■ 吳春明

（廣安銘鴻環(huán)保科技有限責任公司）

引 言

企業(yè)采取ERP系統，在一定程度上增強了整體經營效率，提高了企業(yè)核心競爭實力。如今，ERP系統已成為企業(yè)經營管理時不可或缺的組成內容，ERP系統具有高效及穩(wěn)定的特點，直接關乎企業(yè)生存情況，但在應用過程中，仍需不斷優(yōu)化該系統設施，以便能進一步保護系統安全。在具體工作過程中，要求企業(yè)審視ERP系統支持下的內部控制工作情況，預防相關風險，并制定有效的防范措施，完善對應的信息安全產品，并推出與信息安全教育有關的活動，幫助相關人員增強安全風險防御意識，為ERP系統在企業(yè)內部控制過程中的穩(wěn)定運行而創(chuàng)造有利條件。

1 ERP系統對我國企業(yè)內部控制的影響

ERP系統是企業(yè)資源計劃（Enterprise Resource Planning ）的簡稱，是針對物資管理（物流）、人力資源管理（人流）、財務資源管理（財流）、信息資源管理（信息流）集成一體化的企業(yè)智能化管理平臺。它對于改善企業(yè)業(yè)務流程、提高企業(yè)核心競爭力具有顯著作用。

1.1 使管理區(qū)域擴大

隨著ERP系統的使用，企業(yè)信息系統內容愈加復雜，涉及人事、財務以及生產等內容，屬于綜合性財務系統[1]。ERP系統拓展了內部控制的范圍，它既能保證會計資料的完整性、給領導決策提供依據、提高工作效率，明確的權責分離，防止浪費和舞弊，又可持續(xù)擴大企業(yè)的內部管理工作影響范圍。在開發(fā)系統、調節(jié)系統權限以及保障網絡系統安全等方面，均可發(fā)揮一定作用。與此同時，還可彌補人為輸入數據以及人工使用會計軟件遺留的缺陷，提高管理及維護效率。這樣一來，即可發(fā)現計算機操作者和維護者之間屬于牽絆的關系，而系統維護人員系統管理人員以及計算機操作人員，各崗位職責也被融入于內部控制工作范圍內。

在企業(yè)正常運作ERP系統模式時，ERP系統內部控制范圍要比傳統模式控制范圍更加廣泛。ERP系統的應用，為企業(yè)內部控制帶來了新的機遇，在ERP支持下，通過輔助計算機技術，可以充實內部控制工作內容，將內部控制范圍延伸至系統權限控制以及網絡安全控制等領域，而且還能監(jiān)控及修改相關系統內容，令企業(yè)內部控制得以全面發(fā)展。因此，和計算機技術有關的工作人員，要明確自身崗位責任，重新規(guī)劃內部控制工作內容，以便能持續(xù)優(yōu)化崗位責任制，令崗位責任愈加精準，發(fā)揮實際作用。

1.2 使內控形式變化

在應用ERP系統后，無需通過“賬賬相符”以及“賬證相符”等方式明確會計憑證是否具有準確性，只要結合原始數據，將其輸入到計算機內，便可全面共享會計數據，生成各種各樣的賬表。這種情況下，內部控制方法有所轉移，逐步滲透到計算機內部。通過計算機軟件，可以核對總賬余額，并且進行試算平衡檢查。因會計電算化程度不一程，序化控制數量有一定差距，隨著電子化程度的提高，涉獵的程序化控制步驟也會變多，這就意味著內控形式會隨著外界形勢而不斷變化。

1.3 使內控核心轉移

受ERP系統的作用，會計工作的很多內容，都通過計算機系統展開處理。這種背景下，與傳統會計內部控制相比，ERP系統支持的企業(yè)內部控制重點發(fā)生了轉移。因此，在控制重點方面，要注重控制人機交互以及輸入輸出會計信息的精準度，當然還要控制計算機系統連接情況等。在電算化系統應用時，電子數據主要是采用快捷軟件處理原始數據，輸入數據正確程度和輸出數據正確性間有一定關系。只有保障輸入的數據足夠真實、可靠，才能保證輸出數據質量。除此之外，需要由專業(yè)人員負責管理及維護計算機系統，嚴格控制計算機系統密碼，劃分具體管理人員權限，并且維護及排除計算機硬件、軟件相關故障，這些均屬于內部控制的重要步驟，可在一定程度上保障會計數據完整性以及安全性。

2 ERP系統下企業(yè)內部控制現存的風險因素分析

2.1 ERP軟件功能與企業(yè)實際需求不匹配

ERP系統實質上是管理的載體，將企業(yè)的管理流程固化在軟件中，對于一些小企業(yè)、初創(chuàng)企業(yè)其業(yè)務量不大，對數據的存檔、記錄方式比較單一。還有一個原因ERP軟件是面向大多數用戶開發(fā)的，有些飼料行業(yè)給客戶的銷售折扣的種類比較多，導致軟件與企業(yè)的實際需求不匹配。

2.2 數據準確率以及安全防護問題凸顯

某些企業(yè)過度依賴ERP系統，這會使他們經常忽略了數據的準確性，殊不知系統極有可能在處理數據過程中出現錯誤，或者直接處理本身便具有瑕疵的數據信息。如果系統的有關安全控制處于無效狀態(tài)，則會增加關于數據信息非授權訪問風險，這種風險的出現，極有可能導致出現虛假交易的請求，無法發(fā)揮拒絕虛假交易請求的處理功能，不能改變系統內數據出現的各種不適情況[3]。在數據外部防護方面，企業(yè)達不到規(guī)范要求。可能造成數據丟失或數據無法訪問的風險，如系統癱瘓。

2.3 多模塊整合處理不規(guī)范

使用ERP系統，可以高效應用企業(yè)資源、整合資源，保障板塊與板塊間密切合作，促使數據能在系統內部有效傳遞與共享。處理數據的方法，會在ERP系統實施過程中出現改變，企業(yè)原本業(yè)務流程管理思想和模式，不符合現有業(yè)務管理需求，如果多模塊整合處理不規(guī)范可能導致數據混亂，系統內部的信息無法與其他企業(yè)或部門的系統整合。

2.4 作業(yè)人員操作素養(yǎng)有待提升

ERP系統實施要根據各個企業(yè)的業(yè)務特點制定項目目標，這就對人才提出更高的要求，需要既懂財務會計，又能熟悉公司業(yè)務的復合型人才與各職能崗位協調和溝通。但目前大多數公司的實際情況是由不懂信息化和公司業(yè)務的財務人員負責實施。導致ERP系統成了財務管理的工具，業(yè)務功能模塊，信息的準確性和有效性得不到保證。個別企業(yè)并未深刻意識到ERP系統在企業(yè)內部控制過程中發(fā)揮的作用，同時由于不熟悉ERP系統，無法及時發(fā)現出現的問題，使得他們在對而被系統進行使用時，不能夠更好地運用其特性，所以應當加強對高層管理者以及相關人員的ERP系統運用的培訓，這樣可以更好幫助他們提升關于ERP系統的相關知識，以及專業(yè)素養(yǎng)這樣可以更好地使他們在工作的過程中對ERP系統進行掌握。這樣可以更好提升他們員工的工作效率，使他們在利用ERP系統進行工作時，能夠更加快速地進行，他們在運行的過程中，應當熟練掌握對ERP系統的操作與檢查，使內部控制人員通過從人到電腦進行轉變，使員工們掌握具體的財務核算知識，以及一些管理知識更好的幫助企業(yè)進行有效的內部管理。

3 ERP系統下企業(yè)內部控制風險防范措施分析

防范ERP系統下企業(yè)內部控制風險，公司必須采取全面有效的風險應對措施，將內部控制的風險控制在可承受的范圍內。下面我根據企業(yè)內部控制基本規(guī)范和配套指引，針對企業(yè)內部控制實踐活動，對完善ERP系統內部控制提出幾點淺見：

3.1 強調數據規(guī)范管理

加強ERP系統業(yè)務數據管理，確保數據及時、準確性，首先要建立企業(yè)內部職責分離制度。操作人員、業(yè)務部門負責人、復核人員職責劃分明確。

操作人員錄入數據的同時采取日志形式做好記錄，這樣既為自己提供了再審核的機會，也是對自己錄入數據的備份。相關業(yè)務操作者對上道工序數據質量進行檢查，對不符合要求及流程的數據及時反饋給上道工序。特別是對異常數據，要求相關責任處理。

3.2 做好安全防護工作

應依據ERP系統的特點和確定的安全目標，打造完善的安全架構體系。參照系統功能特點，預測極有可能出現的各種安全風險，科學劃分每一安全區(qū)域，并且規(guī)定網絡設施范圍、安全設施范圍以及共享信息資源范圍各種情況，實時監(jiān)控網絡運行狀態(tài)。關于各區(qū)域權限用戶名稱，需要按照具體職能進行細致規(guī)范，并且加強統一設置，進一步明確相關區(qū)別。

針對系統平臺，要采用有效的防護手段，以便能真正保護設備以及網絡運行安全。結合企業(yè)內部實際業(yè)務，針對ERP系統展開補丁升級以及二次開發(fā)處理工作，適當添加實時監(jiān)測功能，而且要重點預防木馬病毒，修補相關漏洞，完善具體控制功能，針對重要接口進行修補以及安全掃描，進而不斷完善軟件和硬件功效。在具體實踐時，要格外控制身份認證訪問控制信息完整度以及保密度，而且要記錄日志，實時監(jiān)控系統運行狀態(tài)。創(chuàng)建完備的入侵檢測系統和防火墻系統，重點防范惡意攻擊行為以及木馬病毒。這就需要采用先進的網絡安全技術，并針對相關的安全產品加以升級，參照安全操作規(guī)范，加大用戶管理力度，重視管理外來移動儲存設備，并定期檢測ERP系統軟件和硬件設備的運作情況。因ERP系統運作過程中，極有可能存在硬件及軟件故障問題，一旦出現這些現象，就會導致數據被丟失，致使數據庫承受前所未有的安全風險。為了防止數據出現丟失情況、泄露情況，就要重視保障系統和數據安全性，這就需要定期針對數據庫中的信息進行備份處理，把離線備份數據儲存至金屬柜內，而且要重視防雷擊、防火、防盜保障工作。如果條件允許，可以設計機房環(huán)境異地容災備份系統以及環(huán)境監(jiān)控系統。

除了上述信息安全技術方面的投入與支持，企業(yè)還需要重視規(guī)范具體人員的行為，針對人員方面展開安全管理。一方面，要在企業(yè)內部，創(chuàng)建嚴謹的規(guī)章機制，在各項工作執(zhí)行過程中，要嚴格參照規(guī)章制度執(zhí)行下去，并定期進行檢查與考核。另一方面，企業(yè)需要在內部控制工作進行時，組織相關的管理機構，明確每一部門及每一工作環(huán)節(jié)的具體職責，并將相關職責落實在個人身上，促使各部門、各崗位人員理清工作任務，能夠各司其職，明確監(jiān)管權限，并加強用戶登記，嚴格核準各大事件操作內容及程序，并重視優(yōu)化工作日志，防止出現越權或非授權操作問題。

3.3 提高多模塊整合性

ERP 系統包括多個模塊：基礎資料、采購管理 銷售管理 庫存管理 生產管理 、存貨核算 成本核算 財務方面：固定資產 現金 應收管理 應付管理 薪資 預算管理 總賬。ERP中提供了很多模塊，很多單據，系統環(huán)環(huán)相扣，比如付款業(yè)務，需要先錄入采購訂單并審核、再去做下一步的收貨（送貨單），收貨完成后才可以申請付款，如果上一環(huán)節(jié)的數據出現錯誤，會直接影響到后續(xù)環(huán)節(jié)數據的準確。企業(yè)要結合各崗位職責的劃分對各操作人員進行技能培訓。按照統一的流程規(guī)范化管理，提高多模塊整合性。

3.4 內部信息與溝通顯得非常重要

ERP系統使企業(yè)的內部信息與溝通更快捷方便。我們要按我國《企業(yè)內部控制基本規(guī)范》要求建立內部控制相關信息與溝通制度。加強信息的及時、有效傳遞。將內部控制與ERP系統有機結合，防范企業(yè)內部控制中的風險。

3.5 強調人員素質建設

ERP系統是企業(yè)信息資源高度整合的平臺，對人員的要求較高。企業(yè)要加強對操作人員的整體素質培訓，全面培育企業(yè)內部現有員工定期展開操作培訓活動及安全風險教育活動，帶領相關人員學習安全操作行為規(guī)范，促使其掌握完善的信息安全知識防范方法，能夠勝任崗位工作，真正加強所有操作人員風險防范能力。只有這樣，才可以全面貫徹落實好各項控制制度，防范風險。

4 結 論

綜上所述，在當代企業(yè)日漸發(fā)展過程中，傳統內部控制模式已跟不上現代企業(yè)發(fā)展的腳步，比如生物科技類企業(yè)在發(fā)展過程中，需要投入眾多資金用于研發(fā)費用方面，極有可能出現重大風險事件，所以要及時預測風險，這就要求企業(yè)不斷調整及優(yōu)化內部控制管理風險體系，而現如今，ERP系統是企業(yè)信息管理平臺中最適合在企業(yè)中進行信息管理的一個系統，通過ERP系統可以更好地對企業(yè)內部控制風險進行防范，全面達到防范風險的目的。ERP系統可輔助企業(yè)內部控制工作的落實，所以ERP系統在企業(yè)內部控制中應當受到重視，ERP系統是時代發(fā)展的產物，能夠幫助企業(yè)及時識別以及預防風險，使企業(yè)能夠更加健康的發(fā)展。