(一)ERP可以改善企业内部控制。 ERP的实施,使企业管理结构变的扁平化、流程化,决策者和执行者能够快速沟通,控制层次明显减少,控制责任更加明确,对内部控制环境的改善和信息与沟通的效率带来很大的促进作用。ERP系统通过信息技术手段,对业务流程和控制进行合理设计并固化在系统中,增强了业务流程的执行力和提高了控制的实时性和准确性,提高了内部控制的自动程度和效率,形成新的控制理念。 (二)ERP是内部控制的对象。 从本质上讲,ERP是一套信息系统,是一种工具,是由具有主观意识的人设计和进行具体操作的,但“垃圾输入决定了垃圾输出”,若输入错误的数据,对实现企业目标的影响同样是致命的,有可能导致严重的管理决策错误。因此,从内部控制的角度来讲,必须将ERP系统作为控制对象,从信息技术的角度,评估风险并建立相应的信息系统总体控制和应用控制,确保ERP系统的运行质量和运行效率。 (一)业务流程规范。 1、流程整合。ERP系统将手工控制变为自动控制,因此相关内控流程不再适用,必须通过ERP蓝图设计过程整合相关流程,如计划审批流程、成本核算流程等; 2、流程修订。ERP系统操作贯穿业务流程的全过程,必须用系统操作流程替换原来手工操作流程,使业务流程和实际业务相吻合,如凭证审批、项目进度等流程; 3、新增流程。原有的内控体系并没有涵盖全部业务流程,尤其是针对ERP系统维护和接口类等相关流程。如基础数据维护,主数据维护、价格维护等流程。 (二)信息系统控制规范。 ERP作为集成的大型信息系统,系统外围物理安全和系统本身逻辑安全均对企业内部控制带来风险,为此,必须建立相应的信息系统总体控制和信息系统应用控制,确保系统的总体安全。信息系统总体控制适用于企业在信息技术的开发、实施、运行、维护及管理等方面的控制,它可以更好地保护企业的信息资产,可以提高信息系统对业务的支撑力度,增强企业信息系统的运行效力。 (三)权限管理规范。 权限管理是ERP系统内部控制的重中之重,如何权限管理不到位,造成授权不当,企业运营的风险也大大提高,这种风险主要包括两个方面:一是让更多原本没有必要了解这些信息的员工可随时掌握这些信息,大大增加了泄密的可能性;二是原本没有必要操作或加工这些信息的员工拥有了这些权利,增加了管理失控的可能。 (一)实现信息的集成。 ERP系统集成了企业核心价值链的计划、项目、采购、制造、销售和财务各项企业资源,使财务与业务、业务与业务之间的信息实时传输,同时通过财务整合方案实现了ERP与原有财务管理系统的数据传递,各项管理信息最后自动归集到财务进行核算,实现了企业各项资源信息的集成化。 (二)提高内部控制效率。 ERP系统全面支持人、财、物等生产经营管理相关资源的调配,并支撑各种关键绩效指标的监控管理,而且ERP系统的IT技术应用,促进了业务流程的核心价值最大化,将原来事后的监督控制转变为事前预防、事中检查和事后纠正的综合控制,将原来以会计人员的会计控制转变为全员参与的全面控制,提高了内部控制的效率。 (三)转变管理理念,提升管理水平。 ERP带来了先进的管理思想,强调对企业内部甚至外部资源进行优化配置、规划和流转,着重管理活动的规范性,打破了部门之间的本位主义,优化了业务流程,标准化信息数据,提升企业的决策支持效率,充分发挥出公司级管理的最大效应,全面提高了企业管理水平。 |