林明坚

浅谈ERP环境下内部控制风险及防范

林明坚

ERP系统的应用，使得企业的内部控制运行环境发生了明显变化，在提升企业管理水平和提高经济效益的同时也带来了新的风险。本文着重探讨了在ERP环境下企业面临的程序设计、流程改变、数据质量和传递、应用环境所带来的内部控制新的风险，并提出相应的风险防范措施。

ERP；内部控制风险；风险防范

ERP系统是企业资源计划（Enterprise Resource Planning）的简称，是指建立在信息技术基础上，集信息技术与先进管理思想于一身，以系统化的管理思想，为企业员工及决策层提供决策手段的管理平台。因ERP的实施须以整个企业为一体进行一系列的变革，如流程再造、权责重定、管理优化等，实施难度极大，因此是否实施ERP系统，困扰着企业的管理层，“不实施是等死，实施了是找死”一度成为企业管理者的矛盾心理写照。然而，随着企业不断壮大、管理需求的不断提高，以及ERP系统技术不断完善，ERP系统的实施已经是多数大中型企业的必然选择。ERP系统的应用，提升了企业管理水平和提高了经济效益，但由于在ERP环境下企业的内部控制运行环境发生了明显变化，因此也带来了新的风险，主要表现在程序设计不完善、流程改变、数据质量和数据传递以及应用环境四个方面所带来的风险。

一、ERP环境下的主要内部控制风险

（一）程序设计不完善带来的风险

首先，众所周知，ERP系统软件提供商商业化的软件模块稳定性较好，但由于各个企业的管理要求不一样，对ERP系统的设计有其个性化的要求，甚至出现量身定做的可能，而且程序设计人员的水平也参差不齐，因此在个性化的程序设计中可能存在不合理或衔接不当的地方，容易造成系统的不稳定从而造成系统数据的不准确，或是会削弱在系统中已经设置好的控制，这种情况在ERP系统实施后的两三年内尤为明显。其次，企业在实施ERP过程中，ERP系统很难真正全面适应企业的经营和管理目标，为了推动ERP系统的实施，往往需要相互妥协，原先各模块的完美设计往往需要进行删减，最后运行的ERP系统变成各方面删减版的集合体，因此可能出现内部控制流程不完善（比如控制设置不足、不符合流程需要、用户权限过大、职责没有完全分离等）的风险。再次，程序化内部控制体系的有效性取决于应用程序设计的质量，如果程序发生差错或不起作用，则控制失效就可能长期不被发现，从而使得系统由于程序运行的重复性而反复发生相同的纰漏。

（二）流程改变带来的风险

首先，ERP系统的实施使得企业管理结构扁平化，原先各职能部门条块分割的管理架构被打破，依靠个人履职来完成的手工控制被软件通过核查数据的合理性和有效性的控制所取代，优化后的流程减少或合并了原先重复不增值的流程，虽提高了工作效率，但同时也使得原有基于各职能部门手工作业流程中有利于控制的重复环节将减少甚至消失，而重整后的业务流程在风险控制方面是否有效和足够并不直观，往往需要对各控制环节进行仔细排查和一段时间的运行验证，一旦没能及时发现控制环节缺少，将可能导致相应环节的控制失效；其次，ERP系统控制参数的设置将决定控制级别，不当的参数设置将可能造成无效控制，从而形成新的内控风险。再次，基于业务流程重整后的ERP系统，由于传统手工作业中的纸质证据相当一部分也被系统自动控制所取代，使得对企业进行业务运行监督和内控评估变得困难，若没有及时转变内部审计和内控评估方法，将可能得出错误的结论，进而导致内控缺陷无法被发现并得到及时整改。

（三）数据质量和数据传递带来的风险

首先，系统各基础数据信息由相关人员录入，可能录入错误，有时一个数据录入错误可造成整个系统数据无法对上，再次录入或检查则又会浪费很多时间，大大降低了工作效率。其次，多数企业的ERP系统都存在与其他系统之间的接口，而若不同系统的数据格式不同，则需要进行数据格式转换，因此各个系统的接口也可能会出现问题，导致ERP系统的运行出现一系列差错。数据质量和数据传递带来的风险，相对而言，流程标准化的企业（如工业企业）风险较小，业务流程无法进行标准操作的企业风险则大得多，比如贸易类企业，由于业务模式多样化，且操作过程多变，往往需要进行数据变更和维护，一旦涉及到的数据没有全部同步进行更新，则将导致后续的数据出现错误。

（四）应用环境带来的风险

网络环境具有开放性和不稳定性，可能出现被非法访问或入侵，从而给企业造成损害，主要表现为三种情形。一为访问权限设置不当，将访问权限开放给不应该拥有访问权限的人员，提高了数据遭到破坏的风险和降低敏感交易的安全性；二为超级用户可以增加、删除用户，重置用户密码，随意调整合法用户的职责和权限，浏览、复制系统的任何数据，掌握企业大量的机密，一旦别有用心，将给企业带来不可估量的损失；三为系统被黑客或病毒入侵，可能造成系统数据被修改或盗取，导致系统数据错误或公司机密泄露。

二、主要内部控制风险防范措施

随着企业信息化进程的不断发展，ERP系统的应用也越来越广泛，因此有效防范ERP环境下的内部控制风险，是完善企业内部控制的重要组成部分。

（一）配备好ERP系统实施团队，做好流程梳理和重整工作

能否有效地减少ERP系统的程序设计风险和岗位、权限设置风险，在很大的程度上取决于实施团队的知识结构。一方面应有精于技术架构方面的骨干，他（们）搭建好的技术架构和设计合理的系统框架，这有利于系统稳定和后续功能模块的拓展；另一方面，既了解内部控制监管环境又深谙与ERP系统控制设置的技术骨干也是必不可少的，他（们）能充分发挥团队中控制和安全人员在项目中的作用，使得控制设置合理且充分必要。

（二）评估关键风险点的控制方案

对流程进行梳理和优化以后，确定关键的业务流程，并根据风险特征确定关键的风险控制点，再对相应的流程和控制设计进行评估，特别是对不同系统的接口及数据转换进行评估和验证，避免出现不相容岗位未分离、控制失效或控制盲区以及数据转换传输错误。对于无法完全由系统自动控制的环节，应辅以手工控制。

（三）完善内部管理和提高使用人员的信息安全意识

通过制定一系统内部管理制度，如组织和人事管理制度、操作管理制度、文档管理制度、机房管理制度、系统开发和维护制度，规范计算机信息系统的操作和使用，并定期对系统数据进行备份和分散保管，防止出现意外的情况致使数据遭受破坏或毁损，完善安全管理。此外，应加强员工的信息安全教育，提高员工的信息安全意识。

（四）发挥内部监督的作用

内部监督作为内控体系的重要一环，在防范ERP环境下的控制风险也应发挥其作用。企业的内控监督部门，应改变传统的审计监督方法，全面了解ERP系统的框架设计和掌握关键风险控制点，并理解进行控制的原因和所要达到的控制目标。在具体监督上，一方面应监督系统操作人员、系统管理人员以及企业管理层人员是否合规使用信息系统，另一方面应监督系统内部设置的合理性和有效性，发现问题及时上报并督促限时整改。

小结

应用ERP系统是企业信息化进程的重要内容，越来越得到企业管理者的重视，ERP系统的应用也越来越广泛。但由于ERP系统应用环境的特殊性，企业在应用ERP系统提高工作效率和提升经济效益的同时应充分考虑其带来的各种内部控制风险，并加以积极防范。而且，随着企业管理目标的改变，通过ERP系统体现出来的管理架构和各项控制指标也将发生变化，因此，ERP系统也需要不断进行改进或完善。

［1］石道元.基于电子商务的企业供应链管理研究［D］.重庆大学，2006.

［2］包根梅.电算化会计信息系统环境下内部控制的分析［J］.中国乡镇企业会计，2010.02.

［3］成善学.ERP环境下企业内部控制研究［J］.中国总会计师，2010.03.

［4］张家顺.浅谈ERP环境下的内部控制制度［J］.消费导刊，2011.06.

［5］肖冰.浅谈ERP环境下强化内部控制的应对策略［J］.中国总会计师，2012.07.

［6］谌馨.ERP系统下企业成本管理问题及改进研究——以XX公司为例［D］.重庆理工大学，2014.

（作者单位：厦门建发股份有限公司）