ERP环境下企业内部控制风险防范

企业资源计划（ERP）是由美国Gartner Group公司于20世纪九十年代初提出来的，它以制造资源计划（MRPII）为基础，将企业的生产、原材料、质量、销售、财务会计、人力资源等方面的信息集合起来。它超越了MRPII范围的集成功能，支持混合方式的制造、动态监控、开放的客户机/服务器计算环境，吸收了全面质量管理、准时生产、实验管理、项目管理、供应链管理和客户关系管理等内容，实现了物流、信息流、资金流、价值流和业务流的有机集成，它以计划和控制为主线，以网络和信息技术为平台，集客户、市场、销售、采购、计划、生产、财务、质量、服务、信息集成和业务流程重组等功能为一体，面向供应链管理，强调人、财、物、产、供、销的全面结合与全面控制，追求效益最佳、成本最低的现代企业管理思想和方法。

在实施ERP的过程中，组织再造与流程简化是一个必然的过程，在此基础上，企业的内部控制必定会受到一定的影响，从而使ERP有利于企业内部控制的同时，也使企业内部控制面临新的风险。因此，高回报和高风险是ERP应用的特点。ERP作为一种新的管理工具，短期内会对原有的内部控制带来一定的冲击与风险，及早发现并有效管理ERP环境下内部控制的新风险，才能发挥出ERP先进的管理思想与信息技术给企业带来的内部控制优势。

一、ERP系统对内部控制活动的影响

现代内部控制理论赋予了内控广泛的职能，把内部控制置于很高的层面上，从而强化了内部控制的重要性。1994年COSO认为，内部控制涵盖了五大组成部分内容：控制环境、风险评估、控制活动、信息与交流和监督评审。而1998年巴塞尔委员会则在上述内控的五大组成部分之外，增加了监管当局对内控的检查和评价。由于ERP依赖于先进的信息技术实现对信息的充分整合与传递，实现从采购到付款、订单的获取到发票的开出等业务集成，并实施跨职能部门业务处理，其实施必然会对企业的内部控制各个环节带来很大的影响。

（一）对于控制环境的影响。控制环境要素有价值观、管理哲学与经营风格、激励与诱导机制、精神指导、组织结构和流程、规章制度、职责权限、员工素质和人力资源配置、计算机硬件系统、自然环境是否符合技术安全要求，等等。ERP作为一种整合计算机科学技术和其他管理手段的先进管理思想，其核心是供应链管理，其前提是企业业务流程再造，其实施必然带来上述各项要素的变化调整，进而影响到企业内部控制环境。

（二）对于风险评估的影响。风险评估的要素包括：关注对整体目标和业务活动目标的制定和衔接、对内部和外部风险的识别与分析、对影响目标实现的变化的认识和各项政策与工作程序的调整等。ERP系统的实施必然给企业内控带来新的风险，比如由于计算机病毒和网络安全等带来隐藏的数据安全风险等。新风险的出现，对于内控的风险识别、风险评估与风险管理提出新的要求。

（三）对于控制活动的影响。控制活动是为了合理地保证经营战略目标的实现，指导员工实施管理指令，管理和化解风险而采取的政策和程序，包括高层检查、直接管理、信息加工、实物控制、确定指标、职责分离等。伴随着ERP等以企业资源计划为特征的大型软件系统的实施，管理者在决策时有了更多、更可靠的信息基础，如ERP的预算管理功能可以对企业整个运行进行预算管理。内部控制流程作为保障业务顺利进行的重要手段逐渐独立出来。在传统的控制流程中，可能一天或者几天才审批的环节，在一个有效的控制信息系统中几分钟就完成了。但由于ERP实现了跨职能部门的业务管理，相应要求业务流程重组与组织结构扁平化，内部控制的程序与审核环节减少，也会给企业的控制活动带来一定的风险。

（四）对于信息与交流的影响。信息的及时与准确对企业管理与控制极端重要。一个有效的内控系统需要充分的和全面的内部财务、经营和遵从性方面的数据，以及关于外部市场中与决策相关的事件和条件的信息。ERP信息系统包括企业内部数据库（会计信息系统、人力资源数据、供销存数据、生产与技术数据等）和外部数据库（经济政策、市场信息、合作伙伴等）。它们具备如下特征：（1）集成性。如电算化会计信息系统（简称AIS）的结构与企业的设计、生产、供应、销售等业务环节的数据结构是完全集成的；（2）共享性。所有的原始数据都是一次录入，多处共享；（3）面向流程。按业务流程收集数据；（4）实时性。每一个经济事项发生都会在会计信息系统中实时确认、计量与记录。ERP信息系统，以电子形式存储和使用的数据，完全改变了传统的信息储存与传递的形式，对于企业内控信息的收集与交换带来极大的便利，但同时带来了信息安全问题。

（五）对于监督评审的影响。内部控制的监督与评审，主要监督评审内控流程的合理性、对内控缺陷的报告和对内控程序的调整，是经营管理部门对内控的管理监督和内审监察部门对内控的再监督与再评价活动的总称。在ERP环境下对于内控监督与评审的最大影响就是，由于控制流程的压缩与简化，将会使很多审计线索和审计证据消失。

二、ERP实施下内部控制的风险

技术含量越高的产品其灰箱性或不可预见性就越高，ERP环境下企业的业务运作更加依赖于ERP系统，这种依赖和信息系统本身特点所导致的脆弱性，形成了企业新的风险。内部控制系统对于这些风险的识别与管理，对于ERP系统本身的成败也至关重要。因此，企业应积极主动地从新的角度来识别ERP系统下内部控制的新风险，以有效降低内部风险发生的频率。

（一）内部控制环境的风险。主要包括管理理念调整与系统的先进性不够同步、人力资源调配失当、组织结构不合理、职责权限不明确、业务部门工作不协调、管理制度缺失或未发挥作用、计算机硬件系统不能满足要求、自然环境不符合技术安全要求等导致的风险。比如，就组织结构来讲，在ERP环境下，高耸的金字塔结构将趋于扁平化，传统的依靠多管理层次和严格指令的严密控制大大减少，控制不再是基于权力，而应该是建立在科学的信息和企业持续健康的成长方面。这对组织结构、领导观念和领导风格及企业文化等提出了更高的要求。

（二）业务流程与控制流程风险。ERP强调企业流程与工作流，通过工作流实现企业的人员、财务、制造与分销间的集成，支持企业的流程重组。但ERP系统一般是固定的模式结构，企业在运行时，软件无法灵活地适应个性化的企业流程要求。企业在进行管理与业务流程重整时，也很难真正达到从组织结构、生产流程、业务流程全面适应ERP系统的效果。于是现有的ERP系统结构与功能制约了企业的动态重整过程。另外，企业的组织重组与业务流程简化，会造成很多审批环节的缺失，隐含一定的内部控制流程不完善的风险。在这种情况下，手工环境中用于企业内部控制的许多审计线索在ERP系统引入后消失了。这些变化在一定程度上简化了企业内部整体控制体系的有效性，这样内部控制风险体系必将呈现新的特征。

（三）信息安全和质量风险。ERP是承载先进管理思想的媒体，是先进管理哲学、理论和方法的软件封装，是企业业务流和多维信息的高度集成。ERP的实施依赖于先进的计算机软、硬件技术，如客户/服务器分布式结构、基于WEB技术的电子数据交换EDI、多数据库集成、数据仓库、第四代语言及辅助工具，等等。由于计算机病毒以及网络黑客的恶意攻击、信息系统软件设计的漏洞、系统操作的失误、内部人员的非法访问、人们对风险的控制缺乏应有的主动权等，都会使ERP系统面临严重的安全威胁，从而导致系统数据安全和质量方面的风险。信息的失灵将影响内部控制的有效性。

（四）技术架构风险。ERP纳入了产品数据管理PDM功能，增加了对设计数据与过程的管理，并进一步加强了生产管理系统与CAD、CAM系统的集成。一系列高科技与新软件的实施，要求企业具有计算机知识的复合型人才，否则企业的管理与内部控制都将面临技术架构的尴尬。

三、ERP环境下企业内部控制风险的管理

简单来说，风险的管理分为识别、评估、处理三大步骤。ERP环境下企业内部控制风险的管理，首先应识别企业内控系统在ERP实施以后会面临哪些风险；其次应对这些风险进行评估，比如利用风险评估手段重新对整个流程和控制的各个环节可能的缺陷进行评估，进而评价各控制风险可能发生的频率以及造成损失的程度，并据此选择风险处理的方式；最后再对不同特点的风险选择不同的方式进行相应的管理。风险处理方式的选择应建立在“成本效益分析”的基础上，原则上来说风险的处理包括保留、回避、转移、分散和预防等方式，风险的保留和回避虽说管理成本较低，但却是消极和不得已的办法，企业应当在识别内控风险的基础上，积极地采取措施来转移和预防风险。

（一）与ERP软件提供方签署协议。ERP系统运行的失败，有一部分原因是软件选型的错误，也有一部分原因是软件设计的漏洞，使得引入的ERP系统并不适于企业本身。对于这一风险的控制，企业应当与软件的开发与供应方签署协议，协议中应明确企业对于软件的要求，以及软件的售后服务等事项。一旦软件应用中出现问题，造成损失的一部分可以由开发方来承担。这是一种转移风险的方式。

（二）内部审计人员参与软件的二次开发。ERP软件引入企业之后，由于其固定模式可能不适应企业本身的业务流程，也可能对内部控制流程带来不利影响。为此，在对软件的改型与二次开发的时候内部审计人员应参与其中，利用自己多年的内控经验，对ERP系统运行中关键点控制环节的设计，提出宝贵意见，避免由于“流程自动化”带来的内部控制可能的削弱，以避免业务流程重组与简化带来的控制风险。

（三）通过培训避免控制环境风险与技术风险。定期的有针对性地管理培训可以改变人们的思想观念，使管理者及员工接受供应链管理、精益生产、同步工程、敏捷制造、事先计划与事中控制的管理理念，从而可以避免应用新的管理工具带给企业的理念冲击。另外，计算机应用技术的培训，可以提高员工使用新软件处理数据的效率，也提高内控人员收集和使用信息的能力，减少了ERP系统与内部控制实施的技术风险。

（四）强化信息系统内部控制，保证信息质量与安全。ERP信息系统的控制包括系统运行中岗位责任制度、系统软硬件管理、系统信息数据管理等。岗位责任制度表现为严格的授权审批规定、职责分离规定、工作人员权限分配等；系统软硬件管理是为了保证系统的正常运行，主要包括网络设备检查、软件开发应用与修改的控制等；数据信息管理主要包括数据系统保密、备份与修复、计算机病毒的防护等。ERP信息系统由多个子系统构成，如企业会计信息系统、人力资源数据、供销存数据、生产与技术数据、外部经济政策、市场信息、合作伙伴信息等，因此为实现不同系统间数据互联互通，ERP系统和其他子系统之间存在单项或相互的数据交换接口。这些位于不同系统之间的接口也是一个重要的风险区域，应加强控制。