ERP 系統(tǒng)環(huán)境下企業(yè)內部控制的探討

■吳佳輝 中國石油天然氣股份有限公司廣西銷售分公司

隨著國民經(jīng)濟形勢的變化，國內企業(yè)面臨愈發(fā)激烈的市場競爭，企業(yè)內部控制是提升企業(yè)競爭實力的重要手段，也是推進企業(yè)現(xiàn)代化發(fā)展的重要途徑，內部控制活動可以有效提升企業(yè)生產(chǎn)經(jīng)營效益，提升企業(yè)控制、決策和管理的科學性。ERP（Enterprise Resource Planning，企業(yè)資源計劃）系統(tǒng)的普及應用為企業(yè)開展高效的內部控制提供了關鍵支撐，但在ERP 系統(tǒng)引進及運行的過程中，部分企業(yè)也面臨諸多挑戰(zhàn)。對此，如何推進ERP 系統(tǒng)建設和運行，進而為企業(yè)內部控制提供良好的環(huán)境與保障，以此提升企業(yè)內部控制水平，成為推動企業(yè)現(xiàn)代化轉型、推進企業(yè)良性發(fā)展的必經(jīng)之路。

一、ERP 系統(tǒng)與內部控制的內在邏輯

ERP 系統(tǒng)是企業(yè)落實內部控制措施、開展內部控制活動的重要工具，在ERP 系統(tǒng)的幫助下，企業(yè)領導者、管理層可以全面、及時地獲取各類信息，結合信息分析結果做出科學決策，開展內部控制活動。同時，內部控制為企業(yè)ERP 系統(tǒng)建設提供方向，企業(yè)引進、應用ERP 系統(tǒng)需要以內部控制需求為導向，ERP 系統(tǒng)需要能夠滿足企業(yè)內部控制的具體需求，如對流程控制、信息處理的需求等，因此，在企業(yè)ERP 系統(tǒng)建設期間，內部控制需求為系統(tǒng)建設提供正確方向，確保ERP 系統(tǒng)可以真正為企業(yè)的持續(xù)發(fā)展服務。不難發(fā)現(xiàn)，ERP 系統(tǒng)與企業(yè)內部控制處于密切關聯(lián)、相互促進的狀態(tài)，在ERP 系統(tǒng)環(huán)境下推進企業(yè)內部控制工作開展可以有效提升內部控制效果，為企業(yè)發(fā)展提供關鍵支撐。

二、ERP 系統(tǒng)對企業(yè)內部控制的重要影響

ERP 系統(tǒng)對內部控制的影響主要體現(xiàn)在控制環(huán)境、控制活動、風險評估、信息溝通四個方面，本文對其進行逐一分析。

1.優(yōu)化控制環(huán)境

控制環(huán)境主要指對于內部控制效果產(chǎn)生影響的各類因素，良好的控制環(huán)境是內部控制得以順利開展的重要前提，也關系企業(yè)能否實現(xiàn)內部控制目標。在ERP 系統(tǒng)環(huán)境下，企業(yè)內部控制環(huán)境中的部分影響因素發(fā)生變動，對于內部控制效果具有直接影響。一是企業(yè)組織結構變動，ERP 系統(tǒng)使企業(yè)組織結構趨于扁平化，有效減少內部控制層次和信息傳輸層次，使信息可以在更短的時間內實現(xiàn)上下級之間的傳遞，提升信息傳遞效率和真實性。二是權責分配進一步細化，ERP 系統(tǒng)使企業(yè)內部的權責機制更加明確，每個崗位、每個模塊的操作都有特定的權限，特定的操作只能由特定的員工或特定的崗位完成，這就將權責進一步落實到具體崗位，有效避免責任推諉。三是提升了領導層、管理層對內部控制的參與程度，有效發(fā)揮內部監(jiān)督的作用，在ERP 系統(tǒng)的幫助下，領導層和管理層可以全面、迅速地獲取企業(yè)內部信息，并根據(jù)相應情況開展管理、監(jiān)督。四是實現(xiàn)內部控制的全程開展，促進企業(yè)內部控制由單純的事后控制轉為事前預測、事中監(jiān)督和事后控制全程開展。

2.提升控制活動質量

控制活動是企業(yè)各級管理人員為了執(zhí)行管理指令、實現(xiàn)企業(yè)發(fā)展目標而采取的措施和行為，控制活動具有全面性特點，涉及企業(yè)各部門、各崗位，而且企業(yè)生產(chǎn)經(jīng)營、管理決策的各個環(huán)節(jié)均涉及控制活動，如授權、審批、檢查、監(jiān)督等。ERP 系統(tǒng)為企業(yè)提供了更加靈活多樣的控制手段，確保控制活動能夠有序開展，提升控制活動的效果。例如，通過系統(tǒng)權限控制、系統(tǒng)程序控制等手段提升控制質量，或者通過信息系統(tǒng)控制提升業(yè)務處理效率，降低業(yè)務處理成本，減少業(yè)務處理出錯的可能。相較于傳統(tǒng)的人工控制，在ERP 系統(tǒng)輔助下的內部控制提升了控制效率和控制的智能化水平，而且使內部控制體系具備預防、修正等功能。例如，推動ERP系統(tǒng)在財務控制中的應用可以實現(xiàn)財務數(shù)據(jù)的追溯，而且各環(huán)節(jié)的財務操作都會產(chǎn)生數(shù)據(jù)痕跡，可以清晰展示財務工作流程，一旦出現(xiàn)問題，可以及時溯源，有效避免財務舞弊。

需要注意的是，ERP 系統(tǒng)的應用也對企業(yè)內部控制活動形成了新的挑戰(zhàn)。例如，企業(yè)各項數(shù)據(jù)可能遭到竊取，導致企業(yè)信息泄露，使企業(yè)面臨信息安全風險，甚至部分不法分子通過網(wǎng)絡途徑入侵企業(yè)ERP 系統(tǒng)，修改、銷毀企業(yè)數(shù)據(jù)，給企業(yè)帶來一定損失。

3.強化風險評估

風險評估對于企業(yè)發(fā)展具有重要意義，風險評估分為事前評估和事后評估，事前評估主要是評估風險等級以及可能造成的危害，而事后評估則是對已發(fā)生的風險事件進行評估，評估重點在于風險事件給企業(yè)造成的損失。風險評估具體分為識別、分析、預防和管理四個環(huán)節(jié)。

在ERP 系統(tǒng)環(huán)境下，企業(yè)的風險評估手段、風險評估理念均發(fā)生相應變化，從風險評估理念的角度來看，風險評估更加注重流程上的全程性，以及評估對象的全面性，可以對企業(yè)各部門、各崗位、各流程以及各環(huán)節(jié)可能發(fā)生的風險進行預防評估，有效降低風險因素給企業(yè)帶來的損失。同時，ERP 系統(tǒng)可以使風險評估的權責具體落實到人，由于系統(tǒng)本身具備嚴格的授權操作機制，故而風險評估的責任更加明確、更加細化。但是ERP 系統(tǒng)也給企業(yè)帶來了新的風險點，如系統(tǒng)應用風險、數(shù)據(jù)安全風險等，這些都是需要企業(yè)加以重視的。

4.提升信息溝通水平

企業(yè)內部控制依托信息溝通、信息共享而實現(xiàn)，如果企業(yè)內部信息溝通不到位，就容易導致企業(yè)領導者、管理層無法獲取真實、全面的信息，更無法根據(jù)信息開展管理控制活動，自然影響企業(yè)內部控制效果。與之相應的是，ERP 系統(tǒng)可以提升企業(yè)信息溝通的全面性，一方面是由于ERP 系統(tǒng)推動企業(yè)組織架構扁平化，減少信息傳遞環(huán)節(jié)，從而確保信息的時效性；另一方面則是ERP 系統(tǒng)環(huán)境可以提升各部門系統(tǒng)的兼容性，實現(xiàn)企業(yè)數(shù)據(jù)信息在各部門之間流通共享，從而提升信息溝通效率。ERP系統(tǒng)可以使企業(yè)內部控制由順序控制轉向并行控制，實現(xiàn)不同控制活動協(xié)同開展，有效提升控制效率，而且ERP系統(tǒng)的開放性特點也為企業(yè)內部各部門之間的溝通提供多樣化渠道，企業(yè)員工能夠及時了解自身職責，并借助ERP系統(tǒng)切實履責，管理層能夠通過ERP 系統(tǒng)開展各類管理控制工作，領導層則可以根據(jù)ERP 系統(tǒng)提供的數(shù)據(jù)做出科學決策。因此，ERP 系統(tǒng)有效提升企業(yè)內部信息溝通水平，確保各級員工能夠做到各司其職，共同促進企業(yè)的經(jīng)營發(fā)展。

三、ERP 系統(tǒng)環(huán)境下企業(yè)內部控制問題

通過前文分析不難發(fā)現(xiàn)，ERP 系統(tǒng)對于提升企業(yè)內部控制水平具有重要作用，雖然給企業(yè)內部控制帶來一些新的風險點，但總體而言，ERP 系統(tǒng)可以為企業(yè)開展內部控制提供重要支撐，但現(xiàn)階段部分企業(yè)在ERP 系統(tǒng)建設期間存在一些問題，導致ERP 系統(tǒng)環(huán)境未能滿足企業(yè)內部控制需求，對此，本文在接下來的論述中針對ERP系統(tǒng)環(huán)境下企業(yè)內部控制存在的問題展開探討。

1.內控意識和ERP 系統(tǒng)認識不足

ERP 系統(tǒng)可以為企業(yè)內部控制提供重要助力，但ERP 系統(tǒng)的本質是內部控制的工具，而工具能否發(fā)揮其應有作用，關鍵在于企業(yè)內部員工，尤其是企業(yè)領導者是否具備內部控制意識，以及是否為提升內部控制水平而制訂了相應的計劃?，F(xiàn)階段，部分企業(yè)內部的領導層、管理層對于內部控制認識不足，未能對內部控制活動及內控體系建設予以足夠重視，企業(yè)也并未對內控體系建設、ERP系統(tǒng)建設投入相應資源，導致ERP 系統(tǒng)無法發(fā)揮其應有作用。同時，部分基層員工對于ERP 系統(tǒng)建設缺乏足夠的積極性，未能主動支持配合ERP 建設，其原因在于企業(yè)內部有關于ERP 系統(tǒng)的宣傳不足，基層員工缺乏全局意識，未能意識到ERP 系統(tǒng)、內部控制與自身工作的重要關系。

2.ERP 系統(tǒng)與企業(yè)內控需求不符

前文提及，ERP 系統(tǒng)建設應當以企業(yè)內部控制需求為導向，但在部分企業(yè)中，企業(yè)的ERP 系統(tǒng)與企業(yè)業(yè)務發(fā)展不匹配，未能滿足企業(yè)內部控制需求。在ERP 系統(tǒng)實際運行期間，這類企業(yè)的ERP 系統(tǒng)無法適應業(yè)務活動，甚至導致企業(yè)面臨一定的風險。同時，ERP 系統(tǒng)的運行應當與企業(yè)內部控制的流程、節(jié)點相一致，才能實現(xiàn)兩者的融合，但上述企業(yè)的ERP 系統(tǒng)未能契合內部控制的流程、節(jié)點，導致系統(tǒng)與內部控制存在較為明顯的脫節(jié)，不僅影響內部控制效果，而且會浪費企業(yè)資源，降低內部控制水平。此外，部分企業(yè)的信息技術實力不足，未能對ERP系統(tǒng)進行定期的檢修維護，導致ERP 系統(tǒng)功能不全，這也是影響企業(yè)內部控制以及ERP 系統(tǒng)應用的重要因素。

3.內部控制制度未能及時更新

ERP 系統(tǒng)的應用必然導致企業(yè)崗位及相應職責發(fā)生變動，相關的內部控制制度也應當及時更新、完善，但現(xiàn)階段部分企業(yè)的內控制度并未及時更新，導致老制度與新系統(tǒng)不相匹配，不但阻礙ERP 系統(tǒng)發(fā)揮其應有價值，而且導致內部控制活動無法順利開展，因此，如何推進制度內容與權責機制的完善也成為ERP 環(huán)境下內部控制必須關注的重點。

4.相關人員的綜合水平不足

在ERP 系統(tǒng)環(huán)境下，企業(yè)員工應用ERP 系統(tǒng)開展各種操作，這就使企業(yè)員工的綜合水平直接影響ERP 系統(tǒng)能否發(fā)揮作用，以及能否提升內部控制效果。例如，在開展財務內部控制工作時，財務人員需要利用ERP 系統(tǒng)進行操作，如果財務人員對ERP 系統(tǒng)不熟悉，或者缺乏相應的信息素養(yǎng)，將可能導致財務人員出現(xiàn)操作失誤的情況，影響財務內部控制效果。諸如上述情況，在生產(chǎn)、人力、后勤等部門均有可能發(fā)生，因此，企業(yè)員工的綜合水平不足成為影響ERP 系統(tǒng)應用與內部控制的障礙性因素。

5.網(wǎng)絡安全風險問題

結合前文內容，ERP 系統(tǒng)在給企業(yè)內部控制提供便利的同時，也導致企業(yè)內部控制容易出現(xiàn)網(wǎng)絡安全隱患，出現(xiàn)信息泄露、信息丟失的情況。網(wǎng)絡安全風險主要體現(xiàn)在以下三方面：一是部分員工操作不當，導致數(shù)據(jù)丟失、數(shù)據(jù)損毀，甚至核心數(shù)據(jù)出現(xiàn)問題，給企業(yè)的生產(chǎn)經(jīng)營和決策管理造成障礙。二是企業(yè)容易遭受網(wǎng)絡攻擊，出現(xiàn)數(shù)據(jù)被竊取或者遭到修改的情況，也容易給企業(yè)發(fā)展造成隱患。三是ERP 系統(tǒng)本身出現(xiàn)漏洞，將有可能導致整個ERP 系統(tǒng)在短時間內陷入癱瘓，必然影響內部控制的開展。

四、ERP 系統(tǒng)環(huán)境下企業(yè)內部控制提升策略

1.轉變內部控制理念，推動ERP 系統(tǒng)有序建設

為了推進ERP 系統(tǒng)建設，提升內部控制效果，企業(yè)需要從上至下重視ERP 系統(tǒng)的應用，全面認識ERP 系統(tǒng)，對其應用價值形成全面認知，而且樹立內部控制意識。具體而言，領導層應當予以高度重視，而后帶動企業(yè)內部管理層開展內部控制活動，將內部控制作為企業(yè)基礎活動對待，并按照企業(yè)的發(fā)展目標、戰(zhàn)略目標對內部控制進行規(guī)劃，進而使基層員工對內部控制足夠重視。企業(yè)應當對ERP 系統(tǒng)建設投入相應資源，為提升內部控制水平提供關鍵支撐。同時，企業(yè)需要做好內部宣傳工作，尤其是結合內部控制成功案例、ERP 系統(tǒng)建設案例使基層員工意識到ERP 系統(tǒng)的重要作用，并在未來的工作中積極配合ERP 系統(tǒng)建設，樹立全局意識，將自身工作與內部控制、ERP 建設緊密結合。

2.關注企業(yè)內部控制需求，堅持以需求為導向建設ERP 系統(tǒng)

ERP 系統(tǒng)建設的根本目的在于滿足企業(yè)內部控制需求，繼而促進企業(yè)可持續(xù)發(fā)展，因此，在ERP 系統(tǒng)建設之前，企業(yè)需要明確自身的內部控制需求，明確ERP 系統(tǒng)建設重點，而后有的放矢地開展系統(tǒng)建設，并使系統(tǒng)發(fā)揮其應有作用。內部控制需求不僅包括企業(yè)戰(zhàn)略對內部控制提出的要求，還包括企業(yè)員工對于內部控制、ERP系統(tǒng)的期望，因此，企業(yè)方面需要做好內部調研，摸清需求、認清條件，才能確保ERP 系統(tǒng)滿足內部控制需求。同時，企業(yè)需要關注自身業(yè)務發(fā)展情況，根據(jù)核心業(yè)務、主營業(yè)務的需要推進ERP 系統(tǒng)建設，不斷提升內部控制水平。

3.關注企業(yè)內部變動，完善內部控制制度

企業(yè)需要在ERP 系統(tǒng)環(huán)境下推動內部控制制度的持續(xù)完善，具體而言，企業(yè)可以從權責和內容兩方面開展。從權責角度來看，企業(yè)需要根據(jù)內部控制崗位及權責的變動情況明確具體責任，實現(xiàn)內部控制責任切實落實到具體員工，有效避免出現(xiàn)責任推諉、權責不清的情況。同時，權責機制的完善可以有效激發(fā)企業(yè)員工參與內部控制的積極性，使各級人員切實履職，切實投入內部控制建設。從內容角度來看，企業(yè)需要在ERP 系統(tǒng)環(huán)境下明確內部控制的具體對象、流程和標準，確保內部控制人員在工作期間能夠做到有據(jù)可依，為內部控制有序開展提供保障。

4.推進人員培訓，提升企業(yè)員工信息素養(yǎng)

針對相關人員綜合水平不足的問題，企業(yè)應當推進員工隊伍建設，凡是與內部控制相關的崗位，都應參與統(tǒng)一培訓，了解內部控制的具體內容、具體標準，以及ERP系統(tǒng)的應用方式和操作技巧。同時，需要注重提升企業(yè)員工的信息化素養(yǎng)，確保企業(yè)員工可以應用信息技術知識操作ERP 系統(tǒng)，確保ERP 系統(tǒng)有序運行，為內部控制開展提供保障。此外，提升員工信息素養(yǎng)可以幫助員工及時發(fā)現(xiàn)ERP 系統(tǒng)運行期間存在的異常情況，并及時上報，排除異常問題，確保ERP 系統(tǒng)穩(wěn)定運行。

5.重視網(wǎng)絡安全問題，推進企業(yè)網(wǎng)絡安全建設

根據(jù)前文分析，網(wǎng)絡安全問題是ERP 系統(tǒng)環(huán)境下企業(yè)內部控制不可忽視的重要問題，對此，企業(yè)應當從以下三方面采取措施：一是結合上文的員工培訓，確保內部控制相關人員能夠有效應用ERP 系統(tǒng)開展工作，避免出現(xiàn)工作失誤而給內部控制造成障礙。二是強化網(wǎng)絡安全建設，尤其是在ERP 系統(tǒng)登錄階段，可以通過動態(tài)驗證、數(shù)據(jù)密鑰等形式形成安全屏障，避免閑雜人員隨意登錄ERP 系統(tǒng)。三是做好ERP 系統(tǒng)的定期檢修與維護，做好升級更新，確保系統(tǒng)本身性能先進、功能齊全，才能為后續(xù)的內部控制提供保障。

五、結語

在現(xiàn)階段的國民經(jīng)濟形勢下，推進ERP 系統(tǒng)建設并強化內部控制是企業(yè)發(fā)展的必然選擇，ERP 系統(tǒng)對于企業(yè)的控制環(huán)境優(yōu)化、風險評估、控制活動、信息溝通與監(jiān)督控制具有重要作用，針對ERP 系統(tǒng)環(huán)境下企業(yè)內部控制層面存在的問題，企業(yè)應當做好內部教育，使企業(yè)內部全體人員樹立內部控制意識，結合自身需求推進ERP 系統(tǒng)建設，做好制度建設和員工隊伍建設，并關注網(wǎng)絡安全問題，有效規(guī)避網(wǎng)絡安全風險。