刘铁龙 中煤张家口煤矿机械有限责任公司

一、ERP系统与内部控制内涵

ERP即企业资源计划(Enterprise Resource Planning)是由美国公司Gartner Group在二十世纪九十年代研制的企业资源信息系统,内容主要包括生产资源计划、生产、供应、营销、财务管理、品质管理体系、实验室信息管理、业务流程管理系统、存货管理、产品分销和物流信息管理、人员管理和定期报表等子系统集成。ERP具有完善的组织架构,保障企业内不同组织单位间、企业与外部的经营单位间的配合,保障公司跨地区跨国的运营。ERP重在打通企业内部不同部门的信息壁垒,提升业务端到财务端的自动化处理程序,形成业务驱动的财务共享处理平台。

以风险为导向的内部控制整体框架，是由董事会、监事会、最高管理层以及所有人员共同进行的控制流程,以达到合理确保公司运营过程合法合规、资产安全、公司财务报表和有关信息的真实完备、改善公司运营效率与效果的企业总体目标。内控在形式上表现为一套流程，内控流程的主要功能就是制衡。通过制衡性的流程防控风险。以制度为主、手册为辅、制度与手册并举。只有创建适合ERP环境的内控制度,严控内控风险,才能达到企业内部控制目标,提升企业管理水平。

二、ERP环境下内部控制的风险

企业在推行ERP的过程中,组织再造和内部工作测评将是企业推动业务流程改革的关键手段,而在此基础上的内部控制也必定会受到相应的不利影响,从而使得企业内控遇到新的风险与挑战。所以企业管理者应该积极主动地以全新的视角来分析评估ERP条件下内控的新变革与新风险,并有效减少内控风险。

(一）内部控制要素构成的变化及其带来的风险

内部控制要素包含控制环境、风险评估、控制活动以及信息、监督等要素，在ERP视角下，企业的内部控制工作要结合企业的实际情况，对企业的控制活动及监督制度等进行完善，从而提高企业内部控制的灵活性。在建立内部控制体系中，则需要在内部控制的视角下，通过ERP的实施，对企业内部控制过程进行完善，降低企业经营与发展的风险，并在内部控制视角下，实现企业业务经营与发展水平提升。

从内部控制环境的角度分析，在ERP环境下，调整企业的组织结构，并对管理结构以及控制方式等进行优化，提高内部控制水平，降低企业的内部控制风险。

从风险评价的角度分析，ERP的实施下，可从风险评估、风险控制的角度，对内部控制风险进行有效防控。在ERP系统的应用下，可将信息技术与企业业务活动有机结合在一起，并通过信息技术的应用，对企业的内部控制风险进行评价与分析，例如，在利用计算机系统中，可对相关电子数据的改写、删除以及提取应用等相关风险进行综合控制，降低企业的内部数据安全风险，从而满足企业稳定发展的需求。

从企业内部控制活动的角度分析，ERP的实施与落实，则需要在现有内部控制体系的基础上，对企业的业务活动、经营发展等进行控制，在企业内部形成新的管理理念，并通过信息技术与检查审批工作，对控制程序进行优化，达到提升内部控制水平的目的。与此同时，在信息技术的应用下，会进一步增加企业内部控制的复杂性以及难度。

从内部控制信息沟通的角度进行分析，在ERP环境下，企业的业务流程实现了信息化发展，通过信息传输与内部沟通机制的优化，对企业内部信息传输过程进行完善，从而提高企业的内部信息沟通水平。在获取企业内部信息的过程中，以ERP为基础，对企业的内部信息沟通过程进行优化，并在企业信息监督与审核的基础上，提高ERP系统在企业业务控制中的应用水平。在ERP系统建设与应用中，企业内部控制体系的建设与应用，对ERP的运行过程以及应用程序等进行控制，并在信息化监督的视角下，对企业内部信息沟通以及业务活动等进行综合管理，在数据管理与控制的基础上，提高企业内部控制与管理的综合水平。

（二）业务流程风险

ERP业务流程建设与应用，其仍然会出现业务流程风险，企业内部控制与发展中，业务流程与信息应用对企业的内部管理水平会产生直接的影响，因此，在ERP业务流程管理与分析中，建立的信息流与企业的人才、资产可实现有效整合，并支持公司的内部控制流程再造与发展。企业在稳定发展的过程中，决策信息的有效应用对ERP项目发展会产生直接的影响，且在利用ERP系统的过程中，企业现有业务流程再造要在ERP系统的应用下，企业需要考虑ERP系统的适用性，并分析ERP系统与企业业务发展之间的关联性，这对企业的信息化发展会产生直接的影响。ERP系统建设与应用中，结合企业的业务控制需求，在选定ERP软件系统后，可从技术、业务管理以及内部控制等角度，对企业的业务流程进行再造与优化。企业业务流程风险包含信息风险、管理风险以及技术风险等，ERP系统应用下，业务流程再造与ERP系统操作有效性有直接关系，在这一过程中，如果出现信息失真或信息丢失的情况，对企业的业务管理与内部控制水平等会产生直接的影响。在利用ERP系统后，缺少相关的技术管理人员对ERP系统进行操作与管理，直接影响ERP系统在企业内部控制中的应用水平。企业在自身的整体业务流程如果没有根据所选ERP系统先进理念进行梳理整合的情况下，就匆忙实施,将会使ERP流于形式,而没法起到应有效果。但由于ERP软件系统通常是固化的模型架构,因此系统并没法灵活地满足企业个性流程需求。企业在实施内部管理体系改革和业务流程重整时也就很难真正实现从内部组织架构、业务流程等全方位适应ERP体系的效果[1]。另外公司的内部机构重组和管理流程简化,也往往会导致很多审核审批环节的遗漏,甚至使审核审批环节因为没有纸质形式,常会发生由于审核人员的惰性造成审核流于形式,造成一定风险。在这些情形下,手工环境中用作公司内部管理的一些审计线索,在ERP系统体系推出之后就消失了。这种改变也在一定程度上削弱了公司内控管理的有效性。

（三）系统运行风险

ERP系统是承载着先进企业管理思维的信息系统平台,是公司业务流与信息流的高度集合体。ERP的有效实现,有赖于计算机软、硬件的信息化水平。但由于计算机病毒和恶意软件的存在、信息系统软件设计的缺陷、信息系统运行的失败、内部人员的未经许可的非法访问、以及人们对风险管理意识的欠缺等,都会使ERP信息系统受到了巨大的安全威胁,进而引发了系统运行风险，也必然危害内控的有效性。

三、ERP环境下企业内部控制风险的应对

在ERP环境下企业内部管控风险的管理,首先就应该确定内控体系中在ERP推行之后将会存在的哪些风险。然后再针对这些风险运用风险评价手段重新对整个业务流程,以及管理中的各个环节所可能的缺陷做出评价,从而评估各控制风险所可能出现的概率及其导致损失的严重程度。并由此选定适当的风险管理工具。对风险处理工具的选用,应当建立在“成本效益分析”的基础上。企业必须在确定的内控风险的基础上,主动地采取措施来转移和防范风险。

（一）加强全面预算管理控制和建立健全ERP岗位设置

ERP环境下，企业内部风险控制要重视企业内部财务预算管理以及岗位设置等相关工作的落实，与此同时，在对预算计划以及企业运行状态等进行综合控制中，则需要在ERP系统的应用下，根据企业的运营状况以及企业管理决策制定，要通过ERP系统反馈的真实数据，对企业的运营状态以及内部控制需求等进行综合控制，并在全面预算管理的基础上，为企业决策提供具有前瞻性、及时性的参考数据，从而提高企业经营决策的有效性与可靠性。与此同时，在ERP系统下，企业全面预算管理工作的开展，要结合企业全面预算管理控制需求以及ERP岗位设置，对企业的内部控制进行调整，并结合企业的战略发展需求，对现有岗位制定与发展管理等进行综合控制，以ERP系统，对企业的全面预算管理模式进行调整，提高企业岗位管理以及预算管理的综合水平。编制流程岗位对应表，将每个流程标准切实落实到在岗员工，通过每位员工对内控制度的切实执行，加强基础管理工作，使企业内控建设得到有力推动。人机的相互配合，才能充分发挥ERP的巨大优势[2]。另一方面，要坚持不相容职务分离原则，企业建立内部控制制度要针对企业的全面预算管理方式、会计工作方式、财务核算以及权限划分等进行综合管理，在岗位职责划分以及财务业务管理的基础上，提高企业财务管控与监督的综合水平。

（二）内部审计技术人员参与系统实施与二次开发

ERP系统导入企业后,可能因为其固定模型不符合企业自身的业务流程,为适应企业的需要，就有必要对系统进行改型和内部二次开发。内审人员应该介入其中,使其适应新形势的审计需要，充当变革促进者，运用自己的内控经验对ERP系统执行中关键控制节点的设计提供咨询,制定适宜的内控流程并嵌入业务流程，与业务流程有机整合，一体化运作。内控流程的要素至少包括控制点、控制标准、控制痕迹[3]。尽最大限度减少因业务流程重构和简化造成的管理隐患。

（三）强化人员培训，有效降低实施环境及技术风险

ERP系统的应用要保证操作人员的技术水平，优化ERP系统的运行环境，降低ERP操作与应用的技术风险，可提高ERP系统在企业内部控制中的应用效果。因此，企业在引入ERP系统后，要对相关操作人员的技术操作能力、财务管理能力等进行培训，提高技术人员对ERP系统操作的有效性，避免人为操作对企业内部控制产生负面影响。开展培训工作中，可在业务培训与管理的基础上，对ERP系统的操作过程以及业务处理过程进行优化，从而提高企业相关技术人员的ERP操作水平，满足企业内部控制的综合发展需求。这就需要有计划地对各级次人员进行有关ERP业务的培训，并且分工协作，发挥集体的智慧。这样让企业接受ERP体系先进管理理念，做到事前规划和事中控制，这样才能够避免理念冲突。通过加强内控观念的灌输,从而优化内部控制环境。另外通过计算机应用技术的培训,能够提升内部人员运用新软件管理数据的效率,也增强了内审人员获取与利用新信息技术的能力,从而降低了实施ERP系统后内控的技术风险。ERP系统下，企业内部控制工作的开展与落实，则需从且有内部管理以及运行控制的角度进行优化，在企业内部管理以及企业财务核算管理下，可提高企业的业务管理与控制水平[4]。

（四）加强信息系统内部管控,确保服务质量和安全

内控流程信息化的趋势明显，很多人寄希望于内控信息化来再造流程、固化流程，提高流程执行力和运作效率[5]。信息系统的内部管理主要涉及了信息系统工作的岗位职责管理制度、系统软硬件管理、系统信息数据处理等。岗位职责管理制度主要体现在了严格的权限审查及划分规则、工作职责划分原则等。系统软硬件管理重点是为了保证系统的顺利操作,主要涉及了网络设备检测、系统软件开发工作的管理等。信息数据处理重点涉及了数据信息保密、备份和恢复、对计算机病毒的保护管理等。企业的内部信息管控以及ERP系统运营管理则要在信息技术的应用下，对且有的信息技术应用以及业务管理等进行优化，从而实现企业信息管控的综合水平提升。企业的ERP系统搭建与应用视角下，在对ERP系统的实际应用进行控制中，可从内部管控、业务管理以及内部控制的角度，对信息技术在企业财务管理、风险评估等进行综合控制，在利用ERP系统的数据传输与信息总结等功能下，可为企业的内部控制方式以及业务管理决策提供有效依据。ERP系统的应用下，重视企业信息系统的内部管控，可通过信息数据处理，对ERP数据的决策性进行评估与管理，从而提高企业内部控制与风险控制的综合水平。

四、结语

ERP在企业的应用,使企业的内部控制环境发生了很大变化,只有积极采取有效的内部控制措施,才能有效应对风险,实现ERP应用价值最大化。