文| 張健剛

引言

進入21世紀(jì),信息的利用能力已經(jīng)逐漸成為企業(yè)競爭力的代表。隨著中國加入WTO,中國企業(yè)要參與國際競爭，提高企業(yè)競爭力，必須提高信息的利用能力。企業(yè)資源規(guī)劃(Enterprise Resource Planning, ERP)體現(xiàn)了當(dāng)今世界上最先進的管理理論，并提供了企業(yè)信息化集成的最佳方案。ERP將企業(yè)的物流、信息流和資金流統(tǒng)一在一起進行管理，對企業(yè)所擁有的人力、資金、物資、設(shè)備、信息和時間等各項資源進行綜合平衡和充分考慮，最大限度的利用企業(yè)現(xiàn)有的資源取得更大的經(jīng)濟效益，有效地管理企業(yè)的人、財、物、產(chǎn)、供、銷等各項具體工作。

與此同時，內(nèi)部控制也越來越受到廣泛的關(guān)注。21世紀(jì)初，美國爆出了一系列財務(wù)丑聞，導(dǎo)致安然、世通等曾經(jīng)的業(yè)界巨人轟然倒塌，由此催生了《薩班斯一奧克斯利法案》；我國企業(yè)的內(nèi)部控制建設(shè)還處于起步階段，近幾年來，一批企業(yè)也因為內(nèi)部控制缺陷出現(xiàn)了不少違法、違規(guī)的現(xiàn)象。諸多國內(nèi)外的案例表明，內(nèi)部控制是現(xiàn)代企業(yè)管理的需要，一個優(yōu)秀的企業(yè)一定擁有一套有效的內(nèi)部控制體系。內(nèi)部控制猶如一座屹然聳立的大廈，企業(yè)內(nèi)的各種要素和資源被統(tǒng)合在這座大廈的各個單元中；同時，各個要素和資源的有機結(jié)合和協(xié)調(diào)，支撐著雄偉的大廈既高聳入云，又穩(wěn)如磐石。

本文根據(jù)內(nèi)部控制的原則和目標(biāo)，從改善控制環(huán)境、信息系統(tǒng)控制、日常管理控制、完善內(nèi)部監(jiān)督機制等方面對ERP環(huán)境下企業(yè)內(nèi)部控制體系的構(gòu)建進行論述。

企業(yè)建立和實施內(nèi)部控制體系的原則

ERP環(huán)境下，企業(yè)建立和實施內(nèi)部控制的原則可參考我國頒布的《企業(yè)內(nèi)部控制基本規(guī)范》的指引，內(nèi)部控制建立和實施的原則既是企業(yè)建立和實施內(nèi)部控制的指引，也是企業(yè)評價內(nèi)部控制是否健全和有效的依據(jù),主要包括以下五個方面。

全面性原則

全面性是企業(yè)建立內(nèi)部控制體系的重要基本原則之一，企業(yè)建立和實施內(nèi)部控制應(yīng)涵蓋企業(yè)經(jīng)營的各個方面和全部人員。一方面，企業(yè)應(yīng)對經(jīng)營管理的全過程進行控制，包括生產(chǎn)、營銷、財務(wù)、采購等各個環(huán)節(jié)，企業(yè)的內(nèi)部控制體系應(yīng)針對人、財、物、信息等各個業(yè)務(wù)活動的范圍制定全面的內(nèi)部控制措施；另一方面，企業(yè)內(nèi)部控制應(yīng)包括企業(yè)的所有人員，包括企業(yè)的高層管理人員，企業(yè)中的每個成員既是控制實施的主體，也是控制行為的客體。

重要性原則

企業(yè)應(yīng)在全面控制的基礎(chǔ)上，關(guān)注高風(fēng)險領(lǐng)域和關(guān)鍵崗位人員，對于關(guān)鍵的控制點和重點控制崗位，企業(yè)應(yīng)進行重點控制，以降低企業(yè)的風(fēng)險，保證控制的效果。

制衡性原則

企業(yè)在兼顧效率的同時應(yīng)該在組織機構(gòu)和崗位職責(zé)的設(shè)置、業(yè)務(wù)流程的制定等方面形成相互監(jiān)督、相互制約的機制。

適應(yīng)性原則

企業(yè)建立和實施內(nèi)部控制應(yīng)因地制宜，與企業(yè)所處的狀態(tài)相適應(yīng)，并隨著企業(yè)狀態(tài)的調(diào)整進行動態(tài)的調(diào)整。企業(yè)所處的狀態(tài)包括企業(yè)的經(jīng)營規(guī)模、業(yè)務(wù)范圍、競爭狀況和風(fēng)險水平等。

成本效益原則

內(nèi)部控制的目標(biāo)要服務(wù)于企業(yè)價值最大化的目標(biāo)，不是為了內(nèi)部控制而實施內(nèi)部控制，內(nèi)部控制的最終目的是實現(xiàn)企業(yè)價值的最大化。

當(dāng)為實現(xiàn)內(nèi)部控制目標(biāo)所采取的控制措施的成本大于預(yù)期的收益時，我們說這樣的內(nèi)部控制措施是不可取的。因此，企業(yè)在保證內(nèi)部控制有效性的基礎(chǔ)上應(yīng)盡量地減少內(nèi)部控制的環(huán)節(jié)，抓住內(nèi)部控制的關(guān)鍵環(huán)節(jié)，降低控制成本。

制定ERP環(huán)境下內(nèi)部控制目標(biāo)

控制目標(biāo)是企業(yè)設(shè)計內(nèi)部控制體系、實施內(nèi)部控制活動的出發(fā)點和落腳點，能否實現(xiàn)內(nèi)部控制的目標(biāo)是內(nèi)部控制有效性的評價標(biāo)準(zhǔn)。ERP環(huán)境下，企業(yè)內(nèi)部控制的目標(biāo)與傳統(tǒng)的企業(yè)內(nèi)部控制的目標(biāo)沒有差別，包括合理保證企業(yè)經(jīng)營的合法合規(guī)、資產(chǎn)安全、財務(wù)報告及相關(guān)信息的真實完整，提高經(jīng)營效率與效果，促進企業(yè)實現(xiàn)發(fā)展戰(zhàn)略。

企業(yè)應(yīng)在內(nèi)部控制目標(biāo)的指引下，對內(nèi)部控制的目標(biāo)進行逐級分解，形成企業(yè)內(nèi)部控制的具體目標(biāo)，企業(yè)在具體目標(biāo)的指引下進行內(nèi)部控制的建立健全和完善，確保內(nèi)部控制設(shè)計的全面性和有效性。

ERP環(huán)境下內(nèi)部控制構(gòu)建的措施

改善內(nèi)部控制環(huán)境

1.理順部門和崗位的職責(zé)權(quán)限。

ERP的實施,改變了企業(yè)原有的業(yè)務(wù)流程，由原有的條塊分割的職能管理模式變更為按照業(yè)務(wù)流程管理，實現(xiàn)了“物流、信息流、資金流”的同步流轉(zhuǎn)。企業(yè)必須及時地理順部門和崗位的工作職責(zé)和權(quán)限，只有這樣才能實現(xiàn)事事有人做，人人有事做，才能保持員工隊伍的和諧穩(wěn)定，才能將新的工作落實到相應(yīng)的崗位上。在ERP環(huán)境下理順部門和崗位的職責(zé)權(quán)限可采取以下步驟：

第一，根據(jù)業(yè)務(wù)流程中涉及的各項工作任務(wù)進行分類匯總，根據(jù)部門和崗位分配的制衡原則將每項工作落實到具體的部門，如有必要可進行相應(yīng)的組織結(jié)構(gòu)調(diào)整以適應(yīng)新的管理模式。

第二，具體分析每項工作的工作強度,工作的時間區(qū)域，綜合考慮不相容的職務(wù)相分離的原則，來確定部門內(nèi)部的定崗人數(shù)，崗位工作內(nèi)容、崗位名稱、崗位要求、崗位崗級序列等內(nèi)容。

第三，編制新的組織結(jié)構(gòu)和崗位設(shè)置文件。組織結(jié)構(gòu)是指企業(yè)內(nèi)部各部門的組合程序，包括排列順序、空間位置、集散狀態(tài)、職責(zé)權(quán)限等內(nèi)容以及各個要素之間的相互關(guān)系。崗位設(shè)置是指部門內(nèi)部的各個崗位的工作描述、崗位要求、考核標(biāo)準(zhǔn)，層級序列等內(nèi)容。

2.提高員工的勝任能力。

勝任能力是企業(yè)管理層和員工掌握完成工作任務(wù)、履行崗位職責(zé)所需要的知識、技能、經(jīng)驗的總體狀況。勝任能力在內(nèi)部控制的實施中起著重要的基礎(chǔ)性作用，內(nèi)部控制歸根到底是由人來操作的，內(nèi)部控制體系設(shè)計得再完善，如果沒有具備勝任能力的的員工，也無法得到充分的貫徹和有效的執(zhí)行。要想內(nèi)部控制得到充分和有效的實施，進而實現(xiàn)企業(yè)預(yù)定的內(nèi)部控制的目標(biāo)，必須保證經(jīng)營管理人員和關(guān)鍵崗位員工的勝任能力。由于ERP系統(tǒng)的應(yīng)用，帶來了工作方式、工作方法、工作能力要求等一系列的變化ERP實施的一個重要的特點就是由原來的職能管理變?yōu)榱鞒坦芾?，前一個環(huán)節(jié)對后一個環(huán)節(jié)負(fù)責(zé)，數(shù)據(jù)不重復(fù)錄入，入口唯一，任何一點初始數(shù)據(jù)參數(shù)的錄入差異都可能對后續(xù)的分析造成很大的影響，也就是項目人員常說的一句話“垃圾進、垃圾出"，這樣，就對初始數(shù)據(jù)錄的入準(zhǔn)確性提出了更高的要求，對相關(guān)崗位員工的專業(yè)水平、責(zé)任心和敬業(yè)精神也提出了更高的要求。ERP環(huán)境下企業(yè)內(nèi)部控制體系的構(gòu)建，其中最重要的基礎(chǔ)就是能夠勝任工作要求的員工隊伍。

如何提高員工的勝任能力，可以從以下幾方面開展工作：

（1）把好招聘關(guān)，因為招聘永遠(yuǎn)比培訓(xùn)更重要。招聘適合本企業(yè)文化、具備崗位要求的技能和經(jīng)驗的員工是使企業(yè)保持活力、健康發(fā)展的重要條件。

（2）規(guī)范各崗位的崗位職責(zé)，明確各崗位的工作任務(wù)，形成適應(yīng)ERP系統(tǒng)要求的新的《崗位規(guī)范》文本，并以此作為各崗位履行職責(zé)和行使權(quán)力的依據(jù)。

（3）根據(jù)《崗位規(guī)范》中的崗位職責(zé)描述，結(jié)合企業(yè)實際情況，分析各崗位完成工作任務(wù)所必須的條件，進而明確各崗位要求的能力和知識水平，如學(xué)歷、專業(yè)技術(shù)職稱、專業(yè)背景、工作經(jīng)驗和相關(guān)操作水平等。

（4）實行全員考核。企業(yè)定期對全體人員進行考核評價，形成員工考核評價的量化指標(biāo)，對不勝任崗位要求的員工進行業(yè)務(wù)、技能的培訓(xùn)，及時提高員工的能力和水平；對于在一定的期限內(nèi)通過培訓(xùn)仍無法達(dá)到履行崗位職責(zé)要求的員工，及時轉(zhuǎn)崗。

（5）企業(yè)的操作環(huán)境、管理方式發(fā)生變化了要及時進行培訓(xùn)。如ERP系統(tǒng)新投入使用前必須對系統(tǒng)操作的相關(guān)最終用戶進行全面的培訓(xùn)，使員工對系統(tǒng)有一個較為全面的認(rèn)識，對開展工作所需的基本技能能夠掌握。

信息系統(tǒng)控制

拋開ERP系統(tǒng)先進的管理思想，ERP系統(tǒng)首先是一個信息化產(chǎn)品，是一個企業(yè)級的綜合管理信息系統(tǒng)。因此，ERP環(huán)境下的企業(yè)內(nèi)部控制首先是信息系統(tǒng)的控制，也就是如何保證信息系統(tǒng)的安全穩(wěn)定運行。這項控制設(shè)計的關(guān)鍵知識是信息系統(tǒng)知識和法律知識，從宏觀上把握應(yīng)做好以下幾方面工作。

1.硬件系統(tǒng)控制。

硬件系統(tǒng)控制的主要目的是保障硬件系統(tǒng)的安全，硬件系統(tǒng)是信息系統(tǒng)的有形載體，系統(tǒng)運行的有形載體出了問題，系統(tǒng)將無法正常運行，對企業(yè)造成的損失是不可估量的，信息管理部門應(yīng)該有完善硬件管理制度，至少應(yīng)包括以下幾方面：

（1）服務(wù)器和網(wǎng)絡(luò)通信控制。企業(yè)信息管理部門應(yīng)能夠確保服務(wù)器的正常運行，能夠?qū)ν话l(fā)事件有快速應(yīng)對，如服務(wù)器的異地存放，網(wǎng)路加密技術(shù)的采取、硬件運行的條件(溫度、濕度)等等。企業(yè)應(yīng)根據(jù)硬件安全的有關(guān)制度和要求制定本企業(yè)的硬件安全管理制度并確保執(zhí)行。

（2）硬件升級維護控制。信息技術(shù)的高速發(fā)展以及企業(yè)業(yè)務(wù)量的增加都會隨時要求硬件的升級，企業(yè)硬件系統(tǒng)升級要關(guān)注以下風(fēng)險點：硬件的采購管理，避免因為硬件系統(tǒng)的原因造成企業(yè)商業(yè)秘密泄漏或者是信息系統(tǒng)癱瘓；淘汰硬件的技術(shù)處理，要將具有存儲數(shù)據(jù)功能的淘汰設(shè)備進行必要的消磁處理，使之徹底成為“垃圾”。企業(yè)應(yīng)在固定資產(chǎn)管理的基礎(chǔ)上單獨建立信息系統(tǒng)設(shè)備的管理臺賬，包括硬件的購入信息(包括廠家、規(guī)格型號及各種參數(shù)、采購人員、驗收人員)，使用信息(包括啟用日期、主要用途、使用人等)，退役信息(包括停用日期、簽定人員、技術(shù)處理人員、設(shè)備流向等)。

（3）數(shù)據(jù)備份控制。信息系統(tǒng)需要定期的數(shù)據(jù)備份，一方面作為重要的檔案進行管理，另一方面為防止意外事件出現(xiàn)后能夠及時恢復(fù)。數(shù)據(jù)備份也需要相應(yīng)的硬件系統(tǒng)作為載體，企業(yè)應(yīng)建立系統(tǒng)備份管理制度，包括備份的時間頻率,即多長時間備份一次、備份的操作管理權(quán)限、備份數(shù)據(jù)的使用管理、備份數(shù)據(jù)的歸檔管理、備份數(shù)據(jù)的失效日期、以及備份數(shù)據(jù)保管需要的專業(yè)條件等。

2.系統(tǒng)開發(fā)與維護控制。

系統(tǒng)投入運行前要進行系統(tǒng)開發(fā)，系統(tǒng)使用后也會存在二次開發(fā)的可能，系統(tǒng)運行中經(jīng)常會維護各項權(quán)限或其他信息。系統(tǒng)的開發(fā)與維護控制是ERP環(huán)境下內(nèi)部控制的重要組成部分，因為系統(tǒng)的開發(fā)與維護人員擁有較高的權(quán)限，他們可以設(shè)置一個用戶并賦予一定的權(quán)限，然后進行相應(yīng)的操作，這樣的操作可能會導(dǎo)致重大的資金支付或其它重大的信息流失，給企業(yè)造成嚴(yán)重的損失，因此對系統(tǒng)的開發(fā)與維護控制至關(guān)重要。

（1）系統(tǒng)開發(fā)控制。系統(tǒng)的開發(fā)一般會成立專門的項目組，用以協(xié)調(diào)各方面的關(guān)系，項目實施的方法論不同，項目組的組成人員也會有所不同。不管采用何種形式，系統(tǒng)開發(fā)控制的關(guān)鍵點必須進行重點控制，主要包括以下幾方面：

第一，業(yè)務(wù)流程的設(shè)計控制。業(yè)務(wù)流程設(shè)計是今后工作開展的軌道，如何保證業(yè)務(wù)流程便捷、安全是業(yè)務(wù)流程設(shè)計的目標(biāo)。業(yè)務(wù)流程設(shè)計，一方面，要保證便捷，也就是說要把不增值的環(huán)節(jié)去掉，以保證系統(tǒng)實施后工作的效率；另一方面,也要確保符合內(nèi)部控制的牽制原則，明確各項關(guān)鍵的操作以及關(guān)鍵的控制環(huán)節(jié)，確保不相容的職務(wù)相分離。因此，業(yè)務(wù)流程控制的關(guān)鍵在于所有的業(yè)務(wù)流程都應(yīng)該是經(jīng)過專業(yè)部門論證、相應(yīng)的權(quán)限部門批準(zhǔn)的，項目部門應(yīng)持有經(jīng)批準(zhǔn)的業(yè)務(wù)流程文本(包括流程圖和相應(yīng)的文字說明)進行系統(tǒng)的定義，并作為重要的項目檔案歸檔。

第二，操作權(quán)限設(shè)置控制。系統(tǒng)根據(jù)業(yè)務(wù)流程的設(shè)計會產(chǎn)生不同的操作權(quán)限，每個員工會因為身兼不同的崗位而擁有多個權(quán)限，系統(tǒng)在開發(fā)階段必須明確不相容崗位的互斥原則，也就是說項目組要組織專業(yè)人員或聘請專業(yè)的咨詢公司對系統(tǒng)設(shè)置的所有權(quán)限進行整理分類，進行模擬測試，提出不相容(互斥)權(quán)限的列表，系統(tǒng)的開發(fā)人員要根據(jù)要求在系統(tǒng)開發(fā)中將不相容的權(quán)限定義為互斥權(quán)限，具體來說就是當(dāng)一個操作員要賦予互斥權(quán)限時，系統(tǒng)會自動拒絕并提示該權(quán)限與該操作員已有的那個權(quán)限是互斥權(quán)限，通過系統(tǒng)的事前控制做到不相容的職務(wù)相分離。

第三，驗收報告控制。ERP系統(tǒng)的驗收報告是系統(tǒng)開發(fā)人員對系統(tǒng)狀態(tài)的承諾，是企業(yè)責(zé)任人員履行必要職責(zé)的證明，更是ERP系統(tǒng)實施后所有內(nèi)部控制實施的初始資料。為此，企業(yè)必須對驗收報告給予足夠的重視，驗收報告必須具有相關(guān)人員的簽字確認(rèn)，具體驗收報告控制的關(guān)鍵點包括系統(tǒng)功能描述、初始數(shù)據(jù)資料、初始權(quán)限設(shè)置等。

（2）日常維護控制。系統(tǒng)投入使用后，日常的維護必不可少，維護的原因有很多，可能因為職工的調(diào)動需要對員工的權(quán)限進行重新設(shè)置，可能因為系統(tǒng)不完善進行必要的修補，也可能因為新的政策的實行進行相應(yīng)的分類調(diào)整等等。企業(yè)必須認(rèn)真梳理可能存在維護調(diào)整的事項，進行分類匯總，明確各種調(diào)整的審批流程和審批機構(gòu)、審批崗位，據(jù)此要制定系統(tǒng)維護的審批表格，確保系統(tǒng)運維人員的每項維護操作都是經(jīng)過授權(quán)的情況下進行的，為了便于今后核查，系統(tǒng)維護人員應(yīng)在系統(tǒng)維護的審批表上簽字確認(rèn)，注明維護時點，并將維護記錄連續(xù)編號存檔，便于審查人員進行相應(yīng)的檢查。

（3）防病毒控制。信息系統(tǒng)的軟件系統(tǒng)和硬件系統(tǒng)一樣，應(yīng)定期的維護保養(yǎng)，及時地進行相關(guān)的清理，進行必要的查毒殺毒操作，確保信息系統(tǒng)在一個穩(wěn)定的狀態(tài)下運行。

3.系統(tǒng)訪問控制。

ERP環(huán)境下，內(nèi)部控制與以往一個重要的區(qū)別就是以前內(nèi)部控制很多紙制的證據(jù)不存在了，取而代之的是系統(tǒng)的操作日志，如何才能確保每名員工對自己的操作負(fù)責(zé)，是ERP環(huán)境下企業(yè)內(nèi)部控制的又一重點。

具體說來可以采取如下控制措施：

（1）對有權(quán)限的員工進行教育，讓員工認(rèn)識到自己的操作密碼就像自己的簽字蓋章一樣有效，被他人惡意操作自己要承擔(dān)相應(yīng)的責(zé)任，培養(yǎng)員工的保密意識。

（2）系統(tǒng)的強制修改密碼功能。通過程序上的設(shè)置，讓用戶在一定的期限到期前必須強制的修改密碼，確保用戶密碼的時效性。比如，系統(tǒng)設(shè)置為每人三個月密碼到期，系統(tǒng)在密碼即將滿三個月的時候及時地提醒操作員更換密碼，同時對更換的密碼提出要求，不得與原密碼使用相同的字符等，使用戶密碼處于不斷更新的狀態(tài)，提高密碼的安全性。

（3）對關(guān)鍵的崗位密碼實行多重保護，以提高登陸的安全性。比如對財務(wù)負(fù)責(zé)人審批，最終的資金支付崗位的登陸實行U盾或動態(tài)密碼保護等多重保護，也就是說該用戶登陸訪問系統(tǒng)的時候僅僅輸人密碼是不夠的，還得在計算機上插入U盾并且輸入U盾的密碼才能進入；動態(tài)密碼是配置一個密碼器，與系統(tǒng)同步動態(tài)的變更，操作員必須持有動態(tài)密碼器輸人動態(tài)密碼才能登陸訪問系統(tǒng)進行相應(yīng)的操作。

4.各類關(guān)健人員的保密控制。

軟件的開發(fā)人員、系統(tǒng)的運行維護人員、以及關(guān)鍵崗位的人員都有機會直接接觸企業(yè)的重要商業(yè)信息，企業(yè)有必要用法律的手段對其行為進行限制。

對企業(yè)的外部人員可以在合同中明確對方的保密責(zé)任以及泄密的損失的賠償?shù)鹊?；對于企業(yè)內(nèi)部的員工，一方面應(yīng)加強保密教育，另一方面應(yīng)簽訂保密責(zé)任書，明確員工的保密責(zé)任和泄密處罰措施等。

總之，企業(yè)應(yīng)發(fā)揮內(nèi)部法律顧問或律師等專業(yè)人士的意見，通過法律手段對有可能泄密的人員的保密責(zé)任進行規(guī)范，同時對泄密產(chǎn)生的后果能夠有彌補的途徑。

日常管理控制

1.完善檔案管理控制。

ERP環(huán)境下，企業(yè)檔案的表現(xiàn)形式出現(xiàn)了很多新的變化，各種磁盤、光盤介質(zhì)的檔案大量增加，許多原有的紙制的簽字控制檔案減少，很多有形的控制轉(zhuǎn)變?yōu)闊o形的控制。在這種情況下，根據(jù)新的形式完善檔案管理控制具有更加重要的意義。

首先，能夠確保系統(tǒng)出現(xiàn)意外時能恢復(fù)到最近的狀態(tài)，不給企業(yè)造成較大的損失。

其次，能夠為監(jiān)督控制提供完整的依據(jù)性資料，為企業(yè)內(nèi)部審計監(jiān)督職能的發(fā)揮提供保障。

再次，能夠明確相關(guān)人員的責(zé)任，提高業(yè)務(wù)人員的責(zé)任意識，便于出現(xiàn)問題時的責(zé)任追究。

完善ERP環(huán)境下的檔案管理控制，在做好原有的檔案管理的基礎(chǔ)工作的同時，應(yīng)著重做好以下工作：

（1）對具備檔案管理價值的資料、數(shù)進行分類匯總，明確各項歸檔材料的內(nèi)容標(biāo)準(zhǔn)，確保歸檔的材料無一遺漏。

（2）對重要的檔案實行雙備份和異地存放，同時要打印紙制的歸檔材料，提高檔案保管的安全系數(shù)。

（3）ERP環(huán)境下更要關(guān)注檔案的及時性，各種紙制的數(shù)據(jù)資料的備份數(shù)據(jù)要做到及時。一方面，便于系統(tǒng)出現(xiàn)意外時恢復(fù)到最近的狀態(tài)，另一方面，出于內(nèi)部控制的考慮，減少操作人員篡改數(shù)據(jù)的時間，増加系統(tǒng)的安全性。

（4）企業(yè)應(yīng)定期檢查各種備份數(shù)據(jù)的有效性，備份的數(shù)據(jù)可能會因為時間的因素導(dǎo)致消磁或其他損壞，定期檢查能夠及時發(fā)現(xiàn)失效的檔案資料，及時進行二次備份，避免企業(yè)出現(xiàn)較大的數(shù)據(jù)損失。

（5）特別強調(diào)兩點：一是對ERP驗收報告和運行初始基礎(chǔ)數(shù)據(jù)的保管，因為這是系統(tǒng)所有運行維護以及數(shù)據(jù)變化的出發(fā)點。二是對各種磁盤、光盤等備份數(shù)據(jù)保管的專業(yè)性，避免因保管不善造成損失。

2.完善內(nèi)部報告控制。

企業(yè)應(yīng)建立內(nèi)部報告控制，特別是在ERP環(huán)境下，建立完善的內(nèi)部報告控制手段顯得尤為重要。企業(yè)實施ERP后，單位的信息流在系統(tǒng)中自動流轉(zhuǎn)，各類信息不再像各類紙制的報表資料等在各級管理人員之間傳遞，信息對企業(yè)管理人員的刺激減弱。為了保證重要信息傳遞的及時有效，必須根據(jù)系統(tǒng)的運行來完善企業(yè)的內(nèi)部報告控制措施，明確各類報告的報送時間要求，報送流程，結(jié)構(gòu)與內(nèi)容等等，以便企業(yè)的管理者及時發(fā)現(xiàn)和解決企業(yè)運行中存在的問題。

企業(yè)常用的內(nèi)部報告包括：資金分析報告、費用分析報告、資產(chǎn)分析報告、經(jīng)營分析報告等。

企業(yè)內(nèi)部的各項報告應(yīng)根據(jù)ERP系統(tǒng)中的數(shù)據(jù)進行分析整理，廣泛利用圖表等手段，通過數(shù)據(jù)的歷史對比和趨勢預(yù)測，發(fā)現(xiàn)經(jīng)營管理中存在的問題，對今后的業(yè)務(wù)發(fā)展進行科學(xué)的預(yù)測。

3.授權(quán)控制。

授權(quán)控制要求企業(yè)根據(jù)部門的職責(zé)分工和崗位設(shè)置，明確各部門、各崗位辦理經(jīng)濟業(yè)務(wù)與事項的權(quán)限范圍，審批程序和相應(yīng)的責(zé)任等內(nèi)容。企業(yè)內(nèi)部各級管理人員只能在授權(quán)的范圍內(nèi)行使職權(quán)和承擔(dān)相應(yīng)的責(zé)任，具體業(yè)務(wù)的經(jīng)辦人員必須在授權(quán)的范圍內(nèi)辦理業(yè)務(wù)。

ERP環(huán)境下，企業(yè)內(nèi)部控制的授權(quán)控制重點做好以下幾方面：

（1）系統(tǒng)操作授權(quán)與實際授權(quán)的一致性。如企業(yè)中規(guī)定單筆金額超過10萬元的支出必須經(jīng)過總經(jīng)理審批，10萬元以下由副總經(jīng)理審批，那么在系統(tǒng)的審批工作流中必須進行相應(yīng)的設(shè)置，10萬元以上副總經(jīng)理審核完畢后自動發(fā)往總經(jīng)理審批，經(jīng)總經(jīng)理審批后審批流程才結(jié)東；10萬元以下副總經(jīng)理審批后流程即結(jié)束。

（2）明確金額重大、重要性高、影響范圍廣的經(jīng)濟業(yè)務(wù)與事項實行集體決策和會簽制度。ERP系統(tǒng)雖然體現(xiàn)先進的管理思想，但是作為管理工具，它不能代替人的決策，因此，必須強調(diào)決策的控制以及系統(tǒng)操作的原始證據(jù)。

（3）授權(quán)透明化。通過內(nèi)部網(wǎng)站、宣傳櫥窗、大屏幕滾動放映等手段，宣傳企業(yè)重要授權(quán)的標(biāo)準(zhǔn)和范圍，提高職工的參與意識和監(jiān)督作用，增強企業(yè)職工對管理人員和重點崗位的監(jiān)督。

4.內(nèi)部控制制度化。

如何使企業(yè)內(nèi)部控制的各項措施落到實處，是企業(yè)內(nèi)部控制能否有效落實的關(guān)鍵。根據(jù)中國企業(yè)的實際情況，最好將內(nèi)部控制制度化，將內(nèi)部控制的各項標(biāo)準(zhǔn)、措施、控制責(zé)任和控制證據(jù)、獎懲措施等納入到企業(yè)的規(guī)章制度中，并以正式文件頒布，這樣，可提高內(nèi)部控制的權(quán)威性和嚴(yán)肅性，增加內(nèi)部控制各項措施的控制力，確保內(nèi)部控制能夠有效執(zhí)行。從中國員工的觀念出發(fā)，企業(yè)制度比一般的手冊更具有權(quán)威性，通過內(nèi)部控制制度化，能夠更好的保障內(nèi)部控制的嚴(yán)格執(zhí)行。

企業(yè)實施ERP以后，企業(yè)經(jīng)營的環(huán)境發(fā)生了很大的變化，必須結(jié)合ERP環(huán)境對內(nèi)部控制的要求對企業(yè)的基本管理制度進行修訂和完善。企業(yè)修訂和完善企業(yè)的基本制度可參考以下步驟：

（1）梳理制度體系。企業(yè)根據(jù)企業(yè)的實際情況和管理的側(cè)重對企業(yè)的制度體系進行梳理，整理出企業(yè)制度的類別、目錄，明確ERP環(huán)境下企業(yè)需要修訂和完善的相關(guān)制度。這里重點強調(diào)要完善相關(guān)的系統(tǒng)管理制度，包括操作管理制度、硬件管理制度、ERP相關(guān)檔案管理制度等。

（2）修訂完善制度。企業(yè)可組織相關(guān)部門和人員，特別要有對ERP系統(tǒng)比較了解的人員參加，對企業(yè)的制度進行修訂，企業(yè)一般的制度至少要包括適用范圍、生效日期、各部門的責(zé)任、關(guān)鍵的控制點和控制證據(jù)、工作流程、考核與獎懲等。最好是聘請內(nèi)部控制和風(fēng)險防范方面的專家對制度的修訂進行指導(dǎo)和把關(guān)。

（3）組織職工討論、收集意見。制度的撰寫只能是少數(shù)專業(yè)人員，難以全面考慮到利益相關(guān)各方的意見，而制度的執(zhí)行可能會設(shè)計整個企業(yè)業(yè)務(wù)和員工，因此，制度提交最高權(quán)利機構(gòu)審批前，必須組織職工進行討論，吸收合理的意見進行相應(yīng)的修訂，這樣才能使制度更加完普，制度頒布后才能得到更好的理解、貫徹和執(zhí)行。

（4）提交最高權(quán)利機構(gòu)審批。完成了制度的最終修改后，要提交企業(yè)的最高權(quán)利機構(gòu)審批。審批未通過，繼續(xù)修訂和完善；審批通過后，要以企業(yè)正式文件的形式進行下發(fā)。

（5）進行制度的宣貫和培訓(xùn)。制度是為了規(guī)范企業(yè)經(jīng)營活動和員工的行為，必須通過必要的宣貫和培訓(xùn)使員工了解企業(yè)的制度，這樣才能避免出現(xiàn)“無知無畏”的情況，給企業(yè)造成損失。另外，要根據(jù)每個崗位的工作特點，明確應(yīng)了解的制度，對新上崗人員進行制度的培訓(xùn)，組織新上崗人員進行制度的學(xué)習(xí)和考試，考試合格后方能上崗。

完善內(nèi)部監(jiān)督機制

監(jiān)督一方面為內(nèi)部控制的有效執(zhí)行提供合理的保障，另一方面起到對內(nèi)部控制制度的復(fù)核作用，能夠及時發(fā)現(xiàn)內(nèi)部控制存在的缺陷。ERP的實施，豐富了企業(yè)監(jiān)督控制的手段，為實時監(jiān)督創(chuàng)造了條件。

1.在系統(tǒng)中設(shè)置相應(yīng)的預(yù)警數(shù)據(jù)。

當(dāng)數(shù)據(jù)達(dá)到預(yù)警數(shù)據(jù)時系統(tǒng)會自動將報警信息發(fā)送給相關(guān)的管理人員。比如企業(yè)的某項費用管理，系統(tǒng)定義為超過去年同期的20%系統(tǒng)將自動報警給財務(wù)部門的負(fù)責(zé)人，當(dāng)費用的使用超過去年同期的20%以后，財務(wù)部門的負(fù)責(zé)人自動就收到系統(tǒng)的提示信息，財務(wù)部門的負(fù)責(zé)人通過對數(shù)據(jù)進行分析來確定費用發(fā)生的合理性，是否需要向上級主管領(lǐng)導(dǎo)匯報。

2.將系統(tǒng)必要的查詢權(quán)限分配給相關(guān)的監(jiān)督部門，實現(xiàn)對業(yè)務(wù)的實時監(jiān)督。

ERP系統(tǒng)一個優(yōu)勢就是系統(tǒng)的開放性與共享性，只要將相應(yīng)的權(quán)限賦予內(nèi)部審計的有關(guān)人員，內(nèi)部審計就可以隨時察看系統(tǒng)的運行情況，業(yè)務(wù)的開展是否符合規(guī)定的程序。

3.從內(nèi)部審計監(jiān)督的角度動態(tài)完善內(nèi)部控制制度。

內(nèi)部監(jiān)督首先是對內(nèi)部控制體系是否建立健全，執(zhí)行是否有效進行測試，通過測試能夠發(fā)現(xiàn)內(nèi)部控制設(shè)計方面存在的問題，如關(guān)鍵的控制證據(jù)是否齊全，控制措施是否得當(dāng)?shù)?，必要時形成內(nèi)部控制的缺陷報告，以此促使企業(yè)管理者進一步完善內(nèi)部控制制度。