ERP環境下內部控制系統的建立與實施
2008-11-14 1:39:00 來源:物流天下 編輯:56885 關注度:摘要:... ...
ERP雖然在技術上依托于現代信息技術,但本質上是個管理工程,其目的是要把根據企業實際情況提煉出來的先進管理流程、管理方法、管理技術及管理理念,用現代IT技術固化成型,從而提升企業的工作效率。而內部控制作為一種先進的組織管理制度在現代企業管理中有著重要的地位,它對于確保企業經營目標的實現、國家法規制度的貫徹、財會信息質量的保證、以及財產物資的安全與審計工作的開展等諸多方面都有著非常重要的作用。因而,在ERP環境下建立內部控制系統是ERP項目實施中不可缺少的一部分。ERP的引入,一方面可以幫助企業節省內部控制的人力成本,提高內部控制的效率,但是另一方面也會給企業內控體系帶來很多具有IT技術特點的新問題。因而在ERP系統開發與的實施過程中,應當全面考慮,將完善的內部控制體系有步驟地融入ERP環境當中,并將由信息技術帶來的風險納入新的內部控制之中,以便在內部控制方面盡量揚ERP之長,避ERP 之短,為企業引入ERP帶來最大的收益。
1. 明確差異,確立ERP系統內部控制體系建立所需要的內部控制框架
為了在ERP環境中建立完善有效的內部控制體系,首先需要認識到ERP內部控制與傳統內部控制存在差異,并需要從理論上選定適用于企業ERP環境的內部控制框架,并依據該框架建立企業自己的內部控制制度,設計內部控制流程、內部控制點、內部控制檢測點等內容。傳統的企業內部控制主要包括:管理控制和會計控制,而在我國則特別強調了會計控制;引入ERP之后,內部控制則除了上述兩個控制內容外又增加了IT控制,由于ERP中IT技術滲透到整個管理系統中, 因而IT控制并非一個與管理控制、會計控制相剝離的獨立部分,而是與它們緊密結合、相互作用的部分,需要共同考慮;同時還應當認識到,引進ERP的企業未必能夠建立起一個比非ERP環境下更完善有效的內部控制系統,除非它成功地規避了IT技術本身帶來的風險。為了建立ERP環境下的內部控制系統,企業應當首先確立一個ERP內部控制的總體框架,企業內部控制框架可供選擇與參考的標準很多,目前受到廣泛認可的內部控制框架是美國COSO 1992年提出的內部控制框架, 該框架中內部控制有3個目標(運營效果效率、財務報告的可靠性、相關法律的遵守)以及5個要素(控制環境、風險評估、控制活動、信息溝通、監督)。雖然依據COSO的內部控制框架可以幫助企業建立一個較為完整科學的內控體系,但是COSO并非一個針對IT 環境的內控體系,并沒有將IT 技術納入考量的范圍之內。因而在選擇ERP內部控制框架的時候,還應當借鑒一些偏重于IT環境下的內部控制框架,比如信息系統和技術控制目標 (Control Objectives for Information and related Technology,COBIT)它由覆蓋信息化生命周期的4個域、34個IT控制目標、318個詳細控制目標組成。雖然COBIT也涉及企業經營、合法合規等方面的控制,但是偏重信息技術控制,因而應當與COSO共同參考使用。當然還有其他著重IT 內部控制的控制框架,例如英國的BS7799-2以及ISO 20000、ISO 17799等可供參考。依據可供參考的內部控制框架并結合企業的具體實際情況,企業最終確立自己的內部控制框架,并設計出內控藍圖和目標。企業自身對于內部控制目標的精準認識對于企業后續與ERP開發商技術人員之間的溝通會起到關鍵的作用。
2. 在已確定的內部控制框架內對具體的內部控制方案進行細化設計
在基本確立了企業將采用的內部控制框架后,還需要依據此框架建立內部控制制度并對單項內部控制方案進行設計,使確定的內控方案更加細化。一般單項內部控制方案設計思路有3種:按部門設計、按項目設計、按流程設計。由于ERP本身的設計是面向流程的,采用按流程來設計內部控制方案會比較切合實際,關于按照 ERP業務循環流程來設計ERP內部控制方案的可行性也有學者提出過論證并予以了肯定。但是需要特別強調的是,按流程設計必須要建立在企業業務流程本身比較合理的基礎上,所以引進ERP時企業對于業務流程的梳理與提煉是至關重要的。圍繞業務流程,企業會計、審計人員與業務人員密切協作,共同分析信息技術環境下的企業訂單、采購、庫存、計劃、生產制造、質量控制、運輸、分銷、人事管理等環節的作業過程、管理過程和信息過程的新特點,制定對應控制規則。在進行設計時,首先,應當明確業務流程中各個作業前后的銜接,明確這些作業相互之間的關系;其次,制定每一項作業相應的作業標準和考核指標;再次,明確每項作業中的任務組合,對每項任務制定出相應的標準,即完成任務的指標,其中包括量化和非量化指標;最后,將每一項任務落實到執行任務的個人或者功能模塊,用上述制定的量化和非量化指標作為考核業績指標。同時由于任務最終落實到組織,涉及授權和責任的劃分,這樣流程的設計和組織的設計就達到了有效的結合;而在一項業務流程的執行過程中,也可能涉及不同的內部控制項目,那么組織、項目、流程就可以完成三維的組合。