基于ERP系統環境下的企業內部控制 研究

苗巨亮

摘 要：隨著信息化的不斷發展，企業的運營與管理方式也在快速地進行著變革，作為先進的管理平臺，ERP系統被不同程度的應用于企業日常的運營管理中。同時，作為有效的風險防控手段——企業內部控制體系，也已被大多數企業接受并得以應用。因此，“ERP系統”與“內部控制體系”在現代企業運營管理與公司治理中扮演著重要的角色，兩者相輔相成。要想使兩者在運營管理中充分發揮協同效應，那么只有將兩者實現有機的整合才能發揮高效的管理作用。然而，大部分企業未能將兩者實現很好的整合，甚至將兩者分開來運行，未能高效地用好這兩個重要的管理工具。本文就以上的問題，從概念入手，深入剖析問題產生的原因，并提出相應的改進措施。

關鍵詞：ERP系統 內部控制 企業風險 管理工具

中圖分類號：F275 文獻標識碼：A 文章編號：2096-0298（2018）11（c）-107-02

由于計算機及信息技術的不斷進步和普及應用，促進了社會經濟的快速發展，給企業經營管理的方式方法也帶來了重大的變革，基于計算機及信息技術的ERP系統被廣泛地應用，大大提升了企業的運營效率。科學合理的內部控制規范體系為公司的治理，風險的防控提供了指引和具體的解決方案。ERP系統和內部控制體系雖然是兩種不同的管理工具，由于它們之間存在必然內在聯系，在企業實務操作中，應當將它們合二為一，ERP系統如同一個操作平臺，內部控制就是一個個控件，只有將兩者有機地相互融合、共同作用，串聯起企業價值鏈的各個環節科學、安全、高效的運轉，才能發揮協同效應，形成企業的核心競爭力，參于市場競爭，促進企業的價值實現。

1 ERP系統與內部控制概述

企業資源計劃即ERP（Enterprise Resource Planning），由美國Gartner Group公司于1990年提出。企業資源計劃（ERP）是指建立在信息技術基礎上，以系統化的管理思想，為企業決策層及員工提供決策運行手段的管理平臺。ERP系統支持離散型、流程型等混合作業環境，將企業的物流、資金流、信息流所有資源進行整合集成管理。在我國ERP所代表的含義已經被擴大，用于企業的各類軟件，已經統統被納入ERP的范疇。所謂內部控制，是指一個單位為了實現其經營目標，保護資產的安全完整，保證會計信息資料的正確可靠，確保經營方針的貫徹執行，保證經營活動的經濟性、效率性和效果性而在單位內部采取的自我調整、約束、規劃、評價和控制的一系列方法、手段與措施的總稱。

ERP系統與內部控制是企業運營中兩個重要的管理工具，兩者聯系密切，相輔相成。企業內部控制體系的建立確保ERP系統運行的科學、合理、高效；ERP系統也為內部控制在全業務范圍實施內控、彌補人工控制的缺陷、實施內控高效快捷、改善企業內部控制等方面提供支持。如果能夠將兩者有機的融合，發揮協同效應，將會為企業的快速發展打造強有力的新引擎。

2 ERP系統環境下企業內部控制現狀

2.1 缺乏有力的組織保障

目前，大多數企業，在ERP系統的實施與內部控制體系的建設方面，由于缺乏有力的組織保障，沒有取得理想的效果，導致企業運行效率低下。主要表現在以下兩個方面：一方面是缺少管理層的支持與推動，無法調動企業全員參與到流程再造的過程中去，導致流程、控制建設不完善，埋下安全隱患；另一方面是缺少必要的專門實施與管理機構，不能統籌組織安排ERP系統的實施與內部控制體系的建設，并使兩者有機的融合。尤其是一些中小型企業，ERP系統管理甚至只有一名計算機維護人員，內部控制完全依靠財務部，在這種情況下，無法充分發揮ERP系統與內部控制真正效能。

2.2 制度體系建設不完善

在ERP系統的實施與內部控制體系的建設方面，制度建設是基礎。而目前一些企業的現狀是內部控制制度缺失嚴重，即使有一些制度，也是不完善，不嚴密，不成體系。制訂制度如同“救火隊”，問題出現了再去補救，完善制度。而且，還有政出多門，互相沖突的現象。導致在實際操作過程中無章可循，流程不暢，控制不利，企業運營變得無序，隱藏著巨大的風險。

2.3 ERP系統與內部控制融合度低

ERP系統建立一般是兩種方式，購買商業軟件與自行開發。商業軟件都是標準化的，大多數企業購買后直接使用，沒有進行二次開發，符合本企業特點的內部控制需要的關鍵控制點未嵌入ERP系統。自行開發的ERP系統，開發人員往往只關注業務流程設計，以及各模塊的集成，并未充分考慮內部控制要素與ERP系統的融合。ERP系統與內部控制融合度低，導致企業內部控制運行效率低，有些控制功能無法實現，企業經營風險加大。還有些企業為了實現內部控制信息化，建立了內部控制信息系統，但是仍然是獨立運行，與ERP系統未實現融合，數據不能共享。

2.4 風險防控意識淡薄

企業在經營的過程中面臨著許多內外部風險，只有加強風險管理才能有效保障經營目標的實現。由于一些企業在經營管理的過程中風險防控意識淡薄，對內部控制體系建設重視不夠，疏于對ERP系統的風險管理。內部控制體系建設方面，由于風險防控意識淡薄，缺乏對風險的識別與評估，內部控制體系建設流于形式，針對性差，不具有風險防控能力。在ERP系統建設方面，由于風險防控意識淡薄，一方面，內部控制要素未融入ERP系統，ERP系統在業務流程方面缺乏有效的內部控制；另一方面，對ERP系統安全保護措施不到位，存在人為繞過自動控制，數據被篡改，商業秘密被泄露的風險。比如，購買的商業軟件，軟件提供商的系統維護人員，未對其進行用戶名及密碼控制，無須任何授權即可進入企業ERP系統進行操作。

2.5 復合型人才缺乏

既具有計算機信息技術專業知識，又具有財務管理內部控制專業知識的人才不多，企業也十分的缺乏這類復合型人才，實務中，大多數企業在ERP系統與內部控制體系的實施運行也是分兩條專業線進行管理，由于這類復合型人才的缺乏，專業知識的障礙，導致ERP系統與內部控制體系相互融合的實施與運行無法做到科學合理，運行效率不高，無法實現內部控制的目標。

3 ERP系統環境下企業內部控制實施建議

3.1 加強組織保障

企業內部控制建設是“一把手工程”，只有企業的治理層與管理層增強風險意識，高度重視內部控制建設，利用信息化手斷，實現內部控制體系與ERP系統有機融合，才能建立一套現代高效的內部控制體系，風險的防控能力也才能增強。由于ERP系統與企業內部控制對應的是兩個完全不同的專業體系，要使兩者有機融合，應當成立“ERP內控聯合辦公室”，吸納具有計算機、信息技術、財務管理及內部控制專業知識的人才或復合型人才共同辦公，對ERP系統與內部控制體系相融合進行整體規劃，系統設計，做到科學、合理、嚴密，對日常的運行進行維護與監控。同時，還應當有專門的機構，一般是審計部門對ERP系統與內部控制整合體系的設計與運行的有效性進行評估，促進自我改進與升級。

3.2 完善制度體系建設

針對ERP系統與內部控制整合體系，應當根據企業的實際情況，結合《企業內部控制基本規范》與《內部控制應用指引》制訂完善的、切實可行的制度體系。ERP系統的操作指南應當納入制度體系之中，ERP系統的操作指南需要增加對集成的內部控制要素及嵌入的關鍵控制點進行描述，內部控制相關制度需要對內部控制在ERP環境下如何實現進行描述。制度的制訂不僅要成體系，而且，還要具有可操作性，制度的制定不能脫離企業的實際，或為了應付檢查，套用概念拼湊成不具有可操作性的形式上制度，應當從企業實際出發按照“多部門共同協作，統一制定”的原則，制定出ERP系統操作與內控實務中可遵循的制度體系。同時，對實際操作中發現的制度缺陷應及時修訂。

3.3 實現ERP系統與內部控制完全融合

實現ERP系統與內部控制完全融合，構建ERP系統與內部控制整合體系，一方面，對企業的業務流程進行全面的梳理，對企業面臨的內部風險進行全面的評估，確定關鍵控制點與控制措施，將其嵌入ERP系統中相關業務模塊中，發揮ERP系統在控制方面的優勢，克服人為因素的干擾，做到一絲不茍、鐵面無私；另一方面，在ERP系統中增加內部控制管理功能模塊，實現企業層面的文檔數據與其他業務模塊共享，如組織架構、企業文化等。另外，從其他業務模塊提取數據，方便內部控制管理人員進行分析、評估、監督、報告等。通過以上嵌入與數據提取，以及功能模塊的集成，建立ERP系統與內部控制整合體系，提高了內部控制的自動化程度和效率，形成新的控制理念。

3.4 增強風險防控意識

企業風險是指未來的不確定性對企業實現其目標的影響。企業應當對面臨的風險有清醒認識，并高度的重視企業所面臨的風險，建立統一的風險管理理念，增強風險防控意識。對于企業內部可控風險，內控控制這一管理工具是最有效的管控手段，企業應當重視內部控制體系的建設，充分利用信息化手段，實現ERP系統與內部控制完全融合，提高內部控制的效率與效果。同時，對信息系統自身的安全也應高度重視，加強對系統操作與關鍵控制點管理，嚴格執行相應的管理制度，防止不適當的人工干預或人為繞過自動控制。加強用戶及權限管理，防止信息數據被非法訪問的風險。

3.5 加強復合型人才培養

對ERP系統與內部控制實施融合及融合后的統一管控，需要具有計算機信息技術專業知識以及財務管理內部控制專業知識的復合型人才作為支撐。企業應加強復合型人才隊伍的建設，培養的人才不僅專業知識和技能過硬，而且應具備良好職業道德素養。復合型人才隊伍的建設方式，一方面可以通過招聘，引進具有復合型專業知識和經驗的人才，然后對其進行再開發及培訓，使其快速的勝任新的工作；另一方面，加強對現有員工的培養，企業可以與教育機構合作，為現有員工的專業知識學習與能力提升提供機會。同時，企業應當支持與激勵員工學習，營造尊重知識、尊重人才和關心員工職業發展的文化氛圍。

4 結語

隨著社會經濟的不斷發展，信息技術的不斷進步，企業的管理手段應當不斷的創新，注重優秀人才尤其是復合型人才的培養，增強風險意識，提高風險防控能力，實現ERP系統與內部控制完全融合，提升內部控制運行效率，實現內部控制目標，增強企業的核心競爭力。以管理促發展，向管理要效益，在競爭日益激烈的市場環境中，保持強勁的可持續的發展勢頭，促進企業的戰略目標的實現。

參考文獻

[1] 李萬福，林斌，舒偉，等.基于內部控制視角 ERP系統實施的改進研究——以盛威爾公司為例[J].審計研究，2011（1）.

[2] 王民治，趙學進.ERP環境下財務會計信息系統內部控制與風險管理研究[J].會計之友，2013（9）.

[3] 朱勝輝.基于ERP信息系統下的企業集團內部控制優化路徑研究[J].中國集體經濟，2017（4）.