企業實施ERP系統的風險與防范

［摘要］ 隨著信息技術的快速發展，以ERP為核心的企業管理信息化蓬勃發展起來.，企業應當重視ERP系統在內部控制中的作用。減小企業風險，提高企業經營效率成為學者關注的焦點。本文對在內部控制中實施ERP系統存在的優勢和劣勢進行了分析，分析了在企業內部控制中實施ERP系統的主要風險，提出相應的防范措施，最后對ERP進行內部控制的應用進行了展望。

［關鍵詞］ERP 內部控制風險

一、引言

初期的內部控制主要是以查錯防弊為目的，重點通過內部牽制對舞弊行為進行監督并且減少錯誤的發生。現代內部控制有了新的含義：內部控制是由一個企業董事會、管理人員和其他職員實施的一個過程，旨在為提高經營活動的效率和效果、確保財務報告的可靠性、促使與可適用的法律相符合提供一種合理的保證。現代內部控制有五個目標：合理保證企業經營管理合法合規、維護資產安全、財務報告及相關信息的真實完整、提高經營效率和效果、促進單位實現發展戰略。現代企業內部控制是通過控制風險、規避風險、提高運行效率為提高企業經濟效益作保障。

ERP即企業資源計劃（Enterprise Resource Planning）。是由美國加特納公司（Gartner Group Inc.）最早提出的一種管理理念。起源于20世紀80年代中期，90年代中期開始在國內被廣泛接受。企業資源計劃系統，是指建立在信息技術基礎上，以系統化的管理思想，為企業決策層及員工提供決策運行手段的管理平臺。其實質是對在企業供應鏈、價值鏈及信息鏈上的所有資源進行統籌規劃和使用。通過實施ERP，企業可以把過去相對獨立的資源，如每個業務部門、業務運營流程、內部信息進行整合，統一協作，提高效率。ERP也是一個對企業內外資源進行有效共享與利用的系統，通過現代信息系統，使企業的全部資源在購、存、產、銷等各個環節得到合理的配置與利用，實現企業競爭力的全面提高。

內部控制的目標基本涵蓋了企業經營活動的全部內容，而ERP是為企業經營目標服務的管理工具，通過ERP系統進行內部控制可以有效降低風險，提高企業經營管理的效率。內部控制中，通過ERP的自動控制取代人工控制，降低人為因素對企業管理操縱，可以進行最大化的信息集成和管理，把特定的內部控制管理要求程序化、自動化和效率化，提高企業內部控制效率。

二、應用ERP系統進行內部控制的優勢和劣勢

1.應用ERP系統進行企業內部控制的優勢

ERP是一種可以提供跨地區、跨部門、甚至跨公司整合實時信息的企業管理信息系統。它在企業資源最優化配置的前提下，整合企業內部主要或所有的經營活動，包括財務會計、管理會計、生產計劃及管理、物料管理、銷售與分銷等，以達到效率化經營的目標。

ERP作為企業信息化建設的核心組成部分，它的優勢不僅僅在于幫助企業建立一套信息化管理系統，更重要的它是當今世界最先進的現代管理思想和方法，通過業務重組、組織重組和管理重組，盡快改變我國企業傳統管理粗放、落后的局面，進而建立一套符合市場經濟體制要求的現代企業管理模式。在國內，越來越多的企業，尤其是規模大和管理層次較高的企業，如聯想、海爾、中石化、長虹、康佳、華為、美的等在近幾年內也大規模實施RRP。

ERP系統使內部控制由人工控制為主變為以自動控制為主。信息傳遞和處理科學、實用、迅速、準確，改變了人工控制主觀、緩慢、易受干擾等缺點，大大減少了風險，提高了企業內部控制的效果。

ERP系統可以實現對企業財務業務的同步管理，有效地進行財務工作的事中管理。ERP系統中一般整合了財務管理模塊，保證了企業業務流和資金流能夠同時記錄，改變了傳統管理時財務信息落后于業務的情況。ERP系統的財務管理模塊可以對企業的財務資產情況進行有效的監控，追溯每筆資金與業務的具體情況，便于管理層實施事前控制和事中控制。以清華大學出版社為例，在銷圖書3000余種，年出版新書1000余種，各級經銷商2000余家。由于企業經營仍以人工為主，出版社的重印及新書主發等工作都是在無序中進行的，缺乏相應的市場信息分析。發行部關于圖書庫存的數據也經常與庫房中的實際庫存數據不一致。據調研，在出版行業目前還沒有開發出成功ERP系統。所以，加快ERP的實施提高企業的信息化管理，改變企業傳統的管理模式，是提高企業競爭力，加快企業發展的必備條件。

2.應用ERP系統進行企業內部控制的局限性

ERP也是內部控制的客體之一，是由主觀的人設計和進行操作的，不可避免地受到人為因素的影響。ERP系統輸出信息的質量由輸入的信息決定，而輸入的信息會受輸入人的影響。

ERP系統是企業管理工具的一種，不能代替所有的管理工具，應用ERP系統進行自動控制時，需要適當的人工控制；ERP前期設計量大，運行復雜，運作和維護成本比較高，要求企業有一批具有相關計算機知識方面的人員進行日常維護。不適合規模較小的企業采用；ERP系統是根據企業實際情況設計的，沒有完全相同的模型，需要根據實際情況進行設計，并根據企業的發展變化而進行相應的改進。

三、企業實施ERP系統的主要風險與防范

1.ERP系統工作環境風險的分析與防范

（1）硬件方面，計算機設備、網絡設備、電源設備的故障都會導致數據丟失等風險，通過購買可靠的設備并加強檢測、檢修與維護。企業應當加強服務器等關鍵信息設備的維護管理，指定專人定期和不定期的對系統硬件環境和本身狀況進行檢查維護，出現問題及時處理。企業還應當完善系統硬件設備異常情況處理制度。發現異常情況，應立即通知有關部門，并按規定的處理程序進行修理維護。規定未經授權，任何人不得接觸關鍵的信息系統設備。

（2）軟件風險方面，主要有ERP系統選擇風險、供應商選擇風險、網絡安全風險。

ERP系統選擇有一定的風險。首先ERP系統的選擇范圍有限ERP系統在中國的應用還不到20年的時間，成熟的ERP軟件比較少，國內可選擇的只有金蝶、用友、浪潮等幾個企業的產品，有限的選擇范圍會使合適軟件選擇困難。

其次，選擇ERP系統要全面評價，參與選擇的人員應包括技術、業務和管理等各方面人員，任一方面選擇人員的缺失都會妨礙對備選軟件進行全面評估。ERP軟件的選擇要有適用性，并且每個企業的經營運行的模式各有不同，比如象出版企業，它有其特殊性，業務流程包括發行管理，編務管理，出版管理，財務管理，人事管理，庫存管理，采購管理等項目， 到目前為止沒有一套完整的ERP軟件流程與之相適應， 這樣就會使ERP軟件運用于企業時可能存在適用性差的情況。因此企業要有明確的選擇目標，根據業務的實際需求選擇ERP軟件，否則ERP的選擇會偏離經營的目標。

ERP系統供應商選擇有一定的風險。ERP系統在設計與實施過程中，企業因技術，人員和經驗的缺乏而無法獨立設計實施一套ERP系統，這就需要選擇一家軟件供應商在技術上和管理上進行協助。初始選擇的ERP系統，因為各個企業的經營模式不同，一般不會與企業的管理實際完全契合，這就要求供應商根據企業的要求對ERP系統進行改進以符合企業的實際，所以供應商的技術實力、售后服務承諾、信譽非常重要。實施過程中，由于ERP系統供應商缺乏技術能力以及實施能力，會給企業ERP項目的實施造成困難， 最終可能導致企業ERP項目的失敗。

ERP系統運行會面臨網絡風險。電腦病毒感染可能使服務器無法正常工作、木馬病毒可能使重要信息流失、黑客入侵可能會竊取機密資料，這些都會影響到企業使用ERP系統的信心。新電腦病毒和木馬層出不窮，在2009年到2010年中，國內的病毒木馬增加了約2000萬種，傳統殺毒軟件及安全技術已經無法應對所有的病毒和木馬。這就要求企業在運行ERP系統時加強網絡安全，綜合利用防火墻，路由器等網絡設備，漏洞掃描，入侵檢測等網管軟件進行網絡監控、采用內容過濾技術阻止各種惡意內容的入侵對于通過網絡傳輸的涉密或關鍵數據，應采取加密措施，保證信息傳遞的安全性，準確性。

防范ERP系統技術風險，企業首先要明確自己的實際需求和經營目的，根據實際需求和經營目的選擇相應的軟件系統以及ERP系統供應商，企業引入ERP系統的目的一般有：理順混亂的管理狀態、完善信息管理、提高發展能力；然后選擇合適的軟件與供應商，需要考慮的因素是軟件功能與企業需求的匹配性、價格、軟件升級的空間、供應商的信譽、供應商的技術水平、售后服務與支持等等；針對網絡風險，企業應建立完善的網絡安全預警報告制度，注意各大殺毒軟件公司發布的計算機病毒疫情，使用網管軟件進行網絡監控、采用內容過濾技術阻止各種惡意內容的入侵。

2.ERP系統管理中的主要風險與防范

現代企業內部控制系統作為系統化的信息集成系統，其建立和實施應按照信息系統的專業化方法來進行，同時，應確保系統的安全和穩定，以保證企業內部控制系統的有效運行，實現企業內部控制的目標。

ERP系統管理中的主要風險有流程重組方面，由于ERP實行的是流程化的管理，會打破以前的條塊分割，減少或合并流程中重復的、不增值的環節，導致企業組織結構的改變。業務流程重組前，難以先驗性地進行科學性和可行性的全面評估，所以會面臨一定的風險。從業務流程重組的科學性方面的風險來說，業務流程重組是否能夠給企業帶來成本、質量、服務和效率的大幅改進。從業務流程重組的可行性方面的風險來說，流程重組涉及到員工的崗位和職權的變化，員工是否能夠接受這些變革。其次ERP系統在設計運行中關鍵控制點設置不當，沒有起到不相容職務分離， 業務重復或職能重疊的問題. 例如企業銷售與收款業務的控制中，訂單中客戶可能使用虛假信息；合同的簽定人與審核人不分；賒銷政策設置不科學；信息錄入風險，訂單、合同錄入失誤；未經授權人員進入ERP系統篡改信息；銷售折扣與折讓未經授權人員的審批；清賬不及時影響顧客的信用額度，進而影響到企業銷售活動等。因此軟件設計開發風險可能會給企業帶來較大的損失。例如現在出版企業大都是實行賒銷政策，在ERP發行系統設計中如存在賒銷政策設置不科學，企業的銷售款無法收回的漏洞，那將會給企業帶來巨大的

損失。

要降低ERP系統管理中的主要風險，首先要爭取高層領導對項目的支持，確保流程重組中出現的問題能夠得到及時解決，一般來說員工對于變革普遍會呈現抵制的心態，所以領導從上到下推行是必要的；要明確目標流程，通過ESEIA方法（清除、簡化、填補、整合、自動化）設計出科學的目標流程；企業應當重視系統流程中的控制點，在前期開發中明確各個生產經營過程中的風險點和控制點，將生產管理業務流程，關鍵控制點和處理規則嵌入系統程序，實現手工環境下難以實現的控制功能.通過學習與參與，提高員工實施ERP系統的積極性；制定科學的規范管理方法，對員工行為、ERP實施控制、目標設計，流程管理、數據管理進行規范，使ERP系統能夠安全，有效的行使，確實提高企業的管理水平，提高競

爭力。

ERP是一種利用先進信息技術進行管理和控制的工具，通過最大化的信息集成，把特定的管理要求固化和自動化，從而降低企業風險，提高企業經營能力。現代企業需要借助于ERP建立高效的內部控制體系，提高風險管理水平，減小企業經營管理過程中遇到的各類風險。

ERP信息系統在企業實施中首先，應建立ERP系統的正確應用理念，認識到ERP系統是將系統、信息流程及控制融為一體的管理控制模式，是一種以系統作為為企業管理控制的平臺，以信息的有效監控為手段的現代企業管理控制工具。其次，應用ERP系統時，要將企業的各項資源信息化，使得企業中的各項資源能夠有效的共享和合理的利用。另外，要對ERP系統端口輸入的各項信息進行整理和分析，在企業的經營生產流程中進行有效的傳遞。最后，ERP系統的開發，要根據企業具體情況，盡力將企業的每個業務流程都融入到信息系統中，大量的人為工作由ERP系統所取而代之，實現企業管理主要工作的系統化和自動化。

參考文獻：

[1]陳憲宇： ERP系統下的企業內部控制風險及防范研究[J]. 價值工程，2009（04）

[2]劉建軍： 淺析ERP與企業內部控制風險防范[J]. 經濟師，2009（05）