论ERP系统内部控制风险防范

论文导读：
【摘要】在ERP环境下，企业业务运作更加依赖于ERP系统，导致企业出现了新的业务控制风险。本文通过对ERP系统内部控制风险的分析，提出了风险防范的相应措施。
【关键词】ERP；风险；内部控制
ERP系统是建立在信息技术基础上，利用现代企业的先进管理思想，全面集成企业的所有资源，并为企业提供决策、计划、控制与经营业绩评价的全面化、整合化和动态化的管理平台。在ERP环境下，由于企业业务运作更加依赖于ERP系统，导致企业出现了新的业务风险。如何对这些风险进行防范，值得企业关注及防范。

一、ERP系统内部控制风险分析

(一)控制流程风险

由于控制流程与过去相比发生了根本性改变，因此其对企业内部控制风险的影响最大。ERP强调企业流程与工作流，通过工作流实现企业人员、财务、制造与分销间的集成，支持企业流程重组。但ERP系统一般是固定的模式结构，企业在运行时，软件无法灵活地适应个性化的企业流程要求，且企业在进行管理与业务流程重整时，很难真正达到从组织结构、生产流程、业务流程方面全面适应ERP系统的效果。于是现有ERP系统结构与功能制约了企业动态重整过程。另外，企业组织重组与业务流程简化，会造成很多审批环节的缺失，隐含内部控制流程不完善的风险。

(二)计算机系统风险

计算机系统风险主要指来自于计算机硬件和软件两方面的风险。计算机硬件以及与之相关的设备都存在着外部不可抗拒的因素（如火灾、停电等），而一些人为因素（如操作失误等）也会引起系统故障，从而导致数据丢失甚至瘫痪。且由于其系统一体化、数据逻辑化、信息生成自动化的特点，内部控制无法触及，一旦出现故障，损失便很严重。软件风险主要指的是应用ERP软件时存在的各种风险，由于ERP系统功能繁多，ERP软件具体运用于企业时，不可避免地存在某些功能不足或潜在的软件缺陷，如软件功能与企业需求的切合度、系统的集成性、软件的成熟性和稳定性及对中文界面和数据的支持程度等，这都将影响ERP系统的正常运行，给内部控制带来潜在风险。

(三)人员道德风险

主要是指企业内部人员和外部人员（如）对会计数据非授权的访问、篡改、泄密和破坏等方面的风险。随着计算机网络、电子商务的不断发展，高级系统用户可随时随地访问系统模块或系统控制，甚至改变一些重要业务参数。由于ERP系统涉及整个企业的运营流程，这样一方面使企业员工可更方便快捷地处理问题、提高效率，但另一方面若缺乏有效管控，ERP用户就有可能获取或改变与其不相关的信息或数据，给系统安全带来威胁。另外，互联网的开放性，也给系统带来了一定的安全风险。

(四)环境控制风险

内部控制的风险大小很大程度上取决于企业管理当局的态度。ERP系统无疑加剧了这一风险。如果企业管理当局无法充分将ERP系统的现代管理理念融入企业管理思想和管理模式，内部控制将无法实现。

二、防范ERP系统内部控制风险的措施

(一)落实流程性控制

1.输入控制。在ERP环境下，从不同计算机上输入的不同会计信息交叉在一起，形成了庞大、复杂的会计信息数据库，再加上信息共享，若内部控制不严密，直接影响会计信息环境下信息披露的准确性和可靠性。因此在信息输入系统前要经过检验，明确责任；数据输入过程中进行岗位分工；最后进行数据输入核对，最大限度地减少操作人员出错概率。
2.处理控制。数据输入计算机后，数据处理是否正确，其结果是否可靠，在很大程度上依赖于应用程序的正确性和环境控制的强弱。必须先进行严格检查与测试，查看该软件是否具有容错和纠错能力，确定该软件的合格性和合规性。纠正隐含在软件内的程序处理逻辑错误与计算错误，以提高计算机数据处理质量。
3.输出控制。对输出进行控制可以有效地保证系统完整、准确地输出经处理的会计信息，保证输出结果能够快速正确地发送到有关部门手中。

(二)落实配置性控制

1.计算机硬件层次上的所有控制。硬件控制通常是由计算机硬件制造商设计、并安排在计算机硬件设备上的，如边界保护、双电路、奇偶校验、溢出校验及程序固化等。设置这种控制的目的，是为使计算机有更高的可靠性，在环境出现一些细微干扰时不至于影响计算机运行。
2.系统支持软件中的控制。系统支持软件主要指单机、网络操作系统、数据库管理系统等基础软件。这些软件中的控制通常是由像Microsoft、Oracle一类专业性软件公司设计的。恰当地利用系统软件提供的控制机制，是加强电算系统安全，提高开发、运行和维护效率的基本手段。
3.应用软件中的控制。此类控制一般由软件开发单位在软件开发时设计在程序中。与前两种控制相比，这种控制不具有普遍性，是针对会计信息的处理特点来设置的，受会计电算化管理规章的约束。

(三)落实权限类控制

信息系统环境下的内部权限控制始于系统初始设置阶段，即通过系统管理员对工作人员、工源于：科技论文写作www.7ctime.com
作范围等进行设置，工作人员采用口令或按照所授予的权限对系统进行作业，不得超越权限接触系统。这样ERP系统就能保证企业的各项业务均由被授权或被批准的人员执行。同时由于系统维护人员能直接接触会计数据库、会计软件和熟悉信息系统技术的关键人员，他们的有意作案或无意的误操作所造成的影响很难估量，所以必须用制度严格约束。此外，为防止非法用户和侵入会计信息系统，可通过设置防火墙、采用身份识别系统等技术防护措施；对重要的商业秘密，可在软件中采取数据加密技术。

(四)落实ERP固有控制

1.常规业务的控制。ERP系统能自动拒绝不符合规范的操作步骤。日常经济业务都是以信息的形式在各部门进行传递的，企业将经济性业务的流程加以规范，保证各环节的信息都是真实可靠的。
2.会计信息的控制。首先，规范会计核算过程，方便会计工作和监管信息的提取；其次，在系统中根据预先设计好的标准，自动完成计提费用和摊销费用等工作；再次，利用ERP系统可以自动取数的功能，在报表中设置好公式后，自动生成报表，可保证会计报表真实完整。

3.各部门之间的相互监督。在ERP系统下，在各部门之间论文导读：

存在相互监督的关系，这时的记账凭证财会人员不能随便进行更改，可保证会计信息的真实可靠性，ERP系统形成了一个相互依赖、相互制约的内控网络。
4.无痕迹修改的控制。在ERP系统中，对不正确的数据可做到不留痕迹的修改，这样其原有的重要特征彻底消失，给控制带来难度。因此在建套账时，严格规定一个人为数据的输入者、审核者，会计主管监督两人的实施并作出适时干预，同时建议软件设计者能在现有基础上进行改进，吸收手工操作系统的优点，弥补现有软件的不足。
参考文献
刘丽文,黄燃东.我国企业实施ERP的外部环境及其风险分析[J].中国软科学,2002(3):45-48.
杨皖蒜,严鸿和.影响我国企业成功实施ERP系统的主要原因分析[J].科学管理研究,2001(1):46-49.
[3]陈志样.我国企业ERP系统实施问题探讨[J].中国软科学,2001(12):58-61.
作者简介：陈燕丽（1978—），女，山西吕梁人，会计师，山西吕梁供电公司会计核算中心主任。