还剩3页未读,继续阅读
文本内容:
基于ERP环境的企业内部控制的风险及防范策略人力0941班杨超群090700404239摘要全球的竞争白热化和IT科技技术的高速发展,要求企业能够应用先进的管理信息技术手段,快速地掌握内外信息和整合企业资源而随着信息科技不断发展而日趋完善的ERP系统所蕴含的先进的管理方法和理念,正是现在企业所需要的但当企业引入ERP系统后,企业内部控制的运行环境发生了明显变化,也形成了企业内部控制的新风险因此,企业要适应ERP的新环境和有效降低内部风险发生的频率,应积极主动从新的角度来识别ERP环境下内部控制的风险,建立能够适应ERP环境要求的内部控制体系关键字ERP内部控制风险防范策略引言ERP不仅仅是一套软件,更多的是管理思想和理念的结晶和体现作为企业管理思想,它是一种新型的管理模式;而作为一种管理工具,它是一套先进的计算机管理系统企业引入ERP后,企业的管理流程将会发生非常大的改变,从而使得内部控制环境与之前相比较大大不同ERP环境下内部控制的重点由对人的控制为主转变为对人、计算机和互联网的控制企业要适应ERP新环境,必须建立能够适应ERP环境要求的内部控制体系因此,在ERP环境下如何建立与之相适应的内部控制制度,成为了社会和各界关注的焦点问题在近几年,全球一些著名的公司财务丑闻不断,从美国的安然、世通公司,到加拿大的北电网络、意大利帕玛拉特财务丑闻,以及国内的银广厦、蓝田股份案件、中航油事件,还有法国第二大银行兴业银行的违规操作丑闻等等,这一系列丑闻事件的爆发,引发了社会各界对加强内部控制和信息管理及增强抵御企业风险能力的思考于此,本文提出了“基于ERP环境的企业内部控制的风险及防范策略”,旨在对企业识别和防范内部控制风险及运用ERP系统达到提高企业效益提供一些有益的参考
二、基于ERP环境的企业内部控制面临的风险
(一)ERP的含义和特点
1.ERP的含义ERP(EnterpriseResourcesPlanning)是“企业资源计划”的简称ERP这一概念最早是在20世纪90年代由美国著名的计算机技术咨询和评估集团GarterGroupInc.提出的,他们当时提出了一整套企业管理系统体系标准,认为ERP的实质是在MRPII基础上进一步发展而成的面向供应链(SupplyChain)的管理思想要理解ERP,首先要明确“企业资源”——“企业资源”是指支持企业业务运作和战略运作的事物,也就是我们常说的“人”、“财”、“物”可以认为,ERP就是一个有效地组织、计划和实施企业的“人”、“财”、“物”管理的系统,它依靠信息技术和手段以保证其信息的集成性、实时性和统一性ERP系统集信息技术与先进的管理思想于一身,是一种管理理论和管理思想,而不仅仅是一个信息系统ERP可以整合企业的内外部市场资源,为企业生产制造或提供服务创造最优解决方案,最终达到企业的经营目标ERP的特点ERP的特点主要包括以下几点首先,有利于公司适应混合的制造环境ERP系统既可以实现对离散环境的支持又可以实现流程式的环境其次,ERP系统的实施有利于提升企业的监督控制能力企业内部控制、功能模拟、决策分析等的应用有利于提升企业的监督控制能力和管理水平第三,有利于企业实现数据共享ERP的实施为公司提供了一个新的可以实现数据共享的信息平台企业的内部控制内部控制的含义内部控制是指一个单位为了实现其经营目标,保护资产的安全完整,保证会计信息资料的正确可靠,确保经营方针的贯彻执行,保证经营活动的经济性、效率性和效果性而在单位内部采取的自我调整、约束、规划、评价和控制的一系列方法、手续与措施的总称1992年9月,美国COSO委员会发布《内部控制整合框架》,该报告提出内部控制包括控制环境(ControlEnvironment)、风险评估(RiskAssessment)、控制活动(ControlActivities)、信息与沟通(InformationandCommunication)、监控(Monitoring)共五个相互联系的要素;其目标是经营的效率和效果、财务报告的可靠性(与对外公布的财务报表编制相关的,包括中期报告、合并财务报表中选取的数据的可靠性)和符合相应的法律法规内部控制的作用目前,内部控制体系在经济管理和监督中的作用主要是提高会计信息资料的正确性和可靠性,保护切财产的安全完整,保证生产经营活动的顺利进行和企业既定方针的贯彻执行,为审计工作提供良好的基础
(三)ERP环境下内部控制存在的问题企业信息化进程的深入和ERP在企业中的广泛实施和应用,企业内部控制体系结构也随着发生深刻的变化,在ERP环境下,企业的信息流、物资流和资金流高度集成,业务处理程序被大大简化,ERP环境下的内部控制能够有效弥补手工操作中难以克服的缺陷,使企业组织结构更具柔性;开放性的信息交流平台使得交流更为畅通,管理决策者和执行者能够快速获得和整合信息;同时,ERP平台为实现对财务方面和工作执行方面的有效监控提供了丰富的管理信息ERP系统的应用能够更利于企业商业目标的实现,提高企业效益,但是ERP系统的实施成功率非常低,实施成功后因为种种原因也会带来一些内部制度措施无法执行的问题,包括会计人员无法直接参与控制、控制效率低、其审查和稽核机制被削弱等此外,计算机技术和网络通讯技术本身存在的可靠性、安全性等方面的问题,也给企业内部控制风险的防范带来了相应的难题实施风险“三分软件,七分实施”一个企业要引入ERP不仅需要庞大的资金支持还需要强大的管理技术水平对于ERP软件的实施首先难度大,需要一支职业化专门从事软件实施的队伍;其次是需要对企业进行业务流程再造,理顺和规范企业管理;再次,需要对用户进行软件操作培训,包括协助用户进行信息标准化和规范化编码;最后,要求企业提供适用软件的规范管理模式,要求在实施过程中能根据用户的特殊业务处理需求对软件进行客户化改造ERP的实施是一个耗费时间、人力与资金的过程,实施周期短则半年,长则二至四年因此,ERP系统的实施风险是非常大,有很多的调查数据表明,有非常大比例的企业实施项目是失败的来自IT专家网(2011年9月)“据不完全统计,我国目前已有近千家企业购买了MRP-II/ERP软件,其中大部分是选用国外稳定成熟产品,这些产品基本上都经历了很多客户、很长时间的验证,有些甚至是几十年、上万家企业的验证,从这个角度讲产品不应该有什么问题,然而事实是按期按预算成功实施实现系统集成的只占10%-20%;没有实现系统集成或实现部分集成的只有30%-40%;而失败的却占50%,并且在实施成功的10%-20%中大多为外资企业”可见,国内ERP实施的成功率非常低所以有了“不上ERP是等死,上ERP是找死”这句“名言”另外,在实施之前,如果企业对ERP软件选型不当或者是在实施过程中,企业管理者无法充分将ERP系统的现代管理理念融入企业管理思想和管理模式或仅仅把ERP项目视为单纯的信息系统建设项目,把ERP实施的责任移交给技术部门,这些都加剧了ERP系统实施的风险
2.业务流程改变带来的风险业务流程的改变将会给企业内部控制带来很大的风险在ERP系统中,通过对手工流程的机器处理,审批处理自动化等,进一步增强了完成各种业务流程的效率但是,在新的业务执行环境中,这些审批处理自动化方法将改变企业内部原有的一些风险特征首先,企业的组织重组与业务流程简化,会造成很多审批环节的缺失,隐含一定的内部控制流程不完善的风险在这种情况下,手工环境中用于企业内部控制的许多审计线索在ERP系统引入后消失了其次,业务处理更多地依赖系统操作,主要业务之间的关联程度很高,大量的业务活动通过集成凭证直接反映到财务数据上;业务流程、信息沟通变得更加抽象化、复杂化操作人员可能因为过于依赖计算机而减少人为判断,从而增加了系统的风险性第三,由于部分业务流程的风险由业务后端移至业务前端,控制措施也转移到业务前端,因此也将影响该业务流程风险控制点的确定第四,流程化管理进一步密切了部门与部门之间的联系,跨职能部门的流程管理使得某个环节出现问题直接影响其他流程的运作在这种情况下,任何一个环节出现差错,将直接影响到后续流程的实施另外,某些二次开发工作会削弱系统中已经设置好的控制,从而产生新的风险
3.数据的保密性安全性风险ERP的推行能够为企业降低生产成本,提高劳动生产率并共享资源等但在享受ERP管理信息系统带来的开放和自由的便利同时,我们必须面临着数据安全的挑战ERP实施后,数据的安全性主要受到三方面的威胁第一,来自计算机硬件的系统安全风险计算机硬件以及与之相关的设备网络通信、电源等都存在着外部不可抗拒的因素如火灾、停电等或人为因素如操作失误等,出现系统故障,导致数据丢失甚至瘫痪的风险由于ERP具有数据逻辑化,信息自动生成化,高度集成化的特点,面对这些风险企业无法实施控制,所以一旦出现故障损失惨重第二,来自计算机软件的系统安全风险由于计算机病毒以及企业内部、外部人员如黑客等对会计数据非授权的访问、篡改、泄密和破坏等恶意攻击、信息系统软件设计的漏洞、系统操作的失误、人们对风险的控制缺乏应有的主动权及互联网的开放性等,都会使ERP系统面临严重的安全威胁,从而导致系统数据安全和质量方面的风险这种有意图、有目的的攻击行为将给企业集团带来巨大的伤害,严重威胁着企业集团信息的机密性、完整性和可用性,从而增大了企业内部控制的风险除此之外,ERP系统的升级换代也给数据的稳定性和可靠性带来很大的风险第三,数据所有权降低,维护较难ERP系统靠使用单一的数据库、单点输入数据等来确保其高度集成性,这保证了ERP系统数据一致性、减少重复劳动,同时,降低了企业对数据的所有权,也使维护数据安全较难如果存在不合适的访问权限的定义,缺乏有效的法规对系统使用的控制,系统的一些机密数据就会透明化,这会给企业带来重大损失
三、基于ERP环境的企业内部控制风险的防范策略
(一)实施风险的防范
1.实施调研调研的内容包括RP现购功能所涉及的单位和部门,企业数据/信息流及管理现状,现有管理流程和管理制度,网络配置、人员配备、员工强弱、企业文化,各部门的难点、重点及愿景,实务需求与ERP结合的情况根据调研结果进行可行性分析,包括对人员的可行性,经济上的可行性、技术上的可行性,企业管理机制与组织行为的可行性估计,准备充足,计划执行性强且有动态性
2.实施前要加强培训工作ERP系统的成功实施离不开企业全体员工的大力支持和积极参与首先,加强企业管理层的培训让企业的中高层管理者充分而准确的理解企业治理信息化和ERP,赢得企业决策层的积极参与和支持其次,加强ERP业务技术骨干的培训,保证实施的技术实施之前及过程都要让其参与其中,利于在今后的系统运行维护及二次开发中发挥作用最后,加强各种业务治理人员如财会人员、生产计划员、购销人员、生产统计员、仓库治理员的培训,从而确保录入数据的准确性
3.明确需求和实施重点企业要从整体的战略和长期近期出发,对外分析差异,对内找出近期企业最迫切需要解决的问题,分析企业本身对软件的一般要求和特殊要求,明确需求和实施重点
4.根据调研结果和需要,谨慎选择ERP软件正确选择软件类型是ERP系统实施成功、发挥效用的决定性因素企业在选择软件时,从战略出发,将企业自身的实际需求与ERP软件类型进行比较和匹配,从而选择适合自己的ERP系统
(二)业务流程改变风险的防范
1.对业务流程进行评估,切实做好业务流程再造业务流程再造是成功实施ERP的基础,从有无效率、是否合理的角度评估流程的每一项作业,画出业务流程图,看是否为企业增加价值,然后从不合理且无效率的作业入手,逐一规范和调整,实现从职能管理到向业务流程管理的转变
2.业务事项要予以正当的说明和准确及时的记录,并做好基础数据准备前期的基础数据准备是保证系统正确运行的关键这些数据一般包括客户数据、供应商数据、物料数据、工序及工艺等静态数据,还包括库存、客户订单、发货、交货、发票、应收、应付等每时每刻都会变化的动态数据ERP流程运行过程中的数据变动是企业持续的管理信息报告准确性的基础
3.企业规章制度的更新与落实在实施ERP的同时,要注重对企业以往的制度做合理的调整和修改,使其能够对项目的实施起到推动作用
4.信息系统管理部门内职责分离的控制职责分离是企业内部控制的基础控制手段,主要目标是防范内部人员的舞弊行为带给企业的灾难通过在系统中对需要职责分离的岗位设定权限,每个岗位的任职者根据自己活得的用户名和密码进行作业,这保证了每个岗位操作权限的独立性,有效地防范了舞弊风险
(三)系统安全风险的防范
1.保证网络安全,最大程度地控制网络攻击和恶意软件带来的风险目前我国企业网络安全方面存在的比较突出的问题是网络安全产品使用比较单一,入侵检测系统、身份认证技术、加密技术等普及程度较低蠕虫等自动传播的恶意代码、有经验的黑客、拒绝服务攻击是我国面临的最重要的网络安全威胁因此必须加强配置管理、及时获得计算机漏洞信息和网络安全事件信息、保证网络安全技术措施的及时更新同时,要加强员工信息安全意识和对会计人员计算机操作业务技能的培训离地,防止人为操作风险;对硬件设备特别是关键设备进行定期检测,及时发现和解决问题
2.建立24小时的系统恢复计划RecoveryPlan,以应对系统不稳定性和电脑病毒的威胁同时安排专人负责登记保管,输入系统的信息的原始凭证,确保资产和记录的安全性
3.权限控制权限控制的基本目的在于防止未经授权的内部人员擅自动用系统的各种资源,给带来企业重要信息泄漏或丢失的风险信息系统环境下的权限控制始于系统初始设置阶段,即通过系统管理员(或系统维护员)对工作人员、工作范围等进行设置(输入相关的数据),每个岗位人员按照所授予的权限对系统进行作业,不得超越权限接触系统同时,也要用严格的制度约束系统管理员
(四)正确的认识ERP系统的风险性,制订风险控制预案ERP系统的应用是一项高风险、高投入项目,成功与否受到诸多因素的影响,从系统选型到上线实施的整个过程存在种种风险,诸如环境风险、软件风险、实施风险等等因此企业有必要对风险有充分熟悉,建立一套行之有效的风险治理机制,控制风险,进而降低风险,从而提高ERP系统的实施成功率,最终提高企业的治理水平风险控制预案是开展风险管理活动的依据,对风险控制工作起指导作用ERP的实施是一个庞大的系统工程,涉及的因素、内容和环节非常多因此,企业要未雨绸缪,必须在风险识别和分析的基础上,事先制订风险控制预案,指导风险控制,以便使可能出现的风险所造成的损失消失或减少同时,在ERP运行过程中要加强监督和控制,对风险控制员作出及时调整,使之更合理,切实可行结束语在科技日新月异的时代,ERP系统将会不断完善,对企业的内部控制体系将会提出更多的要求,内部控制也将获得更多的机遇企业在引入ERP系统后,要建立与之相适应的内部控制体系,而建立健全内部控制体系的关键就是风险控制因此,企业要切实做好内部控制体系的风险防范,增强企业抵御风险能力本文是结合了课本及查阅了最近五年的相关文献来撰写的,对ERP系统的实际操作和接触不是很多,所以,本文存在的缺陷和不足还请老师批评和指正参考文献
[1]于晓菲,张雪薇.ERP环境下企业内部控制的风险及防范[J].北方经贸,2012
(2)99
[2]周爱君.基于ERP环境下的内部控制设计.[EB/OL].http://www.docin.com/nongmin1214
[3]刘红军.企业资源计划(ERP)原理及应用.[M].北京电子工业出版社,2008:200
[4]孟昭友.ERP环境下企业内部控制问题研究[J].中国集体经济,2012
(05)47-50
[5]王强.ERP环境下企业内部控制问题研究.[M].大连:东北财经大学出版社,2009
[6]李艺君.ERP环境下的企业集团内部控制探析[J].齐鲁珠坛.2008
(05)51-54
[7](美)Treadawy委员会起组织委员会制定,方红星主译.内部控制.[M].大连东北财经大学出版社,2008。