基于ERP系統環境下的企業內部控制研究

謝明

（壘知控股集團股份有限公司，福建 廈門 361000）

ERP系統作為現代企業管理的重要手段，其實施使原有手工業務實現了信息化，改變了傳統的風險環境，相應的內部控制措施也需要重新梳理和設計，以適應ERP系統，確保企業的資產安全；同時，ERP系統的使用，也給內部控制帶來了很多的便利，實現了內部控制的實時監控要求。因此有必要對其進行研究，以期更好地實施內部控制。

一、ERP系統和企業內部控制的關系

ERP系統通過信息化的手段，將企業的資源整合在一起，對企業的業務流程做合理規劃，以達到提高經營效率的目標。其主要特點是通過對數據的自動計算及匯總，極大提高了工作效率，并能實時對業務全過程做監控。同時，技術手段的使用，也大大提高了數據的準確性。

企業內部控制是企業為了保證日常經營活動正常、有序、合法運行，對各部門、各項業務進行監管的一系列活動。企業內部控制的要求是要保證資產的安全性，財務數據的真實性、準確性、完整性；保證對員工、業務流程的有效管控。

ERP系統與企業內部控制的目的一致，都是為了優化企業資源配置，保證企業的可持續發展，最終實現企業的經營目標。ERP系統改變了內部控制的傳統模式，使內部控制由原來的事后發現問題，實現了事前的預防和事中的動態控制，能更好地促進內部控制的執行，實現內部控制的目標。同時，嚴謹的內部控制制度能保障ERP系統數據的真實性和安全性。ERP系統的開發和使用要根據內部控制的要求來進行，不能脫離內部控制的監管，這樣才能更好地提高企業經營效率，確保企業資產安全。

二、ERP系統環境下實施內部控制的優勢及弊端

（一）ERP系統環境下實施內部控制的優勢

1.能夠降低工作的繁瑣性

ERP系統運用自動化的手段解決了手工整理檔案的繁瑣工作，給各個部門人員節約了大量精力和時間，大大提高了工作效率，降低了數據查詢的難度。同時，ERP系統可以對同類數據做批量處理，例如，對報告數量很大金額又很小的工程材料檢測業務，可以通過一個客戶建立一個客戶賬號的辦法，由ERP系統根據賬號下的收款自動核銷到每筆報告，減少手工業務狀態下，每筆報告需人工核銷的繁瑣工作。

2.可以實現預警功能

ERP系統可以通過對原始數據的采集，設置關鍵預警條件。例如，對超過付款時限還未回款的客戶自動生成預警報告，對即將超過訴訟時效還未回款也未起訴的客戶生成預警報告，對使用頻率很低的客戶賬號生成預警報告，提示要及時催款。這些預警條件的設置，在降低壞賬損失的同時，也大大提高了內部控制的效率，從而使企業能夠規避風險，提前做好風險應對措施，減輕風險對企業的損害。

3.能夠自動識別輸入錯誤

ERP系統通過設置相關條件，可以自動拒絕數據輸入的人為錯誤，并做出提示，操作人員根據系統提示，修改錯誤輸入的數據。例如，導入ERP系統的銀行收款數據，如果交易流水號相同，則系統拒絕生成收款數據。通過這種設置，可以大大減少人為錄入的差錯性，確保了數據的準確性。

4.可以實現關鍵環節自動控制

ERP系統通過設置關鍵字段為必輸項，可以加強對關鍵信息的管控。例如，在輸入環節要求必輸開工時間、竣工時間、合同總額等，在業務受理時間超過竣工時間的則系統不允許操作，超過合同總額的業務系統也不允許受理操作等，實現ERP系統自動控制業務過程的目的。

5.可以實現全方位的內部控制

ERP系統可以給企業的內部控制提供全方位的便利，對事前、事中、事后的控制都提供相應的技術手段。

事前控制上，例如，在客戶信息建立時，ERP系統對于公司類客戶采用引入企查查數據的方式，保證客戶信息的準確性和唯一性。

事中控制上，例如，在合同簽訂環節，有的時候業務受理比較緊急，會早于合同審批時間，ERP系統可設置為允許先受理后補審批合同，但必須在一定時限內走完合同審批流程，如超出系統設置的時限，該未經審批的合同則自動無法受理新的業務，以達到控制業務受理的目的。

事后控制上，ERP系統通過有效整合業務數據，生成各類報表，例如應收賬款分析表，方便財務人員和管理人員查看目前的應收賬款情況，以便及時督促業務人員進行賬款催收工作。

（二）ERP系統環境下實施內部控制的弊端

1.系統開發階段的問題

由于ERP系統開發涉及公司的各個部門，部門之間的需求溝通存在一定難度。常常因為IT人員不熟悉業務流程和企業管理，對公司整體架構理解不到位，而業務人員對信息系統不熟悉，也不了解IT程序開發的邏輯規則，往往需求提出和最后系統實現的效果之間有很大的差異，造成系統開發的錯誤或不全面，一旦開發的結構設置定調，后期的調整難度就非常大。

最經常出現的情況就是發現一個問題，打一個補丁，長此以往，系統的模塊越來越多，越做越復雜，則操作人員操作更容易出錯，且系統出錯的時候，往往很難查找錯誤所在。

2.個性化開發的問題

每個企業都存在一些個性化業務，ERP系統也需順應個性化要求而設計開發相關模塊，這種個性化設計，有可能會因為業務人員考慮的疏漏造成設計開發模塊的漏洞。這種情況也會帶來一些不確定的內部風險，例如，有可能因為某個系統邏輯錯誤造成了數據差錯，需要花費大量的人工時間去查找、修正錯誤原因。

3.權限上的問題

ERP系統的使用，在權限設置上也依賴技術手段，如果權限設置上存在不合理或漏洞，可能會造成操作或審批上的混亂，失去內部控制的有效性。同時，若技術人員非法查看業務數據，修改甚至盜取數據，也可能給企業造成巨大的風險。

4.原始數據錄入的問題

ERP系統原始數據的錄入絕大部分依賴于信息錄入人員的工作細致程度，如果錄入的數據與實際情況不符，或錄入的信息非常隨意、混亂，則ERP系統的數據很難達到內部控制的要求。

5.數據修改的問題

手工處理業務數據模式下，每一項修改痕跡很容易查看到，而在系統處理模式下，某些數據修改不留痕跡，造成的錯誤不易察覺，不便于及時更正。

6.特殊業務的問題

企業的某些業務存在一些特殊的需求，但ERP系統是一個邏輯嚴密的信息系統，有時候無法根據個別業務的特殊性做出改變，或者現階段的開發水平無法達到特殊業務的要求，造成業務真實性與系統表現出來的數據可能存在差異，這對內部控制也提出了挑戰，要善于發現系統以外可能存在的風險。

三、ERP系統和企業內部控制有機融合的建議

（一）系統開發過程的控制

財務部門作為內部控制實施的主要部門，在開發初期就要積極加強與IT人員、業務人員的溝通，梳理公司所有業務模式，對各個環節反復推敲，結合各項業務要求提出關鍵控制的規則，重點是要針對一些關鍵的業務流程，重點進行風險控制。系統的開發要兼顧業務模式、內部控制的需求，以IT人員能理解的語言逐條、逐步驟做詳細說明，積極測試并及時提出開發的偏差性。

（二）開發后的升級控制

財務部門要熟悉企業使用的ERP系統，對業務人員提出的問題積極查找原因，跟IT做溝通改進。如果企業出現新的業務模式，也要根據使用過程中出現的問題和漏洞，積極做好系統的更新和維護，正確處理好系統使用中出現的各種問題，更好地滿足業務目標的實現。

（三）內審部門的參與

企業內部審計部門要定期對ERP系統財務模塊數據的真實性和完整性做獨立的評估和監督，以保證ERP系統的健全和完善。例如，每一年度，內審部門除關注整體的流程是否符合內部控制要求之外，還應重點抽查幾個業務部門、幾種業務模式，做具體的測試，以評估業務部門是否正確使用ERP系統，以及ERP系統的數據計算是否準確無誤。

（四）數據修改的控制

ERP系統需設置審批人員，不允許操作人員任意修改，尤其對關鍵數據的修改，如修改受理數量、修改應收應付價格、發票作廢等操作，至少需設置部門負責人為審核人，以便審核人員及時察覺并確認是否予以修改。

（五）系統權限的控制

ERP系統權限的開通要走權限審批流程，要根據不相容職責相分離的原則明確規定各崗位人員的訪問權限和操作權限，定期對權限設置做評估和檢查，重點審查對企業的重要業務是否做出了足夠的訪問限制。對不同業務部門之間的數據要分別設置查看權限，每個部門的人員只能查看本部門的數據，防止數據泄露。

IT要通過技術手段對每個人員的登錄時間、操作日志進行實時記錄，以便及時發現非法操作，且方便日后內審工作的開展。對IT人員的系統操作權限要做嚴格規定，IT人員不得進行業務操作，對IT人員未經審批做的系統數據非法修改予以處罰，謹防IT人員篡改業務數據給企業造成損失。

（六）人員的培訓

企業要加強對ERP系統使用人員的培訓和宣貫，例如，系統開發新手操作指引、定期開展講座、線上線下交流等，提升相關操作人員的操作能力，督促業務人員加強數據錄入的準確性，部門負責人核實信息的真實性。同時要提高員工對信息安全的認識，增強風險意識，不輕易泄露登錄信息。

（七）績效考核

人資部門應基于ERP系統提供的數據作為績效考核的基礎，制定獎懲制度，使各操作人員認真對待系統操作，這樣系統的數據才能更為準確，才能更好地為內部控制提供幫助。例如，對一個月內數據錄入錯誤超過規定條數的人員予以處罰；對長期不將款項認領到報告的人員予以處罰等。

四、結束語

ERP系統正逐步在各個企業廣泛應用，企業在享受ERP系統帶來的益處時，一定也要考慮其相應的風險。針對ERP系統的新風險，內部控制也要不斷改進和調整，促進ERP系統和內部控制相互融合，使ERP系統能更好地服務企業，也使企業能通過ERP系統更好地做內部管理，共同適應企業更長遠的發展。