ERP环境下进一步完善企业内部控制的对策

张丽

随着当今经济全球化进程的加速，我国市场经济也在高速发展，一方面为企业发展提供了更多机遇，另一方面企业所面临的竞争压力越来越大。为了应对越来越激烈的市场竞争，企业必须要不断提高自身的竞争力，优化企业的资源配置。越来越多的企业认识到，企业内部控制仅依靠人工干预已经不能满足企业的日常需要，ERP系统在内部控制中的作用不容忽视，基于以上原因，本文将针对目前企业ERP环境下内部控制普遍存在的一些问题进行研究，并提出解决方案。

一、企业内部控制的内涵、要素及要求

内部控制是公司各阶层如企业董事会、监事会、经理层和全体员工共同实施的，目的在于实现公司控制目标的过程。内部控制的目标包括合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整;提高经营效率和效果、促进企业实现战略目标。

内部控制由内部环境、风险评估、控制活动、信息与沟通、内部监督五要素构成。内部环境是基础，风险评估是企业及时识别内控相关风险，并确定风险应对策略;控制活动是根据风险评估结果，采取一系列控制措施，将风险控制在可承受的范围内;信息与沟通是企业及时、准确收集相关信息，确保信息在企业内外部的有效沟通;内部监督是监督企业内部控制的建立和实施，评价内控的有效性，发现内控缺陷并及时更正。

各公司应当运用信息技术加强自身内部控制的建设，建立与各企业经营管理相适应的信息系统，促进企业内部控制流程与信息系统的有机融合，实现对各流程自动控制，减少或消除人为操纵因素的影响。企业应当建立实施内部控制的相关机制，将实施情况纳入绩效考评中，使内部控制在生产经营中发挥最大的作用。

二、ERP系统与内部控制的关系

ERP系统是企业资源计划（EnterpriseResource Planning）的简称，是为企业管理层提供决策依据的平台。该系统依据于信息技术，集信息技术与更加先进管理思想于一体。ERP系统的建立和ERP系统的有序运行与企业内部控制关系十分密切，主要体现在以下两个方面。

1.ERP系统可以改善企业内部控制。首先，利用ERP系统企业可在全业务范围内实施内部控制。企业可以轻松实现对企业全方位如人、财、物的管制，不再像以前一样，各公司要多个平台才能达到这个效果。其次，利用ERP系统后，企业可以在公司全业务各控制点实施管控。再其次，可以利用ERP系统弥补人工控制的缺陷，既极大地提高了工作效率，又能克服人为因素的干扰，做到铁面无私。最后，利用ERP系统后，可以实施更加高效且快捷的内控。ERP系统在数据提取与分析方面提供了更加便利快捷的条件，这样有利于提高企业整体的工作效率。

ERP实施后，针对ERP系统对公司各岗位统一管控的特点，各管理人员能在各自的岗位上可以直接客观的对其他人员进行判断，增加相互的可评价性，这样有利于提升内部考核的透明性，增加员工的工作积极性。全流程依相关制度规定前执行，如有出错的节点，能很快查出来并及时更正，也能防止舞弊的发生。

2.内部控制的对象是ERP系统。就内部控制而言，必须将ERP系统作为内部控制对象，从信息技术的角度，评估风险并建立相应的信息系统总体控制和应用控制，确保ERP系统的运行质量和运行效率。

三、ERP系统环境下企业内部控制存在的问题

1.企业管理层内控意识淡薄。我国部分企业管理者对建立内部控制体系不够重视，或者在认知方面有很大的误区，导致很多企业虽然建立了相关的内控制度，但是没有规划，不成体系，对企业的经营活动无法起到关键的规范作用。

由于内部控制对于企业经营活动所起的推动作用很难用账面上的具体数字来衡量，由此会导致一部分管理者对内控的认知停留在成堆的文件、手册上，使之成为应付外部审计的工具，只要有就可以，导致出现有章不循的情况，内部控制流于形式，这就在很大程度上影响了内部控制作用的发挥。企业管理层内控意识淡薄的結果，将会直接导致ERP不能很好的实施，因为二者相互依存。

2.职责划分不明确。内控相关制度的设置中，要求经办人员与审批人员不能为同一人，以此来控制相关风险。但在实务中，由于企业人员有限及出于成本效益考虑，无法将不相容职责及岗位设置的完全分离，导致相关风险控制的有效性不能充分发挥。目前，企业ERP系统在搭建时，没有充分考虑这些因素，没有做到实质上的独立，而仅停留在形式上，职责划分的不明确直接影响到内控无法有效实施。

3.企业员工素质与ERP要求不匹配。随着ERP系统的上线及实施，对企业全体成员特别是内部控制各节点关键人员提出了更多更高、更新的要求，除了应具备原开展正常工作需要的专业知识及相关工作实践经验外，还必须要熟练掌握ERP系统相关操作及相关知识，应具有的综合素质能力要求也已进一步提高。但从目前来看，大部分企业新上ERP系统，面临着老员工不想尝试，新员工推不动的情况，相关人员素质不能与其EPR系统相匹配，导致企业无法充分实现ERP系统的效果，内部控制大打折扣。

4.ERP信息系统缺乏安全性。ERP系统如果安全性不够，对公司内控的影响将是致命的，严重影响内控的实施。然而ERP系统是基于网络而运行的，安全性是其最大的风险，ERP系统作为一款应用频繁的工具，相关数据库均存储于各服务器上，容易受到外界病毒入侵，安全性存在问题，且企业员工的操作失误等都会影响企业网络系统的安全性，严重的可能会导致数据被盗、系统瘫痪等问题。

5.ERP系统不能很好地与企业内控相融合。由于企业控制管理各不相同，面临着ERP系统执行过程中的个性化问题，但是目前，多数企业的ERP系统无法满足各企业的个性化要求，存在同时多条线管理的情况，因ERP的实施与企业经营活动密切相关，ERP一旦出现问题，会对企业经营活动产生重大影响。ERP系统如果不能与企业内控很好融合，内控将会无效，前期的努力全部白费。

四、ERP环境下完善企业内部控制的对策

1.加强管理層对内部控制的认知。强化企业管理层对内部控制的认知，做到及时宣传、定点培训、树立积极向上的态度，企业应组建专门的内控相关职能部门，加强企业内控在各层面的宣传、培训及指导，提高管理层的认知，这样有利于内控在公司全面有效的实施。

2.整理并进一步优化各业务流程。企业在公司内部全面实施ERP的过程中，首先任务是要明确ERP系统中各岗位职责，将权利与责任落实到各责任人，并实施关键岗位分离制与轮岗制。在制定岗位职责时，一定要注意不相容职务分离控制、授权审批控制等的实质性控制，进一步完善内部控制相关节点，从而提高企业经济效益。

3.加强全员素质的培养。企业一定要制定员工培训计划，需要对员工进行内部控制和ERP专业方面的培训，培训包括定期的也包括不定期的培训，通过各种培训方式，使员工能具备更好的综合素质能力以便内控得以发挥最大的效力。与此同时，企业也可以制定一系列与内控相关的奖惩措施，以此来达到刺激相关成员水平能力的提升。另外，企业也可以提供外出交流学习的机会，积极学习并引进其他优秀企业的内控管理理念，争取将相关人员朝着更适用ERP的方向培养。在内部控制中，这一点尤为重要，全体员工只有树立主人公意识，完全按企业相关制度执行相关控制节点，内部控制才能得以顺利的实施。

4.建设良好的ERP系统信息安全氛围。企业应充分保障ERP系统网络的安全性，条件允许的情况下，应对ERP系统相关网络单独设置网络渠道，不要与日常网络混在一起使用，这样有利于防止黑客的入侵，进而进一步保障ERP系统的安全性。企业应制度详细的与信息安全规范相关的制度和指引，保证每个员工上岗前一定要熟悉操作流程，以免在操作过程中产生不必要的错误。企业应定期或不定期对员工进行网络安全培训，这样有利于全体员工的安全意识得到提升，进而进一步提高系统安全性。信息安全最重要的一方面，要做好相关底层数据的备份，就需要企业在IT部门配置专人专岗对ERP相关数据进行定期或不定期的备份，以备不时之需。

5.聘请外部审计机构进一步促进内控的良好运行。企业应定期聘请外部机构对企业ERP系统实施及操作过程进行全方位的审计，外聘机构独立于企业，站在第三方立场，其通过执行相关审计程序，能有效帮助企业发现内部控制中可能存在的设计或运行中的缺陷，进而进一步改善，以达到内部控制与企业业务更好融合的目标。公司应保证外部审计机构至少每年一次对公司进行内控相关审计，并出具相关内控报告，以了解企业内部控制在设计及实施方面的情况。

目前在ERP系统环境下，企业内部控制方面多多少少还是存在各种缺陷，要么在设计方面，要么在运行方面，但是为了公司的长期发期，各企业应积极勇敢面对各种问题。通过分析自身的问题，进一步完善内控相关制度，使内部控制制度能很好的服务企业日常经营活动，以实现企业更加远大的经营目标。企业应该充分重视ERP系统的建设，通过信息系统平台整合公司各项资源，充分强调内部控制实施的必要性，在全流程中对相关风险进行防范，提高企业经营效率，有效预防各类风险，全面提升企业管理水平。

（作者单位：中喜会计师事务所（特殊普通合伙）深圳分所）