（会计学专业论文）erp环境下的内部控制研究.pdf

摘 要 摘 要 近年来，随着企业规模的不断扩大，传统的管理方式已经不能满足企业的发 展的需要了。erp 是整合企业内部资源的管理系统，使企业业务数据统一化。erp 作为崭新的现代管理手段，它的核心管理思想就是实现对整个供应链进行有效的 实时管理。这种管理模式在很大程度上满足了信息技术的发展需要并且实现了信 息的共享。 erp 系统在实施过程中会受到很多因素的影响，影响其实施的效果。由于其 对企业资源的整合，需要对原来的业务流程进行优化和设计。erp 环境下，企业 的业务运作更加依赖系统数据， 以及系统本身所导致的脆弱性， 形成了新的风险。 及时识别、科学分析和评价影响内部控制目标实现的各种不确定因素并采取应对 措施，是实施内部控制的重要环节。 关键词：内部控制，erp 系统，风险 abstract in recent years, along with enterprise size unceasing expansion, the traditional mode of management no longer satisfies enterprises need to develop. erp is a management system which integrates enterprises internal resources, it also harmonizes business data. as brand-new modern management tool, its core concept is carrying on effective real-time management for the whole supply chain. it meets the need of information development and realizes the sharing of information. there are many factors influencing the implementation of erp. as a result of integration, it needs to redesign and optimize the business process. under erp environment, enterprises operation relies more on system data, the vulnerability of system will form new risk. timely identify, scientific analysis and approval of risk are the important process of internal control. keywords: internal control, erp system, risk 学位论文原创性声明学位论文原创性声明 本人郑重声明： 所呈交的学位论文， 是本人在导师的指导下， 独立进行研究工作所取得的成果。除文中已经注明引用的内容 外，本论文不含任何其他个人或集体已经发表或撰写过的作品成 果。对本文所涉及的研究工作做出重要贡献的个人和集体，均已 在文中以明确方式标明。本人完全意识到本声明的法律责任由本 人承担。 本人郑重声明： 所呈交的学位论文， 是本人在导师的指导下， 独立进行研究工作所取得的成果。除文中已经注明引用的内容 外，本论文不含任何其他个人或集体已经发表或撰写过的作品成 果。对本文所涉及的研究工作做出重要贡献的个人和集体，均已 在文中以明确方式标明。本人完全意识到本声明的法律责任由本 人承担。 特此声明特此声明 学位论文作者签名：学位论文作者签名： 年年 月月 日日 学位论文版权使用授权书学位论文版权使用授权书 本人完全了解对外经济贸易大学关于收集、保存、使用学位 论文的规定，同意如下各项内容：按照学校要求提交学位论文的 印刷本和电子版本；学校有权保存学位论文的印刷本和电子版， 并采用影印、缩印、扫描、数字化或其它手段保存论文；学校有 权提供目录检索以及提供本学位论文全文或部分的阅览服务；学 校有权按照有关规定向国家有关部门或者机构送交论文；在以不 以赢利为目的的前提下，学校可以适当复制论文的部分或全部内 容用于学术活动。保密的学位论文在解密后遵守此规定。 本人完全了解对外经济贸易大学关于收集、保存、使用学位 论文的规定，同意如下各项内容：按照学校要求提交学位论文的 印刷本和电子版本；学校有权保存学位论文的印刷本和电子版， 并采用影印、缩印、扫描、数字化或其它手段保存论文；学校有 权提供目录检索以及提供本学位论文全文或部分的阅览服务；学 校有权按照有关规定向国家有关部门或者机构送交论文；在以不 以赢利为目的的前提下，学校可以适当复制论文的部分或全部内 容用于学术活动。保密的学位论文在解密后遵守此规定。 学位论文作者签名：学位论文作者签名： 年年 月月 日日 导师签名：导师签名： 年年 月月 日日 1 第 1 章 引言 第 1 章 引言 1.1 研究背景及意义 著名管理学大师德鲁克认为企业可以通过改进生产工艺、降低原材料消耗来 增加企业的利润；通过增加销售额、提高销售利润率来增加企业的利润。现在， 市场竞争越来越激烈，再加上客观技术的限制，企业在这方面的努力空间越来越 小。因此，现代企业要在竞争中保持有利位置，获取最大利润，就必须通过加强 企业管理水平，提高企业管理资源的效率，增加企业利润。 在互联网应用和经济全球化浪潮的推动下，中国将成为世界的重要制造中心 之一。 而在提升我国制造企业国际竞争力方面， erp1管理技术是必备的， 因为erp 是促进我国企业管理信息化的有效手段。为了实现企业的经营目标，必须对企业 拥有的各种资源进行良好的计划和控制，并进行有效、充分的应用。erp就是为 了实现这一目标，为企业的生产经营活动所建立的一套管理制度和方法。erp是 建立在信息技术基础上，以系统化的管理思想，为企业决策层及员工提供决策运 行手段的管理平台。作为现代企业的管理平台，erp可以提供企业整体解决方案。 erp系统集信息技术和先进的管理思想于一身，成为现代管理企业的运营模式， 反映时代对企业合理调配资源、最大化地创造社会财富的要求，成为企业在信息 时代生存、发展的基石。 erp系统在实施过程中涉及到企业的方方面面，不仅涉及领导的重视程度、 企业员工的素质、企业的管理理念和管理方式、erp系统的适用性、资金等因素， 还涉及到企业所处的行业背景及供应链的管理。任何一个因素处理地不好，都可 能造成erp实施失败。为提高实施erp的成功率，企业必须在实施erp之前对各 种风险因素进行充分的评估，并在实施过程中加以防范。 erp系统在实施中及实施后的过程中，由于erp系统具有业务处理自动化、 控制方法和措施程序化、信息存储数据化等特点，可能带来一些新的业务风险点 和内部控制盲区，从而形成erp系统的实施风险和运行风险。针对erp系统实施 所带来的新的业务控制风险，我们需要对企业内部控制体系重新评估并完善。利 用风险评估手段重新确定企业中关键的业务流程，通过对关键流程的设计及控 制，最终完成企业的业务目标。 1 erp：enterprise resources planning, 及企业资源计划。erp 的基本思想是将企业的运营过程看作是一个紧 密相连的供应链。erp 系统是个较完整的集成化管理信息系统，包括分销、制造、财务、质量控制、售后服 务、人力资源、运输管理等子系统。 2 1.2 研究方法 本文主要采用两种研究方法： 1. 比较分析法。 通过比较传统内部控制框架和 erp 环境下的内部控制框架， 结合 erp 环境下的内部风险，通过分析总结，得出结论，erp 系统的实施对企业 既有积极的影响，同时也对企业的内部控制提出了更高的要求。本文着重从加强 erp 环境下的风险管理的角度，对内部控制进行探索研究。 2. 案例研究。 以实施 erp 系统的 a 公司对研究对象。a 公司的软件供应商为 sap 公司， 即以 sap 软件作为资源整合系统的应用。本文的案例分析，基于对内部控制以及 erp 系统的理论分析，针对该公司业务流程中存在的风险进行分析研究，制定相 应的应对措施。 对 sap 系统功能子模块的输入、 处理和输出过程中的存在的风险， 找出关键控制点，提出解决方案。 1.3 研究框架及创新点 本文的总体思路和框架是阐述加强 erp 环境下的企业风险控制， 增强企业的 竞争力。见图 1.1： 图 1.1：文章结构 erp 的显著特征：资源整合 对财务工作的积极影响给企业带来了风险 会计流程 会计职能 会计工作方法 会计工作组织方式 风险意识 控制行为 erp 环境下的内部控制框 实施 erp，增强企业竞争力 3 本文的创新之处在于： 1. 以 sap 软件为 erp 应用的典型代表，提出 sap 系统的业务流程控制区， 并针对关键控制点发现流程中存在的风险并提出应对措施。 2. 供应商主数据更能代表 erp 系统的信息化特征，通过对供应商主数据的 分析，更能找出 erp 环境下的内部控制点。 1.4 文献综述 纵观我国内部控制研究的历史进程, 从对国外理论成果的介绍转向对我国实 际情况的阐述, 从站在审计的角度来讨论内部控制的作用和建立, 转移到站在企 业的角度来探讨内部控制对风险防范和规避的作用。 有的学者结合coso框架进行内部控制研究, 如李凤鸣（1992）在内部控制 学中较早地介绍了该框架的部分内容, 并从内部控制的整体架构、设计和评价 三个方面来阐述内部控制理论; 朱荣恩等2对企业风险管理框架进行了介绍, 强调 内部控制框架的建立应与企业的风险管理相结合。 有的学者以会计控制为主线研究内部控制, 如阎达五、 杨有红(2001) 3认为保 证资产安全和会计信息真实是内部控制发展的主线, 会计控制(含财务控制) 是企 业内部控制的核心。 有的学者以审计为目标导向对内部控制进行相关研究, 如石本仁(2002) 认为 内部审计主要是通过检查和评价内部控制是否严密,来保证企业资产的使用效率 和经营目标的实现, 因而, 内部控制成为衡量企业内部管理效率的一个重要方面 4。 方红星(2002) 把内部控制与审计结合起来, 从考察内部控制的产生和演进轨迹 入手, 探寻内部控制与审计之间的逻辑联系, 认为内部控制是在审计目标定位主 导下发展起来的, 并引入“组织效率”理论进行科学的分析和解释5。 还有学者基于公司治理来研究内部控制, 如李连华(2005) 认为内部控制与公 司治理结构具有嵌合关系, 公司治理结构与内部控制制度关联的公司组织是提高 内部控制效果的根本途径6。 此外, 还有学者从经济学和管理学的角度研究内部控制, 如刘明辉等(2002) 借鉴系统论和新制度经济学等相关理论, 对内部控制的内涵、控制权的分配及优 2 朱荣恩、贺欣， 内部控制框架的新发展企业风险管理框架 ，审计研究，2003 年 6 月，11-15页。 3 阎达五、杨有红， 内部控制框架的构建 ，会计研究，2001 年 2 月，9-14 页。 4 石本仁， 公司治理中的会计角色 ，会计研究，2002 年 4 月 5 方红星， 内部控制、审计与组织效率 ，会计研究，2002 年 7 月，41-44 页。 6 李连华， 公司治理与内部控制的衔接与互动 ，会计研究，2005 年 2 月，64-69 页。 4 化、内部控制的外部效应、内部控制与资本市场的关系进行了深入的探讨7。陈志 斌(2004) 提出，严格的问责机制是内部控制制度有效实施的机制保障, 问责机制 作为一种惩罚机制, 能保证内部控制制度的有效实施8;杨雄胜(2005)认为有必要 从经济学、管理学、审计学等相关理论研究入手, 提出内部控制研究只有运用丰 富的公司治理理论并以管理控制口径来定位, 才能取得突破性的进展, 并形成有 效指导内部控制实务的理论成果9。 还有的学者从独特的视角研究内部控制, 如王湛(2001) 认为内部控制的外部 化是由社会分工专业化、企业对经济效益的追求以及内部控制自身缺陷等原因共 同决定的, 它是内部控制发展的合理趋势10; 谷祺等(2003) 从内部控制系统必须 解决的企业组织面临的基本问题出发, 将内部控制机制分为制度控制、 市场控制、 文化控制三种类型, 并分析了其相关关系11。 有的学者对国内特大型企业集团的内部控制制度实施问题进行了研究, 如龚 华章(2004) 对中国石油天然气集团(cnpc) 的前瞻性内控制度与措施实施的分析 12；张谏忠、吴轶伦(2005) 着重介绍了内部控制自我评价方法在上海宝钢国际经 济贸易有限公司的实施情况等13。 李建军（2006）指出，企业实施erp系统对企业内部控制思想要提出新的要 求：内部控制设计应具备集成性；内部会计控制制度应有柔性；内部会计控制应 将安全放在优先地位； 内部会计控制应将实时控制作为主要控制观念。 可以把erp 系统作为控制的资源和工具，利用信息技术来构建和完善我们现有的内部控制制 度14。 杨海东（2006）等认为，在erp财务子系统中，授权批准制度得到了很好的 应用。授权批准制度可以通过流程控制来实现。整个流程可以分为三个步骤：业 务申请，业务审批，业务处理和会计处理。在对业务处理前必须实行申请，可以 保证授权批准控制的执行；业务申请发生后，会计信息系统会根据用户设置自动 选择提交到相应有权审批该业务的用户任务列表中，等待审批。若审批不通过， 无法进行下一步骤。业务经过申请和审批后，回到相应部门记录业务的发生。同 7 刘明辉、张宜霞， 内部控制的经济学思考 ，会计研究，2002 年 8 月，54-56 页。 8 陈志斌， 问责机制与内部控制制度的有效实施 ，会计研究，2004 年 7 月，50-54 页。 9 杨雄胜， 内部控制理论研究新视野 ，会计研究，2005 年 7 月，49-54 页。 10王湛， 内部控制外部化的思考 ，会计研究，2001 年 11 年，29-32 页。 11 谷祺、张湘洲， 内部控制的三维系统观 ，会计研究 2003 年 11 月，10-13 页。 12 龚华章， 中油集团内部控制探索与实践 ，会计研究，2004 年 8 月，18-21 页。 13 张谏忠、吴轶伦， 内部控制自我评价在宝钢的运用 ，2005 年 2 月，11-17 页。 14 李建军， erp 系统下企业内部会计控制的特点 ，西部财会，2006 年 4 月，27-30 页。 5 时，相关的财务信息流向财务部门，由财务人员进行会计核算。这种“授权审批” 式的流程控制最典型的就是企业的采购业务15。 郑晖（2007）在研究中指出，网络化会计系统的内部控制制度与手工会计系 统的内部控制制度相比较，网络化会计系统的内部控制是范围大、控制程序复杂 的综合性控制，是控制的重点为职能部门和计算机数据处理部门并重的全面控 制，是人工控制和计算机自动控制相结合的多方位控制16。 张清，范蔚文（2007）等分析后指出，会计信息系统的内部控制是公司整体 内控的重要组成部分，是通过萨班斯法案404条款外部审计必不可少的重要内容。 要满足萨班斯法案要求，实现长效机制，在做好会计信息系统内部控制的同时， 还必须落实好后续的维护保障工作，这样才能真正构建一套系统化、标准化、可 审计、可持续改进的会计信息系统内部控制体系17。 陈志斌（2007）认为，内部控制所处的环境是影响内控效果的一个非常重要 的因素, 不管是在coso报告的五要素18还是企业风险管理框架的八要素19中 首要的就是内控环境这一要素。构建企业的内部控制体系关注其生态环境非常重 要, 只有内控措施与其所处的生态环境相适应才能实现较理想的控制效果。在信 息化生态环境下企业的业务运作越来越依赖于信息系统, 以至于利用信息系统控 制以及对信息系统的控制成为企业内部控制的重要组成部分20。 15 杨海东、毛元清、张荣荣， 会计控制在 erp 财务子系统中的集成 ，北方经贸，2006 年 11 月，54-55 页。 16 郑晖， 论网络环境下的会计系统与内部控制 ，企业经济，2007 年 12 月，181-183 页。 17 张清、范蔚文， 萨班斯法案下会计信息系统的内部控制 ，审计与理财，2007 年 7 月，40-41 页。 18 coso 报告归纳出内部控制的五大要素：控制环境、风险评估、控制活动、信息与沟通和监督控制。 19 2004 年 coso 委员会在 erm 框架中提出企业风险管理的八要素：内部环境、目标设定、事项识别、风 险评估、风险应对、控制活动、信息与沟通和监督控制。 20 陈志斌， 信息化生态环境下企业内部控制框架研究 ，会计研究，2007 年 1 月，30-37 页。 6 第 2 章 erp 环境下的内部控制框架和内部风险 第 2 章 erp 环境下的内部控制框架和内部风险 2.1 erp 系统概述 erp这一概念最初是由美国的gartner group公司在20世纪90年代初期提出 的，是在物料需求计划和制造资源计划的基础上发展起来的更高层次的管理理念 和模式。它把客户需求和企业内部的制造活动以及供应商的制造资源整合在一 起，以提高企业对各种资源的运作能力。其基本思想是将企业的业务流程看作是 一个紧密相连的供应链，其中包括供应商、制造工厂、分销网络和客户等；并将 企业内部划分成几个相互协同作业的支持子系统，如财务、市场营销、生产制造、 质量控制、维护、工程技术等。 erp管理模式呈现出的特点：计划的一贯性和可行性；管理系统化，它把企 业所有与经营生产直接相关部门的工作连成一个整体，每个部门从系统整体出发 做好本岗位工作，每个人都清楚自己的工作同其他职能的关系；资料共享性，企 业各部门都依据同一数据进行管理，任何一种数据变动都能实时地反映给所有部 门，做到数据共享；动态变化性，erp把客户需求和企业内部的制造活动、以及 供应商的制造资源整合在一起，体现了完全按用户需求制造的思想，这使得企业 适应市场与客户需求快速变化的要求；实现了物流、资金流的统一；能够实现事 前计划、事中控制、事后调整的思想。图2.1概括了erp系统中物流与资金流相统 一的特征。 图 2.1 物流与资金流的关系 注：图2.1摘自国际管理咨询网， erp经历了三个发展阶段：第一，60年代中期的mrp（物料需求计划）及闭 7 环mrp阶段，功能只包括原料及产品的进出；第二，80年代的以计划和控制为主 线的企业内部管理思想mrp阶段（制造资源计划） ；第三，90年代的面向供应 链管理的erp阶段。 erp系统最重要的特征是，整合企业的资源，为企业创造最大的价值，整个 流程见图2.2： 图2.2：erp系统流程 注：图2.2摘自国际管理咨询网， 2.2 erp 环境下的内部控制框架 关于内部控制的框架，不同机构都对其有不同的理解，其中以美国反对虚假 财务报告委员会发起的组织委员会 coso 发布的“ coso 内部控制框架 ”得到 最广泛的认可。coso 将内部控制定义为： “内部控制是受企业董事会、管理层和 其他职员共同作用，为实现经营效果性和效率性、财务报告的可靠性以及对使用 的法律、法规的遵循性等目标提供合理保证的一种过程。 ”较之传统的内部控制 概念，这一定义的发展在于将内部控制作为一种动态的过程而不是静态的制度阐 述。内部控制不仅仅着眼于会计和财务报告，还应该针对经营活动的效率、效果 8 和遵循法律法规。这个广义的定义体现了现代意义上的全程和全面的控制理念。 相应地，内部控制框架被划分为五个内部控制要素：控制环境、风险评估、控制 活动、信息与沟通，监控。 1. 控制环境。控制环境提供企业纪律与构架，塑造企业文化和正确的价值 观，并影响企业员工的控制意识和工作能力，是所有其它内部控制组成要素的基 础。控制环境的因素具体包括：正直守德的价值取向、对员工胜任能力的关注、 董事会或审计委员会 、管理哲学和经营风格、公司组织结构、职权和职责的分 配、人力资源政策及实务。 2. 风险评估。每个企业都面临来自内部和外部的不同风险，这些风险都必 须加以评价，以找出有效地应对方式。评价风险的先决条件是制定目标。风险评 价就是分析和识别威胁所定目标实现的风险。经济、法律及管理的环境等内外部 因素不断变化，企业主动地发现和处理由于情况变化所带来的风险是很有必要 的。 3. 控制活动。控制活动是确保管理层的指令得以执行的政策及程序，是管 理层识别和评估风险后，对控制这些风险所实行的针对性措施。政策通常回答必 须做什么事情，而程序则回答具体应该怎样做的问题。控制活动包括授权审批、 核对关键绩效指标、资产安全控制及职责分离等各种类型。企业控制活动又可以 分为人工控制和信息系统控制两大类。控制活动是各种控制要素中数量最大的一 类，因此企业控制活动的设计必须进行成本和收益的权衡。此外，控制活动尽可 能用书面方式予以规定和沟通。 4. 信息与沟通。内部控制的全过程都需要高质量的信息以及顺畅的沟通。 高质量的信息具有内容相关、正确提供以及便于获取等特征。在现代企业中，信 息系统的广泛应用正是为了提高信息质量。同时，高质量的信息还应能够以适当 的形式及时、准确地沟通至信息需求者。企业不仅应当致力于提升内部沟通的有 效性，以便控制责任人能够履行其职责，还应关注与企业外部的沟通问题。外部 沟通（如客户、供应商、审计师等）有助于管理层建立企业目标，向外传递企业 理念和工作标准，并从外部了解内部控制的运行状况。 5. 监控。内部控制系统需要监控。监控是由适当的人员，在适当及时的基 础上，评价控制的设计和运作情况的过程。这一活动由持续监督、个别评价所组 成， 其可确保企业内部控制能持续有效地运行。 持续监督活动在营运过程中发生， 它包括例行的管理和监督活动，以及其他员工为履行其职务所采取的行动。尽管 9 持续监督程序可以有效地评价内部控制体系，但企业有时需要组织例外评价（即 个别评价）以直接监督控制系统的有效性。这种做法可评价持续性监督程序。评 价的范围和频率，视风险的大小及控制的重要性而定。 一般来说，erp 是一个以会计为核心的信息系统。erp 的实施对会计产生了 一定的影响，不但将账务的手工处理变为电子化处理，而且是一次从量变到质变 的飞跃。它对会计流程、会计职能、会计工作方法和会计工作组织方式产生了重 大的影响。 第一，对会计流程的影响。传统会计流程都是从会计凭证为输入起点，主要 采集经济业务的货币信息，借助于专门的方法和程序进行核算和控制，产生一系 列财务信息和其它经济信息。这就决定了会计信息系统孤立于业务和其它管理信 息之外， 只记录了业务事项信息的一个子集， 而忽略了其他大量的管理信息。 erp 把企业的物流、信息流和资金流整合在一起，实现了会计信息、其它管理信息和 业务信息的集成。它将会计信息的输入口延伸到业务最前端，多维度地记录业务 信息。包括物流信息、客户和供应商信息、货币信息、企业内部计划、预算等， 而会计记账工作则可以通过事前设置和后台的处理，随物流自动生成财务信息。 erp 环境下财务信息系统与其他子系统的关系可用图 2.3 表示： 图 2.3：财务信息系统与其它系统的关系 注：图 2.3 摘自基于 erp 环境的财务信息系统功能与应用 第二，对会计职能的影响。erp 可以实现会计反映的及时性和会计监督、控 制的实时性。传统的会计核算流程决定了事后反映的局限性。而且，传统会计仅 把货币信息整合到一个系统中，利用复式记账将资金及其他投入要素记录并报告 给相关使用者。在瞬息万变的市场竞争环境中，这种反应速度和维度远远不能满 10 足信息使用者的决策需求。erp 环境下会计信息实现了对业务事项的实时、多维 度反映。通过分类查询，即可得到按照多维度指标汇总的财务信息。这种改观无 论对企业内部管理还是对外部股东报告各种决策有用的信息，都提供了强大的支 持。同时，erp 实现了企业管理和财务活动的协同管理，使资金流能够实时反映 业务信息的变化。财务部门和业务部门之间的“隔墙”随着这种系统反映逐渐缩 小。会计部门可以通过 erp 系统实时查阅业务部门资料。更准确地判断业务信息 的合理性和合法性。并履行企业内部计划、预算等控制职能。同时，有财务查询 权限的领导在业务进行中就能实时跟踪业务活动的财务信息，并据此及时对业务 活动做出调整。 第三，对会计工作方法的影响。实施 erp 对会计工作方法有多方面的影响。 如：手工会计通过原始凭证到记账凭证、到账簿、再到报表来开展核算工作。其 中每个过程都需要专门人员从事收集、整理、记录、计算工作。尤其是记账过程 避免不了许多重复转抄工作，而电算化会计仅需将资料（原始凭证）一次录入。 其他过程由计算机处理。手工会计下的一些内部控制措施，在实施电算化后就没 有存在的必要了，如：编制科目汇总表、试算平衡的检查、总账、明细账的核对。 有些内部控制措施在电算化后由计算机执行，如：凭证借贷平衡校验、余额发生 额的平衡检查等。 第四，对会计工作组织方式的影响。erp 环境对企业组织结构的最大冲击是 “金字塔型”结构解体。企业组织方式逐渐扁平化，中间管理层减少。企业不再 按照传统职能划分企业各部门，而是围绕业务流程重新构建组织。在财务组织模 式上，财务管理层级将减少，财权和控制范围相应加大。 从对会计处理的影响来看，企业内部控制系统也应该作相应的调整。具体的 构成没有变化，只是其具体内容发生了变化。erp 环境下的内部控制框架具体表 现如下： 1. 控制环境。在 erp 环境下，管理结构呈现出扁平化、流程化的特征。开 放性的信息交流平台使得决策者和执行者能够快速获得所需的信息。企业内部控 制层次明显减少，角色和操作员授权使得控制责任更加明确，控制效率更高。同 时还增强了企业内部控制的灵活性，因为系统可以轻而易举地实现对操作员的交 叉授权。 2. 风险评估。在 erp 的环境里，风险发现、风险分析和风险评估均有了新 的理念和方法，企业可以及时准确地分析、辨认企业在实现所定目标过程中可能 11 发生的风险并适时地加以处理。因此，风险评价的科学性和技术含量提高了。 3. 控制活动。erp 系统增强了控制手段的灵活多样性和高效性，加强了内 部控制体系的预防、检查和纠错功能。erp 的应用，可以使企业摆脱人员和信息 资源对内控体系有效性的限制。把主体随意性降到最低，并在企业内部形成新的 控制理念：内部控制不应仅仅依赖过多的审核、审批，也可以依靠信息系统对其 进行合理设计以达到控制目标。 4. 信息与沟通。 与 erp 结合的信息技术手段使企业的信息系统具有开放性、 实时性和电子化的特征，内部控制系统呈现出新的特点。在 erp 环境下，网络连 接企业各职能部门，实现了各种业务流程的一体化处理，信息需求者可以实时获 取各种信息。在这种条件下，内部控制由顺序化控制向并行化控制发展，相对开 放的信息系统为上下级沟通修筑了高速道轨。这使得组织内的员工可以清楚地了 解内部控制措施和各自的责任。管理者也可以随时掌握内部控制制度的执行与生 效情况。 2.3 erp 环境下企业的风险与内部控制分析 erp 系统引入内部控制是内部控制的革新， erp 的引入给内部控制带来了新 的方法，改变了内部控制的方式，其集中性的数据处理使内部控制程序化，扩大 了内部会计控制的范围，改变了内部控制的内部与外部环境，改变了内部会计控 制的重点，使内部控制的重点不只是在人员之间的互相牵制上。它还改变了信息 与沟通的模式，电子化、程序化的信息传递取代了以信息存储技术，物理性可视 的手工信息传递，为管理者、员工和顾客等提供了更为方便的交流平台。 2.3.1 内部控制：风险管理的支点 风险评估是风险管理的起点，而内部控制的建立和执行是风险管理的支点。 “控制环境本身是风险评估的重要内容，除风险评估这一风险控制点起点之外， 内部控制工作的核心是三个方面，即内部控制制度、控制行为、和对内部控制的 监督管理”21。图 2.4 总结了风险与内部控制的关系。 21 曹亚勇， 企业风险管理与内部控制 ，当代经济，2007 年 07s 期，22-24 页。 12 图 2.4：内部控制主要流程 内部控制制度是风险评估和分析的产物，是企业进行有效内部控制的基础和 依据。 内部控制决不仅仅是企业中某个部门的责任，它应贯穿到企业每个部门和员 工的日常行为中。控制行为应当基于完善的控制制度，并且由各部门、各员工共 同执行。就是说，控制行为应当是以“共同控制”为其核心。有力的控制行为来 源于风险意识的建立。应当把对风险的敏感和不断认识发展成企业文化的一部 分。在员工中提倡风险意识，把简单告诉员工应该怎样做和不应该怎样做，转变 为对员工的风险教育，使员工对各个业务环节形成自然的风险评估习惯，这是避 免机械性错误和管理级失效的重要方式。 控制行为的几项要点：员工应当清楚地知道企业的目标、部门的目标是什 么，必须对其岗位所负担的工作中的主要风险有清晰的了解；除了风险培训之 外，企业必须给员工设立一个及时而畅通的反映其遇到的新风险进而及时处理的 渠道，并有一个互相沟通的平台；员工在职责范围内减少风险的表现应当作为 年度工作业绩考核中的一个重要指标；各部门都专设风险检查人员，彻底调查 每一项不正常的事项，并进行深入沟通和研究。 要确保内控的长期有效性，除了制定完善的内控制度外，必须建立强大而独 立的内控监督机制。 这项任务通常是由公司内部审计部门承担的。 对内控的监管， 主要是通过对企业内部实施广泛、严格、制度化的检查、稽核、审计和调查，了 解掌握企业内部控制的各主体是否出现缺位，内部控制流程是否得到有效的执 13 行，内部控制流程是否能够很好地适应外部环境的发展变化，其效率能否得到提 高，内控环境的变化情况和企业的风险管理状况等，提出完善内部控制的建议措 施，并监督这些措施的落实和贯彻。 2.3.2 影响 erp 实施的内部风险 erp 的推行对内部控制的影响就像一把双刃剑。一方面，它为内部控制的实 施创造了有利条件，另一方面它又给内部控制带来了风险。 在 erp 环境下，企业的会计和业务管理人员从手工操作系统中解脱出来，有 更多的时间利用相应的信息进行经济和财务预警及管理决策，使信息真正实现共 享。在 erp 环境下，数据完全存储在系统中，每个有权限的人都可以看到相应的 信息；此外，供、产、销、财务的有机结合，使企业变成真正意义上的一个整体， 从而实现对人、财、物的全面控制。这样，企业的信息更能如实反映其经营成果 和财务状况。 erp 环境下，控制环境的风险加剧，伴随着企业内部控制层次的减少，领导 不再是等级中的“塔尖” ，而成为行动的核心，企业的内部控制不再是基于权利 的需要，而是基于信息的科学性和企业健康发展的需要。业务流程的变化使得审 计发生变化。最重要体现在，数据的安全性受到威胁。 从企业角度来讲，可以把影响 erp 实施的风险划分为外部风险和内部风险。 外部风险主要指环境因素带来的风险，内部风险是指实施企业可控的风险。完善 erp 环境下的内部控制， 可以有助于降低和消除内部风险。 影响 erp 实施的内部 风险表现为以下五个方面： 1. 组织管理风险 （1）企业管理模式变革的风险。 企业实施 erp 必须要有一个先进的管理模式为基础， 他们两者之间又是相辅 相成、互为作用的。管理模式的变革必然会给 erp 系统的实施带来风险。首先， 企业在实施 erp 系统前，忽视管理模式变革的重要性，对企业的管理模式不进行 相应的变革，导致 erp 系统在企业中仅仅是简单应用，对于提高企业工作效率只 有一定的作用，而不能从根本上提高企业的运营效率。其次，企业进行管理模式 的变革没有采用科学合理的方法指导，在管理模式变革时采用单一的方法，忽略 变革需求的不同特征。很少有企业从企业整体运作上对管理模式进行变革，而且 在建立新的管理系统之前未能把企业的经营战略、业务流程、生产过程和组织结 构统一起来考虑。 14 （2）组织结构与 erp 系统不匹配导致的系统风险。 首先，一些企业的组织结构中没有信息系统管理者应有的指挥权。如果信息 管理系统的管理者没有决策权，那就只能由外行来指挥信息系统，系统的风险自 然也就不可避免了。其次，企业组织机构中没有设立专门统一的 erp 系统管理机 构。企业管理机构一般都是按照管理职能分工而设置的，企业的信息被分配到不 同的职能部门里，导致信息传输时间过长、信息失真度增加，甚至出现信息封锁。 再次， 新建立的 erp 系统需要与之相适应的组织流程， 但企业往往会忽略这一点， 用旧的、落后的组织流程，影响 erp 系统的作用不能完全发挥出来。 2. erp 系统使用风险 首先，由于 erp 系统存在界面不友好或操作不方便等类似的问题，就会给使 用者带来不方便。这样，用户就会排斥使用系统，造成 erp 系统的闲置或者使系 统流于形式，没能实现应有的功能。其次，信息技术在不断地更新，系统也需要 不断的升级。如果未能及时更新，及时修正，很可能影响用户使用的信心，缩短 erp 系统的使用寿命。 3. 人力资源调配失当的风险 人力资源调配失当的风险是指实施队伍的搭配不当形成的风险。企业如果把 项目完全交给外部服务人员或内部技术人员，要么不了解企业实际情况，要么不 了解系统情况和缺少经验。项目小组搭配存在缺陷，会使项目陷入不停地进行调 整的恶性循环，从而影响项目的成功实施。 4. 软件管理风险 (1) 软件选型风险。由于企业在选择软件的过程中缺少专业管理人员的积极 参与，没有制定明确的整体选择目标，没有对不同的业务需求的重要性进行先后 排序，没有较多地从各使用部门出发去考虑软件的选择问题，从而造成了最终选 择软件的不配对性。同时，选择软件时由于参与软件选择的人员的贪污舞弊，收 取不正当的回扣，也会给企业带来一定的损失。 (2) 数据管理风险。一方面，操作系统授权、网络设备权限、应用系统功能 权限、数据访问权限、病毒的预防、非法入侵的监控、数据更改的权限、数据的 安全备份与存档、主机房的安全管理、系统管理员的监督等等一系列问题，如果 处理不好将使系统在安全设计上存在漏洞和缺陷，最终导致系统的整个瘫痪。另 一方面，自动高效的计算机网络的应用，使操作人员的数量减少，各种业务核算 手续完全由计算机统一执行，那种试图通过适当的岗位分离而实现各种业务环节 15 相互牵制，效力就显得非常小。 5. 成本控制风险。 erp系统实施过程中需要投入较大的成本，实施结束时资金付出往往超出当 初的预算，由于系统实施的成本可能是软件价格的3-5倍。聘用咨询顾问以及为此 花费的成本可能会达到整个erp实施预算的30%。 另外， 还存在着一些意想不到的 开支，会使成本急剧增加。因此，应降低成本控制风险。 2.3.3 erp 环境下的业务流程风险及控制方案 erp 系统的实施引起企业各个方面的巨大变化，在很大程度上改变了企业的 业务流程。由于企业的业务运作更加依赖于 erp 系统以及信息系统本身的特点， 导致了企业新的业务风险。 “新的风险一般来自四个方面：业务流程、技术架构、 数据质量和系统访问”。22其中，业务流程的转变对企业内部控制的影响最大。它 对企业内部管理和财务方面的监控提出了新的要求，这方面的风险特征相比过去 发生了根本性的变化。 erp 实行的是流程化的管理，打破了原来职能部门的条块分割，实现了企业 资源的统一管理和共享。 企业的运行和内部控制在一定程度上也交给了 erp 系统 进行控制。一方面，导致企业所处的内部风险环境发生了变化，过去手工状态下 的控制风险，由于 erp 系统的引入而变得更加复杂；另一方面，erp 系统的实施 要对原来的业务流程进行优化和设计，改变了企业的组织结构。为了保证企业的 整体运营，必须建立有效的内部控制。 第一，对整个流程进行评估，确保各个单一流程很好地完成自己的功能并保 证很好地满足和支持最终业务目标的实现。很少有企业用一个系统将企业所有的 数据和流程都管理起来。所以，erp 系统和其他系统之间的接口是实现不同系统 间的数据互联互通的必需。这些位于不同系统之间的接口是一个重要的风险控制 区域，要设置密码并进行权限控制。 第二，确定流程控制关键点。对整个流程和控制的设计进行评估，确定关键 的业务流程，找出业务容易出现问题的环节，设置监督控制点，对敏感的业务交 易给出足够的访问限制。确保这些控制很好地发挥个体功能，使整个流程顺利运 行。 第三，岗位职责合理设置，确保在整个流程中存在正确的稽核点和平衡点。 比如 erp 系统实现了“物流、信息流、资金流”三流合一，财务和其他内部业务 22李淑琴， erp 应用的风险与内部控制 ，中国石油企业，84-85 页，2005 年 9 月 16 已完全协同。传统上的财物会计岗位分工，如材料核算、总账、固定资产等改为 设置为投资岗、成本管理岗、稽核报销等岗。要加强稽核报销管理，严把第一道 关。 第四，确定合理的控制方式。在 erp 环境下，通常有两种控制方式我们需要 考虑，一种是基于系统的流程控制，另一种是基于书面的手工控制。手工控制主 要依靠个人职责的履行来完成。比如工程项目申请付款，首先经过建设单位、专 业技术人员讨论，领导小组审核签字，部门审批签章，根据批复书面文件，填写 付款申请单，并经有关负责人按生产计划任务书和一定级别的签字确认方可上线 支付。人工流程结束后，erp 上线进行单据录入，批处理文件，线上审核付款等。 17 第 3 章 erp 环境下的内部控制案例分析 第 3 章 erp 环境下的内部控制案例分析 3.1 sap 与 erp 的关系 erp 作为现代企业的管理平台，为企业提供整体解决方案。现在，国内外有 很多 erp 的供应商。国外的供应商主要有：sap，oracle，国内主要有：用友、 金蝶等。 erp 的原理很明确， 但是每一家软件公司的产品在功能上， 尤其是在细节上， 却有很大的差别。根据赛迪网 2005 年 12 月 26 日公布的“中国制造业信息化工 程风云榜入围名单” ，国内 erp 厂商用友、金蝶、速达等入围中国制造业信息化 十大优秀供应商名单，国外 erp 厂商如 sap、hp、oracle 等入围“中国制造 业信息化十大国际榜样供应商名单” 。 it 专家网上有一份“erp solution 评估调查表” ，调查表对 sap，oracle， jde 和鼎新软件在 erp 的应用中从信息技术观点、软件整合性能、实施的角度、 财务会计与管理角度、物料管理的角度、现金与投资管理的角度、技术支持和售 后服务的角度以及公司的侧面进行评分。 评分结果表明： sap 软件在 erp 的应用 方面具有较强优势。同时说明 sap 软件在性能方面相对比较稳定。 erp 系统具有资源整合的功能，可以说对企业的管理是一种创新。在实施过 程中，由于系统本身的弱点以及操作人员对系统的掌握程度不同，导致业务流程 中出现了风险，加强内部控制、降低风险成为完善 erp 系统功能的主要途径。 正是基于 sap 的这些特点，本文以 sap 系统作为 erp 系统的研究对象，对 sap 软件在企业中的应用进行案例分析，深入研究 erp 环境下企业存在的风险， 并制定应对风险的措施。 3.2 案例背景介绍 a公司是一家制药企业。高层领导全力支持实施erp系统；企业的基础管理 工作较好，生产稳定，基础数据齐全；企业自身技术支持力量强，有一支强大的 人才队伍，能够支持系统的实施及维护等；在实施erp系统前，企业已经有用计 算机进行管理的经验，各子系统的应用已经较为成熟；企业资金较为充裕。这些 是a企业有效实施erp的根本保证。 在erp的实施过程中， 考虑到企业自身的需要 以及供应商的技术支持力量、发展战略，该公司选择了sap r/3软件。ibm咨询公 司是sap实施中的顾问公司。实施erp系统之后，希望达到企业资源的最优配置， 促进企业的管理现代化、科学化，适应竞争激烈的市场要求。员工根据工作需要 18 被授予一定的权限，可以进入sap系统中进行相应的操作。 3.3 sap 系统概述 3.3.1 sap 系统功能介绍 sap的中文意思是在数据处理中的系统、应用和产品。sap是一个软件公司 的名称，但是，我们习惯地统称sap公司的产品为sap。sap公司的主要产品有： sap r/3系统、mysap、 sap business one, sap netweaver, esa等产品。作为全 球企业管理软件的业界领袖和协同电子商务解决方案的市场领导者，sap早在八 十年代就开始同中国国营企业进行项目合作， 并取得了成功的经验。 作为中国erp 市场的绝对领先者，sap中国为近300家各行业、各种规模的企业提供管理方案和 专业服务，市场占有率已接近30%。 在全球市场erp销售市场上占有很大份额的德国sap系统软件，因其具有高 度集成化的模块结构、应用范围广、网络链接功能、开放性、国际化、不受千年 问题的困扰等优势，并随着中国经济的不断发展和大规模的外商投资企业不断进 入中国，也正不断地被引进到中国来。sap系统可以涵盖很多行业：政府业、银 行业、制造业、零售业、高科技行业、保险业等。 sap r/3是sap推出的第一个中国本土化的系统。 它包括财务会计、 管理会计、 生产计划和控制、项目管理、物料管理、质量管理、工厂维护、销售和分销、服 务管理、人力资源管理等模块，具体全面、集成、灵活开放的特点。sap r/3是 一个基于客户/服务机结构的、开放的、系统的、集成的企业资源计划系统。其功 能 覆盖企业的财务、后勤和人力资源管理、sap业务工作流程系统以及因特网应 用链接功能等各个方面