ERP系統(tǒng)環(huán)境下企業(yè)內部控制風險及其防范研究

商顯周

摘 要：隨著現(xiàn)代信息技術的發(fā)展，企業(yè)為了實現(xiàn)內部控制的高效化管理，ERP在企業(yè)內部得到了廣泛的使用。但ERP的效 果是否能夠體現(xiàn)出來，關鍵在于實施ERP企業(yè)的企業(yè)環(huán)境及其對風險的把控是否到位。本文在分析ERP系統(tǒng)環(huán)境下企業(yè)內部控制風險防范的重要性基礎上，深入探討了ERP系統(tǒng)環(huán)境下企業(yè)內部控制風險及其識別，并針對性地提出了ERP系統(tǒng)環(huán)境下企業(yè)內部控制風險防范對策。

關鍵詞：ERP系統(tǒng) 內部控制 風險防范

中圖分類號：F275 文獻標識碼：A 文章編號：2096-0298（2018）09（c）-081-02

ERP即Enterprise Resource Planning，意思是“企業(yè)資源計劃”。是由美國在20世紀90年代初提出來的理念，是指在物料需求計劃和制造資源計劃的基礎上發(fā)展起來的更高層次的管理理念和模式。這些是建立在計算機網絡基礎之上，利用現(xiàn)代企業(yè)先進的生產、管理理念，全面高度集中了企業(yè)各個方面的資源、信息，并為企業(yè)提供決策、計劃、控制與經營業(yè)績評估的全方位和系統(tǒng)化的管理平臺。從以上的定義來看，ERP系統(tǒng)對于現(xiàn)在企業(yè)來說是一種必不可少的系統(tǒng)。

隨著現(xiàn)代信息技術的發(fā)展，企業(yè)為了實現(xiàn)內部控制的高效化管理，ERP在企業(yè)內部得到了廣泛的使用。但ERP的效果是否能夠體現(xiàn)出來，關鍵在于實施ERP企業(yè)的企業(yè)環(huán)境及對風險的把控是否到位。所以做好ERP工作是現(xiàn)在企業(yè)的必經之路，因此探討ERP系統(tǒng)環(huán)境下企業(yè)內部控制風險及其防范具有重要的現(xiàn)實意義。

1 ERP系統(tǒng)環(huán)境下企業(yè)內部控制風險及其識別

1.1 不能正確理解ERP帶來的風險

無法充分認識到ERP的重要性。ERP從產生到現(xiàn)在才不到30年的發(fā)展時間。許多人在工作中接觸時間不長，甚至有些人根本不了解ERP。在實施ERP的過程中，認為它只是一種減少工作的工具，甚至認為它只是給財務提供數(shù)據(jù)的軟件， 更多的是將ERP當成了網絡技術的延伸層面，說白了就是把此系統(tǒng)僅僅定位到技術層次。而且實施ERP會改變以人的工作流程及工作方式，會讓許多人產生或多或少的不適應，因為改變固有模式本身就是一項大的挑戰(zhàn)。本身對ERP認知不夠，加之不想更改工作方式，這樣在實施過程中就不會有太高的積極性。別說提高工作效率，增強企業(yè)內部控制力度，就算基本的作用都難以體現(xiàn)出來。

與上一種情況相反，還有就是認為ERP是萬能的，過度依賴、要求ERP。上了ERP后，所有工作都會減輕。在上軟件時要求其能滿足自己所有要求，如果有一點不能滿足就對其作用產生疑問，以至于會作出阻礙甚至退出ERP的行為，造成不可預估的后果。

1.2 ERP實施過程中內部控制的管控風險

ERP系統(tǒng)的最終目的是為了增加控制手段的高效性和多樣性，增加內控體系的預防、檢查、修正功能。但如果在實施過程中就把相關數(shù)據(jù)輸入錯誤或者數(shù)據(jù)被任意修改，那它的內控作用就只會是表面上的控制，實質未做到真正的把控作用。所以，在ERP實施過程中，內部管控是重中之重。

1.3 運行中的網絡風險

ERP實施后的內部控制，不單純是在企業(yè)內部的各個職能科室之間，還有可能會有其他地區(qū)的分、子公司也通過網絡進行聯(lián)系。而開放性是網絡環(huán)境的一個明顯特點，企業(yè)發(fā)布的各類信息都可能會讓其他人通過網絡訪問到，由此可以看出，網絡雖然給企業(yè)帶來了便捷，但也無法避免的面臨著外部各種各樣的風險，讓企業(yè)的各類信息、相關系統(tǒng)受到嚴重的威脅。如果企業(yè)的內部控制系統(tǒng)一旦受到破壞，導致數(shù)據(jù)丟失或者損壞，將會給企業(yè)造成不可估量、不可挽回的損失。

2 ERP系統(tǒng)環(huán)境下企業(yè)內部控制風險防范

2.1 對ERP系統(tǒng)帶來的風險認識不到位的風險控制

對于不能充分認識ERP的重要性及過度依賴、要求ERP，都是由于對系統(tǒng)的認知不到位。解決辦法就是對工作人員進行專業(yè)知識的培訓，來提高相關人員的專業(yè)知識貯備及專業(yè)的素養(yǎng)，此方法是為了改變以往工作模式形成的固有工作習慣，調動每個人員的工作潛力。與此同時，公司也可以建立、建全新系統(tǒng)使用的考核、激勵制度，用來調動人員的工作積極性。而且也要對員工進行時時監(jiān)督，以保證集體和個人都能按照既定方案、無偏差的進行運作下去。

積極有效的提高企業(yè)相關崗位人員的專業(yè)知識。ERP的實施對相關會計崗位人員素質要求更高。筆者認為只有從根本上提高會計管理人員本身的內部控制能力，企業(yè)的內部控制才會得到很好的執(zhí)行。ERP的應用目的是為了讓內部控制由傳統(tǒng)的以人為主變成為以電腦為主。這種變化就對相關的操作人員及管理人員的計算機知識、財務知識、管理經驗提出了更高的要求，特別是對管理人員的要求更加明顯。對此，企業(yè)要通過各種手段來提高相應操作、管理人員的綜合素質。首先，增加專業(yè)知識的學習與培訓，提高人員專業(yè)知識；其次，通過各種手段，提高工作人員的綜合業(yè)務能力及專業(yè)素養(yǎng)。而會計部門的相關領導是關鍵崗位，對自身的專業(yè)知識更要大步提高；最后，加強相關工作人員網絡安全的意識，做好相關數(shù)據(jù)的安全處理工作。

2.2 ERP實施過程中內部控制的風險控制

2.2.1 事前預防

人員功能操作權限的合理分配：根據(jù)企業(yè)內部的人員結構、相關人員的工作崗位，明細設置每個操作人員的功能權限及其對數(shù)據(jù)的查詢范圍，并在使用后督促操作員進行修改初始密碼操作。這樣ERP系統(tǒng)才能保證各類數(shù)據(jù)均由被指定的操作員才能錄入；規(guī)定哪些人員能有錄入、查詢權限，哪些人員只能有查詢權限不能有更改數(shù)據(jù)權限，哪些員工只能有錄入不能有審核權限，哪些員工只能有審核權限而不能有修改數(shù)據(jù)權限等。

系統(tǒng)數(shù)據(jù)錄入的權限分配：初始單據(jù)的錄入是后續(xù)一切操作的唯一數(shù)據(jù)源，它的正確性直接決定了整個信息系統(tǒng)數(shù)據(jù)的準確性，由此可見，錄入數(shù)據(jù)時一定要保證其正確性、合法性，而且要求有真實、正確的原始單據(jù)作為基礎依據(jù)；與此同時，其他系統(tǒng)數(shù)據(jù)的錄入也是一樣的標準，只有這樣做，才能保證ERP系統(tǒng)在以后的運行及進行內部控制的有效性及正確性。

責任歸屬的劃分：把操作權限及數(shù)據(jù)錄入兩方面都做好分配后，還要把監(jiān)督的權責分清楚、明確，某一具體模塊的把控以及審查、審核都要明確到具體的人。這樣有什么問題都可找到具體的負責人，這樣便于責任的區(qū)分及問題的及時解決。

2.2.2 事中控制

日常數(shù)據(jù)的錄入控制：在數(shù)據(jù)錄入前需要預先在ERP中設置好相關程序和公式，能夠合理拒絕不符合常規(guī)規(guī)范的操作和數(shù)據(jù)錄入。能夠自動完成計提、攤銷、成本結轉、費用結轉、利潤結轉等常規(guī)操作，減少手工錄入操作的失誤率。

單據(jù)審批流向的控制：單據(jù)從錄入到最后的完成需要有多人的審批。以銷售物品為例，首先外跑業(yè)務員接到定單后，只能把相關的物品數(shù)據(jù)記錄并傳遞給專門ERP數(shù)據(jù)的錄入人員，錄入操作員錄入后傳遞到開票人處，經過開票人的初步審批后傳遞到相關負責人處，再由相關負責人審批后才可以開票，開票后單據(jù)繼續(xù)傳遞到財務，由財務進行核對后審批，才能傳遞到倉庫，由倉庫再次核對后才能發(fā)貨。此流程經過4個部門6個操作人員的審批，就會大大減少數(shù)據(jù)的錯誤，提高內部控制的力度。

操作痕跡的把控制：由于ERP的操作都是在電腦上完成，就會產生單據(jù)被修改，數(shù)據(jù)被刪除等相應的風險。做好操作痕跡的留存及備份，出現(xiàn)問題后通過痕跡查詢就可找到具體的操作人。這樣就降低了篡改數(shù)據(jù)的可能性。

2.2.3 事后處理

數(shù)據(jù)合理性、合法性的審計：數(shù)據(jù)錄入完成后，分配專人進行數(shù)據(jù)審計。根據(jù)不相容職務分離的原則，審計人員不能參與到數(shù)據(jù)錄入。這樣就可以減少錯弊。審計后將發(fā)現(xiàn)的問題匯總并發(fā)布，讓各個部門及分子公司學習，減少、杜絕相似問題的再次出現(xiàn)。

對數(shù)據(jù)風險進行正確高效的評估：在平時的工作中，企業(yè)肯定會面臨形形色色的風險，ERP系統(tǒng)可以相應設計一些檢測風險的模型，自動根據(jù)相關數(shù)據(jù)生成風險評估結論。根據(jù)結論可采取對應合理的避險方案，讓企業(yè)更有效的規(guī)避風險。

2.3 對于ERP運行過程中網絡風險的控制

首先，嚴格做好病毒防護、控制工作，加強ERP系統(tǒng)的安全性，定期更新病毒庫，努力健全與完善相應的病毒預防、保障措施。并做好數(shù)據(jù)的備份留存，做好硬盤數(shù)據(jù)雙備份，多備份，甚至網絡備份。出問題后能保證數(shù)據(jù)的完整性。

其次，要加強對網絡安全的管控力度，方法是：通過設置有效的虛擬或物理防火墻，起到一定的攔截、保護作用，更要做好企業(yè)對內部數(shù)據(jù)的加密和保密等相關安全工作。具體方法如對系統(tǒng)操作員及使用人員口令進行多重數(shù)據(jù)加密并規(guī)定好要對密碼進行定期、不定期的更改、對要求訪問ERP系統(tǒng)的外來進行功能權限和數(shù)據(jù)權限進行設置、要求工作人員進行用戶身份的認證等手段。還有就是通過硬件加密技術對網絡安全進行有效控制，如運用VPN（虛擬局域網）進行網絡隔離。

再次，做好原始數(shù)據(jù)錄入人員電腦的安全防護，減少源頭病毒入侵的可能性。如果需要可以對操作員進行內、外網隔離，這樣就能有效的控制病毒入侵，減少網絡的風險。

最后，網絡管理人員要做到在ERP系統(tǒng)正常運行的情況下，對服務器系統(tǒng)及系統(tǒng)數(shù)據(jù)庫定時、不定時的檢測、查詢，以便提早發(fā)現(xiàn)問題并解決。將問題影響程度控制在最小的范圍內。

3 結語

綜上所述，筆者認為在企業(yè)實行ERP進行內部控制過程中，企業(yè)環(huán)境及對風險的控制是起著決定性的作用。只有做好以上各個方面的工作，才能讓ERP正常、高效的運行，才會使企業(yè)內控得到更高效發(fā)揮。

參考文獻

[1] 鞠成曉.基于ERP環(huán)境下企業(yè)內部控制的建設思路[J].企業(yè)經濟，2013（9）.

[2] 張啟彬.ERP系統(tǒng)實施過程中完善企業(yè)內部控制管理的相關探討[J].中國總會計師月刊，2017（4）.

[3] 任飛.ERP系統(tǒng)在國企內部控制中的運用研究[J].聚集，2017（6）.

[4] 羅麗偉.淺談企業(yè)ERP系統(tǒng)環(huán)境下的內部控制[J].中國管理信息化，2010（18）.