基于ERP系統環境的企業內部控制研究

■何小雅

（西人馬（廈門）科技有限公司）

1 企業ERP系統與內部控制的內涵

1.1 企業ERP系統的概念與特點

ERP系統是企業資源計劃(Enterprise Resource Planning)的簡稱，它是在MRPII（企業制造資源計劃）基礎上進一步發展而形成的面向供應鏈的管理思想，是將企業物流、資金流和信息流進行一體化管理的信息系統，是為企業全方位和系統化的提供決策、計劃、控制、經營業績評估的管理平臺。ERP系統承載內部控制動態管理思想，具有高集成、實時共享、覆蓋完整的業務流程的特點。

1.2 內部控制的概念與特點

內部控制是指由企業董事會、監事會、經理層和全體員工共同實施的旨在實現控制目標的過程。

首先，內部控制是一個過程，它覆蓋了企業運營全過程，各個流程、節點相互推進、相互制衡，內部控制需要流程化、制度化。

其次，內部控制需要企業全員參與。企業各級管理層和全體員工需要樹立現代化管理理念和建立風險意識，主動承擔內部控制建設和執行責任，而不是被動執行內部控制規定。

最后，內部控制只能是合理保證，而不是絕對保證。企業目標的實現不光受制于企業內部環境，而且也受外部環境影響，內部控制是無法作用于外部環境的。內部控制自身也存在局限性，受其設置和運行人員、經營環境、業務性質等制約。

1.3 企業ERP系統與內部控制的關系

1.3.1 企業ERP系統是內部控制的工具和途徑之一

ERP系統實施前需對企業現有運營流程進行設計和改進，保證ERP系統設置后實施目標、控制范圍、操作流程與內部控制一致，ERP系統成為內部控制實施的載體和工具。隨著企業經營管理情況變化，內部控制需要適時改進。ERP系統為了更好服務于內部控制，需要做出相應調整。

1.3.2 企業ERP系統是內部控制的對象

ERP系統是由人主觀意識而設計出來，無法避免會有漏洞。錯誤操作ERP系統，會導致整體數據出現偏差。內部控制出現失誤，甚至出現重大決策失誤。ERP系統是內部控制的重要構成部分，對ERP系統進行風險監督和測評，規避和減少企業管理過程中ERP信息溝通造成的誤差風險。

1.3.3 企業ERP系統是內部控制的體現和要素

ERP系統根據公司治理結構、內部機構設置和權責分配制度、內部控制制度等建立規范的系統管理機制。通過對供應鏈進行實時數據采集，實現供應鏈管理信息和業務共享集成，及時、準確收集、傳遞與內部控制相關信息，實時監控資金流和物流，精確指導企業經營生產，從而實現事前計劃、事中控制、事后分析。并對信息和流程進行篩選和甄別，實現企業內部信息共享、管理流程和業務流程優化和自動化。

2 企業ERP系統的應用對內部控制的影響

2.1 企業ERP系統的應用使內部控制制度更完善

通過ERP系統使內部控制制度落實到實處。ERP系統實施前，企業針對前期經營管理模式、流程和操作，對內部控制制度進行調整，將內部控制制度要求嵌入ERP系統中。ERP系統實施中暴露出內部控制制度問題，方便管理者及時調整。

2.2 企業ERP系統的應用使內部控制范圍更廣泛

一方面ERP系統風險管控納入內部控制范圍。另一方面ERP系統應用促使企業規模不斷增大，同時使內部管理層次更復雜，流程更繁瑣，經營風險更多，內部控制需要管控的內容更復雜，范圍更廣泛。

2.3 企業ERP系統的應用使內部控制形式更智能

ERP系統的應用使內部控制不再依賴人員的內部牽制，將內部控制點嵌入系統，流程數據和操作自動識別、篩選、監控，使得數據處理和存儲更加集中、自動、智能。業務流程的重組和信息化，不僅保證信息真實完整，而且給內部審計調查取證提供了便利。

2.4 企業ERP系統的應用使內部控制模式更成熟

ERP系統的應用使內部控制信息所產生的成本減少，企業不必單獨成立內部控制部門。內部控制系統和業務系統集成合并，系統自動反饋，不斷糾正和調整業務信息，減少了信息誤差，提高了控制的效率，從而實現信息溝通及時、有效、準確、透明。

2.5 企業ERP系統的應用使內部控制環境更良好

根據公司治理結構、內部機構設置和權責分配制度、內部控制制度等建立規范的ERP系統用戶權限管理機制。系統采用基于角色訪問機制（RBAC），根據崗位職責體系進行職責分工，不同分工對應不同系統角色，基于角色生成事務代碼，并分配事務代碼所需權限、字段、字段值，由此決定了角色在系統中的操作權限，實現崗位、職責和權限統一，從而改善內部控制環境。

3 ERP系統環境下內部控制的發展現狀

3.1 相應制度體系構建不完善

在應用ERP系統時，內部未形成統一的業務流程和完善的制度體系，內部控制制度只是針對財務部門設置，缺少信息化管理制度，內部管理混亂。ERP系統在實施過程中不能與其他信息系統有效的進行信息傳遞和數據分析，財務信息與經營信息不能有效結合，缺乏相互約束機制，影響信息質量，使經營管理決策出現偏差。

3.2 ERP系統與業務融合度不夠

在ERP系統實施前，未對業務流程進行診斷和評估，導致業務數據無法錄入ERP數據庫中，只能錄入線下業務數據庫。ERP系統在實施過程中，業務流程與系統流程存在沖突，不符合ERP系統應用規則，業務數據與ERP系統數據無法傳輸、銜接、集成，無法實現信息一體化管理，從而導致系統與業務融合度不夠，使經營管理者無法獲取準確的業務數據進行分析和決策。

3.3 ERP系統信息安全存在隱患

在應用ERP系統時，更關注其功能，而忽略信息安全隱患。ERP系統包含了企業核心信息和數據：組織架構、人員信息、產品信息、客戶供應商信息、供應鏈數據、財務數據、人力資源數據等。ERP系統因為人為破壞、操作不當、監管不到位或不可避免的問題等原因造成敏感信息被人為或無意的非法泄露、傳授、買賣、更改、破壞、辨識、控制將給企業帶來巨大的損失。

3.4 內部控制管理績效考核機制不健全

在應用ERP系統時，ERP系統涉及的流程崗位職責設定不明確、未將內部控制管理執行情況和風險控制效果納入考核范圍、考核數據來源和考核方法不清晰、考核指標或考核指標不合理、考核標準不一。未注重考核反饋機制,考核結果可參考性和利用價值低、未全面分析績效取得過程原因及后期影響，改善計劃缺乏長期目標和長遠規劃，考核結果和獎勵結果不一致。最終導致無法通過績效考核發現ERP系統和內部控制之間的問題。

3.5 企業缺乏復合型專業人才

ERP系統應用過程中，企業缺乏信息管理、財務管理和運營管理綜合性人才，綜合判斷ERP系統應用對內部控制長遠影響。ERP系統應用前期指導和后期服務均由系統供應商占主導。即使企業花費巨大精力和財力用于ERP系統開發，也受限于系統供應商提供的服務水平和資質。企業缺乏復合型專業人才，根據自身企業運營特點，研發ERP系統，及時收集、處理各崗位的系統問題,調整與內部控制的沖突和差異。

4 ERP系統環境下加強內部控制的具體建議

4.1 完善內部控制制度與體系。

4.1.1 建立ERP系統崗位制度

ERP系統崗位制度按照財務會計、管理會計、生產制造、供應鏈、人力資源崗位職能將系統劃分為若干模塊，各部門按照企業組織架構、崗位職責和職能劃分ERP系統工作內容，進行ERP系統業務處理與數據處理。

4.1.2 建立ERP系統操作制度

ERP系統操作制度主要是各模塊操作規范、注意事項及各模塊操作人員職責。各崗位操作人員根據分配的模塊、權限及各模塊流程操作圖進行相應操作，禁止違規操作。系統操作人員均需遵守保密規定，不得向任何其他個人、部門、單位透露系統數據。

4.1.3 建立ERP系統培訓制度

ERP系統培訓制度包括需遵守的培訓規則、培訓形式、激勵措施及考核方式，旨在提高培訓效果，增加操作人員的ERP系統理論及操作知識，順利實施ERP系統應用。

4.1.4 建立ERP系統安全制度

ERP系統安全制度是構建ERP系統穩健運行環境的重要保障。內容涉及制定系統安全目標和安全策略，并在此基礎上制定不同內容的規范。同時建立系統安全組織，明確各部門、環節及人員安全職責、組織形式、處理流程，啟用日志管理，避免越權和非授權行為。

4.1.5 建立ERP系統信息反饋制度

ERP系統信息反饋制度主要是在企業運營、系統流程操作過程中信息反饋和建議的規范，從而實現及時收集員工意見，調動員工工作積極性，發掘內部控制管理可行性改善建議。制度包括合理化建議范圍界限、合理化建議審核流程、合理化建議反饋形式及渠道、合理性建議效果反饋及獎勵，并建立考核制度。

4.2 提升ERP系統在內部控制方面的應用水平

首先，ERP系統啟動前，針對不同階段設置可量化的、明確的系統在內部控制方面的不同應用目標。其次，ERP系統實施前，選擇合適企業需求的ERP系統。通過對內部控制管理進行梳理和診斷后，結合企業生產模式和現有需要解決問題，尋找ERP系統供應商并對其產品進行調研，綜合評估選擇合適的ERP系統供應商。然后，引入企業管理咨詢服務。在實施ERP系統前期準備、業務流程重組、ERP系統選擇分析及后期實施工作僅靠企業內部人員還不夠，需要引入專業的企業管理咨詢服務。再次，成立ERP項目組，實行ERP項目監理制。按照規章制度對ERP項目進行監督和管理，協調各方面溝通，減少合作過程的阻力，并爭取高層領導支持。最后，確保ERP系統數據及時收集、整理及匯報。ERP系統是對企業信息的整合，而信息的載體和表達是通過大量數據來完成，通過ERP系統數據的收集、整理與匯報，才能確保ERP項目實施成功。

4.3 加強對ERP系統信息安全的保護

4.3.1 ERP系統信息安全管理

根據企業組織架構、崗位職責和內部控制管理需求，自定義ERP信息角色和權限；專門審計人員定期審計信息安全；開啟日志功能，記錄操作人員操作記錄；數據定期審計、備份、檢查、分析、維護；通過信息安全管理測評和分析，發現系統存在的漏洞和隱患等；利用信息安全技術分析，預見、發現系統中每一個環節中潛在或已有問題，減少和消除ERP系統持續安全運行風險。

4.3.2 ERP系統信息安全控制

依據ERP系統特點與企業安全目標建設基礎信息設施，設置合理的信息安全架構，建設完善架構體系，合理劃分安全區域，統一規劃安全設施，不斷增強網絡監控；根據客戶端和數據情況配置軟硬件。

4.3.3 ERP系統信息安全技術

對服務器安全、登錄安全、數據庫安全三大項信息實施安全技術；及時對ERP系統進行適應性二次加工與升級，增加新的功能、修補漏洞，增強穩定性、增強操作性；不斷升級身份認證技術，確保操作人員權限與身份一致；不斷提升安全防護、病毒監測與清除、安全監測與監控、加密與解密技術等技術，配備防火墻系統和入侵防御系統，設置安全訪問管理和預防木馬病毒入侵。

4.4 健全內部控制的績效考核

基于ERP績效管理信息系統建立績效考核組織，以績效計劃流程、月度考核流程、年度考核流程為線索，將具體考核目標、因素、指標指定到具體考核對象上，并對考核結果進行評價和分析，形成基于流程和責任的指標體系、評價體系、結果應用體系。具體措施包括：ERP系統自動采集和計算各流程操作數據生成績效報表，員工和績效管理人員可以通過實時查看績效結果，員工可以通過ERP系統申訴績效結果。

4.5 加強復合型專業人才的培訓和儲備

基于ERP系統環境下，企業開展知識、能力、素質和創新思維為一體的復合型ERP專業人才培養和儲備。一方面從企業內部挑選人才組建成為懂技術懂財務懂管理的復合型人才團隊，從技術、實施、應用三個層面確保ERP系統成功實施。另一方面從理論學習、動手實踐和企業鍛煉三個層次開始培養復合型專業人才。

總之，ERP系統應用作為全新的理念和信息管理系統，對于內部控制管理和信息化建設產生重大的影響。目前我國大部分企業在實際ERP應用中效果不佳，仍然存在問題。本文以ERP環境下內部控制為研究方向，分析了具體存在問題，并多角度從內部控制制度體系、內部控制應用水平、信息安全、績效考核、復合型人才培養等方面給出具體應對措施。企業應積極采取措施，加強ERP應用成效，為內部控制提供堅實、高效的基礎。