ERP环境下内部控制系统设计

随着科学技术的发展，知识经济时代的到来，企业越来越重视科学管理，开始利用先进的信息技术进行组织结构和业务流程重组，建设ERP系统。ERP系统的应用给传统会计带来了前所未有的冲击，也给内部控制提出了新的挑战。

一、ERP系统与会计信息系统的生成

（一）ERP系统概述。ERP（企业资源计划）系统，是基于客户服务器体系、关系数据库结构、面向对象技术、图形用户界面、第四代语言（4GL）、网络通讯等信息技术上的一个广泛而开放的企业信息系统。它的核心概念，即两个“资源集成”：一是内部集成，实现物流、资金流、信息流和增值流的集成；二是外部集成，实现企业与供应链上所有合作伙伴的集成。这里的集成是指将尽可能多的不同资源有机地组织到一起的过程或方法。ERP系统中的会计信息系统便是各种信息，如供应、生产、销售、服务等信息高度集成的结果。

ERP的核心思想是以供应链管理为核心，尽可能的整合企业全部资源，加快企业资金流和信息流的流通速度，提高企业竞争力。

（二）会计信息系统概述。由于会计是经营活动中的一项重要职能，旨在处理交易或事项资料，为管理者和其他信息使用者提供以财务性为主的信息，故亦被视为组织内部的一个信息系统，即会计信息系统（AIS）。

会计信息系统服务于各个组织的经营管理需要，通过对既定组织各种交易资料的搜集、处理、报告和分析，为组织内部的各阶层管理者与员工，以及外部使用者提供相关信息，协助其正确执行各类决策，适当处理交易作业，完成既定的管理目标。

（三）ERP环境下会计信息系统的生成。传统的会计信息一般是由会计部门按照专门的方法和程序通过对企业可确认、可计量的经济事项进行核算和控制而产生的。ERP系统由于采用了以供应链为核心的资源配置管理理念和基于互联网的信息技术手段，使会计信息的收集、处理、报告和分析呈现出全新的面貌。

ERP系统将会计信息的输入口延伸到业务最前端，在发生地一次采集，各部门在完成各自业务的同时，将相应的数据输入计算机，然后系统中的财务管理子系统根据事先的逻辑结构设置自动生成各种会计信息。同时，由于会计信息内嵌于管理信息系统中，ERP系统不仅能通过多样的会计挖掘手段，从不同的角度提取会计信息视图，还可以以事件驱动追溯的方式产生按照各种维度汇总的财务信息和其他业务信息。会计信息系统在ERP环境下呈现出多维的立体层次。

二、内部控制风险的识别

（一）风险概述。风险指妨碍或阻止既定企业实现其预定目标的干扰因素。各个企业在经营过程中，不可避免地会遇到各种各样的风险。就信息系统而言，其风险的主要来源包括内部和外部风险来源。其中，内部风险来源包括：内部职员或信息系统操作员、计算机程序编写人员、职能部门经理和会计人员、已离职员工。外部风险来源包括：客户与供应商、市场竞争者、外界犯罪人士、自然灾害。

与信息系统相关的风险主要包括以下几项：疏忽差错、故意性差错、非故意资产损毁、资产的失窃、防护程序失控、暴力或灾害。

企业信息系统面临的各种风险的暴露程度一般从以下几个因素来评估：

1、发生频率。风险事项发生越频繁，信息系统的风险暴露程度就越高。

2、脆弱性。资产越脆弱，面临的风险就越高。

3、数额大小。潜在损失的金额越大，风险暴露程度就越高。

如果上述的两个或三个因素并存，风险暴露程度将倍增。

企业在经营过程中，要认清风险的来源、种类，并确定风险的暴露程度。以此来制定相应的风险防范措施和设计内部控制系统。

（二）ERP系统对内部风险控制的影响。在ERP环境下，对风险的内部控制产生了新的要求。主要体现在以下几方面：

1、控制环境风险。内部控制的风险大小很大程度上取决于企业管理者的态度，ERP系统的实施更加剧了这一风险。如果企业管理者无法充分将ERP系统的现代管理理念融入企业管理思想和管理模式中，那么内部控制将无法实现。ERP系统带来了企业组织结构的变化，内部控制方式也发生了显著变化。在ERP环境下，企业内部控制层次明显减少，管理扁平化成为可能，领导不再是组织等级的上层，而成为行动的核心，信息经济要求企业的领导阶层学会协调与基层人员的关系，激发他们的潜能，并在一个开放和动态的环境中发现内聚力。此时，企业的内部控制不再是更多的基于权利的需要，而是基于信息的科学性和企业健康发展的需要。

2、计算机系统风险。主要指来自于计算机硬件和软件方面的风险。计算机硬件以及与之相关的设备（网络通信、电源等）都存在着外部不可抗拒的因素（如火灾、停电等）或人为因素（如操作失误等）出现系统故障，导致数据丢失甚至瘫痪的风险，且由于其系统一体化、数据逻辑化、信息生成自动化的特点，内部控制根本无法触及。软件风险主要指的是应用ERP软件时存在的各种风险。由于ERP系统功能繁多，ERP软件具体运用于企业时，不可避免地存在某些功能不足或潜在的软件缺陷，给内部控制带来新的潜在风险。同时，过分信赖于ERP系统的电子信息集中存储方式，使得企业内部控制的许多审计线索消失，导致信息系统本身的脆弱性，也给内部控制增加了难题。

3、业务流程风险。ERP实行的是流程化的管理，它打破原来职能部门的条块分割，强调优化流程结构，尽可能地减少或合并原来业务流程中重复不增值的作业，实现企业资源的系统配置和信息共享。企业在实施ERP系统后所遇到的业务风险主要来自四个方面：业务流程、应用架构、数据质量和技术架构。其中，业务流程由于与过去相比发生了根本性改变，其对企业内部控制风险的影响最大。

4、人员道德风险。主要是指企业内部人员和外部人员，如黑客等对会计数据非授权的访问、篡改、泄密和破坏等方面的风险。ERP系统的管理模式必然要求会计系统的进一步开放与数据共享，而开放与共享的程度越深，操作人员和信息使用者通过公用通讯线路干预系统的机会就越大，系统面临的安全隐患也就越多。这种有意图、有目的的攻击行为将给企业集团带来巨大的伤害，严重威胁着企业集团信息的机密性、完整性和可用性，从而增大了企业内部控制的风险。

三、内部控制系统的设计

企业中存在着各种各样的风险，要减少和避免这些风险的发生，需要建立一个完善的内部控制系统。

会计信息系统有两大子系统，以人机界面为分水岭。一个以计算机为中心，由计算机基础软硬件和会计应用软件构成；另一个则以人为中心，由操作使用人员、管理人员及相应的管理机构构成。

内部控制纵贯整个系统，在各个层次上均存在。与会计信息系统的“人机”划分相对应，内部控制系统也可划分为两类：一类是由计算机程序来实现的，我们称之为“程序化”内部控制；另一类则是由人来实施的，我们称之为“制度化”内部控制。下面主要从这两个方面来设计内部控制系统。

（一）程序化内部控制。程序化内部控制是由程序来实现的，主要包括：

1、计算机硬件层次上的所有控制。硬件控制通常是由计算机硬件制造商设计、并安排在计算机硬件设备上的，如边界保护、双电路、奇偶校验、溢出校验及程序固化，等等。设置这种控制的目的是为了使计算机有更高的可靠性，在环境出现一些细微干扰的时候不至于影响计算机的运行。

2、系统支持软件中的控制。系统支持软件主要是指单机、网络操作系统、数据库管理系统等基础软件。这些软件中的控制通常也是由像Microsoft、Oracle一类专业性软件公司设计的，如访问控制、隔离控制、加密变换和口令控制等。充分并恰当地利用系统软件提供的控制机制，是加强电算系统安全，提高开发、运行和维护效率的基本手段。

3、应用软件中的控制。这一类控制一般是由软件开发单位（包括专业性软件公司）在软件开发时设计在程序中的。与前两种控制相比，这种控制不具有普遍性，它们是针对会计信息的处理特点来设置的，受会计电算化管理规章的约束。

（二）制度化内部控制。本文把制度化内部控制分为以下六个方面：

1、组织控制。就是将系统中不相容的职责进行分离，即在系统中的各类人员之间进行分工，并以相应的管理规章与之配套。其目的在于，通过设立一种相互稽核、相互监督和相互制约的机制，来保障会计信息的真实可靠。对会计信息化部门内部进行适当的职责分工，划分出系统设计与编程、上机操作、输入与输出控制以及档案资料保管等责任岗位。

2、系统开发控制。主要适用于那些自行开发会计信息系统的企业。内部控制的制度化管理在这一阶段主要是指对开发计划、开发过程的人员以及文档资料的管理等。

3、安全控制。这项控制是为了保证系统的日常运行安全，主要包括接触限制和环境安全控制。接触限制就是防止未经授权的人擅自动用系统的各种资源，包括硬件设备、软件程序、数据文件以及相关的档案资料等，以保证各项资源的正确使用。而环境安全控制则是为了尽量减少因外界因素所致的计算机故障，保障机器正常运行，包括机房环境保护、保护性设备配备以及安全供电系统的安装等。

4、操作控制。制定上机守则与操作规程是操作控制制度化的体现。上机守则主要是对机房内工作所作的一般性规定。要减少操作人员的操作失误，还需以具体的操作规程为指导，提供计算机业务处理过程的具体操作步骤和具体要求，包括各种操作命令、各种设备的使用说明以及非常情况的处理等。

5、内部审计。从系统开发到日常运行的各个阶段，都离不开内部审计。内部审计的目的是为了了解现有的一些内部控制是否能满足保证系统提供准确可靠信息的需要，以及这些控制能否有效地运作并达到预期效果。

6、与程序化控制相配合的控制。这一类控制可看作是程序化控制的延伸。有些程序化控制需要通过与制度化控制相配合才能充分实现其控制功能，如访问授权控制。访问控制可以有效地阻止未经授权擅自进入、使用或修改系统，然而它需要电算管理人员按计算机要求正确使用这种授权机制。

四、内部控制系统的实施

在内部控制的具体实施中，要将程序化内部控制和制度化内部控制有机地结合起来。在合理设计内部控制系统的基础上，有效地实施内部控制，充分发挥内部控制的作用。

我们要从以下几方面来保证内部控制系统的有效实施：（1）建立内部控制标准体系，规范和引导企业的内部控制建设。（2）优化控制环境，为内部控制的有效运行奠定坚实的基础。首先，要完善公司治理结构，建立现代企业制度；其次，要改善人力资源管理机制，树立以人为本的思想，提高企业员工的综合素质。（3）强化风险意识，提高风险管理水平。要充分认识到企业可能存在的风险，及时采取各种措施防范风险的发生和减小风险对企业造成的损失。（4）建立有效的信息沟通系统。加强信息的交流和控制，对信息进行合理和充分的使用，实现对企业的有效控制和管理。（5）合理制定内部控制活动，并组织有效实施。内部控制活动的实施过程中，建立各项约束、激励的制衡机制，并辅之以及时的评估和反馈。（6）强化对内部控制的监督，督促内部控制的有效实施。建立相对独立的内部审计机构，加强对公司的日常审计和监督，减少和避免风险的发生；建立内部与外部审计的双重监督，通过内部和外部的双重压力，促使内部控制系统的有效实施。

五、结束语

新经济条件下，企业的内部控制将发生明显变化，因此内部控制应当结合企业实际不断进行创新。现代企业正在关注和实施企业资源计划（ERP），在实施ERP系统时，应充分考虑到其带来的各种风险，把控制水平提高起来积极应对，使ERP的效用发挥到最大，从而为企业创造更大的经济效益。企业管理者要顺应社会和科技的发展，认清新的形势，不断加强、改进和完善企业的内部控制，提高企业应对风险的能力。