對企業(yè)所面臨的風險而言，企業(yè)仍需要通過建立內(nèi)部控制體系，提高風險管理水平，規(guī)避和弱化企業(yè)經(jīng)營管理過程中遇到的各類風險許多企業(yè)為了適應(yīng)國際化和市場化的要求，紛紛建立自己的內(nèi)部控制體系和應(yīng)用ERP管理系統(tǒng)，這兩個體系都是涉及面廣、規(guī)模浩大、費用高昂的項目。那么這兩者之間到底是什么關(guān)系，有什么異同，是否可以相互替代或互為補充，這是本文要探討和希望解決的問題。

        一、內(nèi)部控制簡介

        1.內(nèi)部控制的概念

        控制可以分成內(nèi)部控制和外部控制，外部控制是指通過企業(yè)所處的外部環(huán)境（比如影響企業(yè)外部活動的法律、法規(guī)、歷史文化和社會意識形態(tài)等企業(yè)自身功能不能左右的因素）對企業(yè)經(jīng)營活動的約束和規(guī)范；而內(nèi)部控制則是指企業(yè)為了實現(xiàn)自己的既定目標而進行的自身內(nèi)部的自我組織、自我調(diào)節(jié)和自我修正。

        對內(nèi)部控制的認識是隨著時間和環(huán)境的變化而逐步成熟完善起來的。企業(yè)內(nèi)外部環(huán)境的不同，也對內(nèi)部控制的理解有差異。我國的《獨立審計具體準則第9號——內(nèi)控制度與審計風險》中對內(nèi)控制度的定義表述是“本準則所稱內(nèi)部控制，是指被審計單位為了保證業(yè)務(wù)活動的有效進行，保證資產(chǎn)的安全和完整，防止、發(fā)現(xiàn)、糾正錯誤與舞弊，保證會計資料的真實、合法、完整而制定和實施的政策與程序”。

        美國會計師協(xié)會對內(nèi)部控制作出的權(quán)威性的定義是“內(nèi)部控制是企業(yè)所制定的旨在保護資產(chǎn)、保證會計資料可靠性和準確性、提高效率，推動管理部門所制定的各項政策得以貫徹執(zhí)行的組織計劃和相互配套的各種方法及措施?！?。COSO委員會把這個定義進行進一步描述為：內(nèi)部控制是一個過程，它受董事會、管理者當局和企業(yè)內(nèi)部其他員工的影響，其目的是為了下列目標的實現(xiàn)提供合理的保證。這些目標包括：經(jīng)營的有效性和效率性；財務(wù)報告的可靠性；法律法規(guī)的遵從性。內(nèi)部控制要素有五個方面：控制環(huán)境、風險評估、控制活動、信息與溝通和監(jiān)控。

        基于以上概念，國內(nèi)許多企業(yè)在具體進行內(nèi)部控制體系建設(shè)時，認為“內(nèi)部控制，是指企業(yè)為實現(xiàn)經(jīng)營目標，確保會計信息真實可靠，保護資產(chǎn)安全完整，遵循有關(guān)法律法規(guī)和規(guī)章制度，提高企業(yè)運營的經(jīng)濟性、效率性和效果性而制定和實施相關(guān)政策、程序和措施予以合理保證的過程?！?/p>

        2.兩個定義的異同

        雖然國內(nèi)的定義基本上沿用了美國的定義，但是從兩個定義來看美國定義內(nèi)涵和外延比國內(nèi)定義的范圍要大一些，國內(nèi)定義繼承和包涵了美國定義的強調(diào)部分和精髓，但對除財務(wù)信息、資產(chǎn)安全外的企業(yè)內(nèi)部管理控制內(nèi)容基本沒有涉及。雖然國內(nèi)的定義更符合目前我們注冊會計師的執(zhí)業(yè)水平和當前的國內(nèi)經(jīng)濟發(fā)展狀況，但是在適當時候國內(nèi)的定義應(yīng)該進行修整，使其更多地轉(zhuǎn)到內(nèi)部控制因素上來進行表述。國內(nèi)企業(yè)在建立自己的內(nèi)部控制體系的實際操作中更多的是參照了美國的內(nèi)部控制定義和COSO委員會提出的五個內(nèi)部控制要素。

        3.內(nèi)部控制概念的內(nèi)涵

        美國內(nèi)部控制的定義給內(nèi)部控制確定了四個目標：資產(chǎn)的安全性、財務(wù)信息的可靠性和準確性、經(jīng)營成果的效率性、法律法規(guī)的遵從性。從這四個目標我們可以看出兩點：首先是內(nèi)部控制不直接產(chǎn)生經(jīng)濟效益，而是通過控制風險、規(guī)避風險、提高運行效率為提高經(jīng)濟效益作保障；其次是從注冊會計師的法律責任來考慮，內(nèi)部控制已經(jīng)超出了注冊會計師的法律范圍了。

        美國會計師協(xié)會對內(nèi)部控制還作了如下劃分：“廣義地說，內(nèi)部控制按其特點可以劃分為會計控制和管理控制?！逼鋵崳@個劃分就是把內(nèi)部控制的四個目標按照控制責任主體進行了歸類：前兩個目標的控制基本歸為內(nèi)部會計控制，后兩個目標的控制基本歸為內(nèi)部管理控制。其實在管理以及審計實務(wù)中，這兩者往往會交叉在一起，難以嚴格的界定和區(qū)別開來，就是區(qū)別開來實際意義也不大。

        根據(jù)這個分類，我們可以通過分別理解內(nèi)部會計控制和內(nèi)部管理控制來理解和詮釋內(nèi)部控制的定義。    

        內(nèi)部會計控制：內(nèi)部會計控制是由保護資產(chǎn)安全和保證財務(wù)信息真實可靠的相關(guān)工作流程和工作記錄構(gòu)成的控制體系。內(nèi)部會計控制的控制范圍是能夠用貨幣計量的經(jīng)濟活動，其實現(xiàn)的基本手段是財務(wù)工作流程和財務(wù)控制標準，主要目的是保護企業(yè)資產(chǎn)的安全和財務(wù)信息的準確可靠。    

        內(nèi)部管理控制：內(nèi)部管理控制是為提高企業(yè)經(jīng)營效率，促使遵行各項管理政策，以便達到既定目標的控制體系。內(nèi)部管理控制的控制范圍是企業(yè)所有的內(nèi)部管理活動和管理職責，是對各項經(jīng)濟業(yè)務(wù)進行內(nèi)部會計控制的起點，其實現(xiàn)的手段是制度和工作流程的控制，主要目的就是提高企業(yè)的經(jīng)營效率，保證各項規(guī)章制度的順利執(zhí)行。

        二、ERP簡介

        1.ERP的發(fā)展歷程

        世紀70年代，制造企業(yè)管理者為了有效地進行物料管理和利用，形成了物料需求計劃MRP；80年代為了解決生產(chǎn)與庫存控制的集成問題，又產(chǎn)生了制造資源計劃MRP-Ⅱ；90年代企業(yè)信息處理量不斷加大，企業(yè)資源管理復(fù)雜化也加大了，這樣信息集成度的要求就隨即擴大到了企業(yè)的整個資源利用和管理，于是就產(chǎn)生了管理理論與計算機系統(tǒng)——企業(yè)資源計劃ERP(Enterprise Resource Planning)。  MRP-Ⅱ的核心是物流，主線是計劃；而ERP的主線雖然也是計劃，但重心是財務(wù)，ERP的管理范圍涉及企業(yè)所有供需過程，是對供應(yīng)鏈的全面管理。與以往的管理軟件相比，它極大地擴展了業(yè)務(wù)管理的范圍。

        2.ERP的實質(zhì)和優(yōu)勢

        是一個對企業(yè)資源進行有效共享與利用的系統(tǒng)。ERP通過信息系統(tǒng)對信息進行充分整理、有效傳遞，使企業(yè)的資源在購、存、產(chǎn)、銷、人、財、物等各個方面能夠得到合理地配置與利用，從而實現(xiàn)企業(yè)經(jīng)營效率的提高。從本質(zhì)上講，ERP是一套信息系統(tǒng)，是一種工具。ERP在系統(tǒng)設(shè)計中可集成某些管理思想與內(nèi)容，可幫助企業(yè)提升管理水平。

        作為企業(yè)信息化建設(shè)的核心組成部份，它的優(yōu)勢不僅僅在于幫助企業(yè)建立一套信息化管理系統(tǒng)，更重要的是它是體現(xiàn)現(xiàn)代管理思想和方法的一種先進工具。

        三、內(nèi)部控制與ERP管理系統(tǒng)的關(guān)系

        1.ERP是內(nèi)部控制的工具和手段之一

        內(nèi)部控制內(nèi)控的目標基本涵蓋了企業(yè)經(jīng)營活動的全部內(nèi)容，而ERP作為信息系統(tǒng)，是為企業(yè)經(jīng)營目標服務(wù)的。ERP實施前要求有關(guān)組織重新設(shè)計和改進其業(yè)務(wù)流程，進行業(yè)務(wù)流程再造，再造后的流程成為組織必須遵循的共同標準。流程再造的設(shè)計過程中，設(shè)計人員集成某些管理思想，體現(xiàn)有效控制和高效配置企業(yè)資源的信息化優(yōu)勢。所以在ERP的流程再造的設(shè)計過程中，可以把相關(guān)的部分內(nèi)部控制要求加以考慮，以致這些要求最終成為組織內(nèi)部所共同遵守的標準。

        內(nèi)部控制系統(tǒng)隨著時間、環(huán)境條件、所應(yīng)用的控制方法的變化而不斷變化，ERP就是在內(nèi)部控制系統(tǒng)發(fā)展的歷程中某個時點上的一種相對完美的控制工具和手段。內(nèi)部控制五要素中控制活動的手段可以分為人工控制和自動控制，通過ERP實施控制活動就是典型的自動控制。對于一些不能通過自動控制來實現(xiàn)的控制活動，還要應(yīng)用人工控制，比如：我們對于難以量化需要以職業(yè)判斷為主的控制手段“危險信號”的控制；對于不在ERP線上的其他信息系統(tǒng)控制（如與員工上下班的IC卡控制）等等。

        2.ERP本身是內(nèi)部控制的客體

        是由主觀意識的人設(shè)計和進行具體操作的，其最前端輸入的數(shù)據(jù)決定其產(chǎn)出產(chǎn)品的質(zhì)量，“垃圾輸入決定了垃圾輸出”。若輸入錯誤的數(shù)據(jù)，其影響也一樣會遍及企業(yè)整個范圍和相關(guān)角落，最終可能導(dǎo)致嚴重的管理決策錯誤，而該數(shù)據(jù)源則由人為控制著，具有一定的主觀性；另外，ERP同其他信息系統(tǒng)一樣也面臨著諸如財產(chǎn)價值、法律責任、資產(chǎn)安全等風險，也需要對其進行有效的控制。

        3.ERP是信息與溝通的組成部分

        在COSO的內(nèi)部控制框架中，信息與溝通是貫穿整個內(nèi)部控制系統(tǒng)的要素。ERP作為信息集成系統(tǒng)，可以承擔量化信息的篩選、集輸、溝通。在ERP系統(tǒng)的設(shè)計、開發(fā)、實施、運行、維護及管理中，可以把內(nèi)部控制體系中對信息的總體控制和應(yīng)用控制要求加以體現(xiàn)，比如在ERP的設(shè)計階段就可以把信息安全、系統(tǒng)變更管理等思想和要求加以考慮。

        使得量化的信息溝通更便捷，并能達到全方位的信息共享。在企業(yè)內(nèi)部，只要是ERP上的合法用戶，就可以隨時享受共享的信息，從而幫助管理者及時識別、捕捉確切的與企業(yè)經(jīng)營活動相關(guān)信息，抓住判斷時機，實現(xiàn)信息溝通的目的。

        4.ERP具有一定的局限性

        作為信息技術(shù)，它是企業(yè)管理工具和手段的一種，如上文所述，它不能代替所有的管理工具和技術(shù)；ERP業(yè)務(wù)復(fù)雜，運作和維護成本高，規(guī)模較小的企業(yè)不適合采用該技術(shù)；ERP各模塊是根據(jù)業(yè)務(wù)實際設(shè)置的，沒有標準化的模型，所以對于不同類型的企業(yè)，ERP的內(nèi)容也不盡相同，這對于經(jīng)營范圍廣的大型企業(yè)集團來講就很難設(shè)置統(tǒng)一量化的考核評價標準等等。

        從上面的分析可以看出，ERP就是一種管理和控制的工具和手段，它的優(yōu)勢在于最大化的信息集成，并把特定的管理要求固化，但是它本身并不創(chuàng)造控制體系；對內(nèi)部控制體系而言，它是自控控制和信息與溝通的一個重要組成部分；對企業(yè)所面臨的風險而言，企業(yè)仍需要通過建立內(nèi)部控制體系，提高風險管理水平，規(guī)避和弱化企業(yè)經(jīng)營管理過程中遇到的各類風險。

        或許部分地基于上述原因，在ERP應(yīng)用已經(jīng)相當成熟的美國，在安然、世通等公司出現(xiàn)內(nèi)部管理漏洞后，其證券交易委員會又以法定的形式要求上市公司必須建立內(nèi)部控制系統(tǒng)，以加強上市公司的內(nèi)部控制，增強其抵御風險的能力，提高財務(wù)報告的質(zhì)量，明確其法律責任。