岳　兵

ERP(Enterprise Resource Planning的缩写，即企业资源计划)是一种新的企业管理的思想，强调对企业的内部甚至外部的资源进行优化配置、提高利用效率，是信息时代企业实现现代化、科学化管理的有力工具。在不到10年的短暂时间内，它很快就被广大企业认同和接受，并为许多企业带来了丰厚的收益。如何适应ERP环境，建立与之相适应的内部控制制度，已经成为社会各方面，尤其是政府部门和企业界关注的焦点问题。

我国实施ERP内部控制现状

随着我国改革开放的深入发展，ERP作为一种全新的管理理念、管理方式随之而来。经过近年来的不断实践，已经有越来越多的企业实施了ERP。

从目前所了解的情况看，一些企业成功实施并且充分利用了它们的ERP系统，使企业驶上健康发展的轨道，企业运作井然有序。但有一些企业投入巨资上马ERP项目却收效甚微，有的甚至弄巧成拙，连正常的生产经营活动都难以为继。如哈尔滨医药集团、北京市三露厂、广州标致汽车公司、河南许继集团等等。还有一些知名的跨国公司，虽然上了ERP或SAP，但企业内控问题层出不穷。2000年，某公司内审时查出其公司有一大部分物资远超过市价，经查证为某采购部门团体作为，导致公司损失巨大。这是什么原因呢?经过分析就会发现，是整个采购流程管理不当、公司治理和内控体系稀缺造成的。

正确利用ERP改善企业内部控制非常必要

ERP系统作为集系统、信息和控制于一体的一种应用，为以系统为载体、以信息为手段的现代控制提供了工具。它帮助企业把客户的需求、企业内部的运营活动以及供应商的制造资源整合在一起，其功能不仅涉及企业内部的物料管理、库存控制、生产管理、营销、供应及财务的各个方面，而且还包括企业外部的供应链管理。在ERP系统中，财务管理始终是核心的模块和职能。ERP的集成化为财务管理带来了一系列变革，企业可以即时获取财务过程、分析系统的触发信息，实现对整个业务过程的动态监控。因此，ERP给企业带来了前所未有的会计与业务一体化处理和实时监控的优越性以及管理的自动化和数字化，在提高内部控制效率和效果、降低控制成本等方面起到了积极的作用。

ERP实施的是流程化的管理，流程管理主张能产生经济效果时才进行控制，也就是要求控制产生的收益大于进行控制耗费的成本，否则就取消控制或改变控制的方式。因此，运用ERP，能有效降低内部控制的成本。根据美国生产与库存控制学会(APICS)统计，使用ERP系统，平均可以为企业带来如下经济效益：①库存下降30％～50％；②延期交货减少80％；③采购提前期缩短50％，④停工待料减少60％；

⑤制造成本降低12％，⑥管理水平提高，冗员减少10％；⑦生产能力提高10％～15％。

ERP作为信息集成系统，可以承担量化信息的筛选、集输、沟通。在ERP系统的设计、开发、实施、运行、维护及管理中，可以把内部控制体系中对信息的总体控制和应用控制要求加以体现。由完善的内控制度所产生的各项信息，将为企业决策提供坚实的基础。COSO内部控制制度建设暨评估框架由五个重要部分组成：控制环境、风险评估、控制活动、信息与交流和监测。其中，信息与交流系统是整个内部控制的生命线，为管理层监督各项活动和在必要时采取纠正措施提供了保证。而内控是一个动态的过程，必须依据环境，制定措施，信息反馈，进行纠错，并不断改进。

在ERP环境下企业如何加强内部控制设计

内部控制(COSO)是由董事会、经理层和其他员工共同实施的，为营运效率、财务报告的可靠性和相关法规的遵守等目标的达成而提供合理保证的过程。从公司治理层面看，该定义明确地强调了高层管理者(董事会、总经理)对内部控制制定与实施中的作用。可以这么说，如果企业管理当局无法充分将ERP系统的现代管理理念融入企业管理思想和管理模式，内部控制将无法实现。

ERP系统的使用涉及整个企业的业务流程。其系统特点一方面使企业员工以更大的灵活性去处理问题、提高效率，但另一方面高度集成的功能和系统，使用户无论在企业的哪个角落都能获得访问系统并且控制或改变重要的业务参数的可能。ERP的高度集成性和分布式的系统技术结构，同样会给企业带来风险。

首先，ERP系统中高度集成的功能模块，使得任何一点出现问题都会影响到其他模块的正常运行。

其次，传统的ERP系统采用客户端／服务器结构，这种分布式的结构使企业低成本、高效率地获得业务集成管理功能的同时，也使系统管理的难度增大，系统更容易暴露在有意和无意的系统攻击的风险中。

第三，系统审计难度加大。复杂的ERP系统使得系统控制和审计人员必须具有相应的专业知识。但对于大型的ERP系统，几乎没有人能够对整个系统的功能和每个模块的特点有全面的认识和理解。

第四，许多ERP系统使用基于Web的B／S技术支持异地登录和访问，由于通过因特网登录，不受空间的限制，任何不正当的用户授权都能导致对系统的非法访问。

第五，ERP系统靠使用单一的数据库、单点输入数据等来确保其高度集成性，这在保证ERP系统数据一致性、减少重复劳动的同时，除使生产、销售、库存和财务等各个部门能够共享信息外，也使数据的所有权和维护成为一个不容忽视的问题。如果存在不合适的访问权限的定义，系统中的一些机密数据就会透明化，进而导致企业的重大损失。

反观国内ERP的实施，缺乏对实施风险的认识、缺乏科学而有效的风险管理方法则是导致低成功率的一个重要因素，它会直接导致实施过程中的盲目性和随意性。ERP系统的使用也对企业的组织管理带来了新的挑战。由于ERP实行的是流程化的管理，会打破原来的条块分割，势必导致企业组织结构的改变，甚至是对业务流程的重新思考。ERP系统使用会改变企业员工的职权，这种工作角色的转变和适应过程具有不确定性。ERP系统数据的捕捉一次性完成特性，使得管理部门对信息质量的控制难度加大。企业信息决策数据来自不同部门，其中任意一个部门如有差错，将直接影响到其他部门统计。

传统的业务流程是以凭证、账簿、报表的会计循环方式而设计的，会计账簿体系是其主要甚至唯一的控制方式。ERP实行的是流程化的管理，它打破原来职能部门的条块分割，强调优化流程结构，实现企业资源的系统配置和信息共享。企业在实施ERP系统后所遇到的业务风险主要来自四个方面：业务流程、应用架构、数据质量和技术架构。其中，业务流程由于与过去相比发生了根本性的改变，其对企业内部控制风险的影响最大。

企业内部、外部人员如黑客等对

会计数据非授权的访问、篡改、泄密和破坏会造成风险。这种有意图、有目的的攻击行为将给企业集团带来巨大的伤害，严重威胁着企业集团信息的机密性、完整性和可用性，从而增大了企业内部控制的风险。

ERP环境下的风险管理对策

第一，针对控制环境，需要转变管理观念。ERP系统实施的重点是对传统企业管理观念的根本变革，其成功实施的先决条件是正确的指导思想、合适的软件与有效的实施方法共同作用的结果。首先企业最高决策层人员要深入了解ERP系统所包含的管理思想，充分认识本企业存在的问题，明确转变管理思路，建立一支善于开拓思路、掌握计算机软硬件知识且有ERP系统实施经验、了解系统实施规律的高素质实施队伍。其次，ERP系统的成功实施也离不开企业全体员工的大力支持和积极参与。这要求企业普通员工有机会参与整个实施过程；同时要加强员工培训，使企业所有员工在思想上对ERP系统有正确的认识。

第二，针对系统风险，为保证系统安全，企业应该实施一系列控制措施；(1)保证网络安全，最大程度地控制了网络攻击和恶意软件带来的风险。(2)严格定义在ERP或SAP的授权。由于ERP系统靠使用单一的数据库、单点输入数据等来确保其高度集成性，所以生产、销售、库存和财务等各个部门能够共享信息外，也使数据的所有权和维护成为一个不容忽视的问题。对ERP信息系统的使用必须经过授权。非授权的访问将带来企业重要信息泄漏或丢失的风险。(3)针对系统的不稳定性和电脑病毒的威胁，必须建立24小时的系统恢复计划(RecoveryPlan)，同时对于输入系统的信息的原始凭证，必须有专人负责登记保管，确保资产和记录的安全性。

第三，针对业务流程，应做好以下各方面：(1)应用控制指的是对会计信息系统中具体数据处理功能的控制。ERP系统中的应用控制一般由输入控制、处理控制、输出控制三部分组成，其中，重点是输入和输出的控制。输入是会计系统的主要信息入口，也是出错的主要环节。输入控制的重点在于对输入过程的控制，最重要的是完整性控制。输出控制最重要的目标是保证各种输出结果的真实性、完整性和正确性，可以通过权限控制、记录登记操作等实现。

(2)切实做好BPR业务流程重组。BPR被称做是“恢复美国竞争力的唯一途径”，是成功实施ERP的基础。在进行BPR之前，必须对所有的流程从有无效率、是否合理的角度进行审视，然后从不合理且无效率的业务流程人手，逐一规范和调整，实现从职能管理到面向业务流程管理转变。

(3)业务事项要予以正当的说明和准确及时地记录，并做好基础数据准备。前期的基础数据准备是保证系统正确运行的关键。这些数据一般包括：客户数据、供应商数据、物料数据、工序及工艺等静态数据，还包括库存、客户订单、发货、交货、发票、应收、应付等每时每刻都会变化的动态数据。

第四，企业规章制度的更新与落实。在实施ERP的同时，要下大力气对企业以往的制度做合理的调整和修改，使它能够对项目的实施起到推动作用。

第五，信息系统管理部门内职责分离的控制现状及风险：职责分离是企业内部控制的基础控制手段，主要目标是防范内部人员的舞弊行为带给企业的灾难。在ERP环境下，信息系统不相容的职责分离主要有：系统设计人员与系统操作人员的职责分离；系统维护人员与系统操作人员职责要分离；系统操作人员、系统设计人员与数据档案管理员职责要分离。

第六，权限控制，权限控制的基本目的在于防止未经授权的内部人员擅自动用系统的各种资源。信息系统环境下的权限控制始于系统初始设置阶段，即通过系统管理员(或系统维护员)对工作人员、工作范围等进行设置(输入相关的数据)；每个岗位人员不得超越权限接触系统。

第七，制订风险控制预案，ERP的实施是一个庞大的系统工程，涉及的因素、内容和环节比较多。因此，必须在风险识别和分析的基础上，事先制订风险控制预案，指导风险控制，以便使可能出现的风险所造成的损失消失或减少。风险控制预案是开展风险管理活动的依据，对风险控制工作起指导作用。