(一)完善风险管理机制

企业信息化意味着企业各部门、各作业单位之间，以及企业与外部，如供应商、客户、合作伙伴等通过实时互联的网络实现信息、作业高度共享，网络的开放性把企业暴露于各种风险之中。企业除了要建立传统的风险管理机制之外，还要结合信息化的特点，建立基于信息化的风险管理机制:一是建立一套信息网络系统安全政策和制度;二是定期对系统安全政策与制度的实施效果进行评价;三是通过企业内部会计控制框架的构建，建立、健全预算及责任控制，强化信息化的风险意识。必要时企业可设置风险评估部门或岗位，专门负责有关风险的识别、规避和控制。

(二)优化企业内部控制的环境

COSO报告指出，内部控制环境是内部控制的主要构成因素。影响控制环境的因素很多，主要包括管理理念、公司的治理结构、管理控制方式、人力资源等方面。为了能够有效地实施企业内部控制，企业主要应从以下几个方面着手:

1.优化企业的组织结构，明确权利职责

作为公司制的企业，应该按照相关法规设立相应的董事会、股东会、监事会，并按照公司章程运转，合理选聘优良的经理管理层，处理好集权与分权的关系，明确董事会、股东会、监事会的职责，为设计、执行、控制和监督活动提供基本的框架。同时，在各职责部门之间应该建立起畅通的沟通渠道，保证各部门能够进行有效沟通与交流，使整个组织在高效、协调的机制下运行。

2.建立起有效、合理的内部管理制度

为了保证企业的正常运营，应该实行权责明确、管理科学、激励和约束相匹配的内部管理制度，调节所有者、经营者和员工之间的关系。并根据公司运营的现状，建立起一套合理、有效的内部经理人激励机制，包括规范经理人员的选拔，规范公司资本保值增值目标的考核程序，维护股东方利益，防止内部人为控制，严格实行内部会计与审计控制制度，强化对经理人员的在任审计和监督。另外，还要通过产品市场、资本市场及经理人市场，建立起相配套的经理约束机制。通过合理的激励与约束机制，使经理人既有充分的经营管理权，又能使其尽职尽责地履行对受托人的义务，使企业的效益最大化。通过机制的逐步完善，来推进企业经营管理的规范与调整，使内部控制的目标责任能顺利实现。

3.明确岗位职责，实施关键岗位分离制、轮岗制

现行的ERP系统都相对使得业务流程复杂化，越来越多地依靠系统进行控制。系统是死的，更主要还是由人来实际操控的。因此，对人的控制要比对系统的控制更加重要。对于程序设计与开发人员，他们应仅有对数据测试运行的权限，而不能进行实际操作。除非有特殊事项，在征得相关负责人的同意后，方可以进行数据的传输，但不得对数据进行修改、删除。对于一般业务部门录入的基础数据，在数据生成完毕后要及时传输给财务部门进行确认，在财务人员已经确认审核通过后，业务部门不得再对数据进行修改。财务部门的员工之间也要做到相互监督与控制，以SAP系统为例，财务部门员工对业务输入的基本数据进行确认审核的时候，应做到审核人员与确认记账人员相分离，以防止财务人员与业务人员相勾结。对重要报表的输出应有相关的控制程序，报表输出与录入应建立专门的ERP管理系统，报表的输入输出需要详细的记录。一旦发现异常，应有相应的警告与提示，并呈报相应的主管领导和内部审计人员，达到实时监控的职能。对在ERP系统中的信息数据，应该有日志备份文档，对在系统中的所存操作都要详细记录，即便有人故意篡改数据，都能够方便、详实地查询到相关操作信息，将系统受人为影响降到最低限度。

4.确立董事会在公司经营管理中的核心地位

董事会要真正成为公司运营的主导机构，重大经营决策方针都必须由董事会讨论决定，而不是由大股东或几个人说了算。ERP系统的有效运行应该是以董事会的有效运营为基础，否则就会沦为利益集团的工具。积极推进董事会制度建设的同时，要逐步改善公司治理结构，保护投资者利益，真正发挥独立董事的外部独立监督作用。

5.加强对ERP信息系统的软硬件的监督和管理

作为内部控制重要手段的ERP信息系统，所依赖的是一个强大的软硬件平台。为了保证企业的正常运转，必须保证这个平台的稳定与高速运行。要加大对软硬件系统的维护与评价，定期出具系统运行报告，定期轮换系统监测与维护人员。对于重大系统故障，要向董事会报告，不得私自做出决定，以免造成重大损失。每年的审计，注明会计师应当对企业的ERP系统的软硬件进行审计，测试在这个系统上运行的ERP提供的数据是否真实、准确、可靠，并在审计报告中给予披露。

6.加强专业人才的培养与开发

信息经济时代对从事财务工作的人员提出了更高的要求，要求有扎实的计算机水平和不断更新的专业知识。这就要求企业应加强对员工的培训，不断地为其提供新的课程培训和企业文化引导，形成爱岗敬业的基本素质，并加强员工职业道德和企业文化建设。优秀的企业文化，往往能够将员工的道德风险降到较低水平，对于企业内部控制是相当有利的。在信息化环境下，应倡导动态的企业文化，提倡团队精神，对不断变化的环境做出快速反应。

(三)加强外部审计机构对内部控制的评价

为了更有效地实施内部控制，企业应聘请外部专业的审计机构对企业的内部控制进行评价与分析，重点是实施ERP系统以后，企业的内部控制是变好了还是比以前差了，在ERP系统上运行是更安全还是危险增大了，在ERP系统上运行的数据是否真实、可靠地反映了企业的经营管理状况，企业的治理是否稳定在一个合理、健康的水平上。外部审计机构需要定期提供内部控制状况报告，提交给企业的董事会、股东会、监事会等相关职能部门。若是上市公司，还应提交给证监会等相关部门，让企业的经营信息公开化、透明化，促进企业自身的健康、持续发展。