基于erp系统环境的企业内部控制研究

基于ERP系统环境的企业内部控制研究李程程深圳市中恒国信通信科技有限公司广东深圳518001摘要:ERP（企业资源计划系统）系统鸽特点是集信息和控制于一体，能让管理者得以在系统中学习到先进的管理理

念，为实现企业内部控制提供了工具和平台，另外作为一个比较复杂的系统工具，其本身自有的信息系统风险,也向内 部控制提出了挑战。因此，如何增强ERP系统与企业内部控制之间的整合，如何改善内部控制措施，防范企业经营风

险，已经成为企业实施ERP系统必须面临的问题。本文将从ERP系统与内部控制之间的关系、ERP系统下内部控制的

难点以及如何改善内部控制等三个方面进行分析。关键词:ERP系统；内部控制；风险中图分类号:F275 文献标识码:A 文章编号：1673-5889（2020）06-0182-02—、弓丨言为了应对愈发激烈的市场竞争，靠人工干预控制的时代已

（-）ERP是内部控制的对象从某种程度上讲,ERP不仅是一套信息系统，同时也是一种

逐渐过去，很多企业认识到搭建一个ERP系统不止是奠定企业

技术工具，是由具有主观判断意识的人进行方案设计和具体实施

操作，若在执行中输入了错误的数据，不但会影响企业目标的达 成,严重时会带来致命的管理决策错误，因此从内部控制的角度，

内部管理的基础，更是驱动业务发展的动力，其已经作为当代最

热门的管理工具，辐射到企业每个业务环节，特别是在内部控制 体系中，更是展现出信息系统对于企业内部控制环境、相关风险 评估、标准流程执行管控的严密性以及维护信息的安全性等 优势。ERP系统也应被列为控制对象，需要从信息系统中的总体控制

和应用控制两个层面充分评估其可能产生的风险，建立针对IT

系统的内部控制制度，确保ERP系统的运行质量和运行效率。（三）ERP与内部控制可以产生协同性二、企业ERP系统与内部控制的关系企业资源计划系统（Enterprise Resource Planning,简称

ERP系统集成了构成企业核心价值链的预算、项目、采购、

生产、销售和财务等各项内部资源,使业务前端与管理后台之间 的信息实现实时传输，同时通过整合方案,实现前端业务数据与

后台财务数据的无缝传递，贯穿于内部控制中每个节点的信息流 最后归集于财务核算系统，实现了各项资源信息的高度集成，并

ERP），从表面定义来看,就是一种建立在信息技术的基础上，以

系统化的管理思想，为公司决策层及员工提供决策运行手段的管

理方法，它可以深入到企业每一个流程中，通过整合数据,设置管

控节点，分模块运算等方式，让使用者发现和解决呈现在流程中

相关且重要的问题。内部控制是为了实现企业经营目标，管理层需要在业务开

透过呈现的数据挖掘企业潜在的市场机会，使信息数据导向性更

明确，在监控信息流动的过程中，企业需要建立一套适用于ERP

展前期充分评估企业可能面临的各类风险，并在过程中设置相关

内部控制制度和标准，进行流程控制、步骤控制以及节点控制等,

环境下的内部控制体系，并依据该体系建立适当的内部控制制 度、设计内部控制流程、内部控制节点、内部控制监测点等内容，

与ERP系统的运行相辅相成，形成协同效应。确保最终财务数据真实准确及完整，业务活动合规合法，提高经 营活动的经济性和有效性，它属于管理的一种工具。三、ERP系统环境企业内部控制的难点（一） 业务流程设计不当的风险在实施ERP系统时，一般由企业各职能部门具有丰富管理

两者在企业管理层面实现的目标大致相同，但两者之间普

遍存在下述关系：（一）ERP可以改善企业内部控制企业的发展需要借助于现代管理工具，内部控制体系构建

是一个系统工程，内部控制政策和程序覆盖企业经营的各个方

经验的人员组成关键用户，辅佐外部开发人员进行项目实施，由

于业务人员对其代表的业务本身和ERP系统能达到的效果这两 者的理解都存在片面性和差异性，若选派人员缺乏对企业全业务

面，并且在企业经营过程中持续动态地发挥作用，而ERP系统的

高度集成性、开放性、完整性等将最大程度减少手工控制带来的 执行偏差或降低人为因素的干扰;将企业日常运作与内部控制规 范要求相结合，按标准制度执行每个设置好的内部控制节点成为

流程的了解或不具备内部控制管理思维，在重组业务流程过程中 提出的需求不明确或是仅基于现状提出单一需求，可能存在带有

个人色彩的喜好，会导致无法摒弃不合时宜甚至是错误的业务流

程，最终会使得业务流程在实际上线运行时与内部控制管理要求

体现企业信息化系统作为现代管理手段的优势，帮助企业达到内

控预警和实时掌握的目的,使企业管理结构变的扁平化、流程化,

发生冲突，很难达成一致。（二） 数据存储安全性风险ERP作为大型集成信息系统,系统外部的物理环境安全以

决策者和操作者能够快速沟通，合理减少控制层次，明确各自的

控制责任，极力促进内部控制环境的改善和提高信息与沟通的 及来自于系统自身逻辑安全均对内部控制带来风险，一旦遭受服

务器忽然崩溃、防火墙失效或恶意病毒攻击，整个系统将可能无

效率”182 现代商业 MODERN BUSINESS财会研究 I FINANCE AND ACWUNTTING RESEARCH法正常运行，传输中的数据也会发生丢失或缺失,瞬间使企业经

营可能陷入瘫痪状态，无法正常营业或生产，而且由于习惯于信

息的电子化，部分人员容易忽略各类纸质凭证的收集和整理，一

旦没有做好数据备份和记录，丢失的数据很难恢复，产生严重的 内部控制无效的后果。（三） 数据处理过程中的风险在ERP系统环境下，企业的原始数据基本由人员手工录入, 系统会根据设置自动生成各类报表或传送至财务模块，若在录入

环节出现差错，除了部分可进行逻辑校验的数据外，其余数据会

直接进入运算环节，最终会导致财务数据出现差错，而一旦出现

问题，财务人员无法直接处理,需要系统开发人员协助查找，且大

部分系统属于外部人员实施，真正查明原因往往费时较多，只能 进行手工暂时调整处理,无法真正满足内部控制的管理要求。（四） 权限管理不合理的风险权限管理不仅是内控控制的重点管控内容，在ERP环境下

更是重中之重，它相当于信息系统的通行证，如果权限管理不到

位，造成授权不当,会大大增加企业的经营风险，尤其是破坏了数 据的保密性和安全性，但由于企业实际经营中，人员变动的频繁

或是系统维护人员的失职，都会容易出现职位与权限不匹配的现

象，造成管理失控的影响。四、ERP环境下企业改善内部控制的策略（一） 分模块逐步扩展实现整个ERP内部控制系统的嵌入ERP系统的不断优化是一个长期的过程，需要企业根据业

务和内部控制管理要求目标的不同来进行持续调整，一方面针对

已上线且运行良好，符合内部控制要求的模块进行平稳维护，另

一方面对存在运行缺陷或尚未有效应用的模块进行优化和开发, 通过审批节点设置、条件设置等特定条件,让系统可以自动拒绝

不符合标准规范的操作，或者强制要求必须经过某个节点，该流

程才能传递到下个节点，可以减少由人为主观判断评价带来的随

意性和错误率，提高内控的稳定性，使得企业能够在一个相对完

善的信息系统中有效开展内部控制管理。（二） 加强信息系统维护外部环境的安全管理ERP系统作为企业的重要信息系统,担任促使企业有效开

展内部控制，提高管理能力的重要作用，因此维护信息系统的安

全性和可靠性，为建立有效的信息与沟通提供保障，在企业实际

经营过程中，指派具备相应能力的网络系统维护人员，安装防病 毒软件、多重防火墙，定期对系统进行检测、漏洞扫描，保持机房

内部的标准要求,每日对数据进行备份，利用日志记录每日操作

轨迹，便于后期数据修复，减少数据丢失的风险。（三） 强化ERP操作人员的知识培训，优化数据校验程序在通过ERP建立企业内控系统时，拥有财务专业知识且对

业务熟悉的财务人员应在ERP系统实施和日常维护中起到带头 作用,尤其是在试运行阶段,应逐一对重要的业务流程进行闭环

测试，从业务的发起到报表的输出,确保在关键的控制点都有管

控到，正式操作前对相关岗位进行大量的培训演示和系统测试练

习，系统上线后要定期对系统数据进行分析,随着业务变化来及

时调整原有系统设置，同时加强对各岗位操作人员的技能培训， 尤其是理解上下节点的流程，帮助其了解权限范围内应执行到位

的操作步骤，并在系统内部设置多层次逻辑校验程序，减少操作

错误次数，提高各类信息的准确性。除此之外，对于ERP系统来 说，其内部的信息基本都具备机密性，直接影响着企业的具体发

展，所以对于企业而言，其必须要在强化操作人员知识培训的基 础上对ERP系统管理的设备和网络安全防护制度进行建立，要

让操作人员将工作重心放在避免数据出现丢失的工作中,防止企

业核心信息被泄露。无论是在硬件设备方面还是在系统软件方

面，亦或是在信息安全方面，都应让操作人员进行重视,从而保护 ERP系统的安全。另外,企业在ERP系统建设和后期使用阶段,

还应该安排专人对系统进行维护，同时指派能力较强的工作人员

负责数据的管理，确保系统运行万无一失。（四）重视权限管理，进行不相容岗位分离企业应严格按照内控制度中针对权限管理的要求，专门设 置科学合理的授权操作制度，凡是没有经过授权的人员，不得随

意接触和操作该系统，对于访问权限，我们可以大致分为外部访

问权限和内部访问权限，建立用户权限变动审批流程和用户权限

访问记录功能。对于外部访问权限进行单独管理，密码动态更

新;对于内部访问权限，应按照岗位及级别设置内部访问权限，尤

其是不相容岗位，来确定哪些用户有录入、修改、查看、删除、输出

等不同操作权限,涉及一些敏感性数据的报表，将一些报表导出

功能或报表关键字段进行屏蔽，需要经过特殊授权才允许查阅。在ERP系统的具体环境下，任何一项具体的业务信息都必

须要通过公司各部门进行合理的传递。针对这个情况，从企业的

角度来看，其必须要对不相容的职务分离制度进行建立,制约不

相容岗位。再者,企业对ERP系统的建设还需要做好基础准备

工作，在建设之前就对岗位和职务的不相容性进行确定,然后在

对系统控制节点和权限进行设置时对各个岗位的职责和权限进 行明确。企业应该对不相容岗位和职务进行合理的分离,使其能 够相互监督和制约,从而形成有效的制衡机制。最后，企业必须

对授权审批体系进行建立，对各项授权的范围进行明确,并将这

些规定导入ERP系统中。五、结语企业应该充分重视ERP系统建设的作用，通过信息系统平

台将各个方面的资源（人、财、物）整合在一起，运用先进的管理理

念，强调对企业内外部资源进行优化配置、规划和流转，尤其在企 业内部控制中发挥的实际效用，从以前的事后监督转变到事前防

范和事中的监控，提高企业决策支持效率,有效的预防在企业经

营中产生的各类风险，全面提升企业管理水平。H参考文献：口］何静洁.ERP信息系统下企业内部控制鸽风险与防范对策研

究［J］•工作交流,2015（02）.［2］ 方红星，池国华.内部控制［M］.大连：东北财经大学出版

社,2014.［3］ 曹磊.基于ERP的系统内部控制研究［J］.投资理财，2016

（18）.作者简介：李程程，供职于深圳市中恒国信通信科技有限公司。MODEFiN BUSINESS 现代商业〔83