在ERP環(huán)境下，企業(yè)的信息流、物資流和資金流高度集成，業(yè)務處理程序被大大簡化，大部分手工處理改由計算機完成。由此帶來了一些內部牽制措施無法執(zhí)行的問題，包括會計人員無法直接參與和控制、控制效率低、其審查和稽核機制被削弱等。此外，計算機技術和網絡通訊技術本身存在的可靠性、安全性等問題，也給企業(yè)內部控制風險的防范帶來了相應的難題。在ERP環(huán)境下，企業(yè)只有對內部控制體系進行優(yōu)化，才能保障內部控制系統(tǒng)的有效實施，促進企業(yè)資源的配置和優(yōu)化，實現(xiàn)經營的可持續(xù)增長。

　　一、ERP環(huán)境下的內部控制風險

　　在ERP環(huán)境下，企業(yè)的業(yè)務處理是跨職能部門的，企業(yè)的資源和信息可以得到統(tǒng)一的管理和共享。由于企業(yè)信息的存儲介質、存儲形式、處理方式都有重大改變，企業(yè)內部控制的新風險主要表現(xiàn)在以下方面：

　?。ㄒ唬I(yè)務流程的改變帶來的風險

　　首先，在系統(tǒng)實施之初，由于業(yè)務流程的變化，和手工方式差異很大，用戶可能不能馬上適應新的操作方式，由此帶來一系列的不確定因素造成了風險。其次，業(yè)務流程的變化，企業(yè)的管理架構趨向扁平，內部控制由程序執(zhí)行，自動化程度高，業(yè)務人員大大減少，給個人身兼多職帶來可能，因而導致控制風險。再次，流程化管理進一步密切了部門與部門之間的聯(lián)系，跨職能部門的流程管理使得某個環(huán)節(jié)出現(xiàn)問題直接影響其他流程的運作。過去職能化的管理也許還有繞過某些環(huán)節(jié)變通的方法，而集成系統(tǒng)就必須經過每個流程。在這種情況下，任何一個環(huán)節(jié)出現(xiàn)差錯，將直接影響到后續(xù)流程的實施。最后，由于集成系統(tǒng)采用的是單一數(shù)據庫，所有的數(shù)據采取一次性單點輸入，如某產品入庫的具體數(shù)量若只有倉庫確認，如果有差錯，將直接影響銷售、生產、財務等部門統(tǒng)計。

　　（二）網絡的大量應用帶來的風險

　　在企業(yè)內的業(yè)務逐漸集成到系統(tǒng)的過程中，網絡在企業(yè)內也開始大量地應用。不僅是各個部門，網絡也把異地的分支機構也連接起來。由于網絡環(huán)境具有開放性的特點，在這個環(huán)境中，一切信息在理論上都是可以被訪問到的。網絡下的會計信息系統(tǒng)很有可能遭受非法訪問或者病毒的侵擾，而且內部人的非法訪問成功的機會還很高，一旦發(fā)生將造成巨大的損失。

　?。ㄈ﹥炔靠刂埔貥嫵傻淖兓捌鋷淼娘L險

　　內部控制整體架構主要由控制環(huán)境、風險評估、控制活動、信息與溝通、監(jiān)督五項要素構成。在ERP環(huán)境下，企業(yè)內部控制系統(tǒng)仍是由以上五個基本要素構成，控制體系框架并沒有發(fā)生實質性的改變。但是，每項基本要素的內部構成卻發(fā)生了變化。

　　1．控制環(huán)境

　　ERP的實施，改變了企業(yè)內部的組織結構體系，管理結構變的扁平化、流程化，決策者和執(zhí)行者能夠快速溝通，企業(yè)的內部控制層次明顯減少，控制責任更加明確，控制效率更高。ERP的應用增強了企業(yè)內部控制的靈活性，對等的渠道使信息無論處于何處都可以被企業(yè)內外部人員比較容易地獲得。

　　2．風險評價

　　ERP的實施給企業(yè)帶來了新的風險發(fā)現(xiàn)、風險分析和風險評估的理念和方法，使企業(yè)可以及時準確地分析、辨認企業(yè)在實現(xiàn)既定目標過程中可能發(fā)生的風險并適時地加以處理。把ERP系統(tǒng)的信息技術與業(yè)務活動有機結合起來作為風險防范的工具，將能大大減少錯弊的發(fā)生，保證企業(yè)業(yè)務活動的正常進行。同時，ERP系統(tǒng)也給企業(yè)帶來了新的風險，例如計算機系統(tǒng)的復雜性增加了企業(yè)潛在的應用風險；電子數(shù)據可以被方便地改寫和刪除、數(shù)據處理過程無法直觀觀測等都增加了數(shù)據安全風險。

　　3．控制活動

　　ERP的實施增強了控制手段的靈活性、多樣性和高效性，加強了內部控制體系的預防、檢查和糾正功能。ERP的應用，可以使企業(yè)擺脫人員和資源對內控體系有效性的限制并在企業(yè)內部形成新的控制理念：內控體系不再僅僅依賴過多的檢查、審批、核準人員或復雜的控制程序，而是依靠信息技術對其進行合理設計，經濟、高效地達到控制目標。同時，信息技術的運用也增加了企業(yè)內部控制的難度與復雜性。

　　4．信息與溝通

　　在ERP環(huán)境下，網絡連接企業(yè)各職能部門，實現(xiàn)了各種業(yè)務流程的一體化處理，信息需求者可以實時獲取各種信息。相對開放的信息系統(tǒng)也為內部員工和管理者提供了開放的溝通管道，有利于內部溝通的進行，使組織內的員工清楚地了解內部控制體系和各自的責任。管理者也可以隨時掌握內部控制制度的執(zhí)行與生效情況。但是，開放的技術環(huán)境很難避免非法侵擾，ERP系統(tǒng)也存在著遭受非法訪問甚至破壞的可能性，這使信息的真實性受到了質疑。

　　5．監(jiān)督

　　在ERP環(huán)境下，內部控制體系的程序化使內部控制在一定程度上具有了對ERP軟件系統(tǒng)的依賴性。同時，ERP的應用使內部控制體系具有了人工控制與程序控制相結合的特點。程序化內部控制體系的有效性取決于應用程序設計的質量，如果程序發(fā)生差錯或不起作用，那么控制失效就可能長期不被發(fā)現(xiàn)，從而使系統(tǒng)由于程序運行的重復性而反復發(fā)生相同的紕漏。

　　二、ERP環(huán)境下的內部控制優(yōu)化策略

　　（一）完善風險管理機制

　　企業(yè)信息化意味著企業(yè)各部門、各作業(yè)單位之間，以及企業(yè)與外部，如供應商、客戶、合作伙伴等通過實時互聯(lián)的網絡實現(xiàn)信息、作業(yè)高度共享，網絡的開放性把企業(yè)暴露于各種風險之中。企業(yè)除了要建立傳統(tǒng)的風險管理機制之外，還要結合信息化的特點，建立基于信息化的風險管理機制：一是建立一套信息網絡系統(tǒng)安全政策和制度；二是定期對系統(tǒng)安全政策與制度的實施效果進行評價；三是通過企業(yè)內部會計控制框架的構建，建立、健全預算及責任控制，強化信息化的風險意識。必要時企業(yè)可設置風險評估部門或崗位，專門負責有關風險的識別、規(guī)避和控制。

　　（二）優(yōu)化企業(yè)內部控制的環(huán)境

　　COSO報告指出，內部控制環(huán)境是內部控制的主要構成因素。影響控制環(huán)境的因素很多，主要包括管理理念、公司的治理結構、管理控制方式、人力資源等方面。為了能夠有效地實施企業(yè)內部控制，企業(yè)主要應從以下幾個方面著手：

　　1．優(yōu)化企業(yè)的組織結構，明確權利職責

　　作為公司制的企業(yè)，應該按照相關法規(guī)設立相應的董事會、股東會、監(jiān)事會，并按照公司章程運轉，合理選聘優(yōu)良的經理管理層，處理好集權與分權的關系，明確董事會、股東會、監(jiān)事會的職責，為設計、執(zhí)行、控制和監(jiān)督活動提供基本的框架。同時，在各職責部門之間應該建立起暢通的溝通渠道，保證各部門能夠進行有效溝通與交流，使整個組織在高效、協(xié)調的機制下運行。

　　2．建立起有效、合理的內部管理制度

　　為了保證企業(yè)的正常運營，應該實行權責明確、管理科學、激勵和約束相匹配的內部管理制度，調節(jié)所有者、經營者和員工之間的關系。并根據公司運營的現(xiàn)狀，建立起一套合理、有效的內部經理人激勵機制，包括規(guī)范經理人員的選拔，規(guī)范公司資本保值增值目標的考核程序，維護股東方利益，防止內部人為控制，嚴格實行內部會計與審計控制制度，強化對經理人員的在任審計和監(jiān)督。另外，還要通過產品市場、資本市場及經理人市場，建立起相配套的經理約束機制。通過合理的激勵與約束機制，使經理人既有充分的經營管理權，又能使其盡職盡責地履行對受托人的義務，使企業(yè)的效益最大化。通過機制的逐步完善，來推進企業(yè)經營管理的規(guī)范與調整，使內部控制的目標責任能順利實現(xiàn)。

　　3．明確崗位職責，實施關鍵崗位分離制、輪崗制

　　現(xiàn)行的ERP系統(tǒng)都相對使得業(yè)務流程復雜化，越來越多地依靠系統(tǒng)進行控制。系統(tǒng)是死的，更主要還是由人來實際操控的。因此，對人的控制要比對系統(tǒng)的控制更加重要。對于程序設計與開發(fā)人員，他們應僅有對數(shù)據測試運行的權限，而不能進行實際操作。除非有特殊事項，在征得相關負責人的同意后，方可以進行數(shù)據的傳輸，但不得對數(shù)據進行修改、刪除。對于一般業(yè)務部門錄入的基礎數(shù)據，在數(shù)據生成完畢后要及時傳輸給財務部門進行確認，在財務人員已經確認審核通過后，業(yè)務部門不得再對數(shù)據進行修改。財務部門的員工之間也要做到相互監(jiān)督與控制，以SAP系統(tǒng)為例，財務部門員工對業(yè)務輸入的基本數(shù)據進行確認審核的時候，應做到審核人員與確認記賬人員相分離，以防止財務人員與業(yè)務人員相勾結。對重要報表的輸出應有相關的控制程序，報表輸出與錄入應建立專門的ERP管理系統(tǒng)，報表的輸入輸出需要詳細的記錄。一旦發(fā)現(xiàn)異常，應有相應的警告與提示，并呈報相應的主管領導和內部審計人員，達到實時監(jiān)控的職能。對在ERP系統(tǒng)中的信息數(shù)據，應該有日志備份文檔，對在系統(tǒng)中的所存操作都要詳細記錄，即便有人故意篡改數(shù)據，都能夠方便、詳實地查詢到相關操作信息，將系統(tǒng)受人為影響降到最低限度。

　　4．確立董事會在公司經營管理中的核心地位

　　董事會要真正成為公司運營的主導機構，重大經營決策方針都必須由董事會討論決定，而不是由大股東或幾個人說了算。ERP系統(tǒng)的有效運行應該是以董事會的有效運營為基礎，否則就會淪為利益集團的工具。積極推進董事會制度建設的同時，要逐步改善公司治理結構，保護投資者利益，真正發(fā)揮獨立董事的外部獨立監(jiān)督作用。

　　5．加強對ERP信息系統(tǒng)的軟硬件的監(jiān)督和管理

　　作為內部控制重要手段的ERP信息系統(tǒng)，所依賴的是一個強大的軟硬件平臺。為了保證企業(yè)的正常運轉，必須保證這個平臺的穩(wěn)定與高速運行。要加大對軟硬件系統(tǒng)的維護與評價，定期出具系統(tǒng)運行報告，定期輪換系統(tǒng)監(jiān)測與維護人員。對于重大系統(tǒng)故障，要向董事會報告，不得私自做出決定，以免造成重大損失。每年的審計，注明會計師應當對企業(yè)的ERP系統(tǒng)的軟硬件進行審計，測試在這個系統(tǒng)上運行的ERP提供的數(shù)據是否真實、準確、可靠，并在審計報告中給予披露。

　　6．加強專業(yè)人才的培養(yǎng)與開發(fā)

　　信息經濟時代對從事財務工作的人員提出了更高的要求，要求有扎實的計算機水平和不斷更新的專業(yè)知識。這就要求企業(yè)應加強對員工的培訓，不斷地為其提供新的課程培訓和企業(yè)文化引導，形成愛崗敬業(yè)的基本素質，并加強員工職業(yè)道德和企業(yè)文化建設。優(yōu)秀的企業(yè)文化，往往能夠將員工的道德風險降到較低水平，對于企業(yè)內部控制是相當有利的。在信息化環(huán)境下，應倡導動態(tài)的企業(yè)文化，提倡團隊精神，對不斷變化的環(huán)境做出快速反應。

　?。ㄈ┘訌娡獠繉徲嫏C構對內部控制的評價

　　為了更有效地實施內部控制，企業(yè)應聘請外部專業(yè)的審計機構對企業(yè)的內部控制進行評價與分析，重點是實施ERP系統(tǒng)以后，企業(yè)的內部控制是變好了還是比以前差了，在ERP系統(tǒng)上運行是更安全還是危險增大了，在ERP系統(tǒng)上運行的數(shù)據是否真實、可靠地反映了企業(yè)的經營管理狀況，企業(yè)的治理是否穩(wěn)定在一個合理、健康的水平上。外部審計機構需要定期提供內部控制狀況報告，提交給企業(yè)的董事會、股東會、監(jiān)事會等相關職能部門。若是上市公司，還應提交給證監(jiān)會等相關部門，讓企業(yè)的經營信息公開化、透明化，促進企業(yè)自身的健康、持續(xù)發(fā)展。