ERP(企業資源計劃)基于先進的企業管理理念，一方面作為集信息和控制于一體的系統應用，為內部控制提供了工具和平臺;另一方面作為集成的大型信息系統，其固有的信息系統風險，也為企業內部控制帶來了挑戰。因此，加強ERP與企業內部控制的整合研究，全面防范企業經營風險，已經成為企業上線ERP必須需要思考和關注的迫切問題。

一、ERP與內部控制的關系

（一）ERP可以改善企業內部控制。ERP的實施，使企業管理結構變的扁平化、流程化，決策者和執行者能夠快速溝通，控制層次明顯減少，控制責任更加明確，對內部控制環境的改善和信息與溝通的效率帶來很大的促進作用。ERP系統通過信息技術手段，對業務流程和控制進行合理設計并固化在系統中，增強了業務流程的執行力和提高了控制的實時性和準確性，提高了內部控制的自動程度和效率，形成新的控制理念。

（二）ERP是內部控制的對象。從本質上講，ERP是一套信息系統，是一種工具，是由具有主觀意識的人設計和進行具體操作的，但“垃圾輸入決定了垃圾輸出”，若輸入錯誤的數據，對實現企業目標的影響同樣是致命的，有可能導致嚴重的管理決策錯誤。因此，從內部控制的角度來講，必須將ERP系統作為控制對象，從信息技術的角度，評估風險并建立相應的信息系統總體控制和應用控制，確保ERP系統的運行質量和運行效率。

因此，ERP系統的實施對內部控制的影響具有兩面性：一方面，ERP實現了最大化的信息集成，可以把特定的管理要求固化，提高了內部控制自動化程度，也可以實時信息共享，增強了信息的時效性、可獲取性和正確性，因此企業可以通過ERP來優化內部控制；另一方面ERP作為一種管理和控制的工具和手段，本身并不創造控制體系，而且作為大型的復雜的集成信息系統，也給內部控制來了新的風險，因此ERP環境下，企業必須加強信息系統控制，提高風險管理水平，確保企業內部控制持續有效運行。

二、ERP與內部控制的整合

（一）業務流程規范。ERP系統的成功應用離不開業務流程規范。ERP側重在合理的業務流程基礎上實現對企業資源的整合和有效利用，各模塊之間有著密切的關系，數據在系統內實時傳遞和共享，數據的處理責任、方式和流向都會較ERP實施之前發生重大變化，企業原有的業務流程不再適應新的管理思想和管理模式，因此，只有通過業務流程規范，建立基于ERP系統標準流程上的、符合內控要求的新流程，才有可能上線ERP系統。業務流程規范主要有以下三種情況

1、流程整合。ERP系統將手工控制變為自動控制，因此相關內控流程不再適用，必須通過ERP藍圖設計過程整合相關流程，如計劃審批流程、成本核算流程等；

2、流程修訂。ERP系統操作貫穿業務流程的全過程，必須用系統操作流程替換原來手工操作流程，使業務流程和實際業務相吻合，如憑證審批、項目進度等流程；

3、新增流程。原有的內控體系并沒有涵蓋全部業務流程，尤其是針對ERP系統維護和接口類等相關流程。如基礎數據維護，主數據維護、價格維護等流程。

（二）信息系統控制規范。ERP作為集成的大型信息系統，系統外圍物理安全和系統本身邏輯安全均對企業內部控制帶來風險，為此，必須建立相應的信息系統總體控制和信息系統應用控制，確保系統的總體安全。信息系統總體控制適用于企業在信息技術的開發、實施、運行、維護及管理等方面的控制，它可以更好地保護企業的信息資產，可以提高信息系統對業務的支撐力度，增強企業信息系統的運行效力。信息系統應用控制包括應用軟件中的電算化步驟以及用以控制不同種類交易處理的相關手工操作程序。這些控制結合在一起，可以保證系統中的財務和其他信息的安全性、完整性、準確性和有效性。信息系統總體控制是應用系統控制的基礎，應用系統控制依賴于信息系統總體控制，兩者共同保證信息處理的完整性和準確性。

（三）權限管理規范。權限管理是ERP系統內部控制的重中之重，如何權限管理不到位，造成授權不當，企業運營的風險也大大提高，這種風險主要包括兩個方面：一是讓更多原本沒有必要了解這些信息的員工可隨時掌握這些信息，大大增加了泄密的可能性；二是原本沒有必要操作或加工這些信息的員工擁有了這些權利，增加了管理失控的可能。

1、編制ERP系統職責分離矩陣。《職責分離矩陣》在滿足主數據維護、財務活動和其他業務活動互斥的基礎上，定義相關模塊各項業務活動之間的互斥關系。

2、嚴格權限設計。權限管理人員根據實際業務和ERP建設情況，確定業務活動和事務代碼的適用和使用情況，從業務角度確保權限設計和實施的合理性。

3、開展權限測試。雖然在權限設計的過程中充分考慮到權限職責分離的情況，但并不能實現權限的完全事前控制，因此必須要進行權限測試，通過定期的權限檢查發現權限問題并及時進行整改。

（四）加強內控監督。ERP環境下，內部控制體系的程序化使得內部控制在一定程度上具有了對ERP系統的依賴性，雖然在ERP項目建設過程中，內控體系針對ERP系統對現有內控體系的影響因素，進行了業務流程規范、加強了信息系統控制和權限控制，但企業真正上線ERP系統后，規范的流程在實際業務中是否可以良好的運行，設計的關鍵控制是否可以得到正確的執行，權限互斥和冗余權限是否可以得到控制，都需要在ERP系統上線后，開展專項測試，強化內控監督，確保內部控制體系設計有效，執行有力。

三、整合效果

（一）實現信息的集成。ERP系統集成了企業核心價值鏈的計劃、項目、采購、制造、銷售和財務各項企業資源，使財務與業務、業務與業務之間的信息實時傳輸，同時通過財務整合方案實現了ERP與原有財務管理系統的數據傳遞，各項管理信息最后自動歸集到財務進行核算，實現了企業各項資源信息的集成化。

（二）提高內部控制效率。ERP系統全面支持人、財、物等生產經營管理相關資源的調配，并支撐各種關鍵績效指標的監控管理，而且ERP系統的IT技術應用，促進了業務流程的核心價值最大化，將原來事后的監督控制轉變為事前預防、事中檢查和事后糾正的綜合控制，將原來以會計人員的會計控制轉變為全員參與的全面控制，提高了內部控制的效率。

（三）轉變管理理念，提升管理水平。ERP帶來了先進的管理思想，強調對企業內部甚至外部資源進行優化配置、規劃和流轉，著重管理活動的規范性，打破了部門之間的本位主義，優化了業務流程，標準化信息數據，提升企業的決策支持效率，充分發揮出公司級管理的最大效應，全面提高了企業管理水平。

ERP先進的管理思想和信息技術在提高企業內部控制效率的同時，也為內部控制帶來新的風險，必須進行風險評估和控制設計，同時，ERP環境下的內部控制還可能面臨新的未知風險，是一項長期的系統工程，必須常抓不懈。