浅谈ERP系统实施后如何完善企业内部控制制度建设

ERP与企业内部控制制度，前者提升企业的管理水平，后者为企业发展保驾护航，两项工作都是企业各项工作的重中之重。

ERP是企业资源规划Enterprise Resource Planning的缩写。企业资源规划系统是指建立在信息技术基础上，以系统化的管理思想，为企业决策层及员工提供决策运行手段的管理平台。ERP不仅仅是一个软件，更重要的是一个管理思想，它实现了企业内部资源和企业相关的外部资源的整合。通过软件把企业的人、财、物、产、供、销及相应的物流、信息流、资金流、管理流、增值流等紧密地集成起来，实现资源优化和共享。

内部控制是以实现公司发展战略为目标，提高经济效益为中心，防范和控制经营风险为目的，规范公司各种业务流程为内容而建立的一整套责任体系。因此，内部控制要求既能强化基础管理工作，又能提升经济效益，是一项宏大的系统工程。

ERP与企业内部控制制度，前者提升企业的管理水平，后者为企业发展保驾护航，两项工作都是企业各项工作的重中之重。作为两项还在不断发展完善的系统工程，ERP和内控交叉在一起，相互之间必然产生密切的联系和深远的影响，ERP的上线给现有的内控制度带来了新的冲击。

一、ERP上线对现有内控制度的影响

ERP环境下的内控制度的设置和检查有其特殊性，与传统内控有了很大区别。对已经建立了一套完整的内控制度的企业来说，ERP系统的全面上线意味着内部控制工作需要结合ERP系统运行的特点进行必要的调整和改善。任何一种新生事物的出现，都会对现有体制带来正反两方面的影响，ERP也不例外。ERP系统实施运行后，对企业现有内控的作用既有其积极的一面，也有其消极的一面。下面我们从两方面分析一下ERP对企业内控制度的影响。

（一）ERP的实施对内部控制实现的积极作用

1.ERP的集成性与内部控制的要求一致。ERP的实施将企业产、供、销、费用的发生等等方方面面都集成到统一的系统中，而这与内部控制的全面性原则——“内部控制应当贯穿决策、执行和监督全过程，覆盖企业及其所属单位的各种业务和事项”相一致。从这个意义上来看，ERP与内控基本规范的要求是一致的。它可将原来分散在各个环节的信息纳入一个集成的系统中，有利于对企业的生产经营活动进行全面的把握和控制，从而有利于内控流程的制定与检查。

2.ERP有助于优化内控流程。ERP不仅处理信息，还可以将合理的管理流程固化在系统中。通过实施ERP，改善企业内部的流程，促使企业结构的更加优化，减少管理层次，提高效率，降低成本和库存，从各个层面提高企业的管理水平。这使得企业的内控流程也更加的清晰和有效，易于理清流程，找出关键控制环节。

3.ERP很大程度上减少了“人为因素”的干扰。由于ERP可促进企业实现实物流、信息流、资金流的统一，减少人为的差错，提高生产经营的效率和效益，因此，在ERP系统中，某些原来很重要的、需进行人工核对的工作已经失去意义，这样就使得内控的控制点相应地变得更加简化，内控测试工作也从繁杂的核对工作中脱离出来，有更多的精力可以放在权限和流程的测试评价上。

（二）实施ERP也给企业的内控工作带来了一些新的问题

1.业务集成造成测试线索消失。根据内控五要素的解释，检查和评估是内控框架体系的一部分。这里的检查评估除了日常对企业各个业务操作的检查评估外，也包括对正在实施的内控系统的检查评估。因此内部控制自查、测试以及外部审计机构的检查也是内控系统的重要组成部分。ERP系统实现了从采购到付款、订单的获取到发票的开出等业务集成，实现了跨职能部门业务处理。在这种情况下，ERP系统中单一的数据库，使过去跨部门的审批流程得到简化和压缩。压缩所造成的一个结果是：用于企业内部控制的许多审计线索在ERP系统的引入后消失了，如纸质单据的减少、业务操作的转移等。

2.ERP系统运行带来了新的风险。ERP在系统的运行过程存在着数据、转换、二次开发、安全等风险;系统中的许多数据操作不够直观、透明带来的错误、舞弊的风险;岗位的设置通过ERP操作权限来界定带来的风险，等等。因此，我们必须对运行过程中的各种风险加以识别并给以控制，来保证系统的安全顺利运行。

二、完善内控体系，适应ERP管理的要求

通过上面的分析可以看出，ERP实施后，管理层次和业务流程都发生了很大的变化，我们需要从以下几个方面来完善内控体系，使之更好地符合新的控制环境，适应ERP管理的需要。

（一）我们应该对现有内控流程进行重新梳理、分类

从内控具体流程角度来分析，ERP实施后，对现有内控流程的影响分为三类：一类是影响很少或几乎没有影响内控流程。这主要是指非集成业务流程，如货币资金、合同管理、财务报告等流程;另一类是影响较大的内控流程。这主要指集成业务流程，如采购、销售、修理费、人工成本等涉及到跨部门的业务流程;第三类是原来没有现在需要新增的内控流程。如信息系统操作权限方面的相关流程。

1.对第一类流程，我们可以继续沿用既定的控制点，同时根据信息化的特点对电子档案的保存方式做适当调整。

2.对第二类流程，就需要根据ERP流程的中的相关业务点删除已经合并或取消的控制点，增加与新业务点相对应的控制点。以修理费流程为例，在ERP系统中，修理材料的入账由原来财务根据料单手工人账变更为由物资装备部门根据车间提报、设备部门审批的物资计划直接发料到维修工单，形成费用;同样，修理劳务也由财务经设备部门审核，审计部门审定的决算书、发票入账，变更为直接由设备管理部门根据审核、审定后的决算书、发票执行ERP中的“收货”操作，形成修理费用。因此，该流程的控制点“修理费用的确认与核算”就应该做出较大的改动，将原流程描述为“各级财务部门根据审定后的工程结算书或其他报销原始单据，结合修理预算，审核并编制会计凭证，经财务部门负责人复核无误后登记入账”的责任部门为“设备管理部门”，执行业务改为“收货并生成相应集成凭证”，复核责任人为“设备管理部门负责人”，并可增加由财务部门复核的条款。经过修改，该流程的控制点才能与实际业务达到一致，真正起到明确责任、控制风险的作用。

3.对于第三类流程，比较具有代表性的就是ERP系统权限管理业务。目前虽然内控制度中没有增加相应的流程，但外部审计机构的内控穿行测试已经把该流程作为重点项目，可见ERP权限管理的重要性已经越来越得到关注和重视。在原先只有财务信息系统的管理条件下，权限管理的范围较窄，只是对财务人员录入凭证、查询账簿、编制报表等业务的操作进行控制;在ERP系统中，若干可操作的事务码构成了一个具体的“角色”，一个“角色”就对应着企业现实中一个具体的岗位，它涉及到企业方方面面的业务，贯穿了各个管理层次和业务部门，涉及的人员也就广泛得多;同时，透过权限和角色的设置，可以清晰地掌握每个岗位、每个具体操作人员的业务职能，有助于更好的设置不相容岗位，或及时发现某岗位赋予的权限不合理的问题。因此，增加权限管理业务流程，在ERP管理模式下是非常有必要的。具体控制点可以从以下几个方面来设置：角色的设计、角色与岗位的对应、角色的具体分配、权限的管理等。每一个大的控制点都应该明确业务流程和具体执行、审批和复核的部门和责任人。如角色的设计，先由ERP各模块关键用户根据标准角色和企业实际进行设计，再由模块负责人复核，业务部门负责人审批确定;设计好的角色提交到信息管理部门，由其权限管理负责人、业务负责人层层审批后，最终由权限管理人员在系统中配置。通过补充类似的流程，我们就能对ERP系统带来的新的风险进行较好的防范与控制。

（二）进一步加强会计、业务和信息档案的管理工作

针对ERP运行中大量纸质单据不再使用、数据流直接在系统中体现给内控带来的不利影响，我们应该重视各种档案的保留、存档，包括集成凭证及单据的装订、数据库备份等。另外还应根据权限和管理的要求增加一些书面档案。ERP系统的一个优点是每一个操作都会在系统中留下迹。如编制会计凭证，ERP系统无法对编制错误的凭证进行更改，只能通过冲销错误凭证并录入新凭证的方法来改正但可以对凭证抬头数据如附件张数、摘要等相对次要的内容进行更改，但更改时也会在系统中记录更改的时间、内容及操作人员的用户名;又如成本中心主数据、内部订单主数据、分配和分摊循环等重要数据的创建与更改等都会在系统中留下痕迹，因此，对这些创建和更改除严格权限控制外，其相关信息也应该形成纸质文档并作为档案留存，以防止随意更改、影响会计核算一贯性并可明确相关责任。

（三）加强内控流程负责人员和审计人员ERP系统应用的培训

这是非常重要的一项内容。内控流程的负责人员、审计人员只有全面掌握了ERP系统的特点、各种业务数据的查询方法、某项业务在ERP中的流程、可能产生错误或舞弊的业务点，才能有针对性地完善内控流程、发现存在的问题。这就不仅要求上述人员“会用”ERP，还要求他们“精通”ERP，否则内控管理、测试工作根本无法有效地开展。综上所述，ERP作为控制环境的一部分，深刻影响着各个控制要素，为企业内部控制提供更强有力的技术支持，带来一些新的控制方法，但同时企业内部控制也随着会计信息的应用出现许多新问题，实现信息化后，企业内部控制环节、控制点以及风险特征都会有所变化，因而相应的对企业内部控制体系就要提出更多更高的要求，而这一过程也是完善企业内控的必由之路。我们应该充分利用ERP下新的控制手段，同时通过完善内控体系应对ERP带来的新的风险，提升企业的管理水平，为企业发展筑牢根基。