基于ERP系统环境的企业内部控制研究

摘要：二十世纪九十年代以后，我国社会主义市场全面开放，随着改革开放的推进，我国经济逐步全球化，市场竞争加剧，企业经营风险加大。合理地组织和有效地利用企业资源，成为降低产品成本、提高产品质量、赢得市场和顾客的关键。ERP系统由于其特有的协同优势而被很多企业应用。ERP系统的应用一定程度上提升了企业的竞争力，但是很多企业ERP实施没有达到预期目标，究其原因很大程度上是因为内控意识及内控制度薄弱，导致ERP系统实施过程中，无章可循，而实施过程的繁琐以及流程规范化带来的束缚，导致相关人员参与实施的意愿和力度不足。本文从ERP与内部控制融合角度提出企业完善内部控制的策略。关键词：ERP系统；內部控制；完善策略一、ERP系统的概念及重要作用（一）ERP的概念ERP是通过信息技术手段，实现企业资源的共享和协同的管理平台。SAP公司认为ERP是“管理+IT”，ERP不是一个单一的软件系统，而是一个集组织模型、企业规范、信息技术和实施方法为一体的综合管理应用体系，具备集成化思想、强大的系统功能、决策的科学性、实时控制能力等特性。（二）ERP系统建设的作用1.ERP系统的建设有利于企业资源的优化配置。通过对供应链资源的管理，能够帮助企业及时掌握客户需求，精准制定采购、生产计划，减少库存积压，降低产品成本，按时完成产品交付，提高客户满意度，增强企业核心竞争力，最终实现企业战略目标。2.ERP系统的建设有利于打破部门间信息壁垒，建立多部门联动。通过合理的流程设计和实施，各部门的业务无缝平滑衔接，通过一定的系统授权，就能够便捷获取上下游各环节的信息，部门间的信息与沟通效率及信息的准确率得到大幅提升。相较于传统方式，可以精简管理机构和人员，释放更多的人力、财务资源到更有效的经营活动中。3．ERP系统的建设有利于企业收集、查阅、分析数据，为各级管理者经营决策提供支撑。企业高层管理者通过掌握企业发展方向、发展策略相关信息，可以合理制定企业总体战略；企业中层管理者通过详细的执行层面的数据，可以评估收益和风险，做出最佳的投入、产出决策；基层管理者通过撑握及时准确的成本费用数据，可以灵活地开展具体的业务活动。4.ERP系统的建设有利于弥补人工控制的缺陷。一方面通过计算机和网络进行信息处理和传递，可以对基础数据一次录入，全流程调用，如：部门、职员、供应商、客户、物料等；对于同一条业务链条上的相关信息也只需要在发起端录入，其他环节自动关联带入，如从订单、出库、开票到收款只需要在订单环节录入客户、物料、数量、价格、等信息，其他环节无须再次录入。在提高工作效率的同时，降低了人工录入出错的可能。另一方面，通过信息系统进行控制，标准和规则都是预先设定好的，不会受人为因素的干扰，能够最大可能保障制度和执行不走样，可以营造公平公正的氛围。同时，信息系统能够通过日志记录操作人员及动作，便于溯源查找原因，也为后续内控监督工作提供支持。二、企业ERP系统与内部控制的关系（一）ERP系统和内部控制都是为实现企业战略服务ERP系统建设让企业发展得更快。通过系统实施提高企业的内、外部协同能力，提高工作效率、降低产品成本，让企业比竞争对手跑得更快、做得更好，让客户有更好的体验感，增强企业核心竞争力，最终实现企业战略目标。内部控制的实施是为了让企业发展得更稳，在提高效率的同时控制风险。这一点从内部控制的目标就可以看出。建立一套规范的内部控制系统的目标是最大程度保证：相关法律法规得到遵守、资产安全有保障、财务报告及相关真实完整、经营效率得到提高、设定的目标有效达成。（二）ERP系统和内部控制互相成就ERP系统的实施离不开内部控制的完善，没有合适的内控制度作保障，ERP的实施很容易以失败而告终。ERP系统从设计到上线运行以及后期的运维管理都必须体现内部控制理念对信息的控制要求，这样才能保证ERP系统的用户是合法的，各用户共享的信息是经过授权的、合理的，否则会适得其反，会给企业造成更大损失。比如内控执行不到位导致关键信息的泄密，在ERP环境下，给企业造成的伤害可能是致命的。内部控制的实施，离不开ERP系统的支撑，内部控制工作涉及企业的方方面面，而企业各项经济活动分块管理、信息分割，要想做好内部控制工作，则必须将各部分的信息进行汇总、交互，如果没有信息系统，单靠人工进行控制，会花费巨大的人力和财力，且信息滞后达不到理想的控制效果，而通过ERP系统，可以将各部门的信息窜连起来，打破信息“孤岛”的局面，内部控制实施难度和成本都会大大降低，而且随着科技的发展，ERP系统的信息化以及智能化水平不断提高，为企业持续收集相关信息，识别与内部控制目标实现相关的风险，及时根据企业的风险承受度制定相应的风险应对策略，落实相应的控制措施提供了便利与可能。根据我国《内部控制基本规范》的应用情况，目前上市公司是必须进行的、国有企业则由国资委统一要求、民营企业自行选择执行。鉴于内部控制体系统建立的难度和成本效益情况，很多民营企业未能按规范实施内部控制。如今已进入数字化时代，ERP系统应用越来越普及、越来越深入，企业开展内部控制不再困难，不再是劳民伤财、得不偿失的事，内部控制应用范围势必会越来越广、越来越完善。（三）ERP系统建设和内部控制实施的基础相同ERP系统的建设离不开流程再造，而流程再造的依据是企业的管理制度，流程再造的过程中会融入有效控制、高效配置企业资源、防范风险的思想，为流程再造提供方向。内部控制体系建设情况，可以从两个层面进行评价，即制度设计层面和制度执行层面。制度设计层面主要看企业是否建立了涵盖企业所有业务范围的管理制度，防止出现未知风险面；制度执行层面主要看所有制度规定是否在业务流程中得到了严格执行，防止已识别的风险未得到有效控制。流程是制度的细化、固化、标准化，流程的长短、宽窄是ERP系统效率要求和内部控制风险控制要求共同作用的结果。同时，制度和流程也是动态和互相促进的，随着企业发展和内、外部环境的变化，制度需要不断完善，流程需要不断优化。所以说无论是ERP系统还是内部控制，都是以企业的制度和程流作为基础开展的。三、企业ERP系统的应用对内部控制的影响（一）ERP系统的应用扩大了内部控制的范围对于内部控制来说ERP系统是一种相对完美的控制工具和手段，使大部分内部控制活动能够自动进行，提高了内部控制的效率和效果。但正为ERP系统是内部控制的工具，所以ERP系统自身的可靠性、有效性也变成了内部控制的一部分。（二）ERP系统的应用使内部控制控制重点发生改变在ERP系统下，统计计算、信息流转类的工作绝大部分由计算机系统自动处理而且准确率高，像传统模式下会计控制中的账证、账表、账账核对等控制要求就弱化了很多，内部控制重点转变为授权控制、系统运算逻辑设计控制、信息的输入和输出控制、人机交互处理控制、基础数据变动控制等。（三）ERP系统应用提升了内部控制五要素更新完善的速度内部环境、风险评估、控制活动、信息与沟通、内部监督这个五个素构成了内部控制体系，构成一个循环，相互之间互为依存、互相促进。ERP系统因其准确、高效的先天优势，加快了内部控制体系统的完善和更新，使内部控制工作在企业价值创造中的作用越来越明显。通过实施ERP系统，企业管理结构趋向扁平化和流程化，企业内部部门之间的关联度更为密切，跨职能部门的业务处理方式使企业各个部门紧密地联系在一起，各层级能够实现快速的沟通与交流，各部门及岗位内部控制的责任、权限更为明确，控制效率得到提高，内部控制成本大大降低。同时，由于ERP系统不但能够准确记录、完整存储海量信息数据，而且可以快速传递各种复杂的信息，获取信息的准确性、完整性、及时性，使风险评估工作针对性更强，使企业面对内外部环境的变化能够快速反应，有利于企业抓住机会、降低风险。四、ERP环境下企业完善内部控制的策略（一）完善内部控制机制企业应根据《企业内部控制基本规范》及其应用指引，建立适合自身业务的内部控制管理制度，包括授权批准、不相容职务分离、会计控制、全面预算管理、財产保全、人力资源管理、运营分析和绩效考评等控制制度，优化组织结构、明确岗位职责，建立不相容岗位清单，定期轮岗。在ERP环境下，除了上述内控管理制度外，还要结合自身实际，建立信息系统及网络安全管理制度，保护ERP系统数据资源、保证信息网络软、硬件及机房设施安全运行、规范员工上网行为、防治网络病毒侵害和黑客攻击。（二）融合内部控制与ERP系统，加强ERP系统授权和操作控制由于ERP系统本身并不具备内部控制的思想，所以ERP系统实施前必须充分调研评估，管理人员、操作人员、技术人员、实施人员必须通力合作，找到ERP系统与内部控制的融合点，形成完整、清晰、适用的实施方案，使内部控制的要求能够内嵌于ERP系统流程中。ERP系统设计要能够满足内部控制手册相关的业务流程设计要求，每一个ERP流程节点，都要有岗位职责说明书以及具体部门、岗位和人员与之相对应。同时，ERP系统操作管理要求应通过制度予以明确，操作人员在ERP系统中的工作内容和权限要清晰、具体。ERP系统操作控制分为输入控制和输出控制。输入控制的重点是保证输入到ERP系统中数据和信息准确无误且经过审核确认。一般可以作如下控制：通过ERP系统后台设置数据标准，对不符合标准的数据拒绝保存；只有经过授权的人员才能进入系统并操作；操作人员、开发人员、运维人员互为不相容岗位人员，不能同时承担其中任意两项工作。输出控制的重点是保证输出结果正确、真实、完整，且输出接收方是经过审批授权的，防止数据信息泄漏。还要建立输出记录，便于分析查找原因和后续内部监督和审计。另外，还可以运用数据文件加密、备份等方式进行输出控制，保护数据、信息安全。（三）发挥内部控制职能管理机构作用，加强内部控制工作的监督与评价企业应明确内部控制评价的组织形式，明确各有关方面在内部控制评价中的职责安排。内部控制职能管理机构作为企业内部控制工作归口管理部门，应牵头定期组织相关人员，对企业内部控制设计和内部控制运行的有效性进行评价，根据评价结果认定缺陷并对缺并跟进整改，最终出具内部控制评价报告。除了组织自我评价工作外，内部控制职能管理机构还要定期组织内部控制制度和流程梳理，修订完善内部控制手册。修订后的内部控制手册要及时发布，让所有员工都了解本单位的内部控制要求，不断提高全员的内部控制意识。（四）充分发挥内部审计的功能内部审计发挥其功能的关键在于“独立性”，其直接对董事会负责，虽不直接参与经济业务活动，但能获取企业相关各类信息，尤其是重要事件信息，而且审计工作有其专门的工作方法和流程，相较于内部控制自我评价，内部审计属于再监督。内部审计是以第三方视角对内部控制的执行情况以及运行效果进行评价，能够更客观地指出缺陷、问题，可以避免自评过程中“灯下黑”的情况。由于其直接对董事会负责，其提出的合理建议更具有权威性，更容易被审计单位接受并得到更彻底的执行。所以说内部审计在内部控制工作中有其特殊地位：既是内部控制的组成部分又是内部控制工作开展的特殊方式。企业应充分发挥内部审计职能，不断完善内部控制系统。（五）加大培训力度，提高员工综合素质一方面，无论是ERP系统还是内部控制工作都涉及企业的方方面面，其价值发挥都需要全体员工的参与，而只有思想认识统一、目标一致才能形成合力，达到理想的效果。所以从高层管理者到普通员工，都要参与学习，通过培训不断培育内部控制管理理念，并将其运用到ERP系统和日常工作中。另一方面，ERP系统环境下，企业内部控制所使用的工具、方法都发生了巨大变化，致使企业内部控制面临新的风险和考验。较之传统内部控制方式，ERP系统环境下，对风险识别能力和控制能力提出了更高的要求，比如：很多控制点都通过信息化手段内置于计算机程序中，一旦发生问题，查找原因会更难，问题有可能会涉及业务部门、业务管理部门、技术支持部门、研发部门，这就要求相关内部控制工作人员除了对自身业务全面了解外，还要对计算机内部控制逻辑以及研发架构有一定程度的了解，否则即便找到问题原因，也难提出更好的解决办法，跨部门的协调对内部控制工作人员的沟通能力也提出了更高的要求。所以说在ERP环境下，有效