在ERP環(huán)境下，企業(yè)的信息流、物資流和資金流高度集成，業(yè)務(wù)處理程序被大大簡(jiǎn)化，大部分手工處理改由計(jì)算機(jī)完成。由此帶來了一些內(nèi)部牽制措施無法執(zhí)行的問題，包括會(huì)計(jì)人員無法直接參與和控制、控制效率低、其審查和稽核機(jī)制被削弱等。此外，計(jì)算機(jī)技術(shù)和網(wǎng)絡(luò)通訊技術(shù)本身存在的可靠性、安全性等問題，也給企業(yè)內(nèi)部控制風(fēng)險(xiǎn)的防范帶來了相應(yīng)的難題。在ERP環(huán)境下，企業(yè)只有對(duì)內(nèi)部控制體系進(jìn)行優(yōu)化，才能保障內(nèi)部控制系統(tǒng)的有效實(shí)施，促進(jìn)企業(yè)資源的配置和優(yōu)化，實(shí)現(xiàn)經(jīng)營的可持續(xù)增長(zhǎng)。

　　一、ERP環(huán)境下的內(nèi)部控制風(fēng)險(xiǎn)

　　在ERP環(huán)境下，企業(yè)的業(yè)務(wù)處理是跨職能部門的，企業(yè)的資源和信息可以得到統(tǒng)一的管理和共享。由于企業(yè)信息的存儲(chǔ)介質(zhì)、存儲(chǔ)形式、處理方式都有重大改變，企業(yè)內(nèi)部控制的新風(fēng)險(xiǎn)主要表現(xiàn)在以下方面：

　?。ㄒ唬I(yè)務(wù)流程的改變帶來的風(fēng)險(xiǎn)

　　首先，在系統(tǒng)實(shí)施之初，由于業(yè)務(wù)流程的變化，和手工方式差異很大，用戶可能不能馬上適應(yīng)新的操作方式，由此帶來一系列的不確定因素造成了風(fēng)險(xiǎn)。其次，業(yè)務(wù)流程的變化，企業(yè)的管理架構(gòu)趨向扁平，內(nèi)部控制由程序執(zhí)行，自動(dòng)化程度高，業(yè)務(wù)人員大大減少，給個(gè)人身兼多職帶來可能，因而導(dǎo)致控制風(fēng)險(xiǎn)。再次，流程化管理進(jìn)一步密切了部門與部門之間的聯(lián)系，跨職能部門的流程管理使得某個(gè)環(huán)節(jié)出現(xiàn)問題直接影響其他流程的運(yùn)作。過去職能化的管理也許還有繞過某些環(huán)節(jié)變通的方法，而集成系統(tǒng)就必須經(jīng)過每個(gè)流程。在這種情況下，任何一個(gè)環(huán)節(jié)出現(xiàn)差錯(cuò)，將直接影響到后續(xù)流程的實(shí)施。最后，由于集成系統(tǒng)采用的是單一數(shù)據(jù)庫，所有的數(shù)據(jù)采取一次性單點(diǎn)輸入，如某產(chǎn)品入庫的具體數(shù)量若只有倉庫確認(rèn)，如果有差錯(cuò)，將直接影響銷售、生產(chǎn)、財(cái)務(wù)等部門統(tǒng)計(jì)。

　?。ǘ┚W(wǎng)絡(luò)的大量應(yīng)用帶來的風(fēng)險(xiǎn)

　　在企業(yè)內(nèi)的業(yè)務(wù)逐漸集成到系統(tǒng)的過程中，網(wǎng)絡(luò)在企業(yè)內(nèi)也開始大量地應(yīng)用。不僅是各個(gè)部門，網(wǎng)絡(luò)也把異地的分支機(jī)構(gòu)也連接起來。由于網(wǎng)絡(luò)環(huán)境具有開放性的特點(diǎn)，在這個(gè)環(huán)境中，一切信息在理論上都是可以被訪問到的。網(wǎng)絡(luò)下的會(huì)計(jì)信息系統(tǒng)很有可能遭受非法訪問或者病毒的侵?jǐn)_，而且內(nèi)部人的非法訪問成功的機(jī)會(huì)還很高，一旦發(fā)生將造成巨大的損失。

　?。ㄈ﹥?nèi)部控制要素構(gòu)成的變化及其帶來的風(fēng)險(xiǎn)

　　內(nèi)部控制整體架構(gòu)主要由控制環(huán)境、風(fēng)險(xiǎn)評(píng)估、控制活動(dòng)、信息與溝通、監(jiān)督五項(xiàng)要素構(gòu)成。在ERP環(huán)境下，企業(yè)內(nèi)部控制系統(tǒng)仍是由以上五個(gè)基本要素構(gòu)成，控制體系框架并沒有發(fā)生實(shí)質(zhì)性的改變。但是，每項(xiàng)基本要素的內(nèi)部構(gòu)成卻發(fā)生了變化。

　　1．控制環(huán)境

　　ERP的實(shí)施，改變了企業(yè)內(nèi)部的組織結(jié)構(gòu)體系，管理結(jié)構(gòu)變的扁平化、流程化，決策者和執(zhí)行者能夠快速溝通，企業(yè)的內(nèi)部控制層次明顯減少，控制責(zé)任更加明確，控制效率更高。ERP的應(yīng)用增強(qiáng)了企業(yè)內(nèi)部控制的靈活性，對(duì)等的渠道使信息無論處于何處都可以被企業(yè)內(nèi)外部人員比較容易地獲得。

　　2．風(fēng)險(xiǎn)評(píng)價(jià)

　　ERP的實(shí)施給企業(yè)帶來了新的風(fēng)險(xiǎn)發(fā)現(xiàn)、風(fēng)險(xiǎn)分析和風(fēng)險(xiǎn)評(píng)估的理念和方法，使企業(yè)可以及時(shí)準(zhǔn)確地分析、辨認(rèn)企業(yè)在實(shí)現(xiàn)既定目標(biāo)過程中可能發(fā)生的風(fēng)險(xiǎn)并適時(shí)地加以處理。把ERP系統(tǒng)的信息技術(shù)與業(yè)務(wù)活動(dòng)有機(jī)結(jié)合起來作為風(fēng)險(xiǎn)防范的工具，將能大大減少錯(cuò)弊的發(fā)生，保證企業(yè)業(yè)務(wù)活動(dòng)的正常進(jìn)行。同時(shí)，ERP系統(tǒng)也給企業(yè)帶來了新的風(fēng)險(xiǎn)，例如計(jì)算機(jī)系統(tǒng)的復(fù)雜性增加了企業(yè)潛在的應(yīng)用風(fēng)險(xiǎn)；電子數(shù)據(jù)可以被方便地改寫和刪除、數(shù)據(jù)處理過程無法直觀觀測(cè)等都增加了數(shù)據(jù)安全風(fēng)險(xiǎn)。

　　3．控制活動(dòng)

　　ERP的實(shí)施增強(qiáng)了控制手段的靈活性、多樣性和高效性，加強(qiáng)了內(nèi)部控制體系的預(yù)防、檢查和糾正功能。ERP的應(yīng)用，可以使企業(yè)擺脫人員和資源對(duì)內(nèi)控體系有效性的限制并在企業(yè)內(nèi)部形成新的控制理念：內(nèi)控體系不再僅僅依賴過多的檢查、審批、核準(zhǔn)人員或復(fù)雜的控制程序，而是依靠信息技術(shù)對(duì)其進(jìn)行合理設(shè)計(jì)，經(jīng)濟(jì)、高效地達(dá)到控制目標(biāo)。同時(shí)，信息技術(shù)的運(yùn)用也增加了企業(yè)內(nèi)部控制的難度與復(fù)雜性。

　　4．信息與溝通

　　在ERP環(huán)境下，網(wǎng)絡(luò)連接企業(yè)各職能部門，實(shí)現(xiàn)了各種業(yè)務(wù)流程的一體化處理，信息需求者可以實(shí)時(shí)獲取各種信息。相對(duì)開放的信息系統(tǒng)也為內(nèi)部員工和管理者提供了開放的溝通管道，有利于內(nèi)部溝通的進(jìn)行，使組織內(nèi)的員工清楚地了解內(nèi)部控制體系和各自的責(zé)任。管理者也可以隨時(shí)掌握內(nèi)部控制制度的執(zhí)行與生效情況。但是，開放的技術(shù)環(huán)境很難避免非法侵?jǐn)_，ERP系統(tǒng)也存在著遭受非法訪問甚至破壞的可能性，這使信息的真實(shí)性受到了質(zhì)疑。

　　5．監(jiān)督

　　在ERP環(huán)境下，內(nèi)部控制體系的程序化使內(nèi)部控制在一定程度上具有了對(duì)ERP軟件系統(tǒng)的依賴性。同時(shí)，ERP的應(yīng)用使內(nèi)部控制體系具有了人工控制與程序控制相結(jié)合的特點(diǎn)。程序化內(nèi)部控制體系的有效性取決于應(yīng)用程序設(shè)計(jì)的質(zhì)量，如果程序發(fā)生差錯(cuò)或不起作用，那么控制失效就可能長(zhǎng)期不被發(fā)現(xiàn)，從而使系統(tǒng)由于程序運(yùn)行的重復(fù)性而反復(fù)發(fā)生相同的紕漏。

　　二、ERP環(huán)境下的內(nèi)部控制優(yōu)化策略

　?。ㄒ唬┩晟骑L(fēng)險(xiǎn)管理機(jī)制

　　企業(yè)信息化意味著企業(yè)各部門、各作業(yè)單位之間，以及企業(yè)與外部，如供應(yīng)商、客戶、合作伙伴等通過實(shí)時(shí)互聯(lián)的網(wǎng)絡(luò)實(shí)現(xiàn)信息、作業(yè)高度共享，網(wǎng)絡(luò)的開放性把企業(yè)暴露于各種風(fēng)險(xiǎn)之中。企業(yè)除了要建立傳統(tǒng)的風(fēng)險(xiǎn)管理機(jī)制之外，還要結(jié)合信息化的特點(diǎn)，建立基于信息化的風(fēng)險(xiǎn)管理機(jī)制：一是建立一套信息網(wǎng)絡(luò)系統(tǒng)安全政策和制度；二是定期對(duì)系統(tǒng)安全政策與制度的實(shí)施效果進(jìn)行評(píng)價(jià)；三是通過企業(yè)內(nèi)部會(huì)計(jì)控制框架的構(gòu)建，建立、健全預(yù)算及責(zé)任控制，強(qiáng)化信息化的風(fēng)險(xiǎn)意識(shí)。必要時(shí)企業(yè)可設(shè)置風(fēng)險(xiǎn)評(píng)估部門或崗位，專門負(fù)責(zé)有關(guān)風(fēng)險(xiǎn)的識(shí)別、規(guī)避和控制。

　?。ǘ﹥?yōu)化企業(yè)內(nèi)部控制的環(huán)境

　　COSO報(bào)告指出，內(nèi)部控制環(huán)境是內(nèi)部控制的主要構(gòu)成因素。影響控制環(huán)境的因素很多，主要包括管理理念、公司的治理結(jié)構(gòu)、管理控制方式、人力資源等方面。為了能夠有效地實(shí)施企業(yè)內(nèi)部控制，企業(yè)主要應(yīng)從以下幾個(gè)方面著手：

　　1．優(yōu)化企業(yè)的組織結(jié)構(gòu)，明確權(quán)利職責(zé)

　　作為公司制的企業(yè)，應(yīng)該按照相關(guān)法規(guī)設(shè)立相應(yīng)的董事會(huì)、股東會(huì)、監(jiān)事會(huì)，并按照公司章程運(yùn)轉(zhuǎn)，合理選聘優(yōu)良的經(jīng)理管理層，處理好集權(quán)與分權(quán)的關(guān)系，明確董事會(huì)、股東會(huì)、監(jiān)事會(huì)的職責(zé)，為設(shè)計(jì)、執(zhí)行、控制和監(jiān)督活動(dòng)提供基本的框架。同時(shí)，在各職責(zé)部門之間應(yīng)該建立起暢通的溝通渠道，保證各部門能夠進(jìn)行有效溝通與交流，使整個(gè)組織在高效、協(xié)調(diào)的機(jī)制下運(yùn)行。

　　2．建立起有效、合理的內(nèi)部管理制度

　　為了保證企業(yè)的正常運(yùn)營，應(yīng)該實(shí)行權(quán)責(zé)明確、管理科學(xué)、激勵(lì)和約束相匹配的內(nèi)部管理制度，調(diào)節(jié)所有者、經(jīng)營者和員工之間的關(guān)系。并根據(jù)公司運(yùn)營的現(xiàn)狀，建立起一套合理、有效的內(nèi)部經(jīng)理人激勵(lì)機(jī)制，包括規(guī)范經(jīng)理人員的選拔，規(guī)范公司資本保值增值目標(biāo)的考核程序，維護(hù)股東方利益，防止內(nèi)部人為控制，嚴(yán)格實(shí)行內(nèi)部會(huì)計(jì)與審計(jì)控制制度，強(qiáng)化對(duì)經(jīng)理人員的在任審計(jì)和監(jiān)督。另外，還要通過產(chǎn)品市場(chǎng)、資本市場(chǎng)及經(jīng)理人市場(chǎng)，建立起相配套的經(jīng)理約束機(jī)制。通過合理的激勵(lì)與約束機(jī)制，使經(jīng)理人既有充分的經(jīng)營管理權(quán)，又能使其盡職盡責(zé)地履行對(duì)受托人的義務(wù)，使企業(yè)的效益最大化。通過機(jī)制的逐步完善，來推進(jìn)企業(yè)經(jīng)營管理的規(guī)范與調(diào)整，使內(nèi)部控制的目標(biāo)責(zé)任能順利實(shí)現(xiàn)。

　　3．明確崗位職責(zé)，實(shí)施關(guān)鍵崗位分離制、輪崗制

　　現(xiàn)行的ERP系統(tǒng)都相對(duì)使得業(yè)務(wù)流程復(fù)雜化，越來越多地依靠系統(tǒng)進(jìn)行控制。系統(tǒng)是死的，更主要還是由人來實(shí)際操控的。因此，對(duì)人的控制要比對(duì)系統(tǒng)的控制更加重要。對(duì)于程序設(shè)計(jì)與開發(fā)人員，他們應(yīng)僅有對(duì)數(shù)據(jù)測(cè)試運(yùn)行的權(quán)限，而不能進(jìn)行實(shí)際操作。除非有特殊事項(xiàng)，在征得相關(guān)負(fù)責(zé)人的同意后，方可以進(jìn)行數(shù)據(jù)的傳輸，但不得對(duì)數(shù)據(jù)進(jìn)行修改、刪除。對(duì)于一般業(yè)務(wù)部門錄入的基礎(chǔ)數(shù)據(jù)，在數(shù)據(jù)生成完畢后要及時(shí)傳輸給財(cái)務(wù)部門進(jìn)行確認(rèn)，在財(cái)務(wù)人員已經(jīng)確認(rèn)審核通過后，業(yè)務(wù)部門不得再對(duì)數(shù)據(jù)進(jìn)行修改。財(cái)務(wù)部門的員工之間也要做到相互監(jiān)督與控制，以SAP系統(tǒng)為例，財(cái)務(wù)部門員工對(duì)業(yè)務(wù)輸入的基本數(shù)據(jù)進(jìn)行確認(rèn)審核的時(shí)候，應(yīng)做到審核人員與確認(rèn)記賬人員相分離，以防止財(cái)務(wù)人員與業(yè)務(wù)人員相勾結(jié)。對(duì)重要報(bào)表的輸出應(yīng)有相關(guān)的控制程序，報(bào)表輸出與錄入應(yīng)建立專門的ERP管理系統(tǒng)，報(bào)表的輸入輸出需要詳細(xì)的記錄。一旦發(fā)現(xiàn)異常，應(yīng)有相應(yīng)的警告與提示，并呈報(bào)相應(yīng)的主管領(lǐng)導(dǎo)和內(nèi)部審計(jì)人員，達(dá)到實(shí)時(shí)監(jiān)控的職能。對(duì)在ERP系統(tǒng)中的信息數(shù)據(jù)，應(yīng)該有日志備份文檔，對(duì)在系統(tǒng)中的所存操作都要詳細(xì)記錄，即便有人故意篡改數(shù)據(jù)，都能夠方便、詳實(shí)地查詢到相關(guān)操作信息，將系統(tǒng)受人為影響降到最低限度。

　　4．確立董事會(huì)在公司經(jīng)營管理中的核心地位

　　董事會(huì)要真正成為公司運(yùn)營的主導(dǎo)機(jī)構(gòu)，重大經(jīng)營決策方針都必須由董事會(huì)討論決定，而不是由大股東或幾個(gè)人說了算。ERP系統(tǒng)的有效運(yùn)行應(yīng)該是以董事會(huì)的有效運(yùn)營為基礎(chǔ)，否則就會(huì)淪為利益集團(tuán)的工具。積極推進(jìn)董事會(huì)制度建設(shè)的同時(shí)，要逐步改善公司治理結(jié)構(gòu)，保護(hù)投資者利益，真正發(fā)揮獨(dú)立董事的外部獨(dú)立監(jiān)督作用。

　　5．加強(qiáng)對(duì)ERP信息系統(tǒng)的軟硬件的監(jiān)督和管理

　　作為內(nèi)部控制重要手段的ERP信息系統(tǒng)，所依賴的是一個(gè)強(qiáng)大的軟硬件平臺(tái)。為了保證企業(yè)的正常運(yùn)轉(zhuǎn)，必須保證這個(gè)平臺(tái)的穩(wěn)定與高速運(yùn)行。要加大對(duì)軟硬件系統(tǒng)的維護(hù)與評(píng)價(jià)，定期出具系統(tǒng)運(yùn)行報(bào)告，定期輪換系統(tǒng)監(jiān)測(cè)與維護(hù)人員。對(duì)于重大系統(tǒng)故障，要向董事會(huì)報(bào)告，不得私自做出決定，以免造成重大損失。每年的審計(jì)，注明會(huì)計(jì)師應(yīng)當(dāng)對(duì)企業(yè)的ERP系統(tǒng)的軟硬件進(jìn)行審計(jì)，測(cè)試在這個(gè)系統(tǒng)上運(yùn)行的ERP提供的數(shù)據(jù)是否真實(shí)、準(zhǔn)確、可靠，并在審計(jì)報(bào)告中給予披露。

　　6．加強(qiáng)專業(yè)人才的培養(yǎng)與開發(fā)

　　信息經(jīng)濟(jì)時(shí)代對(duì)從事財(cái)務(wù)工作的人員提出了更高的要求，要求有扎實(shí)的計(jì)算機(jī)水平和不斷更新的專業(yè)知識(shí)。這就要求企業(yè)應(yīng)加強(qiáng)對(duì)員工的培訓(xùn)，不斷地為其提供新的課程培訓(xùn)和企業(yè)文化引導(dǎo)，形成愛崗敬業(yè)的基本素質(zhì)，并加強(qiáng)員工職業(yè)道德和企業(yè)文化建設(shè)。優(yōu)秀的企業(yè)文化，往往能夠?qū)T工的道德風(fēng)險(xiǎn)降到較低水平，對(duì)于企業(yè)內(nèi)部控制是相當(dāng)有利的。在信息化環(huán)境下，應(yīng)倡導(dǎo)動(dòng)態(tài)的企業(yè)文化，提倡團(tuán)隊(duì)精神，對(duì)不斷變化的環(huán)境做出快速反應(yīng)。

　?。ㄈ┘訌?qiáng)外部審計(jì)機(jī)構(gòu)對(duì)內(nèi)部控制的評(píng)價(jià)

　　為了更有效地實(shí)施內(nèi)部控制，企業(yè)應(yīng)聘請(qǐng)外部專業(yè)的審計(jì)機(jī)構(gòu)對(duì)企業(yè)的內(nèi)部控制進(jìn)行評(píng)價(jià)與分析，重點(diǎn)是實(shí)施ERP系統(tǒng)以后，企業(yè)的內(nèi)部控制是變好了還是比以前差了，在ERP系統(tǒng)上運(yùn)行是更安全還是危險(xiǎn)增大了，在ERP系統(tǒng)上運(yùn)行的數(shù)據(jù)是否真實(shí)、可靠地反映了企業(yè)的經(jīng)營管理狀況，企業(yè)的治理是否穩(wěn)定在一個(gè)合理、健康的水平上。外部審計(jì)機(jī)構(gòu)需要定期提供內(nèi)部控制狀況報(bào)告，提交給企業(yè)的董事會(huì)、股東會(huì)、監(jiān)事會(huì)等相關(guān)職能部門。若是上市公司，還應(yīng)提交給證監(jiān)會(huì)等相關(guān)部門，讓企業(yè)的經(jīng)營信息公開化、透明化，促進(jìn)企業(yè)自身的健康、持續(xù)發(fā)展。