從2000年至今的七年時間里，我國的大中型企業(yè)陸續(xù)引入了ERP系統(tǒng)，而且經(jīng)過七年的發(fā)展，ERP已越來越多地影響企業(yè)的各個環(huán)節(jié)，包括企業(yè)人事、財務、生產(chǎn)、價值鏈等。ERP的發(fā)展也順應了知識經(jīng)濟時代對企業(yè)提出的變革和創(chuàng)新的要求。ERP作為企業(yè)經(jīng)營管理的整體解決方案，不僅是一套軟件更是一種管理思想和理念的結合，是信息時代實現(xiàn)現(xiàn)代化、科學化管理的有力工具，從某種意義上說也是衡量企業(yè)管理現(xiàn)代化的一個標尺。與此同時，內(nèi)部控制制度也應適當?shù)剡M行調(diào)整。由于實施了ERP，企業(yè)的管理流程發(fā)生了巨變，從而使得內(nèi)部控制環(huán)境也發(fā)生了變化，ERP環(huán)境下的內(nèi)部控制重點由對人的控制轉變?yōu)閷θ?、計算機和互聯(lián)網(wǎng)的控制。筆者就實施ERP企業(yè)內(nèi)部控制面臨的機遇與挑戰(zhàn)以及如何解決進行探討，為國內(nèi)已經(jīng)實施和即將實施ERP的企業(yè)提出相應的對策。
　　
　　一、ERP與內(nèi)部控制的內(nèi)涵
　　
　　內(nèi)部控制是指被審計單位為保證業(yè)務活動的有效進行，保護資產(chǎn)的安全和完整，防止、發(fā)現(xiàn)、糾正錯誤與舞弊，保證會計資料的真實、合法、完整而制定和實施的政策與程序。廣義的內(nèi)部控制是指被審計單位的內(nèi)部管理控制系統(tǒng)。按其控制目的的不同，內(nèi)部控制可以分為會計控制和管理控制。會計控制是與保護財產(chǎn)物資的安全性、會計信息的真實性和完整性以及財務活動的合法性有關的控制；管理控制是指與保證經(jīng)營方針、決策的貫徹執(zhí)行，促進經(jīng)營活動的經(jīng)濟性、效率性、效果性以及經(jīng)營目標的實現(xiàn)有關的控制。內(nèi)部控制的目標是確保單位經(jīng)營活動的效率性和效果性、資產(chǎn)的安全性、經(jīng)濟信息和財務報告的可靠性。
　　以財務會計管理為核心的企業(yè)資源計劃系統(tǒng)(即我們常說的ERP)是一個財務會計導向的全面企業(yè)集成系統(tǒng)，管理整個供需鏈上的各個實體的價值，實現(xiàn)對制造、財務、客戶、分銷和供應商的業(yè)務流程管理。是依托信息技術等手段，實現(xiàn)企業(yè)內(nèi)部資源的共享和協(xié)同，克服企業(yè)中的官僚制約，使得各業(yè)務流程無縫平滑地銜接，從而提高管理的效率和業(yè)務的精確度，提高企業(yè)的盈利能力，降低交易成本。
　　
　　二、ERP給內(nèi)部控制帶來的機遇
　　
　　 (一)ERP使內(nèi)部控制系統(tǒng)更具靈活性
　　企業(yè)的內(nèi)部控制環(huán)境隨著ERP系統(tǒng)的應用發(fā)生了深刻的改變。企業(yè)的運作由原來的以部門職能為中心，轉化為圍繞業(yè)務流程進行，這種變化使企業(yè)的各種作業(yè)活動都跟物流、資金流、信息流緊密地結合在一起。為了適應ERP的管理理念，企業(yè)組織結構日益扁平化，由于ERP系統(tǒng)高度集成的特性，數(shù)據(jù)在事件發(fā)生的源頭一次性輸入，在經(jīng)過ERP軟件的邏輯處理后，實現(xiàn)了信息的共享，也滿足了利用ERP系統(tǒng)提供的數(shù)據(jù)進行分析管理的需要，這樣一來組織結構更加具備了靈活性，組織結構邊界由于扁平化的發(fā)展不再像原來那樣明顯，從而促進了組織結構的優(yōu)化，也加劇了內(nèi)部控制系統(tǒng)的靈活性，為內(nèi)部控制的實行創(chuàng)造了更有利的環(huán)境。
　　 (二)ERP使內(nèi)部控制系統(tǒng)更具整體協(xié)調(diào)性
　　ERP軟件系統(tǒng)的應用使企業(yè)可以方便地對內(nèi)部控制體系進行通盤設計，更好地對企業(yè)的各種業(yè)務流程進行整體協(xié)調(diào)。原來在傳統(tǒng)環(huán)境下對點的控制在ERP環(huán)境下可以發(fā)展成對線和面的控制：對某一控制點的內(nèi)控措施可以同業(yè)務流程內(nèi)其他的控制點串成線，進而同其他業(yè)務流程的控制系統(tǒng)連成面。由于ERP系統(tǒng)中各種模塊的高度集成，使企業(yè)成為真正意義上的有機整體，供、產(chǎn)、銷、財務有機結合，內(nèi)部控制才可能完成對人、財、物的全面控制，從整體的角度將各種業(yè)務流程的控制更好地協(xié)調(diào)在一起。
　　 (三)ERP使內(nèi)部控制系統(tǒng)更具高效性
　　大部分在傳統(tǒng)控制體系中通過賬、表、單、卡來進行的控制措施在ERP環(huán)境下，會被軟件系統(tǒng)本身的控制功能取代?？刂剖侄蔚膬?yōu)化使企業(yè)的內(nèi)部控制體系在一定程度上擺脫了對實體控制方法、控制工具和控制崗位的依賴，具有高度的經(jīng)濟性。ERP環(huán)境下，控制手段和信息傳遞方式的變化，使傳統(tǒng)內(nèi)控體系中審核、簽字和文件傳遞交接手續(xù)等控制點大大減少，企業(yè)的內(nèi)部控制流程更加通暢，控制效率更高。
　　 (四)ERP使內(nèi)部控制系統(tǒng)更具即時性
　　在ERP的狀態(tài)下，資料是聯(lián)動的而且可以隨時更新，每個有關人員都可以隨時掌握即時資訊，這在過去只能依賴大量的人力與時間才能完成。影響企業(yè)競爭力固然有許多因素，但一個很重要的因素，在于它對企業(yè)內(nèi)部各種信息的把握，以及對外部市場的資訊、現(xiàn)狀變化的了解。在當今信息社會里，不僅要知己知彼，還要貴在“即時”。以外匯市場為例，企業(yè)的國際化經(jīng)營，對外幣結算的業(yè)務不僅增多，而且還面臨一個如何規(guī)避多元貨幣、匯率變動的風險問題。如果不能對各種貨幣的匯率消長變化、各國客戶訂單、各種交易(包括應收賬、應付賬、總賬等)進行即時運作，那么，即使到手的企業(yè)利潤，也會因匯率的波動或緩慢的作業(yè)而縮水。
　　 (五)ERP使內(nèi)部控制系統(tǒng)更具實時性
　　由于ERP系統(tǒng)的高度集成和ERP系統(tǒng)下信息的“即時”性，讓系統(tǒng)的實時成為了現(xiàn)實。
　　1.可以實現(xiàn)對企業(yè)價值運動的實時控制。利用ERP系統(tǒng)進行會計管理不僅能了解銷售、采購、庫房、生產(chǎn)等部門經(jīng)濟活動的全過程，而且伴隨著每一個經(jīng)濟活動，會計部門都有相應的反映和監(jiān)控。例如，在采購訂單通過供應商協(xié)同系統(tǒng)發(fā)送給供應商的同時，會計部門也得到了這個信息；庫房按訂單收貨后，該信息同步傳到財會部門，產(chǎn)生應付賬款的同時已按訂單價格登記入應付賬款和存貨賬戶。會計信息的通暢、透明，給會計核算可以實時、準確地進行提供了保障。
　　2.可以實現(xiàn)對預算的實時管理。使用ERP系統(tǒng)不僅可以根據(jù)歷史數(shù)據(jù)，準確地預測各地區(qū)、各部門、各種業(yè)務、各種產(chǎn)品、各費用科目的數(shù)據(jù)，而且可以做到按月分解預算和及時調(diào)整不合理預算。這樣，ERP系統(tǒng)能夠將每項費用實時報告到應該承擔責任的部門負責人，并且可以與預算進行比較，及時提出預警或禁止信息，從而實現(xiàn)對預算的實時管理。
　　總之，ERP系統(tǒng)的核心管理思想——企業(yè)運作的流程化管理，使企業(yè)在ERP環(huán)境下的內(nèi)部控制體系有了新的發(fā)展。在ERP環(huán)境下，企業(yè)可以在產(chǎn)、供、銷等各個環(huán)節(jié)實現(xiàn)對人、財、物的全面控制，實現(xiàn)財務處理與業(yè)務處理的一體化。ERP環(huán)境下數(shù)據(jù)庫的統(tǒng)一將整個企業(yè)的運作系統(tǒng)集成為一體，實現(xiàn)了供應鏈條上各環(huán)節(jié)信息的高度統(tǒng)一，保證了資金流、信息流和物流的同步和一致，改變了資金信息滯后于物料信息的狀況，便于實時作出決策。ERP環(huán)境的流程化、扁平化、一體化特點使企業(yè)在進行內(nèi)部控制體系設計的時候可以進行整體考慮和安排。ERP的應用提高了控制措施之間的關聯(lián)性和有效性，還能提高內(nèi)部控制體系的效率。
　　
　　三、ERP給內(nèi)部控制帶來的挑戰(zhàn)
　　
　　事實上，ERP的實施對企業(yè)內(nèi)部控制是一把“雙刃劍”。ERP的實施是為企業(yè)提升內(nèi)部控制水平提供了機遇，但是同時也對企業(yè)內(nèi)部控制提出了新的挑戰(zhàn)。
　　 (一)ERP系統(tǒng)的使用加大了內(nèi)部控制的風險
　　1.控制環(huán)境風險加劇
　　由于內(nèi)部控制強調(diào)公司高管在內(nèi)部控制制定與實施中的作用，內(nèi)部控制的風險的大小很大程度上取決于管理當局的態(tài)度。雖然組織的扁平化對企業(yè)的發(fā)展是件好事，但是對領導的管理思維造成了沖擊。ERP環(huán)境下，伴隨著企業(yè)內(nèi)部控制層次的減少，領導不再是等級中的“塔尖”，而是成了行動的核心，企業(yè)的內(nèi)部控制不再是基于權力的需要，而是基于信息的科學性和企業(yè)健康發(fā)展的需要。若領導無法將ERP的現(xiàn)代管理理念融入企業(yè)管理思想和管理模式，內(nèi)部控制將形同虛設。
　　
　　2.業(yè)務流程風險加劇
　　傳統(tǒng)的業(yè)務流程是以憑證—賬簿—報表的會計循環(huán)方式設計的，內(nèi)部控制是通過復核憑證、賬簿核對、審閱報表等方式實現(xiàn)的，即控制點存在于業(yè)務流程的多個環(huán)節(jié)。ERP徹底改變了傳統(tǒng)會計模式下單一化、順序化的信息傳輸方式，實現(xiàn)了會計信息與業(yè)務信息的同步。在業(yè)務流程優(yōu)化過程中，重復、不增值環(huán)節(jié)的消除，使一些有利于內(nèi)部控制的審計線索消失。這樣一來，業(yè)務流程的風險也隨之加大。
　　 (二)ERP系統(tǒng)的使用加劇了對數(shù)據(jù)安全性的威脅
　　ERP實施后，對數(shù)據(jù)的安全性的威脅主要來自兩個方面。第一，計算機系統(tǒng)風險，外部不可抗力(如雷雨)或人為因素(比如：ERP環(huán)境下，數(shù)據(jù)通常是一次輸入完成后在系統(tǒng)內(nèi)通用的，由于沒有了傳統(tǒng)環(huán)境下對數(shù)據(jù)的核對和檢查過程，那么如果數(shù)據(jù)初始輸入有誤，就會導致錯誤的數(shù)據(jù)在系統(tǒng)內(nèi)被反復使用并造成一連串的錯誤處理活動、輸出一連串的錯誤處理結果，直接影響到其他流程的運作。這種情況對ERP環(huán)境下數(shù)據(jù)輸入點的控制提出了更高的要求)。由于ERP系統(tǒng)高度集成化，數(shù)據(jù)邏輯化、信息自動生成化的特點，面對這些風險控制無法實施，所以一旦出現(xiàn)故障損失慘重。第二，數(shù)據(jù)庫被修改的風險，各企業(yè)的ERP系統(tǒng)都有專用的數(shù)據(jù)庫，通常業(yè)務處理人員的操作均會在操作日志中留下詳盡的審計痕跡，但是對于ERP支持中心精通數(shù)據(jù)庫的技術管理人員來說卻易于修改，不留痕跡，這就加劇了數(shù)據(jù)被人為破壞的風險。
　　(三)ERP系統(tǒng)的使用對內(nèi)部控制系統(tǒng)提出了更高的要求
　　ERP系統(tǒng)所依賴的軟、硬件環(huán)境對企業(yè)內(nèi)控體系提出了新的要求。對硬件運行實體環(huán)境的安排、對計算機硬件系統(tǒng)和外設的實體控制、對ERP系統(tǒng)二次開發(fā)和系統(tǒng)維護的控制、對軟件數(shù)據(jù)的備份安排等內(nèi)容，也都要被企業(yè)納入內(nèi)部控制體系中去。
　　ERP系統(tǒng)的網(wǎng)絡應用結構，可以方便地實現(xiàn)各個不同業(yè)務模塊之間信息的即時傳遞，可以使企業(yè)的內(nèi)控體系實時反映運營狀況。ERP網(wǎng)絡環(huán)境的這個特點，具備了實時控制的思想，針對各個關鍵控制點設定的實時控制手段使企業(yè)從傳統(tǒng)的發(fā)現(xiàn)問題、事后補救，發(fā)展成在業(yè)務運行中進行的事前預防和事中控制。但由于網(wǎng)絡環(huán)境自身的安全性存在問題，任何對企業(yè)內(nèi)部網(wǎng)絡系統(tǒng)的破壞都可能會給企業(yè)的運作帶來嚴重后果。所以企業(yè)在網(wǎng)絡安全上會面臨各種控制難題，在安全性方面(即風險控制)同樣也提出了更高的要求。
　　實質上，不論在傳統(tǒng)環(huán)境下，還是在ERP環(huán)境下，對人的控制都是企業(yè)內(nèi)部控制的基礎，企業(yè)人員素質的高低實際上決定了其內(nèi)部控制系統(tǒng)的設計質量和應用效果。ERP系統(tǒng)的應用實際上也就是要通過其體系化、流程的管理思想來提升企業(yè)整體管理水平、提升人員素質，達到提高企業(yè)效益的目的。對人的控制非但沒有削弱，而且也有了更新更高的要求。
　　
　　四、在ERP系統(tǒng)環(huán)境下完善內(nèi)部控制的對策
　　
　　(一)程序控制
　　程序控制是指依靠計算機程序(軟件)對會計核算進行內(nèi)部控制，以實現(xiàn)系統(tǒng)的自我保護。這種自我保護的內(nèi)部控制往往比通過各種管理制度實現(xiàn)的控制更為有效，主要包括：身份和權限控制。對用戶設備、文件分別授予不同級別的特權，以防止未經(jīng)授權的人員有意進入系統(tǒng)或無意誤入系統(tǒng)，不允許合法用戶使用權限之外的設備、文件或程序，不允許進行各種越權操作。另外對ERP軟件更換、修改、升級時，要有一定的審批手續(xù)，并由有關人員進行監(jiān)督，以保證ERP數(shù)據(jù)的連續(xù)和安全。同時要定期對計算機程序及軟件進行維護，推出防止計算機病毒黑客等入侵的措施。
　　(二)建立健全的ERP崗位設置
　　建立ERP崗位責任制，就是要明確每個工作的職責范圍，便于企業(yè)更便捷地進行內(nèi)部控制。ERP崗位設置可以根據(jù)企業(yè)的實際情況按照不同的思路劃分為不同的崗位。比如可以把工作崗位分為基本職能崗位和ERP系統(tǒng)崗位。其中基本職能崗位可以設置為銷售、生產(chǎn)、庫存、采購、財務、出納、審核、物流、投資、戰(zhàn)略等崗位。ERP系統(tǒng)崗位分為直接管理、操作、維護ERP系統(tǒng)及計算機軟、硬件人員等。各企業(yè)可以根據(jù)內(nèi)部牽制制度的要求和本單位的工作需要，在保證數(shù)據(jù)安全的前提下交叉設置崗位，各崗位應保持相對獨立，但又相互聯(lián)系，相互制約。
　　(三)操作控制
　　通過ERP操作管理制度的建立，明確規(guī)定上機操作人員對ERP軟件的操作工作內(nèi)容和權限。一般包括輸入和輸出兩部分控制，首先輸入控制要保證輸入到計算機中的會計數(shù)據(jù)都經(jīng)過了嚴格的審核，并且所有的會計信息都是正確的，例如在ERP運行中，預防未經(jīng)審核的各種原始憑證輸入系統(tǒng)以及對錯誤的原始憑證拒絕輸入、及時更正和再輸入；凡上機操作人員必須經(jīng)過授權；禁止原系統(tǒng)開發(fā)人員接觸或操作計算機，熟悉計算機的無關人員不允許任意進入機房；在輸出控制方面最重要的目標是保證各種輸出結果的正確性、真實性、完整性，保證輸出的接觸人員僅限于經(jīng)過授權的人員。建立輸出記錄；建立輸出文件及報告的簽章制度；建立輸出授權制度；嚴格減少資產(chǎn)的文件輸出，如開支票、發(fā)票、提貨單要經(jīng)過有關人員授權，并經(jīng)過有關人員審核簽章。此外，運用數(shù)據(jù)文件的保護和數(shù)據(jù)加密存儲也可以保護數(shù)據(jù)的安全；對重要的ERP檔案進行雙備份，應存放在不同的地點，并做好ERP數(shù)據(jù)的防磁、防火、防潮和防塵等工作。
　　(四)充分發(fā)揮審計職能
　　由于審計是以內(nèi)部控制系統(tǒng)為基礎的，外部審計人員為了對被審計單位會計資料的公正性發(fā)表意見，必須首先研究和評價內(nèi)部控制。內(nèi)部審計人員亦如此，他們從評價各部門的內(nèi)部控制制度入手，在生產(chǎn)、采購、銷售、財務會計、人力資源管理等各個領域查找管理漏洞，識別并防范風險，查錯糾弊，對既成損失提出應對策略等，而且有時內(nèi)部審計還直接以完善內(nèi)部控制為目的。因此被審計單位應認真聽取審計人員的寶貴意見，不斷完善內(nèi)部控制系統(tǒng)。
　　(五)強化風險意識，開展全面的風險評估
　　根據(jù)COSO內(nèi)部風險管理框架(ERM)建立和完善內(nèi)部控制體系是未來發(fā)展的必然趨勢，在公司內(nèi)部控制體系建設和執(zhí)行的過程中，關注企業(yè)風險比關注細節(jié)更重要。在ERP環(huán)境下，應從以下幾個方面對風險進行評估：
　　1.確定風險評估的目標。業(yè)務活動層面風險評估的目標應針對各主要活動并與其他活動保持一致，在內(nèi)部控制風險評估的實踐中，可以從影響財務報告目標實現(xiàn)的風險，如財務報告錯誤、資產(chǎn)安全受到威脅等方面入手進行風險評估。
　　2.確定重要業(yè)務流程并對其進行風險評估。與重要會計科目和披露事項相對應的業(yè)務流程就是重要業(yè)務流程，重要性是以會計科目和事項的披露對財務報告的影響為標準進行評判的。在ERP系統(tǒng)中由于各功能模塊的集成，在進行流程描述時，除進行文字說明外還應配備跨職能部門的流程圖。進行風險管理首先要識別風險，然后要確定風險，最后估計風險因素的重要程度，評估風險發(fā)生的可能性，確定內(nèi)控評估重要性的優(yōu)先次序。
　　3.在財務報告中對相關風險及內(nèi)部控制進行認定，財務報表認定包括存在或發(fā)生、完整性、估價或分攤、權利與義務、表達與披露幾個方面。財務報表認定是管理層進行風險評估進而確保內(nèi)部控制體系有效性的基礎。
　　(六)強化“以人為本”的管理思想
　　企業(yè)作為一個以人為主體的經(jīng)濟實體，內(nèi)部控制的實質就是要規(guī)范公司內(nèi)部各組成人員的行為，同時再好的制度、再完美的規(guī)章，最終都是要“人”去執(zhí)行和實施的，因此在實施和完善現(xiàn)代企業(yè)內(nèi)部控制制度時，“以人為本”應該是核心。企業(yè)在實行內(nèi)部控制制度時，要讓所有人都認識到企業(yè)內(nèi)部控制不僅是企業(yè)管理人員、內(nèi)部審計或董事會的事，組織中的每一個人都對內(nèi)部控制負有責任，明確這種責任有利于企業(yè)員工團結一致，使其主動地維護及改善公司的內(nèi)部控制，而不是被動地執(zhí)行內(nèi)部控制。企業(yè)要樹立“以人為本”的管理理念，充分挖掘人的創(chuàng)造潛力，建立良好的企業(yè)文化，形成共有的價值觀、信念和行為準則，同時通過各種途徑對全員進行培訓和職業(yè)道德教育，讓全體職工認識到自己在內(nèi)部控制中所負的責任及內(nèi)部控制對于企業(yè)和自身的重要意義，從而使所有的人都處于制度的控制之中。
　　(西安電子科技大學)