梁毅炜

ERP环境下的企业内部控制若干问题初探

梁毅炜

会计的产生和发展是经济环境变化和技术手段改进共同作用的产物。每一次经济背景的变化都会在会计理论或实务上得到反映，在本世纪最近几年，国内外的一系列财务舞弊丑闻都暴露出企业内部监督和控制不足的实质症状。同时，计算机和互联网技术在企业中不断得到应用和普及，MRP、MRP-Ⅱ、ERP、BPR等先进的管理系统逐步在企业中应用和推广。由于集成化的ERP环境和手工处理的根本区别，要求企业内部控制体系要适应这种新的实务和技术环境的变化和要求。本文主要论述了在信息化环境尤其是ERP环境下，基于COSO原理的企业内部控制的相关问题。

内部控制；ERP；COSO

一、内部控制整体框架

COSO委员会（Committee of Sponsoring Organizations of the Treadway Commission）1992年提出并于1994年修改的《内部控制—整体框架》中对内部控制描述是：内部控制是由企业董事会、经理阶层和其他员工实施的，为营运的效率效果、财务报告的可靠性、相关法令的遵循性等目标的达成而提供合理保证的过程。

1996年，AICPA发布《审计准则公告第78号》，全面接受COSO报告的内容，提出“内部控制是由企业董事会、经理阶层和其他人员实施的过程，旨在为下列目标提供合理的保证：一是财务报告的可靠性；二是经营的效果和效率；三是符合使用的法律和法规”。该准则将内部控制分为相互关联的五个部分，分别是：

1.控制环境。指构成一个单位的控制氛围，是影响内部控制其他成分的基础。包括：员工的诚实性和道德观；员工的胜任能力；董事会或审计委员会；管理理念和经营方式；组织结构；授予权利和责任的方式；人力资源政策和实施等。控制环境是其他控制成分的基础。

2.风险评估。指管理层识别和分析对经营、财务报告、符合性目标有影响的内部或外部风险，包括风险识别和风险分析。

3.控制活动。指对所确认的风险采取必要的措施，以保证单位目标得以实现的政策和程序。控制活动包括：业绩评价；信息处理；实物控制；职责分离。

4.信息与沟通。指为了使职员能执行其职责，企业必须识别、捕捉、交流外部和内部信息。外部信息包括市场份额、法规要求和客户投诉等；内部信息包括会计制度，即由管理当局建立的记录和报告经济业务的事项、维护资产、负债和业主权益的方法和记录。沟通包括使员工了解其职责，保持对财务报告的控制。

5.监督。指评价内部控制质量的进程，即对内部控制运行及改进活动评价。包括内部审计和与外部单位进行交流。

我国财政部、证监会、审计署、银监会、保监会2008年印发的《企业内部控制基本规范》中，已接受了COSO的内控框架和相关表述，本文所探讨的ERP环境下的企业内部控制若干问题均基于COSO所定义的内部控制框架。

二、ERP思想发展和特征

ERP系统（Enterprise Resource Planning）是由美国著名的计算机技术咨询和评估集团Garter Group Inc.提出的一整套企业管理系统体系标准，是一种建立在信息技术基础上，以系统化的管理思想，为企业决策层及员工提供决策运行手段的管理平台。其实质是在MRPII（Manufacturing Resources Planning）基础上进一步发展而成的面向供应链（Supply Chain）的管理思想；是整合了企业管理理念、业务流程、基础数据、人力物力、计算机硬件和软件于一体的企业资源管理系统。

ERP系统大概经历了MRP （Material Require Planning）、MRP II（Manufacture Resource Planning）和ERP阶段（Enterprise Resource Planning）几个阶段。

在MRP阶段，企业的信息管理系统对产品构成进行管理，借助计算机的运算能力及系统对客户订单、在库物料、产品构成的管理能力，实现依据客户订单，按照产品结构清单（BOM）展开并计算物料需求计划，实现减少库存，优化库存的管理目标。

20世纪70年代，MRP系统还将生产能力需求计划、车间作业计划和采购作业计划也全部纳入MRP，以解决企业现有的生产能力和采购的有关条件的约束问题，形成一个完整的生产计划与控制系统。

80年代，人们把生产、财务、销售、工程技术、采购等各个子系统集成为一个一体化的系统，实现计算机进行生产排程的功能，同时也将财务的功能囊括进来，在企业中形成以计算机为核心的闭环管理系统，称之为MRP II（Manufacture Resource Planning）。MRP II能动态监察到产、供、销的全部过程，并实现业务系统和财务系统的集成应用。MRP II中包含了成本会计和财务功能，可以由生产活动直接产生财务数据，把实物形态的物料流动直接转化为价值形态的资金流动，保证了生产和财务的数据一致。90年代，ERP系统在MRP II的基础上把客户需求和企业内部的制造活动、以及供应商的制造资源整合在一起，形成企业一个完整的供应链管理。

综上所述，ERP系统是一种基于计算机系统的面向市场的供应链管理思想，强调供应链上所有环节包括订单、采购、库存、计划、生产、质量控制、运输、分销、服务与维护、财务管理、人事管理、设备管理、项目管理等方面的综合控制与协调。ERP思想非常注重对企业资源的控制，在企业实施后也必然将在控制环境、风险评估、控制活动、信息与沟通、监督几个方面对内部控制产生了广泛而深刻的影响。

三、ERP环境对内部控制的影响

总体来说，ERP系统能有效改善企业的控制环境，通过强化对企业资源的管理降低企业经营风险，通过信息系统的实施和业务流程的整合强化控制活动，提高信息沟通的有效性，提高控制效率，强化企业内外部监督。这里的ERP环境区别于手工环境和传统的会计信息化（AIS）的环境。

ERP的实质是企业管理环境的一种重大变革，对企业的组织架构、作业流程、人员管理、系统运维均会产生重大影响，同时ERP在应对内部控制方面也会存在某些不足，并产生新的风险。如果企业对这种变革和风险缺乏认识，以传统的思维来看待ERP与内部控制的关系，对ERP导致的内控风险认识不足，或者认为建立ERP系统就能必然建立完备的内部控制体系，可能会让企业的经营管理陷入失效甚至失败的局面。

（一）控制环境的变化

ERP系统首先对企业的控制环境将产生重要影响，主要体现在：

1.企业组织结构呈现扁平化和虚拟化的趋势

在ERP环境下，组织的影响力和控制力得到强化，决策者和执行者能够通过系统平台快速沟通，企业的内部控制层次会明显减少，控制效率将会更高，责权利将更为清晰，使得组织的控制幅度大大扩大，促使企业的组织结构由金字塔型逐步转变为扁平型。同时，跨职能部门的流程化管理使得职能部门之间的联系更为紧密，系统角色彼此交叉和多样，使得传统的部门职能逐步模糊和虚拟化，由于工作任务的多样和变化，一个部门和人员可能需要兼任不同的临时角色，相互之间又能达成一种比较合理的控制关系。各个部门均成为控制的主体，形成控制主体交叉化，控制手段多样化的局面。组织结构的这种变化要求内部控制体系的构建也应与其相适应。

2.ERP系统的流程和传统环境有根本区别，导致控制原理发生变化

手工环境或MIS环境下的流程主要依靠手工或者利用计算机模拟手工流程进行核算和管理。核算和管理时基本以财务部门为核心，其他各业务职能部门向财务部门传递数据，主要解决的是利用计算机替代手工记账、算账和报账的问题。这个阶段，系统的集成度较低，业务部门和财务部门之间的信息钩稽关系较少，各部门独立核算，缺乏足够的信息沟通。即使实现了财务或者业务数据的计算机处理，但由于系统的耦合度较低，导致数出多门，为了对不同部门数据进行控制，需要经常对各部门的核算数据进行核对，造成控制点的分散。

ERP环境与传统的财务运作模式以及以MIS为核心的会计电算化系统有着本质的区别。ERP系统通过流程重组后优化的作业流程实现了财务和业务的集中控制和一体化处理，物流和资金的协同作业，企业的各个部门全面参与企业的核算，部门和部门信息沟通顺畅，数据在各部门之间高度共享，并且通过某种渠道实现部门之间的数据自动传递。比如采购部门执行采购活动后，系统会自动将采购情况传递给库存部门，库存部门随时了解到物资的入库情况，库存部门在登记入库情况后，财务部门马上就可以查询到这笔入库业务的变动，并自动生成财务信息。在这种环境下，各部门之间的数据具有高度联动性，而控制关系往往由系统之间的数据联系而天然形成。

（二）ERP环境下控制风险的变化

风险影响着每个企业生存的能力，影响企业是否能取得竞争中的成功，能够维持财务的稳健，正面的公共形象等等。总体来说，由于ERP系统借助计算机和完善的管理体系强化了企业对资源的管理和控制，极大增强了企业识别和控制风险的能力，但是由于系统本身的特征也会导致出现新的控制风险，因此在控制执行过程中，需要充分预知在ERP系统和由此带来的信息化环境下风险变化的新的特点：

1.ERP环境扩大了风险识别与评估的范围

ERP系统是面向整个供应链的管理，大大拓展了企业管理的对象和范围，与此对应带来的经营和管理风险的识别和评估范围也必然会随之扩大。以前没有或者不是很重要的控制职能可能在ERP环境下会变得重要起来，比如信用管理，在SAP中是财务管理和销售模块中的重要内容。在实施ERP时，可能需要专门为其设置一个信用控制小组或者部门，与此对应的控制流程可能也需要重新定义和设计。另外，ERP系统依赖信息系统并以高度自动化的作业流程为运行基础。在风险识别、评估和防范时除了要考虑经营管理和市场变化本身的因素之外，还需要考虑各种内外部因素导致的软硬件故障，业务数据无纸化、电子化、隐性化带来的数据存储风险，业务流程与信息技术的融合风险等问题。

2.ERP系统流程化、自动化的特点，改变了内部控制的风险特征

ERP系统实现了跨职能部门的业务流程的整合，业务处理的流程化、自动化均大大提高。而内部控制随着业务流程内嵌到ERP系统内而分散到各个职能部门。同时，企业审批的流程也脱离传统的文件审批的机制，而由系统按照预设的某种机制自动推送完成，导致许多基于纸质和文件的内部控制线索在ERP环境下消失或者弱化了，企业的业务运作和数据传递更加依赖信息系统及其预设的流程。这种流程化、自动化的特点，能帮助企业有效、及时的识别和预警未来可能存在的风险，比如根据供应商的供货信誉，预警哪些供应商存在供货风险，根据库存报告，警告可能会出现的存货呆滞或者不足。但ERP流程的可扩展性不足以及对外部环境及风险识别的缺陷可能会导致整个业务运行和信息提供存在某种天然的缺陷，形成企业新的控制风险。轰动一时的许继电气ERP实施失败案例，很大程度就是因为Symix公司为许继订制的业务流程无法适应公司业务、经营模式的调整，而公司和软件供应商对此类风险均没有做出应有的认识和评估。

（三）控制活动的变化

控制活动系指帮助管理阶层确保指令能被执行的政策及程序。在ERP的环境下，控制活动既包括了传统的对经营管理的控制、财务报导的控制和遵循法令制度的控制，还包括了对整合化的系统的控制和结合了计算机特点的控制活动。

1.控制活动的范围扩大

ERP系统扩充了企业的核算和控制的范围，整合了财务管理、采购管理、销售管理、人力资源管理，物流管理等内容，甚至将企业核算和管理的触角延伸到企业外部资源，将企业客户、供应商、银行、第三方物流均视作企业的资源。使得内部控制的范围也随之扩大，为了保证企业资源的合理调配，控制的范围也随之扩展到企业外部资源。

2.在控制方式上，增加了程序控制并优化了流程控制

传统环境下的内部控制手段，主要依赖人工控制和组织控制。尤其国内的企业，长期养成人工控制的传统，控制规则没有形成制度和文字，过分依靠领导的经验判断。而在ERP环境下，增加了程序控制，并对控制流程进行优化。

程序控制是利用计算机的程序对控制对象进行控制的方法，程序控制在ERP环境下极为普遍，极大的减轻了人工控制的成本和压力，提高了控制的科学性和有效性。比如在存货管理上，程序可以自动控制如果当前待发货的数量小于可用量则不予发货。

在流程控制上，ERP与传统手工和MIS环境有较大的区别。首先ERP流程控制是供应链级的，以企业购销存业务各个环节及企业各种外部相关资源为对象，控制的范围比传统模式要更为广泛。其次流程的控制特点为自动化和集成化。流程的推送基于ERP系统自动推送，数据自动生成，并集中存储于数据库中。再次，ERP环境下的流程控制体现了企业扁平化的组织要求，按照新的组织架构和系统特点对传统流程进行大幅度变革和重组，流程设计更为简洁、高效，对业务的反应更为敏捷，并能很大程度上能防止和杜绝手工或人为因素对业务的干预。

当然，在ERP环境下，传统的手工控制仍然不可或缺。比如对原始单据的审核及确认，对政策和市场风险的预判，员工道德及心理因素的变化等。

3.信息存储电子化、隐形化，增加了会计控制的难度

信息化的结果是往往导致各种交易和处理缺乏纸质痕迹。在会计系统中，原先反映会计和财务处理过程的各种原始凭证、记账凭证、汇总表、分配表、工作底稿等书面形式的基本会计资料减少甚至消失了。流程自动化导致信息输入点减少，大量信息自动生成，大量无效的手工流程消失，手工会计系统中严格的凭证、账簿登记和核对制度逐渐削弱或消失，凭证和账簿所起到的控制功能弱化，证、账的含义趋于虚化，核对、审核等相当一部分工作由计算机自动完成了，部分交易几乎没有“痕迹”。这些变化在带来系统运行高效的同时，也一定程序上增加了会计控制的难度。

（四）信息与沟通上的变化

1.沟通的实时性大大提高

由于ERP系统采用计算机自动化处理并借助于网络工具，使得信息提供的实时性大大提高。比如在互联网环境下，系统可以通过电子商务系统接受远程销售订单，直接导入ERP系统，经过MPS排程和MRP运算产生企业的采购计划和生产计划，系统通过业务流程连接各职能部门，实现各种业务流程的一体化处理。在ERP系统中，信息技术与业务活动形成有效的整合，企业的各种资源调配和信息的获取变得实时化和动态化。

2.组织成员之间信息交流和沟通更加便利

ERP系统本身也是一个信息集成系统，可以通过企业OA平台和ERP流程的自动推送机制，实现业务信息的自动传递，大量的企业各种动态实时的数据集中存储在企业数据库系统内，员工以合法用户身份即可通过客户/服务器（C/S）和浏览器/WEB服务器（B/S）混合结构的网络平台快捷的获取与其职责相关的跨部门的业务信息以及企业外部信息，包括企业的政策信息、经营信息、财务会计信息、作业信息、客户/供应商信息等，大大降低信息获取和业务沟通的成本，彻底改变了传统作业环境下员工信息不对称的现象。

（五）监督的变化

在ERP的环境下，监督的范围和深度都得到了加强。ERP系统的管理理论基础是供应链管理，它把企业与供应商、客户、银行等外部单位有机联系起来，并将企业内部的采购、开发设计、生产、销售整合起来。这些内容都将成为监督的范畴。ERP环境下的监督的对象既包括企业内部的各种业务和管理活动，也包括企业客户/供应商/银行等外部资源，还涉及到信息系统包括硬软件的安全稳定运行、预设业务流程的合理合法性以及电子数据的合法和安全。同时需要注意，在计算机程序控制的前提下，如果程序出现差错，可能会使业务系统的运行出现重复和长期的纰漏而不被发现。在外部审计过程中，会计师应当对ERP系统的运行及其提供数据的合法、真实和可靠性进行测试，并在审计报告中披露。

当然，在ERP引入企业之后，对内部控制的影响十分广泛，远不止以上的论述，需要我们进一步分析和研究，将ERP系统与内部控制建设充分融合，才能更好的找出解决面对新环境下的内部控制问题的对策。

［1］中华人民共和国财政部.企业内部控制规范.北京：中国财政经济出版社，2010.

［2］Steven J.Root.超越COSO［M］.北京：清华大学出版社，2004.

［3］潘秀丽.企业内部控制研究［M］.北京：中国财政经济出版社，2005.

（作者单位：北京财贸职业学院）