岳　兵

ERP(Enterprise Resource Planning的縮寫，即企業(yè)資源計劃)是一種新的企業(yè)管理的思想，強調(diào)對企業(yè)的內(nèi)部甚至外部的資源進行優(yōu)化配置、提高利用效率，是信息時代企業(yè)實現(xiàn)現(xiàn)代化、科學化管理的有力工具。在不到10年的短暫時間內(nèi)，它很快就被廣大企業(yè)認同和接受，并為許多企業(yè)帶來了豐厚的收益。如何適應ERP環(huán)境，建立與之相適應的內(nèi)部控制制度，已經(jīng)成為社會各方面，尤其是政府部門和企業(yè)界關注的焦點問題。

我國實施ERP內(nèi)部控制現(xiàn)狀

隨著我國改革開放的深入發(fā)展，ERP作為一種全新的管理理念、管理方式隨之而來。經(jīng)過近年來的不斷實踐，已經(jīng)有越來越多的企業(yè)實施了ERP。

從目前所了解的情況看，一些企業(yè)成功實施并且充分利用了它們的ERP系統(tǒng)，使企業(yè)駛上健康發(fā)展的軌道，企業(yè)運作井然有序。但有一些企業(yè)投入巨資上馬ERP項目卻收效甚微，有的甚至弄巧成拙，連正常的生產(chǎn)經(jīng)營活動都難以為繼。如哈爾濱醫(yī)藥集團、北京市三露廠、廣州標致汽車公司、河南許繼集團等等。還有一些知名的跨國公司，雖然上了ERP或SAP，但企業(yè)內(nèi)控問題層出不窮。2000年，某公司內(nèi)審時查出其公司有一大部分物資遠超過市價，經(jīng)查證為某采購部門團體作為，導致公司損失巨大。這是什么原因呢?經(jīng)過分析就會發(fā)現(xiàn)，是整個采購流程管理不當、公司治理和內(nèi)控體系稀缺造成的。

正確利用ERP改善企業(yè)內(nèi)部控制非常必要

ERP系統(tǒng)作為集系統(tǒng)、信息和控制于一體的一種應用，為以系統(tǒng)為載體、以信息為手段的現(xiàn)代控制提供了工具。它幫助企業(yè)把客戶的需求、企業(yè)內(nèi)部的運營活動以及供應商的制造資源整合在一起，其功能不僅涉及企業(yè)內(nèi)部的物料管理、庫存控制、生產(chǎn)管理、營銷、供應及財務的各個方面，而且還包括企業(yè)外部的供應鏈管理。在ERP系統(tǒng)中，財務管理始終是核心的模塊和職能。ERP的集成化為財務管理帶來了一系列變革，企業(yè)可以即時獲取財務過程、分析系統(tǒng)的觸發(fā)信息，實現(xiàn)對整個業(yè)務過程的動態(tài)監(jiān)控。因此，ERP給企業(yè)帶來了前所未有的會計與業(yè)務一體化處理和實時監(jiān)控的優(yōu)越性以及管理的自動化和數(shù)字化，在提高內(nèi)部控制效率和效果、降低控制成本等方面起到了積極的作用。

ERP實施的是流程化的管理，流程管理主張能產(chǎn)生經(jīng)濟效果時才進行控制，也就是要求控制產(chǎn)生的收益大于進行控制耗費的成本，否則就取消控制或改變控制的方式。因此，運用ERP，能有效降低內(nèi)部控制的成本。根據(jù)美國生產(chǎn)與庫存控制學會(APICS)統(tǒng)計，使用ERP系統(tǒng)，平均可以為企業(yè)帶來如下經(jīng)濟效益：①庫存下降30％～50％；②延期交貨減少80％；③采購提前期縮短50％，④停工待料減少60％；

⑤制造成本降低12％，⑥管理水平提高，冗員減少10％；⑦生產(chǎn)能力提高10％～15％。

ERP作為信息集成系統(tǒng)，可以承擔量化信息的篩選、集輸、溝通。在ERP系統(tǒng)的設計、開發(fā)、實施、運行、維護及管理中，可以把內(nèi)部控制體系中對信息的總體控制和應用控制要求加以體現(xiàn)。由完善的內(nèi)控制度所產(chǎn)生的各項信息，將為企業(yè)決策提供堅實的基礎。COSO內(nèi)部控制制度建設暨評估框架由五個重要部分組成：控制環(huán)境、風險評估、控制活動、信息與交流和監(jiān)測。其中，信息與交流系統(tǒng)是整個內(nèi)部控制的生命線，為管理層監(jiān)督各項活動和在必要時采取糾正措施提供了保證。而內(nèi)控是一個動態(tài)的過程，必須依據(jù)環(huán)境，制定措施，信息反饋，進行糾錯，并不斷改進。

在ERP環(huán)境下企業(yè)如何加強內(nèi)部控制設計

內(nèi)部控制(COSO)是由董事會、經(jīng)理層和其他員工共同實施的，為營運效率、財務報告的可靠性和相關法規(guī)的遵守等目標的達成而提供合理保證的過程。從公司治理層面看，該定義明確地強調(diào)了高層管理者(董事會、總經(jīng)理)對內(nèi)部控制制定與實施中的作用。可以這么說，如果企業(yè)管理當局無法充分將ERP系統(tǒng)的現(xiàn)代管理理念融入企業(yè)管理思想和管理模式，內(nèi)部控制將無法實現(xiàn)。

ERP系統(tǒng)的使用涉及整個企業(yè)的業(yè)務流程。其系統(tǒng)特點一方面使企業(yè)員工以更大的靈活性去處理問題、提高效率，但另一方面高度集成的功能和系統(tǒng)，使用戶無論在企業(yè)的哪個角落都能獲得訪問系統(tǒng)并且控制或改變重要的業(yè)務參數(shù)的可能。ERP的高度集成性和分布式的系統(tǒng)技術結(jié)構(gòu)，同樣會給企業(yè)帶來風險。

首先，ERP系統(tǒng)中高度集成的功能模塊，使得任何一點出現(xiàn)問題都會影響到其他模塊的正常運行。

其次，傳統(tǒng)的ERP系統(tǒng)采用客戶端／服務器結(jié)構(gòu)，這種分布式的結(jié)構(gòu)使企業(yè)低成本、高效率地獲得業(yè)務集成管理功能的同時，也使系統(tǒng)管理的難度增大，系統(tǒng)更容易暴露在有意和無意的系統(tǒng)攻擊的風險中。

第三，系統(tǒng)審計難度加大。復雜的ERP系統(tǒng)使得系統(tǒng)控制和審計人員必須具有相應的專業(yè)知識。但對于大型的ERP系統(tǒng)，幾乎沒有人能夠?qū)φ麄€系統(tǒng)的功能和每個模塊的特點有全面的認識和理解。

第四，許多ERP系統(tǒng)使用基于Web的B／S技術支持異地登錄和訪問，由于通過因特網(wǎng)登錄，不受空間的限制，任何不正當?shù)挠脩羰跈喽寄軐е聦ο到y(tǒng)的非法訪問。

第五，ERP系統(tǒng)靠使用單一的數(shù)據(jù)庫、單點輸入數(shù)據(jù)等來確保其高度集成性，這在保證ERP系統(tǒng)數(shù)據(jù)一致性、減少重復勞動的同時，除使生產(chǎn)、銷售、庫存和財務等各個部門能夠共享信息外，也使數(shù)據(jù)的所有權和維護成為一個不容忽視的問題。如果存在不合適的訪問權限的定義，系統(tǒng)中的一些機密數(shù)據(jù)就會透明化，進而導致企業(yè)的重大損失。

反觀國內(nèi)ERP的實施，缺乏對實施風險的認識、缺乏科學而有效的風險管理方法則是導致低成功率的一個重要因素，它會直接導致實施過程中的盲目性和隨意性。ERP系統(tǒng)的使用也對企業(yè)的組織管理帶來了新的挑戰(zhàn)。由于ERP實行的是流程化的管理，會打破原來的條塊分割，勢必導致企業(yè)組織結(jié)構(gòu)的改變，甚至是對業(yè)務流程的重新思考。ERP系統(tǒng)使用會改變企業(yè)員工的職權，這種工作角色的轉(zhuǎn)變和適應過程具有不確定性。ERP系統(tǒng)數(shù)據(jù)的捕捉一次性完成特性，使得管理部門對信息質(zhì)量的控制難度加大。企業(yè)信息決策數(shù)據(jù)來自不同部門，其中任意一個部門如有差錯，將直接影響到其他部門統(tǒng)計。

傳統(tǒng)的業(yè)務流程是以憑證、賬簿、報表的會計循環(huán)方式而設計的，會計賬簿體系是其主要甚至唯一的控制方式。ERP實行的是流程化的管理，它打破原來職能部門的條塊分割，強調(diào)優(yōu)化流程結(jié)構(gòu)，實現(xiàn)企業(yè)資源的系統(tǒng)配置和信息共享。企業(yè)在實施ERP系統(tǒng)后所遇到的業(yè)務風險主要來自四個方面：業(yè)務流程、應用架構(gòu)、數(shù)據(jù)質(zhì)量和技術架構(gòu)。其中，業(yè)務流程由于與過去相比發(fā)生了根本性的改變，其對企業(yè)內(nèi)部控制風險的影響最大。

企業(yè)內(nèi)部、外部人員如黑客等對

會計數(shù)據(jù)非授權的訪問、篡改、泄密和破壞會造成風險。這種有意圖、有目的的攻擊行為將給企業(yè)集團帶來巨大的傷害，嚴重威脅著企業(yè)集團信息的機密性、完整性和可用性，從而增大了企業(yè)內(nèi)部控制的風險。

ERP環(huán)境下的風險管理對策

第一，針對控制環(huán)境，需要轉(zhuǎn)變管理觀念。ERP系統(tǒng)實施的重點是對傳統(tǒng)企業(yè)管理觀念的根本變革，其成功實施的先決條件是正確的指導思想、合適的軟件與有效的實施方法共同作用的結(jié)果。首先企業(yè)最高決策層人員要深入了解ERP系統(tǒng)所包含的管理思想，充分認識本企業(yè)存在的問題，明確轉(zhuǎn)變管理思路，建立一支善于開拓思路、掌握計算機軟硬件知識且有ERP系統(tǒng)實施經(jīng)驗、了解系統(tǒng)實施規(guī)律的高素質(zhì)實施隊伍。其次，ERP系統(tǒng)的成功實施也離不開企業(yè)全體員工的大力支持和積極參與。這要求企業(yè)普通員工有機會參與整個實施過程；同時要加強員工培訓，使企業(yè)所有員工在思想上對ERP系統(tǒng)有正確的認識。

第二，針對系統(tǒng)風險，為保證系統(tǒng)安全，企業(yè)應該實施一系列控制措施；(1)保證網(wǎng)絡安全，最大程度地控制了網(wǎng)絡攻擊和惡意軟件帶來的風險。(2)嚴格定義在ERP或SAP的授權。由于ERP系統(tǒng)靠使用單一的數(shù)據(jù)庫、單點輸入數(shù)據(jù)等來確保其高度集成性，所以生產(chǎn)、銷售、庫存和財務等各個部門能夠共享信息外，也使數(shù)據(jù)的所有權和維護成為一個不容忽視的問題。對ERP信息系統(tǒng)的使用必須經(jīng)過授權。非授權的訪問將帶來企業(yè)重要信息泄漏或丟失的風險。(3)針對系統(tǒng)的不穩(wěn)定性和電腦病毒的威脅，必須建立24小時的系統(tǒng)恢復計劃(RecoveryPlan)，同時對于輸入系統(tǒng)的信息的原始憑證，必須有專人負責登記保管，確保資產(chǎn)和記錄的安全性。

第三，針對業(yè)務流程，應做好以下各方面：(1)應用控制指的是對會計信息系統(tǒng)中具體數(shù)據(jù)處理功能的控制。ERP系統(tǒng)中的應用控制一般由輸入控制、處理控制、輸出控制三部分組成，其中，重點是輸入和輸出的控制。輸入是會計系統(tǒng)的主要信息入口，也是出錯的主要環(huán)節(jié)。輸入控制的重點在于對輸入過程的控制，最重要的是完整性控制。輸出控制最重要的目標是保證各種輸出結(jié)果的真實性、完整性和正確性，可以通過權限控制、記錄登記操作等實現(xiàn)。

(2)切實做好BPR業(yè)務流程重組。BPR被稱做是“恢復美國競爭力的唯一途徑”，是成功實施ERP的基礎。在進行BPR之前，必須對所有的流程從有無效率、是否合理的角度進行審視，然后從不合理且無效率的業(yè)務流程人手，逐一規(guī)范和調(diào)整，實現(xiàn)從職能管理到面向業(yè)務流程管理轉(zhuǎn)變。

(3)業(yè)務事項要予以正當?shù)恼f明和準確及時地記錄，并做好基礎數(shù)據(jù)準備。前期的基礎數(shù)據(jù)準備是保證系統(tǒng)正確運行的關鍵。這些數(shù)據(jù)一般包括：客戶數(shù)據(jù)、供應商數(shù)據(jù)、物料數(shù)據(jù)、工序及工藝等靜態(tài)數(shù)據(jù)，還包括庫存、客戶訂單、發(fā)貨、交貨、發(fā)票、應收、應付等每時每刻都會變化的動態(tài)數(shù)據(jù)。

第四，企業(yè)規(guī)章制度的更新與落實。在實施ERP的同時，要下大力氣對企業(yè)以往的制度做合理的調(diào)整和修改，使它能夠?qū)椖康膶嵤┢鸬酵苿幼饔谩?/p>

第五，信息系統(tǒng)管理部門內(nèi)職責分離的控制現(xiàn)狀及風險：職責分離是企業(yè)內(nèi)部控制的基礎控制手段，主要目標是防范內(nèi)部人員的舞弊行為帶給企業(yè)的災難。在ERP環(huán)境下，信息系統(tǒng)不相容的職責分離主要有：系統(tǒng)設計人員與系統(tǒng)操作人員的職責分離；系統(tǒng)維護人員與系統(tǒng)操作人員職責要分離；系統(tǒng)操作人員、系統(tǒng)設計人員與數(shù)據(jù)檔案管理員職責要分離。

第六，權限控制，權限控制的基本目的在于防止未經(jīng)授權的內(nèi)部人員擅自動用系統(tǒng)的各種資源。信息系統(tǒng)環(huán)境下的權限控制始于系統(tǒng)初始設置階段，即通過系統(tǒng)管理員(或系統(tǒng)維護員)對工作人員、工作范圍等進行設置(輸入相關的數(shù)據(jù))；每個崗位人員不得超越權限接觸系統(tǒng)。

第七，制訂風險控制預案，ERP的實施是一個龐大的系統(tǒng)工程，涉及的因素、內(nèi)容和環(huán)節(jié)比較多。因此，必須在風險識別和分析的基礎上，事先制訂風險控制預案，指導風險控制，以便使可能出現(xiàn)的風險所造成的損失消失或減少。風險控制預案是開展風險管理活動的依據(jù)，對風險控制工作起指導作用。