基于ERP系统环境的企业内部控制研究

2022.08.03

孙秀敏

对内部控制的关注最初源于企业对自身规范化管理和股东掌握运营的需求，还有外部审计师审计财务报表的需要。自2001年开始，随着全球财务舞弊事件的发生，我国加强了内部控制规范与标准建设的步伐，目前我国的内部控制已经构建了涵盖主要行业的内部控制标准体系，内部控制也在从传统的防范型向新的增值型管理转变，尤其是伴随着现代信息化技术的快速发展，企业的内部控制的实现途径已越来越需要信息化技术的支撑，本文从内部控制与ERP系统之间的关系入手，重点研究了ERP系统实施后内部控制存在的问题，最后提出了ERP环境下加强企业内部控制的对策建议，以改善企业的经营管理，提高风险防范能力。

在传统的企业内部控制问题上，企业主要通过人工对相关的会计凭证进行核算，而且各个部门统计的数据都是独立的，缺乏数据的整体性和一致性，内部控制工作很难开展，且问题百出。采用ERP系统能有效的解决数据的一致性和及时性问题，通过梳理端到端的业务流程，并将内部控制中的控制点植入系统，可以实现内部控制的监督职能，当然一个有效的ERP系统，一定是建立在内部控制有效的基础上，否则系统解决不了控制缺失的问题。尽管在ERP系统环境下企业的内部控制得到了很大提升，但是仍存在一些问题，为此本文将深入研究ERP环境下企业内部控制还存在哪些问题，并针对问题提出解决对策。

一、内部控制与ERP的概念及其两者之间的关系

内部控制是一个单位为了实现其经营目标，保护资产的安全完整，保证会计信息的正确可靠，确保经营方针的贯彻执行，保证经营活动的经济性、效率性和效果性而在单位内部采取的自我调整、约束、规划、评价和控制的一系列方法、手段、与措施的总称。内部控制包含内部环境、风险评估、控制活动、信息系统与沟通、内部监督等要素。

ERP是将企业所有资源进行整合集成管理，简单地，就是将企业的三大流：物流、资金流、信息流进行一体化管理的管理系统。在实际业务中，主要包括三个方面的内容，财务管理（会计核算、成本管理），生产计划管理、物流管理（采购、销售、库存）。

ERP系统是一个综合的管理系统，集成了企业从采购、生产到销售各环节的业务，在ERP环境下，内部控制尤其是控制活动，比如，业务授权、职责分离、实物控制在系统中都能得到落地的体现，能够快速提升业务流转的速度和效率，减少人工处理的时间，同时，所有的操作都在同一个系统和时点，在评价绩效和考核业绩时，数据的来源透明可追溯。虽然ERP系统能给企业的管理带来效率的提升，但是在ERP系统运行中，内部控制还是存在一些问题。

二、ERP系统环境下企业内部控制存在的问题

（一）控制环境薄弱，导致系统环境下内部控制失效

一个企业内部控制能否真正落地，取决于管理层的决策，也就是企业的控制环境。但目前在ERP环境下，企业管理层控制观念薄弱，或者对某些风险点认识不足，导致关键业务运行过程中控制点失效，从而产生业务运营风险。比如，企业的销售政策是客户签收后，也就是货物的所有权转移给客户后，才确认为销售收入，此时客户的签收就变成非常重要的收入确认条件，ERP系统设计客户采用二维码方式签收，客户签收完，企业确认出库，结转销售成本。在执行过程中，货物到客户库房后，会出现客户不配合扫描或者由第三方物流公司的人代替扫码签收，企业在管理过程中，不重视扫码这个环节的管控，就会出现收入确认的时间点出现风险，导致账实不符。

（二）业务流程设计不当或者不合理

我国的内控体系是逐步发展起来的，在很多企业中，业务流程的管控中存在很多问题，主要体现在业务流程效率低、僵化、复杂。究其原因主要有四个方面造成的，首先是流程各管一段，流程多而繁雜，没有端到端的统一规划;其次是与企业的业务场景不匹配，可操作性不强;再次是管控过度，流程中把所有的风险都叠加进来，导致一些主干流程控制点多，流程长，效率低;最后就是流程与组织不匹配。在ERP系统实施过程中，一般是从各部门抽选经验丰富的业务骨干组成关键用户，辅助外部开发人员完成项目的实施。但选派的关键用户思维往往还停留在自身所处的环节，缺乏全局和统一性，管控的思维还停留在管的越多越是有效的认识下，导致产生错误的流程或者不符合公司业务发展的流程，系统上线后，流程与内部控制管理要求发生冲突，很难发挥作用。

（三）数据处理过程中，人员操作不当产生风险

在ERP系统环境下，经过端对端流程的梳理，数据的来源都源自业务发生的前端，业务部门的数据最终集成到财务，若业务前端人员操作不正确，在发生问题的时候财务需要追查产生的原因，很耗时耗力，必要的时候甚至需要外部顾问协助，有些凭证甚至通过总账或者手工调整，无法真正达到内部控制管理的要求。比如，在ERP系统的生产控制环节，系统设计的环节是，在生产领料阶段，要求所有自产的半成品领料必须领料到生产订单，在实际执行过程中，由于生产人员不理解自身的操作对财务核算产生的影响，不按照操作步骤执行，将原本计入订单的领料计入成本中心，在月底计算成本时，就会出现物料账还原时出现错误，只能财务重新冲销核算，重新计算，有些差异只能手工调整，从而导致用系统进行管控的功能无法发挥作用。

（四）ERP系统与内部控制的融合度不高

在企业的管理过程中，有许多个性化的管理要求，尤其是在目前重管理会计的环境下，以往的ERP设计只是偏重于核算功能，导致系统的运行解决了财务核算的要求，对一些颗粒度很细的管理要求却无法达到预期效果，还有的企业确实考虑到管理的要求，从而把核算和管控的所有要求叠加在一起，也会导致系统运行的效果不理想。

三、完善ERP环境下企业内部控制的策略

（一）强化管理层对内部控制认识

所谓控制环境，是指对建立、加强或削弱特定政策、程序及其效率产生影响的各种因素，主要是指重大影响因素。控制环境的好坏直接影响到企业内部控制的贯彻和执行，以及企业经营目标及整体战略目标的实现。企业应建立专门的内控部门，负责公司内部控制的宣导、监督，内部控制部门由公司最高管理层领导，在ERP系统设计和策划阶段，公司内控部门的人员要全程参与，把控风险点，对影响内控的关键控制点设置的合理性及操作性提出建设性意见，保证ERP系统上线后内控可落地、可执行，不缺失。

（二）流程梳理有方法

在ERP系统的设计中，最重要的是企业业务流程的梳理，这就要求在ERP设计阶段，从各部门抽调出业务骨干和管理层参与到设计小组中。在ERP环境下，需要健全“流程体系建设+责任体系建设”，保证简单、标准、风险可控的流程实现。具体说来，内控设计要经历四部曲，识别风险、评估风险、分析根因、设计控制。例如企业对供应商的付款控制，为了减少多付的风险，首先需要对是否存在多付进行评估，假设识别出的风险是“付款之前需要会计签字确认，确定账面是否存在欠款，会计并未认真执行这一控制，盲目认为业务部门提交的款项是可以支付的”，经过进一步确认，发现根本的原因是“付款业务很多，加上前后端信息传递不及时导致会计在审核过程中出现失误”，那么针对这种情况，在ERP系统中对付款过程进行改革，将付款的审批节点放到系统中，由系统自动计算本期需要支付的款项，并在系统中发起审批流程，这样就可以减少多付的风险，减少会计审核失误带来的风险。

责任体系建设主要分为明确责任、履行责任、实施问责这几个步骤，在明确责任阶段，明确责任指标，发布问责制度;在履行责任阶段，健全内控组织和能力;在实施问责阶段，应用内控述职、内控排名等手段。

（三）提高操作人员的素质，保障系统运行

在ERP系统环境下，在系统上线前，要集中进行系统测试，测试包含单一业务流程的测试，也包含端到端流程的测试，测试的过程要有关键用户、顾问、业务部门的人参与，业务部门全程参与其中，对系统的理解度更高，尤其是对系统运行规则的了解，更有助于后期的执行。测试完成后，在顾问的指导下，建立标准的操作手册，由关键用户组织基础操作人员的培训，操作人员培训和考核通过后，方可在系统中操作，减少操作过程中不当行为产生风险。另外内部控制部门要设置专门的ERP系统检查人员，在日常的系统运行过程中，检查操作人员是否按既定的标准手册执行，保障系统的正常有序运行。在前文中提到，付款的审批从系统中发起，如果一个款项出现延迟支付的问题，就要看流程停滞在哪个环节，停滞的时间是多长，从而依据制度进行惩罚，逐渐养成正确操作的习惯。

（四）增加系统的“柔性”

ERP系统成本造价高，在系统的设计之初，就要考虑企业的长远运行需求，这就要求实施小组要结合公司长期的战略规划，系统蓝图的设计体现公司的战略发展，另外，企业要重点培养自己的技术顾问和开发人员，组建一支专业的技术团队，这样伴随着企业业务的调整和管理要求的提升，可以对系统的运行及时调整，减少重新构建系统的成本，尤其是企业个性化的管控要求，可以由开发人员进行系统开发，从而达到管理的要求。

四、结语

ERP系统串联起公司全部的业务，将企业资源进行集成和共享，为企业的内控提供了便利，对企业的内控体系建设落地起到了关键的作用，企业要建立标准操作规范和流程，建立强有力的信息化保障團队，保证ERP系统的运行，实现企业内部控制的目标，保障企业高效运行，减少运营风险。

（作者单位：赤峰合华建筑劳务有限公司）