某总经理:“我知道采购环节的漏洞大,如果我让物价办来监督采购部,让财务处来监督物价办,让审计部来监督财务处,那谁来监督审计部呢?我不是仍然有可能失控吗?如果我使用ERP系统,这样的问题能解决吗?”
企业管理者们要平衡控制与效率的关系,没有效率的企业是无法持续生存的,按照马克思的说法,其投入于产品与服务中的劳动时间超过了社会必要劳动时间,无法获得应有的利润;而失去控制的企业则更加可怕,只能用“盲人骑瞎马,夜半临深池”来形容,这时的效率只能用来评价其奔向死亡的速度。
换句话说,在企业管理者的心目中,“效果”、“做正确的事”、“控制”三者是密不可分的。在诸如ERP系统等信息化投资前,企业管理者的犹豫不决,不会是因为不理解信息化提升效率的能力,多半是因为信息化带来的感觉是“控制力减弱”!在实施ERP系统之前,我们靠规章制度和实践经验来管理,除了海量信息造成的数据准确性、及时性失控外,大部分的管理者认为自己的经营运作系统是可控的。在信息化所提倡的“流程再造”、“信息透明”“方法变革”等思路面前,似乎每件业务——从个人的操作方法到部门的职权界限、公司的整体流程都处于变化之中,是否还能保证原来的控制力都不敢说,更不要说提高控制力了。
那么,ERP能够帮助企业解决控制问题吗?或者说,ERP能从哪些方面给企业的内部控制带来帮助呢?我们试着分析一下。
首先,我们要明确内部控制是什么,它包括什么内容。根据1996年美国注册会计师协会发布的《审计准则公告第78号》(SAS No.78),内部控制的定义是“由一个企业的董事长、管理层和其他人员实现的过程,旨在为下列目标提供合理保证:(1)财务报告的可靠性;(2)经营的效果和效率;(3)符合适用的法律和法规”。在这个准则中,一个合理完整的内部控制包括五个部分,分别是控制环境(Control Environment)、风险评估(Risk Assessment)、控制活动(Control Activities)、信息与沟通(Information and Communication)、监控(Monitoring)。
我们就上述内部控制的每个组成部分来分析ERP与内部控制的关系,看看ERP会给内部控制带来哪些影响,ERP是如何带来这些影响的。
控制环境 指董事会与管理层对内部控制的态度、认知度和行动。包括如下几个方面:
? 员工诚实性和道德观。这就是我们经常说的“企业文化”层面的内容,作为一个管理信息系统,ERP似乎与之没有直接关系,因此,在某厂长说ERP是一种企业文化后,受到了不少的批评。其实,作为一套钩稽关系严密、各职能之间紧密集成、信息共享的系统,是可以帮助管理层塑造“诚实”的文化的,对于违规的事情,从“不敢”到“不愿”的路很近,从“天知地知只有我知”到“放纵”同样只有一步之遥。
? 员工的胜任能力。由于在设计时,系统中固化了很多预测、执行的方法,ERP可以大大提高员工的胜任能力。例如在接受客户订单时估算成本与完工日期、月末当日结账出具财务报表、按照生产计划与库存情况精确采购、在多品种小批量模式下合理安排生产任务,即便是经验丰富、能力极强的员工,也无法胜任,有了ERP作为工具,计算快捷、又有模拟能力,却又不算什么难事了。
? 董事会或审计委员会。如董事会是否独立于管理层,审计委员会、独立董事是否能够完成其监督职责。对于这点,ERP的确无能为力。
? 管理哲学和经营方式。这一点与“员工诚实性和道德观”相类似,只是一个是从员工的角度出发,一个是从管理团队的角度出发。通常我们认为,ERP系统的建设过程,就是企业从粗放式经营向集约化经营的转变过程。ERP系统的实施,标志着企业的管理哲学和经营方式向“精确”、“快速”、“量化”的转变。
? 组织结构。除非企业有极大的决心,否则在建设阶段,ERP一般无法改变企业的组织结构,即便改变,也应该归功于业务流程重组的效果。但是也很难想象,一个企业的信息传递方式、权责体系发生了变化,而组织结构一如既往不加以调整的。因此,在系统的运营过程中,ERP将首先解决组织结构中的信息传递问题,再解决业务流程的顺畅与规范问题,最后,ERP将潜移默化地将企业的组织结构带向合理化。
? 授予权利和责任的方式。ERP系统的运行要求企业有规范严格的授权体系,无论是系统的登录权、单据与报表的查询权,还是一笔经济业务的审批权、一个年度预算的决定权,在系统中都有明确的授权过程,并记录其审批与执行的过程,以便落实相关责任。所以说,ERP的实施大大改变了企业权责不清,遇事必找大老板的状况。
? 人力资源政策和实施。ERP系统中包括人力资源管理系统,在选育用留员工等方面帮助企业进行管理,当然,关于雇用、培训、提升和奖励雇员的政策还是要企业自己制定,ERP只是告诉我们可以有哪些角度、哪些方法我们可以用,并在我们选择之后,更好地执行。
风险评估 指管理层识别并采取相应行动来管理那些对企业战略、日常经营、财务报告等有影响的内部或外部风险,包括风险识别和风险分析。
? 外部风险识别,如对技术发展、竞争格局、经济环境变化等因素的识别。对于这些来自外部的风险,ERP难以起到有效的帮助。
? 内部风险识别,如对员工素质、公司活动性质、信息系统处理特点等因素的识别。ERP里有一部分报表与流程是专门用以分析内部风险的,例如库存上下限的分析、岗位与人员的契合度分析、订单履约能力与盈利能力分析等。
? 风险重要程度分析。对于那些操作性的风险,如时间(如交货期推迟)、数量(如物料配套状况不佳)、金额(如成本波动较大)等,ERP可以直接得出其量化指标以供管理层参考。
? 风险发生可能性分析。同样是对于日常经营中操作性的风险,如销售预测误差率、人员流失率等,ERP可以通过对数据进行结构性分析、趋势分析等得出近似的可能性参考值。
? 风险管理途径分析。通常ERP不能直接给出问题的解决办法,系统只是预置尽量多的参考方案,以便在提供分析结果后供管理人员选择使用。
控制活动,或称控制程序 指帮助确保管理层的指令得以实施的政策和程序。
? 业绩评价。指将实际业绩与其他标准,如前期业绩、预算和外部基准尺度进行比较;将不同系列的数据相联系,如经营数据和财务数据,对功能或运行业绩进行评价。这实在是ERP的拿手好戏,诸如针对业务人员的销售龙虎榜、针对利润中心的平衡记分卡等手段,没有ERP的确难以做到,至少是很难及时准确作到。
? 信息处理。指的是那些保证业务在信息系统中正确、完全和经授权处理的活动。信息处理分为两类:一般控制和应用控制。一般控制与信息系统设计和管理有关,如保证软件完整的程序、信息处理时间表、系统文件和数据维护,对于ERP还是什么其他软件来讲并无差别;应用控制则与个别数据在信息系统中处理的方式有关,如保证业务正确性和已授权的程序,ERP比之那些相互之间不集成的单一职能应用系统要强很多,与手工操作相比更是不可同日而语。
? 实物控制。也称资产和纪录接近控制,包括实物安全控制、对计算机及数据资料的接触予以授权、定期盘点等。在这个领域,ERP不能提供更好的帮助,毕竟软件不能帮人拿着仓库钥匙,也不能保障别人不看桌子上的“不该看”的报表。
? 职责分离。将各种功能性职责分离,以防止单独作业雇员从事或隐藏不正常行为。一般来说,下面职责应被分开:业务授权(管理功能)、业务执行(保管职能)、业务记录(会计职能)、对业绩的独立检查(监督职能)等。ERP系统不能保障职责的分离,但在ERP系统清晰的职责划分与授权体系下,企业可以循着ERP的脉络完成这一控制活动。
信息与沟通 为了使职员能执行职责,企业必须识别、捕捉、交流外部和内部信息。
? 外部信息,指市场份额、法规要求、客户投诉等。外部信息与来自外部的风险类似,ERP难以起到有效的帮助,至多对一部分规范性的外部信息,可以在企业已经识别、捕捉到之后加以更高效的处理。
? 内部信息,指会计制度、管理制度、经营数据等。说到底,ERP系统是一个提供内部信息、规范内部信息的系统,企业合理的使用ERP,可以借鉴ERP系统拟定相关制度,通过ERP系统规范其执行,并将成为制度与数据的载体运行于企业之中。
? 沟通。沟通包括使员工了解其职责,了解其工作如何与他人联系,如何对上级报告例外情况。ERP可以通过其授权体系使员工了解自己的职责,通过参与业务流程、完成单据与报告使员工了解自己工作与他人工作之间的关系。
监控 评价内部控制质量的进程,包括持续监控、独立评价或两者结合的方式。
? 持续监控。持续监控建立于单位内部的业务循环当中,包括日常的管理监控活动。如分部和总部采购、生产和销售部门的经理保持日常经营联系,对与他们观点不同的报告提出质疑以保证相互间的监督。没有ERP,就没有持续监控的客观、科学标准,监控要么流于形式,要么各抒己见难以统一,而ERP中的主生产计划衔接销售与生产、物料需求计划衔接生产与采购仓储部门、资金计划衔接业务部门与财务部门,相互之间的监控以翔实的记录为依据,以科学制定的计划为准绳,当然可以持续有效地监控。
? 独立评价。独立评价通常由内部审计部门或人事部门执行,对内部控制的设计和执行情况检查评价,与有关人员交流并提出改进意见。ERP系统可以让内部审计人员快捷深入地了解业务流程与其间的控制体系,并在业务抽样、正确性复核等方面节约部分工作量。
对照上述的分析,我们可以得出一个ERP在企业内部控制体系中所起作用大小的影响表如下。其中,影响方式指ERP对内部控制系统的帮助是直接的、由其自身特点带来的,还是间接的、由于使用ERP改善管理与环境带来的;影响范围指的是ERP在该领域带来的影响是针对企业全局的,还是限于企业内部部分人员与机构的;影响力则指是否应用ERP系统,对该控制的领域所造成的变化。
大项 |
子项 |
影响方式 |
影响范围 |
影响力 | |||||||
直接 |
间接 |
无 |
整体 |
局部 |
无 |
高 |
中 |
低 |
无 | ||
控制环境 |
员工诚实性和道德观 |
|
√ |
|
√ |
|
|
|
√ |
|
|
员工的胜任能力 |
√ |
|
|
|
√ |
|
√ |
|
|
| |
董事会或审计委员会 |
|
|
√ |
|
|
√ |
|
|
|
√ | |
管理哲学和经营方式 |
|
√ |
|
√ |
|
|
|
√ |
|
| |
组织结构 |
|
√ |
|
|
√ |
|
|
|
√ |
| |
授予权利和责任的方式 |
√ |
|
|
|
√ |
|
√ |
|
|
| |
人力资源政策和实施 |
|
√ |
|
|
√ |
|
|
|
√ |
| |
风险评估 |
外部风险识别 |
|
|
√ |
|
|
√ |
|
|
|
√ |
内部风险识别 |
√ |
|
|
|
√ |
|
√ |
|
|
| |
风险重要程度分析 |
√ |
|
|
|
√ |
|
|
√ |
|
| |
风险发生可能性分析 |
|
√ |
|
|
√ |
|
|
|
√ |
| |
风险管理途径分析 |
|
√ |
|
|
√ |
|
|
|
√ |
| |
控制活动 |
业绩评价 |
√ |
|
|
√ |
|
|
√ |
|
|
|
信息处理 |
√ |
|
|
√ |
|
|
√ |
|
|
| |
实物控制 |
|
|
√ |
|
|
√ |
|
|
|
√ | |
职责分离 |
|
√ |
|
|
√ |
|
|
|
√ |
| |
信息沟通 |
外部信息 |
|
|
√ |
|
√ |
|
|
|
√ |
|
内部信息 |
√ |
|
|
|
√ |
|
√ |
|
|
| |
沟通 |
√ |
|
|
|
√ |
|
|
√ |
|
| |
监控 |
持续监控 |
√ |
|
|
|
√ |
|
|
√ |
|
|
独立评价 |
|
√ |
|
|
√ |
|
|
|
√ |
|
从表1可以看出,除了少数几个领域外,ERP系统在内部控制所涵盖的绝大部分地方都对企业有所帮助,在相当多的内部控制领域有着直接的、重大的影响力。当然,管理者不能将“控制”全部寄希望于ERP,也不能将“控制”的责任全部推给ERP,但也绝不应再怀疑实施ERP对提高企业内部控制能力的帮助。“失控”的担心不应该给ERP,倒是应该担心一下那些不上ERP、不好好上ERP的企业,自认为“还可以”的控制力真的有效吗?即便尚未失控,在高速变化的环境下,这样控制力还能保持多久?