基于ERP系统环境的企业内部控制研究

李豆豆 洛阳有色矿业集团有限公司

引言

随着企业之间的竞争日益激烈，企业越来越意识到内部控制的重要性，通过完善和优化企业管理工具和方法，可以有效提高内部控制效率和质量，而ERP系统就是帮助企业做好内部控制工作的工具。ERP系统是将企业的物流、现金流和信息流进行一体化管理的信息系统，可以利用信息技术将企业所有内部资源进行整合并优化配置，促进企业内部控制的落实，确保企业的各项活动都按照计划一步步落实，最终实现企业计划和战略目标。本文简单分析了ERP系统和内部控制的概念、特点以及两者的关系与影响，并从企业内部控制制度、ERP系统与业务融合的程度、ERP系统信息安全隐患三方面分析了目前ERP系统环境下企业内部控制存在的问题，针对这些问题提出改进对策，来促进ERP系统在企业内部控制工作中的应用。

一、企业ERP系统与内部控制的关系

（一）企业ERP系统是内部控制的工具和途径之一

ERP系统在建设前需要对企业全部的内部控制流程进行顶层设计和优化，来确保ERP系统能够真正帮助企业落实内部控制制度，做好各方面的工作，确保企业发展计划和目标的实现，因此ERP系统可以成为企业内部控制的有效工具。随着企业发展计划和战略目标的改变，企业内部控制制度和内容也会发生改变，ERP系统的内容和方法也要做出优化调整，满足内部控制对高效优质信息资源的需求。

（二）企业ERP系统是内部控制的对象

ERP系统是为了优化企业内部物流、现金流和信息流的一体化管理而设计出来的，内部控制也是总管企业物流、信息流和现金流在内的各类资源的，因此ERP系统和内部控制具有相同的功能，而且内部控制包括ERP系统的建设工作，因此ERP系统是内部控制的对象。通过内部控制来完善优化ERP系统是现代企业内部控制的重要内容，因为ERP系统是由计算机、软件和网络构建而成的，在操作过程中难免会出现错误，而且ERP系统也会受到网络病毒和网络黑客的侵扰和破坏，会给企业造成巨大经济损失，因此需要通过一系列内部控制措施来确保ERP系统的安全运行，降低ERP系统的操作风险和入侵风险。

（三）企业ERP系统是内部控制的体现和要素

ERP系统是根据企业的发展计划、发展目标、组织架构、内部控制制度在内的各项管理制度来建立的信息管理系统。利用ERP系统可以对企业供应链、资金链的数据信息进行实时采集，并及时对数据信息进行分析，及时了解企业各流程各环节的工作情况，也可以及时消除各流程各环节中存在的隐患，确保企业资金流和物流正常周转。内部控制的目的也是通过一系列的内部控制手段来做好企业生产管理的事前、事中和事后管理与控制，因此ERP系统和内部控制具有相同的功能，ERP系统的管理目标与内部控制的管理目标一致，而且ERP系统能够帮助企业实现内部信息的高效传递以及各项流程的优化，所以ERP系统也是现代企业内部控制不可或缺的一部分，是现代企业内部控制自动化和信息化的重要体现。

二、企业ERP系统对内部控制的影响

（一）促进内部控制制度的完善

企业通过ERP系统可以提高内部控制效率和质量，能够不断优化和完善内部控制制度。在构建实施ERP系统前，企业可以将内部控制所涉及的各项内容、流程和操作都嵌入到ERP系统中，从而实现内部控制的信息化和集成化管理，这样可以对内部控制各项工作进行动态化跟踪管理，及时发现问题并解决问题，不断改进完善内部控制制度。

（二）扩大内部控制范围

利用ERP系统可以将企业的物流、现金流和信息流三大模块打通，实现三位一体化操作，这本身就比传统的内部控制模式具有更加广泛的应用性，也正是因为ERP系统的三位一体化的操作，使得内部控制的内容更复杂、流程更烦琐以及内部控制风险概率也有所增加，这是ERP系统促进内部控制范围增加的一个侧面体现。

（三）促进内部控制的智能化

ERP系统本身是基于信息技术、大数据技术和人工智能技术开发出来的信息管理系统，它具有自动收集、筛选、识别、分析和监控各项数据信息的功能，能够实现信息流的自动化和智能化管理。ERP系统作为内部控制的一部分，也极大地带动了内部控制的信息化和智能化的进程，使得企业内部控制更加智能化。

（四）促进内部控制模式的成熟

传统的内部控制模式是人工手动模式，内部控制的信息收集整理和数据分析都是需要人工操作，而且内部控制数据信息的载体多是纸媒，不容易保存，需要占用大量空间，也不容易传递，需要人工传递，使得内部控制工作需要消耗大量人工成本和空间成本。而利用ERP系统则可以将内部控制模式从人工手动模式转变为人工智能模式，利用大数据技术和人工智能技术自动收集整理和分析各类数据信息，而且这些数据信息都以网络传播，并以计算机硬盘的形式存储下来，无须耗费大量人力、物力、财力，提高了信息传递效率，节约了内部控制成本，使得内部控制模式更加成熟完善。

三、企业ERP系统环境下的内部控制存在的问题

（一）企业内部控制制度不完善

目前很多企业在构建和应用ERP系统时，尚未形成完善的内部控制制度，内部控制内容大多是财务工作，即只注重资金流的管理，忽略了物流和信息流的管理，导致ERP系统的应用并没有实现三位一体化效果，物流和信息流的建设没有跟上资金流的建设，导致物流部门和信息部门的工作掣肘财务部门的工作，尤其是ERP系统中的各类数据信息难以做到及时共享，各部门产生的各类信息也难以及时上传到ERP系统中，导致ERP系统中的信息不全面，存在较重的滞后性，容易导致内部控制混乱，影响企业最终的战略决策和企业计划的制定。

（二）ERP系统与业务融合程度不够

很多企业在构建ERP系统前没有对企业各个业务流程进行系统化的评估和分析，没有弄清业务流程融入ERP系统的思路与方案，使得业务数据信息在录入ERP系统中时难以高效录入，很多业务数据信息与ERP系统中的业务流程不匹配。ERP系统在实施过程中也会存在业务流程与系统冲突的问题，业务流程逻辑与ERP系统中的操作逻辑不符，业务中的各项数据信息无法与ERP系统兼容，更无法在ERP系统中实现高效的传输、存储和分析，难以实现物流、资金流和信息流三位一体化管理，这样企业领导就无法及时全面准确地获得业务数据信息，也就难以在制定企业计划和发展战略时得到有力的数据信息支持，影响企业计划和发展战略制定的质量和效率。

（三）ERP系统信息安全存在隐患

ERP系统中包含了企业的各类重要信息，例如企业组织架构、岗位人员信息、研发成果、产品信息、财税数据信息和客户信息等，如果信息泄露则会给企业造成不可估量的损失。因为ERP系统连接互联网，就会遭受互联网的病毒和恶意程序的攻击，导致企业ERP系统中的重要数据信息泄漏或丢失，还有一些网络黑客可以直接入侵企业银行账户，盗取企业资金，严重影响企业资金安全和信息安全，给企业造成不可估量的经济损失。而且网络犯罪不容易留下犯罪证据，难以对此类犯罪进行高效的预防和侦破，这也增加了企业安全管理风险。很多企业内部控制制定不完善导致ERP系统的信息安全风险源自于企业内部，例如财务管理人员的不当操作或无良财务管理人员的不法操作等，都会使ERP系统面临信息安全风险。

（四）内部控制管理绩效考核机制不完善

ERP系统在企业内部控制的应用过程中会涉及ERP系统某个模块的操作人员管理，ERP系统管理人员属于内部控制人员范畴，但是很多企业没有对ERP系统操作人员进行绩效考核，疏于对ERP系统操作人员的管理，导致ERP系统各模块各流程的权责不明，出现问题难以找到相关责任人。而且对ERP系统操作人员在内的内部控制人员的考核范围、考核依据、考核标准等内容都不够明确和统一，难以做到对ERP系统操作人员进行科学高效的绩效考核。而且企业对ERP系统操作人员的绩效考核结果利用率较低，没有通过对ERP系统操作人员和内部控制人员的绩效考核来发现问题并解决问题，难以不断完善和优化内部控制制度和ERP系统。

四、企业ERP系统环境下的内部控制改进对策

（一）完善基于ERP系统的内部控制制度

首先，建立ERP系统岗位制度。ERP系统可以根据各部门各岗位分为财务会计、人力资源、供应链管理和产品制造等诸多模块，并由各部门负责人来负责各模块的管理工作，这样才能明确各岗位职责，利用ERP系统来做好各部门各岗位的内部控制工作。

其次，建立ERP系统操作制度。ERP系统在操作过程中要注意各模块的责任人与注意事项，选择好各模块的负责人之后分配工作任务与权责，然后各模块责任人在规定范围内做好本职工作，不得越权干预其他部门和其他模块的工作。而且ERP系统操作人员要遵守保密协议，不得向外人透露ERP系统中的各类数据信息。

最后，建立ERP系统信息反馈制度。为了确保企业运营过程中存在的问题及时被发现并解决，需要建立ERP系统信息反馈制度，利用ERP系统的信息智能筛选和信息分析功能，可以高效分析出企业运营过程中存在的财务管理、供应链管理和人力资源管理等方面存在的问题，ERP系统操作人员要通过系统反映的数据信息来及时了解企业内部控制存在的问题，并联系相应部门的人员解决问题，充分利用ERP系统反馈的风险信息。

（二）加强ERP系统与业务的融合

要想实现ERP系统与业务流程的真正融合，需要做好以下工作。首先，在ERP系统启动前要明确与企业各项业务融合的目标与效果。这需要企业选择合适的ERP系统供应商或者设计者，确保ERP系统的各模块与企业各业务能够完美融合，确保ERP系统中的数据信息能够及时共享到各业务活动的开展中去，确保业务流程所需的各项信息都能在ERP系统中找到，也确保企业各业务都能够通过ERP系统进行协调和联系。其次，建立ERP业务监督小组，由该小组来负责ERP系统与各业务之间的监督协调工作，促进企业各业务与ERP系统的全面融合。要加强ERP系统中的业务数据信息的利用，提高ERP系统中数据信息的利用率。

（三）加强ERP系统的信息安全保护

ERP系统因为与互联网连接，就必然会受到互联网中恶意程序和病毒的骚扰和侵犯，为了确保企业ERP系统安全，降低企业安全管理风险，就要加强ERP系统的网络安全工作。最常用的ERP系统保护方法是利用防火墙技术做好信息安保工作。防火墙技术是在内部网络与外部网络之间采用信息安全处理技术来将没有访问权限的数据信息排除在外，防止外部网络中的病毒和黑客入侵内部网络，窃取和篡改内网数据信息，从而达到保护企业数据信息安全的目的。防火墙技术的缺点在于定期对防火墙进行更新和升级，因为网络病毒不断升级换代，防火墙具有针对性，难以预防新型网络病毒，因此企业要通过内部控制来做好防火墙技术的更新换代工作，建立完善的ERP系统信息保护机制，设置专业的网络安全人员来定期做好ERP系统维护和信息保护工作。

（四）完善内部控制绩效考核制度

要将ERP系统的各项操作以及内部控制工作的落实纳入绩效考核中。首先，要对ERP系统的操作人员进行绩效考核，将ERP系统按照部门分为各模块，各模块由各部门负责人负责，各模块具体细节内容则由负责人分配，将各岗位人员在ERP系统中的职责以工作汇报的形式提交到人力资源管理部门，人力资源管理部门对各岗位人员进行绩效考核。其次，制定完善的绩效考核流程和标准。企业要想真正将ERP系统应用到内部控制中去，就要制定与ERP系统相适应的绩效考核标准体系，确保内部控制人员和ERP系统操作人员的绩效考核更加科学合理，能够激发企业员工的工作热情，并做到赏罚分明，只有这样才能落实好企业的内部控制工作。

结语

信息时代ERP系统对于企业内部控制工作的落实具有巨大的辅助作用，而且ERP系统与内部控制本身就是互相促进和互相包容的，ERP系统的建设是企业内部控制的一部分，同时ERP系统能够助力内部控制，提高内部控制效率和质量，扩大内部控制范围，完善内部控制环境和制度。企业应该利用ERP系统的物流、信息流和资金流三位一体化管理模式来提高业务管理效率，同时也要注意ERP系统的信息安全管理，利用完善的绩效考核制度来激发内部控制人员和ERP系统操作人员的工作热情，确保基于ERP系统的内部控制的落实。