■何小雅

（西人馬（廈門）科技有限公司）

1 企業(yè)ERP系統(tǒng)與內(nèi)部控制的內(nèi)涵

1.1 企業(yè)ERP系統(tǒng)的概念與特點(diǎn)

ERP系統(tǒng)是企業(yè)資源計(jì)劃(Enterprise Resource Planning)的簡(jiǎn)稱，它是在MRPII（企業(yè)制造資源計(jì)劃）基礎(chǔ)上進(jìn)一步發(fā)展而形成的面向供應(yīng)鏈的管理思想，是將企業(yè)物流、資金流和信息流進(jìn)行一體化管理的信息系統(tǒng)，是為企業(yè)全方位和系統(tǒng)化的提供決策、計(jì)劃、控制、經(jīng)營(yíng)業(yè)績(jī)?cè)u(píng)估的管理平臺(tái)。ERP系統(tǒng)承載內(nèi)部控制動(dòng)態(tài)管理思想，具有高集成、實(shí)時(shí)共享、覆蓋完整的業(yè)務(wù)流程的特點(diǎn)。

1.2 內(nèi)部控制的概念與特點(diǎn)

內(nèi)部控制是指由企業(yè)董事會(huì)、監(jiān)事會(huì)、經(jīng)理層和全體員工共同實(shí)施的旨在實(shí)現(xiàn)控制目標(biāo)的過(guò)程。

首先，內(nèi)部控制是一個(gè)過(guò)程，它覆蓋了企業(yè)運(yùn)營(yíng)全過(guò)程，各個(gè)流程、節(jié)點(diǎn)相互推進(jìn)、相互制衡，內(nèi)部控制需要流程化、制度化。

其次，內(nèi)部控制需要企業(yè)全員參與。企業(yè)各級(jí)管理層和全體員工需要樹(shù)立現(xiàn)代化管理理念和建立風(fēng)險(xiǎn)意識(shí)，主動(dòng)承擔(dān)內(nèi)部控制建設(shè)和執(zhí)行責(zé)任，而不是被動(dòng)執(zhí)行內(nèi)部控制規(guī)定。

最后，內(nèi)部控制只能是合理保證，而不是絕對(duì)保證。企業(yè)目標(biāo)的實(shí)現(xiàn)不光受制于企業(yè)內(nèi)部環(huán)境，而且也受外部環(huán)境影響，內(nèi)部控制是無(wú)法作用于外部環(huán)境的。內(nèi)部控制自身也存在局限性，受其設(shè)置和運(yùn)行人員、經(jīng)營(yíng)環(huán)境、業(yè)務(wù)性質(zhì)等制約。

1.3 企業(yè)ERP系統(tǒng)與內(nèi)部控制的關(guān)系

1.3.1 企業(yè)ERP系統(tǒng)是內(nèi)部控制的工具和途徑之一

ERP系統(tǒng)實(shí)施前需對(duì)企業(yè)現(xiàn)有運(yùn)營(yíng)流程進(jìn)行設(shè)計(jì)和改進(jìn)，保證ERP系統(tǒng)設(shè)置后實(shí)施目標(biāo)、控制范圍、操作流程與內(nèi)部控制一致，ERP系統(tǒng)成為內(nèi)部控制實(shí)施的載體和工具。隨著企業(yè)經(jīng)營(yíng)管理情況變化，內(nèi)部控制需要適時(shí)改進(jìn)。ERP系統(tǒng)為了更好服務(wù)于內(nèi)部控制，需要做出相應(yīng)調(diào)整。

1.3.2 企業(yè)ERP系統(tǒng)是內(nèi)部控制的對(duì)象

ERP系統(tǒng)是由人主觀意識(shí)而設(shè)計(jì)出來(lái)，無(wú)法避免會(huì)有漏洞。錯(cuò)誤操作ERP系統(tǒng)，會(huì)導(dǎo)致整體數(shù)據(jù)出現(xiàn)偏差。內(nèi)部控制出現(xiàn)失誤，甚至出現(xiàn)重大決策失誤。ERP系統(tǒng)是內(nèi)部控制的重要構(gòu)成部分，對(duì)ERP系統(tǒng)進(jìn)行風(fēng)險(xiǎn)監(jiān)督和測(cè)評(píng)，規(guī)避和減少企業(yè)管理過(guò)程中ERP信息溝通造成的誤差風(fēng)險(xiǎn)。

1.3.3 企業(yè)ERP系統(tǒng)是內(nèi)部控制的體現(xiàn)和要素

ERP系統(tǒng)根據(jù)公司治理結(jié)構(gòu)、內(nèi)部機(jī)構(gòu)設(shè)置和權(quán)責(zé)分配制度、內(nèi)部控制制度等建立規(guī)范的系統(tǒng)管理機(jī)制。通過(guò)對(duì)供應(yīng)鏈進(jìn)行實(shí)時(shí)數(shù)據(jù)采集，實(shí)現(xiàn)供應(yīng)鏈管理信息和業(yè)務(wù)共享集成，及時(shí)、準(zhǔn)確收集、傳遞與內(nèi)部控制相關(guān)信息，實(shí)時(shí)監(jiān)控資金流和物流，精確指導(dǎo)企業(yè)經(jīng)營(yíng)生產(chǎn)，從而實(shí)現(xiàn)事前計(jì)劃、事中控制、事后分析。并對(duì)信息和流程進(jìn)行篩選和甄別，實(shí)現(xiàn)企業(yè)內(nèi)部信息共享、管理流程和業(yè)務(wù)流程優(yōu)化和自動(dòng)化。

2 企業(yè)ERP系統(tǒng)的應(yīng)用對(duì)內(nèi)部控制的影響

2.1 企業(yè)ERP系統(tǒng)的應(yīng)用使內(nèi)部控制制度更完善

通過(guò)ERP系統(tǒng)使內(nèi)部控制制度落實(shí)到實(shí)處。ERP系統(tǒng)實(shí)施前，企業(yè)針對(duì)前期經(jīng)營(yíng)管理模式、流程和操作，對(duì)內(nèi)部控制制度進(jìn)行調(diào)整，將內(nèi)部控制制度要求嵌入ERP系統(tǒng)中。ERP系統(tǒng)實(shí)施中暴露出內(nèi)部控制制度問(wèn)題，方便管理者及時(shí)調(diào)整。

2.2 企業(yè)ERP系統(tǒng)的應(yīng)用使內(nèi)部控制范圍更廣泛

一方面ERP系統(tǒng)風(fēng)險(xiǎn)管控納入內(nèi)部控制范圍。另一方面ERP系統(tǒng)應(yīng)用促使企業(yè)規(guī)模不斷增大，同時(shí)使內(nèi)部管理層次更復(fù)雜，流程更繁瑣，經(jīng)營(yíng)風(fēng)險(xiǎn)更多，內(nèi)部控制需要管控的內(nèi)容更復(fù)雜，范圍更廣泛。

2.3 企業(yè)ERP系統(tǒng)的應(yīng)用使內(nèi)部控制形式更智能

ERP系統(tǒng)的應(yīng)用使內(nèi)部控制不再依賴人員的內(nèi)部牽制，將內(nèi)部控制點(diǎn)嵌入系統(tǒng)，流程數(shù)據(jù)和操作自動(dòng)識(shí)別、篩選、監(jiān)控，使得數(shù)據(jù)處理和存儲(chǔ)更加集中、自動(dòng)、智能。業(yè)務(wù)流程的重組和信息化，不僅保證信息真實(shí)完整，而且給內(nèi)部審計(jì)調(diào)查取證提供了便利。

2.4 企業(yè)ERP系統(tǒng)的應(yīng)用使內(nèi)部控制模式更成熟

ERP系統(tǒng)的應(yīng)用使內(nèi)部控制信息所產(chǎn)生的成本減少，企業(yè)不必單獨(dú)成立內(nèi)部控制部門。內(nèi)部控制系統(tǒng)和業(yè)務(wù)系統(tǒng)集成合并，系統(tǒng)自動(dòng)反饋，不斷糾正和調(diào)整業(yè)務(wù)信息，減少了信息誤差，提高了控制的效率，從而實(shí)現(xiàn)信息溝通及時(shí)、有效、準(zhǔn)確、透明。

2.5 企業(yè)ERP系統(tǒng)的應(yīng)用使內(nèi)部控制環(huán)境更良好

根據(jù)公司治理結(jié)構(gòu)、內(nèi)部機(jī)構(gòu)設(shè)置和權(quán)責(zé)分配制度、內(nèi)部控制制度等建立規(guī)范的ERP系統(tǒng)用戶權(quán)限管理機(jī)制。系統(tǒng)采用基于角色訪問(wèn)機(jī)制（RBAC），根據(jù)崗位職責(zé)體系進(jìn)行職責(zé)分工，不同分工對(duì)應(yīng)不同系統(tǒng)角色，基于角色生成事務(wù)代碼，并分配事務(wù)代碼所需權(quán)限、字段、字段值，由此決定了角色在系統(tǒng)中的操作權(quán)限，實(shí)現(xiàn)崗位、職責(zé)和權(quán)限統(tǒng)一，從而改善內(nèi)部控制環(huán)境。

3 ERP系統(tǒng)環(huán)境下內(nèi)部控制的發(fā)展現(xiàn)狀

3.1 相應(yīng)制度體系構(gòu)建不完善

在應(yīng)用ERP系統(tǒng)時(shí)，內(nèi)部未形成統(tǒng)一的業(yè)務(wù)流程和完善的制度體系，內(nèi)部控制制度只是針對(duì)財(cái)務(wù)部門設(shè)置，缺少信息化管理制度，內(nèi)部管理混亂。ERP系統(tǒng)在實(shí)施過(guò)程中不能與其他信息系統(tǒng)有效的進(jìn)行信息傳遞和數(shù)據(jù)分析，財(cái)務(wù)信息與經(jīng)營(yíng)信息不能有效結(jié)合，缺乏相互約束機(jī)制，影響信息質(zhì)量，使經(jīng)營(yíng)管理決策出現(xiàn)偏差。

3.2 ERP系統(tǒng)與業(yè)務(wù)融合度不夠

在ERP系統(tǒng)實(shí)施前，未對(duì)業(yè)務(wù)流程進(jìn)行診斷和評(píng)估，導(dǎo)致業(yè)務(wù)數(shù)據(jù)無(wú)法錄入ERP數(shù)據(jù)庫(kù)中，只能錄入線下業(yè)務(wù)數(shù)據(jù)庫(kù)。ERP系統(tǒng)在實(shí)施過(guò)程中，業(yè)務(wù)流程與系統(tǒng)流程存在沖突，不符合ERP系統(tǒng)應(yīng)用規(guī)則，業(yè)務(wù)數(shù)據(jù)與ERP系統(tǒng)數(shù)據(jù)無(wú)法傳輸、銜接、集成，無(wú)法實(shí)現(xiàn)信息一體化管理，從而導(dǎo)致系統(tǒng)與業(yè)務(wù)融合度不夠，使經(jīng)營(yíng)管理者無(wú)法獲取準(zhǔn)確的業(yè)務(wù)數(shù)據(jù)進(jìn)行分析和決策。

3.3 ERP系統(tǒng)信息安全存在隱患

在應(yīng)用ERP系統(tǒng)時(shí)，更關(guān)注其功能，而忽略信息安全隱患。ERP系統(tǒng)包含了企業(yè)核心信息和數(shù)據(jù)：組織架構(gòu)、人員信息、產(chǎn)品信息、客戶供應(yīng)商信息、供應(yīng)鏈數(shù)據(jù)、財(cái)務(wù)數(shù)據(jù)、人力資源數(shù)據(jù)等。ERP系統(tǒng)因?yàn)槿藶槠茐?、操作不?dāng)、監(jiān)管不到位或不可避免的問(wèn)題等原因造成敏感信息被人為或無(wú)意的非法泄露、傳授、買賣、更改、破壞、辨識(shí)、控制將給企業(yè)帶來(lái)巨大的損失。

3.4 內(nèi)部控制管理績(jī)效考核機(jī)制不健全

在應(yīng)用ERP系統(tǒng)時(shí)，ERP系統(tǒng)涉及的流程崗位職責(zé)設(shè)定不明確、未將內(nèi)部控制管理執(zhí)行情況和風(fēng)險(xiǎn)控制效果納入考核范圍、考核數(shù)據(jù)來(lái)源和考核方法不清晰、考核指標(biāo)或考核指標(biāo)不合理、考核標(biāo)準(zhǔn)不一。未注重考核反饋機(jī)制,考核結(jié)果可參考性和利用價(jià)值低、未全面分析績(jī)效取得過(guò)程原因及后期影響，改善計(jì)劃缺乏長(zhǎng)期目標(biāo)和長(zhǎng)遠(yuǎn)規(guī)劃，考核結(jié)果和獎(jiǎng)勵(lì)結(jié)果不一致。最終導(dǎo)致無(wú)法通過(guò)績(jī)效考核發(fā)現(xiàn)ERP系統(tǒng)和內(nèi)部控制之間的問(wèn)題。

3.5 企業(yè)缺乏復(fù)合型專業(yè)人才

ERP系統(tǒng)應(yīng)用過(guò)程中，企業(yè)缺乏信息管理、財(cái)務(wù)管理和運(yùn)營(yíng)管理綜合性人才，綜合判斷ERP系統(tǒng)應(yīng)用對(duì)內(nèi)部控制長(zhǎng)遠(yuǎn)影響。ERP系統(tǒng)應(yīng)用前期指導(dǎo)和后期服務(wù)均由系統(tǒng)供應(yīng)商占主導(dǎo)。即使企業(yè)花費(fèi)巨大精力和財(cái)力用于ERP系統(tǒng)開(kāi)發(fā)，也受限于系統(tǒng)供應(yīng)商提供的服務(wù)水平和資質(zhì)。企業(yè)缺乏復(fù)合型專業(yè)人才，根據(jù)自身企業(yè)運(yùn)營(yíng)特點(diǎn)，研發(fā)ERP系統(tǒng)，及時(shí)收集、處理各崗位的系統(tǒng)問(wèn)題,調(diào)整與內(nèi)部控制的沖突和差異。

4 ERP系統(tǒng)環(huán)境下加強(qiáng)內(nèi)部控制的具體建議

4.1 完善內(nèi)部控制制度與體系。

4.1.1 建立ERP系統(tǒng)崗位制度

ERP系統(tǒng)崗位制度按照財(cái)務(wù)會(huì)計(jì)、管理會(huì)計(jì)、生產(chǎn)制造、供應(yīng)鏈、人力資源崗位職能將系統(tǒng)劃分為若干模塊，各部門按照企業(yè)組織架構(gòu)、崗位職責(zé)和職能劃分ERP系統(tǒng)工作內(nèi)容，進(jìn)行ERP系統(tǒng)業(yè)務(wù)處理與數(shù)據(jù)處理。

4.1.2 建立ERP系統(tǒng)操作制度

ERP系統(tǒng)操作制度主要是各模塊操作規(guī)范、注意事項(xiàng)及各模塊操作人員職責(zé)。各崗位操作人員根據(jù)分配的模塊、權(quán)限及各模塊流程操作圖進(jìn)行相應(yīng)操作，禁止違規(guī)操作。系統(tǒng)操作人員均需遵守保密規(guī)定，不得向任何其他個(gè)人、部門、單位透露系統(tǒng)數(shù)據(jù)。

4.1.3 建立ERP系統(tǒng)培訓(xùn)制度

ERP系統(tǒng)培訓(xùn)制度包括需遵守的培訓(xùn)規(guī)則、培訓(xùn)形式、激勵(lì)措施及考核方式，旨在提高培訓(xùn)效果，增加操作人員的ERP系統(tǒng)理論及操作知識(shí)，順利實(shí)施ERP系統(tǒng)應(yīng)用。

4.1.4 建立ERP系統(tǒng)安全制度

ERP系統(tǒng)安全制度是構(gòu)建ERP系統(tǒng)穩(wěn)健運(yùn)行環(huán)境的重要保障。內(nèi)容涉及制定系統(tǒng)安全目標(biāo)和安全策略，并在此基礎(chǔ)上制定不同內(nèi)容的規(guī)范。同時(shí)建立系統(tǒng)安全組織，明確各部門、環(huán)節(jié)及人員安全職責(zé)、組織形式、處理流程，啟用日志管理，避免越權(quán)和非授權(quán)行為。

4.1.5 建立ERP系統(tǒng)信息反饋制度

ERP系統(tǒng)信息反饋制度主要是在企業(yè)運(yùn)營(yíng)、系統(tǒng)流程操作過(guò)程中信息反饋和建議的規(guī)范，從而實(shí)現(xiàn)及時(shí)收集員工意見(jiàn)，調(diào)動(dòng)員工工作積極性，發(fā)掘內(nèi)部控制管理可行性改善建議。制度包括合理化建議范圍界限、合理化建議審核流程、合理化建議反饋形式及渠道、合理性建議效果反饋及獎(jiǎng)勵(lì)，并建立考核制度。

4.2 提升ERP系統(tǒng)在內(nèi)部控制方面的應(yīng)用水平

首先，ERP系統(tǒng)啟動(dòng)前，針對(duì)不同階段設(shè)置可量化的、明確的系統(tǒng)在內(nèi)部控制方面的不同應(yīng)用目標(biāo)。其次，ERP系統(tǒng)實(shí)施前，選擇合適企業(yè)需求的ERP系統(tǒng)。通過(guò)對(duì)內(nèi)部控制管理進(jìn)行梳理和診斷后，結(jié)合企業(yè)生產(chǎn)模式和現(xiàn)有需要解決問(wèn)題，尋找ERP系統(tǒng)供應(yīng)商并對(duì)其產(chǎn)品進(jìn)行調(diào)研，綜合評(píng)估選擇合適的ERP系統(tǒng)供應(yīng)商。然后，引入企業(yè)管理咨詢服務(wù)。在實(shí)施ERP系統(tǒng)前期準(zhǔn)備、業(yè)務(wù)流程重組、ERP系統(tǒng)選擇分析及后期實(shí)施工作僅靠企業(yè)內(nèi)部人員還不夠，需要引入專業(yè)的企業(yè)管理咨詢服務(wù)。再次，成立ERP項(xiàng)目組，實(shí)行ERP項(xiàng)目監(jiān)理制。按照規(guī)章制度對(duì)ERP項(xiàng)目進(jìn)行監(jiān)督和管理，協(xié)調(diào)各方面溝通，減少合作過(guò)程的阻力，并爭(zhēng)取高層領(lǐng)導(dǎo)支持。最后，確保ERP系統(tǒng)數(shù)據(jù)及時(shí)收集、整理及匯報(bào)。ERP系統(tǒng)是對(duì)企業(yè)信息的整合，而信息的載體和表達(dá)是通過(guò)大量數(shù)據(jù)來(lái)完成，通過(guò)ERP系統(tǒng)數(shù)據(jù)的收集、整理與匯報(bào)，才能確保ERP項(xiàng)目實(shí)施成功。

4.3 加強(qiáng)對(duì)ERP系統(tǒng)信息安全的保護(hù)

4.3.1 ERP系統(tǒng)信息安全管理

根據(jù)企業(yè)組織架構(gòu)、崗位職責(zé)和內(nèi)部控制管理需求，自定義ERP信息角色和權(quán)限；專門審計(jì)人員定期審計(jì)信息安全；開(kāi)啟日志功能，記錄操作人員操作記錄；數(shù)據(jù)定期審計(jì)、備份、檢查、分析、維護(hù)；通過(guò)信息安全管理測(cè)評(píng)和分析，發(fā)現(xiàn)系統(tǒng)存在的漏洞和隱患等；利用信息安全技術(shù)分析，預(yù)見(jiàn)、發(fā)現(xiàn)系統(tǒng)中每一個(gè)環(huán)節(jié)中潛在或已有問(wèn)題，減少和消除ERP系統(tǒng)持續(xù)安全運(yùn)行風(fēng)險(xiǎn)。

4.3.2 ERP系統(tǒng)信息安全控制

依據(jù)ERP系統(tǒng)特點(diǎn)與企業(yè)安全目標(biāo)建設(shè)基礎(chǔ)信息設(shè)施，設(shè)置合理的信息安全架構(gòu)，建設(shè)完善架構(gòu)體系，合理劃分安全區(qū)域，統(tǒng)一規(guī)劃安全設(shè)施，不斷增強(qiáng)網(wǎng)絡(luò)監(jiān)控；根據(jù)客戶端和數(shù)據(jù)情況配置軟硬件。

4.3.3 ERP系統(tǒng)信息安全技術(shù)

對(duì)服務(wù)器安全、登錄安全、數(shù)據(jù)庫(kù)安全三大項(xiàng)信息實(shí)施安全技術(shù)；及時(shí)對(duì)ERP系統(tǒng)進(jìn)行適應(yīng)性二次加工與升級(jí)，增加新的功能、修補(bǔ)漏洞，增強(qiáng)穩(wěn)定性、增強(qiáng)操作性；不斷升級(jí)身份認(rèn)證技術(shù)，確保操作人員權(quán)限與身份一致；不斷提升安全防護(hù)、病毒監(jiān)測(cè)與清除、安全監(jiān)測(cè)與監(jiān)控、加密與解密技術(shù)等技術(shù)，配備防火墻系統(tǒng)和入侵防御系統(tǒng)，設(shè)置安全訪問(wèn)管理和預(yù)防木馬病毒入侵。

4.4 健全內(nèi)部控制的績(jī)效考核

基于ERP績(jī)效管理信息系統(tǒng)建立績(jī)效考核組織，以績(jī)效計(jì)劃流程、月度考核流程、年度考核流程為線索，將具體考核目標(biāo)、因素、指標(biāo)指定到具體考核對(duì)象上，并對(duì)考核結(jié)果進(jìn)行評(píng)價(jià)和分析，形成基于流程和責(zé)任的指標(biāo)體系、評(píng)價(jià)體系、結(jié)果應(yīng)用體系。具體措施包括：ERP系統(tǒng)自動(dòng)采集和計(jì)算各流程操作數(shù)據(jù)生成績(jī)效報(bào)表，員工和績(jī)效管理人員可以通過(guò)實(shí)時(shí)查看績(jī)效結(jié)果，員工可以通過(guò)ERP系統(tǒng)申訴績(jī)效結(jié)果。

4.5 加強(qiáng)復(fù)合型專業(yè)人才的培訓(xùn)和儲(chǔ)備

基于ERP系統(tǒng)環(huán)境下，企業(yè)開(kāi)展知識(shí)、能力、素質(zhì)和創(chuàng)新思維為一體的復(fù)合型ERP專業(yè)人才培養(yǎng)和儲(chǔ)備。一方面從企業(yè)內(nèi)部挑選人才組建成為懂技術(shù)懂財(cái)務(wù)懂管理的復(fù)合型人才團(tuán)隊(duì)，從技術(shù)、實(shí)施、應(yīng)用三個(gè)層面確保ERP系統(tǒng)成功實(shí)施。另一方面從理論學(xué)習(xí)、動(dòng)手實(shí)踐和企業(yè)鍛煉三個(gè)層次開(kāi)始培養(yǎng)復(fù)合型專業(yè)人才。

總之，ERP系統(tǒng)應(yīng)用作為全新的理念和信息管理系統(tǒng)，對(duì)于內(nèi)部控制管理和信息化建設(shè)產(chǎn)生重大的影響。目前我國(guó)大部分企業(yè)在實(shí)際ERP應(yīng)用中效果不佳，仍然存在問(wèn)題。本文以ERP環(huán)境下內(nèi)部控制為研究方向，分析了具體存在問(wèn)題，并多角度從內(nèi)部控制制度體系、內(nèi)部控制應(yīng)用水平、信息安全、績(jī)效考核、復(fù)合型人才培養(yǎng)等方面給出具體應(yīng)對(duì)措施。企業(yè)應(yīng)積極采取措施，加強(qiáng)ERP應(yīng)用成效，為內(nèi)部控制提供堅(jiān)實(shí)、高效的基礎(chǔ)。