ERP系統(tǒng)環(huán)境下對企業(yè)內(nèi)部控制的探索與思考

張梅

摘 要 當(dāng)今社會全球經(jīng)濟一體化的速度越來越快，設(shè)計并執(zhí)行一套高水準的企業(yè)內(nèi)部控制管理體系，能夠幫助企業(yè)減少經(jīng)營風(fēng)險、提升運營管理水平。ERP系統(tǒng)以信息技術(shù)為基礎(chǔ)，將先進的管理思想和模式結(jié)合起來，促進企業(yè)內(nèi)部控制不斷得到創(chuàng)新和優(yōu)化。本文首先闡述內(nèi)部控制的基本概念，分析ERP系統(tǒng)與內(nèi)部控制的關(guān)系，其次深入探討目前企業(yè)使用ERP系統(tǒng)時內(nèi)部控制中普遍存在的問題，最后提出改進內(nèi)部控制的策略和建議，為企業(yè)實現(xiàn)長期健康發(fā)展提供新思路。

關(guān)鍵詞 ERP系統(tǒng) 內(nèi)部控制 風(fēng)險意識

當(dāng)今社會信息量爆炸式增長，各行各業(yè)信息的獲得和應(yīng)用渠道越來越廣泛，為了適應(yīng)市場環(huán)境并從中爭得一席之地，大部分企業(yè)或多或少都采用了ERP信息管理系統(tǒng)來實施內(nèi)部控制，并取得了成效。但有些企業(yè)在運用ERP系統(tǒng)時，與內(nèi)部控制出現(xiàn)了違和甚至矛盾，因此對兩者進行深層次的研究和分析尤為重要。基于此，本文對ERP系統(tǒng)環(huán)境下企業(yè)內(nèi)部控制存在的問題及對策進行研究，以幫助企業(yè)根據(jù)自身情況將ERP系統(tǒng)與內(nèi)部控制有效銜接，充分發(fā)揮內(nèi)部控制應(yīng)有的作用。

一、企業(yè)內(nèi)部控制的內(nèi)涵及與ERP系統(tǒng)的關(guān)系

企業(yè)內(nèi)部控制是企業(yè)為了實現(xiàn)控制目標，保證經(jīng)營管理活動正常有序、合法開展，由董事會、監(jiān)事會、管理層和全體企業(yè)員工共同采取的，對財務(wù)、人、資產(chǎn)、工作流程進行有效監(jiān)管的系列活動。企業(yè)內(nèi)部控制的目標是保證企業(yè)資產(chǎn)、財務(wù)信息的安全性、準確性、真實性、有效性、及時性，保證對企業(yè)員工、工作流程、物流的有效管控，建立對企業(yè)經(jīng)營活動的有效監(jiān)督機制。內(nèi)部控制主要由控制環(huán)境、風(fēng)險估測、控制活動、信息與交流、內(nèi)部監(jiān)督五要素組成。

ERP系統(tǒng)是企業(yè)資源計劃（Enterprise Resource Planning）的簡稱，是指建立在信息技術(shù)基礎(chǔ)上，集信息技術(shù)與先進管理思想于一身，以系統(tǒng)化的管理思想，為企業(yè)員工及決策層提供決策手段的管理平臺。ERP系統(tǒng)與企業(yè)內(nèi)部控制可以說是互相融合、相輔相成。ERP系統(tǒng)是內(nèi)部控制的具體表現(xiàn)形式，內(nèi)部控制在借助ERP系統(tǒng)實施的同時，又能不斷發(fā)現(xiàn)問題并予以完善，提高效率。

二、ERP系統(tǒng)下內(nèi)部控制存在的問題

隨著ERP系統(tǒng)的廣泛應(yīng)用，暴露出了在系統(tǒng)運用與內(nèi)部控制實施之間存在的一些矛盾和問題。以下對ERP系統(tǒng)與內(nèi)部控制之間的問題進行較為深入的研究。

（一）ERP系統(tǒng)和內(nèi)部控制融合度比較低

目前大部分企業(yè)是直接購買商業(yè)ERP軟件，少部分是采用自己開發(fā)的ERP軟件。而商業(yè)軟件都是格式化的簡單流程，如果企業(yè)想在購買軟件后直接使用，并且完全匹配自身情況，只有定制才能實現(xiàn)。而企業(yè)自行開發(fā)系統(tǒng)的，經(jīng)常將重點放在設(shè)計業(yè)務(wù)流程以及整合各個業(yè)務(wù)單元及模塊上，此時內(nèi)部控制的要素就會被忽略，不能做到有效融合。以某公司為例，該公司使用了金蝶標準版、金蝶云管家版以及自行開發(fā)的ERP軟件，僅僅是為了使用各個模塊的功能，但是并沒有將幾個功能模塊融合使用，使得企業(yè)內(nèi)部控制運行效率不高。

（二）缺乏信息化人才

ERP系統(tǒng)的運用，對企業(yè)的管理人員以及審計人員在業(yè)務(wù)水平上都提出了更高的要求。在ERP系統(tǒng)環(huán)境下，需要企業(yè)相關(guān)操作人員及管理人員具備一定的計算機網(wǎng)絡(luò)知識，能夠識別系統(tǒng)內(nèi)的風(fēng)險點。如果不具備基本的邏輯知識，將無法檢查現(xiàn)有系統(tǒng)是否達到了有利于內(nèi)部控制實施的效果。

（三）企業(yè)內(nèi)部控制系統(tǒng)及數(shù)據(jù)的安全性面臨新的挑戰(zhàn)

ERP系統(tǒng)極度依賴網(wǎng)絡(luò)及軟件，因此網(wǎng)絡(luò)的安全性非常重要。如果無法保證網(wǎng)絡(luò)環(huán)境的安全，ERP系統(tǒng)不能跟隨企業(yè)情況進行及時更新及調(diào)整，將無法滿足企業(yè)要求。如2018年下半年流行的“反勒索病毒”，服務(wù)器受到黑客攻擊，誤操作造成數(shù)據(jù)丟失，這些都會導(dǎo)致ERP系統(tǒng)崩潰、無法使用。如果企業(yè)重要信息泄露，還會給企業(yè)帶來難以計算的損失。

（四）ERP系統(tǒng)下企業(yè)內(nèi)部控制五要素存在的問題

第一，內(nèi)部環(huán)境是內(nèi)部控制的基礎(chǔ)，ERP系統(tǒng)在設(shè)置業(yè)務(wù)流程即崗位角色權(quán)責(zé)時，需要依據(jù)公司的內(nèi)部環(huán)境。ERP系統(tǒng)的實施和執(zhí)行的效果，一大影響因素是公司自身的管理制度及流程，崗位角色設(shè)計規(guī)范合理。但在實際中，大部分企業(yè)僅僅根據(jù)傳統(tǒng)的業(yè)務(wù)流程進行了簡單的復(fù)制，并沒有真正思考這個流程是否合理，更沒有針對公司本身情況進行優(yōu)化甚至是重新設(shè)計。企業(yè)內(nèi)部控制和流程的設(shè)計存在先天不足，而這個恰恰是最容易被企業(yè)忽視的問題，也為系統(tǒng)以后的運行埋下了隱患。

第二，風(fēng)險評估就是量化測評某一事件或事物帶來的影響或損失的可能程度。常用方法之一是內(nèi)部控制評價法，而ERP系統(tǒng)是內(nèi)部控制的具體實施結(jié)果，因此通過評價ERP系統(tǒng)就能達到風(fēng)險估測的效果。在實際運用中，有的企業(yè)并沒有在系統(tǒng)中給出相應(yīng)的評價結(jié)果，或者雖然有部分評價但是不完善，不能全面系統(tǒng)地反映風(fēng)險程度。

第三，控制活動是指有助于確保管理層的指令得到執(zhí)行的政策和程序。通過ERP開展控制活動就是典型的自動控制。而有的ERP系統(tǒng)沒有實現(xiàn)授權(quán)、業(yè)績評價、信息處理、實物控制和職責(zé)分離等相關(guān)活動的目的，增加了人工干預(yù)。

第四，ERP作為信息集成系統(tǒng)，可以實現(xiàn)量化信息的篩選、集輸、交流，使信息交流更加便捷。目前，多數(shù)企業(yè)運用ERP系統(tǒng)所需的各種基礎(chǔ)數(shù)據(jù)的準確性和時效性較差，有些企業(yè)在ERP系統(tǒng)運行中，由于垃圾數(shù)據(jù)或者無效數(shù)據(jù)的輸入，所以輸出的信息無法共享，或者無法為使用者提供有效信息，影響了信息交流。

第五，在企業(yè)快速發(fā)展的同時，ERP系統(tǒng)也應(yīng)該不斷得到優(yōu)化和完善。當(dāng)一個企業(yè)的ERP系統(tǒng)運行了一段時間后，之前的內(nèi)控環(huán)境或者系統(tǒng)設(shè)置可能已經(jīng)不再適用。如果缺少定期的評價和監(jiān)督機制來判斷內(nèi)部控制實施和系統(tǒng)運行情況，就會使兩者的結(jié)合流于形式，無法達到既定效果。

三、ERP環(huán)境下加強企業(yè)內(nèi)部控制的策略

針對ERP環(huán)境下企業(yè)內(nèi)部控制存在的問題，本文提出如下解決策略：

（一）使ERP系統(tǒng)真正和內(nèi)部控制相結(jié)合

為了解決ERP系統(tǒng)與內(nèi)部控制結(jié)合存在的問題，企業(yè)需要做好充分的調(diào)研工作，全面梳理現(xiàn)有的業(yè)務(wù)流程，將必須由ERP系統(tǒng)實施的關(guān)鍵控制措施列出來，并要求在ERP中進行設(shè)計。如果現(xiàn)有標準模塊功能不能適應(yīng)企業(yè)需求，則可依托IT人員支持，進行一些特殊的開發(fā)，盡量減少人為調(diào)整。筆者所在公司就根據(jù)不同的客戶需求，開發(fā)了幾個類似數(shù)據(jù)巴士的功能，將各個ERP系統(tǒng)間的流程結(jié)合起來，匯總數(shù)據(jù)，以實現(xiàn)內(nèi)部控制與ERP的有效結(jié)合。

（二）不斷利用培訓(xùn)來提高相關(guān)人員的素質(zhì)

在ERP環(huán)境下，各個崗位人員都要具備一定的信息化知識。因此企業(yè)需要打造一支專業(yè)能力強、經(jīng)驗豐富、素質(zhì)高的內(nèi)外部實施團隊，最好由公司管理層總負責(zé)，依托IT技術(shù)力量，經(jīng)過各個部門的研討，確保及時高效地完成系統(tǒng)的設(shè)計、運行，也可以聘請專業(yè)顧問來避免走彎路。同時，要通過培訓(xùn)來提高相關(guān)崗位人員的操作水平，使各部門至少具有一個關(guān)鍵ERP使用人員，只有不斷提高各部門相關(guān)崗位人員的系統(tǒng)操作能力以及增強其風(fēng)險管控意識，才能保證ERP系統(tǒng)得到充分運用，達到促進內(nèi)部控制實施的作用。

（三）嚴防死守，保證系統(tǒng)數(shù)據(jù)安全

保證企業(yè)信息化數(shù)據(jù)的安全是系統(tǒng)性綜合性的工作，可以通過硬件安全、軟件安全、權(quán)限管理和數(shù)據(jù)備份來達到信息安全管控目的。首先從硬件上來說，有條件的公司應(yīng)該建立獨立的標準化機房，保證24小時不斷電，確保硬件系統(tǒng)運行的穩(wěn)定性。沒有條件的也可以通過租用專業(yè)的云服務(wù)器，達到同樣的目的。還要做好應(yīng)急事項處理，如斷電、火災(zāi)等情況下的硬件處理。其次是確保軟件安全，及時更新系統(tǒng)軟件，下載必要的補丁程序，避免后臺存在漏洞。再次是在權(quán)限設(shè)置上，要區(qū)分讀寫權(quán)限，防止人為故意或者疏忽導(dǎo)致的數(shù)據(jù)泄露以及數(shù)據(jù)刪除。最后就是重中之重的數(shù)據(jù)備份，各企業(yè)都要有完善的數(shù)據(jù)備份機制，定期或者不定期地做好全面?zhèn)浞莺驮隽總浞?，在有任何風(fēng)險發(fā)生時可以及時恢復(fù)數(shù)據(jù)，同時數(shù)據(jù)恢復(fù)也需要經(jīng)過嚴格的評估，以防錯誤的恢復(fù)導(dǎo)致數(shù)據(jù)被覆蓋。從以上4個方面著手，可以將信息化的數(shù)據(jù)風(fēng)險發(fā)生概率降到最低。

（四）完善ERP系統(tǒng)下內(nèi)部控制五要素的對策

第一，企業(yè)必須根據(jù)所使用的ERP系統(tǒng)的特點，結(jié)合各個業(yè)務(wù)模塊建立符合股東方或者投資方要求的規(guī)范的系統(tǒng)流程管理體制。比如根據(jù)采購業(yè)務(wù)特點，設(shè)計采購需求的確定、采購價格的比對、付款條款的確認等不同審批環(huán)節(jié)，做到事前、事中、事后均有控制。對核心業(yè)務(wù)環(huán)節(jié)和流程節(jié)點進行重點監(jiān)控，在保證流程運轉(zhuǎn)效率的同時將風(fēng)險發(fā)生概率降到最低。有的標準ERP在某些流程設(shè)計中已經(jīng)考慮了一般情況，企業(yè)可以根據(jù)這個反推自身流程，互相改進。

第二，在ERP系統(tǒng)中設(shè)置風(fēng)險評價功能。ERP經(jīng)過精心設(shè)計后可以進行風(fēng)險評估，并對風(fēng)險發(fā)出預(yù)警。主要體現(xiàn)在可以定期測算指標，分析各項財務(wù)指標以判斷哪些指標存在優(yōu)化的必要性。比如當(dāng)庫存原料臨界安全庫存量或者最小起訂量時，ERP系統(tǒng)提醒采購部門及時安排訂購;又如根據(jù)應(yīng)收賬款賬齡表，ERP系統(tǒng)可以生成適合各賬齡的對賬單、催款函、律師函等。利用ERP系統(tǒng)在進行風(fēng)險評估的同時，還可以利用歷史數(shù)據(jù)，通過建模評判企業(yè)過去經(jīng)營狀況，預(yù)測未來發(fā)展趨勢，促進企業(yè)更好地發(fā)展。

第三，減少人工控制。在ERP中盡量達到授權(quán)、業(yè)績評價、信息處理、實物控制和職責(zé)分離等相關(guān)活動的目的，減少人為干預(yù)。比如在倉庫收貨時，必須由檢驗員先核對實物，驗收合格后在系統(tǒng)內(nèi)確認檢驗通過，下一步流轉(zhuǎn)到倉庫人員，在看到檢驗人員確認、與實物對應(yīng)后在系統(tǒng)內(nèi)確認收貨。此時既有實物控制，又做到了職責(zé)分離，避免了人為疏忽或者干預(yù)造成的入庫差錯。

第四，提高數(shù)據(jù)準確性、有效性，增加數(shù)據(jù)共享及利用率。各部門在將數(shù)據(jù)錄入ERP系統(tǒng)時，必須做到及時、準確，這樣系統(tǒng)內(nèi)的有效用戶都可以及時共享信息。而且要鏈接各模塊中的數(shù)據(jù)，使之可以生成合并報表以滿足各使用者的需求。企業(yè)管理者可以通過ERP系統(tǒng)隨時了解公司運營情況，根據(jù)市場行情做出有利于企業(yè)的決定或者調(diào)整，使企業(yè)立于不敗之地。

第五，加強對內(nèi)部控制的評價與監(jiān)督。在ERP系統(tǒng)環(huán)境下，企業(yè)的管理層應(yīng)定期組織系統(tǒng)評估，以判定目前ERP中的內(nèi)部控制流程是否適用并達到預(yù)期目的。該項評估應(yīng)該由管理層牽頭，各部門參與，不能只是填寫一些問卷表格、流于形式。有條件的企業(yè)還可以安排內(nèi)部審計，通過分析ERP系統(tǒng)提供的數(shù)據(jù)，及時發(fā)現(xiàn)企業(yè)內(nèi)部控制存在的漏洞，對相關(guān)人員存在的違規(guī)行為，立即制止并實施相應(yīng)的措施，包括處罰。

四、結(jié)語

本文探討了ERP系統(tǒng)與內(nèi)部控制的關(guān)系，以及在ERP系統(tǒng)環(huán)境下企業(yè)內(nèi)部控制存在的問題，發(fā)現(xiàn)通過做到全面合理的流程設(shè)計、增加風(fēng)險評價功能、減少人工控制環(huán)節(jié)、提高數(shù)據(jù)的有效性和共享性、加強監(jiān)督、真正將ERP系統(tǒng)和內(nèi)部控制相結(jié)合、提高相關(guān)人員的水平、做到對數(shù)據(jù)的安全管控，就能實現(xiàn)企業(yè)內(nèi)控的目標。

（作者單位為弘柏商貿(mào)<上海>有限公司）

參考文獻

[1] 陳鵬宇. ERP系統(tǒng)下完善企業(yè)財務(wù)內(nèi)部控制管理的相關(guān)探討[J].財會學(xué)習(xí)，2017，10（21）：253-259.

[2] 朱勝輝.基于ERP信息系統(tǒng)下的企業(yè)集團內(nèi)部控制優(yōu)化路徑研究[J].中國集體經(jīng)濟，2017，12（4）：113-116.

[3] 張龍珠，張順陽.探索企業(yè)在ERP環(huán)境下如何施行內(nèi)部控制[J].當(dāng)代經(jīng)濟，2017，10（4）：225-228.