí)體控制、對ERP系統(tǒng)二次開發(fā)和系統(tǒng)維護(hù)的控制、對軟件數(shù)據(jù)的備份安排等內(nèi)容，也都要被企業(yè)納入內(nèi)部控制體系中去。

ERP環(huán)境下各種業(yè)務(wù)數(shù)據(jù)和控制信息的電子化特性給企業(yè)的內(nèi)部控制帶來了新的風(fēng)險(xiǎn)。業(yè)務(wù)數(shù)據(jù)的電子化特點(diǎn)使其輸入和傳遞更加方便快捷，準(zhǔn)確性也得到了保證。這樣，企業(yè)內(nèi)部控制體系在ERP環(huán)境下具有更高的經(jīng)濟(jì)性和效率性，降低了成本，加強(qiáng)了內(nèi)部基礎(chǔ)控制體系的規(guī)范性。但是，電子化數(shù)據(jù)和信息的合法性問題和安全性問題也將成為內(nèi)控體系關(guān)注的重點(diǎn)，網(wǎng)絡(luò)環(huán)境自身的安全性也同樣脆弱，任何對企業(yè)內(nèi)部網(wǎng)絡(luò)系統(tǒng)的破壞都可能會給企業(yè)的運(yùn)作帶來嚴(yán)重后果。企業(yè)在網(wǎng)絡(luò)安全上會面面臨各種控制難題，需要制訂相應(yīng)的措施來進(jìn)行防范。

實(shí)施關(guān)鍵

在ERP系統(tǒng)開發(fā)與實(shí)施過程中，應(yīng)當(dāng)全面考慮，將完善的內(nèi)部控制體系有步驟地融入ERP環(huán)境當(dāng)中，并將信息技術(shù)帶來的風(fēng)險(xiǎn)納入新的內(nèi)部控制之中，以便在內(nèi)部控制方面盡量揚(yáng)長避短，為企業(yè)引入ERP帶來最大的收益。

其一，要認(rèn)識到ERP內(nèi)部控制與傳統(tǒng)內(nèi)部控制存在差異，并依據(jù)該框架建立企業(yè)自己的內(nèi)部控制制度、設(shè)計(jì)內(nèi)部控制流程、內(nèi)部控制點(diǎn)、內(nèi)部控制檢測點(diǎn)等內(nèi)容。由于ERP中IT技術(shù)滲透到整個管理系統(tǒng)中，因而IT控制并非一個與管理控制、會計(jì)控制相剝離的獨(dú)立部分，而是與它們緊密結(jié)合、相互作用的部分，需要共同考慮，企業(yè)自身對于內(nèi)部控制目標(biāo)的精準(zhǔn)認(rèn)識對于企業(yè)后續(xù)與ERP開發(fā)商技術(shù)人員之間的溝通會起到關(guān)鍵的作用。

其二，在已確定的內(nèi)部控制框架內(nèi)對具體的內(nèi)部控制方案進(jìn)行細(xì)化設(shè)計(jì)。在進(jìn)行設(shè)計(jì)時，首先，應(yīng)當(dāng)明確業(yè)務(wù)流程中各個作業(yè)前后的銜接，明確這些作業(yè)相互之間的關(guān)系;其次，制定每一項(xiàng)作業(yè)相應(yīng)的作業(yè)標(biāo)準(zhǔn)和考核指標(biāo);再次，明確每項(xiàng)作業(yè)中的任務(wù)組合，對每項(xiàng)任務(wù)制定出相應(yīng)的標(biāo)準(zhǔn)，即完成任務(wù)的指標(biāo)，其中包括量化和非量化指標(biāo);最后，將每一項(xiàng)任務(wù)落實(shí)到執(zhí)行任務(wù)的個人或者功能模塊，用上述制定的量化和非量化指標(biāo)作為考核業(yè)績指標(biāo)。同時由于任務(wù)最終落實(shí)到組織，涉及授權(quán)和責(zé)任的劃分，這樣流程的設(shè)計(jì)和組織的涉及就達(dá)到了有效的結(jié)合;而在一項(xiàng)業(yè)務(wù)流程的執(zhí)行過程中，也可能涉及不同的內(nèi)部控制項(xiàng)目，那么組織、項(xiàng)目、流程就可以完成三維的組合。

其三，在ERP項(xiàng)目引入的需求分析階段與開發(fā)階段必須重視與開發(fā)商充分溝通。

其四，從重點(diǎn)模塊入手，逐步擴(kuò)展完成整個ERP內(nèi)部控制系統(tǒng)的融入。ERP系統(tǒng)中影響面最廣的模塊是財(cái)務(wù)模塊，財(cái)務(wù)與各項(xiàng)業(yè)務(wù)關(guān)系密切，因而內(nèi)部控制從財(cái)務(wù)入手就容易對業(yè)務(wù)進(jìn)行有效的監(jiān)管和管理;財(cái)務(wù)管理和其他業(yè)務(wù)模塊的集成使得企業(yè)的所有業(yè)務(wù)環(huán)節(jié)、所有部門都能被有效地制約和監(jiān)控，做到事前預(yù)算、事中控制、事后準(zhǔn)確核算。需要說明的是，企業(yè)建立ERP系統(tǒng)不是一蹴而就的，依附于ERP之上的內(nèi)部控制系統(tǒng)必須隨著ERP系統(tǒng)的使用與修改不斷進(jìn)行變動完善，ERP系統(tǒng)中的內(nèi)部控制系統(tǒng)的成熟完善是一個漸進(jìn)的過程。

完善建議

在ERP環(huán)境下，完善企業(yè)內(nèi)部控制的措施建議從以下幾個方面入手：

一、完善公司的治理結(jié)構(gòu)。要確保企業(yè)內(nèi)部控制建設(shè)和作用的有效發(fā)揮，主要有兩點(diǎn)：一方面是硬件條件，即企業(yè)組織機(jī)構(gòu)的建立和完善;另一方面是軟件條件，即企業(yè)內(nèi)部組織結(jié)構(gòu)間的有效分工與牽制。企業(yè)組織結(jié)構(gòu)的設(shè)置和完善程度是影響企業(yè)內(nèi)部控制的重要因素，在很大程度上決定了內(nèi)部控制的效果，所以企業(yè)一定要建立科學(xué)合理的組織結(jié)構(gòu)，明確劃分公司內(nèi)部的權(quán)利與責(zé)任，做到權(quán)責(zé)明確，同時要針對ERP系統(tǒng)的特點(diǎn)，建立有效的監(jiān)控機(jī)制。

二、制定完善的風(fēng)險(xiǎn)評估制度。在實(shí)施過程中能夠很好很準(zhǔn)確地對風(fēng)險(xiǎn)進(jìn)行評估，這樣才能降低風(fēng)險(xiǎn)程度。企業(yè)除了要建立傳統(tǒng)的風(fēng)險(xiǎn)管理機(jī)制之外，還要結(jié)合信息化的特點(diǎn)，建立基于信息化的風(fēng)險(xiǎn)管理機(jī)制：一是建立一套信息網(wǎng)絡(luò)系統(tǒng)安全政策和制度;二是定期對系統(tǒng)安全政策與制度的實(shí)施效果進(jìn)行評價(jià);三是通過企業(yè)內(nèi)部會計(jì)控制框架的構(gòu)建，建立、健全預(yù)算及責(zé)任控制，強(qiáng)化信息化的風(fēng)險(xiǎn)意識。必要時企業(yè)可設(shè)置風(fēng)險(xiǎn)評估部門或崗位，專門負(fù)責(zé)有關(guān)風(fēng)險(xiǎn)的識別、規(guī)避和控制。

三、加強(qiáng)內(nèi)部控制制度保障。包括：優(yōu)化企業(yè)的組織結(jié)構(gòu)，明確權(quán)利職責(zé);建立起有效、合理的內(nèi)部管理制度;明確崗位職責(zé)，實(shí)施關(guān)鍵崗位分離制、輪崗制;強(qiáng)化企業(yè)內(nèi)部審計(jì)監(jiān)督。

四、加強(qiáng)對ERP信息系統(tǒng)的軟件和軟件的監(jiān)督和管理。ERP信息系統(tǒng)依賴的是一個強(qiáng)大的軟硬件平臺，為了保證企業(yè)的正常運(yùn)轉(zhuǎn)，必須保證這個平臺的穩(wěn)定與高速運(yùn)行，要加大對軟硬件系統(tǒng)的維護(hù)與評價(jià)，定期出具系統(tǒng)運(yùn)行報(bào)告，定期對系統(tǒng)進(jìn)行監(jiān)測與維護(hù)。每年的審計(jì)，注明會計(jì)師應(yīng)當(dāng)對企業(yè)的ERP系統(tǒng)的軟硬件進(jìn)行審計(jì)，測試在這個系統(tǒng)上運(yùn)行的ERP提供的數(shù)據(jù)是否真正在確、可靠，并在審計(jì)報(bào)告中給予披露。

五、加強(qiáng)專業(yè)人才的培養(yǎng)與開發(fā)。信息經(jīng)濟(jì)時代，對從事財(cái)務(wù)工作的人員，提出了更高的要求，要有扎實(shí)的計(jì)算機(jī)水平和不斷更新的專業(yè)知識，這就要求我們企業(yè)應(yīng)當(dāng)加強(qiáng)對員工的培訓(xùn)，不斷地對他們提供新的課程培訓(xùn)和企業(yè)文化引導(dǎo)，形成愛崗敬業(yè)的基本素質(zhì)，加強(qiáng)職業(yè)道德建設(shè)，加快企業(yè)文化建設(shè)。在信息化環(huán)境下，應(yīng)倡導(dǎo)動態(tài)的企業(yè)文化，提倡團(tuán)隊(duì)精神，對不斷變化的環(huán)境作出快速的反應(yīng)。

隨著信息化的發(fā)展，ERP系統(tǒng)的日趨完善，企業(yè)的內(nèi)部控制必然向著制度化、規(guī)范化、信息化的方向發(fā)展，內(nèi)部控制必將為企業(yè)的健康持續(xù)發(fā)展保駕護(hù)航，并將迎來一個新的發(fā)展里程。

（作者供職于康龍化成（北京）新藥技術(shù)有限公司）