浅析ERP系统下企业内部控制的风险与防范

ERP系统与企业内部控制的内涵

    所谓企业内部控制，一般被认为是为了保证企业资产安全性、财务会计资料的完整性以及业务活动实施的有效性、目的性而制定和实施的各项政策、规范和过程控制体系。20世纪30年代，“内部控制”作为一个专有名词被学术界认识，从最初的“内部牵制”发展到内部会计控制、内部管理控制，并形成了控制环境、风险评估、控制活动、信息与沟通、监督等五大要素。内部控制作为企业自行检查、制约和调整内部业务的自律系统，贯穿于企业经营活动的全过程。

    ERP(EntERPrise Resource Planning)系统全称为企业资源计划系统，它是建立在信息技术的基础上，对供销链上的实体以及供应、生产、财务、销售等业务流程内部资源的共享和协同，从而为企业各部门决策层、企业基层员工提供系统化、具有决策性的管理平台。该系统的引入，不仅能提高管理有效性、降低成本，给企业带来了巨大的效益，而且也给企业内部控制带来了不可忽视的影响及风险，如何防范内部控制风险将成为企业必须关注的重点。

ERP系统对企业内部控制的影响

    (一)传统的内部控制制度跟不上发展需要

    在ERP系统下，传统的会计系统操作程序如会计核算方式、数据处理流程等都发生了较大变化，至使企业内部控制的内容也将发生相应改变。然而，在实际的企业管理过程中许多企业的制度意识还较薄弱，相配套的管理制度修订的跟进还不及时，导致管理工作及程序存在漏洞，造成企业会计信息或数据失真等现象产生。

    (二)内部控制的范围不断扩展

    在ERP系统下，内部控制的内容有别于传统时代的内部牵制，除去保证会计资料的完整性、提高会计的分析决策能力和工作效率，建立科学的岗位责任制，防止浪费和舞弊行为等共同内容外，其范围将进一步扩大，主要表现在：对系统开发过程的控制、系统权限的控制、网络系统安全的控制、数据编码的控制以及对调用和修改程序的控制等，同时，由于会计数据也需人为输入、会计软件需要人工进行管理和维护，因此，维护人员与计算机操作人员的内部牵制，计算机操作管理、系统管理员、系统维护人员等的岗位职责等也被纳入内部控制的范畴。

    (三)传统的内部控制形式发生改变

    在ERP系统下，会计凭证的正确性不再需要通过账证相符、账账相符、账实相符等内部控制方式来保证数据的正确性，只需将原始数据输入计算机后便能实现会计数据的全面共享，自动生成许多所需帐表，事半功倍。那么，内部控制的方式便应转移到计算机内部，如编制科目汇总表、试算平衡检查、总账和明细账的核对、余额和发生额平衡检查等。由于会计电算化的程度不同。程序化控制的数量也会有所不同，一般来说，电算化程度越高，采用的程序化控制要求也越多。

    (四)传统的内部控制重点有所转移

    在ERP系统下，会计工作的绝大部分将由计算机系统进行处理，企业内部控制的重点相对传统会计的内部控制必定有所转移，所以控制重点将在会计信息的输入输出控制、人机交互处理的控制、计算机系统问的连接控制、组织结构和人力资源管理等方面进行强化，尤其是原始数据的输入，在电算化系统中，电子数据是由会计软件对原始数据进行处理后生成的，其输出数据的正确性与输入数据的正确程度息息相关，因此，确保输入数据的准确性成为保证会计信息质量真实、完整、准确的基本前提；其次，计算机系统是由岗位人员进行维护、管理、控制的，严格管理计算机的系统密码，严格划分管理人员操作权限，健全计算机硬件和软件的日常维护以及在排除故障时的治理措施，也是内部控制的重点，只有这样才能保证会计数据的安全性和完整性。”

ERP系统下企业内部控制存在的风险

    (一)数据处理风险

    在传统会计流程中，企业经济业务发生均为手工记录，会计凭证、账目及报表的书面字迹均由会计人员手工填制，若因笔误等正常原因进行修改都有严格规定，数据修改的痕迹显而易见，因此，原始数据的准确率的保障性较高。同时，内部控制主要依靠制度控制进行，若某位会计在记账凭证记录时发生错误，其它会计人员在进行明细账、日记账等处理时，也能及时发现问题，及时更正。

    在ERP系统下，内部控制具备制度控制及程序控制双重特点，会计原始数据均由操作人员依据原始凭证录入会计电算化系统，所有明细账、日记账及会计报表等会计资料均由计算机自动生成，一旦输入操作出现主观或客观错误，且没有安排岗位人员进行及时的复核或监控不及时不到位，将会引发记账凭证、明细账、总账甚至会计报表等一系列错误，造成会计数据失真，其错误不易及时察觉，及时更正。

    (二)数据安全风险

    传统会计下的会计资料多以纸质形式进行保存，数据丢失机率较低，而会计数据进行了增、删、修改的会计凭证或会计账册都可以从各自的笔迹和印章上分清责任，从而保证了会计数据的完整性和安全性。

    在ERP系统下，各部门之间使用的会计应用软件普遍重功能、轻安全；重软件，轻硬件。若计算机硬件设备配备不全，质量不高，可能影响会计软件的正常运行；数据的保存媒介——磁盘对外界环境要求较高，会计数据存在意外丢失或损坏的可能网络环境的开放性和动态性特点使网络会计信息系统有可能遭受“病毒”入侵或“黑客”攻击等。这些问题威胁到企业会计数据的安全性，对企业内部控制提出了严峻的挑战。同时，数据管理过程中的问题也不可忽视，虽在会计电算化系统中进行了权限划分，也可通过数据库日志对数据的更改进行监控，但专业人士在技术上对电子数据的非法修改可以做到不留痕迹地修改数据，篡改数据，甚至使数据系统陷入瘫痪，因此利用会计电算化系统进行犯罪具有很大的隐蔽性和危害性，发现舞弊和犯罪的难度较之传统会计时代更大，其造成的危害和损失也更强。

    (三)组织管理风险

    在传统会计中，手工工作耗时长，工作量大，内部控制的原则是依据职责进行岗位分工，各项会计资料由不同岗位人员分别记录、整理、保管，只有管理层级较高的人员才能完整浏览所有会计数据，且纸质数据易保存。被随意篡改或更新的可能性不大。

    在ERP系统下下，会计人员从繁重的手工记账解脱出来。岗位职责细分不再成为内部控制的重要原则，一名岗位人员须从事多种会计工作，处理多项会计资料，有的既要负责数据输入，还有可能负责账目的生成和数据的输出，职责的高度集中使得在未经充许的情况下进行数据修改和操作成为可能，增加了会计资料失真和工作人员作弊的机率，成为内部控制的隐患。同时，一些熟悉会计软件的专业人士对整个系统的控制措施比较了解。系统管理人员也彼此熟络，一些安全保密措施往往不能严格执行，系统的防护功能形同虚设，使得利用会计信息系统进行贪污、舞弊等犯罪活动的风险也不断增大。

ERP系统下企业内部控制的有效防范

    (一)加强内部控制制度的建设

    严格的内部控制制度是ERP系统信息真实可靠的有效保证，但目前我国开展会计电算化应用的水平不高。人们对人员分工、职务分离、，数据管理、系统安全等方面的重要性认识尚不到位，因此，企业必须立足现状，审时度势，制订全面、规范的会计管理制度和内部控制制度，规范业务流程，明确职责分工，严明工作纪律，才能从根本上提高科学管理水平，从而提升企业的竞争能力。

    (二)加强数据处理控制

    ERP系统中数据的输入、流转、生成及输出是进行会计数据处理的主要环节，与会计资料的正确性息息相关，因此，是内部控制的重点。输入控制首先要不断强化操作人员的责任意识，督促其不断提升业务水平，还应在管理上建立控制，如建立科目名称与代码对照文件程序。以防会计科目出现输人错误；适当授权和审批，有效防止操作人员违规操作：设置责任控制，通过登记日记文件或纸质日记账等形式，进行双重备份，防止经济业务被遗漏、添加、重复或不正当地更改，并对不正确的经济业务进行删除或更正；在数据流转、生成账目或报表的过程中，严格遵循会计工作流程，应对数据有效性进行检测，确保数据处理的可靠性和正确性；并预留审计线索，加强错误纠正控制力度。输出控制的目的是保证会计资料的真实、合法性，因此既要对数据的完整性，正确性进行审核控制，还要在授权输出和打印程序等方面进行有效控制。

    (三)加强系统安全控制

    系统安全控制是指使用有效方法保护会计数据和计算机程序，以防止会计数据外泄、篡改或破坏而实旋的一种控制制度。由于会计电算化系统的应用包括硬件、软件两方面。因此，它们都应成为控制对象。首先，在硬件控制时，要高度重视硬件设备的配置与质量，如：应采用先进的硬盘镜像技术防止硬件设备的意外损坏，采用双服务器连动机制有效防止数据库遭遇“黑客”攻击。配置移动硬盘和光盘刻录机等移动存储设备，及时做好数据的备份工作，防止数据意外丢失。其次，在软件管理时尽量使用正版软件，重点做好数据库及会计电算化系统的维护和升级工作，为系统的正常运行提供安全、干净的运行环境。网络系统安全方面，应注意对用户进行权限和密码设置，只有被授权的用户才能在系统中进行相应操作，对重要的操作日志进行记录、管理和备份，禁止用户自行安装或卸载软件。尤其是数据库系统软件的安装，以防止利用数据库系统打开账套数据库进行非法篡改。

    (四)加强组织管理控制

    组织管理控制是通过部门的设置、人员分工、岗位职责的明晰等形式进行内部控制，从而达到管理人员问相互制约、相互牵制，防止或减少违规违纪事件的目的。因此，在进行会计岗位分工时，应将不相容业务职能进行有效分离，如：业务审核职能与计算机操作职能相分离、数据处理职能与数据审核职能相分离、纸质文件保管职能与计算机操作职能相分离等。其次，还应建立一定的内部牵制制度：如加强各会计环节数据审核职责。再如，软件维护后必须经过维护人员、内审人员和用户的共同测试和签字才能正式投入使用。

    (五)加强会计档案控制

    会计档案包括打印输出的各种纸质记账凭证、会计报表、账簿、存储会计数据和程序的软盘及其他存储介质。随着企业实行会计电算化和ERP系统后，存储介质都发生了改变。对会计档案管理的要求也更加严格。第一，会计档案应以计算机打印的书面影式，有会计主管和系统管理员签章后才能存档保管。保管期限截至该系统停用或有重大修改后三年，保管的其他规定应按《会议档案管理办法》的规定执行；第二，存有会计信息的磁性(光)介质或其他介质应妥善保管。必要时采取防消磁、防火、防潮和防尘等措施，并要定期进行检查和复制；第三，保证会计档案的完整性与安全性，所有的纸质文档资料、电子文件数据。数据结构形式、程序说明书和源程序清单均应以机密文件的保管程序进行管理，防止由于纸张损毁，磁质损坏等原因而使会计档案丢失；若安装了系统的计算机待报废，应在交予他人前将其硬盘彻底格式化，以防数据泄密；第四，科学制订会计档案查阅办法，严格相关查阅程序或审批手续，防止无关人员未经允许随意查阅会计资料。

转载请注明出处：拓步ERP资讯网http://www.toberp.com/

本文标题：浅析ERP系统下企业内部控制的风险与防范

本文网址：http://www.toberp.com/html/consultation/1081988450.html