《ERP环境下Y电力公司内部控制探究》18000字（论文）

江苏科技大学工商管理硕士学位论文ERP环境下Y电力公司内部控制研究目录TOC\o"1-2"\h\u2626第一章研究背景 13871第二章研究意义 213917（1）理论意义 220437（2）实践价值 2965第三章ERP环境下Y电力公司内部控制现状的整体分析 274523.1Y电力公司概况 2202383.2ERP环境下内部控制整体现状 699903.3本章小结 824229第四章ERP环境下Y电力公司内部控制缺陷的具体分析 977784.1ERP环境下Y电力公司内部控制模型体系构建 9316954.2ERP环境下Y电力公司内部控制模型计算评价 14236294.3ERP环境下Y电力公司内部控制具体缺陷分析 2293334.4本章小结 2521316第五章ERP环境下Y电力公司内部控制的优化建议 2593315.1ERP系统层面优化建议 25321895.2公司内部控制层面优化建议 2667305.3本章小结 2724211第六章总结与展望 28190356.1总结 2825056.2展望 29第一章研究背景国家一直在大力推行企业信息化建设。早在2006年，中共中央办公厅、国务院办公厅关于印发《2006—2020年国家信息化发展战略》的通知，要求推进企业信息化进程。《中国中小企业信息化发展报告（2007）》的出台，标志着国家开始支持科学制中小企业信息化的政策措施。但截止2016年，我国中小企业信息化程度低，ERP系统普及率仅4.8%；从2016年“十三五”国家信息化规划的启动，到2021年“十四五”要求企业加快信息化发展，推行数字化经济，走向中国智能制造健步不止。构建统一开放的数字体系，应对变幻莫测的外部环境，扩大内循环满足人民生活新需求。内部控制是企业财务可靠、经营高效的重要保证。在COSO《内部控制整合框架》中，内部控制被定义为由一个企业的董事会、管理层和其他人员实现的过程。在企业日常经营过程中，生产要素受到干扰会产生不规范的情形，内部控制便会产生缺陷，进而影响经营效率。随着社会的发展，企业逐渐进入信息化时代，企业建立了信息化管理平台，使得在购销、生产、存货以及人力各方面资源能得到合理地配置与利用，在提高了企业的经营效率的同时，也对传统意义上的内部控制产生了影响，因而有必要对这些影响进行深入研究。第二章研究意义（1）理论意义本文丰富了能源电力行业ERP环境下内部控制模型的应用案例。通过对ERP系统的运行方式进行研究，分析其影响企业内部控制各要素的形式。本文拟例以Y电力公司主营业务需求订单为起点，财务记账为终点，从内部控制五大要素角度，研究业务流程贯穿整个ERP系统中内部控制的运行方式，以分析ERP究竟会给企业的内部控制带来哪些利弊，从软件本身以及企业角度出发，为加强企业内部控制提供更好的理论依据和指导意见。能够在一定程度上拓宽信息系统的应用领域，对其应用内容更好进行丰富，并极大拓宽了电力行业内部控制领域、视角，具有极强理论意义。（2）实践价值本文为ERP环境下Y电力公司的内部控制提供优化建议。通过实地调研本文将找出Y电力公司ERP环境下内部控制的问题，旨在完善ERP环境下为Y电力公司内部控制体系，加强内部控制意识，增强内部控制效率，适当减小内部控制成本，减小电厂运营风险。本文在一定范围内解决了Y电力公司对内部控制体系理论的需求及内部控制实务操作技术优化的渴望，对Y电力公司内部控制在未来的发展具有积极的意义，对于其他类似企业也有借鉴意义。第三章ERP环境下Y电力公司内部控制现状的整体分析Y电力公司是国有电力集团旗下的子公司，是一家以能源及相关材料、业务为主营业务的公司。本章主要介绍Y电力公司基本信息、ERP系统以及内部控制的基本情况，以便为后文具体分析ERP环境下对内部控制的影响。3.1Y电力公司概况3.1.1公司简介Y电力公司成立于1999年4月，现注册资本为11.11亿元。公司前身是沪宁线上民族资本督办的电厂，与我党同诞于1921年。2002年末国家电力体制改革，Y电力公司划入国有电力集团，成为江苏集团旗下的子公司，曾参与了2005年为西气东输项目。2013年9月，Y电力公司作为江苏省集团第一批信息化试点单位上线了ERP系统，并于2015年初组建“信息机电”项目组，将主营项目设备所依赖的PMIS工程项目系统与ERP系统进行对接，逐步更新为信息化设备。2020年全年，Y电力公司实现发电49.39亿千瓦时，占全市总发电量10%，纳税2.03亿元，是当地知名电力企业。公司拥有自主建造机组的能力，拥有数台F级和E级燃机机组，可提供包括电力、热力、天然气在内的多种能源。同时，公司有着丰富的能源供应及原材料销售经验，相关材料远销海外、技术咨询服务也广受同行业青睐。图一为公司业务占比。图3.1业务占比图Fig.3.1BusinessProportionChart7年来，Y电力致力于信息化建设，将ERP系统与日常经济业务相结合，探索出一条独到的数字化发展道路，不断提升基本能源产能，争做一流电力公司。3.1.2组织架构Y电力公司于集团有相似的组织架构，受集团审计的影响。综合管理：负责统筹管理领导，设置部门、职责划分，重大事物决策等。项目前期部：负责产品报价、合同订立、寻找目标客户等任务。工程部：负责项目的建造，其中信息管理部门也是工程部的一部分。物资材料部：负责企业原材料和固定资产的管理部门，采购是他们的职责。人力资源部：负责员工绩效考核、员工公会、聘用等工作。市场营销部：负责营销、对外宣传、市场调研、客户服务、接受和处理客户需求、安排发货、催收货款、结账开票等工作。财务部：负责财务、会计制度建设并组织实施，负责财务预算、财务决算、财务计划、会计报告和财务分析工作，负责成本控制和核算工作。后勤部：企业基本运营，包括安全部、食品保障部、维修部等。组织架构图如图3.1所示。图3.2组织架构图Fig.3.2Organizationalstructure3.1.3ERP应用现状Y电力公司作为集团第一批ERP系统应用试点单位，选用了某家主攻电力企业的上市公司设计ERP软件。该公司专注于大型企业信息管理30余年，在我国能源行业长期处于领先地位，提供电力行业财务和管理信息化全面的解决方案。2013年底，Y电力公司工程部的信息中心为财务模块成功上线提供了强有力的硬件及软件保障。财务部认真学习ERP系统知识、以优异的成绩通过集团公司培训考试，并严谨细致地收集整理静态、动态数据，保证了收集初始数据的质量。Y电力公司的经营活动如发电数据、材料耗用、工程进度会通过线下上传至PMIS模块中记录，经批准后传递至财务核算；人力资源模块的职工的绩效考核亦可通过PMIS设备人工工时计量和财务模块的应付职工薪酬共享分析。Y电力公司材料的出入库签字从以往未实现需要耗用的7天提升至目前的2天，极大地提升了效率。数据在ERP系统中的作为模块的传播媒介，保证了数据共享，信息流共合。图3.3ERP系统模块图Fig.3.3TheModularofERPSystem3.1.4内部控制现状Y电力公司属于集团子公司，相关治理层和经营理念与集团相同。Y电力公司纪检组、党委、工会组织会定期组织开展职工思想教育活动，要求员工心系公司理念，严守公司制度、恪守职业道德。集团下辖片区独立内部审计公司，定期执行对子公司的内部审计，进行控制测试，下文中负责ERP环境下内部控制评价数据亦出自集团内部审计专家的报告。Y电力公司拥有专门的内部控制手册，其规定了日常经营活动中基本操作流程，但由于公司成立年代较为久远，对员大龄化的宽恕、素质教育的不及时，仍然存在部分车间工人违规操作、管理人员发现预警不及时汇报等问题。3.2ERP环境下内部控制整体现状自从2013年集团试点以来，ERP系统对Y电力公司的内部控制产生了多方面影响，本部分将从内部控制五要素出发，从整体上研究分析对公司产生的影响。3.2.1ERP环境对控制环境的影响ERP的架构将内部控制从过去的人际约束发展到了现在的人机综合控制，它对内部环境的影响主要体现在以下两方面：1.环境结构的变化过去的的内部控制结构层次较为复杂，依托管理的层级分步控制，从上至下，各部门大到总监，小到组长都要了解、潜意识下执行内部控制，控制节点的控制耗费人力资源。在ERP的整合下，层级控制节点依托软件实现，层次变得平坦，控制责任更加明确。管理层下达的某个决策，可以通过ERP传递至各个部门，其结构胜似“牵一发而动全身”，这使得内控环境结构更加一体、信息逻辑明朗清爽。2.环境氛围的变化这里的氛围指的是企业氛围。过去的内部控制停留在人与人之间的相互制约，一些员工无法以身作则、徇私舞弊、恶意找茬等现象况导致管理者会与员工之前关系紧张。但ERP的到来改变了这一情况，Y电力公司甚至有专门的的线上社区功能，管理者与员工可在平台上实现交流的同时，也提供匿名信箱功能，缓解了以往部分紧张的控制氛围。线上平台的约束相比实体人的约束，压力更小，内容更加透明，更能让员工感到轻松，全身心投入到工作中去，从而达到管民一家亲的效果，企业运作更加流畅。ERP系统是Y电力公司日常业务运行的平台，系统中信息的实时传输保证了内部控制的有效运行。而风险识别存在误差主要体现在ERP系统反馈的信息上。3.2.2ERP环境对风险评估的影响对于风险评估准备，ERP的到来可以加速获取信息的速度，能让企业较早地评估风险发生可能性并发现各类资产的潜在威胁。对于审计获取企业环境因素评估其重大错报风险都有不小的帮助。对于风险识别（实施风险评估），ERP的数据库所搭载的信息可以首先作为目标去检查，相比以往去企业各部门询问调查都便捷了许多。但是企业要注意ERP数据库硬条件的实效性，例如风险确认条件、人员过失条例等等，不能滞后，否则会产生漏报或误报的情况。对于风险应对，ERP可以作为媒介准确定位到风险发生的模块让企业更迅速地采取有效措施。3.2.3ERP环境对控制措施的影响ERP在控制措施的影响主要体现在技术手段上。ERP虽然不能直接制定控制措施，但是可以录入人工设计储存的控制标准，监督平台日常业务。部分制造业企业制定了专门的规章制度规范ERP下的日常工作，如零件规格自动录入检测，要求生产部门制造开始前制定计划并录入系统，严格按照制度执行；要求人力部将绩效考核条例纳入ERP，对于出现问题的人员在系统上直接进行惩罚；要求财务部准确将业务数据记录至平台。一旦发现风险项目，通过系统立即归责，保证内控有效。3.2.4ERP环境对信息与沟通的影响信息是企业日常活动必不可少的内容。无论是有形文件还是无形数据在传递过程中难免会出现滞后、不对称的情况。ERP的到来可以适当缓解这个问题，它通过软件自有的技术手段，收集企业分散在各处的数据，通过整合、归纳、筛选后，推送给各部门的信息使用者，整合、传输效率都远高于传统纸质口头的信息传递，保证了信息传递的及时与准确。截止2020年，Y电力公司应收账款周转率为14.7天。Y电力公司一张简单的半成品领料单，通过ERP的录入实现全企业共享，倘若这张领料单所对应的某批次半成品出现了问题，生产部门可以立即联系管理者在系统发布文件，通知到财务模块的成本会计主管，对产品成本核算进行修改；通知到人力资源模块主管，对该职工进行绩效考核；通知购销模块负责人，该批半成品不得出库等。Y电力公司目前正在联系软件公司，旨在开发更高级的ERP实时数据共享可功能，以实现实时监控某类产品市场需求以把握机遇。ERP的出现提升了信息质量，完善了沟通制度，健全了反舞弊机制，将公司带入了线上信息的内部控制。而这些，恰好是内部控制信息沟通的要素。3.2.5ERP环境对内部监督的影响ERP的到来使得企业内部控制监督变得便捷有效，拥有特定权限的监管者随时在企业ERP线上“巡逻”，巡逻的内容——日常经营活动是否规范，就是过去监督的内容。ERP的到来也影响审计。在审计风险中，ERP的到来可能会由于作业流程的标准化降低重大错报风险，但其中仍要关注固有风险中由线下的审计证据转为线上时是否充分适当、真实可靠；控制风险时则要重点关注ERP系统是否运行有效。依托信息平台，审计人员可以通过ERP系统更有效率地获取审计信息，未来甚至有望将控制测试从线下转至线上。审计人员亦要增强专业信息技术的知识以降低ERP环境下的检查风险。同时，由于很多内部控制的步骤和指标都是人工构建的，因此在构建框架时就要格外谨慎，要格外注意系统的安全。企业若过于依赖于ERP的监督而忽视了对软件数据的更新换代和完善，内部控制将会失效。3.3本章小结本章主要论述了Y电力公司的基本信息、ERP实施情况和内部控制现状，同时分析了Y电力公司实施ERP系统对内部控制整体层面产生了那些影响。这些了解有助于细分ERP系统模块，为接下来的评价和寻找具体内部控制缺陷做好铺垫。第五章ERP环境下Y电力公司内部控制的优化建议第四章ERP环境下Y电力公司内部控制缺陷的具体分析能源供应和原材料销售业务是Y电力公司主营业务，能源供应依靠PMIS信息化后对接ERP系统对燃机进行实时监控，原材料销售也需要通过ERP系统的财务模块核算，两项占据业务80%的营业利润，本章挑选这两个模块中的业务，利用现场调查、询问管理层和问卷调查的方法分析ERP环境下Y电力公司内部控制是否有效，究竟是哪个要素对其内部控制产生重要影响，旨在发现问题。我们从测试内部控制有效性的角度出发，依据模型结果，分析ERP环境下的内部控制在作用于一项具体的经济业务时分析关键节点的控制效果，并对其中出现的缺陷进行分析和改良。4.1ERP环境下Y电力公司内部控制模型体系构建4.1.1模型及要素指标的考量要点（1）遵循实际，从具体业务出发Y电力公司的ERP在2013年仅有财务模块，用于核算日常业务。其电力设备、电机等各类工程建筑的相关计量均使用老式的项目工程管理系统；2015年开始，Y电力公司逐步将此系统信息化，同时将各类大型设备接入ERP系统，实现了工程进度预算管理和财务的一体化。我们通过现场考查，得出了Y电力公司的经营业务数据在ERP系统内传递的流程图，如下图4.1所示：图4.1经营数据流程图Fig.3.2BusinessFlowChart我们可以看到，PMIS模块分为设备和物料，前者主要记录各类设备的运行数据和日常维护损耗，其中固定资产折旧数据也从此产出；后者用于记录招标、合同、工程进度、规划预算、采购等数据。这些数据都会被归集进入项目管理和预算管理子系统，最后通过财务模块核算，其中采购管理还可以实时应对外网报价，也有专门的模块与集团对接。而本文研究主题基于信息化环境，因此考虑内部控制要素时必须关注信息化环境信息系统下内部控制的风险识别、评估和计量、以及信息化沟通的有效性。（2）易于具象，全面但不繁杂挑选影响内部控制的要素时，要尽可能挑选代表性较高、切实能影响公司内部控制效果的指标，且指标之间要有关联，切忌冗杂繁余、重复无效的要素。根据其能源业务和材料业务所占比重，我们考虑影响内部控制要素应当覆盖整个经营流程，如在合同报价方面了解的信息差、工程项目信息传递效率、等，且这些要素应当获取简易且易于具象化，如控制环境中遵守企业规章可以通过内部控制手册具象、项目执行控制可以通过历年合同达标统计数据具象。（3）内部关联，模型定性定量AHP-FUZZY模型是一种将层次分析法和模糊评价法结合起来的评价模型。其中，AHP是指将总目标层（此处为Y电力公司ERP环境下对内部控制的影响），分解为多层次要素之间的判断矩阵，通过每个层次要素二者之间的定量比较，得出相关重要程度。最终根据权重得出多层次对总目标层的影响；而FUZZY是指通过设定专家评语集，根据模糊隶属计算度得出所有要素的评价集，得出定性的结果，最终二者结合评估Y电力公司ERP环境下内部控制状况。一般情况而言，内部控制存在定量定性的要素难、边界模糊等特点，且内部要素之间是彼此有关联的，而AHP-FUZZY模型恰好应和这种情况。本文拟从内部控制五要素为第一层要素出发，根据公司特点确定其对应的第二层要素。尽管第二层要素跨第一层要素之间存在一定关联，但本文通过询问Y电力公司相关管理人员得知，依据模块化繁为简，两两比对同一层次下要素的影响能更加直观的反映内部控制成效，因此本文选用AHP测定权重而不使用ANP跨层次评价。4.1.2确定AHP模型下内部控制要素及标度首先，我们确定内部控制要素。按照《COSO准则》，我们将内部控制的五要素进行划分为第一层，分别是控制环境（Z1）、风险评估（Z2）、控制活动（Z3）、信息与沟通（Z4）和内部监督（Z5）。依据Y电力公司内部控制具体情况，结合其业务流程和主要经历的两个个模块：PMIS模块、财务模块将内部控制五要素进一步划分为第二层要素。我们一共定义了5个一级要素和19个二级要素，用于综合分析要素指标在ERP环境下内部控制的有效性，并对其中权重较大、有效性较差的部分指标进行追根溯源，寻找缺陷并分析解决。其中：控制环境（Z1）作为内部控制的基础，划分为4个二层要素：公司理念（Z11）、组织结构（Z12）、权责分配（Z13）和人力资源（Z14），用于评价ERP环境下对企业氛围、结构、人文治理情况的影响。风险评估（Z2）作为预警识别，划分为4个二层要素：风险识别（Z21）、风险评估（Z22）、风险应对（Z23）和战略目标（Z24），用于评价ERP环境下企业是否能遵循经营目标并对过程中产生的风险进行分析应对。控制活动（Z3）作为内部控制对经营活动的控制措施，我们根据Y电力公司的经营特点，划分为5个二层要素：财务活动控制（Z31）、物料购销控制（Z32）、设备运行控制（Z33）、项目执行控制（Z34）和信息系统控制（Z35），基本覆盖了Y电力公司的经营活动流程，用于评价ERP环境下控制是有效程度。信息与沟通（Z4）作为信息传递，划分为3个二层要素：信息传递载体（Z41）、信息沟通效果（Z42）、和信息沟通效率（Z43），用于ERP环境下评价信息传递的及时性、有效性和对业务的影响。内部监督（Z5）作为监督检查，根据Y电力公司从属于集团的特点划分为三个要素：集团内部审计（Z51）、日常简易监督（Z52）和评价归责制度（Z53）用于评价ERP环境下内部审计、人员履责、绩效考核情况。相关层级指标体系、要素及具体说明见下表4.1

第一层要素第二层要素评价注释内部环境Z1公司理念Z11指公司文化是否积极向上，经营理念是否合规高效组织结构Z12指公司部门是否能保证相互制衡，高效运行，信息部门是否保障运行权责分配Z13指公司员工是否严格按照规章制度自觉履行权责分配人力资源Z14指公司员工是否诚实守信、对ERP系统和内部控制有足够的了解风险评估Z2风险识别Z21指公司对潜在错报或风险有相应的识别预警措施的执行情况风险评估Z22指公司在风险发生时是否能及时反映并评估其产生的影响风险应对Z23指公司是否能正确的应对风险，能保证最小的经济损失战略目标Z24指公司战略目标是否产生偏差、员工与管理层是否团结一致控制活动Z3财务活动控制Z31指项目安排是否科学、合同履约是否准时、项目工程质量是否达标物料购销控制Z32指材料购销业务是否按计划执行，过程是否存在漏洞，成本归集是否准确设备运行控制Z33指能源供应设备、能源生产设备运行是否安全、员工操作是否合规、数据上传是否准确项目执行控制Z34指日常经营活动对应的模块是否能准确通过财务模块确认、计量、报告；会计核算和监督是否有效信息系统控制Z35指日常用于记录经营活动的ERP系统运行是否有效，是否均通过ERP环境归集各类业务信息与沟通Z4信息传递载体Z41指公司通过线下传递或线上ERP系统传递的信息情况信息沟通效率Z42指公司内传递的信息是否及时，相关人员是否及时反映信息沟通效果Z43指公司内传递的信息是否准确、是否影响对应活动开展内部监督Z5集团内部审计Z51指公司是否定期接受集团内部审计或外部审计监督日常简易监督Z52指公司日常是否有日常不定期检查抽查各类经营活动评价归责制度Z53指公司是否有相应绩效评价制度，发生问题是否有问责制度，运行的情况如何表4.1ERP环境下Y电力公司内部控制评价要素表Tab4.1EvaluationElementsofInternalControlBasedonERPinYPowerCompany其次，我们确定评价标度。在研究内部控制要素之间的联系时，本文选择AHP层次分析法研究多个要素两两之间的关系。美国著名工程学者托马斯通过定义1至9的标度，确定同一层级下不同的要素之间的重要性，即Z（AB）视为A对B的重要性，本文亦使用此方式将内部控制的要素进行定量，具体要素标度如下表4.2所示。表4.2要素比较标度Tab4.2ComparisonMatrixcale标度意义1指A要素和B要素同等重要3指A要素对B要素而言稍些重要5指A要素对B要素而言明显重要7指A要素对B要素而言强烈重要9指A要素对B要素而言极端重要2，4，6，8指上述标度的程度中间值1/3，1/5，1/7，1/9等标度的倒数指B要素对A要素而言某程度重要4.1.3确定FUZZY模型下内部控制评价矩阵最后，我们确定评价得分。根据国内外文献对内部控制有效性的评价指标，我们将ERP环境下Y电力公司内部控制要素对控制效果有效性的影响分为5个递进的评语集，且讲他们归为评价矩阵，即：=，对应得分分别为，最后将AHP确定的权重判断矩阵与评价矩阵相乘，计算最终综合评价得分。根据上文确定的内部控制要素，我们紧扣相关业务活动，采取问卷调查法，最终选择了20名集团内审人员、专家和管理层人员进行填写，他们分别是：集团地方内部审计部门成员5名、Y电力公司各部门10名管理层员工以及外部专家5名。为了便于统计，防止误差，这20份问卷均限时完成，且评价内容均是单选。问卷回收结果完整，具有较大参考价值，我们将结果以频率方式展现，由此得到ERP环境下Y电力公司内部控制评价集矩阵。4.2ERP环境下Y电力公司内部控制模型计算评价根据4.1的理论，本部分对模型要素进行计算。因行文篇幅有限，权重计算我们以第一层内部控制五要素为例进行详细计算。4.2.1AHP模型下第一层指标权重计算及评价（1）首先，将内部控制五要素间的标度列为判断矩阵：对于第一层指标五个要素，我们依次将专家问卷数据中五个要素之间重要性的量化标度记为五个向量（如内部环境对其他五个要素的标度为则：=（2）其次，根据公式（1）和公式（2）计算几何平均数，将其归一化并确定其权重：（3）再者，根据公式（3）和公式（4），先将元素归一，再代入计算第一层指标最大特征值，同时进行检验：符合一致性检验标准，数据有效（4）最终，我们得到第一层要素指标权重及一致性检验数据，如下表4.3所示。表4.3内部控制五大要素的指标权重表及检验Tab4.3IndexWeightTableandTestofFiveElementsofInternalControlZ1Z2Z3Z4Z5权重βZ1121/2220.2460Z21/2111/220.1623Z3211230.3065Z41/221/2120.1864Z51/21/21/31/210.0987λmax=5.1682CI=0.0421根据计算我们可以发现，在第一层指标中，内部环境占总体的24.60%，风险评估占16.20%，控制活动占比最大为30.65%，信息与沟通占比18.6%，内部监督所占比重不到10%。据此可知我们需要重点关注内部环境和控制活动二层指标的影响，尤其是工程管控、设备管理、材料管理、财务控制和信息化，均涉及到日常经营活动。内部监督作为评价的一环比重较小，我们需要关注是否有考核体系、内部审计或监督不到位的地方。4.2.2AHP模型下第二层指标权重计算及评价重复步骤（1）~（4），我们可以同样得出第二层要素指标之间的权重。（1）内部环境下的二级指标如下表4.4所示：表4.4“内部环境”的二级指标权重及检验Tab4.4TheSecondLevelIndexWeightandTestof"InternalEnvironment"Z11Z12Z13Z14权重βZ1111/2130.2485Z1221320.4179Z1311/3130.2245Z141/31/21/310.1090λmax=4.2325CI=0.0775根据计算我们可以发现，一致性指标CI=0.0775＜0.1，数据有效。在内部环境中，组织结构的权重最大，达到了41.79%，说明要着重关注公司结构，我们询问了部分设备车间工人，发现其并不了解前文中所提及的经营结构流程图，说明信息化环境下并没有将人统一起来，这对内部控制环境的影响是重大的。（2）风险评估下的二级指标如下表4.5所示：表4.5“风险评估”的二级指标权重及检验Tab4.5TheSecondLevelIndexWeightandTestof"RiskAssessment"Z21Z22Z23Z24权重βZ211321/30.2538Z221/3111/30.1232Z231/3111/20.1364Z2433310.4866λmax=4.1882CI=0.0627根据计算我们可以发现，一致性指标CI=0.0627＜0.1，数据有效。在风险评估中，战略目标权重达48.66%，评估方认为较好的战略如：争做一流信息化产业、工程按时履约、设备操作合规、材料成本计提完备等目标是风险评估的基石，只有公司员工知道要干什么，才能更好地了解经营活动中的风险。风险识别占25.38%，正确地识别风险才能为后者评估、应对风险作出及时反映，后者分别占12.32%及13.64%，需要注意的是，调查发现管理层对风险应对关注较低，曾经在ERP刚开始实施时，由于普及度较低，集团做过两套账用于应对内部审计，需要考虑后文Y电力公司内部监督是否有效。（3）控制活动的二级指标如下表4.6所示，表4.6“控制活动”的二级指标权重及检验Tab4.6TheSecondLevelIndexWeightandTestof"ControlActivity"Z31Z32Z33Z34Z35权重βZ3111/21/321/40.0880Z3221131/20.1813Z3331131/70.2006Z341/21/31/311/50.0562Z35427510.4738λmax=5.3121CI=0.0780根据计算我们可以发现，一致性指标CI=0.0780＜0.1，数据有效。控制活动是Y电力公司的重点，其中信息系统控制权重最高，达47.38%，物料购销和设备运行依次达18.13%和20.06%，财务活动由于数据均从其他模块传递，出现舞弊或凌驾于管理层之上的重大错报风险较小，给予了8.88%的权重，项目管理最低，为5.62%。调查发现，2013年刚建立ERP时一套完整的销售流程需要耗费10天，目前仅需2.5天，且应收款坏账历年控制在可接受的风险水平下。物料采购中，采购员可以利用ERP进行比价，但需要使用公司内网；若人在外面出差，需要借助VPN，但VPN有预授权项目和信息泄露的风险，因此信息控制虽然权重高，但实际执行效率并不高。（4）信息与沟通的二级指标如下表4.7所示。表4.7“信息与沟通”的二级指标权重及检验Tab4.7TheSecondLevelIndexWeightandTestof"InformationandCommunication"Z41Z42Z43权重βZ411330.5936Z421/3120.2493续表4.7信息与沟通”的二级指标权重及检验Z431/31/210.1571λmax=3.0536CI=0.0268根据计算我们可以发现，一致性指标CI=0.0268＜0.1，数据有效。信息载体59.36%最为重要，信息传递效率、效果分别占24.93%和15.71%。专家认为，几乎所有信息都在ERP系统中，ERP虽然提升了信息传递的精确度，但调查下来效率并不是很高，如集团审计时，需要查看报表，要求查询子公司各类凭证和报表，对于熟悉ERP的审计部门好做，但对于跨部门的逆查，结果不直观，相当复杂。虽然整合了内部控制流程，但是具体内容看不懂，找凭证也相当麻烦。说明ERP效率低下但是控制力高。（5）控制活动的二级指标如下表4.8所示，表4.8“内部监督”及二级指标权重表TZb4.8TheSecondLevelIndexWeightandTestof"InternalSupervision"Z51Z52Z53权重βZ5111/21/30.1515Z52211/40.2184Z533410.6301λmax=3.1078CI=0.0539根据计算我们可以发现，一致性指标CI=0.0539＜0.1，数据有效。集团专家认为，内部审计权重为15.15%，不高但有效；日常简易控制占21.84%，主要包括各类规章制度、信息打卡、操作流程培训等；评价归责权重占63.01%，是由于集团需要通过信息系统查找评价归责表，引申入人力资源系统和职工薪酬的计量。据此，我们完成了AHP模型下的要素指标的权重分解，接下来将进行综合计分。4.2.2FUZZY模型下指标对整体的综合评价根据评价矩阵=对应评分为。发放调查问卷并计算评率，编制ERP环境下Y电力公司内部控制权重及评价集频率，如下表4.9所示：

表4.9ERP环境下Y电力公司内部控制权重及评价集频率Tab4.9InternalControlWeightandEvaluationSetBasedonERPofYcompany第一层要素及权重第二层要素及相对权重第二层要素综合权重集团/管理层/专家模糊评价集M1有效M2较好M3一般M4较差M5失效内部环境Z10.2460公司理念Z110.24850.06110.600.350.050.000.00组织结构Z120.41790.10280.650.150.250.100.00权责分配Z130.22450.05520.650.250.200.000.00人力资源Z140.10900.02680.500.400.150.050.00风险评估Z20.1623风险识别Z210.25380.04120.650.200.100.050.00风险评估Z220.12320.02000.300.500.050.150.00风险应对Z230.13640.02210.100.150.500.250.00战略目标Z240.48660.07900.600.300.100.000.00控制活动Z30.3065财务活动控制Z310.08800.02700.800.200.000.000.00物料购销控制Z320.18130.05560.150.650.100.100.00设备运行控制Z330.20060.06150.600.250.150.000.00项目执行控制Z340.05620.01720.400.500.050.050.00信息系统控制Z350.47380.14520.100.250.450.100.10信息与沟通Z40.1864信息传递载体Z410.59360.11070.050.200.500.250.00信息沟通效率Z420.24930.04650.100.100.600.200.00信息沟通效果Z430.15710.02930.400.150.350.100.00内部监督Z50.0987集团内部审计Z510.15150.01500.800.100.100.000.00日常简易监督Z520.21840.02160.050.100.500.300.05评价归责制度Z530.63010.06220.150.250.350.250.00随后，将权重矩阵Z与评价集矩阵M相乘，再乘评分矩阵{100，80，60，40，0}，得出最终评分Y。以控制环境为例，权重矩阵乘评价集矩阵：，记为，乘评分矩阵：同理可得风险评估，控制活动，信息与沟通，内部监督。将、、、、构成矩阵，综合评价集矩阵计算最终整体内部控制得分：=78.16根据专家意见，将ERP环境下内部控制有效性得分91~100分设为“有效”；将81~90设为“较好”；将71~80”分设为“较好需改进”；将61~70分设为“一般需改进”；将60分以下设为“不合格亟需重视”。将结果汇总如下表4.10所示：表4.10权重、得分、评价汇总表Tab4.10SummaryofWeight,ScoreandEvaluation第一层指标权重最终得分评价内部环境24.60%94.65有效风险评估16.23%84.57较好控制活动30.65%73.60较好需改进信息与沟通18.64%63.76一般需改进内部监督9.87%67.84一般需改进综合得分178.16较好需改进根据上表，ERP环境下Y电力公司的内部控制整体情况较好，但仍存在需要改进的地方，其中：控制活动权重第一，得分为94.65，运行有效。得益于集团较好的组织架构，Y电力公司保证了环境氛围的有效性，扁平透明的ERP环境将内部控制整合为一个系统的组织架构。每一个操作ERP系统员工都有独自的UID和口令，管理层可以通过ERP功能实现权责分离人力资源也有单独的模块，专家也给予了优质评价。风险评估权重第四，得分为84.57，运行较好。正确的战略目标仍是发展的第一要务，风险识别程序仍需更加完善，不能完全依赖于ERP系统的预警，如财务数据的录入，有时扫描并审核原始凭证并不能立马识别出人为输入错误的风险。控制活动权重第二，得分为73.60，运行较好需改进。查阅第二层指标发现，信息系统控制是影响最终得分的最重要次级指标，有专家给出了内部控制失效的评价，该指标离散程度较大，意见不一，调查发现确实存在诸如部分单据、账款不经过系统核算导致后期对账出现问题的情况。物料管理和设备管理息息相关，经由PMIS模块核算，控制的较好，财务控制权重较低但有效。信息与沟通权重第三，得分为63.76，运行一般需改进。此处的信息沟通主要考量信息传递的效率效果和媒介，近半数专家认为信息传递效率效果一般的理由是ERP平台鲜有内部信息的传递，主要依靠线下传导信息，ERP环境下邮件传递信息反而对项目工程、对外采购等业务造成负面影响，因此需要进一步完善信息传递的方式，以便对内部控制缺陷得到及时的反应。内部监督权重第五，得分为67.84，运行一般需改进。专家一致认为集团内部审计较好地保证了Y电力公司整体内部控制情况，但日常评价体系的缺失造成了简易监督较差的控制性，同时由于公司结构受集团控制，评价归责制度似乎形同虚设，管理层似乎也并不在意。综上所述，Y电力公司秉承了信息化道路，通过ERP系统编织了一套信息化经营体系，内部控制综合评分为78.16，基本运行有效。信息系统的问题、日常评价的缺失和管理层的不重视是内部控制缺陷主要成因。

4.3ERP环境下Y电力公司内部控制具体缺陷分析4.2.2ERP系统缺陷根据上文的模型计算，发现Y电力公司ERP环境下内部控制多依赖于控制环境和控制活动，即信息化环境，深入具体业务后发现ERP系统存在如下缺陷：（1）个性化程度低其一例为涉外业务会计处理无法个性化。财务部会计表示，国内外会计制度上存在差异，会计期间的划分不同时，涉外不同业务费用的归集期间就需要重新考量，而ERP系统对会计期间的初始设置是死的，一笔本期发出货物下期收到货款，那么就需要切换账套操作，其中存在错记、漏记的风险。另一例为成本归集流程无法个性化。在实际通过ERP操作物料采购时，由于物料采购价格、因为时间点不同，同样物品型号下价格也不一样，做账里就有很多个价格，移动询价，ERP会自动用移动加权平均值替代，存货也有一样的价格，非常影响存货计价，月底变化大，月初冲销。用产品法核算货物销售的时候，也会出现这个问题，这就增加了成本金额错报的风险。（2）流程复杂，权限垄断ERP手续非常复杂，效率低下，如果出现问题，需要经手众多流程：如费用报销部门设置了费用管控参数，计划采购100万物料，采购部门不小心多采购20万，逆转流程冲销账务的时候，需要反向冲销至各个部门，逆向环节过多，发生变化的人物部门都要参与ERP系统进来做审批确认上报的工作。材料采购环节是管理层设置的，不能修改，不能投机减少步骤。财务模块实施管控，只要有一点问题就有预警，这就造成了冲销的入库金额只要不符，就会误报警，超过一定金额的重要性时甚至会实时上传至整个集团。（3）成本过高，资源浪费ERP作为一款管理工具，引进和维护都需要一定费用。Y电力公司有兼职或总部外派的软件维护工程师，解决日常突发问题，这需要一比额外开销以应对软件的内部控制风险。ERP软件费用是按照使用人数和天数计算的，Y电力公司总部一般与软件商几年签订一次使用协议，然后分派给各分部一定的名额供职工使用。但Y电力公司湾分部由于在职使用者人数规模不大，有时ERP使用名额会过剩，导致公司需要付出额外的成本，而这个成本每年也要有2-3万，这还不包括有时遇到系统维护升级所带来的资源损耗，这些成本无疑加大了内部控制的运作成本。业务人员交替无法顺利适应。本文于疫情恢复期间调查，由于疫情防控需要，Y电力公司聘请了兼职会计，兼职对涉外业务了解程度不佳，难于上手，出现过科目归集错误导致成本结转出现问题的案例，且每个人员都有独有的UID，按照国家企业要求必须装ERP，得有足够权限的人，人员流动性大间接加大了ERP系统的维护成本。造成这种情况的原因也是当下国内ERP大环境所致。相比于国内小型制造业“用不起”专业的ERP财务软件，Y电力公司有聘请兼职会计辅助日常业务的现象，在对他们培训熟悉软件并让他们符合企业内部控制运行时也需要发生一笔成本。由此可见，ERP环境下的内部控制相比传统的消耗更多的财力，成本稍高，企业要对此项成本进行合理规划。（4）软件风险，网络风险ERP是程序，编制的时候会产生错误，内部控制也是一样。企业在编制一系列内部控制条例，架构内部控制环境时就要注意这些问题，凡事预则立，若标准都错了，录入数据考核只会难上加难。ERP在供货商往来模块的设置还有待完善。由于该ERP只服务于Y电力集团公司，它与其他款ERP软件的兼容上就存在问题，目前功能只能实现简单的订单转入，还无法提供一套完备的链式系统去保证从供货商发货到收货的时效性。虽然电子档案比过去纸质档案更容易记录保存，但还是偶尔有人为的输入错误，这是无法避免的，不能解决数字记录的问题，倘若出现以上风险，Y电力公司还需要更全面的预防措施。ERP是实时的、线上的互联网信息系统，那么黑客、病毒依然是软件的头号杀手，他们的入侵会造成难以估量的损失，因此企业要做好防火墙工作。偶尔人为的类似断电、忘记保存也会导致数据的丢失和损害。这些导致内部控制效果薄弱，这就要求企业出台更充分严密的制度去保证软件和人之间的互动是正确有效的。这一点是Y电力公司的隐藏问题，这些软件风险会影响内部控制。4.2.2评价体系缺陷Y电力公司缺乏日常简易的评价体系。只要财务模块不出报表，管理层就看不到相关绩效和指标内容，影响到预算和决策，简言之就是管理层评价作出评价时过分于依赖ERP系统导致日常一些线下的经营控制聊胜于无。管理层认为，ERP系统的程序更新需要很多人一起做，源头上防止技术外流，其任何一个环节都很重要，各个模块的管理都很均衡，信息部门管技术、财务部门管资产、内部审计部门管流程合规性，没有重心转移一说，前端只管执行任务，不管费用。ERP最终体现在财务上，出结果，出数据，当然只靠财务是不行的ERP下的内部控制应该是三权分立的，因此在制定评价体系时很难找到一个全面的模块或指标进行定义评价，这也就导致了员工在某些操作时没有相关评价指标的约束，就会出现误操作、省步骤，给内部控制有效性带来影响。上文有提及由于ERP系统的缺陷，如果一笔业务出现错误，多个部门会受到牵连，导致建立评价体系时很难归责，这也是内部监督控制有效性的得分最低的原因。4.2.2风险应对缺陷Y电力公司的风险应对系统不完善，主要体现于评估风险后管理层无法做出及时反映，通常不通过ERP去处理，而是解决风险以后命令下属再去ERP系统上完成。（1）管理层重视程度低据了解，管理层很少通过ERP系统对日常经营活动进行管理或评估。集团根据业务的不同，内部控制的评估周期也不同，管理层就没有设置固定的评估时间去检查各部门的经营状况，仅有各部门负责人监督，如财务总监实施监督财务部运行等。远光软件虽然一体化了财务模块，但其与总部监事会的联系几乎为0，包括Y电力公司的总负责人（类似CEO）很少涉及内部控制的运行，他们很少接触这款财务软件，他们更愿意通过财务总监书面汇报评估管理而不是通过ERP软件进行内部控制。造成这种情况的原因一方面是由于负责人年龄略高，对这些现有软件不熟悉，另一方面是由于管理层还是熟悉传统的人事内部控制，因此在这点上内控还需要改进。（2）总部分部的风险Y电力公司与总部之间的联系尚不密切，除了上文所提及的溢余的ERP权限名额请示总部重置分配需要时间以外，Y遭遇突发电力公司状况时，向总部汇报提供材料就需要消耗更多的时间，有时还不如一个电话或者一封邮件请示总部老总来得迅速——因为这里ERP的数据传输还没接入总部。因此对母子公司的风险应对措施还需要完善。我国ERP软件的完善程度对比国外更为先进的ORACLE（甲骨文）ERP也是相形见绌的。由于国外软件流通的ERP财务软件和Y电力公司的ERP财务软件识别不兼容，双方经常会出现订单、询价往来单据录入系统时候系统无法识别导致出现乱码的情况，这就导致企业需要多一步转化才录入数据，但这也增加了负担，削弱了及时性。有时部分软件功能滞后，内部控制还易出现漏洞。首先，公司财务部将每月生产的产品按照标准的料、工、费计入产品成本。其次，再通过制造部、物流中心对材料出入库情况、生产材料投放情况，在产产品情况进行稽核，确定材料实际发生数；从综合办了解当月人员工资及五险一金等人工成本情况，确定人工成本；从财务账面归集的水电暖费、折旧费等日常制造费的实际发生数，确定制造费用。最后，将标准数与实际数的差异通过会计科目进行调整，确定最终的产品成本。4.4本章小结本章通过AHP模型，分析确认了ERP环境下影响Y电力公司内部控制的具体要素，从这些要素出发，本章还定义了评价集，通过问卷形式利用FUZZY模型评价了内部控制有效性，针对值得关注的要点进行了深入分析，最终总结为三大问题。本章将三大问题中的具体缺陷罗列、分析为下文优化建议做剖析。第五章ERP环境下Y电力公司内部控制的优化建议5.1ERP系统层面优化建议（1）技术开发层建议Y电力公司的ERP系统是集团第一批试点单位，从规划试点实施至今已有10个年头，其中Y电力公司也是该信息系统行业推广单位，其拥有自主更新开发权，开发其他相应个性化模块为其他子公司提供了参考意义。ERP是内部控制的执行的平台，是ERP下内部控制的大前提。企业所使用的ERP要有严格的质量把控，ERP开发者要保证软件的质量，可以稍微将软件设计地易操作一些便于上手。不能出现系统bug漏洞的情况，技术层要下好功夫，保证企业数据录入不出现差错。不断完善ERP的一体化，甚至母子公司的一体化的系统未来也可以加以研发。ERP开发上也要不断创新，就像会计权重逐渐导向管理会计一样，紧跟时代步伐，顺应企业需求，完善其他管理方面的应用，如发布可以发布更多可自定义的模板，满足财务管理、人力资源管理员工激励、购销询价、新产品设计等需求。完善公司内部、有条件构建整体集团论坛，用于各部门之间、公司之间的交流，增加透明度等，提升人与人之间的氛围，加强公司之间的合作，进一步提升内控效率。开发商也要注意和国外软件企业沟通交流，确保双方线上电子文件可以互通共享，争取合作共赢，这样可以使企业内部控制范围更广，处理涉外业务时更加得心应手。（2）后续维护建议维护好软件服务器，保证日常运行无误。做好防火墙，防止外部人员恶意攻击和病毒的入侵，定期发布补丁。定时调研软件使用企业，了解用户使用体验，对用户的偏好需求进行分析，深入了解其发现的问题，然后针对地解决优化。同时定期发布更新和完善的内容，保证软件不过时，不落后于时代，如每年都会变化的税务政策时软件也要及时完善更迭，保证企业内部控制及时有效。5.2公司内部控制层面优化建议（1）管理层建议对于软件和人为的风险应对，我的建议是：1.建立健全信息网络系统安全的相关制度。严禁人为恶意修改数据、删除凭证报表、修改数据库的行为，对违法的进行严惩，保证信息的安全性。2.定期对系统进行更新换代，同时对系统管理者进行考核评估，多方面评价，防止权力过于集中。3.完善评价体系，增强企业的内部意识及风险防范意识，细化和完善内部控制框架，建立适当的归责系统，不要过分依赖于ERP环境，线下该有的控制点不能少。4.重视安全生产工作，认真落实主体责任，强化全员安全意识。全年持续开展本质安全型企业建设，健全安全风险分级管控和隐患排查治理双重预防机制；细化安全风险清单大数据，可以尝试试点检修维护作业和运行操作风险管控卡，实施安全风险点全流程分级管控；严抓向外委托工程安全管理，执行“两外”管控“两个必须”“两个一样”要求，作业现场全过程安全监督，首创外委监护“黄马甲”制度；开展“安全制度落实年”活动。管理层作为内部控制规定的制定者和风险应对的执