ERP下的企业内部控制评价系统模式

【摘 要】 内部控制嵌入ERP系统，是内部控制建设的一个新领域，而内部控制的评价也应结合信息系统的特点来展开。文章借鉴《企业内部控制基本规范》、《企业内部控制评价指引》，基于内部控制五要素框架，尝试构建一种符合ERP作业下的内部控制评价新模式，可为企业内部控制信息化建设提供理论依据，具有一定的现实意义。

【关键词】 ERP； 内部控制； 评价系统； 评价模式

一、引言

内部控制的动态性决定了内部控制的建设必定是一个不断解析、评价、优化和改进的过程，在此过程中内部控制的评价作用尤为关键。近年来，特别是在《企业内部控制基本规范》（以下简称《基本规范》，2008）、《企业内部控制配套指引》（以下简称《配套指引》，2010）出台以后，在《基本规范》、《配套指引》框架下进行内部控制评价体系的研究已成为内部控制领域的一个热点。主要文献有：论中国企业内部控制评价制度的现实模式（南京大学会计与财务研究院课题组，2010）；基于PDCA循环的内部控制有效性综合评价（杨洁，2010）；基于管理视角的企业内部控制评价系统模式（池国华，2010）；基于流程的战略性并购内部控制评价研究（崔永梅、余璇，2011）；内部控制缺陷的识别、认定与报告（杨有红、李宇立，2011）；企业内控评价体系框架构建研究（熊婷、程博，2012）等。这些成果是对《基本规范》、《评价指引》框架性概念的具体补充，加深了我们对于内部控制评价的认识和理解，增强了内部控制评价体系的构建可操作性，然而对内部控制建设的现实环境即信息化下相关研究却鲜有涉及。本文以此为切入点，探究一种基于ERP环境下的内部控制评价体系新模式，从而为我国企业内部控制的有效实施和持续改进提供切实可行的操作指南。

二、ERP下内部控制评价体系构架的现实基础

内部控制的评价是对内部控制有效性的评价，主要针对的是内控设计及运行的缺陷评价，而内控的设计与运行离不开内控依存的现实环境。现今，在我国率先进行内部控制建设的企业，大多经历了或正在经历全面信息化建设的过程，以ERP（Enterprise Resource Planning，企业资源计划）为代表的信息化软件系统开始在企业中普及应用。在经过了对信息化的质疑、认识、实施、受益之后，企业的管理当局再次面对如内部控制建设这般系统工程之时，内部控制与ERP结合成为首选，这种考量主要是基于以下几个方面：

1.内部控制的建设需要对控制环境进行梳理，而ERP的实施已经使企业在组织结构、岗位分工、人员配备、业务流程甚至企业文化上经历了深层次的变革，这就会大大缩短控制环境的梳理时间。

2.ERP的实施是一项复杂、全员动员的系统工程，在实施过程中得到锻炼的团队可较快地投入内部控制建设的过程中，而优秀的实施团队是内控建设成败的关键。

3.从成本效益的角度出发，ERP系统模块化的设计方式有利于环境变化，对系统的局部调整而降低投入成本，内部控制的动态性也要求未来的内控系统应具备这一特性。

4.ERP业务涉及企业的各个环节，程序化的运行方式使得内部控制的控制方式能够有效地在系统中得到执行，减少因人为因素导致的失效，降低了控制风险。

5.ERP还可以大大提高信息的透明度，并且能为内部控制提供实时的数据支持，特别是基于日常处理的日志记录可以为内部控制的监督、评价提供依据。

由此可见，当内部控制的实施主体倾向于一种嵌入ERP系统的内部控制架构时，作为内部控制的自适应子系统，内部控制评价系统也应从ERP的特征出发来重新构架新的评价系统。

三、ERP下内部控制评价的特征

内部控制的评价是以评价客体为基础的，并且会因评价客体的变化而做出适应性的调整。嵌入ERP的内部控制系统，就是采用软件开发中普遍使用的结构化的设计方法，将内部控制功能自顶向下的逐层分解，分解成若干个相对独立却又具有一定耦合关系的子模块，每一个单独的控制子模块都能够完成一定控制目标，同时相关的子模块可以集成控制单元完成较高层次的控制目标，这些子模块并不是单独存在的，而是采用程序化的手段将其固化在ERP功能模块中，成为ERP各功能子模块下的某些控制菜单。这种内部控制系统的信息化必然会影响内部控制评价系统的改变，形成ERP下内部控制评价系统的新特征。

（一）评价主体的多元化

《基本规范》关于内部控制评价概念的描述是“企业董事会（或类似决策机构）或其授权机构，对内部控制设计与运行的有效性进行综合评估的过程。企业应当根据国家有关法律法规和《企业内部控制基本规范》的要求，结合企业实际情况，对战略目标、经营管理效率和效果目标、财务报告及相关信息真实完整目标、资产安全目标、合法合规目标等单个或整体控制目标的实现进行评价。”从定义中可以看出，内部控制的评价主体应当是企业的决策层，这种规定实际上是从社会监督的立场出发，对企业对外披露内部控制评价报告层面的规定，体现的是内部控制评价的社会职能。但实际上，通过内部控制的自我评价，可以不断地对内部控制系统进行优化、改进，从而提升全员的风险意识、增强职工对于内部控制系统的认同感、顺利实现控制目标、提升企业价值，这体现的是内部控制评价的企业价值。嵌入ERP的内部控制系统将控制目标以模块化的形式分解到ERP系统的子系统中，将其扩展到决策层、管理层、操作层三个层面，使全员参与评价成为可能，同时信息系统的透明度，也可以更好地为社会评价提供数据支持。因此ERP下的内部控制评价主体必然是一种内外结合、全员参与的多元化主体。

（二）评价报告的多样性

《基本规范》第四十六条规定：“企业应当结合内部监督情况，定期对内部控制的有效性进行自我评价，出具内部控制自我评价报告。内部控制自我评价的方式、范围、程序和频率，由企业根据经营业务调整、经营环境变化、业务发展状况、实际风险水平等自行确定。”《评价指引》将企业对外评价报告的报出时间定为“企业应当以12月31日作为年度内部控制评价报告的基准日，也可选择6月30日为基准日。内部控制评价报告应于基准日后4个月内报出。”这两项内容说明企业对外披露内部控制评价报告是企业应尽的义务，体现的是内部控制的社会职能，属强制性规定。同时，基于内部控制自我评价的企业职能，企业可在《基本规范》框架内自行设定。嵌入ERP的内部控制系统模块化，有利于企业进行制定范围的局部评价；同时信息系统实时化的信息处理方式又可以缩短评价收集整理资料的周期，使不定期评价成为可能。这样ERP下的企业内部控制评价报告就是一个全面与局部、定期与不定期报告组成的多维体系，至于报告的格式可参考《评价指引》的规定，此处不再赘述。

（三）风险的有效控制

基于风险导向的内部控制系统被寄希望于一个企业成长的保护神，被要求事无巨细、面面俱到，这种全面性同时也加大了内部控制自身的风险。内部控制系统本身是一个动态系统，不能脱离一定的控制对象而独立存在，企业经营环境、经济业务、人力资源等任何的变化都可能导致内部控制风险的加大。风险是不可避免的，关键的问题是如何有效控制风险，传统方式上，内部控制最大的风险来自于内部控制评价的滞后性，特别是在信息化的今天，当时间成为导致风险的重要因素时，就必须以信息化的方式来降低这种风险。嵌入ERP的内部控制系统，将内部控制指标融入信息系统，可以敏锐的捕捉到来自业务端的处理数据并加以计算进行符合性的测试，同时这种内部控制数据的实时处理，会使得评价人员做出及时的判断并加以处理，这样使事后评价成为事中评价，大大减少了时间因素导致的经营风险，保证了内部控制职能的有效性。

四、ERP下的内部控制评价体系

内部控制评价的核心内容是内部控制评价指标，评价指标设定的科学性、评价标准设置的合理性决定了评价质量的好坏。《评价指引》给出了企业内部控制评价的框架标准，“企业应当针对与实现整体控制目标相关的内部环境、风险评估、控制活动、信息与沟通、内部监督等内部控制要素进行全面系统、有针对性的评价。”ERP下的内部控制评价也应在此框架内，结合自身特点来设置评价标准体系。

（一）评价指标设定的原则

内部控制评价指标的设定原则是整个评价指标体系的指导思想，会影响评价指标的范畴、评价的标准以及评价具体的实施方法。企业在设计内部控制评价指标体系时，应遵循以下四个基本原则：

1.风险导向原则。管理实践中有句至理名言“正确地做事不等于做正确的事”，这句话说的是一个方向性的问题。风险导向就是内部控制评价的纲领，所有的评价都应以是否产生风险以及造成风险的程度来评价内部控制的合理性和有效性。

2.相关性原则。内部控制评价指标的设定应与内部控制评价报告使用者的决策需求相关，以便于使用者对企业的内部控制情况做出评价。

3.可比性原则。内部控制评价通常是定性分析与定量分析相结合，需要以一定的事项作为参照而做出评价，因此，内部控制评价指标应当考虑应具备一定的普遍性，同时要保持评价指标统计口径与方法的前后一致性。

4.成本效益原则。内部控制评价是一项涉及面广，耗费人力、财力、物力的工作，应当以成本效益的原则对评价指标的设定进行指导，以评价目标确定评价指标的详略程度，突出重点指标，弱化或减少不必要项目，以减少成本开支，实现经济有效的评价。

（二）评价指标

内部控制评价指标是内部控制评价工作的核心，决定着内部控制评价报告的质量，基于以上内部控制评价指标设定的原则，本文采用结构化设计方法，对内部控制评价指标（如表1所示）进行分解处理，以达到每一个指标易于理解和可操作。结构化设计方法是工程学中应用最广泛的方法，基本思路是：由于人的理解力、记忆力的限制，不可能一下子触及到问题的所有方面以及全部的细节，为了降低理解的复杂性，最常用的方法是把大问题分解为若干个小问题，称为“分解”。如果每个小问题还不够简单，那么还可以继续分解，直到每个问题均可被理解为止。

（三）评价标准

从以上对于内部控制评价指标的划分可以看出，内部控制评价既涉及定量分析，也要有定性分析，两者应该是统一且相互补充的，但是不论是定性还是定量分析都必须以客观存在的分析对象为基础。企业性质不同、经营范围不同、经济能力、技术能力甚至评价主体的风险偏好都可能会影响最终的分析结果，使评价标准很难实现一个确定的、统一的标准。即使是《基本规范》、《评价指引》也只是规定企业应当就内部控制的健全性、合理性、有效性按企业自身的特点做出评价，将内部控制缺陷的认定划分为一般缺陷、重要缺陷、重大缺陷三个层次，而并未给出确认此三种缺陷的具体标准。因此，关于内部控制有效性的评价只能是“符合性”的概念，而不是一个绝对的数值。评价标准就是要确定这样的符合区间，以0为下限最高至100，其间分割若干首尾相连的刻度，区间的多少以及每个区间应有的上限下限的数值，取决于评价者对于内部控制健全性、合理性、有效性的认识。结合ERP下内部控制的特点，内部控制的评价不仅是一个有效性的问题，也应包含系统对于风险的敏感性和应对环境变化的灵活性，可划分为弱、较弱、一般、较强、强五个区间，每个区间的边界应是一个经验值，可由企业对连续若干年度区间的测算并参考行业一般标准而确定。

（四）评价方法

嵌入ERP的内部控制系统最大的优势在于以结构化的方式将内部控制的相关设定分解成一个个相对独立的子模块，并将其写入ERP系统的功能模块中，实施对业务流程的实时控制。这就为针对内部控制系统的评价提供了更多、易实现的评价手段方法。

1.单元评价。结构化的设计方式是内部控制的内容被分解成可以独立实施的控制单元，这样就可以针对这种独立控制实施的结果进行单独评价。

2.集成评价。结构化设计是一种将内部控制总体目标自顶向下、层层分解成若干子目标的方法，同一层次的子目标可以采用某种耦合关系集成上一级的控制目标，以此类推从而完成总的控制目标。那么，对内部控制的评价也可以采用这种由下而上的逐级汇总的方式进行单元集成性的评价。

3.定点评价。对于可能产生重大内部控制缺陷的控制要点，通过计算机的实时数据，可采用定向、定时的方式对其加以监控，防止产生大的经营风险。

4.调查分析评价。内部控制评价体系是一个涵盖全部控制单元，综合所有评价指标的整体性评价，既包括数字部分的评价也包括非数字的评价。对于非数字部分的内容可以采用传统方式进行，如员工座谈、调查问卷、典型分析等。

五、结束语

本文基于内部控制评价实施的视角，对ERP下的企业内部控制评价系统架构模式进行研究，内容涉及评价主体、评价报告、评价指标、评价标准、评价方法以及指标设定原则等方面，目的就是为将内部控制嵌入信息系统的企业，对内部控制的评价提供一种易于理解的评价模式。但受困于每个企业的具体实际，内部控制制度差异性，未能对内部控制评价指标的权重给出一个可验证的标准，降低了本模式的操作性。

【参考文献】

[1] 刘玉廷.全面提升企业经营管理水平的重要举措――《企业内部控制配套指引》解读[J].会计研究，2010（5）：3-16.

[2] 朱华建，张盛勇，高宏伟.21世纪以来我国内部控制研究主题及述评[J].会计研究，2011（11）：57-64.

[3] 杨雄胜，夏俊，等.内部控制评价――理论、实务、案例[M].大连：大连出版社，2009.

[4] 南京大学会计与财务研究院课题组.论中国企业内部控制评价制度的现实模式――基于112个企业案例的研究[J].会计研究，2010（6）：51-61.

[5] 杨洁.基于PDCA循环的内部控制有效性综合评价[J].会计研究，2011（4）：82-87.

[6] 池国华.基于管理视角的企业内部控制评价系统模式[J].会计研究，2010（10）：55-61.

[7] 崔永梅，余璇.基于流程的战略性并购内部控制评价研究[J].会计研究，2011（6）：57-62.

[8] 杨有红，李宇立.内部控制缺陷的识别、认定与报告[J].会计研究，2011（3）：76-80.

[9] 熊婷，程博.企业内控评价体系框架构建研究[J].财务与金融，2012（2）：50-55.

[10] 杨周南，吴鑫.内部控制工程学研究[J].会计研究，2007（3）：64-70.