ERP环境下企业内部控制体系构建

文| 张健刚

引言

进入21世纪,信息的利用能力已经逐渐成为企业竞争力的代表。随着中国加入WTO,中国企业要参与国际竞争，提高企业竞争力，必须提高信息的利用能力。企业资源规划(Enterprise Resource Planning, ERP)体现了当今世界上最先进的管理理论，并提供了企业信息化集成的最佳方案。ERP将企业的物流、信息流和资金流统一在一起进行管理，对企业所拥有的人力、资金、物资、设备、信息和时间等各项资源进行综合平衡和充分考虑，最大限度的利用企业现有的资源取得更大的经济效益，有效地管理企业的人、财、物、产、供、销等各项具体工作。

与此同时，内部控制也越来越受到广泛的关注。21世纪初，美国爆出了一系列财务丑闻，导致安然、世通等曾经的业界巨人轰然倒塌，由此催生了《萨班斯一奥克斯利法案》；我国企业的内部控制建设还处于起步阶段，近几年来，一批企业也因为内部控制缺陷出现了不少违法、违规的现象。诸多国内外的案例表明，内部控制是现代企业管理的需要，一个优秀的企业一定拥有一套有效的内部控制体系。内部控制犹如一座屹然耸立的大厦，企业内的各种要素和资源被统合在这座大厦的各个单元中；同时，各个要素和资源的有机结合和协调，支撑着雄伟的大厦既高耸入云，又稳如磐石。

本文根据内部控制的原则和目标，从改善控制环境、信息系统控制、日常管理控制、完善内部监督机制等方面对ERP环境下企业内部控制体系的构建进行论述。

企业建立和实施内部控制体系的原则

ERP环境下，企业建立和实施内部控制的原则可参考我国颁布的《企业内部控制基本规范》的指引，内部控制建立和实施的原则既是企业建立和实施内部控制的指引，也是企业评价内部控制是否健全和有效的依据,主要包括以下五个方面。

全面性原则

全面性是企业建立内部控制体系的重要基本原则之一，企业建立和实施内部控制应涵盖企业经营的各个方面和全部人员。一方面，企业应对经营管理的全过程进行控制，包括生产、营销、财务、采购等各个环节，企业的内部控制体系应针对人、财、物、信息等各个业务活动的范围制定全面的内部控制措施；另一方面，企业内部控制应包括企业的所有人员，包括企业的高层管理人员，企业中的每个成员既是控制实施的主体，也是控制行为的客体。

重要性原则

企业应在全面控制的基础上，关注高风险领域和关键岗位人员，对于关键的控制点和重点控制岗位，企业应进行重点控制，以降低企业的风险，保证控制的效果。

制衡性原则

企业在兼顾效率的同时应该在组织机构和岗位职责的设置、业务流程的制定等方面形成相互监督、相互制约的机制。

适应性原则

企业建立和实施内部控制应因地制宜，与企业所处的状态相适应，并随着企业状态的调整进行动态的调整。企业所处的状态包括企业的经营规模、业务范围、竞争状况和风险水平等。

成本效益原则

内部控制的目标要服务于企业价值最大化的目标，不是为了内部控制而实施内部控制，内部控制的最终目的是实现企业价值的最大化。

当为实现内部控制目标所采取的控制措施的成本大于预期的收益时，我们说这样的内部控制措施是不可取的。因此，企业在保证内部控制有效性的基础上应尽量地减少内部控制的环节，抓住内部控制的关键环节，降低控制成本。

制定ERP环境下内部控制目标

控制目标是企业设计内部控制体系、实施内部控制活动的出发点和落脚点，能否实现内部控制的目标是内部控制有效性的评价标准。ERP环境下，企业内部控制的目标与传统的企业内部控制的目标没有差别，包括合理保证企业经营的合法合规、资产安全、财务报告及相关信息的真实完整，提高经营效率与效果，促进企业实现发展战略。

企业应在内部控制目标的指引下，对内部控制的目标进行逐级分解，形成企业内部控制的具体目标，企业在具体目标的指引下进行内部控制的建立健全和完善，确保内部控制设计的全面性和有效性。

ERP环境下内部控制构建的措施

改善内部控制环境

1.理顺部门和岗位的职责权限。

ERP的实施,改变了企业原有的业务流程，由原有的条块分割的职能管理模式变更为按照业务流程管理，实现了“物流、信息流、资金流”的同步流转。企业必须及时地理顺部门和岗位的工作职责和权限，只有这样才能实现事事有人做，人人有事做，才能保持员工队伍的和谐稳定，才能将新的工作落实到相应的岗位上。在ERP环境下理顺部门和岗位的职责权限可采取以下步骤：

第一，根据业务流程中涉及的各项工作任务进行分类汇总，根据部门和岗位分配的制衡原则将每项工作落实到具体的部门，如有必要可进行相应的组织结构调整以适应新的管理模式。

第二，具体分析每项工作的工作强度,工作的时间区域，综合考虑不相容的职务相分离的原则，来确定部门内部的定岗人数，岗位工作内容、岗位名称、岗位要求、岗位岗级序列等内容。

第三，编制新的组织结构和岗位设置文件。组织结构是指企业内部各部门的组合程序，包括排列顺序、空间位置、集散状态、职责权限等内容以及各个要素之间的相互关系。岗位设置是指部门内部的各个岗位的工作描述、岗位要求、考核标准，层级序列等内容。

2.提高员工的胜任能力。

胜任能力是企业管理层和员工掌握完成工作任务、履行岗位职责所需要的知识、技能、经验的总体状况。胜任能力在内部控制的实施中起着重要的基础性作用，内部控制归根到底是由人来操作的，内部控制体系设计得再完善，如果没有具备胜任能力的的员工，也无法得到充分的贯彻和有效的执行。要想内部控制得到充分和有效的实施，进而实现企业预定的内部控制的目标，必须保证经营管理人员和关键岗位员工的胜任能力。由于ERP系统的应用，带来了工作方式、工作方法、工作能力要求等一系列的变化ERP实施的一个重要的特点就是由原来的职能管理变为流程管理，前一个环节对后一个环节负责，数据不重复录入，入口唯一，任何一点初始数据参数的录入差异都可能对后续的分析造成很大的影响，也就是项目人员常说的一句话“垃圾进、垃圾出"，这样，就对初始数据录的入准确性提出了更高的要求，对相关岗位员工的专业水平、责任心和敬业精神也提出了更高的要求。ERP环境下企业内部控制体系的构建，其中最重要的基础就是能够胜任工作要求的员工队伍。

如何提高员工的胜任能力，可以从以下几方面开展工作：

（1）把好招聘关，因为招聘永远比培训更重要。招聘适合本企业文化、具备岗位要求的技能和经验的员工是使企业保持活力、健康发展的重要条件。

（2）规范各岗位的岗位职责，明确各岗位的工作任务，形成适应ERP系统要求的新的《岗位规范》文本，并以此作为各岗位履行职责和行使权力的依据。

（3）根据《岗位规范》中的岗位职责描述，结合企业实际情况，分析各岗位完成工作任务所必须的条件，进而明确各岗位要求的能力和知识水平，如学历、专业技术职称、专业背景、工作经验和相关操作水平等。

（4）实行全员考核。企业定期对全体人员进行考核评价，形成员工考核评价的量化指标，对不胜任岗位要求的员工进行业务、技能的培训，及时提高员工的能力和水平；对于在一定的期限内通过培训仍无法达到履行岗位职责要求的员工，及时转岗。

（5）企业的操作环境、管理方式发生变化了要及时进行培训。如ERP系统新投入使用前必须对系统操作的相关最终用户进行全面的培训，使员工对系统有一个较为全面的认识，对开展工作所需的基本技能能够掌握。

信息系统控制

抛开ERP系统先进的管理思想，ERP系统首先是一个信息化产品，是一个企业级的综合管理信息系统。因此，ERP环境下的企业内部控制首先是信息系统的控制，也就是如何保证信息系统的安全稳定运行。这项控制设计的关键知识是信息系统知识和法律知识，从宏观上把握应做好以下几方面工作。

1.硬件系统控制。

硬件系统控制的主要目的是保障硬件系统的安全，硬件系统是信息系统的有形载体，系统运行的有形载体出了问题，系统将无法正常运行，对企业造成的损失是不可估量的，信息管理部门应该有完善硬件管理制度，至少应包括以下几方面：

（1）服务器和网络通信控制。企业信息管理部门应能够确保服务器的正常运行，能够对突发事件有快速应对，如服务器的异地存放，网路加密技术的采取、硬件运行的条件(温度、湿度)等等。企业应根据硬件安全的有关制度和要求制定本企业的硬件安全管理制度并确保执行。

（2）硬件升级维护控制。信息技术的高速发展以及企业业务量的增加都会随时要求硬件的升级，企业硬件系统升级要关注以下风险点：硬件的采购管理，避免因为硬件系统的原因造成企业商业秘密泄漏或者是信息系统瘫痪；淘汰硬件的技术处理，要将具有存储数据功能的淘汰设备进行必要的消磁处理，使之彻底成为“垃圾”。企业应在固定资产管理的基础上单独建立信息系统设备的管理台账，包括硬件的购入信息(包括厂家、规格型号及各种参数、采购人员、验收人员)，使用信息(包括启用日期、主要用途、使用人等)，退役信息(包括停用日期、签定人员、技术处理人员、设备流向等)。

（3）数据备份控制。信息系统需要定期的数据备份，一方面作为重要的档案进行管理，另一方面为防止意外事件出现后能够及时恢复。数据备份也需要相应的硬件系统作为载体，企业应建立系统备份管理制度，包括备份的时间频率,即多长时间备份一次、备份的操作管理权限、备份数据的使用管理、备份数据的归档管理、备份数据的失效日期、以及备份数据保管需要的专业条件等。

2.系统开发与维护控制。

系统投入运行前要进行系统开发，系统使用后也会存在二次开发的可能，系统运行中经常会维护各项权限或其他信息。系统的开发与维护控制是ERP环境下内部控制的重要组成部分，因为系统的开发与维护人员拥有较高的权限，他们可以设置一个用户并赋予一定的权限，然后进行相应的操作，这样的操作可能会导致重大的资金支付或其它重大的信息流失，给企业造成严重的损失，因此对系统的开发与维护控制至关重要。

（1）系统开发控制。系统的开发一般会成立专门的项目组，用以协调各方面的关系，项目实施的方法论不同，项目组的组成人员也会有所不同。不管采用何种形式，系统开发控制的关键点必须进行重点控制，主要包括以下几方面：

第一，业务流程的设计控制。业务流程设计是今后工作开展的轨道，如何保证业务流程便捷、安全是业务流程设计的目标。业务流程设计，一方面，要保证便捷，也就是说要把不增值的环节去掉，以保证系统实施后工作的效率；另一方面,也要确保符合内部控制的牵制原则，明确各项关键的操作以及关键的控制环节，确保不相容的职务相分离。因此，业务流程控制的关键在于所有的业务流程都应该是经过专业部门论证、相应的权限部门批准的，项目部门应持有经批准的业务流程文本(包括流程图和相应的文字说明)进行系统的定义，并作为重要的项目档案归档。

第二，操作权限设置控制。系统根据业务流程的设计会产生不同的操作权限，每个员工会因为身兼不同的岗位而拥有多个权限，系统在开发阶段必须明确不相容岗位的互斥原则，也就是说项目组要组织专业人员或聘请专业的咨询公司对系统设置的所有权限进行整理分类，进行模拟测试，提出不相容(互斥)权限的列表，系统的开发人员要根据要求在系统开发中将不相容的权限定义为互斥权限，具体来说就是当一个操作员要赋予互斥权限时，系统会自动拒绝并提示该权限与该操作员已有的那个权限是互斥权限，通过系统的事前控制做到不相容的职务相分离。

第三，验收报告控制。ERP系统的验收报告是系统开发人员对系统状态的承诺，是企业责任人员履行必要职责的证明，更是ERP系统实施后所有内部控制实施的初始资料。为此，企业必须对验收报告给予足够的重视，验收报告必须具有相关人员的签字确认，具体验收报告控制的关键点包括系统功能描述、初始数据资料、初始权限设置等。

（2）日常维护控制。系统投入使用后，日常的维护必不可少，维护的原因有很多，可能因为职工的调动需要对员工的权限进行重新设置，可能因为系统不完善进行必要的修补，也可能因为新的政策的实行进行相应的分类调整等等。企业必须认真梳理可能存在维护调整的事项，进行分类汇总，明确各种调整的审批流程和审批机构、审批岗位，据此要制定系统维护的审批表格，确保系统运维人员的每项维护操作都是经过授权的情况下进行的，为了便于今后核查，系统维护人员应在系统维护的审批表上签字确认，注明维护时点，并将维护记录连续编号存档，便于审查人员进行相应的检查。

（3）防病毒控制。信息系统的软件系统和硬件系统一样，应定期的维护保养，及时地进行相关的清理，进行必要的查毒杀毒操作，确保信息系统在一个稳定的状态下运行。

3.系统访问控制。

ERP环境下，内部控制与以往一个重要的区别就是以前内部控制很多纸制的证据不存在了，取而代之的是系统的操作日志，如何才能确保每名员工对自己的操作负责，是ERP环境下企业内部控制的又一重点。

具体说来可以采取如下控制措施：

（1）对有权限的员工进行教育，让员工认识到自己的操作密码就像自己的签字盖章一样有效，被他人恶意操作自己要承担相应的责任，培养员工的保密意识。

（2）系统的强制修改密码功能。通过程序上的设置，让用户在一定的期限到期前必须强制的修改密码，确保用户密码的时效性。比如，系统设置为每人三个月密码到期，系统在密码即将满三个月的时候及时地提醒操作员更换密码，同时对更换的密码提出要求，不得与原密码使用相同的字符等，使用户密码处于不断更新的状态，提高密码的安全性。

（3）对关键的岗位密码实行多重保护，以提高登陆的安全性。比如对财务负责人审批，最终的资金支付岗位的登陆实行U盾或动态密码保护等多重保护，也就是说该用户登陆访问系统的时候仅仅输人密码是不够的，还得在计算机上插入U盾并且输入U盾的密码才能进入；动态密码是配置一个密码器，与系统同步动态的变更，操作员必须持有动态密码器输人动态密码才能登陆访问系统进行相应的操作。

4.各类关健人员的保密控制。

软件的开发人员、系统的运行维护人员、以及关键岗位的人员都有机会直接接触企业的重要商业信息，企业有必要用法律的手段对其行为进行限制。

对企业的外部人员可以在合同中明确对方的保密责任以及泄密的损失的赔偿等等；对于企业内部的员工，一方面应加强保密教育，另一方面应签订保密责任书，明确员工的保密责任和泄密处罚措施等。

总之，企业应发挥内部法律顾问或律师等专业人士的意见，通过法律手段对有可能泄密的人员的保密责任进行规范，同时对泄密产生的后果能够有弥补的途径。

日常管理控制

1.完善档案管理控制。

ERP环境下，企业档案的表现形式出现了很多新的变化，各种磁盘、光盘介质的档案大量增加，许多原有的纸制的签字控制档案减少，很多有形的控制转变为无形的控制。在这种情况下，根据新的形式完善档案管理控制具有更加重要的意义。

首先，能够确保系统出现意外时能恢复到最近的状态，不给企业造成较大的损失。

其次，能够为监督控制提供完整的依据性资料，为企业内部审计监督职能的发挥提供保障。

再次，能够明确相关人员的责任，提高业务人员的责任意识，便于出现问题时的责任追究。

完善ERP环境下的档案管理控制，在做好原有的档案管理的基础工作的同时，应着重做好以下工作：

（1）对具备档案管理价值的资料、数进行分类汇总，明确各项归档材料的内容标准，确保归档的材料无一遗漏。

（2）对重要的档案实行双备份和异地存放，同时要打印纸制的归档材料，提高档案保管的安全系数。

（3）ERP环境下更要关注档案的及时性，各种纸制的数据资料的备份数据要做到及时。一方面，便于系统出现意外时恢复到最近的状态，另一方面，出于内部控制的考虑，减少操作人员篡改数据的时间，増加系统的安全性。

（4）企业应定期检查各种备份数据的有效性，备份的数据可能会因为时间的因素导致消磁或其他损坏，定期检查能够及时发现失效的档案资料，及时进行二次备份，避免企业出现较大的数据损失。

（5）特别强调两点：一是对ERP验收报告和运行初始基础数据的保管，因为这是系统所有运行维护以及数据变化的出发点。二是对各种磁盘、光盘等备份数据保管的专业性，避免因保管不善造成损失。

2.完善内部报告控制。

企业应建立内部报告控制，特别是在ERP环境下，建立完善的内部报告控制手段显得尤为重要。企业实施ERP后，单位的信息流在系统中自动流转，各类信息不再像各类纸制的报表资料等在各级管理人员之间传递，信息对企业管理人员的刺激减弱。为了保证重要信息传递的及时有效，必须根据系统的运行来完善企业的内部报告控制措施，明确各类报告的报送时间要求，报送流程，结构与内容等等，以便企业的管理者及时发现和解决企业运行中存在的问题。

企业常用的内部报告包括：资金分析报告、费用分析报告、资产分析报告、经营分析报告等。

企业内部的各项报告应根据ERP系统中的数据进行分析整理，广泛利用图表等手段，通过数据的历史对比和趋势预测，发现经营管理中存在的问题，对今后的业务发展进行科学的预测。

3.授权控制。

授权控制要求企业根据部门的职责分工和岗位设置，明确各部门、各岗位办理经济业务与事项的权限范围，审批程序和相应的责任等内容。企业内部各级管理人员只能在授权的范围内行使职权和承担相应的责任，具体业务的经办人员必须在授权的范围内办理业务。

ERP环境下，企业内部控制的授权控制重点做好以下几方面：

（1）系统操作授权与实际授权的一致性。如企业中规定单笔金额超过10万元的支出必须经过总经理审批，10万元以下由副总经理审批，那么在系统的审批工作流中必须进行相应的设置，10万元以上副总经理审核完毕后自动发往总经理审批，经总经理审批后审批流程才结東；10万元以下副总经理审批后流程即结束。

（2）明确金额重大、重要性高、影响范围广的经济业务与事项实行集体决策和会签制度。ERP系统虽然体现先进的管理思想，但是作为管理工具，它不能代替人的决策，因此，必须强调决策的控制以及系统操作的原始证据。

（3）授权透明化。通过内部网站、宣传橱窗、大屏幕滚动放映等手段，宣传企业重要授权的标准和范围，提高职工的参与意识和监督作用，增强企业职工对管理人员和重点岗位的监督。

4.内部控制制度化。

如何使企业内部控制的各项措施落到实处，是企业内部控制能否有效落实的关键。根据中国企业的实际情况，最好将内部控制制度化，将内部控制的各项标准、措施、控制责任和控制证据、奖惩措施等纳入到企业的规章制度中，并以正式文件颁布，这样，可提高内部控制的权威性和严肃性，增加内部控制各项措施的控制力，确保内部控制能够有效执行。从中国员工的观念出发，企业制度比一般的手册更具有权威性，通过内部控制制度化，能够更好的保障内部控制的严格执行。

企业实施ERP以后，企业经营的环境发生了很大的变化，必须结合ERP环境对内部控制的要求对企业的基本管理制度进行修订和完善。企业修订和完善企业的基本制度可参考以下步骤：

（1）梳理制度体系。企业根据企业的实际情况和管理的侧重对企业的制度体系进行梳理，整理出企业制度的类别、目录，明确ERP环境下企业需要修订和完善的相关制度。这里重点强调要完善相关的系统管理制度，包括操作管理制度、硬件管理制度、ERP相关档案管理制度等。

（2）修订完善制度。企业可组织相关部门和人员，特别要有对ERP系统比较了解的人员参加，对企业的制度进行修订，企业一般的制度至少要包括适用范围、生效日期、各部门的责任、关键的控制点和控制证据、工作流程、考核与奖惩等。最好是聘请内部控制和风险防范方面的专家对制度的修订进行指导和把关。

（3）组织职工讨论、收集意见。制度的撰写只能是少数专业人员，难以全面考虑到利益相关各方的意见，而制度的执行可能会设计整个企业业务和员工，因此，制度提交最高权利机构审批前，必须组织职工进行讨论，吸收合理的意见进行相应的修订，这样才能使制度更加完普，制度颁布后才能得到更好的理解、贯彻和执行。

（4）提交最高权利机构审批。完成了制度的最终修改后，要提交企业的最高权利机构审批。审批未通过，继续修订和完善；审批通过后，要以企业正式文件的形式进行下发。

（5）进行制度的宣贯和培训。制度是为了规范企业经营活动和员工的行为，必须通过必要的宣贯和培训使员工了解企业的制度，这样才能避免出现“无知无畏”的情况，给企业造成损失。另外，要根据每个岗位的工作特点，明确应了解的制度，对新上岗人员进行制度的培训，组织新上岗人员进行制度的学习和考试，考试合格后方能上岗。

完善内部监督机制

监督一方面为内部控制的有效执行提供合理的保障，另一方面起到对内部控制制度的复核作用，能够及时发现内部控制存在的缺陷。ERP的实施，丰富了企业监督控制的手段，为实时监督创造了条件。

1.在系统中设置相应的预警数据。

当数据达到预警数据时系统会自动将报警信息发送给相关的管理人员。比如企业的某项费用管理，系统定义为超过去年同期的20%系统将自动报警给财务部门的负责人，当费用的使用超过去年同期的20%以后，财务部门的负责人自动就收到系统的提示信息，财务部门的负责人通过对数据进行分析来确定费用发生的合理性，是否需要向上级主管领导汇报。

2.将系统必要的查询权限分配给相关的监督部门，实现对业务的实时监督。

ERP系统一个优势就是系统的开放性与共享性，只要将相应的权限赋予内部审计的有关人员，内部审计就可以随时察看系统的运行情况，业务的开展是否符合规定的程序。

3.从内部审计监督的角度动态完善内部控制制度。

内部监督首先是对内部控制体系是否建立健全，执行是否有效进行测试，通过测试能够发现内部控制设计方面存在的问题，如关键的控制证据是否齐全，控制措施是否得当等，必要时形成内部控制的缺陷报告，以此促使企业管理者进一步完善内部控制制度。