當內控遇上ERP

賀延兵

如今，在ERP環境下建立內部控制系統，已成為ERP項目實施中不可缺少的一部分。ERP的引入，可以幫企業節省內部控制的人力成本，提高內部控制的效率，但也會給企業內控體系帶來很多具有IT技術特點的新問題。因而在ERP系統開發與實施過程中，應當全面考慮，將完善的內部控制體系有步驟地融入ERP環境當中，并將信息技術帶來的風險納入新的內部控制之中，以便在內部控制方面盡量揚長避短，為企業引入ERP帶來最大的收益。

現實問題

雖然，ERP是一種有效的企業治理工具和手段，但它不是萬能的。ERP業務復雜、運營和維護成本高，規模較小的企業不太適合采用該技術;ERP各模塊是根據業務實際設置的，沒有標準化的模型，所以對于不同類型的企業，ERP的內容也不盡相同，對于經營范圍廣泛的大型企業集團來講就很難設置統一量化的考核評價標準等。

其一，內部控制制度執行與監督、檢查力度不夠。企業內部控制的關鍵點不明確，人員分工與協同沒有落到實處，沒有專門負責對各部門進行評價制度執行情況的有力組織和考核機制。各部門和各崗位之間缺乏必要的監督與牽制，導致各部門自成一派，各自為戰。

其二，內部控制制度設計缺乏科學性和繼承性，具體表現在三個方面：一是內部控制組織不健全，把執行了業務規章制度就等同于加強了內部控制制度;二是內部控制目前僅僅是事后的控制，出了問題后才去處罰和控制，實際上已經削弱了內部控制的職能;三是內部控制并非全面的內部控制，只是將關注的重點局限在貨幣資金等重要資產上，忽視人員素質、信息數據的內部控制，與現時代的經濟發展要求相脫節。

其三，業務崗位職責分工不合理。實施了ERP信息系統后，很多企業沒有對崗位職責進行明確分工與控制。

其四，內部控制的組織結構設置不盡合理。目前，大多數企業的內部控制的執行檢查機構是內審部。內審部應是獨立于任何部門，直接對總經理、董事會、股東大會負責的，但實際中有很多單位的內審部卻是直接或間接受財務部門領導的。這樣的機構設置就會失去獨立性，起不到監督與控制的作用。

主要挑戰

一般ERP系統采用客戶端/服務端結構可以使企業低成本、高效率地獲得業務的集成管理功能。但是如果對這種技術結構的靈活性缺乏有效的控制，系統會很容易暴露在被攻擊的風險中。這種系統攻擊包括內部用戶無意或惡意的攻擊、外部人員通過網絡進行的無意或惡意攻擊和病毒攻擊等，會給企業的ERP系統，以及基于ERP系統的內部控制體系帶來惡劣的后果。

數據的所有權和日常維護也成為一個問題。如果對用戶有不合控制體系要求的訪問權限設置，那么系統將缺乏有效的反饋機制約束，其對系統的濫用，使得系統中一些機密數據變得非常透明并有可能導致企業的重大損失。數據的一次性輸入和即時傳遞模式也造成了新的控制問題。ERP環境下，數據通常是一次輸入完成后在系統內通用的，由于沒有了傳統環境下對數據的核對和檢查過程，那么如果數據初始輸入有誤，就會導致錯誤的數據在系統內被反復使用并造成一連串的錯誤處理活動、輸出一連串的錯誤處理結果，直接影響到其他流程的運作。這種情況對ERP環境下數據輸入點的控制提出了更高的要求。

ERP系統所依賴的軟、硬件環境也對企業內控體系提出了新的要求。對硬件運行實體環境的安排、對計算機硬件系統和外設的實體控制、對ERP系統二次開發和系統維護的控制、對軟件數據的備份安排等內容，也都要被企業納入內部控制體系中去。

ERP環境下各種業務數據和控制信息的電子化特性給企業的內部控制帶來了新的風險。業務數據的電子化特點使其輸入和傳遞更加方便快捷，準確性也得到了保證。這樣，企業內部控制體系在ERP環境下具有更高的經濟性和效率性，降低了成本，加強了內部基礎控制體系的規范性。但是，電子化數據和信息的合法性問題和安全性問題也將成為內控體系關注的重點，網絡環境自身的安全性也同樣脆弱，任何對企業內部網絡系統的破壞都可能會給企業的運作帶來嚴重后果。企業在網絡安全上會面面臨各種控制難題，需要制訂相應的措施來進行防范。

實施關鍵

在ERP系統開發與實施過程中，應當全面考慮，將完善的內部控制體系有步驟地融入ERP環境當中，并將信息技術帶來的風險納入新的內部控制之中，以便在內部控制方面盡量揚長避短，為企業引入ERP帶來最大的收益。

其一，要認識到ERP內部控制與傳統內部控制存在差異，并依據該框架建立企業自己的內部控制制度、設計內部控制流程、內部控制點、內部控制檢測點等內容。由于ERP中IT技術滲透到整個管理系統中，因而IT控制并非一個與管理控制、會計控制相剝離的獨立部分，而是與它們緊密結合、相互作用的部分，需要共同考慮，企業自身對于內部控制目標的精準認識對于企業后續與ERP開發商技術人員之間的溝通會起到關鍵的作用。

其二，在已確定的內部控制框架內對具體的內部控制方案進行細化設計。在進行設計時，首先，應當明確業務流程中各個作業前后的銜接，明確這些作業相互之間的關系;其次，制定每一項作業相應的作業標準和考核指標;再次，明確每項作業中的任務組合，對每項任務制定出相應的標準，即完成任務的指標，其中包括量化和非量化指標;最后，將每一項任務落實到執行任務的個人或者功能模塊，用上述制定的量化和非量化指標作為考核業績指標。同時由于任務最終落實到組織，涉及授權和責任的劃分，這樣流程的設計和組織的涉及就達到了有效的結合;而在一項業務流程的執行過程中，也可能涉及不同的內部控制項目，那么組織、項目、流程就可以完成三維的組合。

其三，在ERP項目引入的需求分析階段與開發階段必須重視與開發商充分溝通。

其四，從重點模塊入手，逐步擴展完成整個ERP內部控制系統的融入。ERP系統中影響面最廣的模塊是財務模塊，財務與各項業務關系密切，因而內部控制從財務入手就容易對業務進行有效的監管和管理;財務管理和其他業務模塊的集成使得企業的所有業務環節、所有部門都能被有效地制約和監控，做到事前預算、事中控制、事后準確核算。需要說明的是，企業建立ERP系統不是一蹴而就的，依附于ERP之上的內部控制系統必須隨著ERP系統的使用與修改不斷進行變動完善，ERP系統中的內部控制系統的成熟完善是一個漸進的過程。

完善建議

在ERP環境下，完善企業內部控制的措施建議從以下幾個方面入手：

一、完善公司的治理結構。要確保企業內部控制建設和作用的有效發揮，主要有兩點：一方面是硬件條件，即企業組織機構的建立和完善;另一方面是軟件條件，即企業內部組織結構間的有效分工與牽制。企業組織結構的設置和完善程度是影響企業內部控制的重要因素，在很大程度上決定了內部控制的效果，所以企業一定要建立科學合理的組織結構，明確劃分公司內部的權利與責任，做到權責明確，同時要針對ERP系統的特點，建立有效的監控機制。

二、制定完善的風險評估制度。在實施過程中能夠很好很準確地對風險進行評估，這樣才能降低風險程度。企業除了要建立傳統的風險管理機制之外，還要結合信息化的特點，建立基于信息化的風險管理機制：一是建立一套信息網絡系統安全政策和制度;二是定期對系統安全政策與制度的實施效果進行評價;三是通過企業內部會計控制框架的構建，建立、健全預算及責任控制，強化信息化的風險意識。必要時企業可設置風險評估部門或崗位，專門負責有關風險的識別、規避和控制。

三、加強內部控制制度保障。包括：優化企業的組織結構，明確權利職責;建立起有效、合理的內部管理制度;明確崗位職責，實施關鍵崗位分離制、輪崗制;強化企業內部審計監督。

四、加強對ERP信息系統的軟件和軟件的監督和管理。ERP信息系統依賴的是一個強大的軟硬件平臺，為了保證企業的正常運轉，必須保證這個平臺的穩定與高速運行，要加大對軟硬件系統的維護與評價，定期出具系統運行報告，定期對系統進行監測與維護。每年的審計，注明會計師應當對企業的ERP系統的軟硬件進行審計，測試在這個系統上運行的ERP提供的數據是否真正在確、可靠，并在審計報告中給予披露。

五、加強專業人才的培養與開發。信息經濟時代，對從事財務工作的人員，提出了更高的要求，要有扎實的計算機水平和不斷更新的專業知識，這就要求我們企業應當加強對員工的培訓，不斷地對他們提供新的課程培訓和企業文化引導，形成愛崗敬業的基本素質，加強職業道德建設，加快企業文化建設。在信息化環境下，應倡導動態的企業文化，提倡團隊精神，對不斷變化的環境作出快速的反應。

隨著信息化的發展，ERP系統的日趨完善，企業的內部控制必然向著制度化、規范化、信息化的方向發展，內部控制必將為企業的健康持續發展保駕護航，并將迎來一個新的發展里程。

（作者供職于康龍化成（北京）新藥技術有限公司）