ERP系统环境下对企业内部控制的探索与思考

来源:用户上传      作者:

　　摘 要 当今社会全球经济一体化的速度越来越快，设计并执行一套高水准的企业内部控制管理体系，能够帮助企业减少经营风险、提升运营管理水平。ERP系统以信息技术为基础，将先进的管理思想和模式结合起来，促进企业内部控制不断得到创新和优化。本文首先阐述内部控制的基本概念，分析ERP系统与内部控制的关系，其次深入探讨目前企业使用ERP系统时内部控制中普遍存在的问题，最后提出改进内部控制的策略和建议，为企业实现长期健康发展提供新思路。
　　关键词 ERP系统 内部控制 风险意识
　　当今社会信息量爆炸式增长，各行各业信息的获得和应用渠道越来越广泛，为了适应市场环境并从中争得一席之地，大部分企业或多或少都采用了ERP信息管理系统来实施内部控制，并取得了成效。但有些企业在运用ERP系统时，与内部控制出现了违和甚至矛盾，因此对两者进行深层次的研究和分析尤为重要。基于此，本文对ERP系统环境下企业内部控制存在的问题及对策进行研究，以帮助企业根据自身情况将ERP系统与内部控制有效衔接，充分发挥内部控制应有的作用。
　　一、企业内部控制的内涵及与ERP系统的关系
　　企业内部控制是企业为了实现控制目标，保证经营管理活动正常有序、合法开展，由董事会、监事会、管理层和全体企业员工共同采取的，对财务、人、资产、工作流程进行有效监管的系列活动。企业内部控制的目标是保证企业资产、财务信息的安全性、准确性、真实性、有效性、及时性，保证对企业员工、工作流程、物流的有效管控，建立对企业经营活动的有效监督机制。内部控制主要由控制环境、风险估测、控制活动、信息与交流、内部监督五要素组成。
　　ERP系统是企业资源计划（Enterprise Resource Planning）的简称，是指建立在信息技术基础上，集信息技术与先进管理思想于一身，以系统化的管理思想，为企业员工及决策层提供决策手段的管理平台。ERP系统与企业内部控制可以说是互相融合、相辅相成。ERP系统是内部控制的具体表现形式，内部控制在借助ERP系统实施的同时，又能不断发现问题并予以完善，提高效率。
　　二、ERP系统下内部控制存在的问题
　　随着ERP系统的广泛应用，暴露出了在系统运用与内部控制实施之间存在的一些矛盾和问题。以下对ERP系统与内部控制之间的问题进行较为深入的研究。
　　（一）ERP系统和内部控制融合度比较低
　　目前大部分企业是直接购买商业ERP软件，少部分是采用自己开发的ERP软件。而商业软件都是格式化的简单流程，如果企业想在购买软件后直接使用，并且完全匹配自身情况，只有定制才能实现。而企业自行开发系统的，经常将重点放在设计业务流程以及整合各个业务单元及模块上，此时内部控制的要素就会被忽略，不能做到有效融合。以某公司为例，该公司使用了金蝶标准版、金蝶云管家版以及自行开发的ERP软件，仅仅是为了使用各个模块的功能，但是并没有将几个功能模块融合使用，使得企业内部控制运行效率不高。
　　（二）缺乏信息化人才
　　ERP系統的运用，对企业的管理人员以及审计人员在业务水平上都提出了更高的要求。在ERP系统环境下，需要企业相关操作人员及管理人员具备一定的计算机网络知识，能够识别系统内的风险点。如果不具备基本的逻辑知识，将无法检查现有系统是否达到了有利于内部控制实施的效果。
　　（三）企业内部控制系统及数据的安全性面临新的挑战
　　ERP系统极度依赖网络及软件，因此网络的安全性非常重要。如果无法保证网络环境的安全，ERP系统不能跟随企业情况进行及时更新及调整，将无法满足企业要求。如2018年下半年流行的“反勒索病毒”，服务器受到黑客攻击，误操作造成数据丢失，这些都会导致ERP系统崩溃、无法使用。如果企业重要信息泄露，还会给企业带来难以计算的损失。
　　（四）ERP系统下企业内部控制五要素存在的问题
　　第一，内部环境是内部控制的基础，ERP系统在设置业务流程即岗位角色权责时，需要依据公司的内部环境。ERP系统的实施和执行的效果，一大影响因素是公司自身的管理制度及流程，岗位角色设计规范合理。但在实际中，大部分企业仅仅根据传统的业务流程进行了简单的复制，并没有真正思考这个流程是否合理，更没有针对公司本身情况进行优化甚至是重新设计。企业内部控制和流程的设计存在先天不足，而这个恰恰是最容易被企业忽视的问题，也为系统以后的运行埋下了隐患。
　　第二，风险评估就是量化测评某一事件或事物带来的影响或损失的可能程度。常用方法之一是内部控制评价法，而ERP系统是内部控制的具体实施结果，因此通过评价ERP系统就能达到风险估测的效果。在实际运用中，有的企业并没有在系统中给出相应的评价结果，或者虽然有部分评价但是不完善，不能全面系统地反映风险程度。
　　第三，控制活动是指有助于确保管理层的指令得到执行的政策和程序。通过ERP开展控制活动就是典型的自动控制。而有的ERP系统没有实现授权、业绩评价、信息处理、实物控制和职责分离等相关活动的目的，增加了人工干预。
　　第四，ERP作为信息集成系统，可以实现量化信息的筛选、集输、交流，使信息交流更加便捷。目前，多数企业运用ERP系统所需的各种基础数据的准确性和时效性较差，有些企业在ERP系统运行中，由于垃圾数据或者无效数据的输入，所以输出的信息无法共享，或者无法为使用者提供有效信息，影响了信息交流。
　　第五，在企业快速发展的同时，ERP系统也应该不断得到优化和完善。当一个企业的ERP系统运行了一段时间后，之前的内控环境或者系统设置可能已经不再适用。如果缺少定期的评价和监督机制来判断内部控制实施和系统运行情况，就会使两者的结合流于形式，无法达到既定效果。
　　三、ERP环境下加强企业内部控制的策略
　　针对ERP环境下企业内部控制存在的问题，本文提出如下解决策略： 　　（一）使ERP系统真正和内部控制相结合
　　为了解决ERP系统与内部控制结合存在的问题，企业需要做好充分的调研工作，全面梳理现有的业务流程，将必须由ERP系统实施的关键控制措施列出来，并要求在ERP中进行设计。如果现有标准模块功能不能适应企业需求，则可依托IT人员支持，进行一些特殊的开发，尽量减少人为调整。笔者所在公司就根据不同的客户需求，开发了几个类似数据巴士的功能，将各个ERP系统间的流程结合起来，汇总数据，以实现内部控制与ERP的有效结合。
　　（二）不断利用培训来提高相关人员的素质
　　在ERP环境下，各个岗位人员都要具备一定的信息化知识。因此企业需要打造一支专业能力强、经验丰富、素质高的内外部实施团队，最好由公司管理层总负责，依托IT技术力量，经过各个部门的研讨，确保及时高效地完成系统的设计、运行，也可以聘请专业顾问来避免走弯路。同时，要通过培训来提高相关岗位人员的操作水平，使各部门至少具有一个关键ERP使用人员，只有不断提高各部门相关岗位人员的系统操作能力以及增强其风险管控意识，才能保证ERP系统得到充分运用，达到促进内部控制实施的作用。
　　（三）严防死守，保证系统数据安全
　　保证企业信息化数据的安全是系统性综合性的工作，可以通过硬件安全、软件安全、权限管理和数据备份来达到信息安全管控目的。首先从硬件上来说，有条件的公司应该建立独立的标准化机房，保证24小时不断电，确保硬件系统运行的稳定性。没有条件的也可以通过租用专业的云服务器，达到同样的目的。还要做好应急事项处理，如断电、火灾等情况下的硬件处理。其次是确保软件安全，及时更新系统软件，下载必要的补丁程序，避免后台存在漏洞。再次是在权限设置上，要区分读写权限，防止人为故意或者疏忽导致的数据泄露以及数据删除。最后就是重中之重的数据备份，各企业都要有完善的数据备份机制，定期或者不定期地做好全面备份和增量备份，在有任何风险发生时可以及时恢复数据，同时数据恢复也需要经过严格的评估，以防错误的恢复导致数据被覆盖。从以上4个方面着手，可以将信息化的数据风险发生概率降到最低。
　　（四）完善ERP系统下内部控制五要素的对策
　　第一，企业必须根据所使用的ERP系统的特点，结合各个业务模块建立符合股东方或者投资方要求的规范的系统流程管理体制。比如根据采购业务特点，设计采购需求的确定、采购价格的比对、付款条款的确认等不同审批环节，做到事前、事中、事后均有控制。对核心业务环节和流程节点进行重点监控，在保证流程运转效率的同时将风险发生概率降到最低。有的标准ERP在某些流程设计中已经考虑了一般情况，企业可以根据这个反推自身流程，互相改进。
　　第二，在ERP系统中设置风险评价功能。ERP经过精心设计后可以进行風险评估，并对风险发出预警。主要体现在可以定期测算指标，分析各项财务指标以判断哪些指标存在优化的必要性。比如当库存原料临界安全库存量或者最小起订量时，ERP系统提醒采购部门及时安排订购;又如根据应收账款账龄表，ERP系统可以生成适合各账龄的对账单、催款函、律师函等。利用ERP系统在进行风险评估的同时，还可以利用历史数据，通过建模评判企业过去经营状况，预测未来发展趋势，促进企业更好地发展。
　　第三，减少人工控制。在ERP中尽量达到授权、业绩评价、信息处理、实物控制和职责分离等相关活动的目的，减少人为干预。比如在仓库收货时，必须由检验员先核对实物，验收合格后在系统内确认检验通过，下一步流转到仓库人员，在看到检验人员确认、与实物对应后在系统内确认收货。此时既有实物控制，又做到了职责分离，避免了人为疏忽或者干预造成的入库差错。
　　第四，提高数据准确性、有效性，增加数据共享及利用率。各部门在将数据录入ERP系统时，必须做到及时、准确，这样系统内的有效用户都可以及时共享信息。而且要链接各模块中的数据，使之可以生成合并报表以满足各使用者的需求。企业管理者可以通过ERP系统随时了解公司运营情况，根据市场行情做出有利于企业的决定或者调整，使企业立于不败之地。
　　第五，加强对内部控制的评价与监督。在ERP系统环境下，企业的管理层应定期组织系统评估，以判定目前ERP中的内部控制流程是否适用并达到预期目的。该项评估应该由管理层牵头，各部门参与，不能只是填写一些问卷表格、流于形式。有条件的企业还可以安排内部审计，通过分析ERP系统提供的数据，及时发现企业内部控制存在的漏洞，对相关人员存在的违规行为，立即制止并实施相应的措施，包括处罚。
　　四、结语
　　本文探讨了ERP系统与内部控制的关系，以及在ERP系统环境下企业内部控制存在的问题，发现通过做到全面合理的流程设计、增加风险评价功能、减少人工控制环节、提高数据的有效性和共享性、加强监督、真正将ERP系统和内部控制相结合、提高相关人员的水平、做到对数据的安全管控，就能实现企业内控的目标。
　　（作者单位为弘柏商贸<上海>有限公司）
　　参考文献
　　[1] 陈鹏宇. ERP系统下完善企业财务内部控制管理的相关探讨[J].财会学习，2017，10（21）：253-259.
　　[2] 朱胜辉.基于ERP信息系统下的企业集团内部控制优化路径研究[J].中国集体经济，2017，12（4）：113-116.
　　[3] 张龙珠，张顺阳.探索企业在ERP环境下如何施行内部控制[J].当代经济，2017，10（4）：225-228.
转载注明来源:https://www.xzbu.com/3/view-15210470.htm