王芳

【摘 要】市场竞争及行业监管要求的提高给企业内部控制带来了新的挑战，内部控制制度的不完善，成为当前经济环境下阻碍企业发展的重要因素之一。随着ERP系统在企业中广泛的应用，大量企业建立了有效的信息化管理平台。本文通过研究基于ERP系统环境下的企业内部控制，分析ERP 系统对企业内控带来的影响，并针对存在的风险提出解决对策，为完善企业内控制度提供一些参考，促使企业保持长远且健康的发展。

【关键词】ERP系统；内部控制；风险控制

随着经济发展和社会进步，许多大型现代企业管理已经开始广泛使用 ERP系统，之所以ERP系统能够被众多企业接受，是由于它不仅能够完成传统业务系统的及时处理，同时还可以全面地实时地获取企业内部管理的各个组成部分的动态信息，及时汇集处理，形成各种维度、各种统计口径的报表，大大提升了企业管理的效率，成为不可或缺的有力管理工具。然而这种高效的管理工具-ERP系统的应用又反过来对企业的内部控制提出了更高的要求。现实中许多企业的内部控制与ERP系统之间仍有差距，并不能充分发挥其功能，制约了ERP系统效用的发挥。因此，研究基于ERP系统环境下的企业内部控制，对于充分发挥ERP的功能及提高企业管理效率有着重要的现实意义。

一、 ERP系统与企业内控的概念

1. ERP系统

ERP系统是企业资源计划（Enterprise Resource Planning ）的简称，是指建立在信息技术基础上，集信息技术与先进管理思想于一身，以系统化的管理思想，为企业员工及决策层提供决策手段的管理平台。它是从MRP（物料需求计划）发展而来的新一代集成化管理信息系统，优化了现代企业的运行模式，反映了市场对企业合理调配资源的要求。它对于改善企业业务流程、提高企业核心竞争力具有显著作用。它在企业资源最优化配置的前提下，整合企业内部主要或所有的经营活动，包括财务会计、管理会计、生产计划及管理、物料管理、销售与分销等主要功能模块，以达到效率化经营的目标。

ERP项目并不是一般意义上的企业信息化建设工程，而是一个企业管理系统工程，整个管理系统不但基于ERP、系统工程和信息技术等现代科学技术的思想、原理和方法，而且还从本质上充分地体现了企业利用ERP来开展企业管理创新、推进企业管理现代化和提高企业竞争力的必然需求 。

2.企业内部控制

美国准则委员会（ASB）根据《证券交易法》的内容和思路进行研究和讨论后所做的《审计准则公告》中对内部控制做了定义：企业内部控制是在一定的环境下，单位为了提高经营效率、充分有效地获得和使用各种资源，达到既定管理目标，保护资产的安全完整，保证会计信息资料的正确可靠，确保经营方针的贯彻执行，保证经营活动的经济性、效率性和效果性而在单位内部实施的各种制约和调节的组织、计划、评价和控制的一系列方法、手段与措施的总称。

企业内部控制通过建立一系列针对各项经营活动蕴含的风险点的控制流程，深入保障企业内部资产的完整性以及实现企业良性发展，是一项促进企业全面发展、提高企业整体效能的管理措施。内控管理制度作为现代企业发展过程中必须的规章制度，规范了生产经营、物流、营销、研发、财务、内审、绩效考核、人力资源、管理层治理等方方面面。

二、 企业ERP系统与内部控制的关系

ERP系统和企业内部控制两者都是提高企业管理水平，提升劳动能力，加快实现企业现代化发展的内在需要。两者的服务对象一致，都服务于企业的经营管理活动，都力求全面覆盖企业营运的各方面。两者的目的相同，都是为了充分整合各种资源、深入挖掘企业内在潜力，全面提高企业经营效率、达到企业管理的目标。作为有生命力的体系，不论动力来自于内部或外部，这两者都需要长期的、动态的、持续的完善。由此可见，ERP系统和企业内部控制二者间是相辅相成、协调统一的关系。

1.企业内控是设计ERP系统的重要依据

企业采用ERP系统前，必须结合企业内控要求全面梳理实际业务流程。梳理实际业务流程时，既要根据企业长期发展规划兼顾现有业务，留出有弹性空间应对未来业务增长（或业务调整）。同时，也要与内控管理的各项指标相匹配，匹配后的实际业务流程节点适应内控管理的风险点（管理点）。例如：不相容职位的分离、高风险业务节点的防舞弊措施、权利环节设计制约节点、各节点业务量均衡、风险警示、业务链穿透查询、管理报表生成等。一定要以企业实际开展内部控制工作整体要求及实施目标为中心，将梳理之后流程固化作为ERP设计依据，这样专门设计出适合企业实施内部控制的ERP体系，从上线伊始，就能符合内控管理的基本要求，才能帮助企业实现预期的控制目标。

2.企业内控必须适应ERP环境

企业采用ERP系统前，原有内控工作都是由人工操作，大量的数据汇集、分析工作占用了大量时间，导致内控管理滞后于风险的发生。而在ERP环境下，企业内控系统将面对由ERP提供的来自所有业务模块、管理分析模块、预警系统提供的实时交互信息。信息的数量和质量都比人工操作时期大幅提升，反馈的时间也大大缩短，这样一来，避免了由人工汇集分析数据带来的数据错误和效率低下的风险。但同时，也要求内控体系能够适应突然增大的数据量，在数据的海洋中能够快速正确的应对风险。

内控流程设计的质量在很大程度上决定了内部控制的运行效果。内控想要适应ERP环境，就需要对原有的内部控制进行大幅调整，尤其是要适应数据数量及速度的大幅提升和人工管理到智能管理的转变，也就是由对人工的控制转变为对人工、机器及业务流程的共同控制。原有的內部控制应调整为人为因素干扰更少，能涵盖ERP系统业务关键点，且能适应大量数据处理的高效、流畅的内部风险监控判断的管理体系。

这种调整不止是内部控制流程的调整，也包括内控组织的调整。调整后的内控组织结构层级应当更少，减少了纵向层级后，决策者和执行者能够进行快速地进行纵向沟通，横向来看，各部门间的控制责任更明确，部门之间的交叉沟通更快速更广泛。最终整个企业内部控制的效率有所提高。

有了考虑ERP系统环境的的企业内部控制，ERP系统设计时才能够与内部控制相切合。

3. ERP系统是内控管理的子系统

ERP系统一但成功布署，就自然而然的成为企业内控的子系统，成为内控的管理有效工具，企业内控管理工作就有了与业务相关联的监测网。内控管理需要从ERP系统运行所取得的数据中分析发现各类风险及问题。传统内控管理存在的数据孤岛问题，也能够在ERP运行中实时监控到。

三、ERP 环境下企业完善内部控制的策略

ERP提高效率、改善信息质量的同时，海量的数据也会使得信息和流程变得复杂和隐蔽。如果使用者过于信任依赖系统，对系统运行的结果和数据不进行实时监控和核对，一旦程序有缺陷就能导致数据失真，内控失效。因此，在ERP环境下，更加需要针对业务流程的风险点专门设计监控和核对的内控流程，及时了解系统运行状况并判断是否与企业业务现状相符，如有偏差，可及时修正ERP系统程序，减少ERP系统程序设计缺陷导致的风险。

1.运行监管中的风险控制

企业经营活动在ERP系统中都有对应的业务模块，这些业务模块具体实施都是根据企业的实际业务行为设计的。

例如，启用采购模块时都会建立起供应商数据库，这就需要设计内控流程，要求供应商评审部门及时审查供应商资质，及时发布最新供应商名单，并更新供应商数据库，这样能避免设计人员选料时误选不合规供应商提供的材料。

例如，财务模块通常使用自动清账功能，这就需要设计内控流程，要求定期按供应商逐笔核查应付账款明细账余额，以确定清账程序是否能够准确的逐笔清账，应付账款余额是否正确。

例如，内控流程应当针对权限体系设计控制流程，要求建立完善的授权审批及核查体系，对各类不同的业务环节授权，定期核查，及时维护，避免出现权限冲突或缺失导致操作人员超权限操作或不能正常操作带来影响效率的风险。

2.针对权限管理的风险控制

ERP系统环境下，大部分流程的处理都由后台程序控制，使用者无法直接观测到数据处理过程，操作人由于权限的限制，又仅能关注到权限范围内的流程节点，如果某一节点出现问题，而本节点操作人员又没有发现的话，错误很可能传递下去很久不被发现，使数据安全风险增加，企业要做好数据管理和备份，设置专人分析查找出易于出现这类问题的节点，设计相应的内控流程，增加审核数据质量、校核节点。

ERP系统数据存储在系统中，减少了纸质档案，对于冒用他人账号登陆的操作没有纸质证据保留，电脑内存储的操作信息缺乏法律效力，可能会造成责任不清。针对这类风险，内控可以在关键业务节点，设计定期打印单据并由相关人员签字确认的控制流程，并定期检查执行结果，确保风险可控。

3.数据管理

内控管理的依据多为历史数据或现时数据，对于趋势判断，带有数据预测性质的业务的风险管理比较弱。同样，内控管理不只有内部数据需求，同样也离不开对外部数据的准确把握，ERP一般仅为单体公司或集团内部使用，外部数据无法接入或对外部数据不敏感。现有的外部数据不能够与企业ERP系统对接。如果对接成功，就存在数据使用费用支出，及数据筛选使用等一系列问题，同样也增加内控风险。ERP系统需要较长时间积累数据，显示趋势数据的质量才会比较可靠，短期数据对内控管理只能起辅助作用。通过ERP系统带来的精细化数据的收集、整理、分析，以及外接云ERP数据，可以获取大量优质的外部数据，对数据预测和趋势判断类型的业务，内控就有了一种新辅助工具。

4.针对专业判断的风险控制

ERP系统覆盖的业务范围小于企业内控管理范围，例如，大部分需要由人脑做出的判断（专业判断）只能适度参考ERP数据（如果有），更多的是依靠专业经验。人脑判断所带来的风险，又属于内控管理的难点。内控本身对这类决策的管理能力较弱，ERP系统也无法提供较好的管理手段。这类风险成为这两种体系的盲点。

5.规避合谋行为

通常情况下，由操作人员合谋所造成的舞弊、贪污、操纵利润等行为，仅仅通过ERP系统是无法识别的。目前可采用的方法：通过ERP系统带来的精细化数据的收集、整理、分析，掌握全业务链的数据，进行横向和纵向的深入对比分析，以期发现潜在的不合理或有疑问的地方。这些不合理或有疑问的点，

6.促进内控体系完善

ERP系统的搭建过程中，可以发现内控未曾实施管理的空白区域。其次，ERP上线后，通过一段时间的运行，可以揭示出新增的（内控未识别）风险管控点，内控系统可以针对新发现的风险点着重设计管理程序。

7. ERP的使用主体素质提高

基于ERP系统，各个系统模块所对数据录入的质量、及时性及操控功能等方面的要求也相应提升，通过ERP系统带来的精细化数据的收集、整理、分析，可以将重要风险点的业务人员的操作历程汇集出来，进行分析，找出疏漏较多的问题点，就可以有针对性的加强培训和考核。除了直接进行系统操作的人员外，企业各级管理人员及高管层都应树立通过 ERP 系统健全内部控制的理念。只有企业中的人员都能充分的认同运用ERP系统健全自身内部控制的必要性和重要性，才能促使企业上下保持一致，达成共识，最终促进内部控制的不断完善和企业的健康发展。

四、结束语

本文主要分析了基于ERP系统环境下的企业内部控制面临的问题以及解决措施。全面实施ERP系统后，企业内控的工作环境与以往的环境相比有了显著变化，开展内控工作的思路也随即发生了极大的转变，内控工作的发力点也有了许多不同，只有全面深入的了解ERP系统运行特点，充分发现运行中的风险，有针对性的制定出符合本企业在ERP系统运行的内控制度，才能全面充分發挥ERP系统的作用，实现内部控制的意义，为企业的现代化发展保驾护航。

参考文献：

[1]鞠成晓. 基于ERP环境下企业内部控制的建设思路.企业经济，2013（9）.

[2]李勍.ERP环境下的企业内部控制研究，经营管理，2016（27）.

[3]郑明彪.ERP环境下企业财务内部控制的改革和完善，中国乡镇企业会计，2016（10）.