探索中国CIO人才现状 | 第四季调研报告
ERP与企业内部控制整合研究
2013-11-22  作者:万方数据 

  2008年6月发布的《企业内部控制基本规范》中,明确提出“企业应当利用信息技术加强企业内部控制建设,努力建成与企业日常经营管理相融合相配套的信息管理系统,完善内部控制与信息管理系统的相互融合”。ERP(企业资源计划)基于先进的企业管理理念,一方面作为集信息和控制于一体的系统应用,为内部控制提供了工具和平台;另一方面作为集成的大型信息系统,其固有的信息系统风险,也为企业内部控制带来了挑战。因此,加强ERP与企业内部控制的整合研究,全面防范企业经营风险,已经成为企业上线ERP必须需要思考和关注的迫切问题。


  一、ERP与内部控制的关系


  (一)ERP可以改善企业内部控制。ERP的实施,使企业管理结构变的扁平化、流程化,决策者和执行者能够快速沟通,控制层次明显减少,控制责任更加明确,对内部控制环境的改善和信息与沟通的效率带来很大的促进作用。ERP系统通过信息技术手段,对业务流程和控制进行合理设计并固化在系统中,增强了业务流程的执行力和提高了控制的实时性和准确性,提高了内部控制的自动程度和效率,形成新的控制理念。


  (二)ERP是内部控制的对象。从本质上讲,ERP是一套信息系统,是一种工具,是由具有主观意识的人设计和进行具体操作的,但“垃圾输入决定了垃圾输出”,若输入错误的数据,对实现企业目标的影响同样是致命的,有可能导致严重的管理决策错误。因此,从内部控制的角度来讲,必须将ERP系统作为控制对象,从信息技术的角度,评估风险并建立相应的信息系统总体控制和应用控制,确保ERP系统的运行质量和运行效率。


  因此,ERP系统的实施对内部控制的影响具有两面性:一方面,ERP实现了最大化的信息集成,可以把特定的管理要求固化,提高了内部控制自动化程度,也可以实时信息共享,增强了信息的时效性、可获取性和正确性,因此企业可以通过ERP来优化内部控制;另一方面ERP作为一种管理和控制的工具和手段,本身并不创造控制体系,而且作为大型的复杂的集成信息系统,也给内部控制来了新的风险,因此ERP环境下,企业必须加强信息系统控制,提高风险管理水平,确保企业内部控制持续有效运行。


  二、ERP与内部控制的整合


  (一)业务流程规范。ERP系统的成功应用离不开业务流程规范。ERP侧重在合理的业务流程基础上实现对企业资源的整合和有效利用,各模块之间有着密切的关系,数据在系统内实时传递和共享,数据的处理责任、方式和流向都会较ERP实施之前发生重大变化,企业原有的业务流程不再适应新的管理思想和管理模式,因此,只有通过业务流程规范,建立基于ERP系统标准流程上的、符合内控要求的新流程,才有可能上线ERP系统。业务流程规范主要有以下三种情况


  1、流程整合。ERP系统将手工控制变为自动控制,因此相关内控流程不再适用,必须通过ERP蓝图设计过程整合相关流程,如计划审批流程、成本核算流程等;


  2、流程修订。ERP系统操作贯穿业务流程的全过程,必须用系统操作流程替换原来手工操作流程,使业务流程和实际业务相吻合,如凭证审批、项目进度等流程;


  3、新增流程。原有的内控体系并没有涵盖全部业务流程,尤其是针对ERP系统维护和接口类等相关流程。如基础数据维护,主数据维护、价格维护等流程。


  (二)信息系统控制规范。ERP作为集成的大型信息系统,系统外围物理安全和系统本身逻辑安全均对企业内部控制带来风险,为此,必须建立相应的信息系统总体控制和信息系统应用控制,确保系统的总体安全。信息系统总体控制适用于企业在信息技术的开发、实施、运行、维护及管理等方面的控制,它可以更好地保护企业的信息资产,可以提高信息系统对业务的支撑力度,增强企业信息系统的运行效力。信息系统应用控制包括应用软件中的电算化步骤以及用以控制不同种类交易处理的相关手工操作程序。这些控制结合在一起,可以保证系统中的财务和其他信息的安全性、完整性、准确性和有效性。信息系统总体控制是应用系统控制的基础,应用系统控制依赖于信息系统总体控制,两者共同保证信息处理的完整性和准确性。


  (三)权限管理规范。权限管理是ERP系统内部控制的重中之重,如何权限管理不到位,造成授权不当,企业运营的风险也大大提高,这种风险主要包括两个方面:一是让更多原本没有必要了解这些信息的员工可随时掌握这些信息,大大增加了泄密的可能性;二是原本没有必要操作或加工这些信息的员工拥有了这些权利,增加了管理失控的可能。


  1、编制ERP系统职责分离矩阵。《职责分离矩阵》在满足主数据维护、财务活动和其他业务活动互斥的基础上,定义相关模块各项业务活动之间的互斥关系。


  2、严格权限设计。权限管理人员根据实际业务和ERP建设情况,确定业务活动和事务代码的适用和使用情况,从业务角度确保权限设计和实施的合理性。


  3、开展权限测试。虽然在权限设计的过程中充分考虑到权限职责分离的情况,但并不能实现权限的完全事前控制,因此必须要进行权限测试,通过定期的权限检查发现权限问题并及时进行整改。


  (四)加强内控监督。ERP环境下,内部控制体系的程序化使得内部控制在一定程度上具有了对ERP系统的依赖性,虽然在ERP项目建设过程中,内控体系针对ERP系统对现有内控体系的影响因素,进行了业务流程规范、加强了信息系统控制和权限控制,但企业真正上线ERP系统后,规范的流程在实际业务中是否可以良好的运行,设计的关键控制是否可以得到正确的执行,权限互斥和冗余权限是否可以得到控制,都需要在ERP系统上线后,开展专项测试,强化内控监督,确保内部控制体系设计有效,执行有力。


  三、整合效果


  (一)实现信息的集成。ERP系统集成了企业核心价值链的计划、项目、采购、制造、销售和财务各项企业资源,使财务与业务、业务与业务之间的信息实时传输,同时通过财务整合方案实现了ERP与原有财务管理系统的数据传递,各项管理信息最后自动归集到财务进行核算,实现了企业各项资源信息的集成化。


  (二)提高内部控制效率。ERP系统全面支持人、财、物等生产经营管理相关资源的调配,并支撑各种关键绩效指标的监控管理,而且ERP系统的IT技术应用,促进了业务流程的核心价值最大化,将原来事后的监督控制转变为事前预防、事中检查和事后纠正的综合控制,将原来以会计人员的会计控制转变为全员参与的全面控制,提高了内部控制的效率。


  (三)转变管理理念,提升管理水平。ERP带来了先进的管理思想,强调对企业内部甚至外部资源进行优化配置、规划和流转,着重管理活动的规范性,打破了部门之间的本位主义,优化了业务流程,标准化信息数据,提升企业的决策支持效率,充分发挥出公司级管理的最大效应,全面提高了企业管理水平。


  ERP先进的管理思想和信息技术在提高企业内部控制效率的同时,也为内部控制带来新的风险,必须进行风险评估和控制设计,同时,ERP环境下的内部控制还可能面临新的未知风险,是一项长期的系统工程,必须常抓不懈。