基于ERP環境下的企業內部控制探析

張曉毅 王翠霞 魯君誼

（1.銅陵學院，安徽 銅陵 244000；2.銅陵化學工業集團有限公司，安徽 銅陵 244000）

基于ERP環境下的企業內部控制探析

張曉毅1王翠霞2魯君誼1

（1.銅陵學院，安徽 銅陵 244000；2.銅陵化學工業集團有限公司，安徽 銅陵 244000）

在信息化浪潮席卷全球的經濟背景下，企業資源計劃(Enterprise Resource Planning，簡稱ERP)作為企業信息化建設的重要組成部分，正逐步在企業中得到廣泛應用。然而，ERP在推動企業信息化管理的同時，也打破了企業原有的內部控制體系，給企業增添了很多不穩定因素。文章分析了ERP系統在企業應用過程中存在的風險，探討了完善ERP系統環境下企業內部控制的措施。

內部控制；企業資源計劃(ERP)；企業信息化

近年來，在信息化浪潮席卷全球的背景下，企業的生產經營活動發生了巨大的變化。企業資源計劃 (Enterprise Resource Planning，簡稱ERP)作為企業信息化建設的核心組成部分，正逐步在企業中得到廣泛的應用。但是，當我們關注其為企業帶來巨大的管理變革和經濟效益的同時，也必須充分認識到由于ERP系統自身的特點所帶來的風險。針對這些風險，研究和制定ERP環境下企業內部控制新的策略，就成為ERP系統在企業應用中不容忽視的新課題。

一、ERP概念及內部控制目標

（一）ERP概念

ERP系統是基于客戶服務器體系、面向對象技術、關系數據庫結構、圖形用戶界面、第四代語言、網絡通訊等信息技術的一個廣泛而開放的企業信息系統。ERP系統中的會計信息系統更是各種信息如供應、生產、銷售、服務等信息高度集成的結果。

ERP系統在企業中應用的核心思想是以企業供應鏈管理為核心，盡可能地整合企業的全部內、外部資源，加快企業資金流和信息流的流通速度，提高企業在市場上的競爭力。這種先進的管理模式給企業傳統的會計核算體系帶來了前所未有的沖擊，也給企業內部控制和管理模式提出了新的問題和挑戰。

（二）內部控制及其目標

內部控制是指企業為了保證業務活動的有效進行，保護企業資產的安全、完整，防止、發現、糾正錯誤與舞弊，保證會計資料的真實、合法、完整而制定和實施的政策與程序的集合。廣義地講，一個企業的內部控制是指企業的內部管理控制系統，包括為保證企業正常經營所采取的一系列必要的管理措施。

在ERP環境下，實施內部控制活動的目標也發生了很大的改變，概括起來有如下幾點：

1.利用風險評估手段重新確定企業關鍵的業務流程；

2.評估整個流程和控制的設計是否合理，檢查這些控制是否很好地滿足和支持最終業務目標的實現；

3.評估ERP系統中各崗位職責是否分離，確保在整個流程中存在正確的稽核點和平衡點，限制重要經濟業務的訪問權限；

4.評估控制方式是否合理，例如基于手工流程的控制和基于系統的自動控制是否搭配適當。

二、ERP管理系統在企業應用中面臨的新風險

ERP管理系統在企業的應用過程中，風險一般來自四個方面：業務流程、技術架構、數據質量和系統訪問。其中，業務流程的轉變對企業內部控制的影響最為深遠，它對企業內部管理和財務方面的監控提出了更高的要求，這方面的風險特征相比過去發生了根本性的變化。針對ERP管理系統存在的應用風險，企業應制定相應的內部控制措施。

（一）業務流程風險

ERP管理系統的實施引起企業各個方面的巨大變化，在很大程度上改變了企業的業務流程。在ERP系統實施以前，許多企業基于計算機的業務系統，基本都是圍繞某一業務功能或者是職能部門而設計和運行的，比如銷售系統、采購系統和財務系統都是一個個相互獨立的業務流程。而ERP系統集成了企業運營的各個環節，一個完整的ERP系統亦即是企業人力資源、財務核算、銷售網絡、制造加工以及供應鏈管理等各業務流程的集成，實現了跨職能部門的業務管理系統。這個系統能夠使企業多方受益：對競爭壓力和市場機會的迅速反應，靈活的產品裝配，減少庫存以及更加有效的供應鏈管理。與此同時，企業過去基于文件審批的內部控制機制，已無法適應ERP基于業務流程的管理需要。更重要的是，由于企業的業務運作更加依賴于ERP系統，這種依賴和信息系統本身的特點導致了企業新的業務風險。如果不能很快建立起新的、有效的內部控制，必然對企業的整體運營產生不利影響。

（二）技術風險

ERP管理系統的使用涉及到整個企業的全部業務流程，高度集成的功能和系統，使用戶無論在企業的哪個角落都能獲得訪問系統并且控制或改變重要的業務參數的可能。顯然，ERP管理系統的特點一方面使企業員工以更大的靈活性去處理問題、提高效率，但另一方面如果對這種靈活性缺乏有效的控制，那么ERP的高度集成性和分布式的系統技術結構同樣會為企業的內部控制系統帶來風險和漏洞。

（三）數據質量風險

ERP系統的有效運行是建立在有效數據庫的基礎上的，如果企業不能保證錄入系統的數據的準確性和完整性，那么ERP管理系統的使用是沒有任何意義的。在ERP管理系統中，數據的錄入一般有兩種方式：一種是人工錄入，另一種是通過數據錄入裝置錄入。對于后一種方式，數據錄入的差錯風險較小，但人工錄入的方式差錯率就可能比較高。雖然ERP系統中可以設置一些參數來對錯誤數據進行報警，但無法從根本上解決這類問題。

（四）系統訪問風險

由于ERP管理系統將所有大量的業務應用功能集成在一個系統環境之下，ERP用戶就可能有更多的機會訪問其它與之不相關的信息。雖然，ERP系統中都有權限控制的功能，但這并不能完全保證信息的保密性和完整性。

三、在ERP系統環境下完善內部控制的對策

（一）程序控制

程序控制是指依靠計算機程序對會計核算進行內部控制,以實現系統的自我保護。這種自我保護的內部控制往往比通過各種管理制度實現的控制更為有效，如身份和權限控制。對用戶、文件分別授予不同級別的特權，以防止未經授權的人員有意進入系統或無意誤入系統，不允許合法用戶使用權限之外的設備、文件或程序，不允許進行各種越權操作。另外對ERP軟件更換、修改、升級時，要有一定的審批手續，并由有關人員進行監督，以保證ERP系統中數據的連續性和安全性。同時要定期對計算機程序及軟件進行維護，推出防止計算機病毒黑客等入侵的措施。

（二）建立健全ERP系統中的崗位設置

建立ERP系統崗位責任制，主要是要明確每個工作的職責范圍，便于企業更便捷地進行內部控制。ERP崗位設置可以根據企業的實際情況按照不同的思路劃分為不同的崗位。比如可以把工作崗位分為基本職能崗位和ERP系統崗位。其中基本職能崗位可以設置為銷售、生產、庫存、采購、財務、出納、審核、物流、投資、戰略等崗位；ERP系統崗位分為直接管理、操作、維護ERP系統及計算機軟、硬件人員等。各企業可以根據內部控制制度的要求和本單位的工作需要，在保證數據安全的前提下交叉設置崗位，各崗位應保持相對獨立，但又相互聯系，相互制約。

（三）操作控制

通過ERP操作管理制度的建立，明確規定上機操作人員對ERP軟件的操作工作內容和權限。一般包括輸入和輸出兩部分控制，首先輸入控制要保證輸入到計算機中的會計數據都經過了嚴格的審核，并且所有的會計信息都是正確的，例如在ERP系統運行中，預防未經審核的各種原始憑證輸入系統以及對錯誤的原始憑證拒絕輸入、及時更正和再輸入；凡上機操作人員必須經過授權；禁止原系統開發人員接觸或操作計算機，熟悉計算機的無關人員不允許任意進入機房；在輸出控制方面最重要的目標是保證各種輸出結果的正確性、真實性、完整性，保證輸出的接觸人員僅限于經過授權的人員。建立輸出記錄；建立輸出文件及報告的簽章制度；建立輸出授權制度；嚴格減少資產的文件輸出，如開支票、發票、提貨單要經過有關人員授權，并經過有關人員審核簽章。此外，運用數據文件的保護和數據加密存儲也可以保護數據的安全；對重要的ERP檔案進行雙備份，應存放在不同的地點，并做好ERP數據的防磁、防火、防潮和防塵等工作。

（四）充分發揮內部及外部審計職能

由于審計是以內部控制系統為基礎的，外部審計人員為了對被審計單位會計資料的公正性發表意見，必須首先研究和評價內部控制。內部審計人員亦如此，他們從評價各部門的內部控制制度入手，在生產、采購、銷售、財務會計、人力資源管理等各個領域查找管理漏洞，識別并防范風險，查錯糾弊，對既成損失提出應對策略等，而且有時內部審計還直接以完善內部控制為目的。因此企業應認真聽取審計人員的寶貴意見，不斷完善內部控制系統。

（五）強化風險意識，開展全面的風險評估

根據COSO內部風險管理框架建立和完善內部控制體系是未來發展的必然趨勢，在公司內部控制體系建設和執行的過程中，關注企業風險比關注細節更重要。在ERP環境下，應從以下幾個方面對風險進行評估：

1.確定風險評估的目標

業務活動層面風險評估的目標應針對各主要活動并與其他活動保持一致，在內部控制風險評估的實踐中，可以從影響財務報告目標實現的風險，如財務報告錯誤、資產安全受到威脅等方面入手進行風險評估。

2.確定重要業務流程并對其進行風險評估

與重要會計科目和披露事項相對應的業務流程就是重要業務流程，重要性是以會計科目和事項的披露對財務報告的影響為標準進行評判的。在ERP系統中由于各功能模塊的集成，在進行流程描述時，除進行文字說明外還應配備跨職能部門的流程圖。進行風險管理首先要識別風險，然后要確定風險，最后估計風險因素的重要程度，評估風險發生的可能性，確定內控評估重要性的優先次序。

3.在財務報告中對相關風險及內部控制進行認定

財務報表認定包括存在或發生、完整性、估價或分攤、權利與義務、表達與披露幾個方面。財務報表認定是管理層進行風險評估進而確保內部控制體系有效性的基礎。

（六）強化“以人為本”的管理思想

企業作為一個以人為主體的經濟實體，內部控制的實質就是要規范公司內部各組成人員的行為，同時再好的制度、再完美的規章，最終都是要“人”去執行和實施的，因此在實施和完善現代企業內部控制制度時，“以人為本”應該是核心。企業在實行內部控制制度時，要讓所有人都認識到企業內部控制不僅是企業管理人員、內部審計或董事會的事，組織中的每一個人都對內部控制負有責任，明確這種責任有利于企業員工團結一致，使其主動地維護及改善公司的內部控制，而不是被動地執行內部控制。企業要樹立“以人為本”的管理理念，充分挖掘人的創造潛力，建立良好的企業文化，形成共有的價值觀、信念和行為準則，同時通過各種途徑對全員進行培訓和職業道德教育，讓全體職工認識到自己在內部控制中所負的責任及內部控制對于企業和自身的重要意義，從而使所有的人都處于制度的控制之中。

四、結 語

ERP環境下，企業業務處理和信息傳遞的高度信息化，是以軟件和計算機控制來體現的，因此，還需要一系列的內部控制制度對人的行為加以規范和分工。只有人機的相互配合，才能發揮ERP的巨大優勢。內部控制制度主要是做人的工作，矯正人的行為，需要有相應的組織、指揮和協調能力，培養大批這樣的“全才”，顯然需要很長的過程。應加大注冊會計師對企業內部控制的審計力度，注冊會計師出具的內部控制制度評價意見，一方面能夠監督制度執行者的行為，另一方面能有效防范風險，保護投資者的利益。內部控制貴在落實，只有在落實中才能發現制定的制度是否合理，這一重任應該不僅是依靠內部審計和注冊會計師審計去完成，還要輔以信息的反饋機制和評價體系為平臺，從而對內部控制的實施加以不斷的完善和改進。當企業達到一定規模和一定管理水平后，加強內部控制是企業發展內在的客觀要求，是企業健康發展的必由之路。

［1］李小鳳.建立企業內部會計控制制度的思考[J].審計與理財，2006，(7)：45-46.

［2］劉瑞娜.ERP環境下企業內部控制制度問題探析[J].價值工程，2005，（12)：85～87.

［3］盧秋慧.淺談企業內部會計控制[J].中國資源綜合利用，2005，(10)：38-39.

［4］謝曉芳.關于加強企業內部會計控制的思考[J].會計之友（中旬刊），2007，(7)：54-55.

［5］吳守富.對企業內部控制存在問題的思考與對策[J].金融經濟，2006，（10）：129-130.

F275

A

1672-0547（2010）01-0035-02

2009-10-21

張曉毅（1964-），男，安徽太湖人，銅陵學院會計學系副教授，研究方向：會計準則、審計學；王翠霞（1964-），女，安徽銅陵人，銅陵化學工業集團有限公司財務部會計師。

銅陵學院2009年校企合作項目（編號：2009tlxyxdz015）。