文/王 瓊 葉 勇

內部控制是現代企業(yè)管理中的一個重要內容，是為了保證企業(yè)的正常經營活動所采取的必要的管理措施，伴隨著經濟環(huán)境及科學技術的不斷變化，面臨巨大挑戰(zhàn)的企業(yè)集團迫于生存及發(fā)展更加重視內部控制。而信息化浪潮使得企業(yè)集團的生產經營活動也在悄然發(fā)生著變化，越來越多的企業(yè)集團開始關注ERP系統(tǒng)在內部控制中的應用和發(fā)展。因此如何使規(guī)模龐大的企業(yè)集團在ERP環(huán)境下實現有效的內部控制就成為了一個很重要的課題。本文主要以控制環(huán)境為出發(fā)點，對ERP環(huán)境下內部控制面臨的問題及如何建立健全的企業(yè)內部控制評價體系進行探討，旨在促使企業(yè)內部控制朝著規(guī)范、有效的方向發(fā)展。

ERP環(huán)境下內部控制面臨的問題

ERP環(huán)境下對企業(yè)內部控制各要素有一定的幫助，很大程度上提高了企業(yè)的工作效率和市場競爭力，但是任何事物都是具有雙重性的，有利必有弊，對企業(yè)有有利的一面，當然避免不了也會帶來一定的風險。

實施風險

由于不同行業(yè)、不同企業(yè)千差萬別，ERP實施過程中的風險也各有不同?？傮w來說具有以下共性：

1.藍圖設計階段的風險

(1)如果用戶決定自行實施ERP系統(tǒng)，是否具備足夠的技術力量、項目管理和控制的能力以及有效的實施方法相當關鍵。

(2)用戶決定雇傭顧問公司幫助實施，需要重點考察其是否具備足夠的水平和經驗。

(3)在實施過程中難免會遇到企業(yè)管理流程和機構重組問題，由于牽涉到企業(yè)各部門的利益和運作習慣，相關人員的觀念難以轉變，部門之間難以協(xié)調，中層領導出現阻力，缺乏改革的動力。

(4)企業(yè)實施ERP系統(tǒng)的目標不明確，實施范圍不確定，并且在實施過程中經常發(fā)生變化，導致實施困難。

2.系統(tǒng)建設階段的風險

(1)實施過程中需要企業(yè)項目實施小組成員全力的投入。但因為業(yè)務繁忙、時間沖突，造成項目人力資源方面的矛盾。

(2)項目管理能力不足，溝通不夠，造成項目實施過程中的混亂。

(3)決策層缺乏充分投入，關鍵問題長期懸而未決。

(4)由于選型不當，造成實施過程中業(yè)務流程和管理的需求在系統(tǒng)中難以實現。

(5)企業(yè)用戶缺乏足夠的技術支持。

(6)實施的時間不充分。

3.系統(tǒng)切換階段及后續(xù)使用階段的風險

(1)系統(tǒng)過于復雜導致操作人員難以掌握系統(tǒng)，或者操作人員的培訓不夠充分。

(2)企業(yè)的業(yè)務方向在實施過程中發(fā)生改變，或者市場環(huán)境發(fā)生變化。

(3)投入高，但預期的目標和效果難以達到。

(4)流程的重組、系統(tǒng)的實施給企業(yè)帶來的變化使企業(yè)難以適應，從而造成管理上的混亂。

(5)如果企業(yè)用戶在實施新的系統(tǒng)之前正在使用一套舊的系統(tǒng)，新系統(tǒng)的啟動會造成歷史數據與新系統(tǒng)無法兼容。

控制環(huán)境風險

在ERP環(huán)境下，基于網絡的會計信息系統(tǒng)使會計信息在企業(yè)公共信息平臺上成為開放的信息系統(tǒng)，這就涉及信息系統(tǒng)如何識別人的身份及授權問題。在ERP系統(tǒng)中，由于功能和知識高度集中，導致職責的集中，會計崗位合并，企業(yè)財務人員從事數據的輸入、處理又負責數據和財務報告的輸出、報送。這就容易使他們在未經批準的情況下，對信息系統(tǒng)中的程序和數據庫進行修改等操作處理，從而加大了錯誤與弊端出現的風險。

業(yè)務流程風險

ERP系統(tǒng)中單一的數據庫，使過去跨部門的審批流程得到簡化和壓縮。壓縮所造成的一個結果是，用于企業(yè)內部控制的許多審計線索在ERP系統(tǒng)的引入后消失了。同時，企業(yè)過去基于文件審批的內部控制機制，也無法適應ERP基于流程的管理需要。

數據風險

如果沒有建立硬件、軟件和數據管理制度，并不經常對有關設備進行保養(yǎng)、保持機房與設備的整潔等措施，就不能保證機房設備和計算機正常運行；如果不能確保ERP數據和ERP軟件的安全保密，就不能防止對數據和軟件的非法修改和刪除；如果對ERP軟件更換、修改、升級和硬件設備進行更換時，沒有一定的審批手續(xù)，并由有關人員進行監(jiān)督，就難以以保證ERP數據的連續(xù)和安全；如果不健全硬件和軟件的定時維護措施，就不能防治計算機病毒、黑客等入侵的措施。

公司治理結構不完善

企業(yè)缺乏良好的治理，使得內部控制成為了無源之水、無本之木，大有紙上談兵之勢。

風險評估制度的缺失

一旦風險轉化為危機，必將造成企業(yè)的巨大損失。企業(yè)在業(yè)務流程內部控制方面，資產控制和授權控制的漏洞較大。

內部控制措施缺乏保障

其具體體現在對現金管理不嚴，造成資金閑置或不足，應收賬款周轉緩慢，造成資金收回困難，存貨控制薄弱，造成資金呆滯，重錢不重物，資產流失浪費嚴重。采購制度不夠嚴密，缺乏審核和牽制；存貨收發(fā)手續(xù)不嚴，未及時和會計記錄核對；經濟往來中審查制度不健全，造成資產不清等方面。

監(jiān)督機制不全

目前有很多企業(yè)監(jiān)督評審主要依靠內審部門來實現，而有些企業(yè)的內審部門隸屬于財務部門，與財務部同屬一人領導，內部審計在形式上就缺乏應有的獨立性。

另外，如果不了解內控與管理的關系，就不可能充分加強內控工作。

ERP環(huán)境下如何建立健全的企業(yè)內部控制評價體系

面向ERP環(huán)境的內部控制體系的設計，不僅要遵循與傳統(tǒng)環(huán)境下的內控系統(tǒng)相同的原則，而且還要根據控制對象、控制方式和控制環(huán)節(jié)的變化采取一些新的控制措施和方法。

系統(tǒng)開發(fā)和初始化控制

(1)系統(tǒng)開發(fā)階段應該避免日后日常操作者的深入參與，避免操作者全面了解系統(tǒng)并發(fā)現和利用系統(tǒng)漏洞。

(2)系統(tǒng)初始化過程應該聘請第三方中介機構或者由擁有系統(tǒng)全部管理權限的管理者來進行或者由專業(yè)技術人員在管理者嚴格監(jiān)控下進行。

(3)系統(tǒng)的修改和二次開發(fā)必須由經過授權的專業(yè)機構或者人員進行。

組織控制

(1)日常系統(tǒng)維護部門和實際操作使用部門分離，系統(tǒng)維護部門無權接觸實際業(yè)務活動的操作。

(2)系統(tǒng)維護部門內部如系統(tǒng)管理員、操作員、資料保管員等各個崗位應分別設立不同的人員。

(3)業(yè)務處理部門內部應按照內控審核批準體系對不同的用戶在系統(tǒng)應用上設定不同的操作授權。人員發(fā)生崗位變動時，應及時取消或增加授權。

信息系統(tǒng)安全控制

(1)所有ERP的用戶均需要獲得授權，方可接觸軟硬件系統(tǒng)。

(2)通過提供專用辦公地點、安裝空調、安裝UPS不間斷電源等硬件措施保證ERP系統(tǒng)核心硬件系統(tǒng)的環(huán)境安全。

(3)在軟件應用上設定可靠的安全加密和病毒防范體系。

(4)系統(tǒng)產生的文檔，無論是電子文件還是紙質文件，均需由經過授權的專人保管。

操作控制

(1)對使用ERP系統(tǒng)的用戶根據其崗位職責和內控體系要求分別設定不同的系統(tǒng)權限，授予相應的用戶代碼和口令。

(2)所有在系統(tǒng)內進行的業(yè)務操作活動均需經過授權。

(3)需要核準、審批的業(yè)務憑證必須由有權限的用戶審核后方可在系統(tǒng)內進入下一道處理程序。

(4)錯誤的輸入需要經過授權方可更改。

(5)定期由有權限的用戶對系統(tǒng)進行備份。

實時監(jiān)督控制

(1)設定系統(tǒng)自我保護體系，自動記錄使用情況，記錄應保證經授權的管理人員實時獲得和分析。

(2)系統(tǒng)在使用過程中發(fā)生錯誤，應保證相關的管理人員實時得到信息通知并進行及時處理。

(3) 輸入的基礎數據的完整性和正確性應有抽核機制。

案例分析：ERP環(huán)境下內部控制的設計思路

公司簡介

中國昊華化工集團股份有限公司是由中國化工集團公司、光大金控化工投資有限公司共同投資，以氟化工、精細化工和氯堿化工為主導產業(yè)的大型化工企業(yè)集團。昊華公司的管理需求促使他們認定，必須選擇一個能不斷發(fā)展、不斷增進新管理理念的軟件。他們了解到SAP不但有軟件的開發(fā)能力，還有軟件系統(tǒng)的設計能力和管理設計能力。因此，他們認為SAP是一個能不斷發(fā)展的軟件。昊華公司的很多人認為，SAP在一定程度上引領了他們的信息化管理方向。昊華公司把實施和使用ERP的歷程分為三個階段，第一階段是軟件通用模塊的實施階段；第二階段是企業(yè)特有模塊實施階段；第三階段就是利用已經實施的系統(tǒng)進行管理流程再造以追求效率和效益最大化的階段。昊華公司認為，真正的流程再造必須發(fā)生在系統(tǒng)模塊上線以后。隨著計算機系統(tǒng)的應用，不合理的流程逐漸顯現或被發(fā)現。即使是基層業(yè)務人員也會提出樸素的流程再造要求：“這樣的流程設計會更加麻煩，不能夠修改嗎？”顯然，這種關于企業(yè)業(yè)務流程的持續(xù)優(yōu)化再造，很難依靠外在的力量。昊華公司自己的系統(tǒng)維護部門在這個時候開始發(fā)揮巨大的作用。

ERP系統(tǒng)實施評價

1.定位成功

ERP系統(tǒng)自上線開始，從無到有，再逐步連鎖反應觸及相關管理業(yè)務，這是一個連續(xù)的進程。昊華公司在系統(tǒng)上線之初，就將其定義為不斷發(fā)展的軟件，是明智之舉。

2.選取優(yōu)質的系統(tǒng)咨詢服務并本地化

由于ERP軟件是一個很大的系統(tǒng)，企業(yè)往往只用其中的一部分功能，對于大部分有待開發(fā)的功能，開始時企業(yè)不可能也沒有必要全部掌握。因此隨著應用的深入，項目實施中的技術咨詢不可缺少。在這樣一個長期的實施過程中，溝通良好、回應迅速、不間斷是包括三菱在內的所有用戶對咨詢服務的期望。顯然，只有本地化的服務隊伍，才能較好地滿足這樣的期望。因此，在選擇管理軟件，尤其是選擇國外軟件時，本地化服務必須強調。

3.主體實施意識明確

在項目一開始，昊華公司就向SAP明確表態(tài)：SAP的職責就是跟他們很好配合，通過前期項目實施，幫他們培養(yǎng)團隊。負責項目實施的管理信息部在系統(tǒng)上線后將作為企業(yè)的管理職能部門長期存在。因此，這些做項目的人要通過項目的熏陶，具備三種素質：第一，熟悉相關業(yè)務；第二，具有現代管理知識；第三，很好的信息技術背景。以昊華公司的人馬為主，SAP的項目經理只起咨詢作用。

4.真正的流程再造發(fā)生在系統(tǒng)模塊上線以后

流程再造不可能在選型前進行，因為系統(tǒng)沒有上線運行前很難被發(fā)現，這樣的流程咨詢人員，在系統(tǒng)實施前無法找到，而且沒有系統(tǒng)的依托，這種再造也無法進行。同時，這種流程再造也不可能在模塊實施中進行，否則反復修改會影響實施進度。

昊華公司ERP環(huán)境下主要業(yè)務內部控制設計

作為一個龐大的系統(tǒng)工程，其每一功能模塊都貫穿了ERP先進的內部控制與管理經驗，基于公司的業(yè)務狀況及性質（根據項目合同組織資源），昊華公司整個業(yè)務鏈條是以銷售為起點，根據銷售簽訂或預計合同狀況，采購及生產部開始準備基礎物料，根據合同開工時間工程部安排工程師到現場進行設備安裝督導及調試，直至項目完工驗收合格交付使用單位。

1.采購生產系統(tǒng)

物料管理的目的是滿足下列各種處理，即物料需求計劃、物料采購、庫存 管理、發(fā)票確認和物料估價。ERP的各個部分是集成在一起的，ERP系統(tǒng)與下列部分有接口:

（1）通過使用采購和倉庫/庫存系統(tǒng)，ERP系統(tǒng)能夠提供物料需求計劃的基礎數據。

（2）采購具有強大的功能，可以優(yōu)化相關的處理過程，即從采購申請的生成到打印采購訂單和長期采購協(xié)議。

（3）倉庫管理能夠定義并管理復雜的倉庫機構，可以將倉庫分為不同的物理或邏輯單元，例如高架區(qū)和存儲區(qū)?？梢噪S機的組織和管理，或按圖示存儲原則組織和管理。

（4）發(fā)票確認(發(fā)票匹配或發(fā)票取消)功能清晰地表明了系統(tǒng)集成的程度。

2.項目管理系統(tǒng)

在昊華公司項目管理模塊是整個公司的核心業(yè)務模塊，該模塊主要是針對項目的目標對項目進行計劃，控制以及對長期復雜項目進行的監(jiān)控管理。項目經理要在項目所需資源保障的前提下確保項目高效、及時并在預算控制范圍內完成項目，因此，項目的目標必須能準確描述，項目活動必須能夠分層架構。每個銷售訂單都會獨立地作為一個項目進行收入及成本費用的歸集、然后每個項目，根據其不同的性質再向下分解為物料、服務兩部分，同樣物料又可向下細分為進口物料，本地物料，服務分解為現場督導、初步驗收、最終驗收等活動，每一個具體的工作單位根據工作時間的先后順序就組成了項目業(yè)務管理的網絡結構，各個具體工作單位又是相應的成本費用歸集單元，從而實現以項目為核算對象的財務管理模式。

3. 內部會計控制系統(tǒng)

內部會計控制的目標是保證業(yè)務按照適當的授權進行;保證業(yè)務活動以正確的金額，在規(guī)定的會計期間，記錄于規(guī)定的賬戶;保證賬面資產與實有資產定期核對，并揭示薄弱環(huán)節(jié);保證企業(yè)經濟活動依法、有效、有序地進行。為此昊華公司根據內部會計控制的內容，建立了以下實施控制的方法。

（1）組織結構和權責體系的控制。組織結構是計劃、行動、監(jiān)控、督導活動的分工體系。

（2）授權批準控制。授權批準是處理經濟業(yè)務活動的游戲規(guī)則，是一種指導企業(yè)業(yè)務活動的程序性文件，包括作業(yè)程序、操作規(guī)范、授權批準等。

（3）信息記錄控制。信息記錄控制是以滿足信息使用者的需要而構建的控制系統(tǒng)。通過表單、程序、操作規(guī)范等方式進行控制。

（4）財務預算控制。財務預算是以貨幣形式規(guī)定了經濟活動的數量標準，為內部會計控制提供了控制標準和對經濟活動的評價依據。

（5）內部會計控制有效性評估。會計控制制度的可理解性、可操作性是控制有效性的前提。通過對內部會計控制有效性的評估導出對下一經濟循環(huán)更好的控制。

（6）內部審計。內部審計是企業(yè)內部審計部門對企業(yè)經營狀況、資產狀況和會計信息真實狀況以及工程預決算等重大經濟事項所進行的審查。內部審計包括內部財務審計及內部經營審計。