劉鐵龍 中煤張家口煤礦機械有限責任公司

一、ERP系統(tǒng)與內(nèi)部控制內(nèi)涵

ERP即企業(yè)資源計劃(Enterprise Resource Planning)是由美國公司Gartner Group在二十世紀九十年代研制的企業(yè)資源信息系統(tǒng),內(nèi)容主要包括生產(chǎn)資源計劃、生產(chǎn)、供應、營銷、財務管理、品質(zhì)管理體系、實驗室信息管理、業(yè)務流程管理系統(tǒng)、存貨管理、產(chǎn)品分銷和物流信息管理、人員管理和定期報表等子系統(tǒng)集成。ERP具有完善的組織架構(gòu),保障企業(yè)內(nèi)不同組織單位間、企業(yè)與外部的經(jīng)營單位間的配合,保障公司跨地區(qū)跨國的運營。ERP重在打通企業(yè)內(nèi)部不同部門的信息壁壘,提升業(yè)務端到財務端的自動化處理程序,形成業(yè)務驅(qū)動的財務共享處理平臺。

以風險為導向的內(nèi)部控制整體框架，是由董事會、監(jiān)事會、最高管理層以及所有人員共同進行的控制流程,以達到合理確保公司運營過程合法合規(guī)、資產(chǎn)安全、公司財務報表和有關信息的真實完備、改善公司運營效率與效果的企業(yè)總體目標。內(nèi)控在形式上表現(xiàn)為一套流程，內(nèi)控流程的主要功能就是制衡。通過制衡性的流程防控風險。以制度為主、手冊為輔、制度與手冊并舉。只有創(chuàng)建適合ERP環(huán)境的內(nèi)控制度,嚴控內(nèi)控風險,才能達到企業(yè)內(nèi)部控制目標,提升企業(yè)管理水平。

二、ERP環(huán)境下內(nèi)部控制的風險

企業(yè)在推行ERP的過程中,組織再造和內(nèi)部工作測評將是企業(yè)推動業(yè)務流程改革的關鍵手段,而在此基礎上的內(nèi)部控制也必定會受到相應的不利影響,從而使得企業(yè)內(nèi)控遇到新的風險與挑戰(zhàn)。所以企業(yè)管理者應該積極主動地以全新的視角來分析評估ERP條件下內(nèi)控的新變革與新風險,并有效減少內(nèi)控風險。

(一）內(nèi)部控制要素構(gòu)成的變化及其帶來的風險

內(nèi)部控制要素包含控制環(huán)境、風險評估、控制活動以及信息、監(jiān)督等要素，在ERP視角下，企業(yè)的內(nèi)部控制工作要結(jié)合企業(yè)的實際情況，對企業(yè)的控制活動及監(jiān)督制度等進行完善，從而提高企業(yè)內(nèi)部控制的靈活性。在建立內(nèi)部控制體系中，則需要在內(nèi)部控制的視角下，通過ERP的實施，對企業(yè)內(nèi)部控制過程進行完善，降低企業(yè)經(jīng)營與發(fā)展的風險，并在內(nèi)部控制視角下，實現(xiàn)企業(yè)業(yè)務經(jīng)營與發(fā)展水平提升。

從內(nèi)部控制環(huán)境的角度分析，在ERP環(huán)境下，調(diào)整企業(yè)的組織結(jié)構(gòu)，并對管理結(jié)構(gòu)以及控制方式等進行優(yōu)化，提高內(nèi)部控制水平，降低企業(yè)的內(nèi)部控制風險。

從風險評價的角度分析，ERP的實施下，可從風險評估、風險控制的角度，對內(nèi)部控制風險進行有效防控。在ERP系統(tǒng)的應用下，可將信息技術與企業(yè)業(yè)務活動有機結(jié)合在一起，并通過信息技術的應用，對企業(yè)的內(nèi)部控制風險進行評價與分析，例如，在利用計算機系統(tǒng)中，可對相關電子數(shù)據(jù)的改寫、刪除以及提取應用等相關風險進行綜合控制，降低企業(yè)的內(nèi)部數(shù)據(jù)安全風險，從而滿足企業(yè)穩(wěn)定發(fā)展的需求。

從企業(yè)內(nèi)部控制活動的角度分析，ERP的實施與落實，則需要在現(xiàn)有內(nèi)部控制體系的基礎上，對企業(yè)的業(yè)務活動、經(jīng)營發(fā)展等進行控制，在企業(yè)內(nèi)部形成新的管理理念，并通過信息技術與檢查審批工作，對控制程序進行優(yōu)化，達到提升內(nèi)部控制水平的目的。與此同時，在信息技術的應用下，會進一步增加企業(yè)內(nèi)部控制的復雜性以及難度。

從內(nèi)部控制信息溝通的角度進行分析，在ERP環(huán)境下，企業(yè)的業(yè)務流程實現(xiàn)了信息化發(fā)展，通過信息傳輸與內(nèi)部溝通機制的優(yōu)化，對企業(yè)內(nèi)部信息傳輸過程進行完善，從而提高企業(yè)的內(nèi)部信息溝通水平。在獲取企業(yè)內(nèi)部信息的過程中，以ERP為基礎，對企業(yè)的內(nèi)部信息溝通過程進行優(yōu)化，并在企業(yè)信息監(jiān)督與審核的基礎上，提高ERP系統(tǒng)在企業(yè)業(yè)務控制中的應用水平。在ERP系統(tǒng)建設與應用中，企業(yè)內(nèi)部控制體系的建設與應用，對ERP的運行過程以及應用程序等進行控制，并在信息化監(jiān)督的視角下，對企業(yè)內(nèi)部信息溝通以及業(yè)務活動等進行綜合管理，在數(shù)據(jù)管理與控制的基礎上，提高企業(yè)內(nèi)部控制與管理的綜合水平。

（二）業(yè)務流程風險

ERP業(yè)務流程建設與應用，其仍然會出現(xiàn)業(yè)務流程風險，企業(yè)內(nèi)部控制與發(fā)展中，業(yè)務流程與信息應用對企業(yè)的內(nèi)部管理水平會產(chǎn)生直接的影響，因此，在ERP業(yè)務流程管理與分析中，建立的信息流與企業(yè)的人才、資產(chǎn)可實現(xiàn)有效整合，并支持公司的內(nèi)部控制流程再造與發(fā)展。企業(yè)在穩(wěn)定發(fā)展的過程中，決策信息的有效應用對ERP項目發(fā)展會產(chǎn)生直接的影響，且在利用ERP系統(tǒng)的過程中，企業(yè)現(xiàn)有業(yè)務流程再造要在ERP系統(tǒng)的應用下，企業(yè)需要考慮ERP系統(tǒng)的適用性，并分析ERP系統(tǒng)與企業(yè)業(yè)務發(fā)展之間的關聯(lián)性，這對企業(yè)的信息化發(fā)展會產(chǎn)生直接的影響。ERP系統(tǒng)建設與應用中，結(jié)合企業(yè)的業(yè)務控制需求，在選定ERP軟件系統(tǒng)后，可從技術、業(yè)務管理以及內(nèi)部控制等角度，對企業(yè)的業(yè)務流程進行再造與優(yōu)化。企業(yè)業(yè)務流程風險包含信息風險、管理風險以及技術風險等，ERP系統(tǒng)應用下，業(yè)務流程再造與ERP系統(tǒng)操作有效性有直接關系，在這一過程中，如果出現(xiàn)信息失真或信息丟失的情況，對企業(yè)的業(yè)務管理與內(nèi)部控制水平等會產(chǎn)生直接的影響。在利用ERP系統(tǒng)后，缺少相關的技術管理人員對ERP系統(tǒng)進行操作與管理，直接影響ERP系統(tǒng)在企業(yè)內(nèi)部控制中的應用水平。企業(yè)在自身的整體業(yè)務流程如果沒有根據(jù)所選ERP系統(tǒng)先進理念進行梳理整合的情況下，就匆忙實施,將會使ERP流于形式,而沒法起到應有效果。但由于ERP軟件系統(tǒng)通常是固化的模型架構(gòu),因此系統(tǒng)并沒法靈活地滿足企業(yè)個性流程需求。企業(yè)在實施內(nèi)部管理體系改革和業(yè)務流程重整時也就很難真正實現(xiàn)從內(nèi)部組織架構(gòu)、業(yè)務流程等全方位適應ERP體系的效果[1]。另外公司的內(nèi)部機構(gòu)重組和管理流程簡化,也往往會導致很多審核審批環(huán)節(jié)的遺漏,甚至使審核審批環(huán)節(jié)因為沒有紙質(zhì)形式,常會發(fā)生由于審核人員的惰性造成審核流于形式,造成一定風險。在這些情形下,手工環(huán)境中用作公司內(nèi)部管理的一些審計線索,在ERP系統(tǒng)體系推出之后就消失了。這種改變也在一定程度上削弱了公司內(nèi)控管理的有效性。

（三）系統(tǒng)運行風險

ERP系統(tǒng)是承載著先進企業(yè)管理思維的信息系統(tǒng)平臺,是公司業(yè)務流與信息流的高度集合體。ERP的有效實現(xiàn),有賴于計算機軟、硬件的信息化水平。但由于計算機病毒和惡意軟件的存在、信息系統(tǒng)軟件設計的缺陷、信息系統(tǒng)運行的失敗、內(nèi)部人員的未經(jīng)許可的非法訪問、以及人們對風險管理意識的欠缺等,都會使ERP信息系統(tǒng)受到了巨大的安全威脅,進而引發(fā)了系統(tǒng)運行風險，也必然危害內(nèi)控的有效性。

三、ERP環(huán)境下企業(yè)內(nèi)部控制風險的應對

在ERP環(huán)境下企業(yè)內(nèi)部管控風險的管理,首先就應該確定內(nèi)控體系中在ERP推行之后將會存在的哪些風險。然后再針對這些風險運用風險評價手段重新對整個業(yè)務流程,以及管理中的各個環(huán)節(jié)所可能的缺陷做出評價,從而評估各控制風險所可能出現(xiàn)的概率及其導致?lián)p失的嚴重程度。并由此選定適當?shù)娘L險管理工具。對風險處理工具的選用,應當建立在“成本效益分析”的基礎上。企業(yè)必須在確定的內(nèi)控風險的基礎上,主動地采取措施來轉(zhuǎn)移和防范風險。

（一）加強全面預算管理控制和建立健全ERP崗位設置

ERP環(huán)境下，企業(yè)內(nèi)部風險控制要重視企業(yè)內(nèi)部財務預算管理以及崗位設置等相關工作的落實，與此同時，在對預算計劃以及企業(yè)運行狀態(tài)等進行綜合控制中，則需要在ERP系統(tǒng)的應用下，根據(jù)企業(yè)的運營狀況以及企業(yè)管理決策制定，要通過ERP系統(tǒng)反饋的真實數(shù)據(jù)，對企業(yè)的運營狀態(tài)以及內(nèi)部控制需求等進行綜合控制，并在全面預算管理的基礎上，為企業(yè)決策提供具有前瞻性、及時性的參考數(shù)據(jù)，從而提高企業(yè)經(jīng)營決策的有效性與可靠性。與此同時，在ERP系統(tǒng)下，企業(yè)全面預算管理工作的開展，要結(jié)合企業(yè)全面預算管理控制需求以及ERP崗位設置，對企業(yè)的內(nèi)部控制進行調(diào)整，并結(jié)合企業(yè)的戰(zhàn)略發(fā)展需求，對現(xiàn)有崗位制定與發(fā)展管理等進行綜合控制，以ERP系統(tǒng)，對企業(yè)的全面預算管理模式進行調(diào)整，提高企業(yè)崗位管理以及預算管理的綜合水平。編制流程崗位對應表，將每個流程標準切實落實到在崗員工，通過每位員工對內(nèi)控制度的切實執(zhí)行，加強基礎管理工作，使企業(yè)內(nèi)控建設得到有力推動。人機的相互配合，才能充分發(fā)揮ERP的巨大優(yōu)勢[2]。另一方面，要堅持不相容職務分離原則，企業(yè)建立內(nèi)部控制制度要針對企業(yè)的全面預算管理方式、會計工作方式、財務核算以及權限劃分等進行綜合管理，在崗位職責劃分以及財務業(yè)務管理的基礎上，提高企業(yè)財務管控與監(jiān)督的綜合水平。

（二）內(nèi)部審計技術人員參與系統(tǒng)實施與二次開發(fā)

ERP系統(tǒng)導入企業(yè)后,可能因為其固定模型不符合企業(yè)自身的業(yè)務流程,為適應企業(yè)的需要，就有必要對系統(tǒng)進行改型和內(nèi)部二次開發(fā)。內(nèi)審人員應該介入其中,使其適應新形勢的審計需要，充當變革促進者，運用自己的內(nèi)控經(jīng)驗對ERP系統(tǒng)執(zhí)行中關鍵控制節(jié)點的設計提供咨詢,制定適宜的內(nèi)控流程并嵌入業(yè)務流程，與業(yè)務流程有機整合，一體化運作。內(nèi)控流程的要素至少包括控制點、控制標準、控制痕跡[3]。盡最大限度減少因業(yè)務流程重構(gòu)和簡化造成的管理隱患。

（三）強化人員培訓，有效降低實施環(huán)境及技術風險

ERP系統(tǒng)的應用要保證操作人員的技術水平，優(yōu)化ERP系統(tǒng)的運行環(huán)境，降低ERP操作與應用的技術風險，可提高ERP系統(tǒng)在企業(yè)內(nèi)部控制中的應用效果。因此，企業(yè)在引入ERP系統(tǒng)后，要對相關操作人員的技術操作能力、財務管理能力等進行培訓，提高技術人員對ERP系統(tǒng)操作的有效性，避免人為操作對企業(yè)內(nèi)部控制產(chǎn)生負面影響。開展培訓工作中，可在業(yè)務培訓與管理的基礎上，對ERP系統(tǒng)的操作過程以及業(yè)務處理過程進行優(yōu)化，從而提高企業(yè)相關技術人員的ERP操作水平，滿足企業(yè)內(nèi)部控制的綜合發(fā)展需求。這就需要有計劃地對各級次人員進行有關ERP業(yè)務的培訓，并且分工協(xié)作，發(fā)揮集體的智慧。這樣讓企業(yè)接受ERP體系先進管理理念，做到事前規(guī)劃和事中控制，這樣才能夠避免理念沖突。通過加強內(nèi)控觀念的灌輸,從而優(yōu)化內(nèi)部控制環(huán)境。另外通過計算機應用技術的培訓,能夠提升內(nèi)部人員運用新軟件管理數(shù)據(jù)的效率,也增強了內(nèi)審人員獲取與利用新信息技術的能力,從而降低了實施ERP系統(tǒng)后內(nèi)控的技術風險。ERP系統(tǒng)下，企業(yè)內(nèi)部控制工作的開展與落實，則需從且有內(nèi)部管理以及運行控制的角度進行優(yōu)化，在企業(yè)內(nèi)部管理以及企業(yè)財務核算管理下，可提高企業(yè)的業(yè)務管理與控制水平[4]。

（四）加強信息系統(tǒng)內(nèi)部管控,確保服務質(zhì)量和安全

內(nèi)控流程信息化的趨勢明顯，很多人寄希望于內(nèi)控信息化來再造流程、固化流程，提高流程執(zhí)行力和運作效率[5]。信息系統(tǒng)的內(nèi)部管理主要涉及了信息系統(tǒng)工作的崗位職責管理制度、系統(tǒng)軟硬件管理、系統(tǒng)信息數(shù)據(jù)處理等。崗位職責管理制度主要體現(xiàn)在了嚴格的權限審查及劃分規(guī)則、工作職責劃分原則等。系統(tǒng)軟硬件管理重點是為了保證系統(tǒng)的順利操作,主要涉及了網(wǎng)絡設備檢測、系統(tǒng)軟件開發(fā)工作的管理等。信息數(shù)據(jù)處理重點涉及了數(shù)據(jù)信息保密、備份和恢復、對計算機病毒的保護管理等。企業(yè)的內(nèi)部信息管控以及ERP系統(tǒng)運營管理則要在信息技術的應用下，對且有的信息技術應用以及業(yè)務管理等進行優(yōu)化，從而實現(xiàn)企業(yè)信息管控的綜合水平提升。企業(yè)的ERP系統(tǒng)搭建與應用視角下，在對ERP系統(tǒng)的實際應用進行控制中，可從內(nèi)部管控、業(yè)務管理以及內(nèi)部控制的角度，對信息技術在企業(yè)財務管理、風險評估等進行綜合控制，在利用ERP系統(tǒng)的數(shù)據(jù)傳輸與信息總結(jié)等功能下，可為企業(yè)的內(nèi)部控制方式以及業(yè)務管理決策提供有效依據(jù)。ERP系統(tǒng)的應用下，重視企業(yè)信息系統(tǒng)的內(nèi)部管控，可通過信息數(shù)據(jù)處理，對ERP數(shù)據(jù)的決策性進行評估與管理，從而提高企業(yè)內(nèi)部控制與風險控制的綜合水平。

四、結(jié)語

ERP在企業(yè)的應用,使企業(yè)的內(nèi)部控制環(huán)境發(fā)生了很大變化,只有積極采取有效的內(nèi)部控制措施,才能有效應對風險,實現(xiàn)ERP應用價值最大化。