ERP系統(tǒng)與企業(yè)內(nèi)部控制的內(nèi)涵
所謂企業(yè)內(nèi)部控制,一般被認為是為了保證企業(yè)資產(chǎn)安全性、財務(wù)會計資料的完整性以及業(yè)務(wù)活動實施的有效性、目的性而制定和實施的各項政策、規(guī)范和過程控制體系。20世紀30年代,“內(nèi)部控制”作為一個專有名詞被學(xué)術(shù)界認識,從最初的“內(nèi)部牽制”發(fā)展到內(nèi)部會計控制、內(nèi)部管理控制,并形成了控制環(huán)境、風(fēng)險評估、控制活動、信息與溝通、監(jiān)督等五大要素。內(nèi)部控制作為企業(yè)自行檢查、制約和調(diào)整內(nèi)部業(yè)務(wù)的自律系統(tǒng),貫穿于企業(yè)經(jīng)營活動的全過程。
ERP(EntERPrise Resource Planning)系統(tǒng)全稱為企業(yè)資源計劃系統(tǒng),它是建立在信息技術(shù)的基礎(chǔ)上,對供銷鏈上的實體以及供應(yīng)、生產(chǎn)、財務(wù)、銷售等業(yè)務(wù)流程內(nèi)部資源的共享和協(xié)同,從而為企業(yè)各部門決策層、企業(yè)基層員工提供系統(tǒng)化、具有決策性的管理平臺。該系統(tǒng)的引入,不僅能提高管理有效性、降低成本,給企業(yè)帶來了巨大的效益,而且也給企業(yè)內(nèi)部控制帶來了不可忽視的影響及風(fēng)險,如何防范內(nèi)部控制風(fēng)險將成為企業(yè)必須關(guān)注的重點。
ERP系統(tǒng)對企業(yè)內(nèi)部控制的影響
(一)傳統(tǒng)的內(nèi)部控制制度跟不上發(fā)展需要
在ERP系統(tǒng)下,傳統(tǒng)的會計系統(tǒng)操作程序如會計核算方式、數(shù)據(jù)處理流程等都發(fā)生了較大變化,至使企業(yè)內(nèi)部控制的內(nèi)容也將發(fā)生相應(yīng)改變。然而,在實際的企業(yè)管理過程中許多企業(yè)的制度意識還較薄弱,相配套的管理制度修訂的跟進還不及時,導(dǎo)致管理工作及程序存在漏洞,造成企業(yè)會計信息或數(shù)據(jù)失真等現(xiàn)象產(chǎn)生。
(二)內(nèi)部控制的范圍不斷擴展
在ERP系統(tǒng)下,內(nèi)部控制的內(nèi)容有別于傳統(tǒng)時代的內(nèi)部牽制,除去保證會計資料的完整性、提高會計的分析決策能力和工作效率,建立科學(xué)的崗位責任制,防止浪費和舞弊行為等共同內(nèi)容外,其范圍將進一步擴大,主要表現(xiàn)在:對系統(tǒng)開發(fā)過程的控制、系統(tǒng)權(quán)限的控制、網(wǎng)絡(luò)系統(tǒng)安全的控制、數(shù)據(jù)編碼的控制以及對調(diào)用和修改程序的控制等,同時,由于會計數(shù)據(jù)也需人為輸入、會計軟件需要人工進行管理和維護,因此,維護人員與計算機操作人員的內(nèi)部牽制,計算機操作管理、系統(tǒng)管理員、系統(tǒng)維護人員等的崗位職責等也被納入內(nèi)部控制的范疇。
(三)傳統(tǒng)的內(nèi)部控制形式發(fā)生改變
在ERP系統(tǒng)下,會計憑證的正確性不再需要通過賬證相符、賬賬相符、賬實相符等內(nèi)部控制方式來保證數(shù)據(jù)的正確性,只需將原始數(shù)據(jù)輸入計算機后便能實現(xiàn)會計數(shù)據(jù)的全面共享,自動生成許多所需帳表,事半功倍。那么,內(nèi)部控制的方式便應(yīng)轉(zhuǎn)移到計算機內(nèi)部,如編制科目匯總表、試算平衡檢查、總賬和明細賬的核對、余額和發(fā)生額平衡檢查等。由于會計電算化的程度不同。程序化控制的數(shù)量也會有所不同,一般來說,電算化程度越高,采用的程序化控制要求也越多。
(四)傳統(tǒng)的內(nèi)部控制重點有所轉(zhuǎn)移
在ERP系統(tǒng)下,會計工作的絕大部分將由計算機系統(tǒng)進行處理,企業(yè)內(nèi)部控制的重點相對傳統(tǒng)會計的內(nèi)部控制必定有所轉(zhuǎn)移,所以控制重點將在會計信息的輸入輸出控制、人機交互處理的控制、計算機系統(tǒng)問的連接控制、組織結(jié)構(gòu)和人力資源管理等方面進行強化,尤其是原始數(shù)據(jù)的輸入,在電算化系統(tǒng)中,電子數(shù)據(jù)是由會計軟件對原始數(shù)據(jù)進行處理后生成的,其輸出數(shù)據(jù)的正確性與輸入數(shù)據(jù)的正確程度息息相關(guān),因此,確保輸入數(shù)據(jù)的準確性成為保證會計信息質(zhì)量真實、完整、準確的基本前提;其次,計算機系統(tǒng)是由崗位人員進行維護、管理、控制的,嚴格管理計算機的系統(tǒng)密碼,嚴格劃分管理人員操作權(quán)限,健全計算機硬件和軟件的日常維護以及在排除故障時的治理措施,也是內(nèi)部控制的重點,只有這樣才能保證會計數(shù)據(jù)的安全性和完整性。”
ERP系統(tǒng)下企業(yè)內(nèi)部控制存在的風(fēng)險
(一)數(shù)據(jù)處理風(fēng)險
在傳統(tǒng)會計流程中,企業(yè)經(jīng)濟業(yè)務(wù)發(fā)生均為手工記錄,會計憑證、賬目及報表的書面字跡均由會計人員手工填制,若因筆誤等正常原因進行修改都有嚴格規(guī)定,數(shù)據(jù)修改的痕跡顯而易見,因此,原始數(shù)據(jù)的準確率的保障性較高。同時,內(nèi)部控制主要依靠制度控制進行,若某位會計在記賬憑證記錄時發(fā)生錯誤,其它會計人員在進行明細賬、日記賬等處理時,也能及時發(fā)現(xiàn)問題,及時更正。
在ERP系統(tǒng)下,內(nèi)部控制具備制度控制及程序控制雙重特點,會計原始數(shù)據(jù)均由操作人員依據(jù)原始憑證錄入會計電算化系統(tǒng),所有明細賬、日記賬及會計報表等會計資料均由計算機自動生成,一旦輸入操作出現(xiàn)主觀或客觀錯誤,且沒有安排崗位人員進行及時的復(fù)核或監(jiān)控不及時不到位,將會引發(fā)記賬憑證、明細賬、總賬甚至?xí)媹蟊淼纫幌盗绣e誤,造成會計數(shù)據(jù)失真,其錯誤不易及時察覺,及時更正。
(二)數(shù)據(jù)安全風(fēng)險
傳統(tǒng)會計下的會計資料多以紙質(zhì)形式進行保存,數(shù)據(jù)丟失機率較低,而會計數(shù)據(jù)進行了增、刪、修改的會計憑證或會計賬冊都可以從各自的筆跡和印章上分清責任,從而保證了會計數(shù)據(jù)的完整性和安全性。
在ERP系統(tǒng)下,各部門之間使用的會計應(yīng)用軟件普遍重功能、輕安全;重軟件,輕硬件。若計算機硬件設(shè)備配備不全,質(zhì)量不高,可能影響會計軟件的正常運行;數(shù)據(jù)的保存媒介——磁盤對外界環(huán)境要求較高,會計數(shù)據(jù)存在意外丟失或損壞的可能網(wǎng)絡(luò)環(huán)境的開放性和動態(tài)性特點使網(wǎng)絡(luò)會計信息系統(tǒng)有可能遭受“病毒”入侵或“黑客”攻擊等。這些問題威脅到企業(yè)會計數(shù)據(jù)的安全性,對企業(yè)內(nèi)部控制提出了嚴峻的挑戰(zhàn)。同時,數(shù)據(jù)管理過程中的問題也不可忽視,雖在會計電算化系統(tǒng)中進行了權(quán)限劃分,也可通過數(shù)據(jù)庫日志對數(shù)據(jù)的更改進行監(jiān)控,但專業(yè)人士在技術(shù)上對電子數(shù)據(jù)的非法修改可以做到不留痕跡地修改數(shù)據(jù),篡改數(shù)據(jù),甚至使數(shù)據(jù)系統(tǒng)陷入癱瘓,因此利用會計電算化系統(tǒng)進行犯罪具有很大的隱蔽性和危害性,發(fā)現(xiàn)舞弊和犯罪的難度較之傳統(tǒng)會計時代更大,其造成的危害和損失也更強。
(三)組織管理風(fēng)險
在傳統(tǒng)會計中,手工工作耗時長,工作量大,內(nèi)部控制的原則是依據(jù)職責進行崗位分工,各項會計資料由不同崗位人員分別記錄、整理、保管,只有管理層級較高的人員才能完整瀏覽所有會計數(shù)據(jù),且紙質(zhì)數(shù)據(jù)易保存。被隨意篡改或更新的可能性不大。
在ERP系統(tǒng)下下,會計人員從繁重的手工記賬解脫出來。崗位職責細分不再成為內(nèi)部控制的重要原則,一名崗位人員須從事多種會計工作,處理多項會計資料,有的既要負責數(shù)據(jù)輸入,還有可能負責賬目的生成和數(shù)據(jù)的輸出,職責的高度集中使得在未經(jīng)充許的情況下進行數(shù)據(jù)修改和操作成為可能,增加了會計資料失真和工作人員作弊的機率,成為內(nèi)部控制的隱患。同時,一些熟悉會計軟件的專業(yè)人士對整個系統(tǒng)的控制措施比較了解。系統(tǒng)管理人員也彼此熟絡(luò),一些安全保密措施往往不能嚴格執(zhí)行,系統(tǒng)的防護功能形同虛設(shè),使得利用會計信息系統(tǒng)進行貪污、舞弊等犯罪活動的風(fēng)險也不斷增大。
ERP系統(tǒng)下企業(yè)內(nèi)部控制的有效防范
(一)加強內(nèi)部控制制度的建設(shè)
嚴格的內(nèi)部控制制度是ERP系統(tǒng)信息真實可靠的有效保證,但目前我國開展會計電算化應(yīng)用的水平不高。人們對人員分工、職務(wù)分離、,數(shù)據(jù)管理、系統(tǒng)安全等方面的重要性認識尚不到位,因此,企業(yè)必須立足現(xiàn)狀,審時度勢,制訂全面、規(guī)范的會計管理制度和內(nèi)部控制制度,規(guī)范業(yè)務(wù)流程,明確職責分工,嚴明工作紀律,才能從根本上提高科學(xué)管理水平,從而提升企業(yè)的競爭能力。
(二)加強數(shù)據(jù)處理控制
ERP系統(tǒng)中數(shù)據(jù)的輸入、流轉(zhuǎn)、生成及輸出是進行會計數(shù)據(jù)處理的主要環(huán)節(jié),與會計資料的正確性息息相關(guān),因此,是內(nèi)部控制的重點。輸入控制首先要不斷強化操作人員的責任意識,督促其不斷提升業(yè)務(wù)水平,還應(yīng)在管理上建立控制,如建立科目名稱與代碼對照文件程序。以防會計科目出現(xiàn)輸人錯誤;適當授權(quán)和審批,有效防止操作人員違規(guī)操作:設(shè)置責任控制,通過登記日記文件或紙質(zhì)日記賬等形式,進行雙重備份,防止經(jīng)濟業(yè)務(wù)被遺漏、添加、重復(fù)或不正當?shù)馗,并對不正確的經(jīng)濟業(yè)務(wù)進行刪除或更正;在數(shù)據(jù)流轉(zhuǎn)、生成賬目或報表的過程中,嚴格遵循會計工作流程,應(yīng)對數(shù)據(jù)有效性進行檢測,確保數(shù)據(jù)處理的可靠性和正確性;并預(yù)留審計線索,加強錯誤糾正控制力度。輸出控制的目的是保證會計資料的真實、合法性,因此既要對數(shù)據(jù)的完整性,正確性進行審核控制,還要在授權(quán)輸出和打印程序等方面進行有效控制。
(三)加強系統(tǒng)安全控制
系統(tǒng)安全控制是指使用有效方法保護會計數(shù)據(jù)和計算機程序,以防止會計數(shù)據(jù)外泄、篡改或破壞而實旋的一種控制制度。由于會計電算化系統(tǒng)的應(yīng)用包括硬件、軟件兩方面。因此,它們都應(yīng)成為控制對象。首先,在硬件控制時,要高度重視硬件設(shè)備的配置與質(zhì)量,如:應(yīng)采用先進的硬盤鏡像技術(shù)防止硬件設(shè)備的意外損壞,采用雙服務(wù)器連動機制有效防止數(shù)據(jù)庫遭遇“黑客”攻擊。配置移動硬盤和光盤刻錄機等移動存儲設(shè)備,及時做好數(shù)據(jù)的備份工作,防止數(shù)據(jù)意外丟失。其次,在軟件管理時盡量使用正版軟件,重點做好數(shù)據(jù)庫及會計電算化系統(tǒng)的維護和升級工作,為系統(tǒng)的正常運行提供安全、干凈的運行環(huán)境。網(wǎng)絡(luò)系統(tǒng)安全方面,應(yīng)注意對用戶進行權(quán)限和密碼設(shè)置,只有被授權(quán)的用戶才能在系統(tǒng)中進行相應(yīng)操作,對重要的操作日志進行記錄、管理和備份,禁止用戶自行安裝或卸載軟件。尤其是數(shù)據(jù)庫系統(tǒng)軟件的安裝,以防止利用數(shù)據(jù)庫系統(tǒng)打開賬套數(shù)據(jù)庫進行非法篡改。
(四)加強組織管理控制
組織管理控制是通過部門的設(shè)置、人員分工、崗位職責的明晰等形式進行內(nèi)部控制,從而達到管理人員問相互制約、相互牽制,防止或減少違規(guī)違紀事件的目的。因此,在進行會計崗位分工時,應(yīng)將不相容業(yè)務(wù)職能進行有效分離,如:業(yè)務(wù)審核職能與計算機操作職能相分離、數(shù)據(jù)處理職能與數(shù)據(jù)審核職能相分離、紙質(zhì)文件保管職能與計算機操作職能相分離等。其次,還應(yīng)建立一定的內(nèi)部牽制制度:如加強各會計環(huán)節(jié)數(shù)據(jù)審核職責。再如,軟件維護后必須經(jīng)過維護人員、內(nèi)審人員和用戶的共同測試和簽字才能正式投入使用。
(五)加強會計檔案控制
會計檔案包括打印輸出的各種紙質(zhì)記賬憑證、會計報表、賬簿、存儲會計數(shù)據(jù)和程序的軟盤及其他存儲介質(zhì)。隨著企業(yè)實行會計電算化和ERP系統(tǒng)后,存儲介質(zhì)都發(fā)生了改變。對會計檔案管理的要求也更加嚴格。第一,會計檔案應(yīng)以計算機打印的書面影式,有會計主管和系統(tǒng)管理員簽章后才能存檔保管。保管期限截至該系統(tǒng)停用或有重大修改后三年,保管的其他規(guī)定應(yīng)按《會議檔案管理辦法》的規(guī)定執(zhí)行;第二,存有會計信息的磁性(光)介質(zhì)或其他介質(zhì)應(yīng)妥善保管。必要時采取防消磁、防火、防潮和防塵等措施,并要定期進行檢查和復(fù)制;第三,保證會計檔案的完整性與安全性,所有的紙質(zhì)文檔資料、電子文件數(shù)據(jù)。數(shù)據(jù)結(jié)構(gòu)形式、程序說明書和源程序清單均應(yīng)以機密文件的保管程序進行管理,防止由于紙張損毀,磁質(zhì)損壞等原因而使會計檔案丟失;若安裝了系統(tǒng)的計算機待報廢,應(yīng)在交予他人前將其硬盤徹底格式化,以防數(shù)據(jù)泄密;第四,科學(xué)制訂會計檔案查閱辦法,嚴格相關(guān)查閱程序或?qū)徟掷m(xù),防止無關(guān)人員未經(jīng)允許隨意查閱會計資料。
轉(zhuǎn)載請注明出處:拓步ERP資訊網(wǎng)http://www.ezxoed.cn/
本文標題:淺析ERP系統(tǒng)下企業(yè)內(nèi)部控制的風(fēng)險與防范
本文網(wǎng)址:http://www.ezxoed.cn/html/consultation/1081988450.html