ERP系統與企業內部控制的內涵
所謂企業內部控制,一般被認為是為了保證企業資產安全性、財務會計資料的完整性以及業務活動實施的有效性、目的性而制定和實施的各項政策、規范和過程控制體系。20世紀30年代,“內部控制”作為一個專有名詞被學術界認識,從最初的“內部牽制”發展到內部會計控制、內部管理控制,并形成了控制環境、風險評估、控制活動、信息與溝通、監督等五大要素。內部控制作為企業自行檢查、制約和調整內部業務的自律系統,貫穿于企業經營活動的全過程。
ERP(EntERPrise Resource Planning)系統全稱為企業資源計劃系統,它是建立在信息技術的基礎上,對供銷鏈上的實體以及供應、生產、財務、銷售等業務流程內部資源的共享和協同,從而為企業各部門決策層、企業基層員工提供系統化、具有決策性的管理平臺。該系統的引入,不僅能提高管理有效性、降低成本,給企業帶來了巨大的效益,而且也給企業內部控制帶來了不可忽視的影響及風險,如何防范內部控制風險將成為企業必須關注的重點。
ERP系統對企業內部控制的影響
(一)傳統的內部控制制度跟不上發展需要
在ERP系統下,傳統的會計系統操作程序如會計核算方式、數據處理流程等都發生了較大變化,至使企業內部控制的內容也將發生相應改變。然而,在實際的企業管理過程中許多企業的制度意識還較薄弱,相配套的管理制度修訂的跟進還不及時,導致管理工作及程序存在漏洞,造成企業會計信息或數據失真等現象產生。
(二)內部控制的范圍不斷擴展
在ERP系統下,內部控制的內容有別于傳統時代的內部牽制,除去保證會計資料的完整性、提高會計的分析決策能力和工作效率,建立科學的崗位責任制,防止浪費和舞弊行為等共同內容外,其范圍將進一步擴大,主要表現在:對系統開發過程的控制、系統權限的控制、網絡系統安全的控制、數據編碼的控制以及對調用和修改程序的控制等,同時,由于會計數據也需人為輸入、會計軟件需要人工進行管理和維護,因此,維護人員與計算機操作人員的內部牽制,計算機操作管理、系統管理員、系統維護人員等的崗位職責等也被納入內部控制的范疇。
(三)傳統的內部控制形式發生改變
在ERP系統下,會計憑證的正確性不再需要通過賬證相符、賬賬相符、賬實相符等內部控制方式來保證數據的正確性,只需將原始數據輸入計算機后便能實現會計數據的全面共享,自動生成許多所需帳表,事半功倍。那么,內部控制的方式便應轉移到計算機內部,如編制科目匯總表、試算平衡檢查、總賬和明細賬的核對、余額和發生額平衡檢查等。由于會計電算化的程度不同。程序化控制的數量也會有所不同,一般來說,電算化程度越高,采用的程序化控制要求也越多。
(四)傳統的內部控制重點有所轉移
在ERP系統下,會計工作的絕大部分將由計算機系統進行處理,企業內部控制的重點相對傳統會計的內部控制必定有所轉移,所以控制重點將在會計信息的輸入輸出控制、人機交互處理的控制、計算機系統問的連接控制、組織結構和人力資源管理等方面進行強化,尤其是原始數據的輸入,在電算化系統中,電子數據是由會計軟件對原始數據進行處理后生成的,其輸出數據的正確性與輸入數據的正確程度息息相關,因此,確保輸入數據的準確性成為保證會計信息質量真實、完整、準確的基本前提;其次,計算機系統是由崗位人員進行維護、管理、控制的,嚴格管理計算機的系統密碼,嚴格劃分管理人員操作權限,健全計算機硬件和軟件的日常維護以及在排除故障時的治理措施,也是內部控制的重點,只有這樣才能保證會計數據的安全性和完整性。”
ERP系統下企業內部控制存在的風險
(一)數據處理風險
在傳統會計流程中,企業經濟業務發生均為手工記錄,會計憑證、賬目及報表的書面字跡均由會計人員手工填制,若因筆誤等正常原因進行修改都有嚴格規定,數據修改的痕跡顯而易見,因此,原始數據的準確率的保障性較高。同時,內部控制主要依靠制度控制進行,若某位會計在記賬憑證記錄時發生錯誤,其它會計人員在進行明細賬、日記賬等處理時,也能及時發現問題,及時更正。
在ERP系統下,內部控制具備制度控制及程序控制雙重特點,會計原始數據均由操作人員依據原始憑證錄入會計電算化系統,所有明細賬、日記賬及會計報表等會計資料均由計算機自動生成,一旦輸入操作出現主觀或客觀錯誤,且沒有安排崗位人員進行及時的復核或監控不及時不到位,將會引發記賬憑證、明細賬、總賬甚至會計報表等一系列錯誤,造成會計數據失真,其錯誤不易及時察覺,及時更正。
(二)數據安全風險
傳統會計下的會計資料多以紙質形式進行保存,數據丟失機率較低,而會計數據進行了增、刪、修改的會計憑證或會計賬冊都可以從各自的筆跡和印章上分清責任,從而保證了會計數據的完整性和安全性。
在ERP系統下,各部門之間使用的會計應用軟件普遍重功能、輕安全;重軟件,輕硬件。若計算機硬件設備配備不全,質量不高,可能影響會計軟件的正常運行;數據的保存媒介——磁盤對外界環境要求較高,會計數據存在意外丟失或損壞的可能網絡環境的開放性和動態性特點使網絡會計信息系統有可能遭受“病毒”入侵或“黑客”攻擊等。這些問題威脅到企業會計數據的安全性,對企業內部控制提出了嚴峻的挑戰。同時,數據管理過程中的問題也不可忽視,雖在會計電算化系統中進行了權限劃分,也可通過數據庫日志對數據的更改進行監控,但專業人士在技術上對電子數據的非法修改可以做到不留痕跡地修改數據,篡改數據,甚至使數據系統陷入癱瘓,因此利用會計電算化系統進行犯罪具有很大的隱蔽性和危害性,發現舞弊和犯罪的難度較之傳統會計時代更大,其造成的危害和損失也更強。
(三)組織管理風險
在傳統會計中,手工工作耗時長,工作量大,內部控制的原則是依據職責進行崗位分工,各項會計資料由不同崗位人員分別記錄、整理、保管,只有管理層級較高的人員才能完整瀏覽所有會計數據,且紙質數據易保存。被隨意篡改或更新的可能性不大。
在ERP系統下下,會計人員從繁重的手工記賬解脫出來。崗位職責細分不再成為內部控制的重要原則,一名崗位人員須從事多種會計工作,處理多項會計資料,有的既要負責數據輸入,還有可能負責賬目的生成和數據的輸出,職責的高度集中使得在未經充許的情況下進行數據修改和操作成為可能,增加了會計資料失真和工作人員作弊的機率,成為內部控制的隱患。同時,一些熟悉會計軟件的專業人士對整個系統的控制措施比較了解。系統管理人員也彼此熟絡,一些安全保密措施往往不能嚴格執行,系統的防護功能形同虛設,使得利用會計信息系統進行貪污、舞弊等犯罪活動的風險也不斷增大。
ERP系統下企業內部控制的有效防范
(一)加強內部控制制度的建設
嚴格的內部控制制度是ERP系統信息真實可靠的有效保證,但目前我國開展會計電算化應用的水平不高。人們對人員分工、職務分離、,數據管理、系統安全等方面的重要性認識尚不到位,因此,企業必須立足現狀,審時度勢,制訂全面、規范的會計管理制度和內部控制制度,規范業務流程,明確職責分工,嚴明工作紀律,才能從根本上提高科學管理水平,從而提升企業的競爭能力。
(二)加強數據處理控制
ERP系統中數據的輸入、流轉、生成及輸出是進行會計數據處理的主要環節,與會計資料的正確性息息相關,因此,是內部控制的重點。輸入控制首先要不斷強化操作人員的責任意識,督促其不斷提升業務水平,還應在管理上建立控制,如建立科目名稱與代碼對照文件程序。以防會計科目出現輸人錯誤;適當授權和審批,有效防止操作人員違規操作:設置責任控制,通過登記日記文件或紙質日記賬等形式,進行雙重備份,防止經濟業務被遺漏、添加、重復或不正當地更改,并對不正確的經濟業務進行刪除或更正;在數據流轉、生成賬目或報表的過程中,嚴格遵循會計工作流程,應對數據有效性進行檢測,確保數據處理的可靠性和正確性;并預留審計線索,加強錯誤糾正控制力度。輸出控制的目的是保證會計資料的真實、合法性,因此既要對數據的完整性,正確性進行審核控制,還要在授權輸出和打印程序等方面進行有效控制。
(三)加強系統安全控制
系統安全控制是指使用有效方法保護會計數據和計算機程序,以防止會計數據外泄、篡改或破壞而實旋的一種控制制度。由于會計電算化系統的應用包括硬件、軟件兩方面。因此,它們都應成為控制對象。首先,在硬件控制時,要高度重視硬件設備的配置與質量,如:應采用先進的硬盤鏡像技術防止硬件設備的意外損壞,采用雙服務器連動機制有效防止數據庫遭遇“黑客”攻擊。配置移動硬盤和光盤刻錄機等移動存儲設備,及時做好數據的備份工作,防止數據意外丟失。其次,在軟件管理時盡量使用正版軟件,重點做好數據庫及會計電算化系統的維護和升級工作,為系統的正常運行提供安全、干凈的運行環境。網絡系統安全方面,應注意對用戶進行權限和密碼設置,只有被授權的用戶才能在系統中進行相應操作,對重要的操作日志進行記錄、管理和備份,禁止用戶自行安裝或卸載軟件。尤其是數據庫系統軟件的安裝,以防止利用數據庫系統打開賬套數據庫進行非法篡改。
(四)加強組織管理控制
組織管理控制是通過部門的設置、人員分工、崗位職責的明晰等形式進行內部控制,從而達到管理人員問相互制約、相互牽制,防止或減少違規違紀事件的目的。因此,在進行會計崗位分工時,應將不相容業務職能進行有效分離,如:業務審核職能與計算機操作職能相分離、數據處理職能與數據審核職能相分離、紙質文件保管職能與計算機操作職能相分離等。其次,還應建立一定的內部牽制制度:如加強各會計環節數據審核職責。再如,軟件維護后必須經過維護人員、內審人員和用戶的共同測試和簽字才能正式投入使用。
(五)加強會計檔案控制
會計檔案包括打印輸出的各種紙質記賬憑證、會計報表、賬簿、存儲會計數據和程序的軟盤及其他存儲介質。隨著企業實行會計電算化和ERP系統后,存儲介質都發生了改變。對會計檔案管理的要求也更加嚴格。第一,會計檔案應以計算機打印的書面影式,有會計主管和系統管理員簽章后才能存檔保管。保管期限截至該系統停用或有重大修改后三年,保管的其他規定應按《會議檔案管理辦法》的規定執行;第二,存有會計信息的磁性(光)介質或其他介質應妥善保管。必要時采取防消磁、防火、防潮和防塵等措施,并要定期進行檢查和復制;第三,保證會計檔案的完整性與安全性,所有的紙質文檔資料、電子文件數據。數據結構形式、程序說明書和源程序清單均應以機密文件的保管程序進行管理,防止由于紙張損毀,磁質損壞等原因而使會計檔案丟失;若安裝了系統的計算機待報廢,應在交予他人前將其硬盤徹底格式化,以防數據泄密;第四,科學制訂會計檔案查閱辦法,嚴格相關查閱程序或審批手續,防止無關人員未經允許隨意查閱會計資料。
轉載請注明出處:拓步ERP資訊網http://www.guhuozai8.cn/
本文標題:淺析ERP系統下企業內部控制的風險與防范
本文網址:http://www.guhuozai8.cn/html/consultation/1081988450.html