本站原创【摘 要 】在ERP环境下,企业业务运作更加依赖于ERP系统,导致企业出现了新的业务控制风险.本文通过对ERP系统内部控制风险的分析,提出了风险防范的相应措施.
【关 键 词 】ERP;风险;内部控制
ERP系统是建立在信息技术基础上,利用现代企业的先进管理思想,全面集成企业的所有资源,并为企业提供决策、计划、控制与经营业绩评价的全面化、整合化和动态化的管理平台.在ERP环境下,由于企业业务运作更加依赖于ERP系统,导致企业出现了新的业务风险.如何对这些风险进行防范,值得企业关注及防范.
一、ERP系统内部控制风险分析
(一)控制流程风险
由于控制流程与过去相比发生了根本性改变,因此其对企业内部控制风险的影响最大.ERP强调企业流程与工作流,通过工作流实现企业人员、财务、制造与分销间的集成,支持企业流程重组.但ERP系统一般是固定的模式结构,企业在运行时,软件无法灵活地适应个性化的企业流程要求,且企业在进行管理与业务流程重整时,很难真正达到从组织结构、生产流程、业务流程方面全面适应ERP系统的效果.于是现有ERP系统结构与功能制约了企业动态重整过程.另外,企业组织重组与业务流程简化,会造成很多审批环节的缺失,隐含内部控制流程不完善的风险.
(二)计算机系统风险
计算机系统风险主要指来自于计算机硬件和软件两方面的风险.计算机硬件以及与之相关的设备都存在着外部不可抗拒的因素(如火灾、停电等),而一些人为因素(如操作失误等)也会引起系统故障,从而导致数据丢失甚至瘫痪.且由于其系统一体化、数据逻辑化、信息生成自动化的特点,内部控制无法触及,一旦出现故障,损失便很严重.软件风险主要指的是应用ERP软件时存在的各种风险,由于ERP系统功能繁多,ERP软件具体运用于企业时,不可避免地存在某些功能不足或潜在的软件缺陷,如软件功能与企业需求的切合度、系统的集成性、软件的成熟性和稳定性及对中文界面和数据的支持程度等,这都将影响ERP系统的正常运行,给内部控制带来潜在风险.
(三)人员道德风险
主要是指企业内部人员和外部人员(如)对会计数据非授权的访问、篡改、泄密和破坏等方面的风险.随着计算机网络、电子商务的不断发展,高级系统用户可随时随地访问系统模块或系统控制,甚至改变一些重要业务参数.由于ERP系统涉及整个企业的运营流程,这样一方面使企业员工可更方便快捷地处理问题、提高效率,但另一方面若缺乏有效管控,ERP用户就有可能获取或改变与其不相关的信息或数据,给系统安全带来威胁.另外,互联网的开放性,也给系统带来了一定的安全风险.
(四)环境控制风险
内部控制的风险大小很大程度上取决于企业管理当局的态度.ERP系统无疑加剧了这一风险.如果企业管理当局无法充分将ERP系统的现代管理理念融入企业管理思想和管理模式,内部控制将无法实现.
二、防范ERP系统内部控制风险的措施
(一)落实流程性控制
1.输入控制.在ERP环境下,从不同计算机上输入的不同会计信息交叉在一起,形成了庞大、复杂的会计信息数据库,再加上信息共享,若内部控制不严密,直接影响会计信息环境下信息披露的准确性和可靠性.因此在信息输入系统前要经过检验,明确责任;数据输入过程中进行岗位分工;最后进行数据输入核对,最大限度地减少操作人员出错概率.
2.处理控制.数据输入计算机后,数据处理是否正确,其结果是否可靠,在很大程度上依赖于应用程序的正确性和环境控制的强弱.必须先进行严格检查与测试,查看该软件是否具有容错和纠错能力,确定该软件的合格性和合规性.纠正隐含在软件内的程序处理逻辑错误与计算错误,以提高计算机数据处理质量.
3.输出控制.对输出进行控制可以有效地保证系统完整、准确地输出经处理的会计信息,保证输出结果能够快速正确地发送到有关部门手中.
(二)落实配置性控制
1.计算机硬件层次上的所有控制.硬件控制通常是由计算机硬件制造商设计、并安排在计算机硬件设备上的,如边界保护、双电路、奇偶校验、溢出校验及程序固化等.设置这种控制的目的,是为使计算机有更高的可靠性,在环境出现一些细微干扰时不至于影响计算机运行.
2.系统支持软件中的控制.系统支持软件主要指单机、网络操作系统、数据库管理系统等基础软件.这些软件中的控制通常是由像Microsoft、Oracle一类专业性软件公司设计的.恰当地利用系统软件提供的控制机制,是加强电算系统安全,提高开发、运行和维护效率的基本手段.
3.应用软件中的控制.此类控制一般由软件开发单位在软件开发时设计在程序中.与前两种控制相比,这种控制不具有普遍性,是针对会计信息的处理特点来设置的,受会计电算化管理规章的约束.
(三)落实权限类控制
信息系统环境下的内部权限控制始于系统初始设置阶段,即通过系统管理员对工作人员、工作范围等进行设置,工作人员采用口令或按照所授予的权限对系统进行作业,不得超越权限接触系统.这样ERP系统就能保证企业的各项业务均由被授权或被批准的人员执行.同时由于系统维护人员能直接接触会计数据库、会计软件和熟悉信息系统技术的关键人员,他们的有意作案或无意的误操作所造成的影响很难估量,所以必须用制度严格约束.此外,为防止非法用户和侵入会计信息系统,可通过设置防火墙、采用身份识别系统等技术防护措施;对重要的商业秘密,可在软件中采取数据加密技术.
(四)落实ERP固有控制
1.常规业务的控制.ERP系统能自动拒绝不符合规范的操作步骤.日常经济业务都是以信息的形式在各部门进行传递的,企业将经济性业务的流程加以规范,保证各环节的信息都是真实可靠的.
2.会计信息的控制.首先,规范会计核算过程,方便会计工作和监管信息的提取;其次,在系统中根据预先设计好的标准,自动完成计提费用和摊销费用等工作;再次,利用ERP系统可以自动取数的功能,在报表中设置好公式后,自动生成报表,可保证会计报表真实完整.
3.各部门之间的相互监督.在ERP系统下,在各部门之间存在相互监督的关系,这时的记账凭证财会人员不能随便进行更改,可保证会计信息的真实可靠性,ERP系统形成了一个相互依赖、相互制约的内控网络.
4.无痕迹修改的控制.在ERP系统中,对不正确的数据可做到不留痕迹的修改,这样其原有的重要特征彻底消失,给控制带来难度.因此在建套账时,严格规定一个人为数据的输入者、审核者,会计主管监督两人的实施并作出适时干预,同时建议软件设计者能在现有基础上进行改进,吸收手工操作系统的优点,弥补现有软件的不足.