探索企業在ERP環境下如何施行內部控制

（中信大錳礦業有限責任公司，廣西 南寧 530023）

探索企業在ERP環境下如何施行內部控制

張龍珠

（中信大錳礦業有限責任公司，廣西 南寧 530023）

隨著我國信息化技術的迅速發展，ERP系統在企業范圍內得到了廣泛的推廣，其將企業經營業務整合貫通，通過業務流程和信息數據的有效集成，提高企業的經營效率和效果。ERP系統的應用使得企業內部管理方式發生了較大的變化，為企業施行內部控制提供了機遇和挑戰。本文首先闡釋了內部控制的定義和施行的必要性，其次分析了ERP環境下實施內部控制的利與弊，最后提出了相應對策。

內部控制；ERP系統；ERP環境；內部管理。

一、內部控制的定義和施行的必要性

1、內部控制的定義

《企業內部控制基本規范》中對內部控制做了如下定義：內部控制是由企業董事會、監事會、經理層和全體員工實施的、旨在實現控制目標的過程。

2、內部控制施行的必要性

（1）法律法規的要求。根據財會〔2008〕7號文“關于印發《企業內部控制基本規范》的通知”的要求，自2009年7月1日起，在上市公司范圍內開始施行《企業內部控制基本規范》，鼓勵非上市的大中型企業執行。

隨后，在2010年4月15日，財政部又會同證監會、審計署、銀監會、保監會制定了《企業內部控制應用指引第1號——組織架構》等18項應用指引、《企業內部控制評價指引》和《企業內部控制審計指引》（以下簡稱企業內部控制配套指引）（財會〔2010〕11號文），要求自2011年1月1日起在境內外同時上市的公司施行，自2012年1月1日起在上海證券交易所、深圳證券交易所主板上市公司施行；在此基礎上，擇機在中小板和創業板上市公司施行。鼓勵非上市大中型企業提前執行。

（2）企業管理方面的需要。相信美國安然公司破產案件給許多企業帶來不少警示，國內外也不乏因為內部控制缺失或執行不到位導致企業破產的案例，越來越多的企業意識到實施內部控制的必要性和重要意義。由于內部控制推行較晚，目前我國的內部控制現狀較國外先進水平尚有較大的差距，但內部控制的作用逐步顯現，許多企業已開始主動建立內部控制體系，合理防范企業在經營管理中存在的風險，提高自身的競爭能力。

二、ERP的概念

ERP（Enterprise Resource Planning）是企業資源計劃的簡稱，是1990年美國高德納集團（Gartner group）在信息技術詞匯表中提出的定義，即ERP是一個描述下一代制造經營系統和制造資源計劃（MRPⅡ）的軟件，它在MRPⅡ原有的基礎上擴展了業務流程管理、人力資源管理等管理范圍，把企業內外部資源有機的整合在一起，進行綜合的平衡和優化，使企業資源發揮最大的經濟效益。目前我國各類軟件商在不同程度上推出了各類企業資源計劃管理系統，能夠滿足不同類型需求的企業實現優化資源管理的目的。

三、ERP環境下實施內部控制的利與弊

1、有利方面

（1）利用ERP系統可使內部控制更全面。ERP系統是一個高度集成的信息化系統，通過對企業橫向或縱向經營活動的整合，包括了企業的生產、采購、物資管理、人力資源、財務等等的業務活動，形成了企業高效化的經營。ERP系統覆蓋的業務范圍與企業內部控制的范圍保持一致，企業可以利用ERP這個平臺實施完整的內部控制，對各項業務環節采取控制措施，從而實現全方位全過程的控制，避免了要利用多個信息系統才能實施內部控制的麻煩。

（2）ERP系統是強化內部控制的有效工具。傳統的人工控制因受到員工的主觀因素、控制的環境條件和控制方法等方面的制約，使得內部控制不能得到正確、一貫的執行，內部控制的有效性大打折扣。而通過ERP系統執行的自動化，使得內部控制具有較大的強制性，系統設計的流程是企業必須遵守的標準，員工不得不在規定時間點按照系統設計的控制流程執行操作。可以說，ERP系統是企業有效執行內部控制的工具和手段。

（3）使用ERP系統可以使內部控制更高效。在ERP系統中，所有的資源、業務和流程均在系統中得到整合，這為企業提取內部控制的數據提供了一個便捷的平臺。由于系統自動對數據進行校驗，可以省略人工控制的工作量，規避人工操作容易出現錯誤的問題，內部控制工作效率可以得到很大的提高。因為是系統標準化流程，控制過程一目了然，且控制活動自動量化，管理人員可以直觀通過系統流程判斷關鍵控制點，選擇具有代表性的樣本量，內部控制管理工作可操作性強，并且有據可依。

2、存在的弊端

（1）系統安全性較差。網絡安全隱患一直是當今社會非常關注的問題，信息系統數據面臨著來自多方面的威脅。ERP系統集合了企業大量的數據信息，如果網絡遭到來自外部的惡意侵入，將會導致企業發生嚴重的損失。如何確保企業系統數據的安全性是實施ERP系統時不得不考慮的問題。

（2）流程再造可能存在的問題。ERP系統在操作方式、功能方面與傳統的經營管理模式存在較大的差異，原有的業務流程已經不符合ERP系統的要求，這就要求企業重新進行流程設計，以使ERP系統能夠發揮最大的效益。為了實現業務活動的事前、事中、事后控制，企業必須對所有制度流程進行全面梳理和完善，一方面流程再造必定花費大量的人力物力；另一方面在制度流程梳理過程中，可能會因為員工的素質能力較差而導致流程不適用或管理低效。另外，系統流程設計需要不斷地進行變更。

（3）員工對系統存在抵觸。手工控制時代由于缺乏有效的監督手段，管理較差的企業可能存在部分控制活動未能執行，自動化控制后必將要求員工按照既有的流程開展工作，每個環節必不可少，這就使得一些員工會認為使用ERP系統反而增加了工作量，業務流程冗長，對信息系統產生抵觸情緒。在系統建設初期，這樣的負面情緒會直接影響流程設計的效果。

四、針對存在的弊端采取的措施

1、加強信息系統安全控制

首先，企業要加大信息系統的安全控制措施，具體手段有：在系統設計開發階段充分考慮可能存在的系統漏洞；減少后續操作人員的參與；聘請第三方機構對信息系統開發全過程進行監督；在系統測試、修改和二次開發過程中應當對操作人員進行恰當的授權后方可操作。其次，及時對系統技術進行更新升級，修補系統漏洞，完善系統功能設計。再次，加強員工信息安全教育，多進行網絡安全培訓，定期備份系統數據，定期檢查系統用戶權限，妥善保管系統檔案數據，確保系統在安全的環境下運行。

2、提高流程再造的效率和效果

流程再造亦是流程設計，它是一個復雜和漫長的過程，更新流程是否合理直接影響內部控制的施行效果，關系到企業經營目標能否實現。流程再造過程中如能使用恰當的方法，將使企業能夠迅速達到預期的效果，企業正常的經營活動不受影響，但目前尚沒有一套標準的流程再造的方法和步驟。筆者曾組織開展過多次內部控制體系建設，通過多方面的學習和經驗積累，總結了流程再造過程需要進行的如下五個步驟。

（1）梳理業務流程，進行流程評估。全面梳理ERP系統中每一項業務流程，繪制流程圖，判斷各項流程的設計是否能有效防范風險的發生、是否具有可操作性。

（2）識別和評估ERP環境下可能存在的風險。充分了解企業現階段內部控制環境和ERP系統環境，可采用行業風險組合清單、職能部門風險匯總、頭腦風暴、SWOT分析和問卷調查等方法識別可能對公司產生影響的重大風險，重點關注新的風險。

（3）識別關鍵控制點。依據流程梳理情況，對機構及崗位的設置進行分析，確定各個關鍵控制點。

（4）合理設置崗位和權限。根據識別的各項風險點和業務流程環節，合理設置崗位，使其能夠相互制約，做到不相容崗位相互分離。恰當授予崗位權限，確保信息系統的安全。

（5）確定合理的內部控制實施方式。企業需要根據自身的發展情況，針對各項控制活動合理選擇恰當的內部控制實施方式。目前內部控制的基本方式主要有組織規劃控制、授權批準控制、預算控制、實物控制四種。可以選擇一種或同時選擇兩種以上的控制方式。

3、改變員工固有的觀念，強化內控環境

通過對員工進行技術培訓、內部控制知識培訓，提高員工的專業素養、內控意識和團隊精神等，改變長期施行手工控制形成的固有做法，充分發揮員工個人的潛能。企業也可以建立激勵和考核機制，在調動員工積極性的同時，對員工業績完成過程進行監督，保證企業和員工個人業績均能按照計劃完成。

五、結束語

在ERP環境下施行內部控制是信息化發展的必然趨勢，為企業有效實施內部控制提供了更好的條件。本文通過對ERP環境下施行內部控制的利弊情況進行研究和分析，并有針對性的提出了應對策略，企業需要在權衡利得損失的情況下采取措施，同時還要定期對系統流程進行評估更新，必要時進行流程調整，使系統流程更能適應環境的變化，內部控制得以有效實施。

[1] 劉永澤、池國華：企業內部控制制度設計操作指南[M].大連出版社，2011.

[2] 李三喜、徐榮才：基于風險管理的內部控制：設計流程、設計實務、設計模板[M].中國市場出版社，2013.

[3] 白曉松：ERP原理與實施[M].西南財經大學出版社，2011.

[4] 財政部會計資格評價中心：高級會計實務[Z].2016.

[5] 關于印發《企業內部控制基本規范》的通知（財會〔2008〕7號）[Z].

[6] 關于印發企業內部控制配套指引的通知（財會〔2010〕11號）[Z].

（責任編輯：張瓊芳）