ERP项目实施与内部控制体系建设有机结合的探讨

【摘 要】随着我国用信息化带动工业化战略举措提出，很多企业实施了以ERP项目为主要内容的信息化建设。自20世纪90年代以来，国内外上市公司频频爆发财务舞弊丑闻，监管部门和理论界归结问题主要根源之一就是内部控制缺失，许多国家纷纷通过立法，强制要求上市公司披露内部控制信息。有些企业在实施ERP过程中又进行了内部控制体系建设，为此内部控制体系的相关要求是否完整的嵌入ERP系统, 实施ERP项目的风险是否被充分的识别与防范，都是需要解决的现实问题｡

【关键词】ERP；内部控制；信息技术

引言

ERP与内部控制体系都是企业的管理工具，有着提高企业经营管理水平的共同目标，都需要梳理业务流程、强调信息与沟通、风险评估、持续评价与改进。二者之间的相互关联关系，使得在实施两个项目过程中要充分考虑相互融合性，防止出现两层皮现象。两个项目实施过程中在部分阶段可能存在一定的重合，但是由于两个项目的工作要求不同、实施复杂程度不同、项目工作周期不同，两个项目在建设周期内工作节奏不会完全一致，两个项目只能通过共同关键控制点的融合来实现有机结合。两个项目的结合可以从以下三方面考虑：

一、工作团队人员可以交叉任职，预备知识培训、启动大会等项目准备工作可以同时进行

两个项目都是“一把手工程”，从组织机构建方面，可以成立一个共用领导小组，组长由一把手担任，运用“一把手”的魄力、果断和权威来推动实施。选派一个项目经验丰富的人担任共用的项目经理，有助两个项目的协调和沟通。各项目组可分别设立管理办公室、流程改进组、业务工作组等。工作组部分成员可以交叉任职，建立相应联系机制。

充分的培训是ERP项目实施与内控体系建设有机结合的重要因素。各种培训工作是贯穿于ERP项目实施始终的，要分阶段、分内容、分人员、分管理层次，并结合不同的内控要求进行ERP理论和内控知识培训，强化其专业能力和内控管理意识。对企业领导层要侧重于ERP管理理念和内部控制管理思想的培训，使得他们能够从总体上理解ERP系统的理念、流程和功能，认识到ERP项目本质上是一个管理项目，是辅助管理者实现内部控制目标的必要工具和手段，充分理解ERP系统建设、内部控制和企业发展的关系，为实现ERP项目成功实施与内控体系建设有机结合提供有力支持。实施ERP和内控体系建设都需要大量业务骨干和员工的积极参与。对员工进行ERP业务培训时，必须结合不相容职责分离、授权体系、全面预算、成本控制等实现内部控制的方法以及在ERP系统中的应用方面内容。

企业可以召开一次包含两个项目内容的启动动员大会。会议由两个项目组的管理办公室共同组织，统筹安排好会序、参加人员范围、领导动员讲话稿、信息等工作细节，这样既可以减少会议次数，又可以使与会人员理解二者关系，便于在工作中相互配合。

二、需要内控项目组成员参与的ERP项目工作

（一）蓝图设计。

（1）需求评估、上线范围确定及项目可行性分析。

内控项目组成员参与ERP项目的需求调研、需求的整理与编写、需求的分析、上线范围的确定以及项目可行性分析，既可以方便内控建设人员鉴别用户需求能否满足内控要求，又可以及时督促将企业既定的内部控制方案和特定内控需求融入ERP系统，追加必要的内控体系建设新需求，或者剔除不符合内控要求的需求。

（2）系统选型及供应商选择。

内控项目组成员参与该阶段工作，重点做好ERP项目该阶段的风险评估。系统选型和供应商选择过程中存在问题是造成ERP失败的常见因素之一，在此阶段企业往往片面考虑降低成本，缺乏对供应商实力、硬件配置与企业规模、个性化需求的匹配性总体评估，而供应商为实现销售，往往有意夸大案例经验和技术能力，压低价格。项目外包又是商业贿赂、贪污舞弊的多发环节，内控项目组参与该阶段工作有助于推动项目招标工作的公开、透明，在一定程度上防范舞弊风险。

（3）项目计划设计。

内控项目组成员参与项目计划设计，一方面根据ERP项目实施的模块范围、工作进度安排，调整细化内控项目实施方案；另一方面，与ERP项目组及咨询顾问结合企业的实际状况共同对实施系统的风险进行评估，制定有效的风险防范方案。

（4）业务流程的梳理、优化。

内控项目组成员参与ERP项目组的流程梳理和优化工作，对业务流程重组的审核、确认，基于系统标准基础上建立符合内控要求的新流程。内控项目组在梳理业务流程时可以直接采纳ERP项目组部分工作成果，减少重复性工作，提高工作效率。

（5）明晰岗位职责和授权。

内控项目组成员参与该部分工作，可以把内部控制体系建设的不相容职务分离、授权审批、财产保护、预算等控制措施固化到ERP系统中，还可以为内控项目组的编制权限指引工作提供基础资料。

（二）业务流程的风险识别与防范。

内控项目组梳理业务流程是为了识别风险，制定风险防范措施，编制风险控制矩阵。在分析上线业务流程中的风险点、绘制业务流程图、编制风险控制矩阵过程中，需要ERP项目组成员协助审核、确认，使风险防范措施更加科学有效。

（三）ERP项目风险识别与防范。

ERP是体现和执行内控目标的有效工具和手段，也是内部控制的客体。ERP是一项高风险、高投入的系统工程，在实施的各个阶段都存在风险。内控项目组在进行ERP项目开发、应用、账号、授权、外包等方面信息系统风险分析时，需要ERP项目人员全力配合、共同参与。两个项目组成员要从风险管理角度出发，共同分析ERP系统自身的风险，提出风险管理的要求，分析控制措施的可行性，制定风险解决方案，建立一套行之有效的风险管理机制，从而提高ERP系统的实施成功率，同时达到完善内部控制体系的目的。

（四）编制内控手册。

内控手册是内部控制体系建设的一项重要工作成果。手册中涉及上线业务的内控流程部分需要ERP项目参与或者编写，这样内控手册可以发挥统领内控体系和指导ERP用户操作的双重作用。

三、结论

ERP系统和内部控制体系的成熟完善都是一个渐进的过程。内部控制体系建设工作是一项长期的系统工程，需要持续改进和完善，不断优化业务流程，不断更新控制点和强化控制措施，持续补充、修订、完善内部控制程序文件。ERP系统成功运行，不可能“毕其功于一役”，也并不意味着“一劳永逸”，也是循序渐进的过程，也必然要随着内部控制系的改进不断修改而趋于完善。一方面，企业应当对ERP系统运行过程中的内控风险，持续的检测、评估，并将结果随自评报告披露，这有助于企业内部控制体系的改进和完善，也有助于企业对ERP系统的运行效果进行评价。另一方面，企业内部控制体系也应该随着ERP系统的修改和扩充，进行相应的修订和完善 [1] 。

在管理实践中企业不能把ERP仅仅看作一套软件，而要与内部控制进行有机结合，才能从根本上提升企业竞争力，而要提升内部控制的有效性，必须要考虑ERP系统的效能，不能仅把内部控制依赖于外部审计，即要以内部控制思想驾驭ERP系统，用ERP系统平台承载内部控制[2]。

参考文献：

[1]毛家义.内部控制体系与QSHE管理体系比较研究[J].天然气与经济,2005.3.

[2]戴世青.ERP系统条件下提升企业内部控制有效性问题探讨[J].价值工程,2010.2.