ERP环境下的内部控制优化策略

1、erp环境下的内部控制优化策略來源：e_works作者：转载：it863在erp环境下，企业的信息流、物资流和资金流高度集成，业务处理程序被大大简化, 大部分手工处理改由计算机完成。由此带來了一些内部牵制措酒无法执行的问题，包 括会计人员无法直接参与和控制、控制效率低、其审查和稽核机制被削弱等。此外， 计算机技术和网络通讯技术本身存在的可靠性、安全性等问题，也给企业内部控制风 险的防范带来了相应的难题。在erp环境下，企业只冇对内部控制体系进行优化，才 能保障内部控制系统的有效实施，促进企业资源的配置和优化，实现经营的可持续增 长。一、erp环境下的内部控制风险在erp环境下，企业的业务处理是

2、跨职能部门的，企业的资源和信息可以得到统 一的管理和共享。山于企业信息的存储介质、存储形式、处理方式都有重大改变，企 业内部控制的新风险主要表现在以下方面：（一）业务流程的改变带來的风险首先，在系统实施z初，山于业务流程的变化，和手工方式差异很大，用户可能 不能马上适应新的操作方式，由此带來一系列的不确定因素造成了风险。其次，业务 流程的变化，企业的管理架构趋向扁平，内部控制由程序执行，口动化程度高，业务 人员大大减少，给个人身兼多职带來可能，因而导致控制风险。再次，流程化管理进 一步密切了部门与部门z间的联系，跨职能部门的流程管理使得某个环节岀现问题直 接影响其他流程的运作。过去职能化的管理

3、也许还有绕过某些环节变通的方法，而集 成系统就必须经过每个流程。在这种悄况下，任何一个环节出现差错，将玄接彩响到 后续流程的实施。最后，由于集成系统采用的是单一数据库，所冇的数据采取-次性 单点输入，如某产品入库的具体数量若只有仓库确认，如果有差错，将直接影响销住、 生产、财务等部门统计。（二）网络的大量应用带来的风险在企业内的业务逐渐集成到系统的过程中，网络在企业内也开始大量地应用。不 仅是各个部门，网络也把杲地的分支机构也连接起来。由于网络环境具有开放性的特点，在这个环境中，一切信息在理论上都是可以被 访问到的。网络下的会计信息系统很冇可能遭受非法访问或者病毒的侵扰，而且内部 人的非法访问

4、成功的机会还很高，一旦发生将造成巨大的损失。（三）内部控制要素构成的变化及其带來的风险内部控制整体架构主要由控制环境、风险评估、控制活动、信息与沟通、监督五 项要素构成。在erp环境卜，企业内部控制系统仍是山以上五个基本要索构成，控制体系框架并没冇发生实质性的改变。但是，每项基木要素的内部构成却发生了变化。1 控制环境erp的实施，改变了金业内部的组织结构体系，管理结构变的扁平化、流程化， 决策者和执行者能够快速沟通，企业的内部控制层次明显减少，控制责任更加明确， 控制效率更窩。erp的应用增强了企业内部控制的灵活性，对等的渠道使信息无论处 于何处都可以被企业内外部人员比较容易地获得。2. 风

5、险评价erp的实施给企业帯来了新的风险发现、风险分析和风险评估的理念和方法，使 企业可以及时准确地分析、辨认企业在实现既定目标过程中可能发生的风险并适时地 加以处理。把erp系统的信息技术与业务活动有机结合起來作为风险防范的工具，将 能人人减少错弊的发卞，保证企业业务活动的止常进行。同时，erp系统也给企业带 來了新的风险，例如计算机系统的复杂性增加了企业潜在的应用风险;电子数据可以被 方便地改写和删除、数据处理过程无法直观观测等都增加了数据安全风险。3. 控制活动erp的实施增强了控制手段的灵活性、多样性和高效性，加强了内部控制体系的 预防、检查和纠止功能。erp的应川，可以使企业摆脱人员和

6、资源对内控体系有效性 的限制并在企业内部形成新的控制理念：内控体系不再仅仅依赖过多的检查、审批、 核准人员或复杂的控制程序，而是依靠信息技术对其进行合理设计，经济、高效地达 到控制目标。同时，信息技术的运用也增加了企业内部控制的难度与复杂性.4. 信息与沟通在erp环境下，网络连接企业各职能部门，实现了各种业务流程的一体化处理， 信息需求者可以实时获収各种信息。相对开放的信息系统也为内部员工利管理者提供 了开放的沟通管道,有利于内部沟通的进行，使组织内的员工淸楚地了解内部控制体 系和各门的责任。管理者也可以随时掌握内部控制制度的执行与牛效情况。但是，开 放的技术环境很难避免非法侵扰，erp系统

7、也存在着遭受非法访问甚至破坏的可能性, 这使信息的真实性受到了质疑。5 监督在erp环境下，内部控制体系的程序化使内部控制在一定程度上具有了对erp 软件系统的依赖性。同时，erp的应用使内部控制体系具有了人工控制与程序控制相 结合的特点。程序化内部控制体系的冇效性取决丁应用程序设计的质量，如果程序发 生差错或不起作用，那么控制失效就可能长期不被发现，从而使系统山于程序运行的 重复性而反复发生相同的纽:漏。二、erp环境下的内部控制优化策略（一）完善风险管理机制企业信息化意味着金业各部门、各作业单位之间，以及企业与外部，如供应一商、 客户、合作伙伴等通过实时互联的网络实现信息、作业高度共享，网

8、络的开放性把企 业暴露于各种风险之中。企业除了要建立传统的风险管理机制之外，还要结合信息化 的特点，建立基丁信息化的风险管理机制：一是建立一套信息网络系统安金政策和制 度;二是定期对系统安全政策与制度的实施效果进行评价;三是通过企业内部会计控制 框架的构建，建立、健全预算及责任控制，强化信息化的风险意识。必要时企业可设 置风险评估部门或岗位，专门负责有关风险的识别、规避和控制。（二）优化企业内部控制的环境coso报告指出，内部控制环境是内部控制的主要构成因素。影响控制环境的因 素很多，主要包括管理理念、公司的治理结构、管理控制方式、人力资源等方面。为 了能够有效地实施企业内部控制，企业主要应从

9、以下儿个方面着手：1. 优化企业的组织结构，明确权利职责作为公司制的企业，应该按照相关法规设立相应的董事会、股东会、监事会，并 按照公司章程运转，合理选聘优良的经理管理层，处理好集权与分权的关系，明确董 事会、股东会、监事会的职责，为设计、执行、控制和监仰活动提供基本的框架。同 时，在各职责部门z间应该建立起畅通的沟通渠道，保证各部门能够进行育效沟通与 交流，使整个组织在高效、协调的机制下运行。2. 建立起有效、合理的内部管理制度为了保证企业的正常运营，应该实行权责明确、管理科学、激励和约束相匹配的 内部管理制度，调节所有者、经营者和员工之间的关系。并根据公司运营的现状，建 立起一套合理、有效

10、的内部经理人激励机制，包括规范经理人员的选拔，规范公司资 木保值增值目标的考核程序，维护股东方利益，防止内部人为控制，严格实行内部会 计与审计控制制度，强化对经理人员的在任审计和监督。另外，还要通过产品市场、 资本市场及经理人市场，建立起相配套的经理约束机制。通过合理的激励与约束机制, 使经理人既有充分的经营管理权，乂能使其尽职尽责地履行对受托人的义务，使企业 的效益最大化。通过机制的逐步完善，来推进企业经营管理的规范与调整，使内部控 制的目标责任能顺利实现。3. 明确岗位职责，实池关键岗位分离制、轮岗制现行的erp系统都相对使得业务流程复杂化，越來越多地依靠系统进行控制。系 统是死的，更主耍

11、还是由人來实际操控的。因此，对人的控制耍比对系统的控制更加 重要。对于程序设计与开发人员，他们应仅有对数据测试运行的权限，而不能进行实 际操作。除非有特殊事项，在征得相关负责人的同意后，方可以进行数据的传输，但 不得对数据进行修改、删除。对于一般业务部门录入的基础数据，在数据生成完毕后 要及时传输给财务部门进行确认，在财务人员已经确认审核通过后，业务部门不得再 对数据进行修改.财务部门的员工之间也要做到相互监巒与控制，以sap系统为例，财务部门员工 对业务输入的基本数据进行确认审核的时候，应做到审核人员与确认记账人员和分离, 以防止财务人员与业务人员相勾结。对重要报表的输出应有相关的控制程序，

12、报表输 出与录入应建立专门的erp管理系统，报表的输入输出需婆详细的记录。一发现界 常，应冇相应的警告与提示，并呈报相应的主管领导和内部审计人员，达到实时监控 的职能。对在erp系统屮的信息数据，应该有日志备份文档，对在系统屮的所存操作 都要详细记录，即便冇人故意篡改数据，都能够方便、详实地查询到相关操作信息， 将系统受人为影响降到最低限度。4 确立董事会在公司经营管理中的核心地位董出会要真正成为公司运营的主导机构，重大经营决策方针都必须由董出会讨论 决定，而不是山大股东或儿个人说了算。erp系统的冇效运行应该是以董事会的冇效 运营为基础，否则就会沦为利益集团的工具。积极推进董岀会制度建设的同

13、时，要逐 步改善公司治理结构，保护投资者利益，真正发挥独立董事的外部独立监督作用。5. 加强对erp信息系统的软硕件的监督和管理作为内部控制重要手段的erp信息系统，所依赖的是一个强大的软破件平台。为 了保证企业的正常运转，必须保证这个平台的稳定与高速运行。要加大对软硬件系统 的维护与评价，处期出具系统运行报告，定期轮换系统监测与维护人员。对于第:大系 统故障，要向董事会报告，不得私口做出决定，以免造成重大损失。每年的审计，注 明会计师应当对企业的erp系统的软硕件进行审计，测试在这个系统上运行的erp 提供的数据是否真实、准确、可靠，并在审计报告中给予披露。6. 加强专业人才的培养与开发信息经济时代对从岀财务工作的人员提出了更窩的要求，要求冇扎实的计算机水 平和不断更新的专业知识。这就要求企业应加强对员工的培训，不断地为其提供新的 课程培训和企业文化引导，形成爱岗敬业的基本素质，并加强员工职业道徳和企业文 化建设。优秀的企业文化，往往能够将员工的道德风险降到较低水平，对于企业内部控制 是相当有利的。在信息化环境下，应倡导动态的企业文化，提倡团队精神，对不断变 化的环境做出快速反应。（三）加强外部审计机构对内部控制的评价为了更有效地实施内部控制，企业应聘请外部专业的审计机构对企业的内部控制 进