公司送件 IPO,內控制度會被仔細檢視。理由很實際:上市櫃是向公開市場的投資人募資,這些投資人不認識公司,也沒辦法自己進去查帳,能依靠的是會計師的查核意見。會計師願意簽,前提是這間公司的內控經得住查。
查核大致分兩層。制度面看控制點有沒有訂、權責分不分得清楚、核決流程完不完整,這層多數公司書面上做得還可以。比較容易出事的是執行面:制度寫的那一套,實際交易有沒有照著做,做完之後留不留得下可查證的紀錄。會計師不會逐字讀你的制度手冊,他抽幾筆交易,要你把整條單據調出來對給他看。對得起來這筆就過,對不起來,制度寫得再漂亮也沒用。
對不對得起來,常常取決於一件事:這些控制點,有多少是系統幫你記著的,有多少還靠人工在傳。九大循環裡哪些控制適合交給 ERP、哪些只能靠人,制度跟系統之間怎麼搭才不會每次查核都翻箱倒櫃,是這篇要談的。
ERP 的角色:讓憑證串起來
有個常見的誤會,以為導入 ERP 之後系統紀錄就等於憑證。真正的原始憑證大多還在系統外面,像統一發票、合約、銀行對帳單、簽收聯。ERP 的價值,是把這些散落的憑證按交易的時序和金額兜成一條能往回追的軌跡。
查核的方向是反過來走的。會計師從 ERP 裡的一筆單據或分錄出發,往回找到背後那張原始憑證,核對金額、時間、核准。所以 IPO 前導入 ERP,對內控最實際的幫助,是讓每一筆交易都留下追得回去的線索,帳務電子化只是順帶的結果。
控制點落地,分成兩種
制度上列的控制點,執行起來分兩類。
一類跟 ERP 流程綁在一起。請購沒核准就無法轉採購、信用額度不足系統就擋下出貨、數量金額不符就過不了帳,這些控制內建在流程裡,要不要做不看承辦人記性,系統會擋。查核要佐證,報表和軌跡都調得出來。
另一類得靠人工。要實體簽核的單據流程、需要手動更新的紀錄、靠 Email 往返確認的環節。這類控制每跑一次都耗人力,也容易斷:有人忘了傳,或事後才補簽,鏈條就缺一段。查核會卡的地方,多半在這。
方向因此很清楚:能交給系統擋的控制,盡量交給系統。這除了省人力,也讓「有沒有確實執行」不再取決於個人自覺。
哪些不該交給系統
把九大循環的控制點全塞進 ERP,是個常見但危險的念頭。
先區分一條控制為什麼存在。有些是為了查核防弊,像三方比對、出貨前的信用查核、收入認列的時序勾稽;有些其實服務的是營運管理,像客戶分級、毛利分析、供應商評分。同一條規則常常兩邊都沾。信用額度控管就是這樣,既控呆帳,也是業務天天在用的工具。分得出這兩者,才看得出哪些控制真的在管風險,哪些只是把管理需求寫進了內控。
更關鍵的一個區分,是規則型和判斷型。
數量、金額、時間、權限這種規則明確、可以勾稽的控制,交給 ERP 最有效率。靠人判斷的就不一樣:供應商遴選合不合理、關係人怎麼認定、一筆投資該不該做、異常該怎麼查,這些勉強塞進系統,做出來只是一個打勾欄位。勾了不代表判斷過,反而給出一種假性保證,讓查核者以為風險被控住,比沒有控制還麻煩。
判斷型控制裡,ERP 能做的是留軌跡:誰核准、依據什麼、附了哪些文件,判斷本身還是人的責任。九大循環中,融資和投資就是不適合硬塞的典型。
九大循環文件撰寫的要點
這裡列出每個循環的文件撰寫要點,以及對應ERP的角色是如何,我們接下來會有針對每一個循環的文件要點與常踩雷的地方。文件要寫什麼、怎麼寫才過得了查核,每個循環都不一樣、也都超多細節,所以需要拆成系列逐篇寫。
| 循環 | 控制要點 | ERP 的角色 |
|---|---|---|
| 銷售及收款 | 防營收提前認列、防呆帳 | 強掛鉤:信用擋單、訂單→出貨→發票→入帳的時序勾稽。IPO 最敏感,回報率最高 |
| 採購及付款 | 防虛假採購、重複付款、圖利廠商 | 強掛鉤:三方比對、請採驗付職能分工。供應商遴選合不合理留給人判斷 |
| 生產 | 領料有據、成本歸集正確、可追溯 | 強掛鉤:工單領退料、完工入庫對 BOM、批號追溯。接單式生產可挖很深 |
| 薪工 | 防幽靈員工、薪資計算與核准分離 | 不須掛勾,只需要人事薪資系統符合程序 |
| 融資 | 借款用印、額度授權的高層管控 | 不須掛勾: 金額大、判斷重、低頻。ERP 限於記錄主檔與帳務勾稽 |
| 固定資產 | 資本支出核准、實體與帳載相符 | 半掛鉤:折舊與帳務自動滾算;實體盤點仍靠人工 |
| 投資 | 投資決策的董事會層級管控 | 不須掛勾: 靠董事會議事錄等外部文件,ERP 只記主檔與權益法帳務 |
| 研發 | 費用化與資本化的判斷依據 | 半掛鉤:工時與費用歸集到專案,給資本化留依據;立項判斷靠人,研發流程可以留在GIT紀錄 |
| 資訊(電腦化資訊系統) | 權限、變更、存取、備份的一般控制 | 它就是 ERP 本身的控制,見下一段 |
第九個循環,是其他八個的前提
資訊循環和前面八個性質不同。前面談的是某個控制要不要交給 ERP,資訊循環談的是 ERP 本身能不能被信任。
它管的是系統的一般控制:權限有沒有確實區隔、資料異動有沒有留紀錄、系統變更有沒有管控、備份能不能還原,也就是一般說的 ITGC。
放在最後談,是因為前面整套「交給系統比較省事」的邏輯都架在它上面。權限沒區隔,採購可以自己回頭改驗收單,三方比對設得再嚴也是空的;資料異動不留痕,系統裡的數字就失去可信度,會計師不會採信。底層的一般控制不穩,上面的流程控制做得再完整也撐不住。
完整的邏輯是:ERP 讓內控憑證容易取得、容易勾稽,但這份便利能不能成為查核採信的依據,看的是資訊一般控制扎不扎實。系統要能幫公司省事,前提是它自己先值得信任。