利用ERP系统实施企业内部控制的利弊

财政部、证监会、审计署、银监会、保监会联合颁布的《企业内部控制基本规范》已于2009年7月1日起在上市公司范围内施行,并鼓励其他非上市大中型企业执行。此次借鉴国际先进经验,探索有中国特色内部控制体系的重大举措,对完善我国企业的内控制度建设具有里程碑式的意义。《企业内部控制基本规范》从颁布到实施已一年有余,但我国企业实际控制效果不尽人意。据德勤2009年6月发表的《中国上市公司内部控制调查分析报告》披露,德勤企业风险管理服务部门于2009年5月对上市公司内控状况进行了第三次调查,结果显示,仅有5.88%的企业拟组织内部控制负责人参加专业内控培训,约58.82%的企业认为,内控制度的执行效果没有达到预期,这成为现阶段企业内控存在的突出问题;约52.94%的企业认为,缺乏与内控相关的信息系统,成为企业内部控制存在的主要问题之一;另有41.18%的企业认为内控制度执行不力。这些突出的问题,与德勤在2008年调查的结果相吻合。历经一年时间,这些问题并没有获得实质性的改善。

笔者认为,出现以上问题的原因固然很多,而落后的控制手段不适应日益复杂的控制环境和控制程序,则是重要原因之一。由于受技术条件的限制,目前我国大多数企业主要通过人工操作、现场检查等手段实施内控,这就极大地阻碍了企业内控目标的实现。随着市场经济的发展和企业环境的变化,内部控制必然深入企业各个风险点,对其实施控制,而单纯依赖手工进行控制已难以应对企业面临的市场风险。同时,企业各部门之间的内控要求也有待于进一步协调,以便为内部控制自我评估和外部评价提供统一标准,这也迫切需要控制手段的现代化。

在现代企业中,仅仅依靠传统的手段无法满足内控的要求,其存在的局限主要体现在以下三个方面:

一、难以实施全业务范围的内部控制。有内控制度的企业很多,但全面范围实施的却不多,一般都只局限于部分业务范围比如物资管理系统或财务系统,而且各系统平台之间彼此分离、各自为政,信息和数据无法共享,资源重复建设,造成浪费。

二、实施全业务过程的内部控制难度很大。传统的内控制度一般只重点事中控制和事后控制,而忽视事前控制。因为许多业务过程时间漫长,没有计算机信息系统辅助,事前控制无法与事中、事后控制配合发挥应有作用。

三、受人员的素质影响大。现代企业提倡“以人为本”、“人性化管理”等管理理念,因此在制度的制订和执行过程中不能忽视人性的弱点。而通过人工进行内控难以完全逾越人情障碍。在对关键环节的控制中,难免发生由于控制人“抹不开面子”、“躲不开人情”而丧失原则的情况。同时,员工在执行内控过程中,也易受熟悉程度、心理压力、责任心等因素的影响而发生错误或疏漏。

四、内部控制效率低下。现代企业的经营环境复杂,经营内容广泛,地理分布辽阔,在相互牵制、相互核对以及检查监督等重要内控措施的实施过程中,有大量的信息提取、传输和校验等工作要做。如果采用传统手段,不仅速度慢,多费周折,而且管理人员在控制点上容易对具体细则产生模糊,如要通过直观判断进行确认比较困难,容易造成审批时间长,效率低下,即使有错误的审批也一时难以发现。

由此可见,企业要实施全面有效的内控,仅仅依靠传统的手段是难以达到的。随着我国企业信息化工作的开展,以系统化的管理思想为核心的企业资源计划(Enterprise Resource Planning)(以下简称“ERP”)在企业中得到了推广和应用。我们可以充分利用这一系统,借助信息化手段实施内控,提高控制效率,加强控制效果,促进内控工作的顺利开展。

从笔者所在单位的实践来看,利用ERP系统实施内控,其优势在于:

(一)利用ERP系统可全业务范围实施内控

ERP系统是企业经营活动的全业务范围的集成系统,它在企业资源最优化配置的前提下,整合企业内部主要或所有的经营活动,包括财务、资产、项目、生产维护、采购、物料、人力资源等等,达成了高效化的经营。ERP系统是一个具有比较完整的实施内控的平台,其控制范围与颁布实施的《企业内部控制基本规范》的控制范围基本一致。利用ERP系统可以对企业经营管理的各个环节采取措施,实现对人、财、物的全面控制,从而避免了企业要利用多个平台才能实施内控的不足。

(二)利用ERP系统可全业务过程实施内控

ERP系统还是一个业务全过程控制的平台。业务发生前,预算控制将企业的整体目标中分解为具体的控制项目和明确的控制标准,并落实到相应的责任单位或责任人;授权控制,根据企业的组织结构及员工的岗位责任,设置每个员工对系统的操作权限以及对信息的查询范围。系统将保证企业的各项业务活动均是由被批准或被授权的员工执行。业务发生时,业务操作控制自动拒绝不符合规范的操作步骤,并将实际情况与预算目标进行比较,对不符合目标的业务操作进行否决或提请授权机构决策。业务发生后,数据分析控制可自动核对内部外部数据的发生额及余额是否符合指定的逻辑关系,并把异常情况及时提交给相关的监控部门,可定期将企业的实际绩效与计划目标相比较,分析各项具体工作的进展情况及其变动趋势是否符合要求;风险评估控制可定期搜集相关数据,根据风险模型,评价企业面临的风险状况,生成风险评估报告。

(三)利用ERP系统可以弥补人工控制的缺陷

一方面,通过计算机和网络进行信息处理和传输工作,可以极大地提高工作效率;另一方面,通过软件系统实施控制,可以克服人为因素的干扰,做到一丝不苟、铁面无私。同时,由于系统能够留下每次操作的痕迹,借此还可以对内控管理人员实施再监督。

(四)利用ERP系统实施内控高效快捷  ERP系统构建的统一的平台,为内控数据的提取、传输和校验等工作提供了方便,提高了工作效率。统一的操作流程和量化的控制目标,让管理人员在控制点上判断客观直接,可操作性加强。整个操作流程公开公平,有错误或舞弊也能一目了然,并有据可查。

当然,ERP系统仅是内部控制的一种辅助手段,它为企业实施内控提供了便捷,而其本身也还存在一些问题。

1.安全性问题

计算机功能强大,但又很脆弱,且网络是一个开放的环境,不可避免地会受到来自系统内外的恶意侵入,以致造成很大损失。为此企业领导要强化信息安全意识,对员工加强信息安全教育,完善系统的安全管理,对操作人员加强必要的监督,严格规定系统维护人员不得参与审批,定期对系统权限进行检查,关键用户的密码要定期更换,切实保证系统的安全性。

2.控制成本问题

利用SAP系统实施内部控制,其控制成本会有所提高。由于企业内控会随着企业经营内外环境的变化而做出相应的调整。这就需要对ERP系统中的设置及时进行更新,这无疑又会增加企业实施内控的成本。但为了保证内控全面有效的实施,合理的成本支出也是必要的。

3.与原有资源接口问题

一般企业在ERP系统实施之前都已有其他的信息系统,为了将企业原有的资源和数据都利用起来,ERP系统和其他系统之间的接口是实现不同系统间数据互联互通的必需。这些位于不同系统之间的接口是一个重要的风险区域。由于不同系统的数据格式可能完全不同,为了实现数据的传递,就需要进行一系列的转换。这就要求针对不同的技术平台和特点开发不同的接口,这些接口会产生新的控制方面的问题和风险。

4.局限性问题

ERP系统功能强大,但不是万能的。企业的控制目标很多,并不是所有的控制目标都可以量化,也不是所有的控制手段都可以通过计算机程序进行模拟。仅凭EPP系统不能保证万无一失。全面、有效的内控离不开信息手段与传统手段的协调配合。

综上所述,利用ERP系统进行企业内部控制管理有利有弊,但总体而言,相对于传统人工控制优势明显,将对内部控制产生广泛而深远的影响,是企业内部控制进一步完善的标志。企业在应用这一系统的过程中,应该注意权衡上述各项利弊得失,根据环境条件的变化对ERP系统适时进行调整,使其成为企业规范管理、健康成长的有力保障。