信息化环境下企业内部控制的载体是信息系统,ERP作为企业管理信息系统的典型代表,充分运用其系统集成化的平台、经过重组和优化的业务流程和良好的信息与沟通机制为来对内部控制进行优化,可以提高内部控制的效率和效果、降低控制成本。
内部控制理论是随着时代的变革、经济环境的变化、竞争的加剧、内部管理的需要而不断丰富、发展和完善的。从最初的内部牵制发展到内部控制制度、内部控制结构,直到现在的内部控制整体框架,其控制功能越来越强,这一切的实现,则必须依赖于精确的控制手段和高效的运作机制。在信息社会,内部控制功能的充分发挥离不开信息技术的支撑,借助信息技术对企业传统的内部控制进行优化已是当务之急。信息系统既是内部控制的对象,也是内部控制的物质载体。ERP系统作为集系统、信息和控制于一体的一种应用,为以系统为载体、以信息为手段的现代控制提供了工具。本文将探讨如何充分运用ERP系统中的财务与业务一体化处理、实时监控以及管理的自动化和数字化,来对内部控制进行优化,以提高内部控制的效率和效果、降低控制成本。
一、借助ERP系统集成化的平台来优化内部控制
很多企业应用信息化的一个误区就是借助计算机去满足手工状态下企业内部控制和信息处理要求,很少甚至根本没有顾及现代信息技术自身的特性。因此,从本质上看,这样的企业管理现代化只是停留在形式上的现代化,企业的控制状况与手工状态并无多大不同。这种模拟手工的直接后果就是导致信息系统中的“信息孤岛”现象,各个管理子系统中数据沟通不畅,难以实现对业务流程的控制,信息也无法实时共享。ERP的实施则把企业的所有业务看成一个环环相扣、紧密联接的供应链条,这条供应链条包括了物流、资金流和信息流。ERP环境下,企业可以在产、供、销等各个环节实现对人、财、物的全面控制,实现财务处理和业务处理的一体化。借助ERP的集成平台,企业的内部控制能实现以下三个转变:
1.从事后的监督为主的控制向以事前预防、事中检查为主和事后纠正为辅的控制的转变
内部控制是预防、检查和纠正风险的程序的集合,也就是事前、事中和事后控制的集合。传统的企业管理信息系统关注的是与会计信息可靠性有关的内部会计控制,而大部分与业务操作和规则遵守有关的内部控制则考虑较少。这样一来,内部控制呈现的是独立于业务活动、事后反映和检查性特征,而不是与业务活动融为一体,过程监督和预防性特征。此外,由于财务系统与业务系统的“离岛”,会计数据通常是在业务发生之后采集,而不是在业务发生时采集,而且采集的历史数据还需进行若干数据加工环节才能变为可用数据,这种滞后的会计信息与随时随地可能进行的实时控制之间存在着不可调和的矛盾。会计人员既然不能直接关注实际业务过程,进行事前预防和事中控制,那么在远离实际业务过程的条件下,也就只能通过事后检查来控制风险。
在ERP系统中,业务活动和信息处理则融为一体,同步进行,既实现了业务规则执行和信息采集合二为一的集成,也为事前预防、事中检查和事后纠正三种控制的整合提供了可能。信息系统的一个特点就是“垃圾进,垃圾出”,这说明了数据源控制的重要性,因此,ERP系统必须能够针对经营活动产生的风险进行事前控制,即在业务活动发生、有关数据进入数据库之前,检查这些数据的准确性、完整性和合法性。
集成化的ERP系统在企业内部形成了一个全面的网络环境,各种信息可以被有授权的人员方便的得到,为事中实时控制提供了可能。与传统环境相反,ERP系统更加注重事前的预防和事中的控制,将错误消灭在萌芽状态,事后纠正的重要性已经弱化。但是,如果出现错误的话,ERP系统依然可以方便快捷到找到问题的所在,甚至比传统环境下功能更强。这是因为高度集成整合的ERP系统,为每一笔交易建立了单独的电子线索,环环相扣的连接关系使原始业务的再现更为方便易行。
2.从以会计人员为主的会计控制向全员参与的全面控制的转变
与传统企业按职能和活动条块分割、信息和业务相互独立的低耦合系统相适应,传统内部控制以内部会计控制为主,目标主要限定于会计信息可靠性。由此,财务会计部门势必责无旁贷地成为主要、甚至惟一的内部控制中心。
ERP系统是业务与财务一体化的系统,系统的集成性可以使其在业务发生时及时收集业务的信息,并实时传递到财务系统,实现对物流、资金流、信息流的全面控制,而不仅仅是传统环境下对资金流的控制,实现了对企业的全面控制。同时,由于系统的集成性,使得信息计量和传输成本得到极大的降低,有关经营决策的信息已经能够实现实时、充分、同步反映。企业中的任何经营决策过程及其影响的信息已经不再是实际掌握或执行该项经营决策的个人或部门的垄断信息,而成为整个企业的共享信息,即企业中的任何个人、任何部门,在任何时候、任何地点都能获得他们想要的信息。这样,企业中的任何一员都可以在其授权的范围内进行控制,会计人员不再是唯一的内部控制中心。由此可见,借助于ERP系统的集成特征,企业可以方便地实现从以会计人员为主的会计控制向以全员为中心的全面的内部控制的转变,大大提高了控制的效果。
此外,在集成化的ERP环境下,企业就相当于一个“透明的鱼缸”,企业中任何人所做出的任何行为都可以很容易地从系统中被他人所知晓。因此,在实施集成化的ERP的企业中只要设计好严格的控制机制,传统道德风险和逆向选择的控制问题就能够得到较好的解决。与此同时,在这些机制的支持下,内部控制存在着向自主控制方向发展的基础和可能。
3.从信息沟通不畅到信息实时共享的转变
有效的信息沟通需要信息的实时共享,以便企业管理者随时掌握企业的运作状况,及时控制企业面临的风险,优化控制。随着IT的发展及其在企业应用的深入,IT的内涵有所拓展,许多企业都在开发和应用ERP,本企业信息系统与客户、供应商和商业伙伴信息系统之间的联系越来越紧密,它们之间的界限也越来越模糊,数据处理和数据管理变成了多个主体共同的职责。为此,COSO于2004年发布的《企业风险管理——整合框架》要求企业信息系统的构造必须足够灵活和敏捷,以便与外界相关方有效地整合或及时随企业内外部环境的变化保持协调一直,而又不相互妨碍对方。可见,在此环境下,信息系统的构建已不再仅局限于本公司范围内。
二、借助ERP进行业务流程重组来优化内部控制
业务流程,是保证各项任务有效完成的过程,是系统的、正规的、科学的控制行为与相机的、弹性的、艺术的控制行为相结合的产物。流程相当于一条既定路径,控制就是防止偏离正途。通过有效执行设计合理的业务流程,能规范业务操作,变“人为控制”为“自动控制”,还能提高处理速度,变“滞后控制”为“实时控制”。
ERP环境下,内部控制以贯穿企业ERP系统的业务流程为主线覆盖企业全范围。也就是说,内部控制的完善和实现其实就是流程的再建和执行,内部控制依据流程顺序完成。因此,ERP实施之前,企业必须进行业务流程重组,业务流程重组的质量在很大程度上决定了内部控制的水平。
ERP控制功能的实现必须借助于业务流程的重组和优化。通过业务流程重组,建立基于ERP系统标准流程基础上的、符合内部控制要求的新流程。在设计和优化业务流程时,首先,要尽可能利用信息技术协调分散和集中的实现信息的一次处理和数据共享,将串行工作流程改造为并行工作流程,变“滞后控制”为“实时控制”。其次,要面向客户和供应商整合整个供应链业务流程,并尽可能实现企业与外部只有一个接触点,变“局部控制”为“全程控制”。再次,尽可能将控制点设在工作执行的地方,使组织结构扁平化,降低内部控制的成本。最后,将企业的各种业务从政策法规、权限金额、标准流程、部门职责等方面进行规范,并且将这些规定固化进软件程序中,迫使企业人员按照这种既定的规则进行操作,提高内部控制的执行力度。可以说,流程重组的质量直接决定了ERP优化内部控制的能力和水平,是一个关键点。
三、借助ERP的信息与沟通机制来优化内部控制
控制和信息是不可分的,信息是控制的依据和基础,控制离不开信息的交换和反馈,没有信息,控制就失去了依据。在整个企业活动中,存在着物流、资金流和信息流三种不同的信息运动过程,信息流随物流和资金流而产生,同时,通过信息流又可以用来调节物流和资金流的数量、方向和速度,使其沿着预定的目标运行。现代企业规模庞大,组织结构复杂,信息来源纷繁,企业的管理者要确保企业作为一个整体,尽量保持员工个人目标与企业目标的协调性,恰当控制经营风险,实现其经营目标,若没有IT技术的支持,在这样一个纷繁复杂的系统中及时获取有用的信息,从而实时监督企业的运作状况,最终获得有效的内部控制简直是纸上谈兵。
ERP系统的基本功能在于把企业全部业务涉及到的资源整合起来,企业内每一个员工都被明确地赋予在内部控制中所应承担的职责,并且通过信息和沟通系统,使每一个人都能顺畅、快捷地获取他们在执行、控制经营过程中所需要的信息,并交换这些信息。正是由于ERP的这种“上通下达”的信息沟通功能为其优化内部控制提供了强有力的手段,也是其优化内部控制的保障。
