半導體企業采購內部控制探究

李炳昱++趙增耀

[摘要]從國家工信部集成電路千億元產業投資基金到日前發布的“中國制造2025”，半導體行業迎來了前所未有的發展機遇。半導體企業投資大、運營成本高、技術性強的特性，決定了企業采購管理的重要性。文章擬從內部控制的視角分析半導體企業采購普遍存在的問題，并對加強和改善內部控制提出建議。

[關鍵詞]半導體企業；內部控制； 采購計劃管理

[DOI]1013939/jcnkizgsc201723173

1半導體企業采購內部控制存在的主要問題

11采購計劃管理職能缺失

采購計劃管理是整個采購流程的關鍵控制點之一，企業實務中，需求部門根據實際的生產經營需要向采購部門提出需求申請，采購部門根據需求申請平衡現有庫存物資、采購周期等，統籌安排采購計劃。該環節的主要風險有需求或采購計劃不合理、不按實際需求安排采購或隨意超計劃采購，甚至與企業生產經營計劃不協調等。采購計劃的缺失可能會因對市場變化趨勢預測不準確而造成庫存短缺或積壓，最終導致企業生產停滯或資源浪費。缺乏針對性的采購策略，還可能導致采購效率低、采購成本高，從而出現管理漏洞。

12部門間缺乏有效的溝通協調

半導體產業注重精細化分工，跨部門協作各司其職，一般都會設置業務（MSD）、研發（RD）、制程（PE）、制程整合（PIE）、設備（EE）、廠務（FAC）、品質工程師（QE）、制造控制（MFG）、供應鏈（SCC）等業務單位，采購作為供應鏈系統中的關鍵環節，基本和每個部門都會發生關聯，為了避免信息不對稱，有效的跨部門信息傳遞非常重要。量產才能攤薄各類成本，而穩定工藝是量產的基礎。想要保持工藝固化，穩定持續的原物料供應起到了關鍵作用。因此，企業實務中，原物料甚至零配件都要盡量使用同一供應商同一經營者的品牌以降低試錯風險。需求部門提出的需求性指標（RFQ）往往需要終端用戶制程或設備確認，然后采購依據RFQ購買。在此環節中，如果RFQ提供的信息不對稱，就會出問題。比如某廠就發生過因供應鏈為了降低采購成本選擇了低價供應商，供應商擅自更換材質，設備未接到變更通知直接使用，導致工藝條件（未做失效分析）變化而報廢整批產品的問題。再比如設備制定的RFQ在市場中只能尋找到唯一匹配的供應商，且設備工程師和供應商過往甚密，供應商知道企業對零配件的需求迫切性，從而使企業在價格談判中處于劣勢。因此，整個供應鏈流程中信息不對稱、缺乏有效的溝通最終可能導致企業生產停滯或采購成本高出正常水平。

13采購信息控制系統尚不健全

現代化企業實務中，信息系統已經從純粹的財務系統整合至全方面的企業經營管理系統中。完善的信息系統能幫助企業控制業務流程、跟蹤和記錄經營行為，有效的信息系統能為決策者提供必要的信息從而影響企業決策。半導體產業中，按照采購類型一般分為原物料采購、輔助材料采購、零配件采購、維修等專業服務類采購、固定資產采購。僅原物料一項就有上千種料號需要建立，如此龐大的數據需要借助專業的管理軟件實施。無論是國內較為成熟的用友軟件還是國外的SAP等，都需要針對客戶的需求定制化開發以滿足企業的實際經營管理需要。實施需要多個部門協助，每個部門的訴求不同，對供應鏈管理的功能需求也存在差異，而整個供應鏈系統，從最初的采購申請至最終的到貨安裝都需要信息系統的支持，因此，完善的信息控制系統顯得尤為重要。采購信息控制系統的不健全可能會因信息不完整或信息錯誤導致最終決策失誤；信息系統設計功能不合理、維護或變更程序不規范可能導致企業經營效率與效果低下；信息系統的訪問安全措施不當，還可能導致商業秘密泄露。

14供應商選擇與管理控制缺失

生產制造企業的供應商管理程序一般包含三個環節，即供應商的選擇、日常管理及評估考核。供應商選擇不當，可能導致采購物資質次價高，甚至發生舞弊行為。另外，根據美國專業供應鏈的研究機構AMR的最新調查結果顯示，59%的機構將供應商關系管理視為供應鏈面臨的主要挑戰之一。半導體企業對成本控制有著嚴格的規范的要求，因此采購面臨的考驗也更多。對供應商評價標準主要考慮三個因素，即質量、價格、交貨期及售后服務。對重要的供應商，還會涉及定期現場稽核及企業經營文化理念等方面。供應商準入機制設計不合理，供應商管理混亂，評估考核工作缺失可能導致所選供應商不能滿足公司需求，甚至發生舞弊。

15采購合同簽訂與驗收控制缺失

未經授權對外訂立采購合同，合同對方主體資格、履約能力等未達要求、合同內容存在重大疏漏和欺詐，可能導致企業合法權益受到侵害。框架協議簽訂不當，可能導致物資采購不順暢。驗收標準不明確、驗收程序不規范，可能造成賬實不符、采購物資損失。驗收中存在的異常情況沒有及時報告和處理，可能造成賬實不符、采購物資損失。采購退貨缺乏適當的審批，貨物出庫、貨款回收缺乏規范的管理，可能導致公司資產損失，影響財務報表準確性。

2加強半導體行業采購內部控制的舉措

21完善法人治理結構，進行系統性風險管理

法人治理結構，是指現代企業應具有科學化、規范化的企業組織制度和管理制度。為防范運營風險，企業應采取最適合本行業特點的管理方法。無論是美國COSO委員會提出的內部控制框架還是我國構建的《企業內部控制基本規范》及《企業內部控制配套指引》，都強調了企業應從控制環境、風險評估、控制活動、信息與溝通、內部監督這五個要素梳理風險、加強控制，從而合理保證經營的效果與效率、財務報表的可靠性及遵循適當的法律和法規。內部控制是實現目標的程序和方法，并由企業各級人員實施和配合。企業應設置內控部門，專門負責組織與協調風險管理與控制相關實務，內控部根據規范指導和開展工作。

22完善企業制度，明確操作流程

按照《企業內部控制基本規范》及相應應用指引的規定，企業應當結合實際情況，全面梳理采購業務流程，建立和完善采購業務相關的管理制度和辦法。統籌安排采購計劃，明確請購、審批、購買、驗收、付款等環節的職責和審批權限，按照規定的審批權限和程序辦理采購業務，定期檢查和評價采購過程中的薄弱環節，采取有效控制措施，確保物資采購滿足企業生產經營需要。構建以內部環境為重要基礎、以風險評估為重要環節、以控制活動為重要手段、以信息與溝通為重要條件、以內部監督為重要保證，相互聯系、相互促進的五要素內部控制框架。半導體企業各業務單元緊密聯系，建立內部控制制衡性原則是一個重要的方向，在治理結構、業務單元設置、業務流程等方面相互制約，分工合作兼顧企業運營效率。endprint

23加強對信息管理系統的風險評估和管控

信息管理系統在半導體制造系統已經普遍應用，企業在實施應用的過程中往往訂制化開發，以便使系統功能與企業實際緊密結合。一般來說，根據公司層次對應相應的信息系統，信息系統形成的信息質量依賴于控制活動的有效性。及時適當地獲得可靠的信息是影響和控制信息系統的關鍵，因此信息系統本身也就成為了內部控制的組成部分，也要加強本身的風險評估與管理。信息系統的管理控制一般包括制定合理的信息安全方針與策略、選擇規范的操作流程，通過在安全方針策略、訪問控制、系統開發與維護、業務持續性管理、符合法律法規要求等領域內建立管理控制措施，來保證組織信息資產的安全與業務的連續性。從而使信息系統成為順利開展采購業務的有效保障之一。

24加強內部信息的風險評估和管控

半導體公司應建立內部信息保密等級，合理管控內部信息傳遞的層級和傳遞方法，重點防范公司采購信息對外泄露，降低供應商竄標虛報價格等風險。科學合理的RFQ信息傳遞與決策機制，有利于防范內部員工陷入與供應商的串通舞弊，從而增強詢比價的效果，降低公司采購成本。

25采用科學合理的內部控制工作方法

建立內部控制風險控制矩陣（Risk-Control Matrix），這是一種能夠把風險發生的可能性及影響程度定性分析的風險評估方法，從而針對每一風險制定相應的控制辦法，形成的一種可視化內部控制工具。此方法通過詳細記錄控制目標與風險、控制方法及類型、測試結果及改善建議等，將采購流程中涉及的風險和對應的內部控制進行匯總，最終用以發現控制缺陷并達到持續改善的目的。

3結論

隨著半導體行業的不斷發展，企業中存在的經營管理風險日益凸顯，因此也對企業的內部控制能力與內部控制水平提出了更高的要求。采購作為供應鏈系統中的關鍵環節，為企業的生產經營提供了重要保障，通過實施有效的內部控制措施能夠降低運營風險，提高經營效果與效率，從而提升企業價值增值。

參考文獻：

[1]中華人民共和國財政部企業內部控制基本規范[M].北京：中國財政經濟出版社，2008

[2]財政部會計司企業內部控制規范講解2010[M].北京：經濟科學出版社，2010

[作者簡介]李炳昱（1980—），男，漢族，河南南陽人，在讀工商管理碩士研究生。研究方向：戰略與人力資源管理。endprint