ERP作为集信息和控制于一体的系统应用,为内部控制提供了工具和平台,除此之外还作为集成的大型信息系统,其固有的信息系统风险,也为企业内部控制带来了挑战。因此,加强ERP与企业内部控制的整合研究,全面防范企业经营风险,已经成为服装企业上线ERP必须需要思考和关注的迫切问题。
ERP与内部控制的整合主要有以下四个方面:
(一)业务流程规范
ERP系统的成功应用离不开业务流程规范。ERP侧重在合理的业务流程基础上实现对企业资源的整合和有效利用,各模块之间有着密切的关系,数据在系统内实时传递和共享,数据的处理责任、方式和流向都会较ERP实施之前发生重大变化,企业原有的业务流程不再适应新的管理思想和管理模式,因此,只有通过业务流程规范,建立基于ERP系统标准流程上的、符合内控要求的新流程,才有可能上线ERP系统。
业务流程规范主要有以下三种情况:
1、流程整合。ERP系统将手工控制变为自动控制,因此相关内控流程不再适用,必须通过ERP蓝图设计过程整合相关流程,如计划审批流程、成本核算流程等;
2、流程修订。ERP系统操作贯穿业务流程的全过程,必须用系统操作流程替换原来手工操作流程,使业务流程和实际业务相吻合,如凭证审批、项目进度等流程;
3、新增流程。原有的内控体系并没有涵盖全部业务流程,尤其是针对ERP系统维护和接口类等相关流程。如基础数据维护,主数据维护、价格维护等流程。
(二)信息系统控制规范
ERP作为集成的大型信息系统,系统外围物理安全和系统本身逻辑安全均对企业内部控制带来风险,为此,必须建立相应的信息系统总体控制和信息系统应用控制,确保系统的总体安全。信息系统总体控制适用于企业在信息技术的开发、实施、运行、维护及管理等方面的控制,它可以更好地保护企业的信息资产,可以提高信息系统对业务的支撑力度,增强企业信息系统的运行效力。信息系统应用控制包括应用软件中的电算化步骤以及用以控制不同种类交易处理的相关手工操作程序。这些控制结合在一起,可以保证系统中的财务和其他信息的安全性、完整性、准确性和有效性。信息系统总体控制是应用系统控制的基础,应用系统控制依赖于信息系统总体控制,两者共同保证信息处理的完整性和准确性。
(三)权限管理规范
权限管理是ERP系统内部控制的重中之重,如何权限管理不到位,造成授权不当,企业运营的风险也大大提高,这种风险主要包括两个方面:一是让更多原本没有必要了解这些信息的员工可随时掌握这些信息,大大增加了泄密的可能性;二是原本没有必要操作或加工这些信息的员工拥有了这些权利,增加了管理失控的可能。
1、编制ERP系统职责分离矩阵。《职责分离矩阵》在满足主数据维护、财务活动和其他业务活动互斥的基础上,定义相关模块各项业务活动之间的互斥关系。
2、严格权限设计。权限管理人员根据实际业务和ERP建设情况,确定业务活动和事务代码的适用和使用情况,从业务角度确保权限设计和实施的合理性。
3、开展权限测试。虽然在权限设计的过程中充分考虑到权限职责分离的情况,但并不能实现权限的完全事前控制,因此必须要进行权限测试,通过定期的权限检查发现权限问题并及时进行整改。
(四)加强内控监督
ERP环境下,内部控制体系的程序化使得内部控制在一定程度上具有了对ERP系统的依赖性,虽然在ERP项目建设过程中,内控体系针对ERP系统对现有内控体系的影响因素,进行了业务流程规范、加强了信息系统控制和权限控制,但企业真正上线ERP系统后,规范的流程在实际业务中是否可以良好的运行,设计的关键控制是否可以得到正确的执行,权限互斥和冗余权限是否可以得到控制,都需要在ERP系统上线后,开展专项测试,强化内控监督,确保内部控制体系设计有效,执行有力。
ERP先进的管理思想和信息技术实现了企业各部门、各环节的信息实时传输,提高内部控制效率,打破了部门之间的本位主义,优化了业务流程,标准化信息数据,提升企业的决策支持效率,充分发挥出公司级管理的最大效应,全面提高了企业管理水平。
