ERP系统下企业内部控制风险防范措施

■ 吴春明

（广安铭鸿环保科技有限责任公司）

引 言

企业采取ERP系统，在一定程度上增强了整体经营效率，提高了企业核心竞争实力。如今，ERP系统已成为企业经营管理时不可或缺的组成内容，ERP系统具有高效及稳定的特点，直接关乎企业生存情况，但在应用过程中，仍需不断优化该系统设施，以便能进一步保护系统安全。在具体工作过程中，要求企业审视ERP系统支持下的内部控制工作情况，预防相关风险，并制定有效的防范措施，完善对应的信息安全产品，并推出与信息安全教育有关的活动，帮助相关人员增强安全风险防御意识，为ERP系统在企业内部控制过程中的稳定运行而创造有利条件。

1 ERP系统对我国企业内部控制的影响

ERP系统是企业资源计划（Enterprise Resource Planning ）的简称，是针对物资管理（物流）、人力资源管理（人流）、财务资源管理（财流）、信息资源管理（信息流）集成一体化的企业智能化管理平台。它对于改善企业业务流程、提高企业核心竞争力具有显著作用。

1.1 使管理区域扩大

随着ERP系统的使用，企业信息系统内容愈加复杂，涉及人事、财务以及生产等内容，属于综合性财务系统[1]。ERP系统拓展了内部控制的范围，它既能保证会计资料的完整性、给领导决策提供依据、提高工作效率，明确的权责分离，防止浪费和舞弊，又可持续扩大企业的内部管理工作影响范围。在开发系统、调节系统权限以及保障网络系统安全等方面，均可发挥一定作用。与此同时，还可弥补人为输入数据以及人工使用会计软件遗留的缺陷，提高管理及维护效率。这样一来，即可发现计算机操作者和维护者之间属于牵绊的关系，而系统维护人员系统管理人员以及计算机操作人员，各岗位职责也被融入于内部控制工作范围内。

在企业正常运作ERP系统模式时，ERP系统内部控制范围要比传统模式控制范围更加广泛。ERP系统的应用，为企业内部控制带来了新的机遇，在ERP支持下，通过辅助计算机技术，可以充实内部控制工作内容，将内部控制范围延伸至系统权限控制以及网络安全控制等领域，而且还能监控及修改相关系统内容，令企业内部控制得以全面发展。因此，和计算机技术有关的工作人员，要明确自身岗位责任，重新规划内部控制工作内容，以便能持续优化岗位责任制，令岗位责任愈加精准，发挥实际作用。

1.2 使内控形式变化

在应用ERP系统后，无需通过“账账相符”以及“账证相符”等方式明确会计凭证是否具有准确性，只要结合原始数据，将其输入到计算机内，便可全面共享会计数据，生成各种各样的账表。这种情况下，内部控制方法有所转移，逐步渗透到计算机内部。通过计算机软件，可以核对总账余额，并且进行试算平衡检查。因会计电算化程度不一程，序化控制数量有一定差距，随着电子化程度的提高，涉猎的程序化控制步骤也会变多，这就意味着内控形式会随着外界形势而不断变化。

1.3 使内控核心转移

受ERP系统的作用，会计工作的很多内容，都通过计算机系统展开处理。这种背景下，与传统会计内部控制相比，ERP系统支持的企业内部控制重点发生了转移。因此，在控制重点方面，要注重控制人机交互以及输入输出会计信息的精准度，当然还要控制计算机系统连接情况等。在电算化系统应用时，电子数据主要是采用快捷软件处理原始数据，输入数据正确程度和输出数据正确性间有一定关系。只有保障输入的数据足够真实、可靠，才能保证输出数据质量。除此之外，需要由专业人员负责管理及维护计算机系统，严格控制计算机系统密码，划分具体管理人员权限，并且维护及排除计算机硬件、软件相关故障，这些均属于内部控制的重要步骤，可在一定程度上保障会计数据完整性以及安全性。

2 ERP系统下企业内部控制现存的风险因素分析

2.1 ERP软件功能与企业实际需求不匹配

ERP系统实质上是管理的载体，将企业的管理流程固化在软件中，对于一些小企业、初创企业其业务量不大，对数据的存档、记录方式比较单一。还有一个原因ERP软件是面向大多数用户开发的，有些饲料行业给客户的销售折扣的种类比较多，导致软件与企业的实际需求不匹配。

2.2 数据准确率以及安全防护问题凸显

某些企业过度依赖ERP系统，这会使他们经常忽略了数据的准确性，殊不知系统极有可能在处理数据过程中出现错误，或者直接处理本身便具有瑕疵的数据信息。如果系统的有关安全控制处于无效状态，则会增加关于数据信息非授权访问风险，这种风险的出现，极有可能导致出现虚假交易的请求，无法发挥拒绝虚假交易请求的处理功能，不能改变系统内数据出现的各种不适情况[3]。在数据外部防护方面，企业达不到规范要求。可能造成数据丢失或数据无法访问的风险，如系统瘫痪。

2.3 多模块整合处理不规范

使用ERP系统，可以高效应用企业资源、整合资源，保障板块与板块间密切合作，促使数据能在系统内部有效传递与共享。处理数据的方法，会在ERP系统实施过程中出现改变，企业原本业务流程管理思想和模式，不符合现有业务管理需求，如果多模块整合处理不规范可能导致数据混乱，系统内部的信息无法与其他企业或部门的系统整合。

2.4 作业人员操作素养有待提升

ERP系统实施要根据各个企业的业务特点制定项目目标，这就对人才提出更高的要求，需要既懂财务会计，又能熟悉公司业务的复合型人才与各职能岗位协调和沟通。但目前大多数公司的实际情况是由不懂信息化和公司业务的财务人员负责实施。导致ERP系统成了财务管理的工具，业务功能模块，信息的准确性和有效性得不到保证。个别企业并未深刻意识到ERP系统在企业内部控制过程中发挥的作用，同时由于不熟悉ERP系统，无法及时发现出现的问题，使得他们在对而被系统进行使用时，不能够更好地运用其特性，所以应当加强对高层管理者以及相关人员的ERP系统运用的培训，这样可以更好帮助他们提升关于ERP系统的相关知识，以及专业素养这样可以更好地使他们在工作的过程中对ERP系统进行掌握。这样可以更好提升他们员工的工作效率，使他们在利用ERP系统进行工作时，能够更加快速地进行，他们在运行的过程中，应当熟练掌握对ERP系统的操作与检查，使内部控制人员通过从人到电脑进行转变，使员工们掌握具体的财务核算知识，以及一些管理知识更好的帮助企业进行有效的内部管理。

3 ERP系统下企业内部控制风险防范措施分析

防范ERP系统下企业内部控制风险，公司必须采取全面有效的风险应对措施，将内部控制的风险控制在可承受的范围内。下面我根据企业内部控制基本规范和配套指引，针对企业内部控制实践活动，对完善ERP系统内部控制提出几点浅见：

3.1 强调数据规范管理

加强ERP系统业务数据管理，确保数据及时、准确性，首先要建立企业内部职责分离制度。操作人员、业务部门负责人、复核人员职责划分明确。

操作人员录入数据的同时采取日志形式做好记录，这样既为自己提供了再审核的机会，也是对自己录入数据的备份。相关业务操作者对上道工序数据质量进行检查，对不符合要求及流程的数据及时反馈给上道工序。特别是对异常数据，要求相关责任处理。

3.2 做好安全防护工作

应依据ERP系统的特点和确定的安全目标，打造完善的安全架构体系。参照系统功能特点，预测极有可能出现的各种安全风险，科学划分每一安全区域，并且规定网络设施范围、安全设施范围以及共享信息资源范围各种情况，实时监控网络运行状态。关于各区域权限用户名称，需要按照具体职能进行细致规范，并且加强统一设置，进一步明确相关区别。

针对系统平台，要采用有效的防护手段，以便能真正保护设备以及网络运行安全。结合企业内部实际业务，针对ERP系统展开补丁升级以及二次开发处理工作，适当添加实时监测功能，而且要重点预防木马病毒，修补相关漏洞，完善具体控制功能，针对重要接口进行修补以及安全扫描，进而不断完善软件和硬件功效。在具体实践时，要格外控制身份认证访问控制信息完整度以及保密度，而且要记录日志，实时监控系统运行状态。创建完备的入侵检测系统和防火墙系统，重点防范恶意攻击行为以及木马病毒。这就需要采用先进的网络安全技术，并针对相关的安全产品加以升级，参照安全操作规范，加大用户管理力度，重视管理外来移动储存设备，并定期检测ERP系统软件和硬件设备的运作情况。因ERP系统运作过程中，极有可能存在硬件及软件故障问题，一旦出现这些现象，就会导致数据被丢失，致使数据库承受前所未有的安全风险。为了防止数据出现丢失情况、泄露情况，就要重视保障系统和数据安全性，这就需要定期针对数据库中的信息进行备份处理，把离线备份数据储存至金属柜内，而且要重视防雷击、防火、防盗保障工作。如果条件允许，可以设计机房环境异地容灾备份系统以及环境监控系统。

除了上述信息安全技术方面的投入与支持，企业还需要重视规范具体人员的行为，针对人员方面展开安全管理。一方面，要在企业内部，创建严谨的规章机制，在各项工作执行过程中，要严格参照规章制度执行下去，并定期进行检查与考核。另一方面，企业需要在内部控制工作进行时，组织相关的管理机构，明确每一部门及每一工作环节的具体职责，并将相关职责落实在个人身上，促使各部门、各岗位人员理清工作任务，能够各司其职，明确监管权限，并加强用户登记，严格核准各大事件操作内容及程序，并重视优化工作日志，防止出现越权或非授权操作问题。

3.3 提高多模块整合性

ERP 系统包括多个模块：基础资料、采购管理 销售管理 库存管理 生产管理 、存货核算 成本核算 财务方面：固定资产 现金 应收管理 应付管理 薪资 预算管理 总账。ERP中提供了很多模块，很多单据，系统环环相扣，比如付款业务，需要先录入采购订单并审核、再去做下一步的收货（送货单），收货完成后才可以申请付款，如果上一环节的数据出现错误，会直接影响到后续环节数据的准确。企业要结合各岗位职责的划分对各操作人员进行技能培训。按照统一的流程规范化管理，提高多模块整合性。

3.4 内部信息与沟通显得非常重要

ERP系统使企业的内部信息与沟通更快捷方便。我们要按我国《企业内部控制基本规范》要求建立内部控制相关信息与沟通制度。加强信息的及时、有效传递。将内部控制与ERP系统有机结合，防范企业内部控制中的风险。

3.5 强调人员素质建设

ERP系统是企业信息资源高度整合的平台，对人员的要求较高。企业要加强对操作人员的整体素质培训，全面培育企业内部现有员工定期展开操作培训活动及安全风险教育活动，带领相关人员学习安全操作行为规范，促使其掌握完善的信息安全知识防范方法，能够胜任岗位工作，真正加强所有操作人员风险防范能力。只有这样，才可以全面贯彻落实好各项控制制度，防范风险。

4 结 论

综上所述，在当代企业日渐发展过程中，传统内部控制模式已跟不上现代企业发展的脚步，比如生物科技类企业在发展过程中，需要投入众多资金用于研发费用方面，极有可能出现重大风险事件，所以要及时预测风险，这就要求企业不断调整及优化内部控制管理风险体系，而现如今，ERP系统是企业信息管理平台中最适合在企业中进行信息管理的一个系统，通过ERP系统可以更好地对企业内部控制风险进行防范，全面达到防范风险的目的。ERP系统可辅助企业内部控制工作的落实，所以ERP系统在企业内部控制中应当受到重视，ERP系统是时代发展的产物，能够帮助企业及时识别以及预防风险，使企业能够更加健康的发展。