刘建军

摘要：文章对EPP与内部控制进行了阐述，分析了内部控制与ERP管理系统的关系。同时提出了内部控制风险防范应采取的措施。

关键词：ERP企业内部控制风险防范措施

中图分类号：17270.7文献标识码：A

文章编号：1004-4914(2009)05-248-01

随着电子计算机和网络技术的发展，以ERP为核心的企业管理信息化在中国取得了蓬勃的发展，使得企业内部控制面临新的机遇与挑战。如何适应ERP环境，建立与之相适应的内部控制制度，已经成为社会各界关注的焦点。

一、ERP与内部控制概述

1ERP概述。ERP即企业资源计划(Enterprise Resource Plannin曲。是一个对企业资源进行有效共享与利用的系统。ERP通过信息系统对信息进行充分整理、有效传递，使企业的资源在购、存、产、销、人、财、物等各个方面能够得到合理的配置与利用，从而实现企业经营效率的提高。从本质上讲，ERP是一套信息系统，是一种工具。ERP在系统设计中可集成某些管理思想与内容，可帮助企业提升管理水平。ERP作为企业信息化建设的核心组成部分，它的优势不仅仅在于帮助企业建立一套信息化管理系统，更重要的是它是体现现代管理思想和方法的一种先进工具。

2内部控制概述。内部控制，是指企业为实现经营目标，确保会计信息真实可靠，保护资产安全完整，遵循有关法律法规和规章制度，提高企业运营的经济性、效率性和效果性，而制定和实施相关政策、程序和措施并予以合理保证的过程。内部控制确定了四个目标：资产的安全性、财务信息的可靠性和准确性、经营成果的效率性、法律法规的遵从性。从这四个目标我们可以看出内部控制不直接产生经济效益，而是通过控制风险、规避风险、提高运行效率为提高经济效益作保障。

二、内部控制与ERP管理系统的关系

1ERP是内部控制的工具和手段之一。内部控制的目标基本涵盖了企业经营活动的全部内容，而ERP作为信息系统，是为企业经营目标服务的。在COSO的内部控制框架中，信息与沟通是贯穿整个内部控制系统的要素。ERP作为信息集成系统，可以承担量化信息的筛选、集输、沟通。在ERP系统的设计、开发、实施、运行、维护及管理中，可以把内部控制体系中对信息的总体控制和应用控制要求加以体现，比如，在ERP的设计阶段就可以把信息安全、系统变更管理等思想和要求加以考虑，以致这些要求最终成为组织内部所共同遵守的标准。内部控制系统随着时间、环境条件、所应用的控制方法的变化而不断变化，ERP就是在内部控制系统发展的历程中某个时点上的一种相对完美的控制工具和手段。内部控制五要素中控制活动的手段可以分为人工控制和自动控制，通过ERP实施控制活动就是典型的自动控制。对于一些不能通过自动控制来实现的控制活动，还要应用人工控制，比如，我们对于难以量化需要以职业判断为主的控制手段“危险信号”的控制；对于不在ERP线上的其他信息系统控制(如与员工上下班的IC卡控制)，等等。

2ERP本身是内部控制的客体。ERP是由主观意识的人设计和进行具体操作的，其最前端输入的数据决定其产出产品的质量，“垃圾输入决定了垃圾输出”。若输入错误的数据，其影响也一样会遍及企业整个范围和相关角落，最终可能导致严重的管理决策错误，而该数据源则由人为控制着，具有一定的主观性；另外，ERP同其他信息系统一样也面临着诸如财产价值、法律责任、资产安全等风险，也需要对其进行有效的控制。

3ERP具有一定的局限性。ERP作为信息技术，它是企业管理工具和手段的一种，如上文所述，它不能代替所有的管理工具和技术；ERP业务复杂，运作和维护成本高，规模较小的企业不适合采用该技术；ERP各模块是根据业务实际设置的，没有标准化的模型，所以对于不同类型的企业，ERP的内容也不尽相同，这对于经营范围广的大型企业集团来讲就很难设置统一量化的考核评价标准等等。

从上面的分析可以看出，ERP就是一种管理和控制的工具和手段，它的优势在于最大化的信息集成，并把特定的管理要求固化，但是它本身并不创造控制体系；对内部控制体系而言，它是自动控制和信息与沟通的—个重要组成部分；对企业所面临的风险而言，企业仍需要通过建立内部控制体系，提高风险管理水平，规避和弱化企业经营管理过程中遇到的各类风险。

三、内部控制风险防范的措施

1转变管理观念。ERP系统实施的重点是对传统企业管理观念的根本变革，其成功实施的先决条件是正确的指导思想、实用的软件与有效的实施方法共同作用的结果。首先，企业最高决策层人员要深入了解ERP系统所包含的管理思想，充分认识本企业存在的问题，明确管理转变的思路，建立一支善于开拓思路、掌握计算机软硬件知识且具有ERP系统实施经验、了解系统实施规律的高素质实施队伍。其次，ERP系统的成功实施也离不开企业全体员工的大力支持和积极参与。这要求企业用先进的组织方式改革原来传统的管理结构，促使企业向管理机构高效化、管理人员专业化、管理方式民主化转变，使得企业普通员工有机会参与整个实施过程；同时要加强员工培训，使企业所有员工在思想上对ERP系统有正确的认识。只有深刻理解、全面消化吸收了新的管理思想，并结合企业实际情况加以运用，才能真正做到降低内部控制风险。

2系统工作环境控制。为保证系统安全，企业应该实施一系列控制措施来保证网络安全，比如运行专用的网管软件进行网络监控，采用专用内容过滤技术阻止各种恶意内容的入侵，限制来路不明的软件在系统主机上安装等，最大程度地控制了网络攻击和恶意软件带来的风险。同时要加强员工的信息安全意识防止人为误操作风险。培养员工的信息安全观念，进行信息安全控制的再教育，使员工在进行业务处理时能依据企业集团的信息安全方针进行信息安全控制和风险防范。另外，要对硬件设备特别是关键设备进行定期检测，及时发现和解决问题。

3业务流程控制。应用控制指的是对会计信息系统中具体数据处理功能的控制。不同的应用系统对应不同的方法。ERP系统中的应用控制一般由输入控制、处理控制、输出控制三部分组成。由于具体数据的处理由事先设计的模块自动核算，一般来说只要软件运行正常就不会出现差错，所以ERP系统的应用控制重点是输入和输出的控制。输入是会计系统的主要信息入口，也是出错的主要环节。输入控制的重点在于对输入过程的控制，最重要的是完整性控制。通常通过设置各种约束条件的检验来加以控制，如试算平衡控制，对每笔分录和借贷方进行平衡校验，防止输入金额出错。又如二次输入法，将数据先后两次输入或同时由两人分别输入，经对比后确定输入是否正确等。输出控制最重要的目标是保证各种输出结果的真实性、完整性和正确性，可以通过权限控制、记录登记操作等实现。

另外，ERP系统的运用会给业务流程带来新的系统风险，鉴于此，企业需要从整体上采取更加充分有效的措施加以控制，如通过风险评估手段确定企业关键的业务流程，定期审核关键业务流程的内部控制，确保整个流程中存在恰当的制衡点，设立敏感业务交易访问限制等。

4权限控制。权限控制的基本目的在于防止未经授权的内部人员擅自动用系统的各种资源。信息系统环境下的权限控制始于系统初始设置阶段，即通过系统管理员(或系统维护员)对工作人员、工作范围等进行设置(输入相关的数据)；每个岗位人员采用口令或密码按照所授予的权限对系统进行操作，不得超越权限接触系统。同时，由于系统维护人员能直接接触会计数据库、会计软件和熟悉信息系统技术的关键人员，他们的有意作案或无意的误操作所造成的影响很难估量，所以必须用严格的制度约束他们。

5内部审计控制。内部审计是内部控制的一种特殊形式，它是了解内部控制是否有效运作并达到预期效果的手段之一。权威、独立是内部审计有效的前提，所以内部审计机构在形式和实质上都应保持其相对独立性，最好直接由董事会或下属的审计委员会领导。

(作者单位：中原油田分公司财务资产部河南濮阳457001)

(责编：若佳)