在ERP環(huán)境下，企業(yè)的信息流、物資流和資金流高度集成，業(yè)務(wù)處理程序被大大簡化，大部分手工處理改由計算機完成。由此帶來了一些內(nèi)部牽制措施無法執(zhí)行的問題，包括會計人員無法直接參與和控制、控制效率低、其審查和稽核機制被削弱等。此外，計算機技術(shù)和網(wǎng)絡(luò)通訊技術(shù)本身存在的可靠性、安全性等問題，也給企業(yè)內(nèi)部控制風險的防范帶來了相應的難題。在ERP環(huán)境下，企業(yè)只有對內(nèi)部控制體系進行優(yōu)化，才能保障內(nèi)部控制系統(tǒng)的有效實施，促進企業(yè)資源的配置和優(yōu)化，實現(xiàn)經(jīng)營的可持續(xù)增長。

　　一、ERP環(huán)境下的內(nèi)部控制風險

　　在ERP環(huán)境下，企業(yè)的業(yè)務(wù)處理是跨職能部門的，企業(yè)的資源和信息可以得到統(tǒng)一的管理和共享。由于企業(yè)信息的存儲介質(zhì)、存儲形式、處理方式都有重大改變，企業(yè)內(nèi)部控制的新風險主要表現(xiàn)在以下方面：

　?。ㄒ唬I(yè)務(wù)流程的改變帶來的風險

　　首先，在系統(tǒng)實施之初，由于業(yè)務(wù)流程的變化，和手工方式差異很大，用戶可能不能馬上適應新的操作方式，由此帶來一系列的不確定因素造成了風險。其次，業(yè)務(wù)流程的變化，企業(yè)的管理架構(gòu)趨向扁平，內(nèi)部控制由程序執(zhí)行，自動化程度高，業(yè)務(wù)人員大大減少，給個人身兼多職帶來可能，因而導致控制風險。再次，流程化管理進一步密切了部門與部門之間的聯(lián)系，跨職能部門的流程管理使得某個環(huán)節(jié)出現(xiàn)問題直接影響其他流程的運作。過去職能化的管理也許還有繞過某些環(huán)節(jié)變通的方法，而集成系統(tǒng)就必須經(jīng)過每個流程。在這種情況下，任何一個環(huán)節(jié)出現(xiàn)差錯，將直接影響到后續(xù)流程的實施。最后，由于集成系統(tǒng)采用的是單一數(shù)據(jù)庫，所有的數(shù)據(jù)采取一次性單點輸入，如某產(chǎn)品入庫的具體數(shù)量若只有倉庫確認，如果有差錯，將直接影響銷售、生產(chǎn)、財務(wù)等部門統(tǒng)計。

　?。ǘ┚W(wǎng)絡(luò)的大量應用帶來的風險

　　在企業(yè)內(nèi)的業(yè)務(wù)逐漸集成到系統(tǒng)的過程中，網(wǎng)絡(luò)在企業(yè)內(nèi)也開始大量地應用。不僅是各個部門，網(wǎng)絡(luò)也把異地的分支機構(gòu)也連接起來。由于網(wǎng)絡(luò)環(huán)境具有開放性的特點，在這個環(huán)境中，一切信息在理論上都是可以被訪問到的。網(wǎng)絡(luò)下的會計信息系統(tǒng)很有可能遭受非法訪問或者病毒的侵擾，而且內(nèi)部人的非法訪問成功的機會還很高，一旦發(fā)生將造成巨大的損失。

　?。ㄈ﹥?nèi)部控制要素構(gòu)成的變化及其帶來的風險

　　內(nèi)部控制整體架構(gòu)主要由控制環(huán)境、風險評估、控制活動、信息與溝通、監(jiān)督五項要素構(gòu)成。在ERP環(huán)境下，企業(yè)內(nèi)部控制系統(tǒng)仍是由以上五個基本要素構(gòu)成，控制體系框架并沒有發(fā)生實質(zhì)性的改變。但是，每項基本要素的內(nèi)部構(gòu)成卻發(fā)生了變化。

　　1．控制環(huán)境

　　ERP的實施，改變了企業(yè)內(nèi)部的組織結(jié)構(gòu)體系，管理結(jié)構(gòu)變的扁平化、流程化，決策者和執(zhí)行者能夠快速溝通，企業(yè)的內(nèi)部控制層次明顯減少，控制責任更加明確，控制效率更高。ERP的應用增強了企業(yè)內(nèi)部控制的靈活性，對等的渠道使信息無論處于何處都可以被企業(yè)內(nèi)外部人員比較容易地獲得。

　　2．風險評價

　　ERP的實施給企業(yè)帶來了新的風險發(fā)現(xiàn)、風險分析和風險評估的理念和方法，使企業(yè)可以及時準確地分析、辨認企業(yè)在實現(xiàn)既定目標過程中可能發(fā)生的風險并適時地加以處理。把ERP系統(tǒng)的信息技術(shù)與業(yè)務(wù)活動有機結(jié)合起來作為風險防范的工具，將能大大減少錯弊的發(fā)生，保證企業(yè)業(yè)務(wù)活動的正常進行。同時，ERP系統(tǒng)也給企業(yè)帶來了新的風險，例如計算機系統(tǒng)的復雜性增加了企業(yè)潛在的應用風險；電子數(shù)據(jù)可以被方便地改寫和刪除、數(shù)據(jù)處理過程無法直觀觀測等都增加了數(shù)據(jù)安全風險。

　　3．控制活動

　　ERP的實施增強了控制手段的靈活性、多樣性和高效性，加強了內(nèi)部控制體系的預防、檢查和糾正功能。ERP的應用，可以使企業(yè)擺脫人員和資源對內(nèi)控體系有效性的限制并在企業(yè)內(nèi)部形成新的控制理念：內(nèi)控體系不再僅僅依賴過多的檢查、審批、核準人員或復雜的控制程序，而是依靠信息技術(shù)對其進行合理設(shè)計，經(jīng)濟、高效地達到控制目標。同時，信息技術(shù)的運用也增加了企業(yè)內(nèi)部控制的難度與復雜性。

　　4．信息與溝通

　　在ERP環(huán)境下，網(wǎng)絡(luò)連接企業(yè)各職能部門，實現(xiàn)了各種業(yè)務(wù)流程的一體化處理，信息需求者可以實時獲取各種信息。相對開放的信息系統(tǒng)也為內(nèi)部員工和管理者提供了開放的溝通管道，有利于內(nèi)部溝通的進行，使組織內(nèi)的員工清楚地了解內(nèi)部控制體系和各自的責任。管理者也可以隨時掌握內(nèi)部控制制度的執(zhí)行與生效情況。但是，開放的技術(shù)環(huán)境很難避免非法侵擾，ERP系統(tǒng)也存在著遭受非法訪問甚至破壞的可能性，這使信息的真實性受到了質(zhì)疑。

　　5．監(jiān)督

　　在ERP環(huán)境下，內(nèi)部控制體系的程序化使內(nèi)部控制在一定程度上具有了對ERP軟件系統(tǒng)的依賴性。同時，ERP的應用使內(nèi)部控制體系具有了人工控制與程序控制相結(jié)合的特點。程序化內(nèi)部控制體系的有效性取決于應用程序設(shè)計的質(zhì)量，如果程序發(fā)生差錯或不起作用，那么控制失效就可能長期不被發(fā)現(xiàn)，從而使系統(tǒng)由于程序運行的重復性而反復發(fā)生相同的紕漏。

　　二、ERP環(huán)境下的內(nèi)部控制優(yōu)化策略

　?。ㄒ唬┩晟骑L險管理機制

　　企業(yè)信息化意味著企業(yè)各部門、各作業(yè)單位之間，以及企業(yè)與外部，如供應商、客戶、合作伙伴等通過實時互聯(lián)的網(wǎng)絡(luò)實現(xiàn)信息、作業(yè)高度共享，網(wǎng)絡(luò)的開放性把企業(yè)暴露于各種風險之中。企業(yè)除了要建立傳統(tǒng)的風險管理機制之外，還要結(jié)合信息化的特點，建立基于信息化的風險管理機制：一是建立一套信息網(wǎng)絡(luò)系統(tǒng)安全政策和制度；二是定期對系統(tǒng)安全政策與制度的實施效果進行評價；三是通過企業(yè)內(nèi)部會計控制框架的構(gòu)建，建立、健全預算及責任控制，強化信息化的風險意識。必要時企業(yè)可設(shè)置風險評估部門或崗位，專門負責有關(guān)風險的識別、規(guī)避和控制。

　?。ǘ﹥?yōu)化企業(yè)內(nèi)部控制的環(huán)境

　　COSO報告指出，內(nèi)部控制環(huán)境是內(nèi)部控制的主要構(gòu)成因素。影響控制環(huán)境的因素很多，主要包括管理理念、公司的治理結(jié)構(gòu)、管理控制方式、人力資源等方面。為了能夠有效地實施企業(yè)內(nèi)部控制，企業(yè)主要應從以下幾個方面著手：

　　1．優(yōu)化企業(yè)的組織結(jié)構(gòu)，明確權(quán)利職責

　　作為公司制的企業(yè)，應該按照相關(guān)法規(guī)設(shè)立相應的董事會、股東會、監(jiān)事會，并按照公司章程運轉(zhuǎn)，合理選聘優(yōu)良的經(jīng)理管理層，處理好集權(quán)與分權(quán)的關(guān)系，明確董事會、股東會、監(jiān)事會的職責，為設(shè)計、執(zhí)行、控制和監(jiān)督活動提供基本的框架。同時，在各職責部門之間應該建立起暢通的溝通渠道，保證各部門能夠進行有效溝通與交流，使整個組織在高效、協(xié)調(diào)的機制下運行。

　　2．建立起有效、合理的內(nèi)部管理制度

　　為了保證企業(yè)的正常運營，應該實行權(quán)責明確、管理科學、激勵和約束相匹配的內(nèi)部管理制度，調(diào)節(jié)所有者、經(jīng)營者和員工之間的關(guān)系。并根據(jù)公司運營的現(xiàn)狀，建立起一套合理、有效的內(nèi)部經(jīng)理人激勵機制，包括規(guī)范經(jīng)理人員的選拔，規(guī)范公司資本保值增值目標的考核程序，維護股東方利益，防止內(nèi)部人為控制，嚴格實行內(nèi)部會計與審計控制制度，強化對經(jīng)理人員的在任審計和監(jiān)督。另外，還要通過產(chǎn)品市場、資本市場及經(jīng)理人市場，建立起相配套的經(jīng)理約束機制。通過合理的激勵與約束機制，使經(jīng)理人既有充分的經(jīng)營管理權(quán)，又能使其盡職盡責地履行對受托人的義務(wù)，使企業(yè)的效益最大化。通過機制的逐步完善，來推進企業(yè)經(jīng)營管理的規(guī)范與調(diào)整，使內(nèi)部控制的目標責任能順利實現(xiàn)。

　　3．明確崗位職責，實施關(guān)鍵崗位分離制、輪崗制

　　現(xiàn)行的ERP系統(tǒng)都相對使得業(yè)務(wù)流程復雜化，越來越多地依靠系統(tǒng)進行控制。系統(tǒng)是死的，更主要還是由人來實際操控的。因此，對人的控制要比對系統(tǒng)的控制更加重要。對于程序設(shè)計與開發(fā)人員，他們應僅有對數(shù)據(jù)測試運行的權(quán)限，而不能進行實際操作。除非有特殊事項，在征得相關(guān)負責人的同意后，方可以進行數(shù)據(jù)的傳輸，但不得對數(shù)據(jù)進行修改、刪除。對于一般業(yè)務(wù)部門錄入的基礎(chǔ)數(shù)據(jù)，在數(shù)據(jù)生成完畢后要及時傳輸給財務(wù)部門進行確認，在財務(wù)人員已經(jīng)確認審核通過后，業(yè)務(wù)部門不得再對數(shù)據(jù)進行修改。財務(wù)部門的員工之間也要做到相互監(jiān)督與控制，以SAP系統(tǒng)為例，財務(wù)部門員工對業(yè)務(wù)輸入的基本數(shù)據(jù)進行確認審核的時候，應做到審核人員與確認記賬人員相分離，以防止財務(wù)人員與業(yè)務(wù)人員相勾結(jié)。對重要報表的輸出應有相關(guān)的控制程序，報表輸出與錄入應建立專門的ERP管理系統(tǒng)，報表的輸入輸出需要詳細的記錄。一旦發(fā)現(xiàn)異常，應有相應的警告與提示，并呈報相應的主管領(lǐng)導和內(nèi)部審計人員，達到實時監(jiān)控的職能。對在ERP系統(tǒng)中的信息數(shù)據(jù)，應該有日志備份文檔，對在系統(tǒng)中的所存操作都要詳細記錄，即便有人故意篡改數(shù)據(jù)，都能夠方便、詳實地查詢到相關(guān)操作信息，將系統(tǒng)受人為影響降到最低限度。

　　4．確立董事會在公司經(jīng)營管理中的核心地位

　　董事會要真正成為公司運營的主導機構(gòu)，重大經(jīng)營決策方針都必須由董事會討論決定，而不是由大股東或幾個人說了算。ERP系統(tǒng)的有效運行應該是以董事會的有效運營為基礎(chǔ)，否則就會淪為利益集團的工具。積極推進董事會制度建設(shè)的同時，要逐步改善公司治理結(jié)構(gòu)，保護投資者利益，真正發(fā)揮獨立董事的外部獨立監(jiān)督作用。

　　5．加強對ERP信息系統(tǒng)的軟硬件的監(jiān)督和管理

　　作為內(nèi)部控制重要手段的ERP信息系統(tǒng)，所依賴的是一個強大的軟硬件平臺。為了保證企業(yè)的正常運轉(zhuǎn)，必須保證這個平臺的穩(wěn)定與高速運行。要加大對軟硬件系統(tǒng)的維護與評價，定期出具系統(tǒng)運行報告，定期輪換系統(tǒng)監(jiān)測與維護人員。對于重大系統(tǒng)故障，要向董事會報告，不得私自做出決定，以免造成重大損失。每年的審計，注明會計師應當對企業(yè)的ERP系統(tǒng)的軟硬件進行審計，測試在這個系統(tǒng)上運行的ERP提供的數(shù)據(jù)是否真實、準確、可靠，并在審計報告中給予披露。

　　6．加強專業(yè)人才的培養(yǎng)與開發(fā)

　　信息經(jīng)濟時代對從事財務(wù)工作的人員提出了更高的要求，要求有扎實的計算機水平和不斷更新的專業(yè)知識。這就要求企業(yè)應加強對員工的培訓，不斷地為其提供新的課程培訓和企業(yè)文化引導，形成愛崗敬業(yè)的基本素質(zhì)，并加強員工職業(yè)道德和企業(yè)文化建設(shè)。優(yōu)秀的企業(yè)文化，往往能夠?qū)T工的道德風險降到較低水平，對于企業(yè)內(nèi)部控制是相當有利的。在信息化環(huán)境下，應倡導動態(tài)的企業(yè)文化，提倡團隊精神，對不斷變化的環(huán)境做出快速反應。

　　（三）加強外部審計機構(gòu)對內(nèi)部控制的評價

　　為了更有效地實施內(nèi)部控制，企業(yè)應聘請外部專業(yè)的審計機構(gòu)對企業(yè)的內(nèi)部控制進行評價與分析，重點是實施ERP系統(tǒng)以后，企業(yè)的內(nèi)部控制是變好了還是比以前差了，在ERP系統(tǒng)上運行是更安全還是危險增大了，在ERP系統(tǒng)上運行的數(shù)據(jù)是否真實、可靠地反映了企業(yè)的經(jīng)營管理狀況，企業(yè)的治理是否穩(wěn)定在一個合理、健康的水平上。外部審計機構(gòu)需要定期提供內(nèi)部控制狀況報告，提交給企業(yè)的董事會、股東會、監(jiān)事會等相關(guān)職能部門。若是上市公司，還應提交給證監(jiān)會等相關(guān)部門，讓企業(yè)的經(jīng)營信息公開化、透明化，促進企業(yè)自身的健康、持續(xù)發(fā)展。