ERP系统环境下企业内部控制风险及其防范研究

商显周

摘 要：随着现代信息技术的发展，企业为了实现内部控制的高效化管理，ERP在企业内部得到了广泛的使用。但ERP的效 果是否能够体现出来，关键在于实施ERP企业的企业环境及其对风险的把控是否到位。本文在分析ERP系统环境下企业内部控制风险防范的重要性基础上，深入探讨了ERP系统环境下企业内部控制风险及其识别，并针对性地提出了ERP系统环境下企业内部控制风险防范对策。

关键词：ERP系统 内部控制 风险防范

中图分类号：F275 文献标识码：A 文章编号：2096-0298（2018）09（c）-081-02

ERP即Enterprise Resource Planning，意思是“企业资源计划”。是由美国在20世纪90年代初提出来的理念，是指在物料需求计划和制造资源计划的基础上发展起来的更高层次的管理理念和模式。这些是建立在计算机网络基础之上，利用现代企业先进的生产、管理理念，全面高度集中了企业各个方面的资源、信息，并为企业提供决策、计划、控制与经营业绩评估的全方位和系统化的管理平台。从以上的定义来看，ERP系统对于现在企业来说是一种必不可少的系统。

随着现代信息技术的发展，企业为了实现内部控制的高效化管理，ERP在企业内部得到了广泛的使用。但ERP的效果是否能够体现出来，关键在于实施ERP企业的企业环境及对风险的把控是否到位。所以做好ERP工作是现在企业的必经之路，因此探讨ERP系统环境下企业内部控制风险及其防范具有重要的现实意义。

1 ERP系统环境下企业内部控制风险及其识别

1.1 不能正确理解ERP带来的风险

无法充分认识到ERP的重要性。ERP从产生到现在才不到30年的发展时间。许多人在工作中接触时间不长，甚至有些人根本不了解ERP。在实施ERP的过程中，认为它只是一种减少工作的工具，甚至认为它只是给财务提供数据的软件， 更多的是将ERP当成了网络技术的延伸层面，说白了就是把此系统仅仅定位到技术层次。而且实施ERP会改变以人的工作流程及工作方式，会让许多人产生或多或少的不适应，因为改变固有模式本身就是一项大的挑战。本身对ERP认知不够，加之不想更改工作方式，这样在实施过程中就不会有太高的积极性。别说提高工作效率，增强企业内部控制力度，就算基本的作用都难以体现出来。

与上一种情况相反，还有就是认为ERP是万能的，过度依赖、要求ERP。上了ERP后，所有工作都会减轻。在上软件时要求其能满足自己所有要求，如果有一点不能满足就对其作用产生疑问，以至于会作出阻碍甚至退出ERP的行为，造成不可预估的后果。

1.2 ERP实施过程中内部控制的管控风险

ERP系统的最终目的是为了增加控制手段的高效性和多样性，增加内控体系的预防、检查、修正功能。但如果在实施过程中就把相关数据输入错误或者数据被任意修改，那它的内控作用就只会是表面上的控制，实质未做到真正的把控作用。所以，在ERP实施过程中，内部管控是重中之重。

1.3 运行中的网络风险

ERP实施后的内部控制，不单纯是在企业内部的各个职能科室之间，还有可能会有其他地区的分、子公司也通过网络进行联系。而开放性是网络环境的一个明显特点，企业发布的各类信息都可能会让其他人通过网络访问到，由此可以看出，网络虽然给企业带来了便捷，但也无法避免的面临着外部各种各样的风险，让企业的各类信息、相关系统受到严重的威胁。如果企业的内部控制系统一旦受到破坏，导致数据丢失或者损坏，将会给企业造成不可估量、不可挽回的损失。

2 ERP系統环境下企业内部控制风险防范

2.1 对ERP系统带来的风险认识不到位的风险控制

对于不能充分认识ERP的重要性及过度依赖、要求ERP，都是由于对系统的认知不到位。解决办法就是对工作人员进行专业知识的培训，来提高相关人员的专业知识贮备及专业的素养，此方法是为了改变以往工作模式形成的固有工作习惯，调动每个人员的工作潜力。与此同时，公司也可以建立、建全新系统使用的考核、激励制度，用来调动人员的工作积极性。而且也要对员工进行时时监督，以保证集体和个人都能按照既定方案、无偏差的进行运作下去。

积极有效的提高企业相关岗位人员的专业知识。ERP的实施对相关会计岗位人员素质要求更高。笔者认为只有从根本上提高会计管理人员本身的内部控制能力，企业的内部控制才会得到很好的执行。ERP的应用目的是为了让内部控制由传统的以人为主变成为以电脑为主。这种变化就对相关的操作人员及管理人员的计算机知识、财务知识、管理经验提出了更高的要求，特别是对管理人员的要求更加明显。对此，企业要通过各种手段来提高相应操作、管理人员的综合素质。首先，增加专业知识的学习与培训，提高人员专业知识；其次，通过各种手段，提高工作人员的综合业务能力及专业素养。而会计部门的相关领导是关键岗位，对自身的专业知识更要大步提高；最后，加强相关工作人员网络安全的意识，做好相关数据的安全处理工作。

2.2 ERP实施过程中内部控制的风险控制

2.2.1 事前预防

人员功能操作权限的合理分配：根据企业内部的人员结构、相关人员的工作岗位，明细设置每个操作人员的功能权限及其对数据的查询范围，并在使用后督促操作员进行修改初始密码操作。这样ERP系统才能保证各类数据均由被指定的操作员才能录入；规定哪些人员能有录入、查询权限，哪些人员只能有查询权限不能有更改数据权限，哪些员工只能有录入不能有审核权限，哪些员工只能有审核权限而不能有修改数据权限等。

系统数据录入的权限分配：初始单据的录入是后续一切操作的唯一数据源，它的正确性直接决定了整个信息系统数据的准确性，由此可见，录入数据时一定要保证其正确性、合法性，而且要求有真实、正确的原始单据作为基础依据；与此同时，其他系统数据的录入也是一样的标准，只有这样做，才能保证ERP系统在以后的运行及进行内部控制的有效性及正确性。

责任归属的划分：把操作权限及数据录入两方面都做好分配后，还要把监督的权责分清楚、明确，某一具体模块的把控以及审查、审核都要明确到具体的人。这样有什么问题都可找到具体的负责人，这样便于责任的区分及问题的及时解决。

2.2.2 事中控制

日常数据的录入控制：在数据录入前需要预先在ERP中设置好相关程序和公式，能够合理拒绝不符合常规规范的操作和数据录入。能够自动完成计提、摊销、成本结转、费用结转、利润结转等常规操作，减少手工录入操作的失误率。

单据审批流向的控制：单据从录入到最后的完成需要有多人的审批。以销售物品为例，首先外跑业务员接到定单后，只能把相关的物品数据记录并传递给专门ERP数据的录入人员，录入操作员录入后传递到开票人处，经过开票人的初步审批后传递到相关负责人处，再由相关负责人审批后才可以开票，开票后单据继续传递到财务，由财务进行核对后审批，才能传递到仓库，由仓库再次核对后才能发货。此流程经过4个部门6个操作人员的审批，就会大大减少数据的错误，提高内部控制的力度。

操作痕迹的把控制：由于ERP的操作都是在电脑上完成，就会产生单据被修改，数据被删除等相应的风险。做好操作痕迹的留存及备份，出现问题后通过痕迹查询就可找到具体的操作人。这样就降低了篡改数据的可能性。

2.2.3 事后处理

数据合理性、合法性的审计：数据录入完成后，分配专人进行数据审计。根据不相容职务分离的原则，审计人员不能参与到数据录入。这样就可以减少错弊。审计后将发现的问题汇总并发布，让各个部门及分子公司学习，减少、杜绝相似问题的再次出现。

对数据风险进行正确高效的评估：在平时的工作中，企业肯定会面临形形色色的风险，ERP系统可以相应设计一些检测风险的模型，自动根据相关数据生成风险评估结论。根据结论可采取对应合理的避险方案，让企业更有效的规避风险。

2.3 对于ERP运行过程中网络风险的控制

首先，严格做好病毒防护、控制工作，加强ERP系统的安全性，定期更新病毒库，努力健全与完善相应的病毒预防、保障措施。并做好数据的备份留存，做好硬盘数据双备份，多备份，甚至网络备份。出问题后能保证数据的完整性。

其次，要加强对网络安全的管控力度，方法是：通过设置有效的虚拟或物理防火墙，起到一定的拦截、保护作用，更要做好企业对内部数据的加密和保密等相关安全工作。具体方法如对系统操作员及使用人员口令进行多重数据加密并规定好要对密码进行定期、不定期的更改、对要求访问ERP系统的外来进行功能权限和数据权限进行设置、要求工作人员进行用户身份的认证等手段。还有就是通过硬件加密技术对网络安全进行有效控制，如运用VPN（虚拟局域网）进行网络隔离。

再次，做好原始数据录入人员电脑的安全防护，减少源头病毒入侵的可能性。如果需要可以对操作员进行内、外网隔离，这样就能有效的控制病毒入侵，減少网络的风险。

最后，网络管理人员要做到在ERP系统正常运行的情况下，对服务器系统及系统数据库定时、不定时的检测、查询，以便提早发现问题并解决。将问题影响程度控制在最小的范围内。

3 结语

综上所述，笔者认为在企业实行ERP进行内部控制过程中，企业环境及对风险的控制是起着决定性的作用。只有做好以上各个方面的工作，才能让ERP正常、高效的运行，才会使企业内控得到更高效发挥。

参考文献

[1] 鞠成晓.基于ERP环境下企业内部控制的建设思路[J].企业经济，2013（9）.

[2] 张启彬.ERP系统实施过程中完善企业内部控制管理的相关探讨[J].中国总会计师月刊，2017（4）.

[3] 任飞.ERP系统在国企内部控制中的运用研究[J].聚集，2017（6）.

[4] 罗丽伟.浅谈企业ERP系统环境下的内部控制[J].中国管理信息化，2010（18）.