岳　兵

ERP(Enterprise Resource Planning的縮寫，即企業(yè)資源計(jì)劃)是一種新的企業(yè)管理的思想，強(qiáng)調(diào)對(duì)企業(yè)的內(nèi)部甚至外部的資源進(jìn)行優(yōu)化配置、提高利用效率，是信息時(shí)代企業(yè)實(shí)現(xiàn)現(xiàn)代化、科學(xué)化管理的有力工具。在不到10年的短暫時(shí)間內(nèi)，它很快就被廣大企業(yè)認(rèn)同和接受，并為許多企業(yè)帶來(lái)了豐厚的收益。如何適應(yīng)ERP環(huán)境，建立與之相適應(yīng)的內(nèi)部控制制度，已經(jīng)成為社會(huì)各方面，尤其是政府部門和企業(yè)界關(guān)注的焦點(diǎn)問(wèn)題。

我國(guó)實(shí)施ERP內(nèi)部控制現(xiàn)狀

隨著我國(guó)改革開(kāi)放的深入發(fā)展，ERP作為一種全新的管理理念、管理方式隨之而來(lái)。經(jīng)過(guò)近年來(lái)的不斷實(shí)踐，已經(jīng)有越來(lái)越多的企業(yè)實(shí)施了ERP。

從目前所了解的情況看，一些企業(yè)成功實(shí)施并且充分利用了它們的ERP系統(tǒng)，使企業(yè)駛上健康發(fā)展的軌道，企業(yè)運(yùn)作井然有序。但有一些企業(yè)投入巨資上馬ERP項(xiàng)目卻收效甚微，有的甚至弄巧成拙，連正常的生產(chǎn)經(jīng)營(yíng)活動(dòng)都難以為繼。如哈爾濱醫(yī)藥集團(tuán)、北京市三露廠、廣州標(biāo)致汽車公司、河南許繼集團(tuán)等等。還有一些知名的跨國(guó)公司，雖然上了ERP或SAP，但企業(yè)內(nèi)控問(wèn)題層出不窮。2000年，某公司內(nèi)審時(shí)查出其公司有一大部分物資遠(yuǎn)超過(guò)市價(jià)，經(jīng)查證為某采購(gòu)部門團(tuán)體作為，導(dǎo)致公司損失巨大。這是什么原因呢?經(jīng)過(guò)分析就會(huì)發(fā)現(xiàn)，是整個(gè)采購(gòu)流程管理不當(dāng)、公司治理和內(nèi)控體系稀缺造成的。

正確利用ERP改善企業(yè)內(nèi)部控制非常必要

ERP系統(tǒng)作為集系統(tǒng)、信息和控制于一體的一種應(yīng)用，為以系統(tǒng)為載體、以信息為手段的現(xiàn)代控制提供了工具。它幫助企業(yè)把客戶的需求、企業(yè)內(nèi)部的運(yùn)營(yíng)活動(dòng)以及供應(yīng)商的制造資源整合在一起，其功能不僅涉及企業(yè)內(nèi)部的物料管理、庫(kù)存控制、生產(chǎn)管理、營(yíng)銷、供應(yīng)及財(cái)務(wù)的各個(gè)方面，而且還包括企業(yè)外部的供應(yīng)鏈管理。在ERP系統(tǒng)中，財(cái)務(wù)管理始終是核心的模塊和職能。ERP的集成化為財(cái)務(wù)管理帶來(lái)了一系列變革，企業(yè)可以即時(shí)獲取財(cái)務(wù)過(guò)程、分析系統(tǒng)的觸發(fā)信息，實(shí)現(xiàn)對(duì)整個(gè)業(yè)務(wù)過(guò)程的動(dòng)態(tài)監(jiān)控。因此，ERP給企業(yè)帶來(lái)了前所未有的會(huì)計(jì)與業(yè)務(wù)一體化處理和實(shí)時(shí)監(jiān)控的優(yōu)越性以及管理的自動(dòng)化和數(shù)字化，在提高內(nèi)部控制效率和效果、降低控制成本等方面起到了積極的作用。

ERP實(shí)施的是流程化的管理，流程管理主張能產(chǎn)生經(jīng)濟(jì)效果時(shí)才進(jìn)行控制，也就是要求控制產(chǎn)生的收益大于進(jìn)行控制耗費(fèi)的成本，否則就取消控制或改變控制的方式。因此，運(yùn)用ERP，能有效降低內(nèi)部控制的成本。根據(jù)美國(guó)生產(chǎn)與庫(kù)存控制學(xué)會(huì)(APICS)統(tǒng)計(jì)，使用ERP系統(tǒng)，平均可以為企業(yè)帶來(lái)如下經(jīng)濟(jì)效益：①庫(kù)存下降30％～50％；②延期交貨減少80％；③采購(gòu)提前期縮短50％，④停工待料減少60％；

⑤制造成本降低12％，⑥管理水平提高，冗員減少10％；⑦生產(chǎn)能力提高10％～15％。

ERP作為信息集成系統(tǒng)，可以承擔(dān)量化信息的篩選、集輸、溝通。在ERP系統(tǒng)的設(shè)計(jì)、開(kāi)發(fā)、實(shí)施、運(yùn)行、維護(hù)及管理中，可以把內(nèi)部控制體系中對(duì)信息的總體控制和應(yīng)用控制要求加以體現(xiàn)。由完善的內(nèi)控制度所產(chǎn)生的各項(xiàng)信息，將為企業(yè)決策提供堅(jiān)實(shí)的基礎(chǔ)。COSO內(nèi)部控制制度建設(shè)暨評(píng)估框架由五個(gè)重要部分組成：控制環(huán)境、風(fēng)險(xiǎn)評(píng)估、控制活動(dòng)、信息與交流和監(jiān)測(cè)。其中，信息與交流系統(tǒng)是整個(gè)內(nèi)部控制的生命線，為管理層監(jiān)督各項(xiàng)活動(dòng)和在必要時(shí)采取糾正措施提供了保證。而內(nèi)控是一個(gè)動(dòng)態(tài)的過(guò)程，必須依據(jù)環(huán)境，制定措施，信息反饋，進(jìn)行糾錯(cuò)，并不斷改進(jìn)。

在ERP環(huán)境下企業(yè)如何加強(qiáng)內(nèi)部控制設(shè)計(jì)

內(nèi)部控制(COSO)是由董事會(huì)、經(jīng)理層和其他員工共同實(shí)施的，為營(yíng)運(yùn)效率、財(cái)務(wù)報(bào)告的可靠性和相關(guān)法規(guī)的遵守等目標(biāo)的達(dá)成而提供合理保證的過(guò)程。從公司治理層面看，該定義明確地強(qiáng)調(diào)了高層管理者(董事會(huì)、總經(jīng)理)對(duì)內(nèi)部控制制定與實(shí)施中的作用。可以這么說(shuō)，如果企業(yè)管理當(dāng)局無(wú)法充分將ERP系統(tǒng)的現(xiàn)代管理理念融入企業(yè)管理思想和管理模式，內(nèi)部控制將無(wú)法實(shí)現(xiàn)。

ERP系統(tǒng)的使用涉及整個(gè)企業(yè)的業(yè)務(wù)流程。其系統(tǒng)特點(diǎn)一方面使企業(yè)員工以更大的靈活性去處理問(wèn)題、提高效率，但另一方面高度集成的功能和系統(tǒng)，使用戶無(wú)論在企業(yè)的哪個(gè)角落都能獲得訪問(wèn)系統(tǒng)并且控制或改變重要的業(yè)務(wù)參數(shù)的可能。ERP的高度集成性和分布式的系統(tǒng)技術(shù)結(jié)構(gòu)，同樣會(huì)給企業(yè)帶來(lái)風(fēng)險(xiǎn)。

首先，ERP系統(tǒng)中高度集成的功能模塊，使得任何一點(diǎn)出現(xiàn)問(wèn)題都會(huì)影響到其他模塊的正常運(yùn)行。

其次，傳統(tǒng)的ERP系統(tǒng)采用客戶端／服務(wù)器結(jié)構(gòu)，這種分布式的結(jié)構(gòu)使企業(yè)低成本、高效率地獲得業(yè)務(wù)集成管理功能的同時(shí)，也使系統(tǒng)管理的難度增大，系統(tǒng)更容易暴露在有意和無(wú)意的系統(tǒng)攻擊的風(fēng)險(xiǎn)中。

第三，系統(tǒng)審計(jì)難度加大。復(fù)雜的ERP系統(tǒng)使得系統(tǒng)控制和審計(jì)人員必須具有相應(yīng)的專業(yè)知識(shí)。但對(duì)于大型的ERP系統(tǒng)，幾乎沒(méi)有人能夠?qū)φ麄€(gè)系統(tǒng)的功能和每個(gè)模塊的特點(diǎn)有全面的認(rèn)識(shí)和理解。

第四，許多ERP系統(tǒng)使用基于Web的B／S技術(shù)支持異地登錄和訪問(wèn)，由于通過(guò)因特網(wǎng)登錄，不受空間的限制，任何不正當(dāng)?shù)挠脩羰跈?quán)都能導(dǎo)致對(duì)系統(tǒng)的非法訪問(wèn)。

第五，ERP系統(tǒng)靠使用單一的數(shù)據(jù)庫(kù)、單點(diǎn)輸入數(shù)據(jù)等來(lái)確保其高度集成性，這在保證ERP系統(tǒng)數(shù)據(jù)一致性、減少重復(fù)勞動(dòng)的同時(shí)，除使生產(chǎn)、銷售、庫(kù)存和財(cái)務(wù)等各個(gè)部門能夠共享信息外，也使數(shù)據(jù)的所有權(quán)和維護(hù)成為一個(gè)不容忽視的問(wèn)題。如果存在不合適的訪問(wèn)權(quán)限的定義，系統(tǒng)中的一些機(jī)密數(shù)據(jù)就會(huì)透明化，進(jìn)而導(dǎo)致企業(yè)的重大損失。

反觀國(guó)內(nèi)ERP的實(shí)施，缺乏對(duì)實(shí)施風(fēng)險(xiǎn)的認(rèn)識(shí)、缺乏科學(xué)而有效的風(fēng)險(xiǎn)管理方法則是導(dǎo)致低成功率的一個(gè)重要因素，它會(huì)直接導(dǎo)致實(shí)施過(guò)程中的盲目性和隨意性。ERP系統(tǒng)的使用也對(duì)企業(yè)的組織管理帶來(lái)了新的挑戰(zhàn)。由于ERP實(shí)行的是流程化的管理，會(huì)打破原來(lái)的條塊分割，勢(shì)必導(dǎo)致企業(yè)組織結(jié)構(gòu)的改變，甚至是對(duì)業(yè)務(wù)流程的重新思考。ERP系統(tǒng)使用會(huì)改變企業(yè)員工的職權(quán)，這種工作角色的轉(zhuǎn)變和適應(yīng)過(guò)程具有不確定性。ERP系統(tǒng)數(shù)據(jù)的捕捉一次性完成特性，使得管理部門對(duì)信息質(zhì)量的控制難度加大。企業(yè)信息決策數(shù)據(jù)來(lái)自不同部門，其中任意一個(gè)部門如有差錯(cuò)，將直接影響到其他部門統(tǒng)計(jì)。

傳統(tǒng)的業(yè)務(wù)流程是以憑證、賬簿、報(bào)表的會(huì)計(jì)循環(huán)方式而設(shè)計(jì)的，會(huì)計(jì)賬簿體系是其主要甚至唯一的控制方式。ERP實(shí)行的是流程化的管理，它打破原來(lái)職能部門的條塊分割，強(qiáng)調(diào)優(yōu)化流程結(jié)構(gòu)，實(shí)現(xiàn)企業(yè)資源的系統(tǒng)配置和信息共享。企業(yè)在實(shí)施ERP系統(tǒng)后所遇到的業(yè)務(wù)風(fēng)險(xiǎn)主要來(lái)自四個(gè)方面：業(yè)務(wù)流程、應(yīng)用架構(gòu)、數(shù)據(jù)質(zhì)量和技術(shù)架構(gòu)。其中，業(yè)務(wù)流程由于與過(guò)去相比發(fā)生了根本性的改變，其對(duì)企業(yè)內(nèi)部控制風(fēng)險(xiǎn)的影響最大。

企業(yè)內(nèi)部、外部人員如黑客等對(duì)

會(huì)計(jì)數(shù)據(jù)非授權(quán)的訪問(wèn)、篡改、泄密和破壞會(huì)造成風(fēng)險(xiǎn)。這種有意圖、有目的的攻擊行為將給企業(yè)集團(tuán)帶來(lái)巨大的傷害，嚴(yán)重威脅著企業(yè)集團(tuán)信息的機(jī)密性、完整性和可用性，從而增大了企業(yè)內(nèi)部控制的風(fēng)險(xiǎn)。

ERP環(huán)境下的風(fēng)險(xiǎn)管理對(duì)策

第一，針對(duì)控制環(huán)境，需要轉(zhuǎn)變管理觀念。ERP系統(tǒng)實(shí)施的重點(diǎn)是對(duì)傳統(tǒng)企業(yè)管理觀念的根本變革，其成功實(shí)施的先決條件是正確的指導(dǎo)思想、合適的軟件與有效的實(shí)施方法共同作用的結(jié)果。首先企業(yè)最高決策層人員要深入了解ERP系統(tǒng)所包含的管理思想，充分認(rèn)識(shí)本企業(yè)存在的問(wèn)題，明確轉(zhuǎn)變管理思路，建立一支善于開(kāi)拓思路、掌握計(jì)算機(jī)軟硬件知識(shí)且有ERP系統(tǒng)實(shí)施經(jīng)驗(yàn)、了解系統(tǒng)實(shí)施規(guī)律的高素質(zhì)實(shí)施隊(duì)伍。其次，ERP系統(tǒng)的成功實(shí)施也離不開(kāi)企業(yè)全體員工的大力支持和積極參與。這要求企業(yè)普通員工有機(jī)會(huì)參與整個(gè)實(shí)施過(guò)程；同時(shí)要加強(qiáng)員工培訓(xùn)，使企業(yè)所有員工在思想上對(duì)ERP系統(tǒng)有正確的認(rèn)識(shí)。

第二，針對(duì)系統(tǒng)風(fēng)險(xiǎn)，為保證系統(tǒng)安全，企業(yè)應(yīng)該實(shí)施一系列控制措施；(1)保證網(wǎng)絡(luò)安全，最大程度地控制了網(wǎng)絡(luò)攻擊和惡意軟件帶來(lái)的風(fēng)險(xiǎn)。(2)嚴(yán)格定義在ERP或SAP的授權(quán)。由于ERP系統(tǒng)靠使用單一的數(shù)據(jù)庫(kù)、單點(diǎn)輸入數(shù)據(jù)等來(lái)確保其高度集成性，所以生產(chǎn)、銷售、庫(kù)存和財(cái)務(wù)等各個(gè)部門能夠共享信息外，也使數(shù)據(jù)的所有權(quán)和維護(hù)成為一個(gè)不容忽視的問(wèn)題。對(duì)ERP信息系統(tǒng)的使用必須經(jīng)過(guò)授權(quán)。非授權(quán)的訪問(wèn)將帶來(lái)企業(yè)重要信息泄漏或丟失的風(fēng)險(xiǎn)。(3)針對(duì)系統(tǒng)的不穩(wěn)定性和電腦病毒的威脅，必須建立24小時(shí)的系統(tǒng)恢復(fù)計(jì)劃(RecoveryPlan)，同時(shí)對(duì)于輸入系統(tǒng)的信息的原始憑證，必須有專人負(fù)責(zé)登記保管，確保資產(chǎn)和記錄的安全性。

第三，針對(duì)業(yè)務(wù)流程，應(yīng)做好以下各方面：(1)應(yīng)用控制指的是對(duì)會(huì)計(jì)信息系統(tǒng)中具體數(shù)據(jù)處理功能的控制。ERP系統(tǒng)中的應(yīng)用控制一般由輸入控制、處理控制、輸出控制三部分組成，其中，重點(diǎn)是輸入和輸出的控制。輸入是會(huì)計(jì)系統(tǒng)的主要信息入口，也是出錯(cuò)的主要環(huán)節(jié)。輸入控制的重點(diǎn)在于對(duì)輸入過(guò)程的控制，最重要的是完整性控制。輸出控制最重要的目標(biāo)是保證各種輸出結(jié)果的真實(shí)性、完整性和正確性，可以通過(guò)權(quán)限控制、記錄登記操作等實(shí)現(xiàn)。

(2)切實(shí)做好BPR業(yè)務(wù)流程重組。BPR被稱做是“恢復(fù)美國(guó)競(jìng)爭(zhēng)力的唯一途徑”，是成功實(shí)施ERP的基礎(chǔ)。在進(jìn)行BPR之前，必須對(duì)所有的流程從有無(wú)效率、是否合理的角度進(jìn)行審視，然后從不合理且無(wú)效率的業(yè)務(wù)流程人手，逐一規(guī)范和調(diào)整，實(shí)現(xiàn)從職能管理到面向業(yè)務(wù)流程管理轉(zhuǎn)變。

(3)業(yè)務(wù)事項(xiàng)要予以正當(dāng)?shù)恼f(shuō)明和準(zhǔn)確及時(shí)地記錄，并做好基礎(chǔ)數(shù)據(jù)準(zhǔn)備。前期的基礎(chǔ)數(shù)據(jù)準(zhǔn)備是保證系統(tǒng)正確運(yùn)行的關(guān)鍵。這些數(shù)據(jù)一般包括：客戶數(shù)據(jù)、供應(yīng)商數(shù)據(jù)、物料數(shù)據(jù)、工序及工藝等靜態(tài)數(shù)據(jù)，還包括庫(kù)存、客戶訂單、發(fā)貨、交貨、發(fā)票、應(yīng)收、應(yīng)付等每時(shí)每刻都會(huì)變化的動(dòng)態(tài)數(shù)據(jù)。

第四，企業(yè)規(guī)章制度的更新與落實(shí)。在實(shí)施ERP的同時(shí)，要下大力氣對(duì)企業(yè)以往的制度做合理的調(diào)整和修改，使它能夠?qū)?xiàng)目的實(shí)施起到推動(dòng)作用。

第五，信息系統(tǒng)管理部門內(nèi)職責(zé)分離的控制現(xiàn)狀及風(fēng)險(xiǎn)：職責(zé)分離是企業(yè)內(nèi)部控制的基礎(chǔ)控制手段，主要目標(biāo)是防范內(nèi)部人員的舞弊行為帶給企業(yè)的災(zāi)難。在ERP環(huán)境下，信息系統(tǒng)不相容的職責(zé)分離主要有：系統(tǒng)設(shè)計(jì)人員與系統(tǒng)操作人員的職責(zé)分離；系統(tǒng)維護(hù)人員與系統(tǒng)操作人員職責(zé)要分離；系統(tǒng)操作人員、系統(tǒng)設(shè)計(jì)人員與數(shù)據(jù)檔案管理員職責(zé)要分離。

第六，權(quán)限控制，權(quán)限控制的基本目的在于防止未經(jīng)授權(quán)的內(nèi)部人員擅自動(dòng)用系統(tǒng)的各種資源。信息系統(tǒng)環(huán)境下的權(quán)限控制始于系統(tǒng)初始設(shè)置階段，即通過(guò)系統(tǒng)管理員(或系統(tǒng)維護(hù)員)對(duì)工作人員、工作范圍等進(jìn)行設(shè)置(輸入相關(guān)的數(shù)據(jù))；每個(gè)崗位人員不得超越權(quán)限接觸系統(tǒng)。

第七，制訂風(fēng)險(xiǎn)控制預(yù)案，ERP的實(shí)施是一個(gè)龐大的系統(tǒng)工程，涉及的因素、內(nèi)容和環(huán)節(jié)比較多。因此，必須在風(fēng)險(xiǎn)識(shí)別和分析的基礎(chǔ)上，事先制訂風(fēng)險(xiǎn)控制預(yù)案，指導(dǎo)風(fēng)險(xiǎn)控制，以便使可能出現(xiàn)的風(fēng)險(xiǎn)所造成的損失消失或減少。風(fēng)險(xiǎn)控制預(yù)案是開(kāi)展風(fēng)險(xiǎn)管理活動(dòng)的依據(jù)，對(duì)風(fēng)險(xiǎn)控制工作起指導(dǎo)作用。