文| 張健剛

引言

進入21世紀,信息的利用能力已經(jīng)逐漸成為企業(yè)競爭力的代表。隨著中國加入WTO,中國企業(yè)要參與國際競爭，提高企業(yè)競爭力，必須提高信息的利用能力。企業(yè)資源規(guī)劃(Enterprise Resource Planning, ERP)體現(xiàn)了當今世界上最先進的管理理論，并提供了企業(yè)信息化集成的最佳方案。ERP將企業(yè)的物流、信息流和資金流統(tǒng)一在一起進行管理，對企業(yè)所擁有的人力、資金、物資、設備、信息和時間等各項資源進行綜合平衡和充分考慮，最大限度的利用企業(yè)現(xiàn)有的資源取得更大的經(jīng)濟效益，有效地管理企業(yè)的人、財、物、產(chǎn)、供、銷等各項具體工作。

與此同時，內(nèi)部控制也越來越受到廣泛的關注。21世紀初，美國爆出了一系列財務丑聞，導致安然、世通等曾經(jīng)的業(yè)界巨人轟然倒塌，由此催生了《薩班斯一奧克斯利法案》；我國企業(yè)的內(nèi)部控制建設還處于起步階段，近幾年來，一批企業(yè)也因為內(nèi)部控制缺陷出現(xiàn)了不少違法、違規(guī)的現(xiàn)象。諸多國內(nèi)外的案例表明，內(nèi)部控制是現(xiàn)代企業(yè)管理的需要，一個優(yōu)秀的企業(yè)一定擁有一套有效的內(nèi)部控制體系。內(nèi)部控制猶如一座屹然聳立的大廈，企業(yè)內(nèi)的各種要素和資源被統(tǒng)合在這座大廈的各個單元中；同時，各個要素和資源的有機結合和協(xié)調(diào)，支撐著雄偉的大廈既高聳入云，又穩(wěn)如磐石。

本文根據(jù)內(nèi)部控制的原則和目標，從改善控制環(huán)境、信息系統(tǒng)控制、日常管理控制、完善內(nèi)部監(jiān)督機制等方面對ERP環(huán)境下企業(yè)內(nèi)部控制體系的構建進行論述。

企業(yè)建立和實施內(nèi)部控制體系的原則

ERP環(huán)境下，企業(yè)建立和實施內(nèi)部控制的原則可參考我國頒布的《企業(yè)內(nèi)部控制基本規(guī)范》的指引，內(nèi)部控制建立和實施的原則既是企業(yè)建立和實施內(nèi)部控制的指引，也是企業(yè)評價內(nèi)部控制是否健全和有效的依據(jù),主要包括以下五個方面。

全面性原則

全面性是企業(yè)建立內(nèi)部控制體系的重要基本原則之一，企業(yè)建立和實施內(nèi)部控制應涵蓋企業(yè)經(jīng)營的各個方面和全部人員。一方面，企業(yè)應對經(jīng)營管理的全過程進行控制，包括生產(chǎn)、營銷、財務、采購等各個環(huán)節(jié)，企業(yè)的內(nèi)部控制體系應針對人、財、物、信息等各個業(yè)務活動的范圍制定全面的內(nèi)部控制措施；另一方面，企業(yè)內(nèi)部控制應包括企業(yè)的所有人員，包括企業(yè)的高層管理人員，企業(yè)中的每個成員既是控制實施的主體，也是控制行為的客體。

重要性原則

企業(yè)應在全面控制的基礎上，關注高風險領域和關鍵崗位人員，對于關鍵的控制點和重點控制崗位，企業(yè)應進行重點控制，以降低企業(yè)的風險，保證控制的效果。

制衡性原則

企業(yè)在兼顧效率的同時應該在組織機構和崗位職責的設置、業(yè)務流程的制定等方面形成相互監(jiān)督、相互制約的機制。

適應性原則

企業(yè)建立和實施內(nèi)部控制應因地制宜，與企業(yè)所處的狀態(tài)相適應，并隨著企業(yè)狀態(tài)的調(diào)整進行動態(tài)的調(diào)整。企業(yè)所處的狀態(tài)包括企業(yè)的經(jīng)營規(guī)模、業(yè)務范圍、競爭狀況和風險水平等。

成本效益原則

內(nèi)部控制的目標要服務于企業(yè)價值最大化的目標，不是為了內(nèi)部控制而實施內(nèi)部控制，內(nèi)部控制的最終目的是實現(xiàn)企業(yè)價值的最大化。

當為實現(xiàn)內(nèi)部控制目標所采取的控制措施的成本大于預期的收益時，我們說這樣的內(nèi)部控制措施是不可取的。因此，企業(yè)在保證內(nèi)部控制有效性的基礎上應盡量地減少內(nèi)部控制的環(huán)節(jié)，抓住內(nèi)部控制的關鍵環(huán)節(jié)，降低控制成本。

制定ERP環(huán)境下內(nèi)部控制目標

控制目標是企業(yè)設計內(nèi)部控制體系、實施內(nèi)部控制活動的出發(fā)點和落腳點，能否實現(xiàn)內(nèi)部控制的目標是內(nèi)部控制有效性的評價標準。ERP環(huán)境下，企業(yè)內(nèi)部控制的目標與傳統(tǒng)的企業(yè)內(nèi)部控制的目標沒有差別，包括合理保證企業(yè)經(jīng)營的合法合規(guī)、資產(chǎn)安全、財務報告及相關信息的真實完整，提高經(jīng)營效率與效果，促進企業(yè)實現(xiàn)發(fā)展戰(zhàn)略。

企業(yè)應在內(nèi)部控制目標的指引下，對內(nèi)部控制的目標進行逐級分解，形成企業(yè)內(nèi)部控制的具體目標，企業(yè)在具體目標的指引下進行內(nèi)部控制的建立健全和完善，確保內(nèi)部控制設計的全面性和有效性。

ERP環(huán)境下內(nèi)部控制構建的措施

改善內(nèi)部控制環(huán)境

1.理順部門和崗位的職責權限。

ERP的實施,改變了企業(yè)原有的業(yè)務流程，由原有的條塊分割的職能管理模式變更為按照業(yè)務流程管理，實現(xiàn)了“物流、信息流、資金流”的同步流轉。企業(yè)必須及時地理順部門和崗位的工作職責和權限，只有這樣才能實現(xiàn)事事有人做，人人有事做，才能保持員工隊伍的和諧穩(wěn)定，才能將新的工作落實到相應的崗位上。在ERP環(huán)境下理順部門和崗位的職責權限可采取以下步驟：

第一，根據(jù)業(yè)務流程中涉及的各項工作任務進行分類匯總，根據(jù)部門和崗位分配的制衡原則將每項工作落實到具體的部門，如有必要可進行相應的組織結構調(diào)整以適應新的管理模式。

第二，具體分析每項工作的工作強度,工作的時間區(qū)域，綜合考慮不相容的職務相分離的原則，來確定部門內(nèi)部的定崗人數(shù)，崗位工作內(nèi)容、崗位名稱、崗位要求、崗位崗級序列等內(nèi)容。

第三，編制新的組織結構和崗位設置文件。組織結構是指企業(yè)內(nèi)部各部門的組合程序，包括排列順序、空間位置、集散狀態(tài)、職責權限等內(nèi)容以及各個要素之間的相互關系。崗位設置是指部門內(nèi)部的各個崗位的工作描述、崗位要求、考核標準，層級序列等內(nèi)容。

2.提高員工的勝任能力。

勝任能力是企業(yè)管理層和員工掌握完成工作任務、履行崗位職責所需要的知識、技能、經(jīng)驗的總體狀況。勝任能力在內(nèi)部控制的實施中起著重要的基礎性作用，內(nèi)部控制歸根到底是由人來操作的，內(nèi)部控制體系設計得再完善，如果沒有具備勝任能力的的員工，也無法得到充分的貫徹和有效的執(zhí)行。要想內(nèi)部控制得到充分和有效的實施，進而實現(xiàn)企業(yè)預定的內(nèi)部控制的目標，必須保證經(jīng)營管理人員和關鍵崗位員工的勝任能力。由于ERP系統(tǒng)的應用，帶來了工作方式、工作方法、工作能力要求等一系列的變化ERP實施的一個重要的特點就是由原來的職能管理變?yōu)榱鞒坦芾恚耙粋€環(huán)節(jié)對后一個環(huán)節(jié)負責，數(shù)據(jù)不重復錄入，入口唯一，任何一點初始數(shù)據(jù)參數(shù)的錄入差異都可能對后續(xù)的分析造成很大的影響，也就是項目人員常說的一句話“垃圾進、垃圾出"，這樣，就對初始數(shù)據(jù)錄的入準確性提出了更高的要求，對相關崗位員工的專業(yè)水平、責任心和敬業(yè)精神也提出了更高的要求。ERP環(huán)境下企業(yè)內(nèi)部控制體系的構建，其中最重要的基礎就是能夠勝任工作要求的員工隊伍。

如何提高員工的勝任能力，可以從以下幾方面開展工作：

（1）把好招聘關，因為招聘永遠比培訓更重要。招聘適合本企業(yè)文化、具備崗位要求的技能和經(jīng)驗的員工是使企業(yè)保持活力、健康發(fā)展的重要條件。

（2）規(guī)范各崗位的崗位職責，明確各崗位的工作任務，形成適應ERP系統(tǒng)要求的新的《崗位規(guī)范》文本，并以此作為各崗位履行職責和行使權力的依據(jù)。

（3）根據(jù)《崗位規(guī)范》中的崗位職責描述，結合企業(yè)實際情況，分析各崗位完成工作任務所必須的條件，進而明確各崗位要求的能力和知識水平，如學歷、專業(yè)技術職稱、專業(yè)背景、工作經(jīng)驗和相關操作水平等。

（4）實行全員考核。企業(yè)定期對全體人員進行考核評價，形成員工考核評價的量化指標，對不勝任崗位要求的員工進行業(yè)務、技能的培訓，及時提高員工的能力和水平；對于在一定的期限內(nèi)通過培訓仍無法達到履行崗位職責要求的員工，及時轉崗。

（5）企業(yè)的操作環(huán)境、管理方式發(fā)生變化了要及時進行培訓。如ERP系統(tǒng)新投入使用前必須對系統(tǒng)操作的相關最終用戶進行全面的培訓，使員工對系統(tǒng)有一個較為全面的認識，對開展工作所需的基本技能能夠掌握。

信息系統(tǒng)控制

拋開ERP系統(tǒng)先進的管理思想，ERP系統(tǒng)首先是一個信息化產(chǎn)品，是一個企業(yè)級的綜合管理信息系統(tǒng)。因此，ERP環(huán)境下的企業(yè)內(nèi)部控制首先是信息系統(tǒng)的控制，也就是如何保證信息系統(tǒng)的安全穩(wěn)定運行。這項控制設計的關鍵知識是信息系統(tǒng)知識和法律知識，從宏觀上把握應做好以下幾方面工作。

1.硬件系統(tǒng)控制。

硬件系統(tǒng)控制的主要目的是保障硬件系統(tǒng)的安全，硬件系統(tǒng)是信息系統(tǒng)的有形載體，系統(tǒng)運行的有形載體出了問題，系統(tǒng)將無法正常運行，對企業(yè)造成的損失是不可估量的，信息管理部門應該有完善硬件管理制度，至少應包括以下幾方面：

（1）服務器和網(wǎng)絡通信控制。企業(yè)信息管理部門應能夠確保服務器的正常運行，能夠?qū)ν话l(fā)事件有快速應對，如服務器的異地存放，網(wǎng)路加密技術的采取、硬件運行的條件(溫度、濕度)等等。企業(yè)應根據(jù)硬件安全的有關制度和要求制定本企業(yè)的硬件安全管理制度并確保執(zhí)行。

（2）硬件升級維護控制。信息技術的高速發(fā)展以及企業(yè)業(yè)務量的增加都會隨時要求硬件的升級，企業(yè)硬件系統(tǒng)升級要關注以下風險點：硬件的采購管理，避免因為硬件系統(tǒng)的原因造成企業(yè)商業(yè)秘密泄漏或者是信息系統(tǒng)癱瘓；淘汰硬件的技術處理，要將具有存儲數(shù)據(jù)功能的淘汰設備進行必要的消磁處理，使之徹底成為“垃圾”。企業(yè)應在固定資產(chǎn)管理的基礎上單獨建立信息系統(tǒng)設備的管理臺賬，包括硬件的購入信息(包括廠家、規(guī)格型號及各種參數(shù)、采購人員、驗收人員)，使用信息(包括啟用日期、主要用途、使用人等)，退役信息(包括停用日期、簽定人員、技術處理人員、設備流向等)。

（3）數(shù)據(jù)備份控制。信息系統(tǒng)需要定期的數(shù)據(jù)備份，一方面作為重要的檔案進行管理，另一方面為防止意外事件出現(xiàn)后能夠及時恢復。數(shù)據(jù)備份也需要相應的硬件系統(tǒng)作為載體，企業(yè)應建立系統(tǒng)備份管理制度，包括備份的時間頻率,即多長時間備份一次、備份的操作管理權限、備份數(shù)據(jù)的使用管理、備份數(shù)據(jù)的歸檔管理、備份數(shù)據(jù)的失效日期、以及備份數(shù)據(jù)保管需要的專業(yè)條件等。

2.系統(tǒng)開發(fā)與維護控制。

系統(tǒng)投入運行前要進行系統(tǒng)開發(fā)，系統(tǒng)使用后也會存在二次開發(fā)的可能，系統(tǒng)運行中經(jīng)常會維護各項權限或其他信息。系統(tǒng)的開發(fā)與維護控制是ERP環(huán)境下內(nèi)部控制的重要組成部分，因為系統(tǒng)的開發(fā)與維護人員擁有較高的權限，他們可以設置一個用戶并賦予一定的權限，然后進行相應的操作，這樣的操作可能會導致重大的資金支付或其它重大的信息流失，給企業(yè)造成嚴重的損失，因此對系統(tǒng)的開發(fā)與維護控制至關重要。

（1）系統(tǒng)開發(fā)控制。系統(tǒng)的開發(fā)一般會成立專門的項目組，用以協(xié)調(diào)各方面的關系，項目實施的方法論不同，項目組的組成人員也會有所不同。不管采用何種形式，系統(tǒng)開發(fā)控制的關鍵點必須進行重點控制，主要包括以下幾方面：

第一，業(yè)務流程的設計控制。業(yè)務流程設計是今后工作開展的軌道，如何保證業(yè)務流程便捷、安全是業(yè)務流程設計的目標。業(yè)務流程設計，一方面，要保證便捷，也就是說要把不增值的環(huán)節(jié)去掉，以保證系統(tǒng)實施后工作的效率；另一方面,也要確保符合內(nèi)部控制的牽制原則，明確各項關鍵的操作以及關鍵的控制環(huán)節(jié)，確保不相容的職務相分離。因此，業(yè)務流程控制的關鍵在于所有的業(yè)務流程都應該是經(jīng)過專業(yè)部門論證、相應的權限部門批準的，項目部門應持有經(jīng)批準的業(yè)務流程文本(包括流程圖和相應的文字說明)進行系統(tǒng)的定義，并作為重要的項目檔案歸檔。

第二，操作權限設置控制。系統(tǒng)根據(jù)業(yè)務流程的設計會產(chǎn)生不同的操作權限，每個員工會因為身兼不同的崗位而擁有多個權限，系統(tǒng)在開發(fā)階段必須明確不相容崗位的互斥原則，也就是說項目組要組織專業(yè)人員或聘請專業(yè)的咨詢公司對系統(tǒng)設置的所有權限進行整理分類，進行模擬測試，提出不相容(互斥)權限的列表，系統(tǒng)的開發(fā)人員要根據(jù)要求在系統(tǒng)開發(fā)中將不相容的權限定義為互斥權限，具體來說就是當一個操作員要賦予互斥權限時，系統(tǒng)會自動拒絕并提示該權限與該操作員已有的那個權限是互斥權限，通過系統(tǒng)的事前控制做到不相容的職務相分離。

第三，驗收報告控制。ERP系統(tǒng)的驗收報告是系統(tǒng)開發(fā)人員對系統(tǒng)狀態(tài)的承諾，是企業(yè)責任人員履行必要職責的證明，更是ERP系統(tǒng)實施后所有內(nèi)部控制實施的初始資料。為此，企業(yè)必須對驗收報告給予足夠的重視，驗收報告必須具有相關人員的簽字確認，具體驗收報告控制的關鍵點包括系統(tǒng)功能描述、初始數(shù)據(jù)資料、初始權限設置等。

（2）日常維護控制。系統(tǒng)投入使用后，日常的維護必不可少，維護的原因有很多，可能因為職工的調(diào)動需要對員工的權限進行重新設置，可能因為系統(tǒng)不完善進行必要的修補，也可能因為新的政策的實行進行相應的分類調(diào)整等等。企業(yè)必須認真梳理可能存在維護調(diào)整的事項，進行分類匯總，明確各種調(diào)整的審批流程和審批機構、審批崗位，據(jù)此要制定系統(tǒng)維護的審批表格，確保系統(tǒng)運維人員的每項維護操作都是經(jīng)過授權的情況下進行的，為了便于今后核查，系統(tǒng)維護人員應在系統(tǒng)維護的審批表上簽字確認，注明維護時點，并將維護記錄連續(xù)編號存檔，便于審查人員進行相應的檢查。

（3）防病毒控制。信息系統(tǒng)的軟件系統(tǒng)和硬件系統(tǒng)一樣，應定期的維護保養(yǎng)，及時地進行相關的清理，進行必要的查毒殺毒操作，確保信息系統(tǒng)在一個穩(wěn)定的狀態(tài)下運行。

3.系統(tǒng)訪問控制。

ERP環(huán)境下，內(nèi)部控制與以往一個重要的區(qū)別就是以前內(nèi)部控制很多紙制的證據(jù)不存在了，取而代之的是系統(tǒng)的操作日志，如何才能確保每名員工對自己的操作負責，是ERP環(huán)境下企業(yè)內(nèi)部控制的又一重點。

具體說來可以采取如下控制措施：

（1）對有權限的員工進行教育，讓員工認識到自己的操作密碼就像自己的簽字蓋章一樣有效，被他人惡意操作自己要承擔相應的責任，培養(yǎng)員工的保密意識。

（2）系統(tǒng)的強制修改密碼功能。通過程序上的設置，讓用戶在一定的期限到期前必須強制的修改密碼，確保用戶密碼的時效性。比如，系統(tǒng)設置為每人三個月密碼到期，系統(tǒng)在密碼即將滿三個月的時候及時地提醒操作員更換密碼，同時對更換的密碼提出要求，不得與原密碼使用相同的字符等，使用戶密碼處于不斷更新的狀態(tài)，提高密碼的安全性。

（3）對關鍵的崗位密碼實行多重保護，以提高登陸的安全性。比如對財務負責人審批，最終的資金支付崗位的登陸實行U盾或動態(tài)密碼保護等多重保護，也就是說該用戶登陸訪問系統(tǒng)的時候僅僅輸人密碼是不夠的，還得在計算機上插入U盾并且輸入U盾的密碼才能進入；動態(tài)密碼是配置一個密碼器，與系統(tǒng)同步動態(tài)的變更，操作員必須持有動態(tài)密碼器輸人動態(tài)密碼才能登陸訪問系統(tǒng)進行相應的操作。

4.各類關健人員的保密控制。

軟件的開發(fā)人員、系統(tǒng)的運行維護人員、以及關鍵崗位的人員都有機會直接接觸企業(yè)的重要商業(yè)信息，企業(yè)有必要用法律的手段對其行為進行限制。

對企業(yè)的外部人員可以在合同中明確對方的保密責任以及泄密的損失的賠償?shù)鹊?；對于企業(yè)內(nèi)部的員工，一方面應加強保密教育，另一方面應簽訂保密責任書，明確員工的保密責任和泄密處罰措施等。

總之，企業(yè)應發(fā)揮內(nèi)部法律顧問或律師等專業(yè)人士的意見，通過法律手段對有可能泄密的人員的保密責任進行規(guī)范，同時對泄密產(chǎn)生的后果能夠有彌補的途徑。

日常管理控制

1.完善檔案管理控制。

ERP環(huán)境下，企業(yè)檔案的表現(xiàn)形式出現(xiàn)了很多新的變化，各種磁盤、光盤介質(zhì)的檔案大量增加，許多原有的紙制的簽字控制檔案減少，很多有形的控制轉變?yōu)闊o形的控制。在這種情況下，根據(jù)新的形式完善檔案管理控制具有更加重要的意義。

首先，能夠確保系統(tǒng)出現(xiàn)意外時能恢復到最近的狀態(tài)，不給企業(yè)造成較大的損失。

其次，能夠為監(jiān)督控制提供完整的依據(jù)性資料，為企業(yè)內(nèi)部審計監(jiān)督職能的發(fā)揮提供保障。

再次，能夠明確相關人員的責任，提高業(yè)務人員的責任意識，便于出現(xiàn)問題時的責任追究。

完善ERP環(huán)境下的檔案管理控制，在做好原有的檔案管理的基礎工作的同時，應著重做好以下工作：

（1）對具備檔案管理價值的資料、數(shù)進行分類匯總，明確各項歸檔材料的內(nèi)容標準，確保歸檔的材料無一遺漏。

（2）對重要的檔案實行雙備份和異地存放，同時要打印紙制的歸檔材料，提高檔案保管的安全系數(shù)。

（3）ERP環(huán)境下更要關注檔案的及時性，各種紙制的數(shù)據(jù)資料的備份數(shù)據(jù)要做到及時。一方面，便于系統(tǒng)出現(xiàn)意外時恢復到最近的狀態(tài)，另一方面，出于內(nèi)部控制的考慮，減少操作人員篡改數(shù)據(jù)的時間，増加系統(tǒng)的安全性。

（4）企業(yè)應定期檢查各種備份數(shù)據(jù)的有效性，備份的數(shù)據(jù)可能會因為時間的因素導致消磁或其他損壞，定期檢查能夠及時發(fā)現(xiàn)失效的檔案資料，及時進行二次備份，避免企業(yè)出現(xiàn)較大的數(shù)據(jù)損失。

（5）特別強調(diào)兩點：一是對ERP驗收報告和運行初始基礎數(shù)據(jù)的保管，因為這是系統(tǒng)所有運行維護以及數(shù)據(jù)變化的出發(fā)點。二是對各種磁盤、光盤等備份數(shù)據(jù)保管的專業(yè)性，避免因保管不善造成損失。

2.完善內(nèi)部報告控制。

企業(yè)應建立內(nèi)部報告控制，特別是在ERP環(huán)境下，建立完善的內(nèi)部報告控制手段顯得尤為重要。企業(yè)實施ERP后，單位的信息流在系統(tǒng)中自動流轉，各類信息不再像各類紙制的報表資料等在各級管理人員之間傳遞，信息對企業(yè)管理人員的刺激減弱。為了保證重要信息傳遞的及時有效，必須根據(jù)系統(tǒng)的運行來完善企業(yè)的內(nèi)部報告控制措施，明確各類報告的報送時間要求，報送流程，結構與內(nèi)容等等，以便企業(yè)的管理者及時發(fā)現(xiàn)和解決企業(yè)運行中存在的問題。

企業(yè)常用的內(nèi)部報告包括：資金分析報告、費用分析報告、資產(chǎn)分析報告、經(jīng)營分析報告等。

企業(yè)內(nèi)部的各項報告應根據(jù)ERP系統(tǒng)中的數(shù)據(jù)進行分析整理，廣泛利用圖表等手段，通過數(shù)據(jù)的歷史對比和趨勢預測，發(fā)現(xiàn)經(jīng)營管理中存在的問題，對今后的業(yè)務發(fā)展進行科學的預測。

3.授權控制。

授權控制要求企業(yè)根據(jù)部門的職責分工和崗位設置，明確各部門、各崗位辦理經(jīng)濟業(yè)務與事項的權限范圍，審批程序和相應的責任等內(nèi)容。企業(yè)內(nèi)部各級管理人員只能在授權的范圍內(nèi)行使職權和承擔相應的責任，具體業(yè)務的經(jīng)辦人員必須在授權的范圍內(nèi)辦理業(yè)務。

ERP環(huán)境下，企業(yè)內(nèi)部控制的授權控制重點做好以下幾方面：

（1）系統(tǒng)操作授權與實際授權的一致性。如企業(yè)中規(guī)定單筆金額超過10萬元的支出必須經(jīng)過總經(jīng)理審批，10萬元以下由副總經(jīng)理審批，那么在系統(tǒng)的審批工作流中必須進行相應的設置，10萬元以上副總經(jīng)理審核完畢后自動發(fā)往總經(jīng)理審批，經(jīng)總經(jīng)理審批后審批流程才結東；10萬元以下副總經(jīng)理審批后流程即結束。

（2）明確金額重大、重要性高、影響范圍廣的經(jīng)濟業(yè)務與事項實行集體決策和會簽制度。ERP系統(tǒng)雖然體現(xiàn)先進的管理思想，但是作為管理工具，它不能代替人的決策，因此，必須強調(diào)決策的控制以及系統(tǒng)操作的原始證據(jù)。

（3）授權透明化。通過內(nèi)部網(wǎng)站、宣傳櫥窗、大屏幕滾動放映等手段，宣傳企業(yè)重要授權的標準和范圍，提高職工的參與意識和監(jiān)督作用，增強企業(yè)職工對管理人員和重點崗位的監(jiān)督。

4.內(nèi)部控制制度化。

如何使企業(yè)內(nèi)部控制的各項措施落到實處，是企業(yè)內(nèi)部控制能否有效落實的關鍵。根據(jù)中國企業(yè)的實際情況，最好將內(nèi)部控制制度化，將內(nèi)部控制的各項標準、措施、控制責任和控制證據(jù)、獎懲措施等納入到企業(yè)的規(guī)章制度中，并以正式文件頒布，這樣，可提高內(nèi)部控制的權威性和嚴肅性，增加內(nèi)部控制各項措施的控制力，確保內(nèi)部控制能夠有效執(zhí)行。從中國員工的觀念出發(fā)，企業(yè)制度比一般的手冊更具有權威性，通過內(nèi)部控制制度化，能夠更好的保障內(nèi)部控制的嚴格執(zhí)行。

企業(yè)實施ERP以后，企業(yè)經(jīng)營的環(huán)境發(fā)生了很大的變化，必須結合ERP環(huán)境對內(nèi)部控制的要求對企業(yè)的基本管理制度進行修訂和完善。企業(yè)修訂和完善企業(yè)的基本制度可參考以下步驟：

（1）梳理制度體系。企業(yè)根據(jù)企業(yè)的實際情況和管理的側重對企業(yè)的制度體系進行梳理，整理出企業(yè)制度的類別、目錄，明確ERP環(huán)境下企業(yè)需要修訂和完善的相關制度。這里重點強調(diào)要完善相關的系統(tǒng)管理制度，包括操作管理制度、硬件管理制度、ERP相關檔案管理制度等。

（2）修訂完善制度。企業(yè)可組織相關部門和人員，特別要有對ERP系統(tǒng)比較了解的人員參加，對企業(yè)的制度進行修訂，企業(yè)一般的制度至少要包括適用范圍、生效日期、各部門的責任、關鍵的控制點和控制證據(jù)、工作流程、考核與獎懲等。最好是聘請內(nèi)部控制和風險防范方面的專家對制度的修訂進行指導和把關。

（3）組織職工討論、收集意見。制度的撰寫只能是少數(shù)專業(yè)人員，難以全面考慮到利益相關各方的意見，而制度的執(zhí)行可能會設計整個企業(yè)業(yè)務和員工，因此，制度提交最高權利機構審批前，必須組織職工進行討論，吸收合理的意見進行相應的修訂，這樣才能使制度更加完普，制度頒布后才能得到更好的理解、貫徹和執(zhí)行。

（4）提交最高權利機構審批。完成了制度的最終修改后，要提交企業(yè)的最高權利機構審批。審批未通過，繼續(xù)修訂和完善；審批通過后，要以企業(yè)正式文件的形式進行下發(fā)。

（5）進行制度的宣貫和培訓。制度是為了規(guī)范企業(yè)經(jīng)營活動和員工的行為，必須通過必要的宣貫和培訓使員工了解企業(yè)的制度，這樣才能避免出現(xiàn)“無知無畏”的情況，給企業(yè)造成損失。另外，要根據(jù)每個崗位的工作特點，明確應了解的制度，對新上崗人員進行制度的培訓，組織新上崗人員進行制度的學習和考試，考試合格后方能上崗。

完善內(nèi)部監(jiān)督機制

監(jiān)督一方面為內(nèi)部控制的有效執(zhí)行提供合理的保障，另一方面起到對內(nèi)部控制制度的復核作用，能夠及時發(fā)現(xiàn)內(nèi)部控制存在的缺陷。ERP的實施，豐富了企業(yè)監(jiān)督控制的手段，為實時監(jiān)督創(chuàng)造了條件。

1.在系統(tǒng)中設置相應的預警數(shù)據(jù)。

當數(shù)據(jù)達到預警數(shù)據(jù)時系統(tǒng)會自動將報警信息發(fā)送給相關的管理人員。比如企業(yè)的某項費用管理，系統(tǒng)定義為超過去年同期的20%系統(tǒng)將自動報警給財務部門的負責人，當費用的使用超過去年同期的20%以后，財務部門的負責人自動就收到系統(tǒng)的提示信息，財務部門的負責人通過對數(shù)據(jù)進行分析來確定費用發(fā)生的合理性，是否需要向上級主管領導匯報。

2.將系統(tǒng)必要的查詢權限分配給相關的監(jiān)督部門，實現(xiàn)對業(yè)務的實時監(jiān)督。

ERP系統(tǒng)一個優(yōu)勢就是系統(tǒng)的開放性與共享性，只要將相應的權限賦予內(nèi)部審計的有關人員，內(nèi)部審計就可以隨時察看系統(tǒng)的運行情況，業(yè)務的開展是否符合規(guī)定的程序。

3.從內(nèi)部審計監(jiān)督的角度動態(tài)完善內(nèi)部控制制度。

內(nèi)部監(jiān)督首先是對內(nèi)部控制體系是否建立健全，執(zhí)行是否有效進行測試，通過測試能夠發(fā)現(xiàn)內(nèi)部控制設計方面存在的問題，如關鍵的控制證據(jù)是否齊全，控制措施是否得當?shù)?，必要時形成內(nèi)部控制的缺陷報告，以此促使企業(yè)管理者進一步完善內(nèi)部控制制度。