COSO内部控制体系包含5 个要素,分别为控制环境、风险评估、控制活动、信息与沟通、监督,涉及公司层面的控制、业务活动的控制以及信息系统总体控制。随着ERP系统的上线运行,企业的内部控制体系建设应与ERP系统的建设同步开展。
1 ERP控制规范形成过程
首先,要建立ERP内控工作程序,明确不同阶段的内控工作目标和内容,界定内控部门、业务部门和ERP项目实施各方成员的工作职责。针对试点、推广单位,要分别建立试点单位和推广单位的工作程序。项目启动和蓝图设计阶段,主要是界定内控管理的范围,与ERP蓝图设计建模相结合, 编制ERP蓝图与内控业务流程架构对照表。
差异分析阶段,主要对业务蓝图、现行内控业务流程、系统配置情况进行差异分析, 开展ERP蓝图建模质量检查和蓝图确认,进行ERP蓝图与业务流程整合,检查整合后流程建模质量等。建立ERP系统的控制规范阶段,主要是ERP系统试运行,进行ERP流程风险识别与控制设计,风险和控制建模。
在流程测试和发布阶段,企业要根据系统运行情况,开展管理层审计测试,对前面建立的风险控制和流程控制进行验收,更新完善内控规范,实现ERP业务蓝图与内控流程的整合和对接,修订内控手册,发布最终业务流程。
2 ERP系统上线对内部控制的影响
2.1 ERP上线对原有系统的影响
由于ERP系统将业务流程与财务紧密集成, 企业将面临两种选择:ERP系统取代原有系统; 原有系统与ERP系统建立接口。企业应从业务角度出发,结合业务与信息技术的目标,确定将采取的实现模式。
a。替代原有业务系统,如:ERP系统采购模块将会替代原有的物资采购系统。
b。增加与原有业务系统的接口,如未完全取代的重要业务或财务系统,将会建立原有系统与ERP系统的接口,例如:建立财务管理系统与ERP系统总账间的接口。
2.2 ERP上线对原有流程的影响
企业采用ERP系统这一管理工具作为企业的管理平台,在实施ERP系统之前,必须首先进行业务蓝图设计,在此过程中对原有的内控业务流程也带来根本性的影响。
2.2.1新增业务流程
原有控制是通过业务的逐笔审核来实现控制,ERP实施后,主数据的维护流程将作为新增独立的控制和流程进行实施。例如产品销售价格,财务部根据实际发生发票价格作为账务处理依据,同时对价格进行复核。而应用ERP后,新增了主数据维护流程。
2.2.2更新业务流程
ERP系统的实施将会对原有业务流程的结构和执行方式产生影响,其中包括:流程实现方式变更,流程中的很多业务环节由原手工方式变为在ERP系统中处理;流程的结构发生变化,ERP系统上线后,很多业务的处理由业务的后端移到前端,部分业务环节进行了调整,导致整个流程的结构发生了变化。
2.2.3 流程重要性变化
ERP系统实施后, 由于部分业务流程的风险由业务后端移至业务前端,同时相应的控制措施也转移到业务前端中(例如:采购方式流程中增加对采购订单准确性的控制),因此该业务流程应由一般业务流程调整为重要业务流程。
2.3 ERP上线对原有风险的影响
ERP是一个战略问题,而不仅仅是一个技术问题,基础管理规范是ERP实施的前提。在业务流程优化过程中, 将会增加与ERP系统相关的风险,因此将会影响原有风险数据库。
2.3.1 ERP系统新增主数据流程带来新的控制风险例如,新增的主数据流程,带来新的控制风险:
a。 在建工程转资交易类型定义不正确,导致账务处理不完整、不准确。
b。会计科目主数据不完整、不准确。
c。新增/变更会计科目主数据未经过有效审批。
2.3.2 ERP系统业务处理方式变更带来的风险
例如,由于ERP系统业务处理方式的变化带来风险的改变:
a。凭证批输入过账操作不正确,影响记账凭证的完整性和准确性。
b。开关物料期间未经有效审批。
c。取消物料凭证未经有效审批。
d。配送差异处理未经过有效审批。
2.4 ERP上线对原有控制的影响
ERP系统的应用提高了控制执行的自动化程度,此外,系统对业务、财务、内部管理等方面进行整合,部分控制措施也从财务转移到业务的前端或延伸到业务部门执行。因此,ERP的上线对控制产生了以下影响:
a。ERP系统自动控制取代原有手工控制,例如,销售收入确认、发出成本核算。
b。ERP系统的使用带来控制形式的变化,例如,销售的稽核,由于订单的准确性决定了记入总账数据的准确性,所以有效控制由财务审核转变为业务部门的审核。
2.5 ERP上线对权限管理的影响
随着ERP这样大集成的系统逐渐被采用,如果系统授权不当,企业运营的风险也会大大提高。这种风险主要包括两个方面: 一是让更多原本没有必要了解这些信息的员工可随时掌握这些信息,大大增加了泄密的可能性;二是让原本没有必要操作或加工这些信息的员工拥有了这些权力,增加了管理失控的可能。因此,还应当建立权限控制策略。
3 ERP系统对内控管理的推动作用
ERP系统的实施,将统一规范业务流程,促进管理提升,增强企业相关信息安全性,减少企业内部风险,这也正是ERP系统助推企业加强内控体制的优势所在。
3.1 强化经营管理活动的全过程控制
企业在适应ERP系统管理理念过程中,充分借鉴标准流程,精心设计、不断优化业务流程,全面提升现有流程,制定统一的编码标准,进行全面的数据规划,收集完整的基础数据,严把数据入口关,形成柔性化生产、个性化服务,提高客户满意度,集成市场、科研和生产的一体化过程,对堵塞漏洞提供了手段。通过应用ERP系统,可以方便地对内控体制进行通盘设计,更好地对企业的各种业务流程进行整体协调。在传统环境下对“点”的控制,在ERP系统中,可以发展成对“线”和“面”的多维控制。可以说,ERP系统将使内部控制的“预防性职能”充分发挥,而预防性职能的发挥是加强企业风险控制的最佳方式。
3.2 以财务管控带动全面业务管控
以财务管理为核心的ERP系统是一个财务导向的企业全面集成系统,财务为业务服务。在ERP系统中,财务与各项业务关系更为密切,在每一笔业务发生的信息流、物流和资金流中,财务都可以获得相关的业务信息,财务部门可以通过对这些信息的综合分析,对业务的成本费用进行有效监控和管理;通过财务管控有效集成业务流各环节,所有部门都被有效制约和监控,做到事前预算、事中控制、事后准确核算。财务部门对相关信息的分析可以预知数据背后存在的风险,如分析日常经营中操作性的风险,通过库存分析、应收账款分析、偿债能力分析、盈利能力分析、预算执行对比分析等,并与同行业比较,对潜在经营风险和财务风险进行预测和控制以利于高层管理者做到谨慎决策。
总而言之,ERP系统的实施,对企业加强内部控制,优化业务流程有着积极的意义,在ERP内控工作中,需要强化对系统本身的理解,深入分析ERP系统所带来的深刻变革和广泛影响,选择合理的时机,主动介入。ERP系统助推企业内控管理的成熟完善是一个螺旋式的发展过程,内控体制也必然要随着ERP系统本身的使用不断修改而趋于完善,企业必须针对已经建成的内控系统,在ERP系统运行的过程中不断进行效果测评,以便于高层管理者对内控有效性做出一个明确的评定,从而为其以后的完善优化提供数据支持;而内控管理的成熟也将推动ERP系统的不断更新完善。