ERP环境下内部控制体系设计

    简胜前

    摘 要：ERP不仅能够推动企业的信息化建设，同时也可以打破企业固有的内控体系，为企业增添诸多风险以及不稳定因素。本文系统论述了ERP与内部控制之间的联系，并从控制环境、风险控制、控制活动三个方面阐述了ERP对企业内部控制所产生的影响，认为ERP环境下企业内部控制体系在设计的过程中要明确业务流程、确认控制点、查找平衡点与稽核点，选择合理化的控制形式。

    关键词：ERP环境 ?内部控制体系 ?设计

    ERP是将信息技术作为保证，通过整体化思想，为企业的管理人员以及员工提供必要的决策。上世纪九十年代，我国引入了ERP系统，其焦点集中于供应链管理，摆脱了传统单一企业管理束缚，以供应链为整体对企业资源进行系统性的优化，实现了企业管理先进思想以及信息产业成果的有效融合。ERP技术并非单纯是一种技术形式，同时其也是管理理念。企业引入ERP系统不仅能够推动企业管理效率的提升，同时也会为企业带来全新的风险，因此，ERP环境下加强企业的内部控制有着极为重要的作用与意义。

    一、ERP和内部控制之间的联系

    企业内部控制体系中包含了ERP系统以及业务流程，ERP系统对于内部控制会产生一定的影响。从本质上看，ERP系统为一个信息系统，是利用设定相应的控制参数以及控制流程实现对企业日常活动的管理。企业内部控制的核心内容在于控制企业的管理以及经营。ERP系统是内部管理控制体系的重要组成内容。ERP的有效实施，一方面利用程序实现对企业管理要求的固化，另一方面因为ERP系统中网络共享图形以及计算机数据处理特性使得企业能够实时监管企业内部控制，有效的提升了内部控制水平。从这个层面而言，ERP系统实施有助于对企业内部控制进行优化，可是因为ERP系统本身具有的数据特性，能够提升内控的风险性，因此要确保现代企业内控的有效与合理性，就需要对ERP系统风险进行综合性控制与考量。

    二、ERP对内部控制所产生的影响

    ERP的有效实施能够对内控产生多元化的影响，本文从COSO框架出發，利用COSO框架五要素分析ERP对于企业内部控制所产生的影响。

    （一）控制环境发生改变

    企业内部控制在ERP环境下会发生诸多改变。首先，组织结构趋于扁平化，ERP的顺利实施能够保证企业组织架构朝着扁平化的趋势发展，通过降低内控的层次，有效的缩减内部信息传递的环境，提升了不同信息之间的传递速度。其次，从细节出发对企业岗位职责进行分配，使得岗位职责以及责任分配更加的明确。ERP系统可以严格的授权以及设置不同岗位的操作权限，使得一些不相关的人员无法对业务进行随意操作，降低了人为操作所产生的错误。最后，治理层参与程度提升，企业监管范围更加广泛。企业开展ERP以后，业务处理以及会计信息会同步，事后控制因为实时监控逐渐沦为事前监督以及事中控制，过去单纯对财务所实施的内部监督逐渐的成为对企业不同部门的监督。

    （二）风险控制发生改变

    首先，改变了风险评估理念。ERP系统的有效实施，使其可以融入到企业所有经营活动当中。ERP系统能够实时监控数据，使得企业及时识别、评估以及分析企业经营过程中所面临的各种风险。其次，风险控制方法改变。ERP系统当中的授权机制更加的严格，业务流程区域标准化，职责分工更加明确，这些都能够显著降低人为操作所产生的失误，提升了企业风险管理水平，有效的降低企业经营中存在的风险。再次，增加新风险。ERP系统能够为企业的内部控制带来改变，同时也能够产生全新的风险。例如ERP系统在实际运行过程中所产生的系统操作风险以及数据安全风险等。这些都能够成为ERP系统为企业内部控制所带来的全新风险点，企业在内部控制的过程中需要重点关注新风险，并且制定出相关的控制策略。

    （三）控制活动的改变

    ERP环境下实施的内部控制工作可以分成普通控制、应用控制。普通控制主要是控制ERP开发和应用环境。例如系统的日常维护、系统管理工作等。应用控制指的是对企业的相关业务展开的ERP处理，比如，采用ERP系统纠正决策中所出现的错误做法。

    首先，丰富内部控制手段。因为ERP的使用，产生了全新的控制手段，比如程序控制以及权限控制。其次，降低了人为控制活动，防范舞弊行为。自动生成系统数据信息，能够显著的降低处理业务的过程中所存在的各种人为操作，ERP系统的数据多为自动生成，能够显著的降低人工操作的频率，产生封闭信息流通，确保信息能够正确的进行传递，避免出现人为违规的行为。再次，产生全新的风险。提升了内部控制的难度。ERP能够产生数据安全风险、篡改销毁经营数据风险，搜易，ERP系统所实施的信息安全控制同样也是内控互动的关注点。最后，控制范围持续扩大。ERP的有效实施能够保证企业的业务流程成为一个整体，ERP会实时监控信息数据，使得内部控制从过去的程序化控制逐渐演变为并行化控制，加大了控制范围。

    三、ERP环境下内部控制体系设计策略

    在COSO内控原则的引导下，按照ERP环境新内控目标，能够通过以下四步设计内部控制体系。

    （一）明确业务流程

    通常而言，ERP系统能够包含企业经营管理的众多层面。按照经济效益的基本原则，可以从企业诸多业务风险中及时的发现对惬意的业务流程产生影响的较大风险，从而有效的确定哪一些ERP模块可以对这项业务流程加以支持，也能够和业务流程的所有者进行交流，寻求合理化的业务流程。

    按照传统的经验，ERP系统当中牵涉到收入、支出以及库存等众多业务形式，对这些业务所进行的系统控制将会对企业的业务有效运转产生较大的影响。比如，企业管理层比较关注企业财务控制的外部以及内部流程，由于这些流程将会直接决定数据准确性，可以集中体现出企业经营的健康程度。

    （二）确认控制点

    在明确评估范围以后，还要描述以及分析这些流程。对ERP流程当中的所有动作都需要溯源，对风险特征加以描述，并且确定其控制点。按照ERP系统的相关要求，调整并且优化内部控制，降低因为流程自动化所导致的内部控制被削弱的实际情况。

    （三）查找平衡点与稽核点

    ERP系统设施以后，将会陷入到用于访问方面的诸多问题中。比如，假如不应该获得权限的团体以及个人获得了访问权限，将会造成数据面临被破坏的危险。缺少对于这部分用户权限的控制，将会导致敏感交易安全度的降低。因此，用户需要有效控制一些敏感性交易的访问权限，比如，使用权责分离的基本原则对其进行限制与约束。

    （四）选择合理化的控制形式

    ERP环境下，控制方式不仅包含了人工控制，同时也存在自动控制形式，在应用的过程中两种形式并非是单独应用，而是相互融合，彼此贯通。人工控制主要是在充分履行个人职责范围内的工作。比如，付款需要在人工填表以及签字以后才能支付。ERP环境下的内部控制则是利用软件完成一系列的操作，通过对数据合理性以及有效性的控制保证动作合理性。ERP参数设置将会直接决定领域的控制等级。这些控制包含了字段验證、用户访问以及工作流等相关保护数据一致性处理的控制。比如，系统会主动的拒绝生成两份完全相同序号的发票，有效的降低了应付账款的时候所产生的混乱，降低了差错的产生概率。在ERP实施的进程中，一些二次开发工作将会极大的削弱系统中既定的控制，产生全新的风险因子。此时，需要采用手工控制对其进行补充，并加以辅助。

    四、结束语

    ERP应用对于内部控制所产生的影响，既有好的一面，同时也有不好的一面。构建ERP环境下企业的内部控制体系有助于提升信息质量，确保资金的安全性，实现规章制度的有序实施，实现内部控制目标。可是ERP系统本身并非万能的，其为企业解决各种内部控制问题的基础上也会为企业的内部控制带来诸多新问题。企业管理工作不能够完全依赖信息系统，需要和相应的规章制度相互融合，这才是提升企业内部控制效果的关键所在。

    参考文献：

    [1]代云.ERP系统环境下企业内部控制风险及其防范策略[J].财会学习，2019（04）：180-181.

    [2]郭富.浅谈ERP环境下化工企业的内部控制——“福华通达农药科技有限公司”为例[J].纳税，2018，12（31）：250-251.

    [3]王玲.ERP视角下制造企业内部控制中存在的问题及对策[J].财会学习，2018（23）：242+244.

    [4]梁敏.ERP环境下财务会计信息系统内部控制与风险管理分析[J].财经界（学术版），2018（15）：106.

    [5]李佳.ERP系统环境下企业内部控制研究[J].经贸实践，2018（12）：294+296.

    [6]朱妩连.基于ERP系统环境下的企业内部控制研究[J].经贸实践，2018（08）：290-291.