ERP系統環境下企業內部控制風險及其防范研究

商顯周

摘 要：隨著現代信息技術的發展，企業為了實現內部控制的高效化管理，ERP在企業內部得到了廣泛的使用。但ERP的效 果是否能夠體現出來，關鍵在于實施ERP企業的企業環境及其對風險的把控是否到位。本文在分析ERP系統環境下企業內部控制風險防范的重要性基礎上，深入探討了ERP系統環境下企業內部控制風險及其識別，并針對性地提出了ERP系統環境下企業內部控制風險防范對策。

關鍵詞：ERP系統 內部控制 風險防范

中圖分類號：F275 文獻標識碼：A 文章編號：2096-0298（2018）09（c）-081-02

ERP即Enterprise Resource Planning，意思是“企業資源計劃”。是由美國在20世紀90年代初提出來的理念，是指在物料需求計劃和制造資源計劃的基礎上發展起來的更高層次的管理理念和模式。這些是建立在計算機網絡基礎之上，利用現代企業先進的生產、管理理念，全面高度集中了企業各個方面的資源、信息，并為企業提供決策、計劃、控制與經營業績評估的全方位和系統化的管理平臺。從以上的定義來看，ERP系統對于現在企業來說是一種必不可少的系統。

隨著現代信息技術的發展，企業為了實現內部控制的高效化管理，ERP在企業內部得到了廣泛的使用。但ERP的效果是否能夠體現出來，關鍵在于實施ERP企業的企業環境及對風險的把控是否到位。所以做好ERP工作是現在企業的必經之路，因此探討ERP系統環境下企業內部控制風險及其防范具有重要的現實意義。

1 ERP系統環境下企業內部控制風險及其識別

1.1 不能正確理解ERP帶來的風險

無法充分認識到ERP的重要性。ERP從產生到現在才不到30年的發展時間。許多人在工作中接觸時間不長，甚至有些人根本不了解ERP。在實施ERP的過程中，認為它只是一種減少工作的工具，甚至認為它只是給財務提供數據的軟件， 更多的是將ERP當成了網絡技術的延伸層面，說白了就是把此系統僅僅定位到技術層次。而且實施ERP會改變以人的工作流程及工作方式，會讓許多人產生或多或少的不適應，因為改變固有模式本身就是一項大的挑戰。本身對ERP認知不夠，加之不想更改工作方式，這樣在實施過程中就不會有太高的積極性。別說提高工作效率，增強企業內部控制力度，就算基本的作用都難以體現出來。

與上一種情況相反，還有就是認為ERP是萬能的，過度依賴、要求ERP。上了ERP后，所有工作都會減輕。在上軟件時要求其能滿足自己所有要求，如果有一點不能滿足就對其作用產生疑問，以至于會作出阻礙甚至退出ERP的行為，造成不可預估的后果。

1.2 ERP實施過程中內部控制的管控風險

ERP系統的最終目的是為了增加控制手段的高效性和多樣性，增加內控體系的預防、檢查、修正功能。但如果在實施過程中就把相關數據輸入錯誤或者數據被任意修改，那它的內控作用就只會是表面上的控制，實質未做到真正的把控作用。所以，在ERP實施過程中，內部管控是重中之重。

1.3 運行中的網絡風險

ERP實施后的內部控制，不單純是在企業內部的各個職能科室之間，還有可能會有其他地區的分、子公司也通過網絡進行聯系。而開放性是網絡環境的一個明顯特點，企業發布的各類信息都可能會讓其他人通過網絡訪問到，由此可以看出，網絡雖然給企業帶來了便捷，但也無法避免的面臨著外部各種各樣的風險，讓企業的各類信息、相關系統受到嚴重的威脅。如果企業的內部控制系統一旦受到破壞，導致數據丟失或者損壞，將會給企業造成不可估量、不可挽回的損失。

2 ERP系統環境下企業內部控制風險防范

2.1 對ERP系統帶來的風險認識不到位的風險控制

對于不能充分認識ERP的重要性及過度依賴、要求ERP，都是由于對系統的認知不到位。解決辦法就是對工作人員進行專業知識的培訓，來提高相關人員的專業知識貯備及專業的素養，此方法是為了改變以往工作模式形成的固有工作習慣，調動每個人員的工作潛力。與此同時，公司也可以建立、建全新系統使用的考核、激勵制度，用來調動人員的工作積極性。而且也要對員工進行時時監督，以保證集體和個人都能按照既定方案、無偏差的進行運作下去。

積極有效的提高企業相關崗位人員的專業知識。ERP的實施對相關會計崗位人員素質要求更高。筆者認為只有從根本上提高會計管理人員本身的內部控制能力，企業的內部控制才會得到很好的執行。ERP的應用目的是為了讓內部控制由傳統的以人為主變成為以電腦為主。這種變化就對相關的操作人員及管理人員的計算機知識、財務知識、管理經驗提出了更高的要求，特別是對管理人員的要求更加明顯。對此，企業要通過各種手段來提高相應操作、管理人員的綜合素質。首先，增加專業知識的學習與培訓，提高人員專業知識；其次，通過各種手段，提高工作人員的綜合業務能力及專業素養。而會計部門的相關領導是關鍵崗位，對自身的專業知識更要大步提高；最后，加強相關工作人員網絡安全的意識，做好相關數據的安全處理工作。

2.2 ERP實施過程中內部控制的風險控制

2.2.1 事前預防

人員功能操作權限的合理分配：根據企業內部的人員結構、相關人員的工作崗位，明細設置每個操作人員的功能權限及其對數據的查詢范圍，并在使用后督促操作員進行修改初始密碼操作。這樣ERP系統才能保證各類數據均由被指定的操作員才能錄入；規定哪些人員能有錄入、查詢權限，哪些人員只能有查詢權限不能有更改數據權限，哪些員工只能有錄入不能有審核權限，哪些員工只能有審核權限而不能有修改數據權限等。

系統數據錄入的權限分配：初始單據的錄入是后續一切操作的唯一數據源，它的正確性直接決定了整個信息系統數據的準確性，由此可見，錄入數據時一定要保證其正確性、合法性，而且要求有真實、正確的原始單據作為基礎依據；與此同時，其他系統數據的錄入也是一樣的標準，只有這樣做，才能保證ERP系統在以后的運行及進行內部控制的有效性及正確性。

責任歸屬的劃分：把操作權限及數據錄入兩方面都做好分配后，還要把監督的權責分清楚、明確，某一具體模塊的把控以及審查、審核都要明確到具體的人。這樣有什么問題都可找到具體的負責人，這樣便于責任的區分及問題的及時解決。

2.2.2 事中控制

日常數據的錄入控制：在數據錄入前需要預先在ERP中設置好相關程序和公式，能夠合理拒絕不符合常規規范的操作和數據錄入。能夠自動完成計提、攤銷、成本結轉、費用結轉、利潤結轉等常規操作，減少手工錄入操作的失誤率。

單據審批流向的控制：單據從錄入到最后的完成需要有多人的審批。以銷售物品為例，首先外跑業務員接到定單后，只能把相關的物品數據記錄并傳遞給專門ERP數據的錄入人員，錄入操作員錄入后傳遞到開票人處，經過開票人的初步審批后傳遞到相關負責人處，再由相關負責人審批后才可以開票，開票后單據繼續傳遞到財務，由財務進行核對后審批，才能傳遞到倉庫，由倉庫再次核對后才能發貨。此流程經過4個部門6個操作人員的審批，就會大大減少數據的錯誤，提高內部控制的力度。

操作痕跡的把控制：由于ERP的操作都是在電腦上完成，就會產生單據被修改，數據被刪除等相應的風險。做好操作痕跡的留存及備份，出現問題后通過痕跡查詢就可找到具體的操作人。這樣就降低了篡改數據的可能性。

2.2.3 事后處理

數據合理性、合法性的審計：數據錄入完成后，分配專人進行數據審計。根據不相容職務分離的原則，審計人員不能參與到數據錄入。這樣就可以減少錯弊。審計后將發現的問題匯總并發布，讓各個部門及分子公司學習，減少、杜絕相似問題的再次出現。

對數據風險進行正確高效的評估：在平時的工作中，企業肯定會面臨形形色色的風險，ERP系統可以相應設計一些檢測風險的模型，自動根據相關數據生成風險評估結論。根據結論可采取對應合理的避險方案，讓企業更有效的規避風險。

2.3 對于ERP運行過程中網絡風險的控制

首先，嚴格做好病毒防護、控制工作，加強ERP系統的安全性，定期更新病毒庫，努力健全與完善相應的病毒預防、保障措施。并做好數據的備份留存，做好硬盤數據雙備份，多備份，甚至網絡備份。出問題后能保證數據的完整性。

其次，要加強對網絡安全的管控力度，方法是：通過設置有效的虛擬或物理防火墻，起到一定的攔截、保護作用，更要做好企業對內部數據的加密和保密等相關安全工作。具體方法如對系統操作員及使用人員口令進行多重數據加密并規定好要對密碼進行定期、不定期的更改、對要求訪問ERP系統的外來進行功能權限和數據權限進行設置、要求工作人員進行用戶身份的認證等手段。還有就是通過硬件加密技術對網絡安全進行有效控制，如運用VPN（虛擬局域網）進行網絡隔離。

再次，做好原始數據錄入人員電腦的安全防護，減少源頭病毒入侵的可能性。如果需要可以對操作員進行內、外網隔離，這樣就能有效的控制病毒入侵，減少網絡的風險。

最后，網絡管理人員要做到在ERP系統正常運行的情況下，對服務器系統及系統數據庫定時、不定時的檢測、查詢，以便提早發現問題并解決。將問題影響程度控制在最小的范圍內。

3 結語

綜上所述，筆者認為在企業實行ERP進行內部控制過程中，企業環境及對風險的控制是起著決定性的作用。只有做好以上各個方面的工作，才能讓ERP正常、高效的運行，才會使企業內控得到更高效發揮。

參考文獻

[1] 鞠成曉.基于ERP環境下企業內部控制的建設思路[J].企業經濟，2013（9）.

[2] 張啟彬.ERP系統實施過程中完善企業內部控制管理的相關探討[J].中國總會計師月刊，2017（4）.

[3] 任飛.ERP系統在國企內部控制中的運用研究[J].聚集，2017（6）.

[4] 羅麗偉.淺談企業ERP系統環境下的內部控制[J].中國管理信息化，2010（18）.