探索中国CIO人才现状 | 第四季调研报告
ERP系统下企业内控制度的构建探析
2013-11-25  作者:万方数据 

一、相关概念

  ERP的意思是企业资源计划,即是指将物流管理,资金流管理和信息流管理结合信息管理理念,这种管理思想强调管理的系统性它能将企业内部的信息系统和供应链以及客户关系的管理有机的结合起来,而企业的相关交易信息也建立在此基础之上,ERP有其得天独厚的优势。其中EPR系统的核心特点是集成化和标准化。

  实践证明,企业的控制环境在采用了ERP系统后,企业所有部门的工作能够形成了一条完整高效的信息链,ERP能够通过分析企业拥有的各种资源为经营决策提供有效、全面的信息资源;同时,ERP系统还能够实现对企业内部不同部门、不同职务的跨界管理,有效地提高了决策的准确性,帮助管理者将企业的内部资源进行了统一管理同时也为企业内部不同部门的资源共享带来一定的便利。

  二、ERP对企业内部门管理控制的积极影响

  (一)对控制范围和对象的影响

  传统的内部控制对象以人为主,但随着IT技术应用的深入,ERP系统在帮助会计工作提高效率的同时,也带来新的管理问题:ERP系统的建立是由不同信息资源有机耦合的,所以,它的建立必然在操作上存在一定的复杂性,这种缺点使得企业经营管理方面以及信息共享方面的内控范围不断扩大化,内控范围具体来说有企业中系统权限的控制和企业内部网络系统安全的控制,以及企业系统维护人员、系统管理员等的岗位责任制度,计算机操作管理、计算机病毒防治等。

  (二)ERP对企业内控制度要素的影响

  首先,不可否认的是ERP系统的实施给企业的控制环境形成了积极的影响,这种影响主要体现在:ERP使企业内部的组织和管理机构由以往的立体化、繁乱化变的扁平化,并且有了一定的流程可循,减少了企业内部管理层和组织机构的控制层次,使企业控制效率向更高、更全的方向发展,同时也使企业控制责任分工更加明确。

  其次,ERP系统对企业的风险评价也有着积极得影响,这种影响主要体现ERP能够给企业带来一种新的风险评估和对未知风险有效分析的手段和理念,ERP帮助企业能够及时且准确地分析和辨认可能会发生的对企业发展过程中风险并在第一时间做出处理反应。

  再次,ERP的实施给控制活动也带来了积极的影响,这一影响主要表现在ERP系统增强了控制手段的灵活性、效率化和多样性。此外,ERP系统的应用能够使企业的管理摆脱人员上的和资源方面的对内控体系的限制,并能够在企业内部环境中形成一种新的控制理念,即是企业内控体系可以依靠信息技术对企业规划发展进行合理的分析和设计,而不再是依赖过多繁杂的检查与审批,核准人员可以精简,复杂的控制程序也可以优化,从而使得企业能够高效地达到目前既定的控制目标。

  三、ERP给企业内控制度的不利影响

  (一)业务流程的不利影响

  在传统的业务流程中,会计账簿体系是企业实现控制的唯一方式,主要是根据“凭证-账簿-报表”这一的循环方式来设计的。但当ERP系统在企业管理中实施应用之后,由于无论在业务流程亦或是手工方式上,于传统控制方式相比,差异都很巨大,因而导致企业相关操作人员无法较快较好地适应这种新的控制方式,从而给企业内部控制带来了不稳定因素,即不利影响。其次,ERP系统使企业的业务流程被改变,这使得企业管理架的构趋向于扁平化,其中,内控由程序执行,自动化程度高,因而ERP有可能导致控制风险。另外,ERP中强调的流程化管理使得企业部门之间的联系有了进一步的加强,但是,如果企业中某个部门的管理在有可能的决策失误上导致某个管理环节出现了问题,这种疏忽错误将有可能直接的影响到企业其他部门和企业其他流程的准确有效运作。

  (二)对信息安全控制的不利影响

  目前ERP软件在信息安全的设计理念和设计方法上的不足是未考虑到企业内部系统权限间的相互制约问题。例如,在ERP软件中,一般会存在一个不同于一般用户的超级用户,这种超级用户可以独立修改ERP用户的使用权限,更可以重置其他用户的使用密码,更有甚者还可以调整ERP体系中其他用户的人数,即随意删减用户,以上对于ERP软件可以说是一种致命的危害,因为ERP软件作为一种能够涉及企业综合管理的软件,它使得一部分超级用户能够有机会掌握企业中大量的管理及技术上的机密文件和信息,一旦超级用户不可靠将会给企业在经营上带来不可估量的损失。由于现今的网络环境既具有其开放性又具有很大的不稳定性,所以ERP系统更应该针对这一特点加强网络环境上的安全维护和风险管理。在现今的开放的互联网网络环境中,企业的会计信息极有可能因遭受病毒或黑客的侵入而泄露企业的商业机密,以上风险已引起了企业的广泛关注,所以,ERP系统可能在企业中划分出外网与内网,尽可能的减少网络系统带来的不利影响。

  (三)对人员管理的不利影响

  在企业中有必要具备一些了解企业内控监管环境的同时又熟悉EPR系统控制操作的技术人员,在现实中的ERP系统实施管理中,大多数的信息安全部门,特别是ERP控制和监管部门,经常面临人才缺乏的窘境。其中原因主要有,控制和监管部门在企业中时常被忽略。以上原因导致ERP系统内的必要的控制位点人员设置不足或者这些人员不符合ERP业务流程的需要;企业内某些用户权限过大但是这类用户的职责却并没有完全分离的结果。下面以企业的供应商对企业付款为例详细介绍这一点的不足:第一,如果某一个财务人员能更新供应商的信息同时还能输入发票,那么如果这个财务人员创建一了个虚有的供应商,并手工输入发票的内容,那么在ERP自动化流程中这笔款项很有可能未被察觉就被轻易地支付出去了。所以在ERP系统中维护供应商信息的权限与输入发票的权限是不应该相容的,在这方面工作中应分配不同的企业员工来完成。

  四、ERP系统下内控制度构建的优化

  (一)业务流程的再造

  业务流程再造时的设计与实施过程中设计者通过分析企业现有的管理模式企业的对业务流程进行改进式的再造过程中,以价值链为依据对流程进行集成,消除其中不合理的部分;在这一过程中企业应该根据现有的风险控制原则利用企业风险评估手段和相应技术分析对企业中关键的业务流程重新审核并分析其不足的方面,通过以上手段确定企业是否能够达到良好的控制并有效地达到既定的目标。在企业流程再造的过程中,遵循权责划分的思想,将适当的平衡点和监测点创新地增加于整个再造流程中,以保证敏感性的业务交易得到高效的完成;在企业业务流程再造过程中建设相应的组织结构可以实现同时对会计信息以及常规业务的双重控制。作为一个信息系统,ERP是为企业的经营目标服务的。因此,ERP的实施就要求有关方面对业务流程进行重新设计,而后,再造的流程将成为企业内各个组织必须遵循的共同标准。

  (二)信息安全风险评估与控制

  信息安全风险的概念是在信息化的网络建设中,由于其可能存在的软硬件缺陷、系统集成缺陷等,以及信息安全管理中潜在的薄弱环节使得在建设过程中相关的各类应用系统和基础网络、数据和信息泄露导致的不同程度的网络安全风险。面对现今种类繁多且频繁的网络安全问题,企业应该运行特殊的管理软件,同时将网络的监控以及信息系统事故的分析有机的结合起来,这样是企业能够更准确地了解网络信息系统,在未经授权的情况下访问或攻击信息的防备措施也要得到有效的完善。在信息安全技术的操作上可以采用特定的网络内容过滤技术防止网络上恶意内容的入侵,也可以通过监测网络的扫描器有效的监测入侵问题,防火墙系统对网络提高安全性也是一种必不可少的手段。

  (三)ERP对企业岗位的建全作用

  企业通过ERP建立有效的岗位责任制度首先必须要明确企业中每个员工的工作内容和职责范围,这样的工作便于企业更迅速高效的内控。岗位设置可以根据企业中发展的实际情况来做具体的划分与设置,如:可以更具发展需要将企业的岗位分为基本的职能岗位以及ERP系统相关的岗位;基本职能岗位包括出纳、审计、销售、财务、生产、物流、库存、采购等;ERP系统相关的岗位包括管理、操作、系统维护、计算机技术员等。企业在发展战略上可以根据自身所设岗位的需要和内部制度的具体要求,企业可以在保证数据的安全性的前提下对不同上的设置采用交叉设置的方法,这种方法的优越性是能够保证企业各岗位间的联系又相对独立,同时企业部门间能够相互制约。企业分析识别其他用户与网络上访问其自身敏感区域的权限可以通过职责分离分析辅助实现,现今所使用的许多ERP系统的职责分离工具能够在对ERP角色和用户权限分析方面实现自动化管理,这种优势能够帮助企业提高管理效率。

  综上所述,ERP系统正被广泛运用于现代化的企业日常经营管理中,同时,作为信息时代发展的高科技产物也需要不断地创新和完善。它在带给我们高效率管理工作的同时,也不可避免地给造成一些未知的风险,但这些风险是可以通过主观能动性进行规避的。因此,企业在运用ERP技术时应该首先主动了解探求ERP可能带来的风险,有效的分析和解决ERP应用中可能会产生的管理问题,让ERP系统更新发展,同时更好的服务于各种企业中。