ERP環境下的內部控制風險應對

劉鐵龍 中煤張家口煤礦機械有限責任公司

一、ERP系統與內部控制內涵

ERP即企業資源計劃(Enterprise Resource Planning)是由美國公司Gartner Group在二十世紀九十年代研制的企業資源信息系統,內容主要包括生產資源計劃、生產、供應、營銷、財務管理、品質管理體系、實驗室信息管理、業務流程管理系統、存貨管理、產品分銷和物流信息管理、人員管理和定期報表等子系統集成。ERP具有完善的組織架構,保障企業內不同組織單位間、企業與外部的經營單位間的配合,保障公司跨地區跨國的運營。ERP重在打通企業內部不同部門的信息壁壘,提升業務端到財務端的自動化處理程序,形成業務驅動的財務共享處理平臺。

以風險為導向的內部控制整體框架，是由董事會、監事會、最高管理層以及所有人員共同進行的控制流程,以達到合理確保公司運營過程合法合規、資產安全、公司財務報表和有關信息的真實完備、改善公司運營效率與效果的企業總體目標。內控在形式上表現為一套流程，內控流程的主要功能就是制衡。通過制衡性的流程防控風險。以制度為主、手冊為輔、制度與手冊并舉。只有創建適合ERP環境的內控制度,嚴控內控風險,才能達到企業內部控制目標,提升企業管理水平。

二、ERP環境下內部控制的風險

企業在推行ERP的過程中,組織再造和內部工作測評將是企業推動業務流程改革的關鍵手段,而在此基礎上的內部控制也必定會受到相應的不利影響,從而使得企業內控遇到新的風險與挑戰。所以企業管理者應該積極主動地以全新的視角來分析評估ERP條件下內控的新變革與新風險,并有效減少內控風險。

(一）內部控制要素構成的變化及其帶來的風險

內部控制要素包含控制環境、風險評估、控制活動以及信息、監督等要素，在ERP視角下，企業的內部控制工作要結合企業的實際情況，對企業的控制活動及監督制度等進行完善，從而提高企業內部控制的靈活性。在建立內部控制體系中，則需要在內部控制的視角下，通過ERP的實施，對企業內部控制過程進行完善，降低企業經營與發展的風險，并在內部控制視角下，實現企業業務經營與發展水平提升。

從內部控制環境的角度分析，在ERP環境下，調整企業的組織結構，并對管理結構以及控制方式等進行優化，提高內部控制水平，降低企業的內部控制風險。

從風險評價的角度分析，ERP的實施下，可從風險評估、風險控制的角度，對內部控制風險進行有效防控。在ERP系統的應用下，可將信息技術與企業業務活動有機結合在一起，并通過信息技術的應用，對企業的內部控制風險進行評價與分析，例如，在利用計算機系統中，可對相關電子數據的改寫、刪除以及提取應用等相關風險進行綜合控制，降低企業的內部數據安全風險，從而滿足企業穩定發展的需求。

從企業內部控制活動的角度分析，ERP的實施與落實，則需要在現有內部控制體系的基礎上，對企業的業務活動、經營發展等進行控制，在企業內部形成新的管理理念，并通過信息技術與檢查審批工作，對控制程序進行優化，達到提升內部控制水平的目的。與此同時，在信息技術的應用下，會進一步增加企業內部控制的復雜性以及難度。

從內部控制信息溝通的角度進行分析，在ERP環境下，企業的業務流程實現了信息化發展，通過信息傳輸與內部溝通機制的優化，對企業內部信息傳輸過程進行完善，從而提高企業的內部信息溝通水平。在獲取企業內部信息的過程中，以ERP為基礎，對企業的內部信息溝通過程進行優化，并在企業信息監督與審核的基礎上，提高ERP系統在企業業務控制中的應用水平。在ERP系統建設與應用中，企業內部控制體系的建設與應用，對ERP的運行過程以及應用程序等進行控制，并在信息化監督的視角下，對企業內部信息溝通以及業務活動等進行綜合管理，在數據管理與控制的基礎上，提高企業內部控制與管理的綜合水平。

（二）業務流程風險

ERP業務流程建設與應用，其仍然會出現業務流程風險，企業內部控制與發展中，業務流程與信息應用對企業的內部管理水平會產生直接的影響，因此，在ERP業務流程管理與分析中，建立的信息流與企業的人才、資產可實現有效整合，并支持公司的內部控制流程再造與發展。企業在穩定發展的過程中，決策信息的有效應用對ERP項目發展會產生直接的影響，且在利用ERP系統的過程中，企業現有業務流程再造要在ERP系統的應用下，企業需要考慮ERP系統的適用性，并分析ERP系統與企業業務發展之間的關聯性，這對企業的信息化發展會產生直接的影響。ERP系統建設與應用中，結合企業的業務控制需求，在選定ERP軟件系統后，可從技術、業務管理以及內部控制等角度，對企業的業務流程進行再造與優化。企業業務流程風險包含信息風險、管理風險以及技術風險等，ERP系統應用下，業務流程再造與ERP系統操作有效性有直接關系，在這一過程中，如果出現信息失真或信息丟失的情況，對企業的業務管理與內部控制水平等會產生直接的影響。在利用ERP系統后，缺少相關的技術管理人員對ERP系統進行操作與管理，直接影響ERP系統在企業內部控制中的應用水平。企業在自身的整體業務流程如果沒有根據所選ERP系統先進理念進行梳理整合的情況下，就匆忙實施,將會使ERP流于形式,而沒法起到應有效果。但由于ERP軟件系統通常是固化的模型架構,因此系統并沒法靈活地滿足企業個性流程需求。企業在實施內部管理體系改革和業務流程重整時也就很難真正實現從內部組織架構、業務流程等全方位適應ERP體系的效果[1]。另外公司的內部機構重組和管理流程簡化,也往往會導致很多審核審批環節的遺漏,甚至使審核審批環節因為沒有紙質形式,常會發生由于審核人員的惰性造成審核流于形式,造成一定風險。在這些情形下,手工環境中用作公司內部管理的一些審計線索,在ERP系統體系推出之后就消失了。這種改變也在一定程度上削弱了公司內控管理的有效性。

（三）系統運行風險

ERP系統是承載著先進企業管理思維的信息系統平臺,是公司業務流與信息流的高度集合體。ERP的有效實現,有賴于計算機軟、硬件的信息化水平。但由于計算機病毒和惡意軟件的存在、信息系統軟件設計的缺陷、信息系統運行的失敗、內部人員的未經許可的非法訪問、以及人們對風險管理意識的欠缺等,都會使ERP信息系統受到了巨大的安全威脅,進而引發了系統運行風險，也必然危害內控的有效性。

三、ERP環境下企業內部控制風險的應對

在ERP環境下企業內部管控風險的管理,首先就應該確定內控體系中在ERP推行之后將會存在的哪些風險。然后再針對這些風險運用風險評價手段重新對整個業務流程,以及管理中的各個環節所可能的缺陷做出評價,從而評估各控制風險所可能出現的概率及其導致損失的嚴重程度。并由此選定適當的風險管理工具。對風險處理工具的選用,應當建立在“成本效益分析”的基礎上。企業必須在確定的內控風險的基礎上,主動地采取措施來轉移和防范風險。

（一）加強全面預算管理控制和建立健全ERP崗位設置

ERP環境下，企業內部風險控制要重視企業內部財務預算管理以及崗位設置等相關工作的落實，與此同時，在對預算計劃以及企業運行狀態等進行綜合控制中，則需要在ERP系統的應用下，根據企業的運營狀況以及企業管理決策制定，要通過ERP系統反饋的真實數據，對企業的運營狀態以及內部控制需求等進行綜合控制，并在全面預算管理的基礎上，為企業決策提供具有前瞻性、及時性的參考數據，從而提高企業經營決策的有效性與可靠性。與此同時，在ERP系統下，企業全面預算管理工作的開展，要結合企業全面預算管理控制需求以及ERP崗位設置，對企業的內部控制進行調整，并結合企業的戰略發展需求，對現有崗位制定與發展管理等進行綜合控制，以ERP系統，對企業的全面預算管理模式進行調整，提高企業崗位管理以及預算管理的綜合水平。編制流程崗位對應表，將每個流程標準切實落實到在崗員工，通過每位員工對內控制度的切實執行，加強基礎管理工作，使企業內控建設得到有力推動。人機的相互配合，才能充分發揮ERP的巨大優勢[2]。另一方面，要堅持不相容職務分離原則，企業建立內部控制制度要針對企業的全面預算管理方式、會計工作方式、財務核算以及權限劃分等進行綜合管理，在崗位職責劃分以及財務業務管理的基礎上，提高企業財務管控與監督的綜合水平。

（二）內部審計技術人員參與系統實施與二次開發

ERP系統導入企業后,可能因為其固定模型不符合企業自身的業務流程,為適應企業的需要，就有必要對系統進行改型和內部二次開發。內審人員應該介入其中,使其適應新形勢的審計需要，充當變革促進者，運用自己的內控經驗對ERP系統執行中關鍵控制節點的設計提供咨詢,制定適宜的內控流程并嵌入業務流程，與業務流程有機整合，一體化運作。內控流程的要素至少包括控制點、控制標準、控制痕跡[3]。盡最大限度減少因業務流程重構和簡化造成的管理隱患。

（三）強化人員培訓，有效降低實施環境及技術風險

ERP系統的應用要保證操作人員的技術水平，優化ERP系統的運行環境，降低ERP操作與應用的技術風險，可提高ERP系統在企業內部控制中的應用效果。因此，企業在引入ERP系統后，要對相關操作人員的技術操作能力、財務管理能力等進行培訓，提高技術人員對ERP系統操作的有效性，避免人為操作對企業內部控制產生負面影響。開展培訓工作中，可在業務培訓與管理的基礎上，對ERP系統的操作過程以及業務處理過程進行優化，從而提高企業相關技術人員的ERP操作水平，滿足企業內部控制的綜合發展需求。這就需要有計劃地對各級次人員進行有關ERP業務的培訓，并且分工協作，發揮集體的智慧。這樣讓企業接受ERP體系先進管理理念，做到事前規劃和事中控制，這樣才能夠避免理念沖突。通過加強內控觀念的灌輸,從而優化內部控制環境。另外通過計算機應用技術的培訓,能夠提升內部人員運用新軟件管理數據的效率,也增強了內審人員獲取與利用新信息技術的能力,從而降低了實施ERP系統后內控的技術風險。ERP系統下，企業內部控制工作的開展與落實，則需從且有內部管理以及運行控制的角度進行優化，在企業內部管理以及企業財務核算管理下，可提高企業的業務管理與控制水平[4]。

（四）加強信息系統內部管控,確保服務質量和安全

內控流程信息化的趨勢明顯，很多人寄希望于內控信息化來再造流程、固化流程，提高流程執行力和運作效率[5]。信息系統的內部管理主要涉及了信息系統工作的崗位職責管理制度、系統軟硬件管理、系統信息數據處理等。崗位職責管理制度主要體現在了嚴格的權限審查及劃分規則、工作職責劃分原則等。系統軟硬件管理重點是為了保證系統的順利操作,主要涉及了網絡設備檢測、系統軟件開發工作的管理等。信息數據處理重點涉及了數據信息保密、備份和恢復、對計算機病毒的保護管理等。企業的內部信息管控以及ERP系統運營管理則要在信息技術的應用下，對且有的信息技術應用以及業務管理等進行優化，從而實現企業信息管控的綜合水平提升。企業的ERP系統搭建與應用視角下，在對ERP系統的實際應用進行控制中，可從內部管控、業務管理以及內部控制的角度，對信息技術在企業財務管理、風險評估等進行綜合控制，在利用ERP系統的數據傳輸與信息總結等功能下，可為企業的內部控制方式以及業務管理決策提供有效依據。ERP系統的應用下，重視企業信息系統的內部管控，可通過信息數據處理，對ERP數據的決策性進行評估與管理，從而提高企業內部控制與風險控制的綜合水平。

四、結語

ERP在企業的應用,使企業的內部控制環境發生了很大變化,只有積極采取有效的內部控制措施,才能有效應對風險,實現ERP應用價值最大化。