基于ERP系统环境的企业内部控制研究

■何小雅

（西人马（厦门）科技有限公司）

1 企业ERP系统与内部控制的内涵

1.1 企业ERP系统的概念与特点

ERP系统是企业资源计划(Enterprise Resource Planning)的简称，它是在MRPII（企业制造资源计划）基础上进一步发展而形成的面向供应链的管理思想，是将企业物流、资金流和信息流进行一体化管理的信息系统，是为企业全方位和系统化的提供决策、计划、控制、经营业绩评估的管理平台。ERP系统承载内部控制动态管理思想，具有高集成、实时共享、覆盖完整的业务流程的特点。

1.2 内部控制的概念与特点

内部控制是指由企业董事会、监事会、经理层和全体员工共同实施的旨在实现控制目标的过程。

首先，内部控制是一个过程，它覆盖了企业运营全过程，各个流程、节点相互推进、相互制衡，内部控制需要流程化、制度化。

其次，内部控制需要企业全员参与。企业各级管理层和全体员工需要树立现代化管理理念和建立风险意识，主动承担内部控制建设和执行责任，而不是被动执行内部控制规定。

最后，内部控制只能是合理保证，而不是绝对保证。企业目标的实现不光受制于企业内部环境，而且也受外部环境影响，内部控制是无法作用于外部环境的。内部控制自身也存在局限性，受其设置和运行人员、经营环境、业务性质等制约。

1.3 企业ERP系统与内部控制的关系

1.3.1 企业ERP系统是内部控制的工具和途径之一

ERP系统实施前需对企业现有运营流程进行设计和改进，保证ERP系统设置后实施目标、控制范围、操作流程与内部控制一致，ERP系统成为内部控制实施的载体和工具。随着企业经营管理情况变化，内部控制需要适时改进。ERP系统为了更好服务于内部控制，需要做出相应调整。

1.3.2 企业ERP系统是内部控制的对象

ERP系统是由人主观意识而设计出来，无法避免会有漏洞。错误操作ERP系统，会导致整体数据出现偏差。内部控制出现失误，甚至出现重大决策失误。ERP系统是内部控制的重要构成部分，对ERP系统进行风险监督和测评，规避和减少企业管理过程中ERP信息沟通造成的误差风险。

1.3.3 企业ERP系统是内部控制的体现和要素

ERP系统根据公司治理结构、内部机构设置和权责分配制度、内部控制制度等建立规范的系统管理机制。通过对供应链进行实时数据采集，实现供应链管理信息和业务共享集成，及时、准确收集、传递与内部控制相关信息，实时监控资金流和物流，精确指导企业经营生产，从而实现事前计划、事中控制、事后分析。并对信息和流程进行筛选和甄别，实现企业内部信息共享、管理流程和业务流程优化和自动化。

2 企业ERP系统的应用对内部控制的影响

2.1 企业ERP系统的应用使内部控制制度更完善

通过ERP系统使内部控制制度落实到实处。ERP系统实施前，企业针对前期经营管理模式、流程和操作，对内部控制制度进行调整，将内部控制制度要求嵌入ERP系统中。ERP系统实施中暴露出内部控制制度问题，方便管理者及时调整。

2.2 企业ERP系统的应用使内部控制范围更广泛

一方面ERP系统风险管控纳入内部控制范围。另一方面ERP系统应用促使企业规模不断增大，同时使内部管理层次更复杂，流程更繁琐，经营风险更多，内部控制需要管控的内容更复杂，范围更广泛。

2.3 企业ERP系统的应用使内部控制形式更智能

ERP系统的应用使内部控制不再依赖人员的内部牵制，将内部控制点嵌入系统，流程数据和操作自动识别、筛选、监控，使得数据处理和存储更加集中、自动、智能。业务流程的重组和信息化，不仅保证信息真实完整，而且给内部审计调查取证提供了便利。

2.4 企业ERP系统的应用使内部控制模式更成熟

ERP系统的应用使内部控制信息所产生的成本减少，企业不必单独成立内部控制部门。内部控制系统和业务系统集成合并，系统自动反馈，不断纠正和调整业务信息，减少了信息误差，提高了控制的效率，从而实现信息沟通及时、有效、准确、透明。

2.5 企业ERP系统的应用使内部控制环境更良好

根据公司治理结构、内部机构设置和权责分配制度、内部控制制度等建立规范的ERP系统用户权限管理机制。系统采用基于角色访问机制（RBAC），根据岗位职责体系进行职责分工，不同分工对应不同系统角色，基于角色生成事务代码，并分配事务代码所需权限、字段、字段值，由此决定了角色在系统中的操作权限，实现岗位、职责和权限统一，从而改善内部控制环境。

3 ERP系统环境下内部控制的发展现状

3.1 相应制度体系构建不完善

在应用ERP系统时，内部未形成统一的业务流程和完善的制度体系，内部控制制度只是针对财务部门设置，缺少信息化管理制度，内部管理混乱。ERP系统在实施过程中不能与其他信息系统有效的进行信息传递和数据分析，财务信息与经营信息不能有效结合，缺乏相互约束机制，影响信息质量，使经营管理决策出现偏差。

3.2 ERP系统与业务融合度不够

在ERP系统实施前，未对业务流程进行诊断和评估，导致业务数据无法录入ERP数据库中，只能录入线下业务数据库。ERP系统在实施过程中，业务流程与系统流程存在冲突，不符合ERP系统应用规则，业务数据与ERP系统数据无法传输、衔接、集成，无法实现信息一体化管理，从而导致系统与业务融合度不够，使经营管理者无法获取准确的业务数据进行分析和决策。

3.3 ERP系统信息安全存在隐患

在应用ERP系统时，更关注其功能，而忽略信息安全隐患。ERP系统包含了企业核心信息和数据：组织架构、人员信息、产品信息、客户供应商信息、供应链数据、财务数据、人力资源数据等。ERP系统因为人为破坏、操作不当、监管不到位或不可避免的问题等原因造成敏感信息被人为或无意的非法泄露、传授、买卖、更改、破坏、辨识、控制将给企业带来巨大的损失。

3.4 内部控制管理绩效考核机制不健全

在应用ERP系统时，ERP系统涉及的流程岗位职责设定不明确、未将内部控制管理执行情况和风险控制效果纳入考核范围、考核数据来源和考核方法不清晰、考核指标或考核指标不合理、考核标准不一。未注重考核反馈机制,考核结果可参考性和利用价值低、未全面分析绩效取得过程原因及后期影响，改善计划缺乏长期目标和长远规划，考核结果和奖励结果不一致。最终导致无法通过绩效考核发现ERP系统和内部控制之间的问题。

3.5 企业缺乏复合型专业人才

ERP系统应用过程中，企业缺乏信息管理、财务管理和运营管理综合性人才，综合判断ERP系统应用对内部控制长远影响。ERP系统应用前期指导和后期服务均由系统供应商占主导。即使企业花费巨大精力和财力用于ERP系统开发，也受限于系统供应商提供的服务水平和资质。企业缺乏复合型专业人才，根据自身企业运营特点，研发ERP系统，及时收集、处理各岗位的系统问题,调整与内部控制的冲突和差异。

4 ERP系统环境下加强内部控制的具体建议

4.1 完善内部控制制度与体系。

4.1.1 建立ERP系统岗位制度

ERP系统岗位制度按照财务会计、管理会计、生产制造、供应链、人力资源岗位职能将系统划分为若干模块，各部门按照企业组织架构、岗位职责和职能划分ERP系统工作内容，进行ERP系统业务处理与数据处理。

4.1.2 建立ERP系统操作制度

ERP系统操作制度主要是各模块操作规范、注意事项及各模块操作人员职责。各岗位操作人员根据分配的模块、权限及各模块流程操作图进行相应操作，禁止违规操作。系统操作人员均需遵守保密规定，不得向任何其他个人、部门、单位透露系统数据。

4.1.3 建立ERP系统培训制度

ERP系统培训制度包括需遵守的培训规则、培训形式、激励措施及考核方式，旨在提高培训效果，增加操作人员的ERP系统理论及操作知识，顺利实施ERP系统应用。

4.1.4 建立ERP系统安全制度

ERP系统安全制度是构建ERP系统稳健运行环境的重要保障。内容涉及制定系统安全目标和安全策略，并在此基础上制定不同内容的规范。同时建立系统安全组织，明确各部门、环节及人员安全职责、组织形式、处理流程，启用日志管理，避免越权和非授权行为。

4.1.5 建立ERP系统信息反馈制度

ERP系统信息反馈制度主要是在企业运营、系统流程操作过程中信息反馈和建议的规范，从而实现及时收集员工意见，调动员工工作积极性，发掘内部控制管理可行性改善建议。制度包括合理化建议范围界限、合理化建议审核流程、合理化建议反馈形式及渠道、合理性建议效果反馈及奖励，并建立考核制度。

4.2 提升ERP系统在内部控制方面的应用水平

首先，ERP系统启动前，针对不同阶段设置可量化的、明确的系统在内部控制方面的不同应用目标。其次，ERP系统实施前，选择合适企业需求的ERP系统。通过对内部控制管理进行梳理和诊断后，结合企业生产模式和现有需要解决问题，寻找ERP系统供应商并对其产品进行调研，综合评估选择合适的ERP系统供应商。然后，引入企业管理咨询服务。在实施ERP系统前期准备、业务流程重组、ERP系统选择分析及后期实施工作仅靠企业内部人员还不够，需要引入专业的企业管理咨询服务。再次，成立ERP项目组，实行ERP项目监理制。按照规章制度对ERP项目进行监督和管理，协调各方面沟通，减少合作过程的阻力，并争取高层领导支持。最后，确保ERP系统数据及时收集、整理及汇报。ERP系统是对企业信息的整合，而信息的载体和表达是通过大量数据来完成，通过ERP系统数据的收集、整理与汇报，才能确保ERP项目实施成功。

4.3 加强对ERP系统信息安全的保护

4.3.1 ERP系统信息安全管理

根据企业组织架构、岗位职责和内部控制管理需求，自定义ERP信息角色和权限；专门审计人员定期审计信息安全；开启日志功能，记录操作人员操作记录；数据定期审计、备份、检查、分析、维护；通过信息安全管理测评和分析，发现系统存在的漏洞和隐患等；利用信息安全技术分析，预见、发现系统中每一个环节中潜在或已有问题，减少和消除ERP系统持续安全运行风险。

4.3.2 ERP系统信息安全控制

依据ERP系统特点与企业安全目标建设基础信息设施，设置合理的信息安全架构，建设完善架构体系，合理划分安全区域，统一规划安全设施，不断增强网络监控；根据客户端和数据情况配置软硬件。

4.3.3 ERP系统信息安全技术

对服务器安全、登录安全、数据库安全三大项信息实施安全技术；及时对ERP系统进行适应性二次加工与升级，增加新的功能、修补漏洞，增强稳定性、增强操作性；不断升级身份认证技术，确保操作人员权限与身份一致；不断提升安全防护、病毒监测与清除、安全监测与监控、加密与解密技术等技术，配备防火墙系统和入侵防御系统，设置安全访问管理和预防木马病毒入侵。

4.4 健全内部控制的绩效考核

基于ERP绩效管理信息系统建立绩效考核组织，以绩效计划流程、月度考核流程、年度考核流程为线索，将具体考核目标、因素、指标指定到具体考核对象上，并对考核结果进行评价和分析，形成基于流程和责任的指标体系、评价体系、结果应用体系。具体措施包括：ERP系统自动采集和计算各流程操作数据生成绩效报表，员工和绩效管理人员可以通过实时查看绩效结果，员工可以通过ERP系统申诉绩效结果。

4.5 加强复合型专业人才的培训和储备

基于ERP系统环境下，企业开展知识、能力、素质和创新思维为一体的复合型ERP专业人才培养和储备。一方面从企业内部挑选人才组建成为懂技术懂财务懂管理的复合型人才团队，从技术、实施、应用三个层面确保ERP系统成功实施。另一方面从理论学习、动手实践和企业锻炼三个层次开始培养复合型专业人才。

总之，ERP系统应用作为全新的理念和信息管理系统，对于内部控制管理和信息化建设产生重大的影响。目前我国大部分企业在实际ERP应用中效果不佳，仍然存在问题。本文以ERP环境下内部控制为研究方向，分析了具体存在问题，并多角度从内部控制制度体系、内部控制应用水平、信息安全、绩效考核、复合型人才培养等方面给出具体应对措施。企业应积极采取措施，加强ERP应用成效，为内部控制提供坚实、高效的基础。