林明堅(jiān)

淺談ERP環(huán)境下內(nèi)部控制風(fēng)險(xiǎn)及防范

林明堅(jiān)

ERP系統(tǒng)的應(yīng)用，使得企業(yè)的內(nèi)部控制運(yùn)行環(huán)境發(fā)生了明顯變化，在提升企業(yè)管理水平和提高經(jīng)濟(jì)效益的同時(shí)也帶來(lái)了新的風(fēng)險(xiǎn)。本文著重探討了在ERP環(huán)境下企業(yè)面臨的程序設(shè)計(jì)、流程改變、數(shù)據(jù)質(zhì)量和傳遞、應(yīng)用環(huán)境所帶來(lái)的內(nèi)部控制新的風(fēng)險(xiǎn)，并提出相應(yīng)的風(fēng)險(xiǎn)防范措施。

ERP；內(nèi)部控制風(fēng)險(xiǎn)；風(fēng)險(xiǎn)防范

ERP系統(tǒng)是企業(yè)資源計(jì)劃（Enterprise Resource Planning）的簡(jiǎn)稱，是指建立在信息技術(shù)基礎(chǔ)上，集信息技術(shù)與先進(jìn)管理思想于一身，以系統(tǒng)化的管理思想，為企業(yè)員工及決策層提供決策手段的管理平臺(tái)。因ERP的實(shí)施須以整個(gè)企業(yè)為一體進(jìn)行一系列的變革，如流程再造、權(quán)責(zé)重定、管理優(yōu)化等，實(shí)施難度極大，因此是否實(shí)施ERP系統(tǒng)，困擾著企業(yè)的管理層，“不實(shí)施是等死，實(shí)施了是找死”一度成為企業(yè)管理者的矛盾心理寫照。然而，隨著企業(yè)不斷壯大、管理需求的不斷提高，以及ERP系統(tǒng)技術(shù)不斷完善，ERP系統(tǒng)的實(shí)施已經(jīng)是多數(shù)大中型企業(yè)的必然選擇。ERP系統(tǒng)的應(yīng)用，提升了企業(yè)管理水平和提高了經(jīng)濟(jì)效益，但由于在ERP環(huán)境下企業(yè)的內(nèi)部控制運(yùn)行環(huán)境發(fā)生了明顯變化，因此也帶來(lái)了新的風(fēng)險(xiǎn)，主要表現(xiàn)在程序設(shè)計(jì)不完善、流程改變、數(shù)據(jù)質(zhì)量和數(shù)據(jù)傳遞以及應(yīng)用環(huán)境四個(gè)方面所帶來(lái)的風(fēng)險(xiǎn)。

一、ERP環(huán)境下的主要內(nèi)部控制風(fēng)險(xiǎn)

（一）程序設(shè)計(jì)不完善帶來(lái)的風(fēng)險(xiǎn)

首先，眾所周知，ERP系統(tǒng)軟件提供商商業(yè)化的軟件模塊穩(wěn)定性較好，但由于各個(gè)企業(yè)的管理要求不一樣，對(duì)ERP系統(tǒng)的設(shè)計(jì)有其個(gè)性化的要求，甚至出現(xiàn)量身定做的可能，而且程序設(shè)計(jì)人員的水平也參差不齊，因此在個(gè)性化的程序設(shè)計(jì)中可能存在不合理或銜接不當(dāng)?shù)牡胤?，容易造成系統(tǒng)的不穩(wěn)定從而造成系統(tǒng)數(shù)據(jù)的不準(zhǔn)確，或是會(huì)削弱在系統(tǒng)中已經(jīng)設(shè)置好的控制，這種情況在ERP系統(tǒng)實(shí)施后的兩三年內(nèi)尤為明顯。其次，企業(yè)在實(shí)施ERP過(guò)程中，ERP系統(tǒng)很難真正全面適應(yīng)企業(yè)的經(jīng)營(yíng)和管理目標(biāo)，為了推動(dòng)ERP系統(tǒng)的實(shí)施，往往需要相互妥協(xié)，原先各模塊的完美設(shè)計(jì)往往需要進(jìn)行刪減，最后運(yùn)行的ERP系統(tǒng)變成各方面刪減版的集合體，因此可能出現(xiàn)內(nèi)部控制流程不完善（比如控制設(shè)置不足、不符合流程需要、用戶權(quán)限過(guò)大、職責(zé)沒(méi)有完全分離等）的風(fēng)險(xiǎn)。再次，程序化內(nèi)部控制體系的有效性取決于應(yīng)用程序設(shè)計(jì)的質(zhì)量，如果程序發(fā)生差錯(cuò)或不起作用，則控制失效就可能長(zhǎng)期不被發(fā)現(xiàn)，從而使得系統(tǒng)由于程序運(yùn)行的重復(fù)性而反復(fù)發(fā)生相同的紕漏。

（二）流程改變帶來(lái)的風(fēng)險(xiǎn)

首先，ERP系統(tǒng)的實(shí)施使得企業(yè)管理結(jié)構(gòu)扁平化，原先各職能部門條塊分割的管理架構(gòu)被打破，依靠個(gè)人履職來(lái)完成的手工控制被軟件通過(guò)核查數(shù)據(jù)的合理性和有效性的控制所取代，優(yōu)化后的流程減少或合并了原先重復(fù)不增值的流程，雖提高了工作效率，但同時(shí)也使得原有基于各職能部門手工作業(yè)流程中有利于控制的重復(fù)環(huán)節(jié)將減少甚至消失，而重整后的業(yè)務(wù)流程在風(fēng)險(xiǎn)控制方面是否有效和足夠并不直觀，往往需要對(duì)各控制環(huán)節(jié)進(jìn)行仔細(xì)排查和一段時(shí)間的運(yùn)行驗(yàn)證，一旦沒(méi)能及時(shí)發(fā)現(xiàn)控制環(huán)節(jié)缺少，將可能導(dǎo)致相應(yīng)環(huán)節(jié)的控制失效；其次，ERP系統(tǒng)控制參數(shù)的設(shè)置將決定控制級(jí)別，不當(dāng)?shù)膮?shù)設(shè)置將可能造成無(wú)效控制，從而形成新的內(nèi)控風(fēng)險(xiǎn)。再次，基于業(yè)務(wù)流程重整后的ERP系統(tǒng)，由于傳統(tǒng)手工作業(yè)中的紙質(zhì)證據(jù)相當(dāng)一部分也被系統(tǒng)自動(dòng)控制所取代，使得對(duì)企業(yè)進(jìn)行業(yè)務(wù)運(yùn)行監(jiān)督和內(nèi)控評(píng)估變得困難，若沒(méi)有及時(shí)轉(zhuǎn)變內(nèi)部審計(jì)和內(nèi)控評(píng)估方法，將可能得出錯(cuò)誤的結(jié)論，進(jìn)而導(dǎo)致內(nèi)控缺陷無(wú)法被發(fā)現(xiàn)并得到及時(shí)整改。

（三）數(shù)據(jù)質(zhì)量和數(shù)據(jù)傳遞帶來(lái)的風(fēng)險(xiǎn)

首先，系統(tǒng)各基礎(chǔ)數(shù)據(jù)信息由相關(guān)人員錄入，可能錄入錯(cuò)誤，有時(shí)一個(gè)數(shù)據(jù)錄入錯(cuò)誤可造成整個(gè)系統(tǒng)數(shù)據(jù)無(wú)法對(duì)上，再次錄入或檢查則又會(huì)浪費(fèi)很多時(shí)間，大大降低了工作效率。其次，多數(shù)企業(yè)的ERP系統(tǒng)都存在與其他系統(tǒng)之間的接口，而若不同系統(tǒng)的數(shù)據(jù)格式不同，則需要進(jìn)行數(shù)據(jù)格式轉(zhuǎn)換，因此各個(gè)系統(tǒng)的接口也可能會(huì)出現(xiàn)問(wèn)題，導(dǎo)致ERP系統(tǒng)的運(yùn)行出現(xiàn)一系列差錯(cuò)。數(shù)據(jù)質(zhì)量和數(shù)據(jù)傳遞帶來(lái)的風(fēng)險(xiǎn)，相對(duì)而言，流程標(biāo)準(zhǔn)化的企業(yè)（如工業(yè)企業(yè)）風(fēng)險(xiǎn)較小，業(yè)務(wù)流程無(wú)法進(jìn)行標(biāo)準(zhǔn)操作的企業(yè)風(fēng)險(xiǎn)則大得多，比如貿(mào)易類企業(yè)，由于業(yè)務(wù)模式多樣化，且操作過(guò)程多變，往往需要進(jìn)行數(shù)據(jù)變更和維護(hù)，一旦涉及到的數(shù)據(jù)沒(méi)有全部同步進(jìn)行更新，則將導(dǎo)致后續(xù)的數(shù)據(jù)出現(xiàn)錯(cuò)誤。

（四）應(yīng)用環(huán)境帶來(lái)的風(fēng)險(xiǎn)

網(wǎng)絡(luò)環(huán)境具有開放性和不穩(wěn)定性，可能出現(xiàn)被非法訪問(wèn)或入侵，從而給企業(yè)造成損害，主要表現(xiàn)為三種情形。一為訪問(wèn)權(quán)限設(shè)置不當(dāng)，將訪問(wèn)權(quán)限開放給不應(yīng)該擁有訪問(wèn)權(quán)限的人員，提高了數(shù)據(jù)遭到破壞的風(fēng)險(xiǎn)和降低敏感交易的安全性；二為超級(jí)用戶可以增加、刪除用戶，重置用戶密碼，隨意調(diào)整合法用戶的職責(zé)和權(quán)限，瀏覽、復(fù)制系統(tǒng)的任何數(shù)據(jù)，掌握企業(yè)大量的機(jī)密，一旦別有用心，將給企業(yè)帶來(lái)不可估量的損失；三為系統(tǒng)被黑客或病毒入侵，可能造成系統(tǒng)數(shù)據(jù)被修改或盜取，導(dǎo)致系統(tǒng)數(shù)據(jù)錯(cuò)誤或公司機(jī)密泄露。

二、主要內(nèi)部控制風(fēng)險(xiǎn)防范措施

隨著企業(yè)信息化進(jìn)程的不斷發(fā)展，ERP系統(tǒng)的應(yīng)用也越來(lái)越廣泛，因此有效防范ERP環(huán)境下的內(nèi)部控制風(fēng)險(xiǎn)，是完善企業(yè)內(nèi)部控制的重要組成部分。

（一）配備好ERP系統(tǒng)實(shí)施團(tuán)隊(duì)，做好流程梳理和重整工作

能否有效地減少ERP系統(tǒng)的程序設(shè)計(jì)風(fēng)險(xiǎn)和崗位、權(quán)限設(shè)置風(fēng)險(xiǎn)，在很大的程度上取決于實(shí)施團(tuán)隊(duì)的知識(shí)結(jié)構(gòu)。一方面應(yīng)有精于技術(shù)架構(gòu)方面的骨干，他（們）搭建好的技術(shù)架構(gòu)和設(shè)計(jì)合理的系統(tǒng)框架，這有利于系統(tǒng)穩(wěn)定和后續(xù)功能模塊的拓展；另一方面，既了解內(nèi)部控制監(jiān)管環(huán)境又深諳與ERP系統(tǒng)控制設(shè)置的技術(shù)骨干也是必不可少的，他（們）能充分發(fā)揮團(tuán)隊(duì)中控制和安全人員在項(xiàng)目中的作用，使得控制設(shè)置合理且充分必要。

（二）評(píng)估關(guān)鍵風(fēng)險(xiǎn)點(diǎn)的控制方案

對(duì)流程進(jìn)行梳理和優(yōu)化以后，確定關(guān)鍵的業(yè)務(wù)流程，并根據(jù)風(fēng)險(xiǎn)特征確定關(guān)鍵的風(fēng)險(xiǎn)控制點(diǎn)，再對(duì)相應(yīng)的流程和控制設(shè)計(jì)進(jìn)行評(píng)估，特別是對(duì)不同系統(tǒng)的接口及數(shù)據(jù)轉(zhuǎn)換進(jìn)行評(píng)估和驗(yàn)證，避免出現(xiàn)不相容崗位未分離、控制失效或控制盲區(qū)以及數(shù)據(jù)轉(zhuǎn)換傳輸錯(cuò)誤。對(duì)于無(wú)法完全由系統(tǒng)自動(dòng)控制的環(huán)節(jié)，應(yīng)輔以手工控制。

（三）完善內(nèi)部管理和提高使用人員的信息安全意識(shí)

通過(guò)制定一系統(tǒng)內(nèi)部管理制度，如組織和人事管理制度、操作管理制度、文檔管理制度、機(jī)房管理制度、系統(tǒng)開發(fā)和維護(hù)制度，規(guī)范計(jì)算機(jī)信息系統(tǒng)的操作和使用，并定期對(duì)系統(tǒng)數(shù)據(jù)進(jìn)行備份和分散保管，防止出現(xiàn)意外的情況致使數(shù)據(jù)遭受破壞或毀損，完善安全管理。此外，應(yīng)加強(qiáng)員工的信息安全教育，提高員工的信息安全意識(shí)。

（四）發(fā)揮內(nèi)部監(jiān)督的作用

內(nèi)部監(jiān)督作為內(nèi)控體系的重要一環(huán)，在防范ERP環(huán)境下的控制風(fēng)險(xiǎn)也應(yīng)發(fā)揮其作用。企業(yè)的內(nèi)控監(jiān)督部門，應(yīng)改變傳統(tǒng)的審計(jì)監(jiān)督方法，全面了解ERP系統(tǒng)的框架設(shè)計(jì)和掌握關(guān)鍵風(fēng)險(xiǎn)控制點(diǎn)，并理解進(jìn)行控制的原因和所要達(dá)到的控制目標(biāo)。在具體監(jiān)督上，一方面應(yīng)監(jiān)督系統(tǒng)操作人員、系統(tǒng)管理人員以及企業(yè)管理層人員是否合規(guī)使用信息系統(tǒng)，另一方面應(yīng)監(jiān)督系統(tǒng)內(nèi)部設(shè)置的合理性和有效性，發(fā)現(xiàn)問(wèn)題及時(shí)上報(bào)并督促限時(shí)整改。

小結(jié)

應(yīng)用ERP系統(tǒng)是企業(yè)信息化進(jìn)程的重要內(nèi)容，越來(lái)越得到企業(yè)管理者的重視，ERP系統(tǒng)的應(yīng)用也越來(lái)越廣泛。但由于ERP系統(tǒng)應(yīng)用環(huán)境的特殊性，企業(yè)在應(yīng)用ERP系統(tǒng)提高工作效率和提升經(jīng)濟(jì)效益的同時(shí)應(yīng)充分考慮其帶來(lái)的各種內(nèi)部控制風(fēng)險(xiǎn)，并加以積極防范。而且，隨著企業(yè)管理目標(biāo)的改變，通過(guò)ERP系統(tǒng)體現(xiàn)出來(lái)的管理架構(gòu)和各項(xiàng)控制指標(biāo)也將發(fā)生變化，因此，ERP系統(tǒng)也需要不斷進(jìn)行改進(jìn)或完善。

［1］石道元.基于電子商務(wù)的企業(yè)供應(yīng)鏈管理研究［D］.重慶大學(xué)，2006.

［2］包根梅.電算化會(huì)計(jì)信息系統(tǒng)環(huán)境下內(nèi)部控制的分析［J］.中國(guó)鄉(xiāng)鎮(zhèn)企業(yè)會(huì)計(jì)，2010.02.

［3］成善學(xué).ERP環(huán)境下企業(yè)內(nèi)部控制研究［J］.中國(guó)總會(huì)計(jì)師，2010.03.

［4］張家順.淺談ERP環(huán)境下的內(nèi)部控制制度［J］.消費(fèi)導(dǎo)刊，2011.06.

［5］肖冰.淺談ERP環(huán)境下強(qiáng)化內(nèi)部控制的應(yīng)對(duì)策略［J］.中國(guó)總會(huì)計(jì)師，2012.07.

［6］諶馨.ERP系統(tǒng)下企業(yè)成本管理問(wèn)題及改進(jìn)研究——以XX公司為例［D］.重慶理工大學(xué)，2014.

（作者單位：廈門建發(fā)股份有限公司）