基于ERP系统环境下的企业内部控制研究

刘守冠

摘 要：为了有效防控内部控制风险，大中型企业开始逐步推广ERP系统，实施过程中，体现了ERP优势的同时，也暴露了一些劣势。为此，应积极寻求ERP与内部控制有机融合的途径，提出合理化建议，以保证内部控制的有效实施，本文就此问题进行了探讨。

关键词：ERP系统 内部控制 优势劣势 融合建议

中图分类号：F272 文献标识码：A 文章编号：2096-0298（2017）12（c）-169-02

随着ERP系统有效应用于企业的内部控制，以及ERP系统技术不断改进完善，实施ERP系统已经是多数大中型企业的必然选择。但由于在ERP环境下实施内部控制，与原来的控制环境发生根本变化，因此如何将ERP系统环境与企业内部控制进行融合，成为目前企业管理中面临的一个值得研究的现实问题。

1 ERP系统环境下实施内部控制的优、劣势

1.1 在ERP系统环境下实施内部控制的优势

实施中的优势主要表现在以下几个方面。1.1.1 ERP系统使内部控制的节点更明确

在ERP系统中，将内部控制形象表明为控制节点，并存在于系统的各个程序当中。从时间节点来看分事前控制、事中控制及事后控制。一个成熟的ERP系统能有效避免和减少企业的无效行为和重复行为。ERP系统注重事前制定节点控制計划，事中控制节点运行，事后反馈节点控制效果的统一。对内部控制节点的有效把握是确保数据质量，提高内部控制效果的关键。在ERP实际应用中，通常设计若干模块形成控制体系，再根据各个模块确定相应的风险节点，实行必要的控制措施。

1.1.2 ERP对内部控制运行有促进作用

在ERP环境下，企业大量的信息能够得到及时高效的处理，合理规避了人工管理模式存在的不规范性问题，提高了经济运行质量。比如在资金管理中，可针对企业经营业务予以系统分析，合理确定资金需求的上限和下限。在此基础上设计出更为科学的筹资方案，以大幅降低资金闲置率，并降低短缺成本，从而对企业内部控制的运行提供有力保障。ERP系统的引入对于企业的顺利运行具有相当积极的意义。

1.1.3 ERP有利于提高内部控制效率

ERP借助于计算机对流程数据的集中快速处理功能，将繁琐的手工作业进行标准化、条理化、集中化后，交由计算机处理。职能部门依托ERP环境下的信息系统能够及时了解各个时间段、各个控制节点的动态情况，一旦出现超出控制范围的行为，将会立即启动预警提示，或操作者无法继续操作，系统便会针对其自动追踪，有利于进行分析，从而为立体化、全方位的经营管理提供强有力的支持。同时ERP通过共享和传送产供销信息，避免了重复输入，减少了出错的机会。提高了物流、资金流等信息的同步性，使内部控制管理效率大幅提高。

1.1.4 ERP能有效防止内部控制篡改风险

ERP系统通过对流程进行环环相扣的处理，并对操作人授予有限的操作权限。受操作权限的限制，实际操作人难以随意篡改业务流程数据。除ERP产品系统内置的特定超级用户外，一般用户通常无权篡改业务数据，并且每一次的改错、冲销都会留下痕迹。仅能在ERP系统中形成“逻辑删除”，并不能形成“物理删除”。针对“超级用户”可以根据对应的日志对其进行监督，防止其篡改业务数据，确保单位信息的真实性、完整性，从而降低企业的经营风险。

1.1.5 可以促使人员整体素质提高

由于ERP系统涉及多环节多岗位，几乎大部分员工都要在其岗位上操作ERP系统的一部分，并直接影响之后的操作流程，最终影响到企业的经营决策。所以，这要求企业员工要具备大局观念和责任心。除具备计算机基础知识外，还要将本专业知识和计算机知识有机结合，对ERP系统的流程有详细了解，并不断学习新技术、新知识，以适应系统更新换代的需要。

1.2 在ERP系统环境下实施内部控制的劣势

实施中的劣势主要表现以下几个方面。

1.2.1 操作不当导致效果不佳

由于ERP系统的实施打破了原有的操作习惯，使原来各职能部门的手工作业减少甚至消失，加之重整后的业务流程在风险控制方面的有效性并不直观，如果没能及时发现控制环节不同，进行误操作，将可能导致相应环节的控制失效，引起连锁反应。如果操作不当，短期内无法监测到不当信息，造成同样的错误重复发生，一旦发现可能已经造成不良后果，增加了整改的难度，使预期效果无法达到。

1.2.2 ERP系统存在受攻击的风险

黑客袭击一直是行业性问题，互联网发展至今从未间断过。由于ERP系统通常需要在网络环境下运行，对不同地区、不同性质的公司、单位集中处理流程数据，才能实现通过处理大数据进行内部控制的优势，这使黑客有了进入的机会。同时，ERP系统在转换和传递过程中可能需要不同的接口。通常由不同的开发公司开发，可能产生控制方面的安全问题。如果访问权限开放范围过大，将面临遭受攻击的风险。

1.2.3 实施失败导致巨额的损失

通常大中型企业实施ERP系统需要耗资近百万元，还要耗费大量的人力、物力。实施之后，如果不能满足企业的需要，没能达到预期的效果。或者是尽管得到了企业的暂时认可，但因为软件供应商和实施者的维护服务原因，使企业遭受了严重的经营效益损失，没有得到应有的管理提升和价值回报等，最终会导致企业放弃ERP系统，宣告实施失败，造成巨额损失。

2 ERP与内部控制有机融合的途径

2.1 对重要风险有针对性的制定措施

重要风险的防范是实施ERP系统与内部控制有机融合的重点。内部控制首先必须对重要风险进行辨识和防范，在ERP实施过程中，各个单位重要风险的界定，因单位的性质，所处的外部环境不同而不同。要根据实际情况，结合重要风险的通用标准，并区分个例差异，制定相应的控制方法，及时反馈控制效果，以将风险控制在合理的范围内。将风险管理作为企业管理的一项重要内容，运用ERP系统对风险进行针对性的防控，切实提高ERP对风险的控制效果。

2.2 不相容岗位分离，杜绝模糊灰色地带

ERP系统对授权的管理应考虑不相容岗位的问题，充分明确岗位职责，杜绝模糊灰色地带，做到不相容岗位的分离。公司通过采购部门、物资管理部门、内部审计部门的组织设置应实现请购与采购、采购与验收、合同订立与审计等不相容岗位采取分离措施，并在ERP系统中进行分离控制。操作人员调入和调出时，及时联系系统管理员对调入人员进行岗位授权，对调出人员进行岗位除权。并在临时请假等不在岗的情况下，对替代人员进行临时授权，明确责任，以保证工作流程的正常运行。杜绝权限模糊、迟延审批等贻误工作现象的发生。

2.3 自动控制和手工控制应相互制衡

在自动控制的ERP环境下业务流与信息流实现同步进行，达到了内部控制与信息采集的结合。虽然人工主观控制大大减少，但是自动控制的原理必竟是人工控制发展到一定程度的结果。在某些情况下，手工控制也有其不可替代的优点，对自动控制进到补充作用。实施ERP后，要合理优选自动控制和手工控制，本着“有效控制”的原则，实现自动控制和手工控制的相互制衡，实现业务的标准化操作。

2.4 对预警系统发出的信号及时作出反应

预警系统对纠错起到重要作用，预警系统指标的多样性和模型的复杂性对防范错误进到很好的屏障作用。ERP系统的实施过程中，根据实际情况，逐步形成内控有关的各种基础信息数据库，对于与数据库不匹配的操作信息，预警系统会及时发出预警信号。操作人员收到预警信息后，应查找错误原因，及时采取有效地控制措施，加强整改、降低或避免风险的发生，提升内部控制的效果。

3 保证内部控制有效实施的可行性建议以及对策

3.1 从实际出发加强协调与沟通

沟通是实施ERP系统的重要工具，ERP系统运行是否顺畅，不仅取决于员工的行为，还需要通过充分有效地沟通来协调。使每一个团队成员知道什么时候应以何种方式向谁沟通什么信息。从而形成合力，以使企业效益最大化。

3.2 梳理業务流程优化业务范围

ERP系统通过对业务的处理流程系统化，使业务人员和管理人员能够高效快捷地对系统进行操作和控制。因此应经常组织ERP建设人员、业务人员和管理人员共同对业务流程进行梳理，尤其对新业务流程的梳理更是一项重要的内容。根据梳理结果，对内控体系建设的业务范围进行优化。经业务相关各方共同审核确认后，可以有效提升梳理优化工作的效果。

3.3 对关键岗位授权进行再清查

重点加强对关键岗位授权管理的清查，这是内控的重要工作内容。特别对关键岗位的操作人员，应加强授权更应着重管理，以使业务流程得到有效控制。对其他人员根据数据测试情况，决定是否可进行实际操作。应做好ERP系统数据和日志的备份工作，以便持续开展清查工作。

3.4 复核自动控制和手工控制制衡关系

自动控制和手工控制的范围明确后，还要经常分析业务流程中的风险点，复核自动控制和手工控制的制衡效果。及时发现控制的“真空”地带，并采取相关补救措施，优选确定采取自动控制还是手工控制。这是流程优化的基础和前提，也是实施全面风险管理的重要环节。

参考文献

[1] 贲立波.对制造企业实施ERP管理的内部控制研究[J].财会学习，2016（18）.

[2] 喻颖.ERP环境下财务会计信息系统内部控制[J].中外企业家， 2016（33）.