對ＥＲＰ環境下的內部控制制度的思考

　　從2000年至今的七年時間里，我國的大中型企業陸續引入了ERP系統，而且經過七年的發展，ERP已越來越多地影響企業的各個環節，包括企業人事、財務、生產、價值鏈等。ERP的發展也順應了知識經濟時代對企業提出的變革和創新的要求。ERP作為企業經營管理的整體解決方案，不僅是一套軟件更是一種管理思想和理念的結合，是信息時代實現現代化、科學化管理的有力工具，從某種意義上說也是衡量企業管理現代化的一個標尺。與此同時，內部控制制度也應適當地進行調整。由于實施了ERP，企業的管理流程發生了巨變，從而使得內部控制環境也發生了變化，ERP環境下的內部控制重點由對人的控制轉變為對人、計算機和互聯網的控制。筆者就實施ERP企業內部控制面臨的機遇與挑戰以及如何解決進行探討，為國內已經實施和即將實施ERP的企業提出相應的對策。
　　
　　一、ERP與內部控制的內涵
　　
　　內部控制是指被審計單位為保證業務活動的有效進行，保護資產的安全和完整，防止、發現、糾正錯誤與舞弊，保證會計資料的真實、合法、完整而制定和實施的政策與程序。廣義的內部控制是指被審計單位的內部管理控制系統。按其控制目的的不同，內部控制可以分為會計控制和管理控制。會計控制是與保護財產物資的安全性、會計信息的真實性和完整性以及財務活動的合法性有關的控制；管理控制是指與保證經營方針、決策的貫徹執行，促進經營活動的經濟性、效率性、效果性以及經營目標的實現有關的控制。內部控制的目標是確保單位經營活動的效率性和效果性、資產的安全性、經濟信息和財務報告的可靠性。
　　以財務會計管理為核心的企業資源計劃系統(即我們常說的ERP)是一個財務會計導向的全面企業集成系統，管理整個供需鏈上的各個實體的價值，實現對制造、財務、客戶、分銷和供應商的業務流程管理。是依托信息技術等手段，實現企業內部資源的共享和協同，克服企業中的官僚制約，使得各業務流程無縫平滑地銜接，從而提高管理的效率和業務的精確度，提高企業的盈利能力，降低交易成本。
　　
　　二、ERP給內部控制帶來的機遇
　　
　　 (一)ERP使內部控制系統更具靈活性
　　企業的內部控制環境隨著ERP系統的應用發生了深刻的改變。企業的運作由原來的以部門職能為中心，轉化為圍繞業務流程進行，這種變化使企業的各種作業活動都跟物流、資金流、信息流緊密地結合在一起。為了適應ERP的管理理念，企業組織結構日益扁平化，由于ERP系統高度集成的特性，數據在事件發生的源頭一次性輸入，在經過ERP軟件的邏輯處理后，實現了信息的共享，也滿足了利用ERP系統提供的數據進行分析管理的需要，這樣一來組織結構更加具備了靈活性，組織結構邊界由于扁平化的發展不再像原來那樣明顯，從而促進了組織結構的優化，也加劇了內部控制系統的靈活性，為內部控制的實行創造了更有利的環境。
　　 (二)ERP使內部控制系統更具整體協調性
　　ERP軟件系統的應用使企業可以方便地對內部控制體系進行通盤設計，更好地對企業的各種業務流程進行整體協調。原來在傳統環境下對點的控制在ERP環境下可以發展成對線和面的控制：對某一控制點的內控措施可以同業務流程內其他的控制點串成線，進而同其他業務流程的控制系統連成面。由于ERP系統中各種模塊的高度集成，使企業成為真正意義上的有機整體，供、產、銷、財務有機結合，內部控制才可能完成對人、財、物的全面控制，從整體的角度將各種業務流程的控制更好地協調在一起。
　　 (三)ERP使內部控制系統更具高效性
　　大部分在傳統控制體系中通過賬、表、單、卡來進行的控制措施在ERP環境下，會被軟件系統本身的控制功能取代。控制手段的優化使企業的內部控制體系在一定程度上擺脫了對實體控制方法、控制工具和控制崗位的依賴，具有高度的經濟性。ERP環境下，控制手段和信息傳遞方式的變化，使傳統內控體系中審核、簽字和文件傳遞交接手續等控制點大大減少，企業的內部控制流程更加通暢，控制效率更高。
　　 (四)ERP使內部控制系統更具即時性
　　在ERP的狀態下，資料是聯動的而且可以隨時更新，每個有關人員都可以隨時掌握即時資訊，這在過去只能依賴大量的人力與時間才能完成。影響企業競爭力固然有許多因素，但一個很重要的因素，在于它對企業內部各種信息的把握，以及對外部市場的資訊、現狀變化的了解。在當今信息社會里，不僅要知己知彼，還要貴在“即時”。以外匯市場為例，企業的國際化經營，對外幣結算的業務不僅增多，而且還面臨一個如何規避多元貨幣、匯率變動的風險問題。如果不能對各種貨幣的匯率消長變化、各國客戶訂單、各種交易(包括應收賬、應付賬、總賬等)進行即時運作，那么，即使到手的企業利潤，也會因匯率的波動或緩慢的作業而縮水。
　　 (五)ERP使內部控制系統更具實時性
　　由于ERP系統的高度集成和ERP系統下信息的“即時”性，讓系統的實時成為了現實。
　　1.可以實現對企業價值運動的實時控制。利用ERP系統進行會計管理不僅能了解銷售、采購、庫房、生產等部門經濟活動的全過程，而且伴隨著每一個經濟活動，會計部門都有相應的反映和監控。例如，在采購訂單通過供應商協同系統發送給供應商的同時，會計部門也得到了這個信息；庫房按訂單收貨后，該信息同步傳到財會部門，產生應付賬款的同時已按訂單價格登記入應付賬款和存貨賬戶。會計信息的通暢、透明，給會計核算可以實時、準確地進行提供了保障。
　　2.可以實現對預算的實時管理。使用ERP系統不僅可以根據歷史數據，準確地預測各地區、各部門、各種業務、各種產品、各費用科目的數據，而且可以做到按月分解預算和及時調整不合理預算。這樣，ERP系統能夠將每項費用實時報告到應該承擔責任的部門負責人，并且可以與預算進行比較，及時提出預警或禁止信息，從而實現對預算的實時管理。
　　總之，ERP系統的核心管理思想——企業運作的流程化管理，使企業在ERP環境下的內部控制體系有了新的發展。在ERP環境下，企業可以在產、供、銷等各個環節實現對人、財、物的全面控制，實現財務處理與業務處理的一體化。ERP環境下數據庫的統一將整個企業的運作系統集成為一體，實現了供應鏈條上各環節信息的高度統一，保證了資金流、信息流和物流的同步和一致，改變了資金信息滯后于物料信息的狀況，便于實時作出決策。ERP環境的流程化、扁平化、一體化特點使企業在進行內部控制體系設計的時候可以進行整體考慮和安排。ERP的應用提高了控制措施之間的關聯性和有效性，還能提高內部控制體系的效率。
　　
　　三、ERP給內部控制帶來的挑戰
　　
　　事實上，ERP的實施對企業內部控制是一把“雙刃劍”。ERP的實施是為企業提升內部控制水平提供了機遇，但是同時也對企業內部控制提出了新的挑戰。
　　 (一)ERP系統的使用加大了內部控制的風險
　　1.控制環境風險加劇
　　由于內部控制強調公司高管在內部控制制定與實施中的作用，內部控制的風險的大小很大程度上取決于管理當局的態度。雖然組織的扁平化對企業的發展是件好事，但是對領導的管理思維造成了沖擊。ERP環境下，伴隨著企業內部控制層次的減少，領導不再是等級中的“塔尖”，而是成了行動的核心，企業的內部控制不再是基于權力的需要，而是基于信息的科學性和企業健康發展的需要。若領導無法將ERP的現代管理理念融入企業管理思想和管理模式，內部控制將形同虛設。
　　
　　2.業務流程風險加劇
　　傳統的業務流程是以憑證—賬簿—報表的會計循環方式設計的，內部控制是通過復核憑證、賬簿核對、審閱報表等方式實現的，即控制點存在于業務流程的多個環節。ERP徹底改變了傳統會計模式下單一化、順序化的信息傳輸方式，實現了會計信息與業務信息的同步。在業務流程優化過程中，重復、不增值環節的消除，使一些有利于內部控制的審計線索消失。這樣一來，業務流程的風險也隨之加大。
　　 (二)ERP系統的使用加劇了對數據安全性的威脅
　　ERP實施后，對數據的安全性的威脅主要來自兩個方面。第一，計算機系統風險，外部不可抗力(如雷雨)或人為因素(比如：ERP環境下，數據通常是一次輸入完成后在系統內通用的，由于沒有了傳統環境下對數據的核對和檢查過程，那么如果數據初始輸入有誤，就會導致錯誤的數據在系統內被反復使用并造成一連串的錯誤處理活動、輸出一連串的錯誤處理結果，直接影響到其他流程的運作。這種情況對ERP環境下數據輸入點的控制提出了更高的要求)。由于ERP系統高度集成化，數據邏輯化、信息自動生成化的特點，面對這些風險控制無法實施，所以一旦出現故障損失慘重。第二，數據庫被修改的風險，各企業的ERP系統都有專用的數據庫，通常業務處理人員的操作均會在操作日志中留下詳盡的審計痕跡，但是對于ERP支持中心精通數據庫的技術管理人員來說卻易于修改，不留痕跡，這就加劇了數據被人為破壞的風險。
　　(三)ERP系統的使用對內部控制系統提出了更高的要求
　　ERP系統所依賴的軟、硬件環境對企業內控體系提出了新的要求。對硬件運行實體環境的安排、對計算機硬件系統和外設的實體控制、對ERP系統二次開發和系統維護的控制、對軟件數據的備份安排等內容，也都要被企業納入內部控制體系中去。
　　ERP系統的網絡應用結構，可以方便地實現各個不同業務模塊之間信息的即時傳遞，可以使企業的內控體系實時反映運營狀況。ERP網絡環境的這個特點，具備了實時控制的思想，針對各個關鍵控制點設定的實時控制手段使企業從傳統的發現問題、事后補救，發展成在業務運行中進行的事前預防和事中控制。但由于網絡環境自身的安全性存在問題，任何對企業內部網絡系統的破壞都可能會給企業的運作帶來嚴重后果。所以企業在網絡安全上會面臨各種控制難題，在安全性方面(即風險控制)同樣也提出了更高的要求。
　　實質上，不論在傳統環境下，還是在ERP環境下，對人的控制都是企業內部控制的基礎，企業人員素質的高低實際上決定了其內部控制系統的設計質量和應用效果。ERP系統的應用實際上也就是要通過其體系化、流程的管理思想來提升企業整體管理水平、提升人員素質，達到提高企業效益的目的。對人的控制非但沒有削弱，而且也有了更新更高的要求。
　　
　　四、在ERP系統環境下完善內部控制的對策
　　
　　(一)程序控制
　　程序控制是指依靠計算機程序(軟件)對會計核算進行內部控制，以實現系統的自我保護。這種自我保護的內部控制往往比通過各種管理制度實現的控制更為有效，主要包括：身份和權限控制。對用戶設備、文件分別授予不同級別的特權，以防止未經授權的人員有意進入系統或無意誤入系統，不允許合法用戶使用權限之外的設備、文件或程序，不允許進行各種越權操作。另外對ERP軟件更換、修改、升級時，要有一定的審批手續，并由有關人員進行監督，以保證ERP數據的連續和安全。同時要定期對計算機程序及軟件進行維護，推出防止計算機病毒黑客等入侵的措施。
　　(二)建立健全的ERP崗位設置
　　建立ERP崗位責任制，就是要明確每個工作的職責范圍，便于企業更便捷地進行內部控制。ERP崗位設置可以根據企業的實際情況按照不同的思路劃分為不同的崗位。比如可以把工作崗位分為基本職能崗位和ERP系統崗位。其中基本職能崗位可以設置為銷售、生產、庫存、采購、財務、出納、審核、物流、投資、戰略等崗位。ERP系統崗位分為直接管理、操作、維護ERP系統及計算機軟、硬件人員等。各企業可以根據內部牽制制度的要求和本單位的工作需要，在保證數據安全的前提下交叉設置崗位，各崗位應保持相對獨立，但又相互聯系，相互制約。
　　(三)操作控制
　　通過ERP操作管理制度的建立，明確規定上機操作人員對ERP軟件的操作工作內容和權限。一般包括輸入和輸出兩部分控制，首先輸入控制要保證輸入到計算機中的會計數據都經過了嚴格的審核，并且所有的會計信息都是正確的，例如在ERP運行中，預防未經審核的各種原始憑證輸入系統以及對錯誤的原始憑證拒絕輸入、及時更正和再輸入；凡上機操作人員必須經過授權；禁止原系統開發人員接觸或操作計算機，熟悉計算機的無關人員不允許任意進入機房；在輸出控制方面最重要的目標是保證各種輸出結果的正確性、真實性、完整性，保證輸出的接觸人員僅限于經過授權的人員。建立輸出記錄；建立輸出文件及報告的簽章制度；建立輸出授權制度；嚴格減少資產的文件輸出，如開支票、發票、提貨單要經過有關人員授權，并經過有關人員審核簽章。此外，運用數據文件的保護和數據加密存儲也可以保護數據的安全；對重要的ERP檔案進行雙備份，應存放在不同的地點，并做好ERP數據的防磁、防火、防潮和防塵等工作。
　　(四)充分發揮審計職能
　　由于審計是以內部控制系統為基礎的，外部審計人員為了對被審計單位會計資料的公正性發表意見，必須首先研究和評價內部控制。內部審計人員亦如此，他們從評價各部門的內部控制制度入手，在生產、采購、銷售、財務會計、人力資源管理等各個領域查找管理漏洞，識別并防范風險，查錯糾弊，對既成損失提出應對策略等，而且有時內部審計還直接以完善內部控制為目的。因此被審計單位應認真聽取審計人員的寶貴意見，不斷完善內部控制系統。
　　(五)強化風險意識，開展全面的風險評估
　　根據COSO內部風險管理框架(ERM)建立和完善內部控制體系是未來發展的必然趨勢，在公司內部控制體系建設和執行的過程中，關注企業風險比關注細節更重要。在ERP環境下，應從以下幾個方面對風險進行評估：
　　1.確定風險評估的目標。業務活動層面風險評估的目標應針對各主要活動并與其他活動保持一致，在內部控制風險評估的實踐中，可以從影響財務報告目標實現的風險，如財務報告錯誤、資產安全受到威脅等方面入手進行風險評估。
　　2.確定重要業務流程并對其進行風險評估。與重要會計科目和披露事項相對應的業務流程就是重要業務流程，重要性是以會計科目和事項的披露對財務報告的影響為標準進行評判的。在ERP系統中由于各功能模塊的集成，在進行流程描述時，除進行文字說明外還應配備跨職能部門的流程圖。進行風險管理首先要識別風險，然后要確定風險，最后估計風險因素的重要程度，評估風險發生的可能性，確定內控評估重要性的優先次序。
　　3.在財務報告中對相關風險及內部控制進行認定，財務報表認定包括存在或發生、完整性、估價或分攤、權利與義務、表達與披露幾個方面。財務報表認定是管理層進行風險評估進而確保內部控制體系有效性的基礎。
　　(六)強化“以人為本”的管理思想
　　企業作為一個以人為主體的經濟實體，內部控制的實質就是要規范公司內部各組成人員的行為，同時再好的制度、再完美的規章，最終都是要“人”去執行和實施的，因此在實施和完善現代企業內部控制制度時，“以人為本”應該是核心。企業在實行內部控制制度時，要讓所有人都認識到企業內部控制不僅是企業管理人員、內部審計或董事會的事，組織中的每一個人都對內部控制負有責任，明確這種責任有利于企業員工團結一致，使其主動地維護及改善公司的內部控制，而不是被動地執行內部控制。企業要樹立“以人為本”的管理理念，充分挖掘人的創造潛力，建立良好的企業文化，形成共有的價值觀、信念和行為準則，同時通過各種途徑對全員進行培訓和職業道德教育，讓全體職工認識到自己在內部控制中所負的責任及內部控制對于企業和自身的重要意義，從而使所有的人都處于制度的控制之中。
　　(西安電子科技大學)