ERP環境下對內部控制的要求

吳雪霞

【摘要】 在信息化浪潮的經濟背景之下，企業資源計劃在企業中得到了廣泛應用，它是企業進行信息化建設的一個核心組成部分。然而，企業資源計劃在促進企業實現信息化管理的同時，也破壞了企業原有內控體系，給企業帶來了許多不穩定的因素。本文對ERP系統在企業應用過程中的風險進行了分析，探討了ERP環境下完善企業內控工作的對策與措施。

【關鍵詞】 企業資源計劃（ERP）內部控制風險

目前，在信息化浪潮的經濟背景之下，企業的經營生產活動正發生著巨大變化。ERP是企業進行信息化建設的一個重要組成部分，在企業中得到了廣泛應用。但是，我們在關注ERP為企業帶來的經濟效益與管理變革的同時，也應該充分意識到由ERP系統自身特點而帶來的風險。面對這些風險，制定與研究ERP環境下企業內控工作的對策與措施，就成為ERP在企業應用中的一項重要課題。

一、ERP相關理論概述

ERP通常被稱為企業資源計劃，是Enterprise Resource Planning的縮寫，簡稱ERP，于20世紀90年代被提出，使用范圍也迅速擴展到了各大中型企業，甚至也涉及到了部分小型企業。ERP對傳統業務設計的流程進行了創新與改變，對企業的財力物力人力、管理經營理念、各業務流程、企業信息數據實現了整合。ERP具有高集成性，能夠對企業的數據信息進行有效地控制與整理，它使電子計算機硬件軟件實現一體化，成為企業資源的管理系統，大大節約了企業成本，提升了企業的經濟效益。

二、ERP系統在企業中所面臨的新的風險

在ERP管理系統的應用過程當中，風險通常來源于四個方面：業務流程風險、技術架構風險、數據質量風險以及系統訪問風險。而業務流程的變化對企業的內部控制影響最大，它對企業財務與內部管理方面的監督提出了更高要求，比較過去而言，這方面的風險特征已經產生了根本性改變。針對ERP系統所面臨的風險，企業應該制定出相應的內控措施。

1、業務流程風險

ERP系統的實施給企業的各個方面都帶來了巨大的變化，在一定程度上對企業業務流程進行了改變。在ERP實施以前，對待與計算機相關的業務系統，很多企業都是圍繞著某一職能部門或者業務功能而進行設計與運行的，如采購系統、財務系統、銷售系統都是互相獨立的業務流程。ERP集成了企業生產運營的各環節，包含了企業供應鏈管理、制造加工、銷售網絡、財務核算、人力資源等各項業務流程，是一個跨職能部門的復雜管理系統。該系統能夠促使企業在諸多方面受益：可以實現供應鏈管理的高效性、減少了庫存、加大了產品裝配的靈活性、對市場機會與競爭壓力能夠做出快速反應等。此外，對于企業過去的文件審批內控機制，已經不能適應ERP業務流程基礎上的管理需要。最為重要的是，因為企業業務運作更依賴于ERP，而信息系統的自身特點與這種依賴性就導致了企業可能產生新的業務風險。倘若不能快速建立起有效的、新型的內控體系，必然會給企業整體的生產運營帶來不利影響。

2、技術風險

ERP系統的使用關聯著企業全部的業務流程，ERP系統高集成性的系統功能，使用戶在企業的任何位置，都能進行系統訪問，同時擁有改變或控制重要業務參數數據的可能。顯而易見，ERP的系統特點在很大程度上加大了企業員工處理問題的靈活性，提高了工作效率，但同時我們也應該意識到，如果不能對這種靈活性進行有效控制，那么，ERP系統分布式的技術結構與高度的集成性同樣會給企業的內控系統帶來漏洞與風險。

3、數據質量風險

有效的數據庫是ERP系統高效運行的基礎和保障，企業如果不能保障錄入系統數據的完整性與準確性，那么，ERP就沒有任何使用意義了。在ERP當中，數據錄入通常采用兩種方式：人工錄入與通過錄入數據的裝置進行錄入。對后者來說，數據錄入出現差錯的風險較小，而人工錄入方式的差錯率可能偏高。雖然，在ERP當中可以通過一些參數的設置實現對錯誤數據的預警，但還是不能從根本上對這類問題進行解決。

4、系統訪問風險

由于ERP系統將大量的業務功能都集成在一個環境系統之下，ERP用戶可能有更多機會訪問與之不相關的其他信息。雖然在ERP系統當中都設有權限控制功能，但這樣仍然不能完全保障信息的完整性與保密性。

三、在ERP環境下完善內控體系的對策與措施

1、程序控制

程序控制指的是依靠電子計算機程序實現對財會核算的內部控制，完善系統自我保護功能。自我保護型的內部控制通常比通過各項管理制度進行控制更加高效，如權限與身份控制。對文件、用戶分別授予不一樣級別的特權，從而避免未經授權人員無意誤進系統或有意進入系統，不允許存在合法用戶權限使用之外的程序、文件、設備等，不允許進行越權操作。同時，對ERP軟件進行升級、修改、更換時，要有必要的審批程序，并由相關人員進行控制與監督，從而對ERP系統當中數據的安全性與連續性進行保障。此外，還要定期或不定期地對電子計算機的軟件或程序進行維護，對防止電子計算機黑客等入侵的對策與措施進行完善。

2、健全與完善ERP管理系統的崗位設置

完善ERP系統的崗位責任制，對各項工作的權責范圍進行明確，方便企業更加快捷、準確地進行內控工作。ERP系統的崗位設置應該按照企業自身的實際情況，采用不同思路，對不同崗位進行劃分。例如，把工作崗位劃分為基本職能的崗位與ERP系統的崗位?；韭毮艿膷徫豢稍O置為生產、銷售、采購、庫存、出納、財務、審核、戰略、投資、物流等崗位；而ERP系統的崗位可設置為直接操作、管理、維護系統以及計算機硬件、軟件人員等。各企業可按照本單位工作的需要與內控制度的需求，在資料數據能夠得到安全保障的基礎上實現交叉設崗，各崗位間應該保持相對的獨立性，但又相互制約，相互聯系。

3、操作控制

通過ERP系統建立管理制度，對ERP軟件上機操作人員的工作權限與內容進行明確規定。通常包含輸入與輸出兩部分的控制，輸入控制應該保障輸入進計算機的財會數據資料都經過了嚴格審核，同時要求所有的財會信息都真實、準確、有效，例如ERP系統運行當中，應該預防各種未經審核的原始憑證輸進系統，拒絕輸入不正確的原始憑證，同時保障及時更正與再輸入；所有上機操作人員都應該經過授權；防止原系統的開發人員操作、接觸計算機，無關人員不得隨意進入機房。而輸出控制上面，最重要的就是保障各項輸出結果的完整性、真實性、準確性，保證只有授權的人員才可以接觸到輸出數據；完善輸出報告與文件的簽章制度；做好授權輸出制度；減少資產文件輸出，例如開發票、支票、提貨單都要通過相關人員授權，還要有相關人員的簽章審核。此外，數據加密儲存與數據文件保護都可以保障數據安全；重要的ERP檔案應進行雙備份，同時存放于不同地點，并且做好ERP數據防磁、防潮、防火、防塵等工作。

4、切實發揮審計部門的監督職能

審計由內部審計和外部審計兩方面構成，建立在企業內部控制的基礎之上。外部審計的責任是核對、審查被審企業的財會信息，對其真實性做出判斷，外審人員為完成責任必須對被審計單位的內部控制系統進行評價和研究。內部審計人員也一樣，他們的主要責任是通過對企業各個部門的內控制度進行評價，找出企業的采購、生產、銷售及財務管理等各個環節的不足之處，進行風險評估與防范，對當前存在的問題提出解決措施。同時，內部審計本身也是內部控制的重要環節，是內部控制的再控制。因此，在ERP環境下，企業要完善內部控制，必須認真采納審計部門反饋的意見及建議。

5、加強風險管理，做好風險的評估工作

COSO內部控制框架正被越來越多的企業所接受，依據COSO內部控制框架的規定，風險評估是內部控制五要素之一，在企業內部控制過程中，風險評估發揮著至關重要的作用。在ERP環境下，企業要做好風險評估工作，應從以下幾個方面入手：第一，準確定位風險評估的目標。風險評估目標的確立要有針對性，要對企業經營管理中的主要環節進行評估。在企業內部控制過程中，應該以公司財務報告的實現為整體目標來開展風險評估工作，可以從分析財務報告中存在的錯誤、財務報告執行過程中可能發生的資產安全問題等方面入手。第二，確定風險評估中的重要業務環節。在風險評估過程中，要分清主次，加強對重要業務環節的評估。所謂重要業務環節是指對財務報告有著重大影響的會計科目及事項。由于ERP系統中各個功能模塊是集成在一起的，因此應從文字說明及業務流程圖兩方面對企業的業務環節進行描述。風險管理要通過風險識別、風險重要性判斷、風險發生概率評估等過程，確定各業務環節風險評估的先后順序。第三，在財務報告中認定潛在風險。財務報告認定為企業進行風險評估奠定了理論基礎，認定內容包括：存在或發生、權利和義務、估價和分攤、表達和披露等方面。

6、建立“以人為本”的管理理念

任何企業都是以人為主體建立起來的，企業內部控制的對象就是企業中的各個成員，同時，企業內部控制制度的執行者依舊是構成企業的各個成員，因此企業內部控制的核心應該是企業中的“人”，脫離了“人”，再完善的內部控制制度也是一紙空文，毫無意義。因此，企業在建立健全內部控制體系時，要時刻堅持“以人為本”的管理理念。企業應對員工進行內部控制方面的教育工作，讓員工對內部控制有正確的認識，了解到自身在內部控制環節中肩負的責任以及內部控制對自身發展的積極影響。其實，內部控制并不僅僅是企業管理者的事情，企業所有員工都承擔著內部控制的責任，只有提高員工內控的責任感，才能調動員工遵循內控制度的主動性，才能促進企業的團結。企業管理者要時刻遵循“以人為本”的理念，激發員工的創造力，培養員工的共有價值理念及行為準則，塑造和諧的企業文化。

四、結語

綜上所述，隨著企業信息化的發展，ERP系統在企業資源整合及企業管理方面產生了重要影響。在企業內部控制過程中，ERP系統是一把雙刃劍，企業要應對ERP帶來的風險，發揮其對內部控制的積極作用，就要針對ERP環境對內部控制體系做出積極調整。ERP系統與企業內部控制的完美結合，對提高企業的資源利用率、確保業務數據的正確性、增強企業市場競爭力發揮了重要作用。

【參考文獻】

[1] 陳靚、陽迅：對ERP環境下企業內部會計控制創新的思考[J].中國管理信息化（會計版），2007（5）.

[2] 盧亞軍：ERP環境下企業內部控制若干問題的研究[J].Chinas Foreign Trade，2011（7）.

[3] 戴世青：ERP系統條件下提升企業內部控制有效性問題探討[J].價值工程，2010（5）.