略论供应链管理中的企业内部控制

-略论供应链管理中的企业内部控制 2010年07月14日 10:50 来源： 企业经济 摘要放弃粗放式发展模式是科学发展观的根本要求之一。供应链管理(SCM)作为参与上游供应商和下游消费企业的管理并与之共享信息的先进IT技术，是使企业集约式利用资源并增强实力的新途径。规范企业内部控制制度，从内部环境、风险评估、控制活动、信息与沟通、内部监督等要素结合集约式科学发展观出发，探讨提高SCM运作效率和效果并构建良好内部控制，对企业来说，具有重大意义。 关键词供应链管理(SCM)；内部控制；集约式科学发展；信息技术 中图分类号F270.7文献标识码A文章编号1006-5024(2009)10-0035-03 一、企业内部控制对企业有效运营的作用 在企业治理中，内部控制的作用主要可通过当前国际上影响最大的内部控制概念和体系COSO委员会1992年发布的纲领性文件内部控制整体框架给予的解释来说明。该纲要指出，“内部控制是一种由企业董事会、管理阶层和其他人员执行，由管理阶层设计，为实现以下目标而提供合理保证的过程：提高经营业绩与效率，确保财务报告可靠和相关法令得到遵循”。纲要中具体提出了有关内部控制的五大构成要素：控制环境、风险评估、控制活动、信息与沟通、监控，并说明了如何通过这些要素来实现内部控制目标的指南。受COSO委员会整体框架的影响，2008年5月22日，为了加强和规范企业内部控制，提高企业经营管理水平和风险防范能力，促进企业可持续发展，维护社会主义市场经济秩序和社会公众利益，根据国家有关法律法规，财政部会同证监会、审计署、银监会、保监会制定了企业内部控制基本规范(以下简称基本规范)，要求上市公司自2009年7月1日起施行，鼓励非上市的大中型企业执行。同年7月15日财政部又发布了“关于征求企业内部控制评价指引企业内部控制应用指引和企业内部控制鉴证指引意见的通知”。根据这些文件，要求企业在自身运作各环节按照基本规范规范自身行为，杜绝舞弊行为和失误差错，提高自身的运作绩效。本文将要讨论的是，如何通过健全的内部控制保证供应链管理(SCM)的有效运作。 二、供应链管理(SCM) 只有顺应社会宏观环境要求，企业才能获得更好的发展。就当前企业所面临的宏观环境而言，在当前党和国家号召实践科学发展观之时，社会迫切要求放弃以往采用的粗放式发展模式，因此，企业只有从整个社会的角度去考虑利用资源，才能真正地提高资源的利用效率，才能带来整个社会的可持续发展。企业当前从社会角度考虑资源利用最易于实施的切入点，是与其紧密相联的供给、销售企业，即整个供应链的角度去共同考虑利用资源和创造价值。从技术层面而言，随着经济全球化和信息技术的迅猛发展，企业也逐渐获得了控制更广泛资源的能力；随着企业为生产而控制的资源正在从单纯的企业内部向与企业相关的全行业供应链扩展，市场竞争的范围也从单个企业之间的竞争向供应链之间的竞争扩展，因此企业迫切需要研究从整个供应链考虑自己运作的一系列具体操作方式。 供应链管理(supply Chain Management，SCM)就是这样一种具体操作方式。它作为一种先进的计算机信息系统，是协调和控制物(产品和服务)流、信息流和资金流的实践。它应用计算机网络技术，以最终消费者的需求为导向，利用供应链在较大区域范围将原材料到零件供应商到产品制造商到销售商最后到消费者连接在一起，力图通过各组织之间相互的责任分担和利益共享等机制来共同获取利益。其基本思想是：如果把供应链看作一个完整的运作过程对其进行集成化管理，就可能避免或减少各个环节之间的很多延误、浪费，即有可能在更短的时间内，通过合理配置可供利用的资源，以更少的总成本实现价值的增值。它强调信息对物流、资金流的控制，利用信息的集成和传递有效地管理和监视企业与供应商和客户的关系，控制库存，预测需求和得到供应链的每个环节上正在发生事件的不断反馈。 三、基于基本规范探讨SCM中企业内部控制体系 基本规范指出，内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果。促进企业实现发展战略。对供应链管理(SCM)而言，内部控制要保证的主要是避免差错和防范舞弊，提高经营效率和效果，促进企业实现发展战略。基本规范说明内部控制的关键在于对内部环境、风险评估、控制活动、信息与沟通、内部监督等五大要素的分析和控制，因此，下面将在这五方面探讨保证SCM正确而高效地运作的方法。 (一)内部环境。企业内部控制环境，通常指影响企业内部控制效率的各种因素，是构成企业内部控制的基础，离开良好的内部控制环境，内部控制其他构成要素将难以发挥作用。在基本规范中，内部环境主要涉及公司治理结构，高管层责任，内部机构及其权责，内部审计工作，人事政策，企业文化建设等方面。 对SCM而言，笔者认为：首先，应从整个供应链出发认识企业。实施SCM的企业需要要充分地把SCM的理念融合到企业经营方式和文化中，并按SCM的要求跳出单一企业的圈子，从供应链的角度对企业组织结构、业务流程进行优化，综合利用整个供应链中各企业的长处，以集体力量取得各企业长远的优势。 其次，要树立正确的认识。由于SCM既是一个新的IT技术，也是一种先进的管理理念，因此，企业首先要使高管层面深入理解SCM的内在实质，注重SCM的根本宗旨执行，认可只有企业能消化的才是有效的道理，以一种平常心对待SCM的运作，不要贪大求全，而要结合本企业的实际能力，逐步推进SCM，在正确领悟并实施SCM的基本部分后，有计划、脚踏实地向SCM的更高阶段迈进。 再次，SCM是一种先进的IT技术，对员工素质提出了更高要求熟悉计算机技术和信息系统，充分应用信息技术与本领域专业知识来完成企业的经营活动。因此，要求在企业内营造一种与时俱进的文化氛围，加强人力资源培训和交流，鼓励员工学习新技术，掌握新方法。 最后，在岗位设置上，应当结合$CM的业务特点和内部控制要求设置相关内部机构，明确其各自的职责权限，将权利与责任落实到相关责任单位和个人，并按权责对等的原则进行考核。 (二)风险评估。风险评估是指以内部控制目标为导向，评估影响目标实现的风险因素、风险发生的可能性及其严重程度，从而按成本效益法则建立最佳的内部控制系统的过程。据基本规范论述，风险评估主要涉及收集信息、确定风险承受度、识别风险、风险分析和排序、风险策略等。对于SCM而言，企业应关注以下几点： 第一，由于在SCM设计时融入了内部控制程序，使得内部控制IT技术有一定的依赖，因此，差错发生的可能也有所增加。其主要表现在于：SCM程序中的内部控制需要与人工控制相结合，由于内控应用程序不可能对现实中的所有风险都给予了考虑，当特殊情况出现时，一般需要人工控制予以解决。但是由于人们对计算机系统的依赖性及程序运行的重复性，失效的控制可能长期不被发现，进而带来系统的崩溃。因此，要在SCM运作中时刻强调人工控制的重要性，不要因为有软件系统的防错功能而麻痹大意。 第二，由于SCM要关注整个供应链，因此其内部控制的范围相比单一企业有所加大，内容也有所复杂化，因此内部控制目标实现的风险加大了。另外，由于企业的业务流程将改变为以整个供应链利益为准，以往封闭集中的运行环境变得开放，以往狭窄单一的信息流形成共享，从而改变了传统的风险控制内容和方法。因此，需要在信息传递时采用加密技术，认证技术，并对信息的使用和共享进行授权。 第三，SCM相对于原来的手工流程而言其直观度有所降低，这就带来了SCM具体操作人员对计算机处理技术和程序理解上的风险。操作人员难以真实地理解SCM实施的风险所在时，企业即使增加SCM专业维护和指导人员，也难以全面系统持续地收集相关信息，及时进行风险评估。因此，要关注员工业务素质，特别是加强对具体操作人员相关IT知识的培训。培训的目标一是消除其对SCM的畏难情绪，二是把风险的初期、基础评估交给具体操作人员，使他们在SCM发现险情时就能及时解决或上报，以免酿成灾害。 第四，SCM信息技术平台上的各个环节紧密连接，任何一个环节出现突发问题，都有可能造成整个信息系统的瘫痪；企业数据也有可能被非授权人员拷贝、删除、修改、破坏，或者由于计算机病毒感染、黑客入侵、使用人员违规操作而造成计算机故障或信息系统崩溃，这些都增加了风险评估的新内容。因此，加强隔离制度，防火墙技术，授权制度十分必要。 第五，要明确企业的风险承受度，如SCM是一种需要不断升级和进行适应性处理的计算机技术，因此在SCM升级过程中，要关注风险承受度，做到循序渐进；又如，当外部环境变化时，需要SCM适时更新的风险承受度等。 第六，要关注实施SCM后，业务流程转变为扁平化的新特征，完善SCM中风险定性与定量分析的方法，对SCM系统面临的风险进行排序，确定关注重点和优先控制的风险。综合应用风险规避、风险降低、风险分担和风险承受等策略，确定控制风险的方法。 (三)控制活动。控制活动是内部控制的核心，企业应根据风险评估结果，采用相应的控制措施，将风险控制在可承受度之内。下面针对SCM系统，提出一些具体办法： 1，不相容职务分离控制。SCM中不相容岗位(或职责)一般应包括：系统开发维护、业务操作岗位分离，以避免业务操作人员通过修改数据逃避考核；非自动生成数据输入与具体业务岗位分离，以避免业务操作人员虚报数据逃避考核；申请、审批、操作、监控岗位分离，以实现相互查错，避免舞弊。如数据操作岗位中，可以设置凭证输入人员、审核员、登账员、资料保管等职位，并相互分离。 2，既要完善关键岗位的强制休假制度和定期轮岗制度，也要注重双人双岗员工多种技能的培训，使每一岗位都有两人以上的熟练操作人员，以避免SCM运作中因人员问题对流程正常运行带来的影响。 3，授权审批控制。在企业内设立供应链综合管理部门，作为企业高层在该方面的助手，使企业的活动能站在相当的高度，以避免具体业务部门的短期行为。采购、销售、信用政策的制订授权应由企业的非具体执行部门如计划部、财务部、供应链综合管理部根据SCM信息共同拟定，由企业高层审批。重大的采购、销售、信用政策的审查、审批应由非具体执行机构共同审核，以避免损害企业长远发展的短期销售行为。 4，信息系统控制。SCM系统的开发、完善应在吸收SCM先进理念的基础上，以业务本身流程的思路和习惯进行处理，以提高SCM系统的人机亲和度。在SCM设计时融入了内部控制程序，对业务发生的合理性、合法性和完整性进行检查和控制。要采取正确的包括隔离、密码等防范手段，避免信息的非法接触。由于计算机的自动处理，手工系统中纸质凭证所起到的控制功能弱化，大部分交易几乎没有直接的纸质“痕迹”，因此要求对系统的各种操作、修改要有必要的记录。系统要对记录的各种数据及时进行备份。 5，预算控制。要在SCM程序中融入全面预算管理制度，明确各责任单位在预算管理中的职责权限，强化预算约束。 6，运营分析控制。由于SCM集成了整个供应链的众多信息，因此应定期分析SCM信息，去粗取精，进行梳理和分类总结，发现存在的问题，及时查明原因并加以改进，用以完善企业近期的经营决策方案。 7，绩效考评控制。应根据SCM信息，科学设置考核指标体系，结合全面预算管理，对相关人员进行考核。同时对SCM的应用情况进行考核，以使SCM能真正融入企业经营环境并发挥出优势。 (四)信息与沟通。信息与沟通是企业及时、准确地收集、传递与内部控制相关的信息，确保信息在企业内部、企业与外部之间进行有效沟通。信息与沟通主要包括信息收集与沟通制度、信息的集成与共享、建立反舞弊机制及举报投诉制度等。在SCM中的信息与沟通，本文认为关键在于解决以下问题： 第一，要定期与供应链中其他企业进行沟通，共同筹划，提高整个供应链的实力。在企业内建立由供应链综合管理部牵头的良好沟通制度，定期讨论SCM实施中出现的问题，建立反舞弊机制，坚持惩防并举、重在预防的原则，明确SCM反舞弊工作的重点领域、关键环节和有关机构在反舞弊工作中的职责权限。 第二，数据通信安全制度。要采用各种技术手段以保证数据在传输过程中的安全、可靠。可采用数据加密、数字签名、压缩、效验程序及第三方的加密软件加密后传输的办法，保障数据通信安全。 第三，在SCM中，应采用切实的办法将各种信息利用计算机技术予以集成、综合、分析，得出企业具体的应对策略，并通过计算机网络在供应链形成共享，使供应链各环节、企业内部各运营环节都围绕这些信息高效运转起来。 (五)内部监督。内部监督是指利用所掌握的信息对内部控制建立与实施情况进行监督检查，评价内部控制的有效性，发现内部控制的缺陷，并及时加以改进，从而保证内控目标的实现。内部监督主要包括内部控制监督制度、内部控制缺陷认定、内部审计机构监督和自我评价等。在SCM中，内部监督要注意的是：企业应当制定SCM内部控制缺陷认定标准，对监督过程中发现的SCM内部控制缺陷(包括SCM设计缺陷和SCM运行缺陷)，应当分