关键词:财务;资产管理
目前,部分三甲医院内部控制建设不全面、业务流程欠合理,内控方法较简单,导致内控制度执行、落实不到位。与此同时,医院内部各系统、各环节相对独立,无法形成闭环管理,造成信息脱节,产生不协调的情况。相关情况严重影响医院工作效率与正常运行,增加医院财务管理与内部控制风险。因此建立一个内控制度化、制度流程化、流程信息化、信息公开化的财务协同管理信息平台尤为重要。
财务协同管理信息平台建设思路
随着医院现代管理理念的建立,信息技术、数据资源的管理创新日益成为推动医院发展的新动力。人们期待着建立医院数据平台,解决复杂数据资源的集成整合问题,进而支撑数据分析和预测,更好地挖掘数据的价值。平台功能要求符合三甲医院“以预算管理为主线、资金管控为核心”的内控理念,实现经济业务活动的内控管理,包含预算编审、分解和下达,费用支出管理、采购过程管理、合同应用管理、资产全生命周期管理、项目管理等一体的闭环管理内控系统。具体思路为:1.建设立体化、全方位的统一内控管理系统。2.实现内控成果电子化、可视化,能够全面展现和查询。3.实现对内控制度、规范、策略的统一管理,对内控业务的集中数据管理,对内控风险的集中监控管理,对内控风险与工作的集中流程管理。4.实现预算、采购、资产、收支、项目库合同、科研课题、培训管理各内控工作环节、流程的内控管理。5.融合项目工作和风险控制,实现内控风险事项和级别的自动识别、预警和处置,形成内控。6.加强医院内部控制、财务管理的运行监控,促进财务动态监控,防范财务风险。财务协同管理信息平台设计方案财务协同管理信息平台的建设是财务领域的一场重大变革,不仅涉及创新型智能财务平台的建设,更重要的是在财务平台下实现财务转型,构建新的财务管理模式。财务协同管理信息平台包括用户层、门户层、分析应用层、平台应用层、技术平台层与设施层,需要考虑安全防护与系统的各项应用规范。
一、门户层
门户层以平台的信息门户为入口,确定使用者的身份,提供多层次的组织框架,实现多角色权限应用机制,能够为单位内部的各级用户提供所需要的应用平台。门户层是将各种信息资源与平台应用模块统一封装,按照用户所属单位部门、角色权限和使用习惯形成的个性化应用界面。
二、分析应用层
分析应用层面向决策用户,通过应用数据库与数据平台的植入,对平台内外数据及各项流程活动等进行监测、统计、分析、预警及预测,面向管理层及相关职能科室建立对应的数据看板,辅助决策,提升科学决策能力。
三、平台应用层
平台应用层提供多样的应用功能,提供预算管理、采购管管理MANAGE理、合同管理、资产管理、收支管理、项目管理等六大业务功能模块和风险管理功能模块,以及个性应用的扩展定制,实现精细化管理的标准应用和深度应用。四、技术平台层技术平台层提供开发平台RBAC模型(基于角色的访问控制,包括RBAC0-RBAC3四个概念)中RBAC3级的应用权限体系、工作流引擎,提供对应用层项目功能的各种支撑,具有架构完善、技术先进、稳定可靠的特色,具有强大的适应能力和扩展开发能力。采用SOA架构、J2EE架构,利用Spring框架的组件化的Portal技术,整个系统由Java语言开发;数据应用方面采用Hibernate框架,遵循JSR168规范,可以应用在任何使用JDBC的场合,满足实现集成多种数据库应用,如MySQL、Oracle、SQLServer,等等。技术平台层系统采用各种基于Portal的组件技术进行程序开发,该分层结构的各层次之间功能耦合度较低,利于应用层功能的灵活组合;采用组件化封装,面向接口开发,应用关键功能;页面进行统一展现,利用Portlet的封装,实现不同应用场景的应用;统一的通道控制,控制html、soap等通道来判断访问来源;以不同的组件结构,提供超强的持续优化与扩展能力。技术平台层核心组件工作流引擎参考WFMC标准模型实现各种复杂流程的电子化流转,并以封装化的设计方法让工作流引擎方便被其他功能模块调用,完成各种流程驱动、扩展应用及异构系统的工作流调用。移动平台提供框架式技术,融合HTML5技术,支持iOS、Android等移动操作系统,与PC操作系统保持组织结构、权限、应用、数据及流程的全面一致,需要具有易扩展的定制功能。
基于内部控制的财务协同管理信息平台的应用
一、系统门户应用
系统门户是应用户对信息化系统建设的需求,构建单位内部业务系统的总数据处理平台。通过系统门户搭建单位内部业务系统的处理平台,包括个人空间、单位空间、内控业务空间等,自定义展示相关信息,包括介绍各项规定与政策,公示各部门办事流程,提供监督机制,促进各项政策信息共享和各部门相互协作,提升部门间协同工作效率。
二、内控应用
为实现对经济活动的全面管控,行政事业单位内控工作具有全面性的特点,贯穿各项业务的决策、实施与监督的全流程,涵盖单位相关业务和事项。打造内控平台,目的是站在单位全局高度,在管控体系中将各项业务活动纳入统一管理,在符合“三定”规定前提下,由独立的部门组织协调内控工作的实施方法与实施形式,并组建起各部门与各岗位之间的协调工作机制、互相核查机制,形成控制合力。具体做法主要集中为组织机构设置、议事决策机制、“三重一大”决策制度、岗位管理、审计管理、内部报告、知识库应用等方面的建设。
三、风险管理应用
内部管理系统需要对单位未来发展和业务活动风险进行内部控制,该系统由风险评估、环境控制、业务控制、业务沟通、内控监督等要素组成,具体体现为各内控制度的应用,和落实制度所需的控制措施和程序。单位应当形成业务活动风险定期评估机制,对存在风险的业务活动进行系统、客观、全面评估。内控职能部门或牵头部门需要全面梳理内部层面的制度、岗位、组织、机制,梳理信息系统和业务层面的各项业务流程,对经济活动中与内部控制目标出现的风险进行识别与分析,找出业务活动中的隐患与存在的漏洞,制订合理应对策略,减少风险的发生。
四、预算管理应用
医院预算管理,是指对医院发生的所有业务活动实行全面预算管理,主要包括两方面内容:一是医院对财务、预算实行综合管理,医院作为预算管理单位,所有收支全部纳入预算管理范围;二是医院内部应建立全面预算管理制度,应用预算管理手段,以医院中长期发展规划为目标,针对医院内部各种经济资源的分配、使用开展各项管理活动,并定期对此进行绩效考核。行政事业单位的预算主要由收入预算和支出预算组成。在行政事业单位中预算管理发挥着计划、控制、协调、资源整合、评价等综合管理功能,贯穿单位各项经济业务活动,涉及经济业务活动的事前、事中和事后的全过程管理。具体包括:1.对预算编制的控制。预算编制是行政事业单位按照单位开展各项业务工作,对相关业务活动行为进行科学安排,实现财务管理对业务工作的计划与支持。医院各部门应合理制订下一年度的业务计划,能够在预算编制前将计划指标合理分解安排到各业务部门科室。各业务部门科室要树立预算优先的整体思想理念,充分做好预算编制的基础准备工作,按照上级部门的要求与规定,按需合理编制部门预算。2.对预算审批的控制。医院的财会部门在同级财政部门正式批复单位预算后,应当根据上级主管部门法定程序,批复对单位各业务科室部门提出的收支要求,明确各项业务工作的预算额度、支出方向和支出标准,从而将预算各指标按照科室部门进行拆分,经过单位审批流程后下达到各业务部门,优化单位内部资源的分配,将预算指标直接分解到业务活动的各个位置与环节,并为各业务部门的预算执行制定相关的预算执行规则。3.对预算调整的控制。根据同级财政部门相关规定,预算数据的调整必须经过合法合规的流程审批。三公经费不允许进行预算调整。4.对预算分析的控制。医院建立预算执行分析机制具有必要性,单位定期通报各业务部门预算执行情况,召开预算执行分析会议,通报解决预算执行中存在的问题,对其进行研究分析,实行绩效考核,提出意见与建议,必要时进行相应调整,提高预算执行率,实现预算目标。
五、收支管理应用
单位的收支管理与单位内部资金资产流转关系密切,是单位运行中的核心业务之一,也是内部控制的重点监控内容。医院收支业务控制与单位内部控制目标是一致的,包括支出的合法性、财务内容及财务信息的真实完整性以实现资金支出支付的效果。在资金收入部分,能够支持收入计划编制、登记、上缴等工作,实现预算资金与账务的全流程监控管理,实现会计核算与资金管控的应用;在资金支出部分,结合医院内部资金审批流程与管理制度,对各项资金支出进行分类管控,制定不同流程,通过选择对应的支出预算指标、应用不同流程的分类审核机制,以不同流程进行分类审批,以表单化形式结合预算指标进行分类支出控制,对各类费用支出实行动态资金监管,满足内部控制的监管规定要求。同时要对支出管理实行必要的事前控制、事中核算、事后分析,与会计账务相连接,实现项目资金监管,以提供支出应用的有效性。
六、采购管理应用
医院应对政府采购部门预算进行必要管理,严格遵循“先预算,后计划,再采购”的工作规范,医院应先规范填写采购计划,统筹并录入采购计划后,方可实施采购。采购管理主对医院内部采购计划、采购需求、采购执行、采购验收进行管理及内部控制。通过与采购预算、采购计划、采购执行等数据进行有效动态对接,提供采购申请、审批、执行、招投标管理、资金支付、合同签订、资产管理、采购信息的查询与管理,利用平台进行统计、分析、报警的管理,实现对采购数据的动态监控。医院可以通过协同管理平台预算模块、合同模块、资金支付模块与招标管理系统实现有效对接,数据互联互通,实现从立项审批、开展招标采购到验收付款的全生命周期管理。
七、合同管理应用
合同管理是结合国内行政事业单位特点,将合同进行细化分类,可对预算执行过程中涉及的各种合同进行集中管理。新系统围绕合同录入、合同处理、合同收付款管理、统计分析等模块的业务流程管理,其工作平台能够针对不同的用户,进行业务管控,为单位员工与领导、主管部门与下级单位、各业务部门之间的应用提供必要支撑。通过对资金收入的实时统计,结合收支资金管控报表掌握资金流向。单位应用标准化、专业化管理模式,极力控制合同管理风险,提高合同管控水平与效率,综合全面提升单位合同管控效力。
八、项目管理应用
医院管理中有大量需要各职能部门共同协助完成的工作,以实施项目的方式进行分类管理,通过各部门协力的方式,保证项目顺利实施的管理方法是医院项目管理的具体实施形式。项目管理是为了实现项目的目标,从项目决策投资开始到项目验收完结的全流程,包括项目实现的组织、计划、指导、实施、协调、执行、监督与评价,在预算控制系统中以预算角度实现项目的申请立项、项目计划的执行控制、项目实施情况考核、项目应用结果的分析。其中项目预算执行控制包括项目借款管理、项目合同管理、资金支付管理等,需要以项目预算控制角度,根据项目的实施进度,严格控制项目付款支出,监控项目实施进度。
九、资产管理应用
资产管理应用是根据单位资产种类繁多、资产数据量巨大、资产增减变动情况较为复杂等实际情况,对资产购置后发生的资产清查、登记、调拨、变动、调剂和报废处置等各项资产全生命周期管理工作的具体实施提供高效、可控、联动的应用平台。资产管理以实现资产核算专业化、资产管理高效化的应用新方式,为资产管理提供及时、具体、准确的资产资料信息,以提高资产的使用效率与管理效能,同时实现对资产支持担保、资产评估、资产调用、资产经营效益的管理,通过对相关收益登记、核算的管理对出租、出借资产进行日常监管,提高资产的贡献率。
结语
随着《规划纲要》的颁布实施,建立一个由内部控制制度为主导,既有财务管理功能和网上报销平台系统功能,又能适合医院业务特点的界面友好、操作方便的综合财务业务管理平台系统是必要的。这一系统能够与各功能模块互联互通,能够对全院干部职工在系统的权限控制范围内做到工作任务或工作流程的即时提醒,能够满足智能化、自动化的信息要求,满足时效性的工作需求,极大提高工作效率,同时有效提高医院风险控制能力。
参考文献
[1]李春,郭宛丽,王舜娟.基于HRP的公立医院经济管理平台建设及应用研究.中国总会计师,2021,(02),26-28.
[2]刘梅玲,黄虎,佟成新,刘凯.智能财务的基本框架与建设思路研究.会计研究,2020,(03),179-192.
[3]范岳峰.公立医院全面预算管理现状分析及对策.财会学习,2021,(36).
[4]张平,朱子寒,魏凌,季佳.公立医院招标采购创新实践与探索.中国医院建筑与装备,2021,22(12).
电信企业的内控建设的工作内容主要集中于资产的管理、业务流程优化、业务管理、会计管理、业务风险控制、服务流程的完善等,电信企业内控建设是指企业在经济活动中要建立分工明确、职责分明的工作制度,以保护资产的安全完整性为目的,保护企业会计信息资料的正确性,保证企业内部经济工作方针的贯彻执行。内控建设是企业在运营过程中采取的一种自我调整、自我控制、自我评价的方式,其极大提高了企业内部工作效率,从而提高了企业的经济效益。随着经济的发展,企业要着眼于控制风险,通过保护财产安全性和会计资料的正确性来控制企业内部管理,从而满足日益复杂的经济活动。内控建设的初衷是实现企业的经营目标,对电信企业而言,要重视会计资料的正确性,从而保护固定资产,维持业务流程的完整性,从而提升了企业的价值。
2.内控建设对电信企业的价值提升
内控建设对电信企业的价值提升体现在品牌价值、内部管理方式、财务体系价值三个方面,下面详细分析内控建设对企业的价值提升:
2.1提升企业的品牌价值
内控建设旨在提高企业的资产安全,同时也优化企业内部的资源配置,建立完善的激励机制,这就为企业的内部工作提供了良好的保障,使电信企业的各个部门处于健康的工作状态。例如在某电信企业内开展内控建设,重点提升客户信息管理的安全性,通过优化业务流程,涵盖了用户信息采集、整理、保存等各个环节的信息安全管理,从而增强了客户信息的保密度。内控建设涉及部门有市场部门、人力资源部门、客户服务部门以及销售部门等,通过各部门的联合工作建立全面的账务系统,从而有效的提升了用户信息,避免了信息泄漏的安全隐患,提升了用户对企业的认可程度。当前电信企业的竞争日趋激烈,加强企业的品牌建设至关重要,而内控建设可以有效的优化企业工作流程,在一定程度上提升了企业的品牌价值。
2.2优化企业的内部管理
内控建设在电信企业中应用有效解决了人力资源配置不完善的问题,在企业经营中由于业务较为繁杂,不同部门之间的工作存在着掣肘,因此内控建设有效解决了人力资源配置问题,避免在企业内出现任人唯亲的现象,提升了企业的内部管理工作。再者内控建设提高了组织结构的合理性,企业是一个复杂的机器,其人员组成和业务组成较为复杂,一旦其组织结构出现问题,就会使得企业出现内部信息的阻塞和延迟,管理信息失真现象严重,而内控建设则注重岗位职责的明确,提升企业的管理效率。例如在某电信企业的人力资源业务内控建设中,通过建立SAP系统人力资源的模块以及绩效考核系统,保证企业的人工成本审评流程的规范化,同时保证人才配置的合理性,根据合同条款来进行办理工资、福利、保险等业务,内控建设显示出提升企业管理的作用。
2.3对财务体系的价值提升
电信企业在财务体系中进行内控建设有效完善了企业的资金管理和日常管理工作,并建立了先进的风险识别和评估体系,提高了企业对财务资金的管理能力。例如内控建设在市场前端承包业务流程中应用,对承包业务的范围和合同签订授权审批程序进行规范化,保证了相关费用支出能够及时在账面上反映,同时避免在承包业务中出现违反规定的现象,从而提升了企业财务体系的价值。再者在某电信企业的市场部门中开展内控建设,各个分级部门如销售部门以及客户服务部门都致力于核实工作信息的真实性和准确性,从而保证业务数据的真实可靠,同时与财务共享服务中心、企业信息部门以及移动终端管理系统进行密切的合作,旨在优化企业的财务体系工作流程,保证企业财务管理体系的运行安全性。
3.电力企业内控建设的实施策略
3.1成立完善的内控工作机构
内控建设的进行首先要成立完善的工作机构,全面协调电信企业内部工作。考虑到电信企业的内控建设的特殊性,其工作机构要完善要包括市场部、财务管理部门、企业信息部、网络运行部等部门的协调工作,以提高内控建设工作的工作效率,优化企业内控工作流程。再者内控工作机构要发挥其调控功能,明确不同部门的职责,调动部门的工作积极性。此外在内控建设各项工作启动之初,要强化工作人员对内控建设的理解,并结合电信企业的工作特点来优化工作流程,把内控建设管理和其他的工作管理协调起来,成立相应的领导组织机构,认真研究内部控制实施细则,明确工作内容。
3.2加强内控建设风险的控制
内控建设的目的是加强企业的资产控制、优化企业业务流程,提高电信企业价值,但是在内控建设中依然存在着较多的风险,因此加强内控建设风险控制至关重要。例如在企业采购业务流程的内控建设中,其集中采购包括:编制集中采购目录和计划、明确集中采购需求、确定采购方案、组织采购招标、谈判或询价、确定采购结果、审批及签订框架协议或采购合同、框架协议或采购合同的执行监督,同时采购也包含单向工程采购、零星固定资产采购、经营性支出采购等,其涉及的部门有财务管理部门、审计部门、资产管理部等,在内控建设中要重点防范管理风险,如采购活动未经审批、采购计划方案不科学影响项目进度等风险,避免在开展内控建设过程中造成经济损失。
3.3编制工作流程图
内控建设的开展要按照编制的工作流程开展,工作流程图明确了岗位职务和岗位职责,确保企业交易财务记录的准确性,因此对每一项的工作流程,要梳理流程任务,并保证流程图的全面性。同时根据流程的风险点进行流程图的调整,提高对风险的控制操作。在电信企业的内部结算流程编制中,对被叫付费业务的结算流程图编制,首先要编制结算数据的采集流程,通过FTP上传并保存数据到制定的目录下,只有授权人员才能访问数据,提高数据的安全性。再者是结算数据的处理,全国移动计费系统-国内结算子系统根据市场部门提供的800号码段与详单中记录的主叫区号匹配,辨认主叫省份和归属省份,同时验证原始数据记录的话费是否符合总部制定的费率。最后是办理款项结算和财务处理流程。
3.4内控建设的内部审计和外部审计
内控建设的内部审计和外部审计是必要的环节,内部审计是上级对下级实施,电信企业总部对下一季的企业进行内部审计调整,同时管理层对于工作进行测试,做到执行内部控制的人与做审计的人相对分开,以保证内部审计的客观性和有效性。外部审计工作则是要求电信企业聘用外部审计人员对企业进行审计,从而提高企业的财务安全性,这就要求企业的高层要公开透明财务报告,及时发现企业内控建设中的不足,杜绝财务风险的发生,从而实现企业控制环境、风险评估、控制工作、监督工作的优化进行。
内部控制信息化是企业内部控制工作的一项重要内容,为提高内部控制有效性、提高信息传播与沟通的速度和质量提供了技术支持。瞬息万变的竞争环境对企业管理提出了更高的要求,作为企业管理重要组成部分的内部控制,信息化建设势在必行。企业内部控制信息化是将信息化与内部控制有效结合,通过信息技术支持,优化管理流程,提高内部控制工作效率,有效防范企业运营风险,促进内部控制高效发挥作用,更好地保障企业目标实现。内部控制信息化要求来源于以下三个方面:
(一)内部控制框架本身的构架特点。COSO(2013)内部控制整合框架(以下简称新框架)扩展了财务报告标准,既包含财务报告,也包含非财务报告。信息化是整合财务数据和非财务数据的重要工具,可以增强内部控制报告的全面性和有效性。信息与沟通是内部控制五要素之一,新框架对它的定义是“企业管理层从内、外部获得或生成并且使用相关的有质量的信息来支持内部控制的正常运转,并假设数据交流具有安全性和准确性”。新框架下信息的沟通应遵循三项基本原则:一是组织获取、加工与使用高质量的信息,以支持内部控制发挥作用;二是组织在内部沟通信息(包括控制目标和职责范围)以支持内部控制发挥作用;三是组织与外部相关各方就影响内部控制发挥作用的信息进行沟通。信息就像是内部控制的神经系统,支持内部控制运行并有效发挥作用,对推进企业内部控制水平,促进其目标实现至关重要。而信息系统是企业获得并且使用信息的重要工具和载体。信息化和自动化带动了组织形式与经营模式质的变革,并将信息技术对内部控制的影响融入其中。
(二)追求高效的企业管理理念。随着信息技术大发展与企业工作效率的需求,我国大中型企业基本实现了办公自动化和信息化,企业越来越多使用财务管理信息系统、ERP系统等信息技术,处理大量交易和人工无法完成的复杂数据信息,工作效率大大提高。内部控制也不例外,内部控制环境、内部控制流程、内部控制测试、内部控制评价工作都与信息技术息息相关。内部控制流程以前全部是用纸质表格、人工签字审批,现在将部分内部控制流程嵌入信息系统进行流转,审批人随时可以进行办公;内部控制测试的方法有询问、观察、检查和再执行,以前就是测试人员到现场进行实地测试,翻看纸质资料,耗时、耗力、费用高,现在通过信息技术支持,测试人员可以远程对于嵌入信息系统的内部控制流程进行测试。也因为信息系统的使用,特别是随着“互联网+”、云计算、大数据、物联网等新的信息技术的涌现,使得内部控制不仅要对人进行控制,对于加强信息网络安全的内部控制也提出了更高要求。提高企业内部控制信息化水平,并融入企业全面信息管理成为一项重要课题。
(三)政府监管和内部控制有效性评价要求。政府监管方面,财政部等五部委联合颁布的《企业内部控制基本规范》指出,“企业应当运用信息技术加强内部控制,建立与经营管理相适应的信息系统,促进内部控制流程与信息系统的有机结合,实现对业务和事项的自动控制,减少或消除人为操纵因素。”《企业内部控制应用指引第18号——信息系统》进一步明确了促进企业有效实施内部控制,提高企业现代化管理水平,减少人为因素的主旨和各项具体内容。信息与沟通也是评价内部控制有效性的标准之一。财政部会同证监会、审计署、银监会、保监会制定的《企业内部控制评价指引》指出,企业组织开展信息与沟通评价,应当以内部信息传递、财务报告、信息系统等相关应用指引为依据,结合本企业的内部控制制度,对信息收集、处理和传递的及时性、反舞弊机制的健全性、财务报告的真实性、信息系统的安全性,以及利用信息系统实施内部控制的有效性等进行认定和评价。
二、企业内部控制信息化现状
(一)信息化工作现状。总体而言,中国石油集团信息化建设走在了大型企业的前列。但由于建设的目的、时间等因素影响,目前在用的各个系统相对独立。例如,由普联公司开发的FMIS7.0在集团公司财务系统全面应用,实现了集团公司层面会计一级集中核算,是独立的信息系统。人力资源系统(HR系统)在集团公司各单位成功应用,因上线日期早于ERP系统,目前未与ERP系统融合。另外,如合同管理系统、安全环保管理系统、物资管理系统等也是独立的。这是造成各个信息系统数据不能相互共享的现状。系统使用者对来源于其他信息系统的数据需要人工干预、整理后,手工再录入自己使用的系统中。
(二)内部控制信息化工作情况
1、内部控制信息系统。在内部控制信息化建设过程中,集团公司建立符合发展战略并与经营管理活动一体化的信息系统,为内部控制提供足够的信息资源和顺畅的沟通渠道,统一部署ERP系统作为主要支撑系统进行相关信息处理。
2、内部控制流程使用的信息系统。笔者所在单位是中国石油集团建设内部控制体系的第一批试点单位,体系建设于2007年启动,2010年1月1日起正式实施。经过6年多的运行,目前发展到以风险管理为主要内容,涵盖公司经营管理各领域,较为完善和有效运行的内部控制体系阶段。2015年底,公司以法律、经营、财务风险为控制点的流程逐步完善,涵盖财务管理、经营管理、物资管理、人力资源管理、合同管理、安全环保、技术质量、三重一大、工程项目管理等业务管理领域流程173个,关键控制点181个,60%以上的业务流程已通过信息系统进行流转。由于ERP系统主要包含财务、物流、人力资源等核心模块,但在满足企业内部控制要求的日常业务审批及专业管理方面功能不足。因此,公司目前应用EMIS办公自动化系统进行内部控制业务流程处理,以满足日常工作需要。如合同管理业务,从合同相对方评价,各类合同审核会签,合同签订,合同履行、变更与解除,合同结算,合同专用章管理到合同归档、统计分析,纠纷处理等流程都在EMIS办公自动化系统流转,过程中涉及到的表单资料扫描上传系统,相关岗位在流程各步骤的处理意见均可追溯查询。对于嵌入EMIS系统的这部分流程,内部控制测试可以实现远程操作,一般不必到现场进行测试。EMIS办公自动化系统尚未实现与ERP系统的对接。
3、内部控制测试使用的信息系统。中国石油内部控制测试系统使用的是ARCM3.X。在测试系统中,进行测试的内部控制流程通过操作员及主审、项目经理、测试管理员三级审核,完成从创建测试任务到出具测试结果的工作流程。系统管理员进行业务建模、自动创建测试任务,主审分配测试任务给测试员,被测试单位接受测试任务、测试员填写测试任务、提交测试结果,主审审核测试任务(主审审核不通过的测试任务,测试员需要重新填写测试状态)、将测试审核结果提交项目经理审核(主审审核通过并且测试状态是存在例外事项的测试任务,项目经理可以审核为“缺陷”和“非缺陷”),项目经理将审核结果提交测试管理员(主审审核通过的测试任务测试管理员可以审核为不通过,这样主审可以重新审核测试任务。项目经理审核完的测试任务,测试管理员审核为不通过,那么主审需要重新审核,项目经理也需要重新审核),完成以上步骤后,由项目经理进行缺陷评估、测试结果统计分析,测试管理员输出测试结果统计报表。以上测试任务填写及审核均支持在线和离线状态。通过内部控制测试管理模块,实现内控审计测试结果录入、审核、查询与统计分析。
三、企业内部控制信息化存在的问题
信息技术不仅是工具,更是企业经营管理的环境,和其他环境因素相互影响和适应,共同决定着公司的组织结构、管理模式与流程。回顾内部控制体系建设与运行历程,每一次进步都离不开信息技术的支持,也存在一些突出问题。
(一)企业对内部控制信息化重视程度不够。自2008年《企业内部控制基本规范》以来,即我国企业内部控制实施近8年来,也是信息技术迅猛发展的历史阶段。但很多企业对内部控制信息化重视程度不够,内部控制信息化程度不高,难以适应瞬息万变的内外部环境。
(二)已有的信息系统与内部控制相脱节,信息孤岛现象仍未消除。由于系统上线的时间不同,财务系统和业务系统、各业务系统之间都各自分离。企业目前在用的信息系统多样,已有的信息系统与内部控制相脱节,影响了信息的及时获取和传递,无法为内部控制建设提供有效支撑,使内部控制功能不能得到充分发挥。如财务管理信息系统、人力资源管理信息系统、办公自动化管理信息系统、ERP管理信息系统都未实现融合,信息“孤岛”现象仍然是一个大问题。使内部控制人员难以通过信息系统实时监控有关事件和内外部活动,无法对经济、行业因素和控制问题进行迅速响应,面对经营活动中存在的潜在风险反应迟缓,难以预先诊断经营风险状况。
(三)内部控制信息化程度有待提高。企业信息传递涉及方方面面,内部控制环境是内部控制有效性的土壤。目前,企业的内部控制环境需要借助信息技术更上一个台阶。部分重点业务流程未嵌入信息系统,使企业整体业务流程运行的流畅性受到影响。信息化覆盖面不全,内部控制的主要工作未实现信息化,仍依赖手工完成。内部控制测试和外部评估工作主要方式是现场测试、跟单测试、关键控制测试、电子表格测试,主要依靠人工,测试过程资料(包含跟单测试表的测试步骤及发现,离线表单的测试对象描述等)和结果均需手工整理后,二次录入ARCM3.X信息系统进行分析、查询与统计分析。
(四)信息化对内部控制工作提出新要求。信息技术的发展对企业面临的市场环境风险和企业内部控制工作产生更深影响,也给企业内部控制工作提出了新的要求。一是信息数据是企业的一项重要资产,内部控制需要满足保护信息资产的需求;二是互联网、云计算、大数据、信息系统融合,使得企业的网络从局域网到广域网,信息系统从单独分离到综合信息系统,一旦遭到人为或自然破坏,整个系统将陷入瘫痪,需要提高防范与信息系统有关风险的能力,加强信息系统安全内部控制工作;三是信息化使得内部控制人工干预减少,人的主观能动性减弱,对信息系统的灵活性、智能型要求提高。
四、企业内部控制信息化优化建议
(一)管理层重视,加大信息化投入力度。由于企业经营发展过程中面临的不确定性和风险日益增加,环境变化越趋复杂和快速。为建立实施符合现代社会发展的内部控制体系,首先企业高层必须重视信息化管理工作,加大信息化投入,从源头抓起,统筹安排,将企业内部控制体系驶入安全稳定的信息系统高速公路,将信息源源不断、安全高效地输送到组织运行的各个角落,用制度约束系统,以系统规范行为。
(二)加快推进以ERP系统为核心的信息化建设。内部控制要求获取的信息全面完整、质量高,不仅包括内外部财务报告信息,还包括非财务报告信息。完整和全面的数据对数据转为内部控制信息至关重要。在信息化管理工作方面,加快各业务系统融合是获取全面数据、管理提升的有效手段。加快推进以ERP系统为核心的信息化建设,建成统一的信息系统平台是集团公司既定的工作部署。实现ERP与其他系统融合,通过信息化建设提高公司管理创新,是公司对信息系统建设的总体要求。通过整合集团公司在用信息系统,统一操作平台,消除信息“孤岛”,实现业务集成和数据共享。利用综合信息平台为内部控制有效运行提供支撑,实时取数、数据共享、动态分析、预警功能,实现企业管理事前预测、事中控制、事后分析。
(三)通过内部控制信息化优化内部控制体系
1、通过加大信息化覆盖面,优化内部控制环境。集团公司利用综合信息平台和移动互联网,及时向全体员工传达企业各项信息,向客户、供应商等外部利益相关方传递相关信息,消除信息不对称带来的负面影响。中国石油内网主页包含公司信息、行业信息、办公平台。如企业文化栏目,公司年度报告、社会责任报告等;规章制度栏目,在用和失效的规章制度,实现制度管理信息化,方便员工及时查询,有章可循,工作合规。集团公司建立了公众微博、微信号,传递管理理念与企业文化,使员工可以随时随地访问、接收相关信息。在以往通过匿名举报、举报热线电话、邮箱等方式基础上,内部控制信息化增加信访和举报监督渠道,预防舞弊行为发生。把内部控制融入公司文化,变成全员、全过程的员工自觉行动。
2、利用信息系统固化内部控制流程,提高工作效率。信息在企业各层级传递的速度和质量影响内部控制有效性。如果依赖人工建立实施内部控制,不仅消耗大量的人力物力,还会造成效率低下,最终导致内部控制流于形式。因此,需要利用综合信息平台,实现各部门、各层级之间的业务流转、信息传递,提高信息传递速度和质量。内部控制主要通过流程进行控制活动,信息化本身的目的之一,就是促使企业将好的管理做法固化为信息化中的规则与流程。
公司目前主要工作:一是继续将剩余40%的流程和新增业务流程固化到信息系统;二是着力解决流程审批时限问题。为保证流程执行的及时性,集团公司了业务限时办结制度,各项流程审批时限,要求各环节签批的业务两天内完成。各部门也细化了业务办结时限。对于无法登录系统进行审批的,通过信息平台的授权功能实现岗位授权审批。
内部控制办公室(以下简称内控办)以内部控制流程为切入点,对信息传递过程的速度与质量进行分析,优化内部控制流程。通过梳理业务流程,不断完善内部控制体系职能分配及管理业务职责划分,进一步规范岗位职责,明确岗位授权,消除管理业务重叠、横向纵向职能不清晰、没有制度支撑、管理职能不落实等问题。每年梳理“各单位、各部门内控手册流程图及需要上报的报表资料清单”,使得各部门职责明确,流程清晰,减少公司管理的盲点。内部控制流程与信息系统的有机结合,实现了对业务和事项的自动控制,极大提高了信息传递速度和工作效率,减少控制成本、提高控制效率、减少或消除人为操纵因素,并为内部控制测试工作信息化奠定了基础。
3、内部控制测试工作信息化。内部控制测试是对内部控制体系设计有效性和执行有效性进行检查,分现场测试和非现场测试两种方式。公司现行的《内部控制体系管理办法》规定,“原则要求测试覆盖率不低于50%,重要流程覆盖率不低于70%,关键控制覆盖率要达到90%”。通过信息系统流转的业务流程,实施证据表单都已扫描上传系统,对于这类流程的测试,内控办主要通过信息系统随时随地进行非现场测试,有效化解了人手不足的问题,又满足了测试覆盖率,对提高内部控制有效性起到了积极的推动作用。
(四)注重信息安全控制。信息系统自身也存在风险,需要加强执行过程管理和内部控制测试。集团公司内部控制测试内容包括公司层面控制测试、业务活动层面控制测试(含跟单测试和关键控制测试)和信息系统层面控制测试三部分。信息系统安全控制包含访问控制、数据资源控制、系统软硬件控制、网络安全控制等方面。具体包括控制环境、信息安全、项目建设管理、系统变更管理、信息系统日常运作、最终用户操作等。
信息系统控制测试含信息系统总体控制和信息系统应用控制。信息系统总体控制GCC指的是内部控制中对信息系统相关部分的控制,保证由信息系统支持的流程控制是可靠的、生成的数据和报告是可信的。集团公司根据COSO要素、COBIT等国内外通用的信息系统审计标准,制定并信息系统总体控制规范,包含实施规范和测试规范。实施规范要求将信息系统控制的执行最终落实在各岗位人员具体操作上,并在执行过程中保留完整的证据链,保证信息系统总体控制执行的规范化。测试规范要求有配套的测试监督方法和定期检查机制,保证信息系统控制执行的有效性,形成一个执行——检查——整改的良性循环。集团公司范围内信息系统的日常管理和信息运营维护工作参照此标准进行。信息系统应用控制方面,关注企业业务管理流程及专业管理流程中影响财务数据的交易处理环节或系统处理环节的控制,已有的控制设计涉及ERP、FMIS等管理系统。对于新上线的信息系统及原信息系统的功能变更均会导致应用控制变化,且各个系统所处理的业务流程以及实现方式的不同,应用控制再根据不同的系统逐个识别。
五、启示
(一)加强内部控制信息化顶层设计,注重内部控制信息化工作的持续性和推动力。几乎所有的集团和单位都不同程度存在信息系统重复建设的问题,造成资源和成本浪费。对于新建公司和准备实施此项工作的企业,应加以借鉴。企业应该制定与战略决策相适应的信息技术长期规划,统筹安排,分步实施。既满足公司发展的需要,又降低成本。通过综合信息平台实现业务集成和数据共享,提升内部控制有效性。同时,内部控制信息化工作是一项长期工作,需要注重内部控制信息化工作的持续性和推动力,为企业持续健康稳健发展提供保障。
(二)信息化不是万能的,制度是根本,职业判断不能忽视。没有信息化是万万不能的,但信息化也不是万能的。对于内部控制工作而言,企业的制度是根本,首先应建立完善适合企业经营情况的制度。内部控制是以人为主体,实施内控的是人,监督检查的主体是人。业务流程运行与实际出现差异时,应及时分析解决和持续优化,必要时按规定做出合理变更;遇有紧急、临时、突发等特殊情况,业务流程中未明确具体程序时,应由业务主管领导酌情相机处置,并做好记录,而不是一味僵化执行。
关键词:高校;内部控制;流程建设;制度完善
一、内部控制体系建设的背景
1.外部监管要求。2012年,财政部了《行政事业单位内部控制规范(试行)》,对提高行政事业单位内部管理水平,规范内部控制,加强廉政风险防控机制建设提出了要求,在此基础上要求单位建立健全内部管理制度。2014年,北京市财政局出台了《关于北京市贯彻〈行政事业单位内部控制规范(试行)〉的实施意见》,进一步明确了实施内控规范的意义、工作原则、工作目标、实施的工作步骤等。北京市教委转发了上述文件,并提出了强化领导责任、完善工作机制、加强宣传培训、健全管理制度、重视评价结果应用的具体要求。2016年,财政部出台了《关于开展行政事业单位内部控制基础性评价工作的通知》,北京市教委根据财政部通知精神,要求各高校结合本单位特点和业务性质,研究制定切实可行的内部控制基础性评价工作实施方案,确保在规定时间顺利完成内部控制建设与实施工作。
2.内部管理要求。学校内涵式发展以及大学章程的制定与实施,迫切需要通过内部控制体系的构建,完善内部管理的职责及权责关系,通过制定完善相关制度、关键业务流程的梳理、风险与关键控制分析、监督机制的设计,对经济活动进行防范和管控,以实现“优化内部控制环境,完善内部控制流程制度,初步建立内部控制监督评价体系”的目标,改善教学综合管理的效率和效果,保证经济活动合法合规,保证资产安全,保证财务信息真实完整,有效防范舞弊风险,提高学校综合管理水平。
二、北京某高校内部控制建设现状
1.对完善内部控制建设的重要性、紧迫性认识不足。当前,随着学校规模的不断扩大,该校内部的相关业务也日趋复杂化和多样化,尤其财务管理方面,随着收入、支出等纳入学校预算管理,对于预算的内部控制并未能及时跟进并有效开展。主要体现在还停留在上传下达、按规定执行即为实现预算的良好内控的认识上,实际上则体现出对高校内控建设意识的淡薄,以及理解不够全面、到位。
2.内部控制建设基础薄弱,治理结构存在问题。当前,该高校治理结构存在政府主导现象严重、行政力量强势等问题。在目前该学校内部控制体系中,经济责任制尚未真正落实,同时缺乏总会计师制度的推行,无法真正实现责任落地。此外,该校内部控制建设中的人员配置也存在诸如配置不足或配置效率低下等不合理情况,内部控制有效性受到影响。
3.内部控制监督机制欠缺。当前,该学校内部控制监督部门主要由纪委、内部审计部门等组成,但其监督效果仍有不足,在学校的行政管理架构中缺乏应有的关注。此外,审计等具有重点监督职能的部门较薄弱,造成内部控制的监督职能不能最大限度地发挥作用。
三、推进内部控制体系建设的具体措施
结合当前该学校内部控制建设的特点以及我国内部控制制度特征可以发现,其内部控制制度的框架假设和体系设计仍存不足,系统性和针对性有待进一步加强。为切实做好内部控制建设工作,该学校基于内部控制现状成立了内部控制建设领导小组,形成以校长统一领导、财务处牵头组织、各业务部门积极参与的工作机制,内控项目组按照“现场试点、梳理规范、责任落地”的总体思路,逐步推进学校内部控制体系的构建。
1.现场试点。内控项目组主要通过原有制度审阅、中层以及业务管理人员访谈、业务研讨等工作方法,具体进行了内控流程梳理、风险控制分析、权责指引梳理、缺陷整改指导和制度手册梳理。通过现场分析,涵盖了学校全部管理活动(党组除外)的内控建设试点。
2.流程规范及管控。主要从两个层面进行梳理:一是成果完整性规范:主要从内控管理组织、内控流程及制度框架、流程图、风险控制矩阵、权责指引、穿行测试记录等阶段成果是否完整、成果编制是否规范等统一角度进行规范;二是学校管控规范:从学校层面分析,主要管理活动和关键业务的管控风险是否充分识别、管控措施是否到位、管控职责是否明确、是否放在了合适的层级,关键控制机制的管理标准和要求是否明确。这项工作主要由咨询顾问先进行整体梳理和复核,然后再由学校各处室组织召开本部门相关成果手册的研讨会,在研讨会中,对该管理活动上的管控要求进行复核、明确。
内部控制作为企业管理活动中的一种自我调整和制约的手段,从其形成至完善,大体经历了内部牵制的采用制约机制的建立控制体系的形成三个阶段。企业内部会计控制是企业为保证经营业务活动的有序进行而制定和实施的会计政策和程序,它的主要作用是确保资产的安全完整和会计信息的真实准确,以及确保国家有关法律法规和企业内部各项规章制度的贯彻执行,约束企业内部涉及会计工作的各项经济业务活动及相关岗位,它由于管理目的与企业价值最大化目标保持高度一致而成为企业内控体系的核心组成部分。
二、业务流程管理
BusinessProcessManagementfBPM),即业务流程管理,是一套达成企业各种业务环节整合的全面管理模式。BPM涵盖了人员、设备、桌面应用系统、企业级Backoffice应用等内容的优化组合,从而实现跨应用、跨部门、跨合作伙伴与客户的企业运作。BPM通常以INemet方式实现信息传递、数据同步、业务监控和企业业务流程的持续升级优化。显而易见,BPM不但涵盖了传统“工作流”的流程传递、流程监控的范畴,而且突破了传统“工作流”技术的瓶颈。BPM的推出,是工作流技术和企业管理理念的一次划时代飞跃。
三、内部控制与业务流程管理的关系
(一)内部控制和业务流程重组的关系
业务流程是企业运营中的重要部分,关系到企业战略的制定与改变,企业管理通过流程运作实现经营战略,同时,经营战略和战略目标的调整需要业务流程的配合。业务流程重组工作必将涉及分工、流程设计和信息技术三个方面,而内部控制始终贯穿这三个方面,使业务流程重组和内部控制紧密地联系起来,从而有利于增强企业的核心竞争力,增强企业抵御风险的能力。
1.分工方面。为使业务流程合理运作,一项业务流程的启动,必须有专人审批;为了维护企业资产的安全完整,必须安排专人保管资产;为保证财务信息的真实性,也必须安排专人对信息实施某种程度的控制。这样分工很显然是为了有效地实现牵制,保护资产安全,保证企业健康发展。而内部控制对企业分工有明确规定,能实现分工的合理性,保证流程有效运作。
2.流程设计方面。业务流程重组是对工作先后顺序的重新安排。事实上,工作的不断重复形成一个业务循环,内部控制制度一般根据业务循环进行设置,对各个业务循环节点之间资源的转移进行相应的控制,也就是各项作业要遵循相应的内部控制规则。保证资源的安全完整是内部控制的目的,业务流程中引人内部控制才能更好地实现资源的优化配置,增强企业的竞争力,控制企业风险。
3.信息技术方面。IT技术的应用对企业业务流程以及内部控制的影响都是革命性的,致使企业内部控制的组织方式转为扁平化、网络化、民主化,同时转变为以流程为导向,它与以往以职能为导向完全不同。COSO报告指出,内部控制的构成要素之一是信息和沟通。内部控制运用信息技术,将所要涉及的各个业务循环工作流的方式认定,使得业务循环运作的效率大大提高,然后将整个业务循环以工作流的形式分解成各项活动,将工作流的各个子节点的活动以一定的形式记录下来,进行事后监督,保持企业运作的合法性,促使业务流程重组的合理运作。
综上所述,内部控制在分工、流程设计和信息技术等方面发挥着巨大的作用,使得其与业务流程重组工作的关系非常密切。企业在进行业务流程重组时,必须考虑内部控制制度,而内部控制制度的设计也应该从业务流程出发,分析业务流程中的各种潜在风险,制定出相应的措施,从而实现共同防范企业风险的目的。
(二)内部控制与流程风险
流程风险是企业风险的一部分,而内部控制则是企业风险管理的基本保证、内部控制体系为达到控制企业风险、实现经营目标这一目的,首先必须分析流程中的各种潜在风险。根据安达信企业风险模型,企业流程风险主要包括以下五个:
1.营运风险。营运风险不易控制,因为它更多地涉及人为因素,不确定性较大。比如:客户满意度问题,一旦客户服务做得不到位,就容易造成营业额下降;产品开发问题,若新产品无法被市场接受,对企业营运将产生很大影响等。营运风险还包括企业效率、运作水平、业务中断、商品定价合理性等其他方面,涉及企业内外部多种因素。
2.财务风险。财务风险是指资金运动过程中的风险,如货币汇率波印⒗率波动都会影响企业的业绩,变现能力差、资金回笼速度慢都可能使企业陷人财务危机。企业资金在国际市场上运作,很可能由于不同市场的结算时间不同而给企业的现金流量带来影响,一项高投资项目结束后是否还能获得带来相同回报的投资机会以及客户信用,都会对企业业务流程的顺利运作产生影响。
3.授权风险。授权风险涉及管理职权的分配,如管理职权的范围及限制,也涉及管理者能力的展现,包括其领导能力、对工作的热情度以及与员工的内部合作关系等。
4.信息技术风险。信息技术风险是流程中运用r技术所引起的风险。企业相关信息的使用权限设置得不够合理,会造成机密泄漏,企业中多个实体使用的系统不同,又会造成企业的数据不具整合性,给管理带来困难。信息技术风险也是业务流程重组中必须重视的风险。
5.廉正风险。廉正风险是现T业中越来越突出的问题,包括四个方面的内容:①管理欺诈,指管理层在财务报表中作假蒙骗企业领导和投资者;②雇员欺诈,指雇员私自娜用企业资产造成企业重大损失;③非法行为,指管理人员或员工擅自以企业名义做出违法行为使企业蒙受损失;④无授权使用,即员工未经授权,为其他目的使用企业资产。廉正风险在企业业务流程重组中不容忽视。
(三)基于防范流程风险的内部控制体系设计
新思路健全的内部控制体系能够合理地防范流程风险。国内一些企业尽管已建立了整套的内部控制机制,但由于认识上存有误区、发展滞后等因素的影响,现有内部控制机制在防范流程风险方面还存在一些缺陷,影响了流程风险管理框架和手段作用的发挥。在现代企业制度下,以保护资产和查错为内容的内部控制显然不能满足需要,内部控制体系必须适应企业经营理念,紧跟流程变革和业务创新,强化制度的自我修正功能,以达到促进企业贯彻经营方针以及提高经营效率的目标,这也是公司治理结构对内部控制提出的要求。
四、加强企业内部控制的建议
(一)提高认识
领导重视是发挥内部会计控制作用的前提。企业单位负责人要深刻认识到实施内部控制不仅是会计管理部门的要求,而且也是规范经营、降低企业风险、提高管理效益以保证企业目标顺利实现的重要举措,必须亲自挂帅组织本单位内部会计控制的建设。要建立内部会计控制管理领导责任制,将企业内部控制管理的好坏与主要领导的政绩业绩考核结合起来,层层负责,将内部控制管理工作落到实处。
(二)深化产权制度改革
内部控制能否真正成为管理者的内在需求,是企业内部控制制度会否流于形式的关键。而要使内部控制成为企业的内在需求,主要取决于企业是否通过提供真实的会计信息取信于社会。但是目前许多企业尚未做到。因此,只有通过产权制度改革,建立现代企业制度,使企业领导人和企业兴衰息息相关,企业领导者才有动力去实施内部控制制度,企业内部控制制度才会真正发挥其应有的作用。
(三)明确控制目标
内部控制制度重点是围绕会计核算和会计监督环节来设置的。一般说来,健全的内部控制制度应能有效预防错误和舞弊的发生。即使发生了,也容易及时发觉和纠正。因此,在设计时必须明确控制目标,充分考虑各项内部控制制度是否符合内部控制基本原则,认真检查关键控制点是否进行了控制,所有的控制目标是否已达到。
(四)完善内部控制环境
控制环境是指对建立或实施某项政策发生影响的各种因素,主要反映单位管理者和其他人员对控制的态度、认识和行动。企业内部控制应当建立在共同的道德规范的基础上,强调沟通和感情的交流,消除管理者和被管理者之间的隔膜,强调每一个人的积极性,形成真正意义上的团队精神。只有当企业凝聚起来一种文化氛围、企业价值观、企业精神、经营境界和广大员工所认同的道德规范和行为方式,才能为内部控制程序的绦写丛炝己玫娜宋幕肪常也只有企业中的每一个员工目标明确,观念相同,内部控制才能更有效。
内部控制体系的建设是以控制环境、风险评估、控制活动、信息与沟通、内部监控五大要素为核心,并结合企业的规章制度体系、全面风险管理体系、会计控制管理体系等全面开展。
1.控制环境控制环境在内部控制体系五大要素中处于关键地位,是其它要素推进落实的重要参考依据,主要包括治理机构、机构设置、权责分配、内部审计、人力资源政策、企业文化、法制建设、科研生产管理评估、维稳、反腐倡廉及社会责任。其呈现的特点包括:具有明确的组织结构、规范的部门职责和工作权限、有效的决策程序、可持续发展的人力资源政策、不断完善的规章制度体系,通过逐渐加强法制教育,倡导领跑文化,促进航天物资与科研生产的有机结合,确保物资及时供应。
2.风险评估风险评估是通过收集评估主体的内外部环境信息,识别评估期内影响评估主体战略或经营目标实现的风险,分析风险的原因、影响和相互关系并对风险进行评价的过程,主要包括风险识别、风险分析、风险评价、应对措施等环节,是对风险的全过程管理。风险评估以确保型号物资供应、质量保证和任务交付为主线,以风险管理为导向,梳理主营业务流程,查找经营和科研生产过程中的风险点,评估风险的影响程度,形成风险管理信息库,进而做好风险评估。实施风险评估是建立控制活动的关键环节。
3.控制活动控制活动是内部控制体系的主要组成部分,其根据企业风险评估的结果,通过对经营和科研生产管理各方面采取有针对性的控制措施,将风险控制在可承受范围内。控制活动开展前需要先明确控制范围,其覆盖企业经营管理和科研生产的各个方面。物流中心的重点业务有物资采购、质量管理、资金管理、销售业务、信息化管理、能力建设、人力资源管理等;特殊业务包含供应商管理、价格管理、库存管理、大宗物资采购、安全保卫保密。所以,物流中心主要通过采取以下几种措施开展控制活动:一是不相容岗位分离。准确识别各业务流程中的不相容岗位,如避免财务岗位与审计岗位的交叉,采购岗位与计划岗位的交叉等,采取有效合理的分立措施实现岗位分离,保证各岗位人员相互制约,避免权力过于集中。二是授权审批管理。结合“三重一大”的决策管控要求,坚持集体决策、科学决策、民主决策、依法决策和分级决策,提高决策水平,防范决策风险,促进领导人员廉洁从业,进而推动物流中心的科学发展。三是制定全面预算管理制度,加强战略引导和统筹策划,利用预算管理对内部经营活动和各种资源进行合理的预测、统筹、调配、管控、分析与考核。四是制定全面风险管控制度,将全面风险管理融入到经营管理和业务流程中,以有效管控战略、财务、市场、运营、法律、型号等六大类风险,加强风险信息管理,增强核心竞争力,确保战略规划和目标的实现。五是建立绩效考核体系,科学合理地设定各项考核指标,对各部门和各岗位人员的工作业绩进行季度/年度考核,合理利用考核结果,并将考核结果作为划分薪酬等级、调整工资等级、培养培训员工、调整变动岗位和升降职务的重要参考依据。
4.信息与沟通信息与沟通是物流中心应对情况改变、保证控制有效的“神经系统”,贯穿于内部控制的全过程,其包括信息收集、信息传递与沟通、信息集成与共享、反舞弊机制、举报投诉机制、信息系统管理等方面。在全面梳理内部环节间信息的同时,还可以加强对客户和供应商等外部机构相关信息的收集、处理和传递。充分利用信息化手段,通过信息系统实现主营业务的全流程管控,并将各类风险管控措施落实到信息系统中,以达到流程信息化的目标。
5.内部监控内部监控是通过监督检查航天物流企业的内部控制体系建设与运营状况,客观评价体系建设是否健全完整、合理有效,发现体系建设的不足与缺陷尽快改进完善的过程。内部监控位于内部控制体系顶端的重要位置,是内部控制体系的特殊构成要素,也是对其它内部控制要素的再控制。物流中心的内部监控以自评价为主,辅以集团内上级单位的检查评估。
二、体系实施及应用效果
1.以规章制度建设提升管理效能物流中心通过建设内部控制体系进一步梳理了各项经营管理制度,主要包括型号物资供应商准入、控制与评价管理办法、型号物资服务外包供方管理办法、型号进口物资中间商管理办法、电子元器件选用目录管理办法、物资采购价格管理办法、型号关键项物资风险管理办法、物资基础数据动态维护管理办法等,结合发展战略和物资管理现状,做好顶层设计和系统配套工作,研究管理中存在的问题,理顺关系、制定措施、优化流程,进而建立科学、高效的物资管理体系。
2.以信息化建设优化业务流程通过进一步推广物资管理信息系统,使物资基础数据的使用范围延伸到了设计、生产环节,实现了资源共享,规范性与准确性得到了提升,实现了需求有效协同及跨组织的需求闭环管理。推动了设计、生产单位在研究院物资信息化总体框架下的物资系统建设,多个单位物资系统完成开发并上线运行,并通过了航天科技集团物资信息化验收,全院物资信息化建设取得显著成效。
3.强化供应商管理物流中心切实从质量、价格、供应能力、技术及研发、服务等方面对供应商进行综合评价,并根据评价结果对不同供应商采取深度合作、维持现状、培育替代供方等不同策略,同时通过采用供应商管理系统进行数据采集、分析、汇总和上报,大大提高了数据的准确性和客观性,使数据信息传递更为通畅,大幅提高了工作效率,并逐步拓宽物资采购渠道,提高了供应保障能力,最终建立了稳定可靠、长期互惠合作的供应商资源。
本文通过研究分析流程管理的优势,结合ABC公司财务风险管控现状,对重新构建财务风险控制体系设计思路进行了研究,提出了构建以流程管理为核心的风险控制标准体系。该体系围绕关键业务流程和关键环节流程对公司重要财务风险进行制度梳理、风险识别,并遵循 COSO内部控制五要素要求,对内部环境、风险评估、控制活动、信息与沟通及内部监督采取了一系列具体的流程管理优化措施,合理降低了企业财务风险,并在此基础上进一步强化了流程管理持续优化的原则与重要性。通过实施以流程管理为核心的财务风险管控体系,全面提升ABC公司的风险管理水平,促使企业健康平稳发展。
【关键字】流程管理;财务风险控制;风险评估
一、流程管理与财务风险控制的特点及关系
所谓流程,是指业务活动和管理活动过程中的实体性规定和程序性规定,流程具有目标性、相关性、动态性、层次性和结构性等特点。流程管理,是一种以规范化的构造端到端的卓越业务流程为中心,以持续的提高组织业务绩效为目的的系统化方法。流程管理通过流程建立、流程实施、流程评估、流程改进和流程再造等不同行为来实现,是一个不断循环和动态变化的管理方式。企业一般按照业务性质进行职能部门的划分,按照部门职责组织企业经营行为,但所有的经营行为均需通过既定的流程框架来实现,通过流程管理让管理行为高效、规范的达到目标。
财务风险控制,是指在财务管理过程中,利用有关信息和特定手段,对企业财务活动施加影响或调解,以便实现计划所规定的财务目标,回避风险的发生。财务风险控制的滞后、缺失往往给企业造成不可估量的损失。科学的财务风险管控体系是企业健康持续发展的重要保障。
流程管理是财务风险控制体系的主要脉络构成,是连接财务风险控制端点的主要载体,是网罗各经营风险节点的重要平台。流程管理是财务风险控制体系运转的重要的系统化方法。具体来讲,就是根据业务管理关系,制定业务指导原则,通过建立科学系统的流程,规范企业经营行为,达到控制财务风险的作用。
二、ABC公司财务风险控制问题评析
ABC公司是一家以投资物业为核心业务的国有企业,主要负责近30万平方米商业物业的租赁与日常运营。公司管理的经销商近500家,商户性质较为复杂,涉及业务内容从经销商管理、活动宣传到车辆出入库、新车交易、二手车评估、过户、验车、置换等,流程节点繁杂,且涉及到除商户、公司各部门以外的工商、税务、交管局及媒体等多个部门的交叉业务环节,管理难度较大,容易出现控制薄弱或空白的情况,从而产生管控风险。通过全面梳理公司财务管控体系,主要存在以下几个方面的问题:
1.公司现有制度虽然较为全面,但缺乏对关键风险的重点控制与管理
ABC公司拟定的相关财务风险管控制度包含核算、分析、预算、档案管理等诸多内容,但从实际操作效果来看,制度建设虽然数量居多、但重点不突出,不成体系,忽略了对关键节点的控制,财务风险控制工作效率和质量难以保证。
2.公司对财务风险的识别和预警力度不够,对风险的过程控制关注不够
公司现有制度体系是成立近20年来逐步形成的,除日常业务以外,其他大部分制度均是由于发现问题或总结其他企业经验之后进行的补充完善,在实际操作中往往表现为被动接受风险,而无法体现事前和事中控制的理念。
3.信息系统缺乏统一规划,造成风险管控的瓶颈或断层
目前,公司建立大大小小的信息系统分别归属于各部门,且开发平台各异,数据口径各异。系统推进过程中仅考虑部门自身业务的信息需求,缺乏跨部门之间的系统交流,无法形成统一的标准化信息数据,甚至出现部分信息系统的缺失以及部门“信息孤岛”的形成。信息系统无法高效发挥作用,财务信息及时性和准确性难以保证,对公司经营和管理带来潜在的财务风险。
4.激励与约束机制缺失,职能部门及员工管控风险主动性和积极性有待提高
公司在日常管理中更多关注上级集团公司下达的经营目标总体完成情况,缺乏对内部管理尤其是风险管控的系统考核机制,由此员工的关注重点有时与企业风险控制实际需要发生偏离,从而降低了财务风险识别与防范的及时性。
三、ABC公司以流程管理为中心的财务风险控制体系构建思路
通过前述对公司财务风险控制体系存在问题的全面梳理,结合公司业务和管理现状,我们拟借助流程管理的优势,围绕公司核心业务,搭建公司财务风险控制体系。在ABC公司财务风险控制体系的总体框架设计上,严格遵循COSO内部控制五要素要求搭建:即内部环境、风险评估、控制活动、信息与沟通及内部监控等。在体系实施过程中,围绕“一个中心、两条主线”的原则展开,即以流程管控为中心,以关键业务流程和关键环节流程为主线。
1.全面梳理财务制度
按照公司财务职能,从资金管理、预算管理、财务核算、财务分析、税收管理等业务板块,对现有制度进行重新梳理,将企业经营活动涉及的所有业务过程与关键环节显性化,重新界定每个制度制定的目标、范围对于存在重合的部分内容重新划分,对于缺失的内容进行补充。通过制度梳理,全面了解风险的来源,为后期识别风险,制定科学流程管理体系夯实基础。
2.识别关键业务流程与关键环节流程的财务风险
由公司相关业务部门与财务部门配合,根据部门职责细化内容,全面细致识别关键业务与关键环节存在的风险点。只有准确高效定位关键业务、关键环节流程中存在的财务控制风险点,才能为后面最大限度的降低和合理控制风险提供线索。
3.组织推进流程设计
在财务风险管控中,如果说制度梳理和风险识别是基础,那么,流程设计就是实现风险控制的保障。流程设计的合理性将直接影响到风险管控的质量。在流程设计中要重点关注两个方面:一是在流程设计上要体现管控要求,即对流程运行过程中隐藏的风险进行识别与判断,设计专门环节来防范或降低风险;二是在流程设计上要体现流程运转的过程控制,即业务流程在运行过程中,需要留下关键点痕迹以控制风险,这种痕迹必须在流程设计上体现。
(1)内部环境
ABC公司作为国内知名的汽车交易有形市场,经营项目内容增多,业务交叉节点增多,而在确保企业经营效益稳步提升的前提下,人工成本增幅是既定的,这就要求我们在既定的组织架构与人员设置条件下,进一步优化内部环境,提高管理效益。
针对原来粗放式分解经营目标存在的潜在控制风险,我们拟成立全面预算管理工作领导小组,该小组由总经理办公会成员及相关职能部室负责人组成,由财务部主控,详细分解收入成本费用预算及资产购置控制目标,细化控制流程,明确流程节点控制责任人,切实降低盲目经营或低效经营带来的财务风险。拟成立员工考核管理工作领导小组,该小组由总经理办公会成员、党总支、行政办公室、人力资源部、财务部组成,从员工工作业绩、业务技能、风险控制三个方面对员工进行管理考核。。
(2)风险评估
财务部作为 ABC企业的财务风险评估主控部门,拟从定性控制流程和定量控制流程两个路径进行风险评估。定性主要通过《各部门风险点与防控措施自查明示表》、《各部门“小金库”自查明示表》等从各主要部门、关键岗位、关键业务环节,进行每季度的拉网式自查。各相关岗位负责人及主管领导分别对自查内容签字确认,并将签字确认后的自查结果于企业公示栏进行一周的公示,接受ABC公司所有员工及经销商的监督。其间,财务部组织专门人员对自查结果进行抽查复核。如对公示结果存在有异议的反映,或财务部复核出自查结果与实际情况有出入,财务部将书面上报考核管理领导小组,责成定期整改,并对整改进度与效果进行有效控制。
定量主要是结合定性控制结果与预算完成控制结果,将各部门的经营指标预算完成情况与风险控制情况汇总,与相应的预算目标、控制目标进行对比,并按照既定权重进行量化分析,形成各部门的评估报告。员工考核管理工作小组将结合评估报告与员工工作技能等进行量化考核,同时根据每季度考核结果对员工进行年终的绩效考核激励。
(3)控制活动
ABC公司作为全国最大的汽车交易有形市场,其租金收入是营业收入的重要组成部分。对租金收入的管理是财务风险控制的重要内容,而对应收账款的精细化管理尤为重要。针对ABC公司经销商类型多,数量大,应收账款情况复杂的情况,拟出台《应收账款预警流程管理细则》,以“数据准确、预警及时”为原则,将应收账款按照量化标准,分为四级预警等级,并对具体预警等级中各责任部室、责任岗位应采取的措施进行明确的流程规范,对各类拖欠租金现象做到早发现、早预警、早沟通、早处置,将欠租风险降到最低,为企业营业收入“颗粒归仓”提供切实可行的保障。
为进一步降低企业人工成本,增加企业经营效益,ABC公司对保安人员与保洁人员采取外包方式进行管理。ABC公司拟建立完善《招投标流程细则》,对保安公司与保洁公司的整个招投标流程进行规范管理.保洁、保安公司合同必须每年一签,年末接受公司的综合考核评价。企业根据考核结果决定是否续约或更换保洁、保安公司。
(4)信息与沟通
目前运行的《车辆出入库管理系统》、《品牌管理系统》、《租赁合同管理系统》、《经销商信息系统》等数据管理平台各异、口径偏差大、数据合并难度大、信息重复或缺失等现象严重。为彻底改变这种低效管理带来的数据失真、防控滞后等财务风险,拟由专业的软件开发公司在细致调研所有经营业务流程的基础上,以“防控财务风险,实现信息传递流程规范化、精准化”为准绳,为ABC公司量身打造专业的《经销商与车辆管理系统》。该系统整合涉及经销商管理与车辆管理的所有信息化管理需求,并实现与财务报表相关数据的无缝对接,有效控制潜在的“跑、冒、滴、漏”现象,确保每一项业务流程有条不紊,每一个业务交叉节点管理清晰流畅,从而带动整个企业运行节奏高效有序。
(5)内部监控
ABC公司目前在内部监控方面更多依靠部门与部门之间的相互监督控制为主,缺乏内部监督的专业性和主动性。为全面提升ABC公司内部控制水平,在公司目前不具备设立内部审计部门的情况下,我们拟建立以总经理办公会成员、纪检办公室、财务部为成员的内控监督小组。由该小组对公司整体的风险控制状况进行定期与不定期相结合的监督检查。同时,结合外部第三方独立审计和上级集团公司定期内控审计查找出来的问题,加强对公司相关内控方面存在问题的整改推进,确保公司内部控制的有效性,合理控制公司财务风险。
4.加强流程管控的持续优化
流程管控是一个持续发展的过程。内外部环境、经营业务、管理层经营思路以及人员的变化,均会对既定的流程体系产生影响。因此,我们在流程管控过程中,要充分关注流程管理的动态性,及时应对经营变化带来的风险转移。
在加强流程管控的持续优化方面要围绕两个原则开展:一是定期加强业务与流程的梳理,对于发展期企业梳理频度大,而对于成熟企业可以适度延长;二是要重视流程再造的过程,即通过对新产生风险或业务变化带来风险应对而产生的流程设计,或者对原有流程的整体重构。
在公司财务风险控制体系的搭建上,要严格以流程管理为中心,通过流程管理实现控制目标风险的目的。但在流程管理过程中要充分体现成本效益的原则,过于追求风险管控的万无一失,有时候会适得其反。本文所阐述的流程管理为中心并非所有的业务均需要流程建立、实施及再造等过程,要针对识别出来的关键业务和风险,确定对关键节点的控制,保持流程管控的适度性,合理控制风险。
参考文献:
[1]张治先.现代企业内部控制理念的五大转变.财务与会计,2012(08)
[2]池国华.基于管理视角的企业内部控制评价系统模式.会计研究,2010(10)
[3]董月超.从COSO框架报告看内部控制与风险管理的异同.审计研究,2009(4)
[4]孙光国等. 内部控制的有效性与效率:比较与启示.财务与会计,2013(12)
【关键词】 合同管理; 内部控制; 过程导向
一、引言
在市场经济环境下,合同已成为企业最常见的契约形式(刘玉廷,2010)。而在国际市场上,国际工程承包公司通过履行合同参与国际业务,所有的权利义务均由合同条款确定,项目的成功与否与合同签订及履行情况息息相关。目前全球经济持续性低迷,对我国国际工程承包企业形成了巨大冲击,利润空间不断缩小。通过合同内部控制管理项目风险并获取合理合法的项目经济预期,已成为目前国际工程承包企业的内生性需求。
2010年五部委共同制定并颁布了《合同内部控制应用指引》,该项指引以过程控制为导向,因此合同内部控制(以下简称“合同内控”)贯穿于合同调查、签订、履行、后评价的全过程,为企业建设、完善合同内控制度提供了理论依据。
本文拟以合同内控应用指引为理论框架,对国际工程承包企业的合同内控制度建设进行研究,其目标是通过全过程化的合同内控,针对国际工程承包企业的合同管理特殊需要,对其合同行为予以管理。
二、国际工程承包合同的管理特点
(一)合同管理的复杂性
国际工程项目合同随项目参与各方特性各异,专业性强,文件众多且内容涵盖广泛,合同管理作为一个管理各个项目参与方的接口,需要控制的风险点较多且情况复杂,因而合同内控的难度显而易见。
(二)合同管理的重要性
在国际工程承包业务中,合同是协调管理项目各参与方行为的强制性契约准绳,是指导设计、施工、安装调试、运营维修等项目各个环节工作的“圣经”,也是项目后期进行索赔管理的重要依据。因此,国际工程项目合同管理是整个项目管理的核心,是组织项目实施、把控项目质量、控制项目风险的重要手段。
(三)合同管理的持续性
国际工程合同期限少则一两年,长则二十至三十年(如BOT项目),在此期间,合同管理贯穿始终,而且在合同管理时,还要从整体长期角度全面考虑国际工程项目实施中可能出现的各种因素,尤其要对项目风险进行充分的调查分析和预估。
(四)合同管理的严密性
国际工程承包业务作为一个多方参与的业务流价值增值链,项目风险随着业务链条的增长不断复杂化和多样化,作为整合业务流程和价值增值的工程总承包,需要将项目风险在各项目参与方之间进行合理有效的分担、传递、转移和承受,由此必须要通过合同管理的方式,以合同条款对各方承担的风险予以约定,以合同定价对承担风险的合同方要求或给予相应的经济补偿。
三、国际工程承包公司合同内部控制环境分析
(一)工程承包公司合同内控的组织安排
合同内控的组织形式安排是内控执行有效的首要保障。国际工程承包合同归口管理部门无疑应由承接工程的业务部门承担,而成立专业素质高、协调能力好、善于把握全局的合同内控小组,是合同内控的重要组织形式。该小组以总经理或分管业务的副总经理为领导,业务部、技术部、法律部、财务部各部门抽调人员共同组成,必要时也应聘请外部专家参与。该合同内控小组应自项目合同前期调查起,对合同运作的全流程进行管理控制,对合同风险进行项目事前、事中、事后的全过程监控反馈。
(二)工程承包公司合同内控的分级授权审批
国际工程承包合同内控的分级授权审批机制包括两类,一类是针对与项目业主签订的标志项目承接的项目主合同,为项目分级授权审批,对不同金额的项目需分级报经总经理、经理办公会批准,如金额巨大且性质重要的项目,需报送董事会进行联席审批。另一类是合同分级授权审批,是针对项目项下与除项目业主外的其他项目参与方签订的合同。鉴于国际工程承包合同的重要程度与合同金额并不直接相关,合同特殊性较强,因此,每个合同均需由项目负责人确认,经合同内控小组审核联签后,由合同内控小组的最高领导——总经理或分管副总经理审批。
(三)工程承包公司合同内控的信息平台
由于国际工程承包项目的合同文本和过程文件众多,信息平台能够切实提高合同内控的效率和效力,有利于合同内控的动态过程控制。该信息平台的建设目标是保证与合同相关的各类信息,如合同档案管理系统、合同付款审批系统、合同进度报告等,能在符合合同管理权限级别要求的同时,高效安全地共享、传递、处理和反馈。
四、基于过程导向的工程承包合同内控制度建设
(一)投标阶段的合同内控
鉴于国际工程项目的复杂性,投标阶段的合同内控管理是项目实施阶段合同内控工作的基础,其重要性不言而喻。本阶段涉及的合同文本主要包括项目招标书、资格预审申请书、技术建议书和商务建议书。国际工程承包企业应根据项目招标书的要求,深入分析工程特性,重点研究设计技术方案和商务条款偏差,同时还要对各个可能的项目参与方(即潜在的合同方,包括业主和分包商)进行资质调查和履约能力分析,这个阶段需要投入大量的精力和时间。国际工程承包企业在对项目进行全面分析调查的基础上完成项目可行性调查报告,根据项目金额和重要性的不同及国际工程承包公司项目分级授权机制进行项目投标审批。如涉及投资事项,如BOO、BOT及资源开发等项目,还需报经公司内部投资审批流程批准。
(二)订立阶段的合同内控
1.与业主签订的项目主合同。国际工程承包公司在收到中标函后,进入与业主的合同谈判阶段,在这一阶段,项目主合同将由前一阶段的要约变为实际具有法律约束力的合同文本。本阶段涉及的合同文本主要包括合同协议书、中标通知书、合同通用条款、合同专用条款、技术标准及规范、设计图纸、价格清单、保函格式等。国际工程承包项目主合同文件审批应根据项目金额的不同,经合同内控小组审核联签后,根据国际工程承包公司项目分级授权机制确定审批人或审批机构。项目主合同签约后,如业主、成本等情况发生重大变动及国际政治经济环境发生重大变化,或者项目主合同超过一定时间还没有生效,应在开立履约保函或办理其他生效关键事项前进行合同生效评审,从而评价合同签订后项目主要风险因素的变化及其对合同执行的影响,明确应对措施。合同生效评审的管控流程比照项目主合同流程执行。
2.与其他项目参与方签订的其他合同,如分包合同、监理合同、保险协议、贷款协议、保函或其他担保合同等。项目其他合同一般在总承包合同签订完毕后进行拟订签署工作,具体的签署内容和时间由项目管理计划确定。对于国际工程承包项目,由于项目部分重要参与方(如主要设计、土建、采购分包商、银行等)在前期合同调查阶段就已确定,甚至共同参与项目主合同的谈判,对于这部分项目参与者的合同,往往通过议标方式确定,其他项目参与者还需通过招标方式确定后再进行合同谈判。项目其他合同谈判小组的成员应由参与项目主合同谈判小组的成员组成或由其领导,以便通过合同条款将项目风险在各项目参与方之间进行分担、传递和转移。
项目其他合同文件审批应根据合同金额和重要性的不同,经合同内控小组审核联签后,根据合同分级授权机制确定审批人或审批机构,不应因合同量大减弱这一控制活动的控制力度。
(三)实施阶段的合同内控
项目实施阶段的合同内控,其目的是确保各个项目参与方都履行其合同义务,并确保自身的合同权利得到保障。
1.合同履行。国际工程承包合同的履行内控,其重要流程是在建立项目管理计划下,对项目重大合同制定单个合同管理计划,包括合同过程文件、交付内容和管理要求,该合同管理计划应涵盖整个合同过程的全部合同管理活动。负责合同管理计划审批和监督的人员应为执行负责人的上级管理岗位或部门。
2.合同结算。由于工程承包项目资金安排的系统性,对合同结算风险的控制应始于项目业务部门提交合同付款申请之时,项目业务部门应结合项目预算、项目主合同收款进度、结汇情况、相关合同条款,综合评价项目各类合同结算,防止超预算、超合同、超余额、超币种的项目合同付款情况出现。财务部门应专设合同付款审批岗位,对合同付款进行复核并应定期将各项目的各个合同结算情况反馈给项目业务部门,以便查错防漏。
3.合同变更。国际工程承包项目引发合同变更情况很多,项目合同变更管理应与项目整体变更控制相结合,尤其是项目主合同变更时一般也会引发项目其他合同的变更。合同变更的内部审批流程应比照合同签订的审批流程办理,防止未经授权审批的合同变更。国际工程承包项目合同中对合同变更条款详细约定的,实际变更发生时,应严格按照合同约定的文件和程序处理。合同变更后,项目业务部门应及时更新财务部门的合同备案,以便按照变更后的合同执行。
4.合同索赔。国际工程承包项目索赔方式应在合同条款中规定,索赔发生时按照合同规定的程序进行。由于索赔事项的特殊性、重要性和专业性,一旦合同需要通过仲裁方式进行索赔,需要法律部门的介入,必要时应建立业务、法律、财务三位一体的合同索赔小组,仔细衡量仲裁方式的价值和意义所在,并应报经公司管理层的审批同意。
总之,国际工程承包的合同内控建设和实施是一个复杂的系统工程,持续周期长,可变因素多,是强化公司业务、财务、法律三位一体,共同动态提升国际工程承包项目全过程管理精度的重要管理工具。
【主要参考文献】
[1]财政部会计司.企业内部控制规范讲解2010[M].北京:经济科学研究社,2010:349-360.
[2]李凤鸣.内部控制学(第二版)[M].北京:北京大学出版社,2012:311-317.
[3]马颖.过程控制导向的企业合同内部控制系统研究[J].会计研究,2011(9):61-65.
关键词:ERP系统;企业管理;内部控制
目前,ERP系统的应用已在我国各类企业中普及,使企业在资源管理方面得到一定程度的提高,同时ERP系统依据其本身的技术优势,对于企业内部控制也起到了一定的良好效果,比如自动核对内外部数据、业务流程顺畅规范、授权审批控制清晰、控制标准明确等。虽然ERP系统对于内部控制的重要性及良好的效果,得到了人们的一致认可,但还是存在一些不足之处。
本文阐述了过分依赖ERP系统的流程、用户权限划分不清晰、ERP产品选择不当这三个方面问题,分析了ERP系统应用在内部控制方面的不足,并从定期进行流程的风险评估、清晰划分用户权限、根据企业实际情况合理选择ERP产品这三方面提出了针对性的对策。
一、ERP系统简介及其对企业内部控制的作用
ERP,也称企业资源计划,是Enterprise Resource Planning的缩写,是指建立在信息技术基础上,以系统化的管理思想,为企业决策层及员工提供决策运行手段的管理平台,体现完全按照用户需要进行经营管理的一种全新的管理方法。其核心思想是供应链管理,供应链范围包括供应商、生产商、分销网络和客户等,而在企业内部划分成几个相互协同作业的子模块,如财务、市场营销、生产制造、服务维护、工程技术等等。ERP系统集中信息技术与先进的管理思想于一身,成为现代企业的运行模式,反映时代对企业合理调配资源,最大化地创造社会财富的要求,对于改善企业业务流程、提高企业核心竞争力具有显著作用。
ERP系统依据其本身的技术优势,对于企业建立有效的内部控制提供了很多有利的条件,使内部控制的职能得以实现,提高企业内部控制的效率。目前,ERP系统的应用已在我国各类企业中得到广泛的普及,对企业内部控制的重要性也得了人们的认同,但ERP系统实际使用过程中,对于企业内部控制方面却还存在着一些不足及问题。
二、ERP系统的应用在企业内部控制中存在的问题
1.过分依赖ERP系统的流程
ERP系统集成了销售业务流程、采购业务流程、存货出入库流程、财务核算等主要业务流程,流程化管理进一步密切了不同部门之间的联系。而这些业务处理更多地依赖ERP系统操作,如财务核算模块的很多数据都由业务部门的单据直接自动生成的,例如:采购业务流程生成了采购业务相应的财务凭证(在途材料、应付账款),库存管理系统流程生成出入库凭证(库存商品的增加与减少),销售业务流程生成相应销售凭证(销售收入、应收账款)等,而财务人员可能因为过分依赖前端的各个业务流程,从而减少人为判断,故对数据的准确性和真实性的保证降低。
2.用户权限划分不清晰
ERP是一种流程化的管理,它打破了原来职能部门之间相互独立的现状,使企业的各种资源能够统一管理及共享。也正是因为如此,而产生了相应的用户权限的划分、管理问题。用户权限划分不清晰,造成企业内部控制制度形同虚设,甚至滥用权限、越权操作,内控风险不但没有降低,反而加大了。
3.ERP产品选择不当
在当今的市场经济环境下,存在着各式各样的经济活动,企业与企业之间千差万别。各个大小品牌的通用ERP产品很难做到满足所有企业的业务需要,而企业自行开发的ERP系统往往也会存在着不足及漏洞,这些可能导致本企业内部控制效率降低,甚至根本失效。目前我国应用ERP系统的企业数量不断增加,但应用状况千差万别,其中一个重要原因是ERP产品选择不当。ERP产品一定要与本企业的业务紧密结合,才能发挥其应有的作用。如果ERP产品选择不当,不但使本身的业务流程不顺畅,效率降低,而且最重要的是内控风险的加大。最终,劳民伤财,适得其反。
三、影响ERP系统在企业内部控制中应用效果的原因分析
1.对ERP系统认识片面,内控风险意识不强
一般的ERP系统包括了预算、生产、采购、库存、销售、财务、人力资源等企业运营管理的各个方面,并提供了各种标准化流程及标准化控制,业务流程自动实现了内部控制的相关要求,使企业的内部控制具有一定的稳定性及可靠性。企业管理当局往往认为运行ERP系统的同时,也就执行了企业内部控制的内在要求,可以高枕无忧了,就不会存在内控风险。然而世界上几乎不存在完美的事物,ERP产品也是同样的,会存在本身的不足和风险。
2.岗位设置不科学,职责不清晰
企业组织架构设计不完善,对内部机构梳理不到位,权责分配不合理,导致岗位设置不科学,没有形成各司其职、各负其责、相互制约、相互协调的机制,不能明确具体岗位的职责、工作要求。在ERP系统应用上相应地造成了用户权限划分不清晰,而企业的内部控制也就无从谈起。
3.盲目跟风,追求ERP的品牌
一个优秀的ERP产品,能够大大提升企业的经营管理水平,提高企业的经营效益,早已被人们所共识。某某企业实施了某个ERP产品,取得了如何巨大效益的消息,可以说是满天飞。再加上ERP产品提供商的宣传效应,很容易造成企业管理当局盲目跟风,一味追求品牌,一味追求大而全,结果不依据企业实际业务的情况,不适当地选择了ERP产品。
四、改善ERP系统在企业内部控制中应用效果的对策
1.增加风险意识,定期进行流程的风险评估
企业应依据风险管理的原则,增加风险意识,在ERP使用过程中,通过进行定期风险评估,对ERP系统中的重点业务流程影响最大的环节,进行专业的评价和分析,并对流程中的各个活动进行追溯,以形成一个不断评估、不断改进的良性循环。企业可以在ERP系统中,对内部控制关键点建立连续例外报告的内部控制模型。管理层通过该模型提供的用户访问记录及不相容业务能力冲突等报告,就能识别出企业潜在风险和相应的内部控制不足,从而及时改进内部控制的方法,完善内部控制建设。
企业的内部审计,也应把对ERP关键流程、关键控制点的风险评估,作为重点审计项目之一。企业的财务人员,更不可过分依赖ERP系统,而减少应有的职业判断及风险意识。财务人员工作可前移到对业务端人员的录入数据的审核、监督及考核,以保证财务数据核算的质量及内部控制的有效性。
2.严格执行不相容职务分离,清晰划分用户权限
根据企业的组织构架及人员的岗位责任,合理设置内部机构,明确相应职责权限,避免职能交叉或是缺失。企业要对内部机构的职能进行科学、合理的分解,明确具体岗位的职责、工作要求,确定各个岗位的权限及相互关系。基于不相容职务分离的原则,在ERP系统中设置各个用户的系统业务操作权限、信息查询权限。一定严格划分ERP系统用户的权限,做到清晰,完整、细致、同时建立详细的用户权限文档,使用户了解和掌握自己的权限分配情况,正确履行职责,并可供日后进行风险评估。只有这样,ERP系统才能保证企业的各项业务流程,都是由被授权的用户执行,保证ERP流程的切实有效。
同时,对用户使用的规范及严格管理,才能使用户权限的划分落实到实际。例如:系统管理员对用户权限的修改要得到相应授权、用户之间不可擅自转借、密码口令强制定期修改、建立用户访问记录、设立严厉的惩罚制度等。
3.结合企业具体情况,合理选择ERP产品
对市面上各种ERP产品进行综合比较,充分调研,合理、慎重选择,不跟风,不盲目。结合企业具体的实际情况,谨慎进行二次开发,使管理需求与实际业务做到真正相匹配。一个企业优秀的ERP产品,能够快速适应企业的变化,提高企业的生产力及洞察力。当然,ERP产品实施公司的选择也同样关键,最好选择有着与本企业业务类似的成功实施案例、经验丰富的顾问公司。注意ERP实施上线时就要合理设计完善的内部控制制度,与实施顾问充分、反复地沟通讨论,确定合理的流程,并形成相应文档。ERP设计阶段一定要加强对内部控制的考虑,这样可以使控制缺陷提到事前控制阶段,防患于未燃。
当然,建立一个出色的ERP系统,不是一蹴而就的,其中的内部控制系统也必然是要随着ERP系统本身的使用不断改进而趋于完善。因此,第一企业应当针对已经建成的内部控制系统,在ERP系统运行的过程中不断进行ERP内部控制效果自测与自评,监控、完善企业内部控制,这也有助于企业的管理层对内部控制的有效性做出明确的评定。第二,企业内控体系建立和有效运行,受到企业的生命周期、管理状况、企业外部市场等诸多环境变化的影响,在ERP系统的整个生命周期,都会由于各种因素导致企业管理需求发生了变化,相应地必须进行系统功能及业务流程的修改,而依附于企业ERP系统之上的内部控制系统也就必须随之不断进行变动、完善。企业ERP的内部控制系统的,就是一个不断改进,不断完善的循渐进的过程。
内部控制的重要性,已在我国企业中逐渐得到普遍的共识。ERP的设计理念,与内部控制建设是趋同的。ERP系统的应用,可以使企业的内部控制全面实现,为企业的及时控制提供了可能性。如何在ERP系统中,将企业管理效益与内部控制建设无缝衔接,给我们的企业管理者提出了新的挑战。进行定期的流程风险评估、清晰划分用户权限、根据企业实际情况合理选择ERP产品这三方面,可以弥补目前ERP系统实际应用在企业内部控制的不足。我们只要加强风险意识,不断完善ERP业务流程,制定有效的内部控制体系,就有理由相信,一个成熟的、优秀的ERP系统,一定能提升企业的内部控制建设,保证内部控制目标的实现,从而达到ERP系统与企业内部控制完美结合。
参考文献:
[1]张庆考:ERP 环境下的企业内部控制建设.中国管理信息化,2010.13(10):8-9.
[2]覃新光:基于ERP的企业内部控制研究.财会通讯,2012(11):130-133.
[3]何颖婷:基于ERP 连续例外报告的内部控制模型构建研究.新会计,2012(3):18-22.
购物车(0)