商顯周

摘 要：隨著現(xiàn)代信息技術(shù)的發(fā)展，企業(yè)為了實(shí)現(xiàn)內(nèi)部控制的高效化管理，ERP在企業(yè)內(nèi)部得到了廣泛的使用。但ERP的效 果是否能夠體現(xiàn)出來(lái)，關(guān)鍵在于實(shí)施ERP企業(yè)的企業(yè)環(huán)境及其對(duì)風(fēng)險(xiǎn)的把控是否到位。本文在分析ERP系統(tǒng)環(huán)境下企業(yè)內(nèi)部控制風(fēng)險(xiǎn)防范的重要性基礎(chǔ)上，深入探討了ERP系統(tǒng)環(huán)境下企業(yè)內(nèi)部控制風(fēng)險(xiǎn)及其識(shí)別，并針對(duì)性地提出了ERP系統(tǒng)環(huán)境下企業(yè)內(nèi)部控制風(fēng)險(xiǎn)防范對(duì)策。

關(guān)鍵詞：ERP系統(tǒng) 內(nèi)部控制 風(fēng)險(xiǎn)防范

中圖分類號(hào)：F275 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：2096-0298（2018）09（c）-081-02

ERP即Enterprise Resource Planning，意思是“企業(yè)資源計(jì)劃”。是由美國(guó)在20世紀(jì)90年代初提出來(lái)的理念，是指在物料需求計(jì)劃和制造資源計(jì)劃的基礎(chǔ)上發(fā)展起來(lái)的更高層次的管理理念和模式。這些是建立在計(jì)算機(jī)網(wǎng)絡(luò)基礎(chǔ)之上，利用現(xiàn)代企業(yè)先進(jìn)的生產(chǎn)、管理理念，全面高度集中了企業(yè)各個(gè)方面的資源、信息，并為企業(yè)提供決策、計(jì)劃、控制與經(jīng)營(yíng)業(yè)績(jī)?cè)u(píng)估的全方位和系統(tǒng)化的管理平臺(tái)。從以上的定義來(lái)看，ERP系統(tǒng)對(duì)于現(xiàn)在企業(yè)來(lái)說(shuō)是一種必不可少的系統(tǒng)。

隨著現(xiàn)代信息技術(shù)的發(fā)展，企業(yè)為了實(shí)現(xiàn)內(nèi)部控制的高效化管理，ERP在企業(yè)內(nèi)部得到了廣泛的使用。但ERP的效果是否能夠體現(xiàn)出來(lái)，關(guān)鍵在于實(shí)施ERP企業(yè)的企業(yè)環(huán)境及對(duì)風(fēng)險(xiǎn)的把控是否到位。所以做好ERP工作是現(xiàn)在企業(yè)的必經(jīng)之路，因此探討ERP系統(tǒng)環(huán)境下企業(yè)內(nèi)部控制風(fēng)險(xiǎn)及其防范具有重要的現(xiàn)實(shí)意義。

1 ERP系統(tǒng)環(huán)境下企業(yè)內(nèi)部控制風(fēng)險(xiǎn)及其識(shí)別

1.1 不能正確理解ERP帶來(lái)的風(fēng)險(xiǎn)

無(wú)法充分認(rèn)識(shí)到ERP的重要性。ERP從產(chǎn)生到現(xiàn)在才不到30年的發(fā)展時(shí)間。許多人在工作中接觸時(shí)間不長(zhǎng)，甚至有些人根本不了解ERP。在實(shí)施ERP的過(guò)程中，認(rèn)為它只是一種減少工作的工具，甚至認(rèn)為它只是給財(cái)務(wù)提供數(shù)據(jù)的軟件， 更多的是將ERP當(dāng)成了網(wǎng)絡(luò)技術(shù)的延伸層面，說(shuō)白了就是把此系統(tǒng)僅僅定位到技術(shù)層次。而且實(shí)施ERP會(huì)改變以人的工作流程及工作方式，會(huì)讓許多人產(chǎn)生或多或少的不適應(yīng)，因?yàn)楦淖児逃心Ｊ奖旧砭褪且豁?xiàng)大的挑戰(zhàn)。本身對(duì)ERP認(rèn)知不夠，加之不想更改工作方式，這樣在實(shí)施過(guò)程中就不會(huì)有太高的積極性。別說(shuō)提高工作效率，增強(qiáng)企業(yè)內(nèi)部控制力度，就算基本的作用都難以體現(xiàn)出來(lái)。

與上一種情況相反，還有就是認(rèn)為ERP是萬(wàn)能的，過(guò)度依賴、要求ERP。上了ERP后，所有工作都會(huì)減輕。在上軟件時(shí)要求其能滿足自己所有要求，如果有一點(diǎn)不能滿足就對(duì)其作用產(chǎn)生疑問(wèn)，以至于會(huì)作出阻礙甚至退出ERP的行為，造成不可預(yù)估的后果。

1.2 ERP實(shí)施過(guò)程中內(nèi)部控制的管控風(fēng)險(xiǎn)

ERP系統(tǒng)的最終目的是為了增加控制手段的高效性和多樣性，增加內(nèi)控體系的預(yù)防、檢查、修正功能。但如果在實(shí)施過(guò)程中就把相關(guān)數(shù)據(jù)輸入錯(cuò)誤或者數(shù)據(jù)被任意修改，那它的內(nèi)控作用就只會(huì)是表面上的控制，實(shí)質(zhì)未做到真正的把控作用。所以，在ERP實(shí)施過(guò)程中，內(nèi)部管控是重中之重。

1.3 運(yùn)行中的網(wǎng)絡(luò)風(fēng)險(xiǎn)

ERP實(shí)施后的內(nèi)部控制，不單純是在企業(yè)內(nèi)部的各個(gè)職能科室之間，還有可能會(huì)有其他地區(qū)的分、子公司也通過(guò)網(wǎng)絡(luò)進(jìn)行聯(lián)系。而開放性是網(wǎng)絡(luò)環(huán)境的一個(gè)明顯特點(diǎn)，企業(yè)發(fā)布的各類信息都可能會(huì)讓其他人通過(guò)網(wǎng)絡(luò)訪問(wèn)到，由此可以看出，網(wǎng)絡(luò)雖然給企業(yè)帶來(lái)了便捷，但也無(wú)法避免的面臨著外部各種各樣的風(fēng)險(xiǎn)，讓企業(yè)的各類信息、相關(guān)系統(tǒng)受到嚴(yán)重的威脅。如果企業(yè)的內(nèi)部控制系統(tǒng)一旦受到破壞，導(dǎo)致數(shù)據(jù)丟失或者損壞，將會(huì)給企業(yè)造成不可估量、不可挽回的損失。

2 ERP系統(tǒng)環(huán)境下企業(yè)內(nèi)部控制風(fēng)險(xiǎn)防范

2.1 對(duì)ERP系統(tǒng)帶來(lái)的風(fēng)險(xiǎn)認(rèn)識(shí)不到位的風(fēng)險(xiǎn)控制

對(duì)于不能充分認(rèn)識(shí)ERP的重要性及過(guò)度依賴、要求ERP，都是由于對(duì)系統(tǒng)的認(rèn)知不到位。解決辦法就是對(duì)工作人員進(jìn)行專業(yè)知識(shí)的培訓(xùn)，來(lái)提高相關(guān)人員的專業(yè)知識(shí)貯備及專業(yè)的素養(yǎng)，此方法是為了改變以往工作模式形成的固有工作習(xí)慣，調(diào)動(dòng)每個(gè)人員的工作潛力。與此同時(shí)，公司也可以建立、建全新系統(tǒng)使用的考核、激勵(lì)制度，用來(lái)調(diào)動(dòng)人員的工作積極性。而且也要對(duì)員工進(jìn)行時(shí)時(shí)監(jiān)督，以保證集體和個(gè)人都能按照既定方案、無(wú)偏差的進(jìn)行運(yùn)作下去。

積極有效的提高企業(yè)相關(guān)崗位人員的專業(yè)知識(shí)。ERP的實(shí)施對(duì)相關(guān)會(huì)計(jì)崗位人員素質(zhì)要求更高。筆者認(rèn)為只有從根本上提高會(huì)計(jì)管理人員本身的內(nèi)部控制能力，企業(yè)的內(nèi)部控制才會(huì)得到很好的執(zhí)行。ERP的應(yīng)用目的是為了讓內(nèi)部控制由傳統(tǒng)的以人為主變成為以電腦為主。這種變化就對(duì)相關(guān)的操作人員及管理人員的計(jì)算機(jī)知識(shí)、財(cái)務(wù)知識(shí)、管理經(jīng)驗(yàn)提出了更高的要求，特別是對(duì)管理人員的要求更加明顯。對(duì)此，企業(yè)要通過(guò)各種手段來(lái)提高相應(yīng)操作、管理人員的綜合素質(zhì)。首先，增加專業(yè)知識(shí)的學(xué)習(xí)與培訓(xùn)，提高人員專業(yè)知識(shí)；其次，通過(guò)各種手段，提高工作人員的綜合業(yè)務(wù)能力及專業(yè)素養(yǎng)。而會(huì)計(jì)部門的相關(guān)領(lǐng)導(dǎo)是關(guān)鍵崗位，對(duì)自身的專業(yè)知識(shí)更要大步提高；最后，加強(qiáng)相關(guān)工作人員網(wǎng)絡(luò)安全的意識(shí)，做好相關(guān)數(shù)據(jù)的安全處理工作。

2.2 ERP實(shí)施過(guò)程中內(nèi)部控制的風(fēng)險(xiǎn)控制

2.2.1 事前預(yù)防

人員功能操作權(quán)限的合理分配：根據(jù)企業(yè)內(nèi)部的人員結(jié)構(gòu)、相關(guān)人員的工作崗位，明細(xì)設(shè)置每個(gè)操作人員的功能權(quán)限及其對(duì)數(shù)據(jù)的查詢范圍，并在使用后督促操作員進(jìn)行修改初始密碼操作。這樣ERP系統(tǒng)才能保證各類數(shù)據(jù)均由被指定的操作員才能錄入；規(guī)定哪些人員能有錄入、查詢權(quán)限，哪些人員只能有查詢權(quán)限不能有更改數(shù)據(jù)權(quán)限，哪些員工只能有錄入不能有審核權(quán)限，哪些員工只能有審核權(quán)限而不能有修改數(shù)據(jù)權(quán)限等。

系統(tǒng)數(shù)據(jù)錄入的權(quán)限分配：初始單據(jù)的錄入是后續(xù)一切操作的唯一數(shù)據(jù)源，它的正確性直接決定了整個(gè)信息系統(tǒng)數(shù)據(jù)的準(zhǔn)確性，由此可見，錄入數(shù)據(jù)時(shí)一定要保證其正確性、合法性，而且要求有真實(shí)、正確的原始單據(jù)作為基礎(chǔ)依據(jù)；與此同時(shí)，其他系統(tǒng)數(shù)據(jù)的錄入也是一樣的標(biāo)準(zhǔn)，只有這樣做，才能保證ERP系統(tǒng)在以后的運(yùn)行及進(jìn)行內(nèi)部控制的有效性及正確性。

責(zé)任歸屬的劃分：把操作權(quán)限及數(shù)據(jù)錄入兩方面都做好分配后，還要把監(jiān)督的權(quán)責(zé)分清楚、明確，某一具體模塊的把控以及審查、審核都要明確到具體的人。這樣有什么問(wèn)題都可找到具體的負(fù)責(zé)人，這樣便于責(zé)任的區(qū)分及問(wèn)題的及時(shí)解決。

2.2.2 事中控制

日常數(shù)據(jù)的錄入控制：在數(shù)據(jù)錄入前需要預(yù)先在ERP中設(shè)置好相關(guān)程序和公式，能夠合理拒絕不符合常規(guī)規(guī)范的操作和數(shù)據(jù)錄入。能夠自動(dòng)完成計(jì)提、攤銷、成本結(jié)轉(zhuǎn)、費(fèi)用結(jié)轉(zhuǎn)、利潤(rùn)結(jié)轉(zhuǎn)等常規(guī)操作，減少手工錄入操作的失誤率。

單據(jù)審批流向的控制：?jiǎn)螕?jù)從錄入到最后的完成需要有多人的審批。以銷售物品為例，首先外跑業(yè)務(wù)員接到定單后，只能把相關(guān)的物品數(shù)據(jù)記錄并傳遞給專門ERP數(shù)據(jù)的錄入人員，錄入操作員錄入后傳遞到開票人處，經(jīng)過(guò)開票人的初步審批后傳遞到相關(guān)負(fù)責(zé)人處，再由相關(guān)負(fù)責(zé)人審批后才可以開票，開票后單據(jù)繼續(xù)傳遞到財(cái)務(wù)，由財(cái)務(wù)進(jìn)行核對(duì)后審批，才能傳遞到倉(cāng)庫(kù)，由倉(cāng)庫(kù)再次核對(duì)后才能發(fā)貨。此流程經(jīng)過(guò)4個(gè)部門6個(gè)操作人員的審批，就會(huì)大大減少數(shù)據(jù)的錯(cuò)誤，提高內(nèi)部控制的力度。

操作痕跡的把控制：由于ERP的操作都是在電腦上完成，就會(huì)產(chǎn)生單據(jù)被修改，數(shù)據(jù)被刪除等相應(yīng)的風(fēng)險(xiǎn)。做好操作痕跡的留存及備份，出現(xiàn)問(wèn)題后通過(guò)痕跡查詢就可找到具體的操作人。這樣就降低了篡改數(shù)據(jù)的可能性。

2.2.3 事后處理

數(shù)據(jù)合理性、合法性的審計(jì)：數(shù)據(jù)錄入完成后，分配專人進(jìn)行數(shù)據(jù)審計(jì)。根據(jù)不相容職務(wù)分離的原則，審計(jì)人員不能參與到數(shù)據(jù)錄入。這樣就可以減少錯(cuò)弊。審計(jì)后將發(fā)現(xiàn)的問(wèn)題匯總并發(fā)布，讓各個(gè)部門及分子公司學(xué)習(xí)，減少、杜絕相似問(wèn)題的再次出現(xiàn)。

對(duì)數(shù)據(jù)風(fēng)險(xiǎn)進(jìn)行正確高效的評(píng)估：在平時(shí)的工作中，企業(yè)肯定會(huì)面臨形形色色的風(fēng)險(xiǎn)，ERP系統(tǒng)可以相應(yīng)設(shè)計(jì)一些檢測(cè)風(fēng)險(xiǎn)的模型，自動(dòng)根據(jù)相關(guān)數(shù)據(jù)生成風(fēng)險(xiǎn)評(píng)估結(jié)論。根據(jù)結(jié)論可采取對(duì)應(yīng)合理的避險(xiǎn)方案，讓企業(yè)更有效的規(guī)避風(fēng)險(xiǎn)。

2.3 對(duì)于ERP運(yùn)行過(guò)程中網(wǎng)絡(luò)風(fēng)險(xiǎn)的控制

首先，嚴(yán)格做好病毒防護(hù)、控制工作，加強(qiáng)ERP系統(tǒng)的安全性，定期更新病毒庫(kù)，努力健全與完善相應(yīng)的病毒預(yù)防、保障措施。并做好數(shù)據(jù)的備份留存，做好硬盤數(shù)據(jù)雙備份，多備份，甚至網(wǎng)絡(luò)備份。出問(wèn)題后能保證數(shù)據(jù)的完整性。

其次，要加強(qiáng)對(duì)網(wǎng)絡(luò)安全的管控力度，方法是：通過(guò)設(shè)置有效的虛擬或物理防火墻，起到一定的攔截、保護(hù)作用，更要做好企業(yè)對(duì)內(nèi)部數(shù)據(jù)的加密和保密等相關(guān)安全工作。具體方法如對(duì)系統(tǒng)操作員及使用人員口令進(jìn)行多重?cái)?shù)據(jù)加密并規(guī)定好要對(duì)密碼進(jìn)行定期、不定期的更改、對(duì)要求訪問(wèn)ERP系統(tǒng)的外來(lái)進(jìn)行功能權(quán)限和數(shù)據(jù)權(quán)限進(jìn)行設(shè)置、要求工作人員進(jìn)行用戶身份的認(rèn)證等手段。還有就是通過(guò)硬件加密技術(shù)對(duì)網(wǎng)絡(luò)安全進(jìn)行有效控制，如運(yùn)用VPN（虛擬局域網(wǎng)）進(jìn)行網(wǎng)絡(luò)隔離。

再次，做好原始數(shù)據(jù)錄入人員電腦的安全防護(hù)，減少源頭病毒入侵的可能性。如果需要可以對(duì)操作員進(jìn)行內(nèi)、外網(wǎng)隔離，這樣就能有效的控制病毒入侵，減少網(wǎng)絡(luò)的風(fēng)險(xiǎn)。

最后，網(wǎng)絡(luò)管理人員要做到在ERP系統(tǒng)正常運(yùn)行的情況下，對(duì)服務(wù)器系統(tǒng)及系統(tǒng)數(shù)據(jù)庫(kù)定時(shí)、不定時(shí)的檢測(cè)、查詢，以便提早發(fā)現(xiàn)問(wèn)題并解決。將問(wèn)題影響程度控制在最小的范圍內(nèi)。

3 結(jié)語(yǔ)

綜上所述，筆者認(rèn)為在企業(yè)實(shí)行ERP進(jìn)行內(nèi)部控制過(guò)程中，企業(yè)環(huán)境及對(duì)風(fēng)險(xiǎn)的控制是起著決定性的作用。只有做好以上各個(gè)方面的工作，才能讓ERP正常、高效的運(yùn)行，才會(huì)使企業(yè)內(nèi)控得到更高效發(fā)揮。

參考文獻(xiàn)

[1] 鞠成曉.基于ERP環(huán)境下企業(yè)內(nèi)部控制的建設(shè)思路[J].企業(yè)經(jīng)濟(jì)，2013（9）.

[2] 張啟彬.ERP系統(tǒng)實(shí)施過(guò)程中完善企業(yè)內(nèi)部控制管理的相關(guān)探討[J].中國(guó)總會(huì)計(jì)師月刊，2017（4）.

[3] 任飛.ERP系統(tǒng)在國(guó)企內(nèi)部控制中的運(yùn)用研究[J].聚集，2017（6）.

[4] 羅麗偉.淺談企業(yè)ERP系統(tǒng)環(huán)境下的內(nèi)部控制[J].中國(guó)管理信息化，2010（18）.