张晓毅 王翠霞 鲁君谊

（1.铜陵学院，安徽 铜陵 244000；2.铜陵化学工业集团有限公司，安徽 铜陵 244000）

基于ERP环境下的企业内部控制探析

张晓毅1王翠霞2鲁君谊1

（1.铜陵学院，安徽 铜陵 244000；2.铜陵化学工业集团有限公司，安徽 铜陵 244000）

在信息化浪潮席卷全球的经济背景下，企业资源计划(Enterprise Resource Planning，简称ERP)作为企业信息化建设的重要组成部分，正逐步在企业中得到广泛应用。然而，ERP在推动企业信息化管理的同时，也打破了企业原有的内部控制体系，给企业增添了很多不稳定因素。文章分析了ERP系统在企业应用过程中存在的风险，探讨了完善ERP系统环境下企业内部控制的措施。

内部控制；企业资源计划(ERP)；企业信息化

近年来，在信息化浪潮席卷全球的背景下，企业的生产经营活动发生了巨大的变化。企业资源计划 (Enterprise Resource Planning，简称ERP)作为企业信息化建设的核心组成部分，正逐步在企业中得到广泛的应用。但是，当我们关注其为企业带来巨大的管理变革和经济效益的同时，也必须充分认识到由于ERP系统自身的特点所带来的风险。针对这些风险，研究和制定ERP环境下企业内部控制新的策略，就成为ERP系统在企业应用中不容忽视的新课题。

一、ERP概念及内部控制目标

（一）ERP概念

ERP系统是基于客户服务器体系、面向对象技术、关系数据库结构、图形用户界面、第四代语言、网络通讯等信息技术的一个广泛而开放的企业信息系统。ERP系统中的会计信息系统更是各种信息如供应、生产、销售、服务等信息高度集成的结果。

ERP系统在企业中应用的核心思想是以企业供应链管理为核心，尽可能地整合企业的全部内、外部资源，加快企业资金流和信息流的流通速度，提高企业在市场上的竞争力。这种先进的管理模式给企业传统的会计核算体系带来了前所未有的冲击，也给企业内部控制和管理模式提出了新的问题和挑战。

（二）内部控制及其目标

内部控制是指企业为了保证业务活动的有效进行，保护企业资产的安全、完整，防止、发现、纠正错误与舞弊，保证会计资料的真实、合法、完整而制定和实施的政策与程序的集合。广义地讲，一个企业的内部控制是指企业的内部管理控制系统，包括为保证企业正常经营所采取的一系列必要的管理措施。

在ERP环境下，实施内部控制活动的目标也发生了很大的改变，概括起来有如下几点：

1.利用风险评估手段重新确定企业关键的业务流程；

2.评估整个流程和控制的设计是否合理，检查这些控制是否很好地满足和支持最终业务目标的实现；

3.评估ERP系统中各岗位职责是否分离，确保在整个流程中存在正确的稽核点和平衡点，限制重要经济业务的访问权限；

4.评估控制方式是否合理，例如基于手工流程的控制和基于系统的自动控制是否搭配适当。

二、ERP管理系统在企业应用中面临的新风险

ERP管理系统在企业的应用过程中，风险一般来自四个方面：业务流程、技术架构、数据质量和系统访问。其中，业务流程的转变对企业内部控制的影响最为深远，它对企业内部管理和财务方面的监控提出了更高的要求，这方面的风险特征相比过去发生了根本性的变化。针对ERP管理系统存在的应用风险，企业应制定相应的内部控制措施。

（一）业务流程风险

ERP管理系统的实施引起企业各个方面的巨大变化，在很大程度上改变了企业的业务流程。在ERP系统实施以前，许多企业基于计算机的业务系统，基本都是围绕某一业务功能或者是职能部门而设计和运行的，比如销售系统、采购系统和财务系统都是一个个相互独立的业务流程。而ERP系统集成了企业运营的各个环节，一个完整的ERP系统亦即是企业人力资源、财务核算、销售网络、制造加工以及供应链管理等各业务流程的集成，实现了跨职能部门的业务管理系统。这个系统能够使企业多方受益：对竞争压力和市场机会的迅速反应，灵活的产品装配，减少库存以及更加有效的供应链管理。与此同时，企业过去基于文件审批的内部控制机制，已无法适应ERP基于业务流程的管理需要。更重要的是，由于企业的业务运作更加依赖于ERP系统，这种依赖和信息系统本身的特点导致了企业新的业务风险。如果不能很快建立起新的、有效的内部控制，必然对企业的整体运营产生不利影响。

（二）技术风险

ERP管理系统的使用涉及到整个企业的全部业务流程，高度集成的功能和系统，使用户无论在企业的哪个角落都能获得访问系统并且控制或改变重要的业务参数的可能。显然，ERP管理系统的特点一方面使企业员工以更大的灵活性去处理问题、提高效率，但另一方面如果对这种灵活性缺乏有效的控制，那么ERP的高度集成性和分布式的系统技术结构同样会为企业的内部控制系统带来风险和漏洞。

（三）数据质量风险

ERP系统的有效运行是建立在有效数据库的基础上的，如果企业不能保证录入系统的数据的准确性和完整性，那么ERP管理系统的使用是没有任何意义的。在ERP管理系统中，数据的录入一般有两种方式：一种是人工录入，另一种是通过数据录入装置录入。对于后一种方式，数据录入的差错风险较小，但人工录入的方式差错率就可能比较高。虽然ERP系统中可以设置一些参数来对错误数据进行报警，但无法从根本上解决这类问题。

（四）系统访问风险

由于ERP管理系统将所有大量的业务应用功能集成在一个系统环境之下，ERP用户就可能有更多的机会访问其它与之不相关的信息。虽然，ERP系统中都有权限控制的功能，但这并不能完全保证信息的保密性和完整性。

三、在ERP系统环境下完善内部控制的对策

（一）程序控制

程序控制是指依靠计算机程序对会计核算进行内部控制,以实现系统的自我保护。这种自我保护的内部控制往往比通过各种管理制度实现的控制更为有效，如身份和权限控制。对用户、文件分别授予不同级别的特权，以防止未经授权的人员有意进入系统或无意误入系统，不允许合法用户使用权限之外的设备、文件或程序，不允许进行各种越权操作。另外对ERP软件更换、修改、升级时，要有一定的审批手续，并由有关人员进行监督，以保证ERP系统中数据的连续性和安全性。同时要定期对计算机程序及软件进行维护，推出防止计算机病毒黑客等入侵的措施。

（二）建立健全ERP系统中的岗位设置

建立ERP系统岗位责任制，主要是要明确每个工作的职责范围，便于企业更便捷地进行内部控制。ERP岗位设置可以根据企业的实际情况按照不同的思路划分为不同的岗位。比如可以把工作岗位分为基本职能岗位和ERP系统岗位。其中基本职能岗位可以设置为销售、生产、库存、采购、财务、出纳、审核、物流、投资、战略等岗位；ERP系统岗位分为直接管理、操作、维护ERP系统及计算机软、硬件人员等。各企业可以根据内部控制制度的要求和本单位的工作需要，在保证数据安全的前提下交叉设置岗位，各岗位应保持相对独立，但又相互联系，相互制约。

（三）操作控制

通过ERP操作管理制度的建立，明确规定上机操作人员对ERP软件的操作工作内容和权限。一般包括输入和输出两部分控制，首先输入控制要保证输入到计算机中的会计数据都经过了严格的审核，并且所有的会计信息都是正确的，例如在ERP系统运行中，预防未经审核的各种原始凭证输入系统以及对错误的原始凭证拒绝输入、及时更正和再输入；凡上机操作人员必须经过授权；禁止原系统开发人员接触或操作计算机，熟悉计算机的无关人员不允许任意进入机房；在输出控制方面最重要的目标是保证各种输出结果的正确性、真实性、完整性，保证输出的接触人员仅限于经过授权的人员。建立输出记录；建立输出文件及报告的签章制度；建立输出授权制度；严格减少资产的文件输出，如开支票、发票、提货单要经过有关人员授权，并经过有关人员审核签章。此外，运用数据文件的保护和数据加密存储也可以保护数据的安全；对重要的ERP档案进行双备份，应存放在不同的地点，并做好ERP数据的防磁、防火、防潮和防尘等工作。

（四）充分发挥内部及外部审计职能

由于审计是以内部控制系统为基础的，外部审计人员为了对被审计单位会计资料的公正性发表意见，必须首先研究和评价内部控制。内部审计人员亦如此，他们从评价各部门的内部控制制度入手，在生产、采购、销售、财务会计、人力资源管理等各个领域查找管理漏洞，识别并防范风险，查错纠弊，对既成损失提出应对策略等，而且有时内部审计还直接以完善内部控制为目的。因此企业应认真听取审计人员的宝贵意见，不断完善内部控制系统。

（五）强化风险意识，开展全面的风险评估

根据COSO内部风险管理框架建立和完善内部控制体系是未来发展的必然趋势，在公司内部控制体系建设和执行的过程中，关注企业风险比关注细节更重要。在ERP环境下，应从以下几个方面对风险进行评估：

1.确定风险评估的目标

业务活动层面风险评估的目标应针对各主要活动并与其他活动保持一致，在内部控制风险评估的实践中，可以从影响财务报告目标实现的风险，如财务报告错误、资产安全受到威胁等方面入手进行风险评估。

2.确定重要业务流程并对其进行风险评估

与重要会计科目和披露事项相对应的业务流程就是重要业务流程，重要性是以会计科目和事项的披露对财务报告的影响为标准进行评判的。在ERP系统中由于各功能模块的集成，在进行流程描述时，除进行文字说明外还应配备跨职能部门的流程图。进行风险管理首先要识别风险，然后要确定风险，最后估计风险因素的重要程度，评估风险发生的可能性，确定内控评估重要性的优先次序。

3.在财务报告中对相关风险及内部控制进行认定

财务报表认定包括存在或发生、完整性、估价或分摊、权利与义务、表达与披露几个方面。财务报表认定是管理层进行风险评估进而确保内部控制体系有效性的基础。

（六）强化“以人为本”的管理思想

企业作为一个以人为主体的经济实体，内部控制的实质就是要规范公司内部各组成人员的行为，同时再好的制度、再完美的规章，最终都是要“人”去执行和实施的，因此在实施和完善现代企业内部控制制度时，“以人为本”应该是核心。企业在实行内部控制制度时，要让所有人都认识到企业内部控制不仅是企业管理人员、内部审计或董事会的事，组织中的每一个人都对内部控制负有责任，明确这种责任有利于企业员工团结一致，使其主动地维护及改善公司的内部控制，而不是被动地执行内部控制。企业要树立“以人为本”的管理理念，充分挖掘人的创造潜力，建立良好的企业文化，形成共有的价值观、信念和行为准则，同时通过各种途径对全员进行培训和职业道德教育，让全体职工认识到自己在内部控制中所负的责任及内部控制对于企业和自身的重要意义，从而使所有的人都处于制度的控制之中。

四、结 语

ERP环境下，企业业务处理和信息传递的高度信息化，是以软件和计算机控制来体现的，因此，还需要一系列的内部控制制度对人的行为加以规范和分工。只有人机的相互配合，才能发挥ERP的巨大优势。内部控制制度主要是做人的工作，矫正人的行为，需要有相应的组织、指挥和协调能力，培养大批这样的“全才”，显然需要很长的过程。应加大注册会计师对企业内部控制的审计力度，注册会计师出具的内部控制制度评价意见，一方面能够监督制度执行者的行为，另一方面能有效防范风险，保护投资者的利益。内部控制贵在落实，只有在落实中才能发现制定的制度是否合理，这一重任应该不仅是依靠内部审计和注册会计师审计去完成，还要辅以信息的反馈机制和评价体系为平台，从而对内部控制的实施加以不断的完善和改进。当企业达到一定规模和一定管理水平后，加强内部控制是企业发展内在的客观要求，是企业健康发展的必由之路。

［1］李小凤.建立企业内部会计控制制度的思考[J].审计与理财，2006，(7)：45-46.

［2］刘瑞娜.ERP环境下企业内部控制制度问题探析[J].价值工程，2005，（12)：85～87.

［3］卢秋慧.浅谈企业内部会计控制[J].中国资源综合利用，2005，(10)：38-39.

［4］谢晓芳.关于加强企业内部会计控制的思考[J].会计之友（中旬刊），2007，(7)：54-55.

［5］吴守富.对企业内部控制存在问题的思考与对策[J].金融经济，2006，（10）：129-130.

F275

A

1672-0547（2010）01-0035-02

2009-10-21

张晓毅（1964-），男，安徽太湖人，铜陵学院会计学系副教授，研究方向：会计准则、审计学；王翠霞（1964-），女，安徽铜陵人，铜陵化学工业集团有限公司财务部会计师。

铜陵学院2009年校企合作项目（编号：2009tlxyxdz015）。