企業在ＥＲＰ環境下的內部控制

岳　兵

ERP(Enterprise Resource Planning的縮寫，即企業資源計劃)是一種新的企業管理的思想，強調對企業的內部甚至外部的資源進行優化配置、提高利用效率，是信息時代企業實現現代化、科學化管理的有力工具。在不到10年的短暫時間內，它很快就被廣大企業認同和接受，并為許多企業帶來了豐厚的收益。如何適應ERP環境，建立與之相適應的內部控制制度，已經成為社會各方面，尤其是政府部門和企業界關注的焦點問題。

我國實施ERP內部控制現狀

隨著我國改革開放的深入發展，ERP作為一種全新的管理理念、管理方式隨之而來。經過近年來的不斷實踐，已經有越來越多的企業實施了ERP。

從目前所了解的情況看，一些企業成功實施并且充分利用了它們的ERP系統，使企業駛上健康發展的軌道，企業運作井然有序。但有一些企業投入巨資上馬ERP項目卻收效甚微，有的甚至弄巧成拙，連正常的生產經營活動都難以為繼。如哈爾濱醫藥集團、北京市三露廠、廣州標致汽車公司、河南許繼集團等等。還有一些知名的跨國公司，雖然上了ERP或SAP，但企業內控問題層出不窮。2000年，某公司內審時查出其公司有一大部分物資遠超過市價，經查證為某采購部門團體作為，導致公司損失巨大。這是什么原因呢?經過分析就會發現，是整個采購流程管理不當、公司治理和內控體系稀缺造成的。

正確利用ERP改善企業內部控制非常必要

ERP系統作為集系統、信息和控制于一體的一種應用，為以系統為載體、以信息為手段的現代控制提供了工具。它幫助企業把客戶的需求、企業內部的運營活動以及供應商的制造資源整合在一起，其功能不僅涉及企業內部的物料管理、庫存控制、生產管理、營銷、供應及財務的各個方面，而且還包括企業外部的供應鏈管理。在ERP系統中，財務管理始終是核心的模塊和職能。ERP的集成化為財務管理帶來了一系列變革，企業可以即時獲取財務過程、分析系統的觸發信息，實現對整個業務過程的動態監控。因此，ERP給企業帶來了前所未有的會計與業務一體化處理和實時監控的優越性以及管理的自動化和數字化，在提高內部控制效率和效果、降低控制成本等方面起到了積極的作用。

ERP實施的是流程化的管理，流程管理主張能產生經濟效果時才進行控制，也就是要求控制產生的收益大于進行控制耗費的成本，否則就取消控制或改變控制的方式。因此，運用ERP，能有效降低內部控制的成本。根據美國生產與庫存控制學會(APICS)統計，使用ERP系統，平均可以為企業帶來如下經濟效益：①庫存下降30％～50％；②延期交貨減少80％；③采購提前期縮短50％，④停工待料減少60％；

⑤制造成本降低12％，⑥管理水平提高，冗員減少10％；⑦生產能力提高10％～15％。

ERP作為信息集成系統，可以承擔量化信息的篩選、集輸、溝通。在ERP系統的設計、開發、實施、運行、維護及管理中，可以把內部控制體系中對信息的總體控制和應用控制要求加以體現。由完善的內控制度所產生的各項信息，將為企業決策提供堅實的基礎。COSO內部控制制度建設暨評估框架由五個重要部分組成：控制環境、風險評估、控制活動、信息與交流和監測。其中，信息與交流系統是整個內部控制的生命線，為管理層監督各項活動和在必要時采取糾正措施提供了保證。而內控是一個動態的過程，必須依據環境，制定措施，信息反饋，進行糾錯，并不斷改進。

在ERP環境下企業如何加強內部控制設計

內部控制(COSO)是由董事會、經理層和其他員工共同實施的，為營運效率、財務報告的可靠性和相關法規的遵守等目標的達成而提供合理保證的過程。從公司治理層面看，該定義明確地強調了高層管理者(董事會、總經理)對內部控制制定與實施中的作用。可以這么說，如果企業管理當局無法充分將ERP系統的現代管理理念融入企業管理思想和管理模式，內部控制將無法實現。

ERP系統的使用涉及整個企業的業務流程。其系統特點一方面使企業員工以更大的靈活性去處理問題、提高效率，但另一方面高度集成的功能和系統，使用戶無論在企業的哪個角落都能獲得訪問系統并且控制或改變重要的業務參數的可能。ERP的高度集成性和分布式的系統技術結構，同樣會給企業帶來風險。

首先，ERP系統中高度集成的功能模塊，使得任何一點出現問題都會影響到其他模塊的正常運行。

其次，傳統的ERP系統采用客戶端／服務器結構，這種分布式的結構使企業低成本、高效率地獲得業務集成管理功能的同時，也使系統管理的難度增大，系統更容易暴露在有意和無意的系統攻擊的風險中。

第三，系統審計難度加大。復雜的ERP系統使得系統控制和審計人員必須具有相應的專業知識。但對于大型的ERP系統，幾乎沒有人能夠對整個系統的功能和每個模塊的特點有全面的認識和理解。

第四，許多ERP系統使用基于Web的B／S技術支持異地登錄和訪問，由于通過因特網登錄，不受空間的限制，任何不正當的用戶授權都能導致對系統的非法訪問。

第五，ERP系統靠使用單一的數據庫、單點輸入數據等來確保其高度集成性，這在保證ERP系統數據一致性、減少重復勞動的同時，除使生產、銷售、庫存和財務等各個部門能夠共享信息外，也使數據的所有權和維護成為一個不容忽視的問題。如果存在不合適的訪問權限的定義，系統中的一些機密數據就會透明化，進而導致企業的重大損失。

反觀國內ERP的實施，缺乏對實施風險的認識、缺乏科學而有效的風險管理方法則是導致低成功率的一個重要因素，它會直接導致實施過程中的盲目性和隨意性。ERP系統的使用也對企業的組織管理帶來了新的挑戰。由于ERP實行的是流程化的管理，會打破原來的條塊分割，勢必導致企業組織結構的改變，甚至是對業務流程的重新思考。ERP系統使用會改變企業員工的職權，這種工作角色的轉變和適應過程具有不確定性。ERP系統數據的捕捉一次性完成特性，使得管理部門對信息質量的控制難度加大。企業信息決策數據來自不同部門，其中任意一個部門如有差錯，將直接影響到其他部門統計。

傳統的業務流程是以憑證、賬簿、報表的會計循環方式而設計的，會計賬簿體系是其主要甚至唯一的控制方式。ERP實行的是流程化的管理，它打破原來職能部門的條塊分割，強調優化流程結構，實現企業資源的系統配置和信息共享。企業在實施ERP系統后所遇到的業務風險主要來自四個方面：業務流程、應用架構、數據質量和技術架構。其中，業務流程由于與過去相比發生了根本性的改變，其對企業內部控制風險的影響最大。

企業內部、外部人員如黑客等對

會計數據非授權的訪問、篡改、泄密和破壞會造成風險。這種有意圖、有目的的攻擊行為將給企業集團帶來巨大的傷害，嚴重威脅著企業集團信息的機密性、完整性和可用性，從而增大了企業內部控制的風險。

ERP環境下的風險管理對策

第一，針對控制環境，需要轉變管理觀念。ERP系統實施的重點是對傳統企業管理觀念的根本變革，其成功實施的先決條件是正確的指導思想、合適的軟件與有效的實施方法共同作用的結果。首先企業最高決策層人員要深入了解ERP系統所包含的管理思想，充分認識本企業存在的問題，明確轉變管理思路，建立一支善于開拓思路、掌握計算機軟硬件知識且有ERP系統實施經驗、了解系統實施規律的高素質實施隊伍。其次，ERP系統的成功實施也離不開企業全體員工的大力支持和積極參與。這要求企業普通員工有機會參與整個實施過程；同時要加強員工培訓，使企業所有員工在思想上對ERP系統有正確的認識。

第二，針對系統風險，為保證系統安全，企業應該實施一系列控制措施；(1)保證網絡安全，最大程度地控制了網絡攻擊和惡意軟件帶來的風險。(2)嚴格定義在ERP或SAP的授權。由于ERP系統靠使用單一的數據庫、單點輸入數據等來確保其高度集成性，所以生產、銷售、庫存和財務等各個部門能夠共享信息外，也使數據的所有權和維護成為一個不容忽視的問題。對ERP信息系統的使用必須經過授權。非授權的訪問將帶來企業重要信息泄漏或丟失的風險。(3)針對系統的不穩定性和電腦病毒的威脅，必須建立24小時的系統恢復計劃(RecoveryPlan)，同時對于輸入系統的信息的原始憑證，必須有專人負責登記保管，確保資產和記錄的安全性。

第三，針對業務流程，應做好以下各方面：(1)應用控制指的是對會計信息系統中具體數據處理功能的控制。ERP系統中的應用控制一般由輸入控制、處理控制、輸出控制三部分組成，其中，重點是輸入和輸出的控制。輸入是會計系統的主要信息入口，也是出錯的主要環節。輸入控制的重點在于對輸入過程的控制，最重要的是完整性控制。輸出控制最重要的目標是保證各種輸出結果的真實性、完整性和正確性，可以通過權限控制、記錄登記操作等實現。

(2)切實做好BPR業務流程重組。BPR被稱做是“恢復美國競爭力的唯一途徑”，是成功實施ERP的基礎。在進行BPR之前，必須對所有的流程從有無效率、是否合理的角度進行審視，然后從不合理且無效率的業務流程人手，逐一規范和調整，實現從職能管理到面向業務流程管理轉變。

(3)業務事項要予以正當的說明和準確及時地記錄，并做好基礎數據準備。前期的基礎數據準備是保證系統正確運行的關鍵。這些數據一般包括：客戶數據、供應商數據、物料數據、工序及工藝等靜態數據，還包括庫存、客戶訂單、發貨、交貨、發票、應收、應付等每時每刻都會變化的動態數據。

第四，企業規章制度的更新與落實。在實施ERP的同時，要下大力氣對企業以往的制度做合理的調整和修改，使它能夠對項目的實施起到推動作用。

第五，信息系統管理部門內職責分離的控制現狀及風險：職責分離是企業內部控制的基礎控制手段，主要目標是防范內部人員的舞弊行為帶給企業的災難。在ERP環境下，信息系統不相容的職責分離主要有：系統設計人員與系統操作人員的職責分離；系統維護人員與系統操作人員職責要分離；系統操作人員、系統設計人員與數據檔案管理員職責要分離。

第六，權限控制，權限控制的基本目的在于防止未經授權的內部人員擅自動用系統的各種資源。信息系統環境下的權限控制始于系統初始設置階段，即通過系統管理員(或系統維護員)對工作人員、工作范圍等進行設置(輸入相關的數據)；每個崗位人員不得超越權限接觸系統。

第七，制訂風險控制預案，ERP的實施是一個龐大的系統工程，涉及的因素、內容和環節比較多。因此，必須在風險識別和分析的基礎上，事先制訂風險控制預案，指導風險控制，以便使可能出現的風險所造成的損失消失或減少。風險控制預案是開展風險管理活動的依據，對風險控制工作起指導作用。