對企業所面臨的風險而言,企業仍需要通過建立內部控制體系,提高風險管理水平,規避和弱化企業經營管理過程中遇到的各類風險
許多企業為了適應國際化和市場化的要求,紛紛建立自己的內部控制體系和應用ERP管理系統,這兩個體系都是涉及面廣、規模浩大、費用高昂的項目。那麽這兩者之間到底是什麽關系,有什麽異同,是否可以相互替代或互為補充,這是本文要探討和希望解決的問題。
壹、內部控制簡介
1.內部控制的概念
控制可以分成內部控制和外部控制,外部控制是指通過企業所處的外部環境(比如影響企業外部活動的法律、法規、歷史文化和社會意識形態等企業自身功能不能左右的因素)對企業經營活動的約束和規範;而內部控制則是指企業為了實現自己的既定目標而進行的自身內部的自我組織、自我調節和自我修正。
對內部控制的認識是隨著時間和環境的變化而逐步成熟完善起來的。企業內外部環境的不同,也對內部控制的理解有差異。我國的《獨立審計具體準則第9號——內控制度與審計風險》中對內控制度的定義表述是“本準則所稱內部控制,是指被審計單位為了保證業務活動的有效進行,保證資產的安全和完整,防止、發現、糾正錯誤與舞弊,保證會計資料的真實、合法、完整而制定和實施的政策與程序”。
美國會計師協會對內部控制作出的權威性的定義是“內部控制是企業所制定的旨在保護資產、保證會計資料可靠性和準確性、提高效率,推動管理部門所制定的各項政策得以貫徹執行的組織計劃和相互配套的各種方法及措施。”。COSO委員會把這個定義進行進壹步描述為:內部控制是壹個過程,它受董事會、管理者當局和企業內部其他員工的影響,其目的是為了下列目標的實現提供合理的保證。這些目標包括:經營的有效性和效率性;財務報告的可靠性;法律法規的遵從性。內部控制要素有五個方面:控制環境、風險評估、控制活動、信息與溝通和監控。
基於以上概念,國內許多企業在具體進行內部控制體系建設時,認為“內部控制,是指企業為實現經營目標,確保會計信息真實可靠,保護資產安全完整,遵循有關法律法規和規章制度,提高企業運營的經濟性、效率性和效果性而制定和實施相關政策、程序和措施予以合理保證的過程。”
2.兩個定義的異同
雖然國內的定義基本上沿用了美國的定義,但是從兩個定義來看美國定義內涵和外延比國內定義的範圍要大壹些,國內定義繼承和包涵了美國定義的強調部分和精髓,但對除財務信息、資產安全外的企業內部管理控制內容基本沒有涉及。雖然國內的定義更符合目前我們註冊會計師的執業水平和當前的國內經濟發展狀況,但是在適當時候國內的定義應該進行修整,使其更多地轉到內部控制因素上來進行表述。國內企業在建立自己的內部控制體系的實際操作中更多的是參照了美國的內部控制定義和COSO委員會提出的五個內部控制要素。
3.內部控制概念的內涵
美國內部控制的定義給內部控制確定了四個目標:資產的安全性、財務信息的可靠性和準確性、經營成果的效率性、法律法規的遵從性。從這四個目標我們可以看出兩點:首先是內部控制不直接產生經濟效益,而是通過控制風險、規避風險、提高運行效率為提高經濟效益作保障;其次是從註冊會計師的法律責任來考慮,內部控制已經超出了註冊會計師的法律範圍了。
美國會計師協會對內部控制還作了如下劃分:“廣義地說,內部控制按其特點可以劃分為會計控制和管理控制。”其實,這個劃分就是把內部控制的四個目標按照控制責任主體進行了歸類:前兩個目標的控制基本歸為內部會計控制,後兩個目標的控制基本歸為內部管理控制。其實在管理以及審計實務中,這兩者往往會交叉在壹起,難以嚴格的界定和區別開來,就是區別開來實際意義也不大。
根據這個分類,我們可以通過分別理解內部會計控制和內部管理控制來理解和詮釋內部控制的定義。
內部會計控制:內部會計控制是由保護資產安全和保證財務信息真實可靠的相關工作流程和工作記錄構成的控制體系。內部會計控制的控制範圍是能夠用貨幣計量的經濟活動,其實現的基本手段是財務工作流程和財務控制標準,主要目的是保護企業資產的安全和財務信息的準確可靠。
內部管理控制:內部管理控制是為提高企業經營效率,促使遵行各項管理政策,以便達到既定目標的控制體系。內部管理控制的控制範圍是企業所有的內部管理活動和管理職責,是對各項經濟業務進行內部會計控制的起點,其實現的手段是制度和工作流程的控制,主要目的就是提高企業的經營效率,保證各項規章制度的順利執行。
二、ERP簡介
1.ERP的發展歷程
20世紀70年代,制造企業管理者為了有效地進行物料管理和利用,形成了物料需求計劃MRP;80年代為了解決生產與庫存控制的集成問題,又產生了制造資源計劃MRP-Ⅱ;90年代企業信息處理量不斷加大,企業資源管理復雜化也加大了,這樣信息集成度的要求就隨即擴大到了企業的整個資源利用和管理,於是就產生了管理理論與計算機系統——企業資源計劃ERP(EnterpriseResourcePlanning)。
MRP-Ⅱ的核心是物流,主線是計劃;而ERP的主線雖然也是計劃,但重心是財務,ERP的管理範圍涉及企業所有供需過程,是對供應鏈的全面管理。與以往的管理軟件相比,它極大地擴展了業務管理的範圍。
2.ERP的實質和優勢
ERP是壹個對企業資源進行有效***享與利用的系統。ERP通過信息系統對信息進行充分整理、有效傳遞,使企業的資源在購、存、產、銷、人、財、物等各個方面能夠得到合理地配置與利用,從而實現企業經營效率的提高。從本質上講,ERP是壹套信息系統,是壹種工具。ERP在系統設計中可集成某些管理思想與內容,可幫助企業提升管理水平。
ERP作為企業信息化建設的核心組成部份,它的優勢不僅僅在於幫助企業建立壹套信息化管理系統,更重要的是它是體現現代管理思想和方法的壹種先進工具。
三、內部控制與ERP管理系統的關系
1.ERP是內部控制的工具和手段之壹
內部控制內控的目標基本涵蓋了企業經營活動的全部內容,而ERP作為信息系統,是為企業經營目標服務的。ERP實施前要求有關組織重新設計和改進其業務流程,進行業務流程再造,再造後的流程成為組織必須遵循的***同標準。流程再造的設計過程中,設計人員集成某些管理思想,體現有效控制和高效配置企業資源的信息化優勢。所以在ERP的流程再造的設計過程中,可以把相關的部分內部控制要求加以考慮,以致這些要求最終成為組織內部所***同遵守的標準。
內部控制系統隨著時間、環境條件、所應用的控制方法的變化而不斷變化,ERP就是在內部控制系統發展的歷程中某個時點上的壹種相對完美的控制工具和手段。內部控制五要素中控制活動的手段可以分為人工控制和自動控制,通過ERP實施控制活動就是典型的自動控制。對於壹些不能通過自動控制來實現的控制活動,還要應用人工控制,比如:我們對於難以量化需要以職業判斷為主的控制手段“危險信號”的控制;對於不在ERP線上的其他信息系統控制(如與員工上下班的IC卡控制)等等。
2.ERP本身是內部控制的客體
ERP是由主觀意識的人設計和進行具體操作的,其最前端輸入的數據決定其產出產品的質量,“垃圾輸入決定了垃圾輸出”。若輸入錯誤的數據,其影響也壹樣會遍及企業整個範圍和相關角落,最終可能導致嚴重的管理決策錯誤,而該數據源則由人為控制著,具有壹定的主觀性;另外,ERP同其他信息系統壹樣也面臨著諸如財產價值、法律責任、資產安全等風險,也需要對其進行有效的控制。
3.ERP是信息與溝通的組成部分
在COSO的內部控制框架中,信息與溝通是貫穿整個內部控制系統的要素。ERP作為信息集成系統,可以承擔量化信息的篩選、集輸、溝通。在ERP系統的設計、開發、實施、運行、維護及管理中,可以把內部控制體系中對信息的總體控制和應用控制要求加以體現,比如在ERP的設計階段就可以把信息安全、系統變更管理等思想和要求加以考慮。
ERP使得量化的信息溝通更便捷,並能達到全方位的信息***享。在企業內部,只要是ERP上的合法用戶,就可以隨時享受***享的信息,從而幫助管理者及時識別、捕捉確切的與企業經營活動相關信息,抓住判斷時機,實現信息溝通的目的。
4.ERP具有壹定的局限性
ERP作為信息技術,它是企業管理工具和手段的壹種,如上文所述,它不能代替所有的管理工具和技術;ERP業務復雜,運作和維護成本高,規模較小的企業不適合采用該技術;ERP各模塊是根據業務實際設置的,沒有標準化的模型,所以對於不同類型的企業,ERP的內容也不盡相同,這對於經營範圍廣的大型企業集團來講就很難設置統壹量化的考核評價標準等等。
從上面的分析可以看出,ERP就是壹種管理和控制的工具和手段,它的優勢在於最大化的信息集成,並把特定的管理要求固化,但是它本身並不創造控制體系;對內部控制體系而言,它是自控控制和信息與溝通的壹個重要組成部分;對企業所面臨的風險而言,企業仍需要通過建立內部控制體系,提高風險管理水平,規避和弱化企業經營管理過程中遇到的各類風險。
或許部分地基於上述原因,在ERP應用已經相當成熟的美國,在安然、世通等公司出現內部管理漏洞後,其證券交易委員會又以法定的形式要求上市公司必須建立內部控制系統,以加強上市公司的內部控制,增強其抵禦風險的能力,提高財務報告的質量,明確其法律責任。