本文從風險防控的角度出發，認真分析ERP 與企業內部控制的關系，提出二者的整合方案，既充分利用ERP 的管理思想、信息技術的手段，又合理規避ERP 系統所固有的信息系統風險，從而確保企業內部控制的有效性。最后對ERP 與企業內部控制的整合效果進行了總結。

        2008年6月發布的《企業內部控制基本規范》中，明確提出“企業應當利用信息技術加強企業內部控制建設，努力建成與企業日常經營管理相融合相配套的信息管理系統，完善內部控制與信息管理系統的相互融合”。ERP（企業資源計劃）基于先進的企業管理理念，一方面作為集信息和控制于一體的系統應用，為內部控制提供了工具和平臺；另一方面作為集成的大型信息系統，其固有的信息系統風險，也為企業內部控制帶來了挑戰。因此，加強ERP 與企業內部控制的整合研究，全面防范企業經營風險，已經成為企業上線ERP 必須需要思考和關注的迫切問題。

        一、ERP 與內部控制的關系

        (一) ERP 可以改善企業內部控制。ERP 的實施，使企業管理結構變的扁平化、流程化，決策者和執行者能夠快速溝通，控制層次明顯減少，控制責任更加明確，對內部控制環境的改善和信息與溝通的效率帶來很大的促進作用。ERP 系統通過信息技術手段，對業務流程和控制進行合理設計并固化在系統中，增強了業務流程的執行力和提高了控制的實時性和準確性，提高了內部控制的自動程度和效率，形成新的控制理念。

        (二)ERP 是內部控制的對象。從本質上講，ERP 是一套信息系統，是一種工具，是由具有主觀意識的人設計和進行具體操作的，但“垃圾輸入決定了垃圾輸出”，若輸入錯誤的數據，對實現企業目標的影響同樣是致命的，有可能導致嚴重的管理決策錯誤。因此，從內部控制的角度來講，必須將ERP 系統作為控制對象，從信息技術的角度，評估風險并建立相應的信息系統總體控制和應用控制，確保ERP 系統的運行質量和運行效率。

        因此，ERP 系統的實施對內部控制的影響具有兩面性：一方面，ERP 實現了最大化的信息集成，可以把特定的管理要求固化，提高了內部控制自動化程度，也可以實時信息共享，增強了信息的時效性、可獲取性和正確性，因此企業可以通過ERP 來優化內部控制；另一方面ERP 作為一種管理和控制的工具和手段，本身并不創造控制體系，而且作為大型的復雜的集成信息系統，也給內部控制來了新的風險，因此ERP 環境下，企業必須加強信息系統控制，提高風險管理水平，確保企業內部控制持續有效運行。

        二、ERP 與內部控制的整合

        (一)業務流程規范。ERP 系統的成功應用離不開業務流程規范。ERP 側重在合理的業務流程基礎上實現對企業資源的整合和有效利用，各模塊之間有著密切的關系，數據在系統內實時傳遞和共享，數據的處理責任、方式和流向都會較ERP 實施之前發生重大變化，企業原有的業務流程不再適應新的管理思想和管理模式，因此，只有通過業務流程規范，建立基于ERP系統標準流程上的、符合內控要求的新流程，才有可能上線ERP 系統。業務流規范主要有以下三種情況

        1、流程整合。ERP系統將手工控制變為自動控制，因此相關內控流程不再適用，必須通過ERP 藍圖設計過程整合相關流程，如計劃審批流程、成本核算流程等；

        2、流程修訂。ERP系統操作貫穿業務流程的全過程，必須用系統操作流程替換原來手工操作流程，使業務流程和實際業務相吻合，如憑證審批、項目進度等流程；

        3 、新增流程。原有的內控體系并沒有涵蓋全部業務流程，尤其是針對ERP 系統維護和接口類等相關流程。如基礎數據維護，主數據維護、價格維護等流程。

        （二）信息系統控制規范。ERP 作為集成的大型信息系統，系統外圍物理安全和系統本身邏輯安全均對企業內部控制帶來風險，為此，必須建立相應的信息系統總體控制和信息系統應用控制，確保系統的總體安全。信息系統總體控制適用于企業在信息技術的開發、實施、運行、維護及管理等方面的控制，它可以更好地保護企業的信息資產,可以提高信息系統對業務的支撐力度，增強企業信息系統的運行效力。信息系統應用控制包括應用軟件中的電算化步驟以及用以控制不同種類交易處理的相關手工操作程序。這些控制結合在一起，可以保證系統中的財務和其他信息的安全性、完整性、準確性和有效性。信息系統總體控制是應用系統控制的基礎，應用系統控制依賴于信息系統總體控制，兩者共同保證信息處理的完整性和準確性。

        （三）權限管理規范。權限管理是ERP 系統內部控制的重中之重，如何權限管理不到位,造成授權不當,企業運營的風險也大大提高,這種風險主要包括兩個方面： 一是讓更多原本沒有必要了解這些信息的員工可隨時掌握這些信息,大大增加了泄密的可能性；二是原本沒有必要操作或加工這些信息的員工擁有了這些權利，增加了管理失控的可能。

        1、編制ERP 系統職責分離矩陣?！堵氊煼蛛x矩陣》在滿足主數據維護、財務活動和其他業務活動互斥的基礎上，定義相關模塊各項業務活動之間的互斥關系。

        2、嚴格權限設計。權限管理人員根據實際業務和ERP 建設情況，確定業務活動和事務代碼的適用和使用情況，從業務角度確保權限設計和實施的合理性。

        3、開展權限測試。雖然在權限設計的過程中充分考慮到權限職責分離的情況，但并不能實現權限的完全事前控制，因此必須要進行權限測試, 通過定期的權限檢查發現權限問題并及時進行整改。

        （四）加強內控監督。ERP 環境下，內部控制體系的程序化使得內部控制在一定程度上具有了對ERP 系統的依賴性，雖然在ERP 項目建設過程中，內控體系針對ERP 系統對現有內控體系的影響因素，進行了業務流程規范、加強了信息系統控制和權限控制，但企業真正上線ERP 系統后，規范的流程在實際業務中是否可以良好的運行，設計的關鍵控制是否可以得到正確的執行，權限互斥和冗余權限是否可以得到控制，都需要在ERP 系統上線后，開展專項測試，強化內控監督，確保內部控制體系設計有效，執行有力。

        三、整合效果

        （一）實現信息的集成。ERP系統集成了企業核心價值鏈的計劃、項目、采購、制造、銷售和財務各項企業資源，使財務與業務、業務與業務之間的信息實時傳輸，同時通過財務整合方案實現了ERP 與原有財務管理系統的數據傳遞，各項管理信息最后自動歸集到財務進行核算，實現了企業各項資源信息的集成化。

        （二）提高內部控制效率。ERP 系統全面支持人、財、物等生產經營管理相關資源的調配，并支撐各種關鍵績效指標的監控管理，而且ERP 系統的IT 技術應用，促進了業務流程的核心價值最大化，將原來事后的監督控制轉變為事前預防、事中檢查和事后糾正的綜合控制，將原來以會計人員的會計控制轉變為全員參與的全面控制，提高了內部控制的效率。

        （三）轉變管理理念，提升管理水平。ERP 帶來了先進的管理思想，強調對企業內部甚至外部資源進行優化配置、規劃和流轉，著重管理活動的規范性，打破了部門之間的本位主義，優化了業務流程，標準化信息數據，提升企業的決策支持效率，充分發揮出公司級管理的最大效應，全面提高了企業管理水平。

        ERP 先進的管理思想和信息技術在提高企業內部控制效率的同時，也為內部控制帶來新的風險，必須進行風險評估和控制設計，同時，ERP 環境下的內部控制還可能面臨新的未知風險，是一項長期的系統工程，必須常抓不懈。

本站部分文章或圖片來源于互聯網，本網本著傳播知識、有益學習和研究的目的進行的轉載，為網友免費提供，并盡力標明作者與出處，如有著作權人或出版方提出異議，本站將立即刪除。如果您對文章轉載有任何疑問請告之我們，以便我們及時糾正。

聯系方式：QQ：741266807 Tel：020-22275526。