ERP環(huán)境下的企業(yè)內(nèi)部控制若干問題初探

梁毅煒

ERP環(huán)境下的企業(yè)內(nèi)部控制若干問題初探

梁毅煒

會計的產(chǎn)生和發(fā)展是經(jīng)濟環(huán)境變化和技術(shù)手段改進共同作用的產(chǎn)物。每一次經(jīng)濟背景的變化都會在會計理論或?qū)崉丈系玫椒从?，在本世紀最近幾年，國內(nèi)外的一系列財務舞弊丑聞都暴露出企業(yè)內(nèi)部監(jiān)督和控制不足的實質(zhì)癥狀。同時，計算機和互聯(lián)網(wǎng)技術(shù)在企業(yè)中不斷得到應用和普及，MRP、MRP-Ⅱ、ERP、BPR等先進的管理系統(tǒng)逐步在企業(yè)中應用和推廣。由于集成化的ERP環(huán)境和手工處理的根本區(qū)別，要求企業(yè)內(nèi)部控制體系要適應這種新的實務和技術(shù)環(huán)境的變化和要求。本文主要論述了在信息化環(huán)境尤其是ERP環(huán)境下，基于COSO原理的企業(yè)內(nèi)部控制的相關問題。

內(nèi)部控制；ERP；COSO

一、內(nèi)部控制整體框架

COSO委員會（Committee of Sponsoring Organizations of the Treadway Commission）1992年提出并于1994年修改的《內(nèi)部控制—整體框架》中對內(nèi)部控制描述是：內(nèi)部控制是由企業(yè)董事會、經(jīng)理階層和其他員工實施的，為營運的效率效果、財務報告的可靠性、相關法令的遵循性等目標的達成而提供合理保證的過程。

1996年，AICPA發(fā)布《審計準則公告第78號》，全面接受COSO報告的內(nèi)容，提出“內(nèi)部控制是由企業(yè)董事會、經(jīng)理階層和其他人員實施的過程，旨在為下列目標提供合理的保證：一是財務報告的可靠性；二是經(jīng)營的效果和效率；三是符合使用的法律和法規(guī)”。該準則將內(nèi)部控制分為相互關聯(lián)的五個部分，分別是：

1.控制環(huán)境。指構(gòu)成一個單位的控制氛圍，是影響內(nèi)部控制其他成分的基礎。包括：員工的誠實性和道德觀；員工的勝任能力；董事會或?qū)徲嬑瘑T會；管理理念和經(jīng)營方式；組織結(jié)構(gòu)；授予權(quán)利和責任的方式；人力資源政策和實施等?？刂骗h(huán)境是其他控制成分的基礎。

2.風險評估。指管理層識別和分析對經(jīng)營、財務報告、符合性目標有影響的內(nèi)部或外部風險，包括風險識別和風險分析。

3.控制活動。指對所確認的風險采取必要的措施，以保證單位目標得以實現(xiàn)的政策和程序?？刂苹顒影ǎ簶I(yè)績評價；信息處理；實物控制；職責分離。

4.信息與溝通。指為了使職員能執(zhí)行其職責，企業(yè)必須識別、捕捉、交流外部和內(nèi)部信息。外部信息包括市場份額、法規(guī)要求和客戶投訴等；內(nèi)部信息包括會計制度，即由管理當局建立的記錄和報告經(jīng)濟業(yè)務的事項、維護資產(chǎn)、負債和業(yè)主權(quán)益的方法和記錄。溝通包括使員工了解其職責，保持對財務報告的控制。

5.監(jiān)督。指評價內(nèi)部控制質(zhì)量的進程，即對內(nèi)部控制運行及改進活動評價。包括內(nèi)部審計和與外部單位進行交流。

我國財政部、證監(jiān)會、審計署、銀監(jiān)會、保監(jiān)會2008年印發(fā)的《企業(yè)內(nèi)部控制基本規(guī)范》中，已接受了COSO的內(nèi)控框架和相關表述，本文所探討的ERP環(huán)境下的企業(yè)內(nèi)部控制若干問題均基于COSO所定義的內(nèi)部控制框架。

二、ERP思想發(fā)展和特征

ERP系統(tǒng)（Enterprise Resource Planning）是由美國著名的計算機技術(shù)咨詢和評估集團Garter Group Inc.提出的一整套企業(yè)管理系統(tǒng)體系標準，是一種建立在信息技術(shù)基礎上，以系統(tǒng)化的管理思想，為企業(yè)決策層及員工提供決策運行手段的管理平臺。其實質(zhì)是在MRPII（Manufacturing Resources Planning）基礎上進一步發(fā)展而成的面向供應鏈（Supply Chain）的管理思想；是整合了企業(yè)管理理念、業(yè)務流程、基礎數(shù)據(jù)、人力物力、計算機硬件和軟件于一體的企業(yè)資源管理系統(tǒng)。

ERP系統(tǒng)大概經(jīng)歷了MRP （Material Require Planning）、MRP II（Manufacture Resource Planning）和ERP階段（Enterprise Resource Planning）幾個階段。

在MRP階段，企業(yè)的信息管理系統(tǒng)對產(chǎn)品構(gòu)成進行管理，借助計算機的運算能力及系統(tǒng)對客戶訂單、在庫物料、產(chǎn)品構(gòu)成的管理能力，實現(xiàn)依據(jù)客戶訂單，按照產(chǎn)品結(jié)構(gòu)清單（BOM）展開并計算物料需求計劃，實現(xiàn)減少庫存，優(yōu)化庫存的管理目標。

20世紀70年代，MRP系統(tǒng)還將生產(chǎn)能力需求計劃、車間作業(yè)計劃和采購作業(yè)計劃也全部納入MRP，以解決企業(yè)現(xiàn)有的生產(chǎn)能力和采購的有關條件的約束問題，形成一個完整的生產(chǎn)計劃與控制系統(tǒng)。

80年代，人們把生產(chǎn)、財務、銷售、工程技術(shù)、采購等各個子系統(tǒng)集成為一個一體化的系統(tǒng)，實現(xiàn)計算機進行生產(chǎn)排程的功能，同時也將財務的功能囊括進來，在企業(yè)中形成以計算機為核心的閉環(huán)管理系統(tǒng)，稱之為MRP II（Manufacture Resource Planning）。MRP II能動態(tài)監(jiān)察到產(chǎn)、供、銷的全部過程，并實現(xiàn)業(yè)務系統(tǒng)和財務系統(tǒng)的集成應用。MRP II中包含了成本會計和財務功能，可以由生產(chǎn)活動直接產(chǎn)生財務數(shù)據(jù)，把實物形態(tài)的物料流動直接轉(zhuǎn)化為價值形態(tài)的資金流動，保證了生產(chǎn)和財務的數(shù)據(jù)一致。90年代，ERP系統(tǒng)在MRP II的基礎上把客戶需求和企業(yè)內(nèi)部的制造活動、以及供應商的制造資源整合在一起，形成企業(yè)一個完整的供應鏈管理。

綜上所述，ERP系統(tǒng)是一種基于計算機系統(tǒng)的面向市場的供應鏈管理思想，強調(diào)供應鏈上所有環(huán)節(jié)包括訂單、采購、庫存、計劃、生產(chǎn)、質(zhì)量控制、運輸、分銷、服務與維護、財務管理、人事管理、設備管理、項目管理等方面的綜合控制與協(xié)調(diào)。ERP思想非常注重對企業(yè)資源的控制，在企業(yè)實施后也必然將在控制環(huán)境、風險評估、控制活動、信息與溝通、監(jiān)督幾個方面對內(nèi)部控制產(chǎn)生了廣泛而深刻的影響。

三、ERP環(huán)境對內(nèi)部控制的影響

總體來說，ERP系統(tǒng)能有效改善企業(yè)的控制環(huán)境，通過強化對企業(yè)資源的管理降低企業(yè)經(jīng)營風險，通過信息系統(tǒng)的實施和業(yè)務流程的整合強化控制活動，提高信息溝通的有效性，提高控制效率，強化企業(yè)內(nèi)外部監(jiān)督。這里的ERP環(huán)境區(qū)別于手工環(huán)境和傳統(tǒng)的會計信息化（AIS）的環(huán)境。

ERP的實質(zhì)是企業(yè)管理環(huán)境的一種重大變革，對企業(yè)的組織架構(gòu)、作業(yè)流程、人員管理、系統(tǒng)運維均會產(chǎn)生重大影響，同時ERP在應對內(nèi)部控制方面也會存在某些不足，并產(chǎn)生新的風險。如果企業(yè)對這種變革和風險缺乏認識，以傳統(tǒng)的思維來看待ERP與內(nèi)部控制的關系，對ERP導致的內(nèi)控風險認識不足，或者認為建立ERP系統(tǒng)就能必然建立完備的內(nèi)部控制體系，可能會讓企業(yè)的經(jīng)營管理陷入失效甚至失敗的局面。

（一）控制環(huán)境的變化

ERP系統(tǒng)首先對企業(yè)的控制環(huán)境將產(chǎn)生重要影響，主要體現(xiàn)在：

1.企業(yè)組織結(jié)構(gòu)呈現(xiàn)扁平化和虛擬化的趨勢

在ERP環(huán)境下，組織的影響力和控制力得到強化，決策者和執(zhí)行者能夠通過系統(tǒng)平臺快速溝通，企業(yè)的內(nèi)部控制層次會明顯減少，控制效率將會更高，責權(quán)利將更為清晰，使得組織的控制幅度大大擴大，促使企業(yè)的組織結(jié)構(gòu)由金字塔型逐步轉(zhuǎn)變?yōu)楸馄叫?。同時，跨職能部門的流程化管理使得職能部門之間的聯(lián)系更為緊密，系統(tǒng)角色彼此交叉和多樣，使得傳統(tǒng)的部門職能逐步模糊和虛擬化，由于工作任務的多樣和變化，一個部門和人員可能需要兼任不同的臨時角色，相互之間又能達成一種比較合理的控制關系。各個部門均成為控制的主體，形成控制主體交叉化，控制手段多樣化的局面。組織結(jié)構(gòu)的這種變化要求內(nèi)部控制體系的構(gòu)建也應與其相適應。

2.ERP系統(tǒng)的流程和傳統(tǒng)環(huán)境有根本區(qū)別，導致控制原理發(fā)生變化

手工環(huán)境或MIS環(huán)境下的流程主要依靠手工或者利用計算機模擬手工流程進行核算和管理。核算和管理時基本以財務部門為核心，其他各業(yè)務職能部門向財務部門傳遞數(shù)據(jù)，主要解決的是利用計算機替代手工記賬、算賬和報賬的問題。這個階段，系統(tǒng)的集成度較低，業(yè)務部門和財務部門之間的信息鉤稽關系較少，各部門獨立核算，缺乏足夠的信息溝通。即使實現(xiàn)了財務或者業(yè)務數(shù)據(jù)的計算機處理，但由于系統(tǒng)的耦合度較低，導致數(shù)出多門，為了對不同部門數(shù)據(jù)進行控制，需要經(jīng)常對各部門的核算數(shù)據(jù)進行核對，造成控制點的分散。

ERP環(huán)境與傳統(tǒng)的財務運作模式以及以MIS為核心的會計電算化系統(tǒng)有著本質(zhì)的區(qū)別。ERP系統(tǒng)通過流程重組后優(yōu)化的作業(yè)流程實現(xiàn)了財務和業(yè)務的集中控制和一體化處理，物流和資金的協(xié)同作業(yè)，企業(yè)的各個部門全面參與企業(yè)的核算，部門和部門信息溝通順暢，數(shù)據(jù)在各部門之間高度共享，并且通過某種渠道實現(xiàn)部門之間的數(shù)據(jù)自動傳遞。比如采購部門執(zhí)行采購活動后，系統(tǒng)會自動將采購情況傳遞給庫存部門，庫存部門隨時了解到物資的入庫情況，庫存部門在登記入庫情況后，財務部門馬上就可以查詢到這筆入庫業(yè)務的變動，并自動生成財務信息。在這種環(huán)境下，各部門之間的數(shù)據(jù)具有高度聯(lián)動性，而控制關系往往由系統(tǒng)之間的數(shù)據(jù)聯(lián)系而天然形成。

（二）ERP環(huán)境下控制風險的變化

風險影響著每個企業(yè)生存的能力，影響企業(yè)是否能取得競爭中的成功，能夠維持財務的穩(wěn)健，正面的公共形象等等?？傮w來說，由于ERP系統(tǒng)借助計算機和完善的管理體系強化了企業(yè)對資源的管理和控制，極大增強了企業(yè)識別和控制風險的能力，但是由于系統(tǒng)本身的特征也會導致出現(xiàn)新的控制風險，因此在控制執(zhí)行過程中，需要充分預知在ERP系統(tǒng)和由此帶來的信息化環(huán)境下風險變化的新的特點：

1.ERP環(huán)境擴大了風險識別與評估的范圍

ERP系統(tǒng)是面向整個供應鏈的管理，大大拓展了企業(yè)管理的對象和范圍，與此對應帶來的經(jīng)營和管理風險的識別和評估范圍也必然會隨之擴大。以前沒有或者不是很重要的控制職能可能在ERP環(huán)境下會變得重要起來，比如信用管理，在SAP中是財務管理和銷售模塊中的重要內(nèi)容。在實施ERP時，可能需要專門為其設置一個信用控制小組或者部門，與此對應的控制流程可能也需要重新定義和設計。另外，ERP系統(tǒng)依賴信息系統(tǒng)并以高度自動化的作業(yè)流程為運行基礎。在風險識別、評估和防范時除了要考慮經(jīng)營管理和市場變化本身的因素之外，還需要考慮各種內(nèi)外部因素導致的軟硬件故障，業(yè)務數(shù)據(jù)無紙化、電子化、隱性化帶來的數(shù)據(jù)存儲風險，業(yè)務流程與信息技術(shù)的融合風險等問題。

2.ERP系統(tǒng)流程化、自動化的特點，改變了內(nèi)部控制的風險特征

ERP系統(tǒng)實現(xiàn)了跨職能部門的業(yè)務流程的整合，業(yè)務處理的流程化、自動化均大大提高。而內(nèi)部控制隨著業(yè)務流程內(nèi)嵌到ERP系統(tǒng)內(nèi)而分散到各個職能部門。同時，企業(yè)審批的流程也脫離傳統(tǒng)的文件審批的機制，而由系統(tǒng)按照預設的某種機制自動推送完成，導致許多基于紙質(zhì)和文件的內(nèi)部控制線索在ERP環(huán)境下消失或者弱化了，企業(yè)的業(yè)務運作和數(shù)據(jù)傳遞更加依賴信息系統(tǒng)及其預設的流程。這種流程化、自動化的特點，能幫助企業(yè)有效、及時的識別和預警未來可能存在的風險，比如根據(jù)供應商的供貨信譽，預警哪些供應商存在供貨風險，根據(jù)庫存報告，警告可能會出現(xiàn)的存貨呆滯或者不足。但ERP流程的可擴展性不足以及對外部環(huán)境及風險識別的缺陷可能會導致整個業(yè)務運行和信息提供存在某種天然的缺陷，形成企業(yè)新的控制風險。轟動一時的許繼電氣ERP實施失敗案例，很大程度就是因為Symix公司為許繼訂制的業(yè)務流程無法適應公司業(yè)務、經(jīng)營模式的調(diào)整，而公司和軟件供應商對此類風險均沒有做出應有的認識和評估。

（三）控制活動的變化

控制活動系指幫助管理階層確保指令能被執(zhí)行的政策及程序。在ERP的環(huán)境下，控制活動既包括了傳統(tǒng)的對經(jīng)營管理的控制、財務報導的控制和遵循法令制度的控制，還包括了對整合化的系統(tǒng)的控制和結(jié)合了計算機特點的控制活動。

1.控制活動的范圍擴大

ERP系統(tǒng)擴充了企業(yè)的核算和控制的范圍，整合了財務管理、采購管理、銷售管理、人力資源管理，物流管理等內(nèi)容，甚至將企業(yè)核算和管理的觸角延伸到企業(yè)外部資源，將企業(yè)客戶、供應商、銀行、第三方物流均視作企業(yè)的資源。使得內(nèi)部控制的范圍也隨之擴大，為了保證企業(yè)資源的合理調(diào)配，控制的范圍也隨之擴展到企業(yè)外部資源。

2.在控制方式上，增加了程序控制并優(yōu)化了流程控制

傳統(tǒng)環(huán)境下的內(nèi)部控制手段，主要依賴人工控制和組織控制。尤其國內(nèi)的企業(yè)，長期養(yǎng)成人工控制的傳統(tǒng)，控制規(guī)則沒有形成制度和文字，過分依靠領導的經(jīng)驗判斷。而在ERP環(huán)境下，增加了程序控制，并對控制流程進行優(yōu)化。

程序控制是利用計算機的程序?qū)刂茖ο筮M行控制的方法，程序控制在ERP環(huán)境下極為普遍，極大的減輕了人工控制的成本和壓力，提高了控制的科學性和有效性。比如在存貨管理上，程序可以自動控制如果當前待發(fā)貨的數(shù)量小于可用量則不予發(fā)貨。

在流程控制上，ERP與傳統(tǒng)手工和MIS環(huán)境有較大的區(qū)別。首先ERP流程控制是供應鏈級的，以企業(yè)購銷存業(yè)務各個環(huán)節(jié)及企業(yè)各種外部相關資源為對象，控制的范圍比傳統(tǒng)模式要更為廣泛。其次流程的控制特點為自動化和集成化。流程的推送基于ERP系統(tǒng)自動推送，數(shù)據(jù)自動生成，并集中存儲于數(shù)據(jù)庫中。再次，ERP環(huán)境下的流程控制體現(xiàn)了企業(yè)扁平化的組織要求，按照新的組織架構(gòu)和系統(tǒng)特點對傳統(tǒng)流程進行大幅度變革和重組，流程設計更為簡潔、高效，對業(yè)務的反應更為敏捷，并能很大程度上能防止和杜絕手工或人為因素對業(yè)務的干預。

當然，在ERP環(huán)境下，傳統(tǒng)的手工控制仍然不可或缺。比如對原始單據(jù)的審核及確認，對政策和市場風險的預判，員工道德及心理因素的變化等。

3.信息存儲電子化、隱形化，增加了會計控制的難度

信息化的結(jié)果是往往導致各種交易和處理缺乏紙質(zhì)痕跡。在會計系統(tǒng)中，原先反映會計和財務處理過程的各種原始憑證、記賬憑證、匯總表、分配表、工作底稿等書面形式的基本會計資料減少甚至消失了。流程自動化導致信息輸入點減少，大量信息自動生成，大量無效的手工流程消失，手工會計系統(tǒng)中嚴格的憑證、賬簿登記和核對制度逐漸削弱或消失，憑證和賬簿所起到的控制功能弱化，證、賬的含義趨于虛化，核對、審核等相當一部分工作由計算機自動完成了，部分交易幾乎沒有“痕跡”。這些變化在帶來系統(tǒng)運行高效的同時，也一定程序上增加了會計控制的難度。

（四）信息與溝通上的變化

1.溝通的實時性大大提高

由于ERP系統(tǒng)采用計算機自動化處理并借助于網(wǎng)絡工具，使得信息提供的實時性大大提高。比如在互聯(lián)網(wǎng)環(huán)境下，系統(tǒng)可以通過電子商務系統(tǒng)接受遠程銷售訂單，直接導入ERP系統(tǒng)，經(jīng)過MPS排程和MRP運算產(chǎn)生企業(yè)的采購計劃和生產(chǎn)計劃，系統(tǒng)通過業(yè)務流程連接各職能部門，實現(xiàn)各種業(yè)務流程的一體化處理。在ERP系統(tǒng)中，信息技術(shù)與業(yè)務活動形成有效的整合，企業(yè)的各種資源調(diào)配和信息的獲取變得實時化和動態(tài)化。

2.組織成員之間信息交流和溝通更加便利

ERP系統(tǒng)本身也是一個信息集成系統(tǒng)，可以通過企業(yè)OA平臺和ERP流程的自動推送機制，實現(xiàn)業(yè)務信息的自動傳遞，大量的企業(yè)各種動態(tài)實時的數(shù)據(jù)集中存儲在企業(yè)數(shù)據(jù)庫系統(tǒng)內(nèi)，員工以合法用戶身份即可通過客戶/服務器（C/S）和瀏覽器/WEB服務器（B/S）混合結(jié)構(gòu)的網(wǎng)絡平臺快捷的獲取與其職責相關的跨部門的業(yè)務信息以及企業(yè)外部信息，包括企業(yè)的政策信息、經(jīng)營信息、財務會計信息、作業(yè)信息、客戶/供應商信息等，大大降低信息獲取和業(yè)務溝通的成本，徹底改變了傳統(tǒng)作業(yè)環(huán)境下員工信息不對稱的現(xiàn)象。

（五）監(jiān)督的變化

在ERP的環(huán)境下，監(jiān)督的范圍和深度都得到了加強。ERP系統(tǒng)的管理理論基礎是供應鏈管理，它把企業(yè)與供應商、客戶、銀行等外部單位有機聯(lián)系起來，并將企業(yè)內(nèi)部的采購、開發(fā)設計、生產(chǎn)、銷售整合起來。這些內(nèi)容都將成為監(jiān)督的范疇。ERP環(huán)境下的監(jiān)督的對象既包括企業(yè)內(nèi)部的各種業(yè)務和管理活動，也包括企業(yè)客戶/供應商/銀行等外部資源，還涉及到信息系統(tǒng)包括硬軟件的安全穩(wěn)定運行、預設業(yè)務流程的合理合法性以及電子數(shù)據(jù)的合法和安全。同時需要注意，在計算機程序控制的前提下，如果程序出現(xiàn)差錯，可能會使業(yè)務系統(tǒng)的運行出現(xiàn)重復和長期的紕漏而不被發(fā)現(xiàn)。在外部審計過程中，會計師應當對ERP系統(tǒng)的運行及其提供數(shù)據(jù)的合法、真實和可靠性進行測試，并在審計報告中披露。

當然，在ERP引入企業(yè)之后，對內(nèi)部控制的影響十分廣泛，遠不止以上的論述，需要我們進一步分析和研究，將ERP系統(tǒng)與內(nèi)部控制建設充分融合，才能更好的找出解決面對新環(huán)境下的內(nèi)部控制問題的對策。

［1］中華人民共和國財政部.企業(yè)內(nèi)部控制規(guī)范.北京：中國財政經(jīng)濟出版社，2010.

［2］Steven J.Root.超越COSO［M］.北京：清華大學出版社，2004.

［3］潘秀麗.企業(yè)內(nèi)部控制研究［M］.北京：中國財政經(jīng)濟出版社，2005.

（作者單位：北京財貿(mào)職業(yè)學院）