ERP系統環境下的企業內部控制研究

李國英

【摘 要】在全球經濟高速發展的今天，企業風險預測與控制要求日趨嚴格，內部控制是企業所必須的重要議題，運用ERP系統可以提升企業的管控能力，逐漸成為當前企業的一種新的管理方向。本文在分析ERP環境下加強企業內部控制的重要性基礎上，深入探討了ERP系統環境下的企業內部控制現狀和存在的問題，并針對性的提出了完善ERP系統環境下加強企業內部控制的對策措施。

【關鍵詞】ERP；內部審計；內部控制

一、引言

在全球經濟高速發展的今天，企業風險預測與控制要求日趨嚴格，內部控制是企業所必須的重要議題，運用ERP系統可以提升企業的管控能力，逐漸成為當前企業的一種新的管理方向。

1.ERP與內部控制的關系

ERP是一個針對特定企業資源進行有效共享和利用的系統，也是企業實現內部控制目標的有效工具，它除了有生產資源計劃，制造、財務、銷售、采購等功能外，還有質量管理，實驗室管理，業務流程管理，產品數據管理，存貨、分銷與運輸管理，人力資源管理和定期報告系統，它將企業的人、財、物、產、供、銷等各方面資源進行合理配置和利用，并充分發揮起效能，最終為企業實現價值最大化貢獻力量。內部審計可以利用和針對ERP對企業的運營進行監控，同時在ERP也提供了內部審計的便利和直觀可以各項資源進行集成和優化，提高財務報告的有效性和企業營運效率和效果，用內部控制先發現問題，通過ERP來解決問題、防止風險，二者在企業管理中協調統一。

2.實施ERP對企業在內部控制帶來的影響

（企業內部控制——整體框架）中確認內部控制的主要組成要素為：控制環境、風險評估、控制活動、信息與溝通、監控五大組成要素，控制環境對ERP系統參與人的權利和責任提出了具體規定，根據風險評估，在設計ERP節點時注意風險的來源，例如：人、物分離，賬、物分離，經手和復核分離以及權限管理和流程控制，根據評估的風險來應對風險，將風險可能性降到最低，ERP系統的信息及時性和溝通性是實時、直觀并相互關聯的，ERP可以對所有ERP的流程進行監控，所有操作都有痕跡，對風險的分析和管控做出依據。

二、ERP系統環境下的企業內部控制現狀和存在的問題

實施ERP確實是對企業的會計核算提供很大便利，減少會計工作，各個環節都參入核算基礎，但如果監管不嚴，流程不流暢和基礎工作不細致都會導致系統形同虛設。

1.ERP系統失敗風險

實施ERP系統對企業來說是翻天覆地的管理革命，是一場耗資大、周期長、涉及面廣的系統工程，需要成熟的組織框架，做大量的資料整理、流暢的流程設計、上下游的相互配合才能做到及時有效，任何一個環節做不到就會繼續不下去，進而失效，內控的實施也就相應成為空中樓閣，無從談起。

應用ERP后，企業的業務處理與傳統的手工處理方式有很大的差異，由于業務流程及處理方式發生變化，操作人員不能迅速地適應和重視，這樣就會產生很多不確定性，必然給企業帶來新的風險，應用ERP使企業內部控制更為自動化，這樣就會減少部分崗位，甚至出現一人多崗的情況，這樣也會增加控制風險。ERP的流程化管理，某個部門出現問題，就會直接影響到其他部門或環節的運作。例如：一種物料各個部門在各自提報時用各種物料名稱，各自添加，造成財務核算匯總不準確。再例如采購未按照程序采購，造成報銷及出入庫的體外循環都造成ERP系統形同虛設。

2.信息安全風險

ERP以信息技術為依托，網絡在企業管理中得到了更為廣泛的應用，不單純是企業內部各個部門之間，企業的異地機構也通過網絡緊密地聯系在一起，網絡環境的開放性給企業帶來便利同時也不可避免地面臨外部病毒和黑客的惡意侵襲，這就要求企業網絡系統的安全性要保障和ERP系統數據的及時備份。

在ERP系統中操作人員都有自己的權限，在各自的權限范圍內操作查詢，如果密碼泄露或黑客侵入都會將企業的核心機密泄露或被不法分子利用、更改，這樣賬務數據就會錯誤或毀壞，給內部控制帶來更大風險。

三、完善ERP系統環境下企業內部控制的對策措施

1.設計控制

設計ERP時，先確定企業組織框架、物資框架及人員授權和審批流程。建立崗位責任制，明確每個崗位的職責范圍，崗位設置可以根據企業的實際情況不同的責任劃分不同崗位，基本職能崗位可以設置為采購、生產、物流、倉儲、銷售、管理、財務、出納、融資、戰略等崗位，管理崗位可以設置為管理員、復核人、審批人、系統維護人員等，各個崗位的人員在保證數據安全的前提下交叉設置，嚴格授權和區分，相互聯系，相互制約。

建立基礎資料和框架時要考慮到管理和內控需求，根據需要設置權限，并能保證唯一。要避免日后日常操作的深入參與和避免操作者發現和利用漏洞。此外，運用對數據文件的保護和加密儲存也可以保護數據的安全，對重要的檔案進行雙備份，并存放在不同地點，并做好ERP數據的防磁、防火、防潮和防塵等工作

在修改和二次開發中要由經過授權的專業機構或人員進行，日常系統維護部門和實際操作使用部門分離，系統維護部門無權接觸實際業務活動的操作。

在硬件的保護過程中，建議使用UPS不間斷電源保護軟件的正常使用。

2.流程控制

根據設計的流程逐層審批，不能越權或提前終止，ERP可以使審批及出入庫流程清晰的體現出來，各負其責，采購部門可以根據已經批準的采購申請采購物資，保管根據采購部門編制的訂單編制入庫單，申請部門可以根據自己申請物資的入庫單驗收貨物并申請出庫使用，庫存可以實時查詢，根據權限編制和審批權限，確保輸出數據的及時性和準確性，并做到人員授權分離，杜絕職務瀆職。

通過建立ERP管理制度，明確線上操作人員根據自己的權限輸入數據正確，并經過相關管理人員復核同意，例如：在采購申請流程中未經最高領導審核同意，審核路線結束，則會發生未被同意就采購入庫并報銷的情形，如何要杜絕這種情形是流程設計和內部審計的重點。在銷售過程中，要控制銷售出庫單的打印次數，禁止可以無限制打印，防止貨物未經審核就發貨。

同時，流程設計又要避免繁瑣，在實際使用中，流程繁瑣，必輸項很多，會造成使用人不方便實施，最后以至于不用。

3.審計控制

內部審計人員為了對本單位的會計資料的公正性發布意見，必須先研究和評價企業會計資料出處的公允性，他們可以從各個部門的內部控制制度入手，在生產、采購、銷售、財務、人力資源及綜合管理等部門查找管理漏洞，識別并防范風險，差錯糾弊。審計部門應該根據ERP審批流程及科目設置方案對ERP進行不間斷監控及審計，對重要科目和披露事項以及對應的業務流程進行重點審計，先識別風險，再確定風險，并評估風險發生的可能，由于ERP平臺的直觀，審計人員根據風險發生的可能性重點監控，并在ERP數據的基礎上對實際業務進行審計。

確定風險評估的目標，例如：財務報表的錯誤、資產安全受到威脅、采購物資是否經過批準、銷售價格是否正確及銷售出庫是否經過審核以及人力資源的統計等；接下來按照流程及授權進行核對，識別風險、確定風險，評估其重要程度、發生的可能性，確定內控的優先次序，對存在、發生、完整、評估和分攤、權力與義務、表達與披露這幾個方面確定ERP系統的有效性及財務數據的正確性。

同時，根據內審結果，繼續優化ERP系統，對經常出現問題的地方進行修改或授權調整，杜絕錯誤的發生，減少風險。

四、結束語

企業內部控制是財務管理不可缺少的工作，ERP的應用要考慮內部控制的要求，ERP是內部控制的重要部分，其質量決定內部控制的成敗，因此，ERP不僅要有核算實用快捷方便之功能，也要優化流程，適合控制風險的要求，ERP環境下軟件、計算機控制體現計算內容，需要一系列的制度來規范操作人員的行為和分工，人機結合才能發揮其功能，內部控制通過設計軟件、控制計算機和對操作人員進行制度規范和權責授權來將風險控制在可以接受的氛圍內。這需要一個很長的過程，內部審計一方面可以監督執行者的行為；另一方面可以防范風險，保護投資者利益，內部控制在落實的過程中不斷發現制度及實施的是否合理，反饋信息和成立評價機制，從為企業健康穩定發展貢獻力量，ERP在財務核算的過程總將內部風險識別及控制納入系統中，即是內審的重點又是內審的工具

參考文獻：

[1]吳守富 對企業內部控制存在問題的思考與對策[J].金融經濟，2006（10）；129-130.

[2]李小鳳 建立企業內部會計控制制度的思考[J].審計與理財，2006（7）；45-46

[3]夏勇 ERP環境下內部控制系統建立與實施要點分析[J].中國管理信息化，2008

[4]張桂新 ERP環境下企業內部控制存在的問題和對策分析[J].財會界，2011