ERP系統對企業內部控制的影響和對策研究

楊煥玲

（北京交大思諾科技股份有限公司，北京 102200）

企業內部控制是現代企業管理的重要手段，擁有一套完善有效的內部控制體系，直接關系到一個企業能否良好持續的運轉和抵御風險能力的高低。根據《企業內部控制基本規范》要求可知，企業應當加強對信息系統的開發與維護、數據輸入與輸出、網絡安全等多方面的控制，切實發揮信息技術的控制作用。ERP系統是伴隨著信息技術的高速發展應運而生，通過從供應鏈范圍去優化企業的資源，與企業的業務流程相互融合和改善，從而提高企業的內部控制。關注企業在引入ERP前后對內部控制管理的具體影響以及如何解決兩者之間的摩擦，是目前亟須解決的問題。

一、ERP系統環境的企業內部控制概述

（一）ERP系統的概念

ERP系統是企業資源計劃的簡稱，源于對生產環節及生產管理問題的思考，其核心理念是計劃和平衡，主要是將企業的資源綜合考慮并加以計劃，可以靈活的調整這些計劃，主要表現為對物資資源管理（物流）、人力資源管理（人流）、財務資源管理（財流）、信息資源管理（信息流）進行優化和整合，提高企業的經營效率和效果。

本質上講，ERP既是一套信息整合系統，也是一種管理工具，它利用計算機技術對企業的資金、貨物、人員和信息等資源進行自動化管理，對相關數據進行查詢、統計和分析，后續通過數據分析產品的市場前景，從而真正實現數據化管理。

（二）內部控制的概念

內部控制是因加強企業管理的需要而產生的，是提高運營效率、保障依法經營和會計信息真實可靠，促進實現戰略目標的活動，是現代企業制度的根本要求，是各項管理工作的基礎，也是提高管理水平和防范風險的一種有效機制。

總之，良好的內部控制可以有效地防止各項資源的浪費和錯弊的發生，提高生產、經營和管理效率，降低企業成本費用，提高企業經濟效益。

（三）ERP系統與內部控制的關系

1.兩者共同點

（1）目標一致。內部控制的目標基本涵蓋了企業經營活動的全部內容，ERP作為信息系統，是為企業經營目標服務的。流程再造過程中，兩者也會相互參考，最終形成企業內部共同遵守的標準，由此可見，兩者目標殊途同歸。

（2）依賴流程設計的完善性。每個企業都有其獨特性，ERP系統則需要根據其經營特點和管理要求設計出一套有效流程，這是其發揮作用的前提與保證。根據每個企業的狀況，公司領導必須對改造原有流程的給予全力的支持與配合，保證流程的效率型和合理性。內部控制的設計同樣也需要對其進行大量的梳理和調研工作，將企業的內部環境和外部結構規范，確定關鍵環節和風險控制點，同時制定有效的方法和操作規范。由此看來，二者可以相互借鑒和溝通。

（3）實施持續評價和改進。ERP實施的效果如何，需要進行最終評價。評價結果直接反映出實施過程中可能出現的問題，而企業要根據這些問題對ERP系統進行適時的調整和改進，以滿足不斷地變化和需求，達到為企業服務的最終目的。評價制度是內部控制的一項日常性的工作，找出內部控制的缺陷和漏洞，兩者相互促進，共同進步，提出一些建議和改進措施，以提高管理水平。

2.兩者不同點

本質來講，ERP系統是內部控制的對象和客體，它是一種先進的管理理念，通過信息技術手段與工具，對業務流程和控制節點進行合理設計并固化在系統中，對內部控制的信息處理方式找到更便捷的方向。

（四）ERP系統建設的必要性

隨著企業規模的不斷壯大，大部分會形成集團公司，經營管理會越來越復雜，面臨的各種風險也增多，為了保障企業健康有序的運行，引入ERP系統也勢在必行。

1.有助于企業管理的協同效應

ERP系統在企業管理中，使部門與部門之間的聯系更加緊密，將銷售、采購、庫房、生產、財務的數據建設更為一致，均能在系統中實時反映出來，自身的協同功能可使整個公司或集團實現真正的一體化和透明化，比如對內部交易的處理更加高效便捷。

2.有助于提高企業的決策效率

由于傳統的企業管理沒有把企業的各類資源進行整合，導致運營、業務、財務和分析之間的信息斷層，比如查詢一個信息可能需要大量時間和人工去篩選，不能即時取得有效數據。而ERP系統則可以打破傳統企業信息被分割、不對稱、滯后的情況，對內部各類資源實現共享，減少基礎操作層面的人工成本和時間成本，提升管理層決策效率，保證預測的合理性和及時性。

3.有助于規避企業經營風險

ERP系統還有監控和預警功能，比如根據BOM表監控發貨數量，防止多發貨。還可以及時警報出“超過信用限額的客戶清單”“安全庫存”“應收賬款賬齡”等數據，將此類信息通過郵箱或短信向相關負責人預警，真正做到風險提示的功能，及時為企業規避不必要的風險。除內部管理之外，ERP系統還是外部審計關注的重點，審計執行穿行測試程序時需要采購、質檢、生產、銷售等各個環節的流程痕跡，如果缺失則可能會被判定為內控缺陷，這對于一個即將上市或者已經上市的企業來說是個很大的風險漏洞。

二、ERP系統環境下企業內部控制存在的主要問題

（一）管理層重視程度不夠

大多數企業的管理者沒有意識到ERP系統其實是一種先進的管理理念，這是需要全員參與的一項系統工程，更需要考慮投入成本、相應制度、技術和人才配套等一系列問題。而在解決這些問題的時候，必定會與原有的傳統管理思想或者權限利益產生沖突，如果管理層推動和執行的決心不堅定，則無法調動全員參與到流程再造的過程中去，員工甚至會產生抵觸心理，造成一系列關鍵控制點的懸空、斷層，進而放大企業的缺點引發矛盾，實施效果不理想。

（二）業務流程和管理制度缺失

每個企業都有自己的業務特點，而ERP系統就是將業務流程再造之后和內部控制相結合的成果，如此才能更好地適應企業。原有的許多工作流程發生變化，比如很多手工進行的流程轉變為在系統內進行，可能會導致很多部門不太配合。另外，企業出于成本考慮，可能也不會真正組建實施團隊對現有的業務流程進行認真分析，更談不上優化和改造，造成后期極容易出現系統與流程不匹配，應有的控制點沒有被關注，出現不規范操作致使數據傳遞和讀取錯誤。

同時，企業要根據自身的業務特點制定出相應的管理制度，進行后續監督和考評，但是實際中企業考慮到成本效益和時間問題，對這些都浮于表面。很多時候由于人為或者其他因素，導致企業產生經營風險，等風險演變為真正的問題之后又不知道該如何處理，其實這些風險本可以避免的。

（三）信息安全性亟待提高

一方面，表現為系統安全管理不規范。在ERP環境下，所有部門的業務活動都要由計算機網絡系統進行處理，雖然彌補了人工控制缺陷，但卻加大了數據丟失或被盜風險、病毒感染致系統癱瘓、網絡安全等。企業對系統安全風險防控意識淡薄，專業信息人才沒有跟上步伐，沒有建立完備的軟硬件配套等，都會造成系統安全風險。

另一方面，表現為數據處理和維護風險。在ERP實施時，首先需要整理大量的期初基礎數據，在整理這些繁雜的數據過程中容易出現錯誤和遺漏；其次系統數據基本都是由人工錄入，后期維護很容易出現操作失誤，比如選項錯誤、規格型號、項目號勾選失誤等；最后是對權限設定不合理，多人可以對一個權限進行操作訪問且沒有留痕，以上幾點都會導致數據安全性降低。

（四）企業員工業務素質有待提升

ERP系統對企業來講是一個嶄新的事務，高度的信息化和系統化也使后期運轉比較復雜，需要專業性較強的人員才能使系統順利運行。實務中，大多數企業人員的業務素質并不高，專業知識和計算機操作都不流暢，不愿意改變現有的固有工作模式甚至還會產生抵觸情緒，從而不利于企業的系統實施工作。

（五）部門之間信息溝通不暢

企業的各個部門分別負責ERP系統中不同的模塊，比如市場部負責合同和銷售模塊，計劃采購部負責采購模塊，生產部負責生產模塊，質量管理部負責質量模塊，物資部負責存貨模塊等，不同模塊之間也有一定的勾稽關系。

在ERP上線前期各部門數據整理階段是尤其重要的，每個部門都必須要有專門的人員對本部門數據整理的完整性、準確性和時間節點有明確的規劃，才能在規定時間內順利完成上線準備的工作。在后續工作中各個部門需要按照規定模板提供哪些數據，怎么在ERP中操作，都需要專人來維護。這都關系到整個系統能否順利運行，是否能達到預期的效果。

三、ERP系統環境下企業完善內部控制的對策

（一）管理層要轉變思想

管理層要充分意識到ERP系統是一種先進的管理理念，是需要全員參與的一項系統工程，更要做好投入成本、制定制度、提升技術和配備人才等的準備。管理層就是企業的車頭，要主動打破原有的管理模式和習慣，比如打破家族企業的管理模式，只有車頭把握好了方向，車身才會朝著預定的方向駛去。

同時，管理層要通過不斷完善內部控制環境來規范企業的紀律和架構，重塑文化氛圍，從根本上提升全員的風險管理意識。比如可以定期開展培訓指導和考核，讓員工相互監督相互制約，逐步轉變員工的思想，自上而下的充分意識到內部控制和ERP系統之間的關聯性和必要性。

（二）通過業務流程再造優化管理制度

ERP系統需要流程組織變革（BPR）的支持，不進行BPR，就無法體現ERP本身的管理思想，因此，在引入ERP系統初期首先要對原有的業務流程運行的合理性進行判斷，明顯冗雜失控的要進行全面清理；其次企業根據實際經營情況對每一個流程都要進行多方面的風險評估和分析；再次明確每個流程的關鍵控制點，并配套相關職責的崗位人員，確保每個控制點風險都在可控之內；最后隨著企業經營環境和規模的不斷變化，流程可能會發生變化，是動態的過程，需要進行持續優化并在ERP系統中同步實施。

流程變革很大程度上決定ERP引入的成敗，因此企業要組建專業化的團隊來實施，如果內部人力不足或能力有限，可以考慮聘請外部專業的管理咨詢公司來進行設計。此外，還應充分評估業務流程將對企業帶來的組織變化以及工作變化等，建立完善的溝通管理機制，保證各個部門之間溝通問題流暢，從而順利完成業務流程的再造。

當流程設計完畢之后，運行能否順暢則需要相關制度來約束，需要明確規定每個崗位的職責和權限，確保原始錄入數據的準確性。建立考核制度，獎罰分明，提高員工的積極性，比如某一個重要流程節點是否需要監督和審核，審核細節是什么；再如生產環節出現問題該承擔什么后果，責任如何劃分，最好將ERP輸入數據的準確性作為員工的考核指標之一。

（三）提高信息安全性管理

一方面，要加強系統安全管理。企業應配備精通信息技術的專業人員，配套好相應的硬件和軟件系統，比如建立自己的局域網，在局域網和終端安裝防火墻，安裝高級防病毒軟件和入侵檢測、預警等功能。做好全員的信息安全教育工作，定期組織員工進行網絡安全的相關培訓。對ERP系統定期維護與更新，清理不必要的垃圾數據，及時對數據進行備份，確保系統的順暢穩定運行。

另一方面，要降低數據處理和維護風險。前期引入時，期初數據的整理尤其重要，這是系統運行的支撐和前提，甚至關系到以后各類數據和報表的準確性，因此，必須要由各部門細心沉穩的同事負責，反復進行校驗和核對，保證數據的質量。后期日常業務數據的維護也需要由專人負責，其他任何人不得隨意更改，防止發生混亂，比如物料編碼由物資部專人負責編號，其他人應無此權限。企業應預防內部數據篡改風險，可以設置權限和人員復核降低風險，不相容職務相對獨立，一崗一人，重視復核層面的流程，最好讓操作留痕，出現問題也便于追溯。另外，企業員工應該重視本人賬號密碼的管理，定期修改密碼。

（四）通過員工培訓提升風險意識

ERP系統作為一個集信息化和系統化為一體并能為各個部門提供數據信息的平臺，針對其信息共享廣泛、使用者眾多的特點，則對員工的素質提出更高的要求，因此，企業應根據實際情況，將各模塊、各部門崗位等的具體職責分配給合適的員工。

所有部門的相關人員必須通過培訓，考評合格才能上崗，尤其在上線前，員工需要反復地對系統操作進行熟悉和強化，防止出現由于不清楚流程、發生操作錯誤后不知如何處理的情況。此外，還要不定期開展安全網絡培訓，加強網絡安全的防范知識。

企業還應加大對于高層次、復合型人才的培養力度，提升一批善于分析數據、發現潛在風險的人才，比如聘請內外部專家開展一些風險培訓等。

（五）打破部門隔閡實現高效溝通

在ERP實施過程中，要想取得良好的效果，需要各個部門之間的溝通與配合，打破各自為政的局面。業務流程再造本質也是建立起跨部門的流程，引導公司的所有員工不是以部門利益為主，而以公司整體利益為主，各個部門按規定執行ERP系統操作，提高工作的效率，若發現實際管控和流程有偏差時，要及時上報異常，等待上級領導來處理。另外各部門之間可以經常開會討論遇到的問題并提出解決方案，若有需要調整的流程或節點，均可以提出自己的建議，直接溝通是解決部門間問題的最好辦法，也是高效溝通的一種方式。

綜上所述，當今市場經濟的迅速發展，信息技術得以廣泛應用，ERP系統的必要性也日益彰顯。在工作實踐中，大多數企業的內部控制并不完善甚至還有很多盲點，但ERP系統與內部控制之間是相互促進，不斷完善的關系，在ERP實施過程中，將內部控制暴露出來的風險和問題規避或解決掉，兩者結合在一起會產生“1+1＞2”的協同效應，既能夠提升經營業務活動的靈活性，又能夠優化內部控制質量，從而將企業管理的現代化帶入一個新的階段，更好地實現企業的發展戰略目標。