淺析ERP與企業(yè)內部控制風險防范

劉建軍

摘要：文章對EPP與內部控制進行了闡述，分析了內部控制與ERP管理系統(tǒng)的關系。同時提出了內部控制風險防范應采取的措施。

關鍵詞：ERP企業(yè)內部控制風險防范措施

中圖分類號：17270.7文獻標識碼：A

文章編號：1004-4914(2009)05-248-01

隨著電子計算機和網絡技術的發(fā)展，以ERP為核心的企業(yè)管理信息化在中國取得了蓬勃的發(fā)展，使得企業(yè)內部控制面臨新的機遇與挑戰(zhàn)。如何適應ERP環(huán)境，建立與之相適應的內部控制制度，已經成為社會各界關注的焦點。

一、ERP與內部控制概述

1ERP概述。ERP即企業(yè)資源計劃(Enterprise Resource Plannin曲。是一個對企業(yè)資源進行有效共享與利用的系統(tǒng)。ERP通過信息系統(tǒng)對信息進行充分整理、有效傳遞，使企業(yè)的資源在購、存、產、銷、人、財、物等各個方面能夠得到合理的配置與利用，從而實現(xiàn)企業(yè)經營效率的提高。從本質上講，ERP是一套信息系統(tǒng)，是一種工具。ERP在系統(tǒng)設計中可集成某些管理思想與內容，可幫助企業(yè)提升管理水平。ERP作為企業(yè)信息化建設的核心組成部分，它的優(yōu)勢不僅僅在于幫助企業(yè)建立一套信息化管理系統(tǒng)，更重要的是它是體現(xiàn)現(xiàn)代管理思想和方法的一種先進工具。

2內部控制概述。內部控制，是指企業(yè)為實現(xiàn)經營目標，確保會計信息真實可靠，保護資產安全完整，遵循有關法律法規(guī)和規(guī)章制度，提高企業(yè)運營的經濟性、效率性和效果性，而制定和實施相關政策、程序和措施并予以合理保證的過程。內部控制確定了四個目標：資產的安全性、財務信息的可靠性和準確性、經營成果的效率性、法律法規(guī)的遵從性。從這四個目標我們可以看出內部控制不直接產生經濟效益，而是通過控制風險、規(guī)避風險、提高運行效率為提高經濟效益作保障。

二、內部控制與ERP管理系統(tǒng)的關系

1ERP是內部控制的工具和手段之一。內部控制的目標基本涵蓋了企業(yè)經營活動的全部內容，而ERP作為信息系統(tǒng)，是為企業(yè)經營目標服務的。在COSO的內部控制框架中，信息與溝通是貫穿整個內部控制系統(tǒng)的要素。ERP作為信息集成系統(tǒng)，可以承擔量化信息的篩選、集輸、溝通。在ERP系統(tǒng)的設計、開發(fā)、實施、運行、維護及管理中，可以把內部控制體系中對信息的總體控制和應用控制要求加以體現(xiàn)，比如，在ERP的設計階段就可以把信息安全、系統(tǒng)變更管理等思想和要求加以考慮，以致這些要求最終成為組織內部所共同遵守的標準。內部控制系統(tǒng)隨著時間、環(huán)境條件、所應用的控制方法的變化而不斷變化，ERP就是在內部控制系統(tǒng)發(fā)展的歷程中某個時點上的一種相對完美的控制工具和手段。內部控制五要素中控制活動的手段可以分為人工控制和自動控制，通過ERP實施控制活動就是典型的自動控制。對于一些不能通過自動控制來實現(xiàn)的控制活動，還要應用人工控制，比如，我們對于難以量化需要以職業(yè)判斷為主的控制手段“危險信號”的控制；對于不在ERP線上的其他信息系統(tǒng)控制(如與員工上下班的IC卡控制)，等等。

2ERP本身是內部控制的客體。ERP是由主觀意識的人設計和進行具體操作的，其最前端輸入的數(shù)據(jù)決定其產出產品的質量，“垃圾輸入決定了垃圾輸出”。若輸入錯誤的數(shù)據(jù)，其影響也一樣會遍及企業(yè)整個范圍和相關角落，最終可能導致嚴重的管理決策錯誤，而該數(shù)據(jù)源則由人為控制著，具有一定的主觀性；另外，ERP同其他信息系統(tǒng)一樣也面臨著諸如財產價值、法律責任、資產安全等風險，也需要對其進行有效的控制。

3ERP具有一定的局限性。ERP作為信息技術，它是企業(yè)管理工具和手段的一種，如上文所述，它不能代替所有的管理工具和技術；ERP業(yè)務復雜，運作和維護成本高，規(guī)模較小的企業(yè)不適合采用該技術；ERP各模塊是根據(jù)業(yè)務實際設置的，沒有標準化的模型，所以對于不同類型的企業(yè)，ERP的內容也不盡相同，這對于經營范圍廣的大型企業(yè)集團來講就很難設置統(tǒng)一量化的考核評價標準等等。

從上面的分析可以看出，ERP就是一種管理和控制的工具和手段，它的優(yōu)勢在于最大化的信息集成，并把特定的管理要求固化，但是它本身并不創(chuàng)造控制體系；對內部控制體系而言，它是自動控制和信息與溝通的—個重要組成部分；對企業(yè)所面臨的風險而言，企業(yè)仍需要通過建立內部控制體系，提高風險管理水平，規(guī)避和弱化企業(yè)經營管理過程中遇到的各類風險。

三、內部控制風險防范的措施

1轉變管理觀念。ERP系統(tǒng)實施的重點是對傳統(tǒng)企業(yè)管理觀念的根本變革，其成功實施的先決條件是正確的指導思想、實用的軟件與有效的實施方法共同作用的結果。首先，企業(yè)最高決策層人員要深入了解ERP系統(tǒng)所包含的管理思想，充分認識本企業(yè)存在的問題，明確管理轉變的思路，建立一支善于開拓思路、掌握計算機軟硬件知識且具有ERP系統(tǒng)實施經驗、了解系統(tǒng)實施規(guī)律的高素質實施隊伍。其次，ERP系統(tǒng)的成功實施也離不開企業(yè)全體員工的大力支持和積極參與。這要求企業(yè)用先進的組織方式改革原來傳統(tǒng)的管理結構，促使企業(yè)向管理機構高效化、管理人員專業(yè)化、管理方式民主化轉變，使得企業(yè)普通員工有機會參與整個實施過程；同時要加強員工培訓，使企業(yè)所有員工在思想上對ERP系統(tǒng)有正確的認識。只有深刻理解、全面消化吸收了新的管理思想，并結合企業(yè)實際情況加以運用，才能真正做到降低內部控制風險。

2系統(tǒng)工作環(huán)境控制。為保證系統(tǒng)安全，企業(yè)應該實施一系列控制措施來保證網絡安全，比如運行專用的網管軟件進行網絡監(jiān)控，采用專用內容過濾技術阻止各種惡意內容的入侵，限制來路不明的軟件在系統(tǒng)主機上安裝等，最大程度地控制了網絡攻擊和惡意軟件帶來的風險。同時要加強員工的信息安全意識防止人為誤操作風險。培養(yǎng)員工的信息安全觀念，進行信息安全控制的再教育，使員工在進行業(yè)務處理時能依據(jù)企業(yè)集團的信息安全方針進行信息安全控制和風險防范。另外，要對硬件設備特別是關鍵設備進行定期檢測，及時發(fā)現(xiàn)和解決問題。

3業(yè)務流程控制。應用控制指的是對會計信息系統(tǒng)中具體數(shù)據(jù)處理功能的控制。不同的應用系統(tǒng)對應不同的方法。ERP系統(tǒng)中的應用控制一般由輸入控制、處理控制、輸出控制三部分組成。由于具體數(shù)據(jù)的處理由事先設計的模塊自動核算，一般來說只要軟件運行正常就不會出現(xiàn)差錯，所以ERP系統(tǒng)的應用控制重點是輸入和輸出的控制。輸入是會計系統(tǒng)的主要信息入口，也是出錯的主要環(huán)節(jié)。輸入控制的重點在于對輸入過程的控制，最重要的是完整性控制。通常通過設置各種約束條件的檢驗來加以控制，如試算平衡控制，對每筆分錄和借貸方進行平衡校驗，防止輸入金額出錯。又如二次輸入法，將數(shù)據(jù)先后兩次輸入或同時由兩人分別輸入，經對比后確定輸入是否正確等。輸出控制最重要的目標是保證各種輸出結果的真實性、完整性和正確性，可以通過權限控制、記錄登記操作等實現(xiàn)。

另外，ERP系統(tǒng)的運用會給業(yè)務流程帶來新的系統(tǒng)風險，鑒于此，企業(yè)需要從整體上采取更加充分有效的措施加以控制，如通過風險評估手段確定企業(yè)關鍵的業(yè)務流程，定期審核關鍵業(yè)務流程的內部控制，確保整個流程中存在恰當?shù)闹坪恻c，設立敏感業(yè)務交易訪問限制等。

4權限控制。權限控制的基本目的在于防止未經授權的內部人員擅自動用系統(tǒng)的各種資源。信息系統(tǒng)環(huán)境下的權限控制始于系統(tǒng)初始設置階段，即通過系統(tǒng)管理員(或系統(tǒng)維護員)對工作人員、工作范圍等進行設置(輸入相關的數(shù)據(jù))；每個崗位人員采用口令或密碼按照所授予的權限對系統(tǒng)進行操作，不得超越權限接觸系統(tǒng)。同時，由于系統(tǒng)維護人員能直接接觸會計數(shù)據(jù)庫、會計軟件和熟悉信息系統(tǒng)技術的關鍵人員，他們的有意作案或無意的誤操作所造成的影響很難估量，所以必須用嚴格的制度約束他們。

5內部審計控制。內部審計是內部控制的一種特殊形式，它是了解內部控制是否有效運作并達到預期效果的手段之一。權威、獨立是內部審計有效的前提，所以內部審計機構在形式和實質上都應保持其相對獨立性，最好直接由董事會或下屬的審計委員會領導。

(作者單位：中原油田分公司財務資產部河南濮陽457001)

(責編：若佳)