张 云

(太原铁路机械学校，山西 太原 030006)

一、ERP与内部控制概述

ERP (Enterprise Resource Planning)即企业资源计划，它是在企业制造资源计划的基础上开发的下一代的资源计划管理类软件。ERP是以系统化管理为核心，旨在改善企业业务流程，从而提高企业核心竞争力的管理平台。当前，ERP系统所代表的含义已经被拓展。服务于企业管理的各类软件已经统统被纳入ERP系统的内涵之中，成为“互联网+”时代下的新一代信息系统。

内部控制是指企业的全体成员为了保护其经济资源的完整、安全，确保经济信息的可靠，协调各种行为，控制业务活动，利用内部分工协作而产生的相互联系、相互制约的关系，从而形成一系列具有控制职能的程序、方法、措施等，最终在此基础上形成的系统全面、严密规范的体系。内部控制是以人为中心的活动，它既是通过企业的全体成员来实现的，也反过来影响、制约着全体成员的行为，目的是帮助企业实现其战略。

二、ERP环境下企业内部控制要素分析

ERP环境下，企业的内部控制由内部环境、风险评估、控制活动、信息与沟通、内部监督等五个基本要素组成。

(一)内部环境

内部环境一般是指企业文化、机构设置、人力资源管理、治理结构等。ERP在企业的运用改变了传统的组织层级结构，使企业的组织结构趋向于流程化和扁平化。一方面，流程化使企业的管理更加有效率，加速了企业管理信息在部门、人员和外界之间相互传播的速度；另一方面，扁平化使企业内部控制更加细化、明确、直接、有效，并通过减少内部控制的层级和管理的层级改变了企业权责体系。

(二)风险评估

风险评估是一种预判，具体是指通过对企业内外各种风险的准确及时的识别，确定企业相应的风险承受度。从理念上来说，ERP系统突出强调流程化和动态化，是用一种更加系统的、动态平衡的观点来对待企业中的各项业务和各个职能部门，从而打破了传统的风险评估思维；从措施上来说，ERP系统的工作依赖于企业中各种信息的系统自动生成和传递，减少了很多人为干扰和介入的因素。在这种情况下，就可以极大地降低组织的内外经营风险。

(三)控制活动

控制活动是指确保组织计划和目标得以贯彻或实现的政策和程序。控制活动的开展需要依托一些制度和平台，如授权审批制度、各个职能部门和岗位等。ERP系统中含有一整套明确的权责关系和授权审批制度，其在组织中的广泛使用，进一步完善和增强了授权审批制度和各个部门、岗位的责权及其关系。

(四)信息与沟通

信息与沟通是整个内部控制体系的纽带和桥梁，具体来说，是指企业在运营过程中收集、分析以及处理内外部信息，并保证这些信息在各个职能部门和人员之间及时、有效地传播，以促使全体员工的行为合乎组织目标和自身职责的过程。ERP系统具有电子化和即时化的特点，信息的生成、分析、处理以及沟通都变得十分方便。此外，企业的各项业务均在统一的ERP系统上完成，使得信息可以有效共享，提高信息与沟通的透明度，减少甚至避免信息的不对称和因部门壁垒造成的执行偏差。ERP系统的广泛应用对信息与沟通有极大的促进作用。

(五)内部监督

内部监督是检查企业内部控制工作并评价其质量，督促其进一步改进和完善的过程。ERP系统在企业的广泛应用，促使组织的内部监督由传统的以人为主体的控制变为人机相结合的综合控制。人机相结合的内部监督模式有效减少了人为因素对内部控制系统评价的干扰和误判，从而减少了企业的内部控制成本，符合成本效益原则。

三、ERP环境下企业内部控制存在的风险

ERP系统在企业的广泛应用深刻地改变了企业的组织结构和业务流程，这种对组织的新的优化和设计打破了企业过去的内部控制生态平衡。由此，在内部控制生态的再平衡过程中，也不可避免地会带来一些风险。

(一)风险评估中存在的风险

ERP系统在企业中的实施，其实质是信息技术在企业经营中的应用。ERP系统突破了企业传统的运营环境，使得企业的组织结构和业务流程更加开放。这种开放既改变了以往存在的封闭、集中的弊端，同时也给组织带来了需要评估的新的风险。例如，计算机系统的复杂性及其黑箱的特质给员工操作带来的风险；信息网络中存在的侵入风险和破坏风险；企业电子数据的保存、更改和删除风险等。这些风险都是传统企业中不存在或者不重要的风险，但也正是它们构成了ERP环境下企业内部控制风险评估的新内容。

(二)信息与沟通中存在的风险

在企业中实施的ERP系统是一种建立在信息技术之上的信息平台，其在企业经营中的应用改变了信息与沟通的常态。一方面，企业的所有数据以电子形式存储于ERP系统的数据库中，这种电子介质区别于纸质介质，在更加易于保存的同时也更加易于被截获、变更、复制和删除；另一方面，ERP系统造就了无纸化办公的时代，企业原有的通过签章进行的授权审批模式变为在ERP系统上的电子指令，虽然提高了企业运转的效率，同时也由于ERP系统开放共享的特点而增加了匿名甚至恶意发布指令的风险，势必破坏信息与沟通以至于干扰组织的正常运转。因此，在ERP环境下，组织中的信息与沟通面临一定的危机。

(三)内部监督中存在的风险

对于企业内部控制体系来说，内部监督是其不可缺少的一部分，在企业广泛应用ERP系统的情况下也不例外。第一，在ERP环境下，企业仍需要按照传统的授权审批、职务分离等内控要求对发生的业务进行内部监督。但由于传统的纸质化和签章化已经被电子化和数据化所代替，由此增加了内部监督的虚拟性，这会给内部监督带来压力。第二，ERP系统本身就是一种应用软件，其程序和模块的安全性、合理性和合法性本身就需要一定的监督，如果因ERP软件自身程序的错误和失效而引起整个企业内控的失效，将会对组织目标的实现和经营的安全造成严重威胁。

(四)ERP系统在企业应用中存在的风险

内部控制是以人为核心的控制，ERP环境下也不例外，ERP系统的推广实质上提高了对企业员工的素质要求。因此，从一定程度上讲，组织内部控制质量和效率的高低取决于企业员工素质的高低程度。如果企业忽视对员工的职前培训或在职培训，将影响ERP系统的应用，从而影响企业的内部控制。

四、ERP环境下企业内部控制的优化策略

为了提高ERP环境下企业内部控制的效果和效率，针对上述分析的相关风险，本文提出以下四方面的优化策略。

(一)内部控制范围的优化

为了适应企业在ERP环境下的新状态，需要对内部控制的范围做出适时的调整。当ERP系统在企业中广泛应用时，内部控制除涉及传统的业务流程、人员等之外，还应包括ERP系统各功能模块的开发设计、ERP系统数据的保管和备份、相关人员的操作规程和ERP系统相关设备的管理维护等方面。企业治理层和管理层要重新针对本企业具体情况，确定组织内部控制体系的范围，保证内部控制与ERP系统相适应，最终提升企业的内部控制质量。

(二)内部控制评价的优化

内部控制的评价主要涉及两个方面，即合理性和有效性。ERP环境下的企业内部控制产生了新的组织环境，所以必须优化内部控制的评价。

1.对设计环节的合理性评价。内部控制质量的高低首先取决于前期设计是否合理，这构成企业内部控制的基础。首先，要确保设计的系统性，ERP的相关子系统除满足业务流程的关系外，还应满足内部控制的勾稽关系。其次，要确保设计的充分性，即要保证ERP系统的相关子系统符合内部控制的目标。最后，要确保设计的经济性，即完全的内部控制是不存在的，也是不经济的，ERP系统的设计要符合经济性原则。

2.对实施过程的有效性评价。内部控制能否一以贯之地实施是内部控制质量的关键。一方面，要使ERP系统满足时点有效，就是评估ERP系统在某个时点的运行符合企业内部控制的目标以及企业经营管理的需求；另一方面，要使ERP系统满足时期有效，就是评估ERP系统能否在一段时期内保持运行的稳定性和可靠性，能否持续满足内部控制的质量要求。

(三)ERP系统的优化

1.企业要建立ERP系统操作规程。这个规程应该涉及ERP系统相关的软件和硬件的全部操作指南和规范，以保证全体成员可以按照规范严格操作，避免人为的不当操作给内部控制体系带来风险及问题。

2.企业要建立和完善稽核制度。企业既要依据职务分离等内部控制的要求，明确每位员工的访问和操作权限，又要对ERP系统的即时参数进行全方位的监控和记录，最终保证ERP系统的访问对象、用户身份和系统状态满足内部控制要求。

(四)员工素质的提升

无论企业采取何种组织和管理模式，员工都是关系到企业内部控制质量的关键。在ERP环境下，由于涉及现代信息技术和计算机操作等，因而对员工的要求更加突出。所以，企业需要加强岗前培训、继续教育和在职培训等，提升企业员工的素质，使之适应ERP环境下业务的操作，从而有助于规避由ERP系统带来的内部控制的风险及问题。

参考文献：

[1]高鑫宇，于善波．ERP系统应用对会计信息质量的影响分析[J]．新经济，2016(3).

[2]莫卫平．内部控制与ERP系统效能的关系[J]．中小企业管理与科技：上旬刊，2007(6).

[3]阎达五，杨有红．内部控制框架的构建[J]．会计研究，2015(2).

[4]中国注册会计师协会．会计[M]．北京：中国财政经济出版社，2016.