ERP 背景下企業(yè)內控風險管理

□文/ 王旭花

（浙江宏遠智能科技有限公司 浙江·義烏）

［提要］ 當前我國企業(yè)信息化建設取得長足的進步，各行各業(yè)都在廣泛應用ERP 系統(tǒng)，在提升企業(yè)管理水平和競爭力方面起到重要作用，但是在實際應用過程中也存在著一些問題，尤其是在企業(yè)內部控制方面。本文對ERP 系統(tǒng)和企業(yè)內部控制進行簡單概述，總結ERP 背景下企業(yè)內控風險管理的重要性，同時結合互聯(lián)網(wǎng)企業(yè)對ERP 背景下企業(yè)內控風險管理問題進行分析，并提出相應的對策建議。

隨著科學技術的廣泛應用，人們越來越深刻認識到科技的力量，尤其是互聯(lián)網(wǎng)企業(yè)的各種技術服務深入各行各業(yè)，為行業(yè)的經(jīng)營生產(chǎn)注入了新的活力，而互聯(lián)網(wǎng)企業(yè)自身的發(fā)展也應得到關注，如何規(guī)范化管理，如何進行有效的內部控制都需要進行系統(tǒng)研究。

一、ERP 系統(tǒng)與企業(yè)內控概述

（一）ERP 系統(tǒng)概述。ERP 系統(tǒng)是指企業(yè)的資源計劃，在1990 年由美國公司提出，是在原有的MRP（企業(yè)制造資源計劃）的基礎上升級的新一代制造業(yè)系統(tǒng)和資源性計劃軟件，功能包括生產(chǎn)資源計劃、制造、財務、銷售、質量管理、實驗室管理、業(yè)務流程管理、產(chǎn)品數(shù)據(jù)管理、存貨、分銷與運輸管理、人力管理信息報告。在我國ERP 的含義更為寬泛，包括用于企業(yè)改善業(yè)務流程的各類軟件。ERP 也是一種供應鏈管理思想，是指建立在信息技術基礎上，系統(tǒng)化的管理思想。ERP 也是為企業(yè)決策層和員工提供決策運行手段的管理平臺。

當前ERP 系統(tǒng)廣泛應用于各行各業(yè)，從大規(guī)模上市公司到中小型企業(yè)都在企業(yè)管理中構建ERP 系統(tǒng)，ERP 系統(tǒng)最先應用于財務管理方面，同時財務管理也是ERP 應用最為成熟的領域。

（二）企業(yè)內部控制概述

1、內部控制的概念。內部控制指的是企業(yè)為了實現(xiàn)安全有效的經(jīng)營目標，維護企業(yè)資產(chǎn)的穩(wěn)定，掌握準確的財務信息，在企業(yè)內部管理過程中實施的一系列措施。狹義的內部控制是財務管理的范疇，廣義的內部控制包括企業(yè)管理各個部門、各個環(huán)節(jié)，例如對經(jīng)營決策的規(guī)劃、對銷售的約束、對項目完成的評價等都是內部控制的范疇，因此廣義上內部控制需要企業(yè)所有部門和所有員工共同參與執(zhí)行。

2、內部控制的具體內容。從內部控制的概念中可以看出，內部控制的內容是十分廣泛的，以下筆者結合互聯(lián)網(wǎng)企業(yè)對內部控制的具體內容進行簡單闡述：第一，公司整體的管理環(huán)境。這其中包括企業(yè)經(jīng)營者對內部控制的認識和態(tài)度，企業(yè)員工對內部控制實施的配合度，這些因素關系著企業(yè)的運行效率，只有在共同目標下進行協(xié)調行動才能保證企業(yè)經(jīng)營目標的實現(xiàn)。第二，對風險的識別和分析。內外各種因素的變化都可能給企業(yè)帶來風險，這也包括ERP 系統(tǒng)自身的應用，因此必須通過風險識別和分析來進行內部控制，這也是內部控制的核心內容。第三，控制措施。圍繞管理目標對經(jīng)營信息進行處理、對項目業(yè)績進行評估、對資產(chǎn)現(xiàn)金進行盤點、對現(xiàn)金流進行記錄等。第四，監(jiān)督活動。監(jiān)督活動是企業(yè)內部控制的重要內容，監(jiān)督的對象包含企業(yè)的各個方面，例如資產(chǎn)、員工、項目以及內部控制本身。

（三）ERP 系統(tǒng)與企業(yè)內部控制的關系。首先，從表面上來看，ERP系統(tǒng)改變了內部控制的范圍、形式和內容，ERP 系統(tǒng)將生產(chǎn)經(jīng)營各個環(huán)節(jié)的數(shù)據(jù)信息進行匯總、分析、處理，企業(yè)內部控制相應地也要對更加復雜的數(shù)據(jù)信息進行管理控制，既能夠為企業(yè)內部控制提供依據(jù)和幫助，也增加了內部控制的管理內容，提高了內部控制的要求；ERP 背景下企業(yè)運營數(shù)據(jù)上傳系統(tǒng)，內部控制也要從傳統(tǒng)的對賬憑證的形式轉變?yōu)槔糜嬎銠C軟件對數(shù)據(jù)進行內控管理，隨著技術的不斷更新，內控管理的形式也在不斷變化；ERP 系統(tǒng)在財務管理方面的應用使得內部控制的內容也發(fā)生了轉移，由原來的記載內容是否準確轉向對輸入會計信息的準確度以及對ERP 系統(tǒng)自身的控制。其次，企業(yè)內部控制的實施對ERP 系統(tǒng)也具有反作用，即內部控制通過控制每個環(huán)節(jié)數(shù)據(jù)信息的真實性能夠更好地維護ERP 系統(tǒng)運行的安全性、可靠性，有利于ERP 系統(tǒng)功能的發(fā)揮。

二、ERP 背景下企業(yè)內控風險管理的重要性

內部控制的實質就是風險管理，一個企業(yè)要發(fā)揮出內部控制功效，就必須從控制和防范內部控制風險開始。ERP 的應用使得內部控制風險的因素更加復雜，因此在ERP 背景下進行有效的內控風險管理更加重要。

（一）提高企業(yè)內控數(shù)據(jù)信息的準確性。內部控制風險管理實施的依據(jù)就是內控數(shù)據(jù)信息，只有信息準確才能保證內控風險管理的實施效果和目標。ERP 系統(tǒng)本身就具有開放性，能夠匯總各個經(jīng)營環(huán)節(jié)和經(jīng)營過程中海量的信息，保證數(shù)據(jù)來源的全面性和來源準確性；現(xiàn)代ERP 系統(tǒng)還能夠利用不同環(huán)節(jié)輸入的數(shù)據(jù)信息進行相互印證，同時還有原始票證的上傳作為佐證，也能夠對數(shù)據(jù)信息的準確性進行檢驗，因此ERP 系統(tǒng)能夠對所上傳的以上資料信息進行核對處理，能夠保證數(shù)據(jù)信息的準確性，避免人工記賬模式下失誤帶來的風險。ERP 系統(tǒng)在融合了現(xiàn)代網(wǎng)絡技術后更加智能，可以按照管理者的指令進行數(shù)據(jù)信息的篩選和分析，通過模擬沙盤來直觀展現(xiàn)清晰的結果，有利于企業(yè)按照內控原則實施精準內控措施。作為互聯(lián)網(wǎng)企業(yè)，在ERP 系統(tǒng)運行上本身就具有技術上的優(yōu)越性，因此可以更有效地利用ERP 系統(tǒng)來實施企業(yè)內控風險管理。

（二）提高企業(yè)內控的效率和關聯(lián)性。ERP 系統(tǒng)以現(xiàn)代信息技術的方式提高了獲得數(shù)據(jù)信息的效率，這也直接轉化為企業(yè)內控效率的提升，大大縮短了從企業(yè)生產(chǎn)經(jīng)營各個環(huán)節(jié)獲取數(shù)據(jù)信息的時間，例如銷售環(huán)節(jié)應用ERP 系統(tǒng)對銷售信息上傳，財務部門在獲得授權的情況下是可以實時得到銷售數(shù)據(jù)的，從而能夠第一時間對其進行分析預判。同時，ERP 系統(tǒng)的應用也提高了獲得數(shù)據(jù)信息的完整性和關聯(lián)性。由于ERP 系統(tǒng)本身就包含著生產(chǎn)經(jīng)營的各個環(huán)節(jié)，其關聯(lián)性顯而易見，通過系統(tǒng)模擬分析很快就能夠檢驗哪一環(huán)節(jié)存在疏漏，這也成為內控管理有效的助手。

（三）有利于提高內部控制的預判能力和控制效果。在ERP 背景下，企業(yè)經(jīng)營各個環(huán)節(jié)的數(shù)據(jù)信息能夠得到全面準確的反映，還能夠反映各個部門、不同崗位員工職責履行情況，這為內部控制提供了重要依據(jù)。同時，系統(tǒng)本身能夠通過模擬來進行預期觀測，提高了內部控制的預判能力，在這樣的依據(jù)下所實施的內部控制更加具有風險防范的效果。

三、企業(yè)內控風險管理存在的問題

現(xiàn)代信息技術的發(fā)展為現(xiàn)代社會生產(chǎn)生活帶來了全新的發(fā)展之路，這其中互聯(lián)網(wǎng)企業(yè)的貢獻尤為突出。作為新興行業(yè)，互聯(lián)網(wǎng)企業(yè)應當不斷完善企業(yè)管理，發(fā)揮內部控制的作用，尤其要正視當前內控風險管理存在的問題。以下筆者結合互聯(lián)網(wǎng)企業(yè)實際來分析當前內控管理存在的問題。

（一）對內控的風險管理認識不到位。上文提到ERP 系統(tǒng)的運用有益于企業(yè)內控數(shù)據(jù)信息的準確，但同時也要認識到ERP 系統(tǒng)由于具有較強的開放性也給企業(yè)的內控帶來了潛在風險。首先，ERP 系統(tǒng)中錄入的數(shù)據(jù)信息容易被篡改，例如有的企業(yè)為了給投資者或者客戶展現(xiàn)自身實力故意做出一套漂亮的財務報表，甚至還有的上市公司為了通過財務審計而惡意虛構數(shù)據(jù)，這都是內部控制的風險。其次，ERP 系統(tǒng)也可能受到木馬病毒、網(wǎng)絡黑客的攻擊，造成各類數(shù)據(jù)信息發(fā)生損壞甚至丟失。此外，還有的企業(yè)在管理層就缺乏對內控風險管理的認識，在引入ERP 系統(tǒng)并應用時沒有充分考慮其帶來的風險。

（二）缺乏ERP 與內控相結合的專業(yè)技術人員。ERP 系統(tǒng)的運用需要的是信息技術專業(yè)人員，現(xiàn)代ERP 系統(tǒng)融合了網(wǎng)絡技術后對人員的技術要求更高了，內部控制本身就需要具有綜合業(yè)務知識的人員，要求具備財務、法律、運營等綜合業(yè)務知識，因此在ERP 背景下實施企業(yè)內控風險管理需要的人才是復合型的。但是從當前來看，企業(yè)的內部控制多數(shù)是由財務人員實施，有的企業(yè)認為ERP 系統(tǒng)的運用就是按照規(guī)定輸入數(shù)據(jù)即可，因此由財務人員實施即可，但這樣有時無法充分發(fā)揮出ERP 系統(tǒng)的功能，也影響企業(yè)內控的風險管理。雖然互聯(lián)網(wǎng)公司在網(wǎng)絡技術上存在優(yōu)勢，但大多數(shù)還是由財務人員來實施內控，同樣也面臨著缺乏復合型技術人員的問題。

（三）ERP 系統(tǒng)與企業(yè)運行實際結合性差。ERP 系統(tǒng)起源于國外，國內企業(yè)引入應用之初既是為了提高運行效率，也是為了跟上時代發(fā)展步伐，但大多數(shù)企業(yè)在引入ERP 系統(tǒng)時采取的是拿來主義，沒有將ERP 系統(tǒng)的運行與企業(yè)自身發(fā)展實際相結合，不但影響了ERP 系統(tǒng)功能的發(fā)揮，也帶來了內控風險。

（四）系統(tǒng)授權管理不規(guī)范。上文提到ERP 背景下企業(yè)內部控制的重點發(fā)生轉移，因此實施內控風險管理也要重點針對ERP 系統(tǒng)執(zhí)行及審批權限管理進行內部控制。在整個ERP 系統(tǒng)中，不同部門、不同崗位的員工應當獲得的授權不同，但是由于企業(yè)在管理上的不規(guī)范或者是由于人員力量的不足，產(chǎn)生授權不明確甚至是授權不當，進而導致ERP 系統(tǒng)中數(shù)據(jù)信息無法及時準確上傳，同時也會導致數(shù)據(jù)信息被不相關人員查看甚至造成數(shù)據(jù)信息泄露，由此帶來的風險也是內部控制風險管理面臨的重要難題。

四、ERP 背景下企業(yè)內控風險管理對策建議

在ERP 這一大的企業(yè)管理背景下，企業(yè)內控的風險管理要有效利用ERP 系統(tǒng)給企業(yè)管理帶來的提升，同時也要客觀認識在ERP 背景下企業(yè)內控存在的風險，更為重要的是采取有效措施來避免或者降低風險。以下筆者從四個方面提出企業(yè)內控風險管理的建議：

（一）完善內控制度，提高ERP 系統(tǒng)安全運行效率。內部控制作為企業(yè)財務管理的一部分要真正發(fā)揮作用必須形成有效的內控制度。結合ERP 系統(tǒng)運用，完善互聯(lián)網(wǎng)企業(yè)內控制度可以從以下幾點入手：一是結合企業(yè)具體的工作流程和經(jīng)營業(yè)務制定相關的工作流程和標準，明確內部控制的范圍，重點制定崗位責任制、內部牽制制度等基本的財務控制制度；二是建立健全內控人員獎懲制度，鼓勵內控人員揭發(fā)內控失真現(xiàn)象，堅決杜絕徇私舞弊現(xiàn)象的出現(xiàn)；三是在ERP 背景下，加強內控信息化的安全建設，嚴格控制人員登陸和使用權限，有效防范網(wǎng)絡風險。

（二）加強對企業(yè)內控風險的監(jiān)督，建立評估機制。針對企業(yè)內控風險的管理要加強監(jiān)督，制定有效的監(jiān)督機制，通過對企業(yè)內部控制各項工作進行監(jiān)督、指導，保障各個環(huán)節(jié)符合法律法規(guī)，實現(xiàn)企業(yè)內部控制制度建設的優(yōu)化配置。同時，還要進行嚴格的風險評估，對可能存在的風險通過有效措施進行防范。風險評估機制的建立要以控制目標為依據(jù)，在各種復雜的管理要素中，找出制約控制目標的關鍵問題，對風險進行科學、有效的評估，最后來采取有效的防范措施進行控制。針對上文所述，企業(yè)運用ERP 系統(tǒng)中可能面臨木馬病毒、黑客攻擊等風險，在進行內控管理時可以采取安裝殺毒軟件、聘請專業(yè)技術人員防御黑客攻擊等措施。以互聯(lián)網(wǎng)公司為例，可以利用其技術優(yōu)勢，建立專門的ERP 運營小組，來建立安全防護體系，同時專門對突發(fā)狀況進行應急處理。

（三）引進和培養(yǎng)復合型專業(yè)技術人才。企業(yè)要想切實有效地加強內部控制，必須積極引進和培養(yǎng)復合型專業(yè)技術人才。首先，在人才引進方面，要拓寬人才引進渠道，組織招聘活動，開通網(wǎng)上人才信息、交流、招聘功能，開展網(wǎng)上招聘活動，還可以與高校合作，從高校畢業(yè)生中挑選有跨學科知識的優(yōu)秀人才；其次，除了引進復合型內控人才，企業(yè)更應當注重對內部從事內控工作的人員進行培養(yǎng)提高，建立多途徑的培訓機制，例如參加學歷提升、專業(yè)培訓班、到大公司觀摩學習等。

（四）結合企業(yè)內控風險管理實際完善ERP 系統(tǒng)。我國ERP 系統(tǒng)引進應用時缺乏與企業(yè)自身實際的結合，對此企業(yè)要結合生產(chǎn)經(jīng)營實際完善ERP 系統(tǒng)，結合本文所論述的內容，從內控風險管理的角度完善ERP 系統(tǒng)應當做到以下幾點：一是成立專門的內控風險管理小組，整理分析企業(yè)的業(yè)務流程、全面評估風險，并隨著業(yè)務和風險的變化隨時優(yōu)化ERP 系統(tǒng)；二是保證數(shù)據(jù)信息的準確性和完整性，尤其是利用系統(tǒng)生成報表過程中，必須要在內控風險管理中做到有據(jù)可循，要保證數(shù)據(jù)信息經(jīng)得起檢驗。不同類型、不同規(guī)模的企業(yè)都應在完善ERP系統(tǒng)中建立內控風險管理模塊，其原則是結合企業(yè)自身實際。

五、結語

ERP 技術系統(tǒng)作為全新的信息技術，在企業(yè)經(jīng)營管理中運用得已經(jīng)十分廣泛，在數(shù)據(jù)信息收集、匯總和分析方面為企業(yè)的管理提供了重要支撐，但作為開放性技術系統(tǒng)，也給企業(yè)內控帶來了風險，因此企業(yè)必須重視在ERP 背景下的內控風險管理，要結合企業(yè)自身經(jīng)營發(fā)展實際，全面客觀認識并重視風險的存在，并從內部控制出發(fā)采取必要措施進行風險的管理。