孫建華
ERP環(huán)境下的內(nèi)部會(huì)計(jì)控制的風(fēng)險(xiǎn)及防范
孫建華
企業(yè)內(nèi)部會(huì)計(jì)控制制度,已成為企業(yè)內(nèi)部管理制度中的核心組成部分,隨著我國(guó)相關(guān)法律的提出和完善,企業(yè)對(duì)ERP的需求日益增加,但從現(xiàn)階段陸續(xù)爆出的資產(chǎn)流失、會(huì)計(jì)造假等企業(yè)丑聞可以看出,控制效果不盡如人意。出現(xiàn)問題的原因很多,其中一個(gè)重要原因是落后的控制手段不適應(yīng)日益復(fù)雜的控制環(huán)境和控制程序,極大地阻礙了內(nèi)部控制目標(biāo)的實(shí)現(xiàn)。因此,在現(xiàn)有企業(yè)條件下,強(qiáng)化企業(yè)對(duì)ERP環(huán)境下的內(nèi)部會(huì)計(jì)控制存在問題的認(rèn)識(shí),以此尋求加強(qiáng)內(nèi)部會(huì)計(jì)控制的方法,并予以完善,是非常必要的。
1.企業(yè)內(nèi)部會(huì)計(jì)控制的意識(shí)淡薄,有章不循和無章可循的現(xiàn)象較為突出
我國(guó)許多企業(yè)的管理者,由于過去長(zhǎng)期受計(jì)劃經(jīng)濟(jì)的影響,思想觀念和經(jīng)營(yíng)方式還沒有從根本上轉(zhuǎn)變過來,沒有把企業(yè)當(dāng)作自主經(jīng)營(yíng)、自負(fù)盈虧的法人實(shí)體,有章不循、執(zhí)法不嚴(yán),使內(nèi)部會(huì)計(jì)控制制度失去了應(yīng)有的剛性和嚴(yán)肅性。
2.企業(yè)內(nèi)部會(huì)計(jì)控制存在薄弱環(huán)節(jié)
目前有些企業(yè)甚至連賬都沒有,內(nèi)部管理混亂;有的企業(yè)出納會(huì)計(jì)一人兼,發(fā)票印章一人管;一些重要部門和崗位缺乏嚴(yán)格的監(jiān)督,其內(nèi)部控制薄弱、管理松弛的情況逐漸暴露。大部分國(guó)有大中型企業(yè)對(duì)應(yīng)收賬款的管理與其發(fā)展要求不相適應(yīng),造成應(yīng)收賬款居高不下。
3.缺乏科學(xué)性和連貫性,難以發(fā)揮應(yīng)有的功效
內(nèi)部會(huì)計(jì)控制制度組織不健全,把執(zhí)行業(yè)務(wù)規(guī)章制度完全等同于加強(qiáng)內(nèi)部會(huì)計(jì)控制制度。偏重事后控制,忽視事前、事中控制。重錢財(cái)?shù)扔行钨Y源的控制,輕人員素質(zhì)、信息等無形資源的控制。內(nèi)部控制難以適應(yīng)不斷變化的環(huán)境。各個(gè)單位都處在不斷變化的環(huán)境中,單位的外部環(huán)境和內(nèi)部環(huán)境都可能經(jīng)常的發(fā)生變化。
4.執(zhí)行與監(jiān)督、檢查不力,考核、獎(jiǎng)懲力度不夠
內(nèi)部會(huì)計(jì)控制制度的執(zhí)行、檢查流于形式,稽核的范圍有限。以偏概全、以點(diǎn)代面,缺乏完整性和全面性。有些人忽視控制程序,錯(cuò)誤判斷,甚至相互串通舞弊等常常導(dǎo)致內(nèi)部控制失靈。
5.外部監(jiān)督乏力
雖然我國(guó)已形成了包括政府監(jiān)督和社會(huì)監(jiān)督在內(nèi)的企業(yè)外部監(jiān)督體系,但未能形成有效的合力,加上會(huì)計(jì)師事務(wù)所不規(guī)范的執(zhí)業(yè)環(huán)境和不正當(dāng)?shù)臉I(yè)務(wù)競(jìng)爭(zhēng),以及對(duì)注冊(cè)會(huì)計(jì)師監(jiān)督不力,使得“經(jīng)濟(jì)警察”的作用并沒有發(fā)揮出來。
企業(yè)的條件無論多優(yōu)越,所做的準(zhǔn)備無論多充分,實(shí)施的風(fēng)險(xiǎn)仍然存在。在ERP系統(tǒng)的實(shí)施周期中,各種影響因素隨時(shí)都可能發(fā)生變化。如何有效地管理和控制風(fēng)險(xiǎn)是保證ERP系統(tǒng)實(shí)施成功的重要環(huán)節(jié)之一。
通常人們?cè)诳紤]失敗的因素時(shí),一般著重于對(duì)實(shí)施過程中眾多因素的分析,而往往忽視項(xiàng)目啟動(dòng)前和實(shí)施完成后ERP系統(tǒng)潛在的風(fēng)險(xiǎn)。對(duì)于ERP項(xiàng)目而言,風(fēng)險(xiǎn)存在于項(xiàng)目的全過程,包括項(xiàng)目規(guī)劃、項(xiàng)目預(yù)準(zhǔn)備、實(shí)施過程和系統(tǒng)運(yùn)行。歸納起來,ERP項(xiàng)目的風(fēng)險(xiǎn)主要有以下幾方面:缺乏規(guī)劃或規(guī)劃不合理;項(xiàng)目預(yù)準(zhǔn)備不充分,表現(xiàn)為硬件選型及ERP軟件選擇錯(cuò)誤;實(shí)施過程控制不嚴(yán)格,階段成果未達(dá)標(biāo);設(shè)計(jì)流程缺乏有效的控制環(huán)節(jié);實(shí)施效果未做評(píng)估或評(píng)估不合理;系統(tǒng)安全設(shè)計(jì)不完善,存在系統(tǒng)被非法入侵的隱患;災(zāi)難防范措施不當(dāng)或不完整,容易造成系統(tǒng)崩潰。
企業(yè)是否存在一個(gè)五年的IT系統(tǒng)規(guī)劃。隨著社會(huì)的信息化,IT系統(tǒng)對(duì)于企業(yè)不僅是工具,更是技術(shù)手段。ERP作為IT系統(tǒng)的重要組成部分,服務(wù)于企業(yè)的長(zhǎng)期規(guī)劃,是長(zhǎng)期規(guī)劃的手段和保證。ERP的目標(biāo)源于IT系統(tǒng)規(guī)劃,是評(píng)價(jià)ERP系統(tǒng)成敗的基本標(biāo)準(zhǔn),應(yīng)依據(jù)IT系統(tǒng)規(guī)劃,明確ERP系統(tǒng)的實(shí)施范圍和實(shí)施內(nèi)容。
確定硬件及網(wǎng)絡(luò)方案、選擇ERP系統(tǒng)和評(píng)估咨詢合作伙伴是該階段的三項(xiàng)主要任務(wù),也是ERP系統(tǒng)實(shí)施的三大要素。硬件及網(wǎng)絡(luò)方案直接影響系統(tǒng)的性能、運(yùn)行的可靠性和穩(wěn)定性;ERP系統(tǒng)功能的強(qiáng)弱決定企業(yè)需求的滿足程度;咨詢合作伙伴的工作能力和經(jīng)驗(yàn)決定實(shí)施過程的質(zhì)量及實(shí)施成效。
在ERP系統(tǒng)實(shí)施中,通常采用項(xiàng)目管理技術(shù)對(duì)實(shí)施過程進(jìn)行控制和管理。有效的實(shí)施控制表現(xiàn)在科學(xué)的實(shí)施計(jì)劃、明確的階段成果和嚴(yán)格的成果審核。不僅如此,有效的控制還表現(xiàn)在積極的協(xié)調(diào)和通暢的信息傳遞渠道。實(shí)施ERP的組織機(jī)構(gòu)包括:指導(dǎo)委員會(huì)、項(xiàng)目經(jīng)理、外部咨詢顧問、IT部門、職能部門的實(shí)施小組和職能部門的最終用戶。部門之間協(xié)調(diào)和交流得好壞決定實(shí)施過程的工作質(zhì)量和工作效率。目前,在企業(yè)缺乏合適的項(xiàng)目經(jīng)理的條件下,這一風(fēng)險(xiǎn)尤其明顯和嚴(yán)重。
企業(yè)業(yè)務(wù)流程重組是在項(xiàng)目實(shí)施的設(shè)計(jì)階段完成的。流程中的控制和監(jiān)督環(huán)節(jié)保證ERP在正式運(yùn)行后,各項(xiàng)業(yè)務(wù)處于有效的控制之中,避免企業(yè)遭受人為損失。設(shè)計(jì)控制環(huán)節(jié)時(shí),要兼顧控制和效率。過多的控制環(huán)節(jié)和業(yè)務(wù)流程冗余勢(shì)必降低工作效率,而控制環(huán)節(jié)不足又會(huì)有業(yè)務(wù)失控的風(fēng)險(xiǎn)。
雖然項(xiàng)目評(píng)估是ERP實(shí)施過程的最后一個(gè)環(huán)節(jié)。但這并不意味著項(xiàng)目評(píng)估不重要。相反,項(xiàng)目評(píng)估的結(jié)果是ERP實(shí)施效果的直接反映。正確地評(píng)價(jià)實(shí)施成果,離不開清晰的實(shí)施目標(biāo)、客觀的評(píng)價(jià)標(biāo)準(zhǔn)和科學(xué)的評(píng)價(jià)方法。目前普遍存在著忽視項(xiàng)目評(píng)估的問題。忽視項(xiàng)目評(píng)估將帶來實(shí)施小組不關(guān)心實(shí)施成果這一隱患。這也正是ERP項(xiàng)目的巨大風(fēng)險(xiǎn)所在。
系統(tǒng)安全包括:操作系統(tǒng)授權(quán)、網(wǎng)絡(luò)設(shè)備權(quán)限、應(yīng)用系統(tǒng)功能權(quán)限、數(shù)據(jù)訪問權(quán)限、病毒的預(yù)防、非法入侵的監(jiān)督、數(shù)據(jù)更改的追蹤、數(shù)據(jù)的安全備份與存檔、主機(jī)房的安全管理規(guī)章、系統(tǒng)管理員的監(jiān)督等。目前,企業(yè)中熟練掌握計(jì)算機(jī)技術(shù)的人員較少,計(jì)算機(jī)接入Internet的也不多。因此,在實(shí)施ERP系統(tǒng)時(shí),普遍存在著不重視系統(tǒng)安全的現(xiàn)象。缺乏安全意識(shí)的直接后果是系統(tǒng)在安全設(shè)計(jì)上存在著漏洞和缺陷。近年來,不斷有報(bào)刊披露銀行或企業(yè)計(jì)算機(jī)系統(tǒng)被非法入侵的消息,這給企業(yè)敲響了警鐘。
水災(zāi)、火災(zāi)、地震等不可抗拒的自然災(zāi)害會(huì)給ERP系統(tǒng)帶來毀滅性的打擊。企業(yè)正式啟用ERP系統(tǒng)后,這種破壞將直接造成業(yè)務(wù)交易的中斷,給企業(yè)帶來不可估量的損失。未雨綢繆的策略和應(yīng)對(duì)措施是降低這一風(fēng)險(xiǎn)的良方。如:建立遠(yuǎn)程備份和恢復(fù)機(jī)制,在計(jì)算機(jī)系統(tǒng)不能正常工作的情況下,恢復(fù)手工處理業(yè)務(wù)的步驟和措施。
ERP系統(tǒng)不僅僅是給企業(yè)帶來了ERP軟件,更重要的是給企業(yè)帶來了先進(jìn)的管理理念。企業(yè)實(shí)施ERP的過程,要關(guān)注觀念的變革與創(chuàng)新,將ERP的管理理念引入企業(yè)的過程。那么,ERP的實(shí)施必然涉及企業(yè)業(yè)務(wù)流程、組織機(jī)構(gòu)設(shè)置、人員配置等方方面面的配套改革,也必然涉及各方面利益關(guān)系的調(diào)整,所有這些僅僅依靠企業(yè)的幾個(gè)部門領(lǐng)導(dǎo)的參與是不夠的,需要企業(yè)對(duì)全體員工適應(yīng)ERP的實(shí)施進(jìn)行培訓(xùn),讓企業(yè)員工全面認(rèn)識(shí)ERP帶來的先進(jìn)管理理念,讓員工熟悉ERP系統(tǒng)的結(jié)構(gòu)和運(yùn)作要求,改變?cè)械年惻f管理觀念,提高管理水平和系統(tǒng)操作能力。
ERP環(huán)境下,企業(yè)原有的內(nèi)部會(huì)計(jì)控制活動(dòng)和組織結(jié)構(gòu)扁平化,對(duì)原有手工業(yè)務(wù)流程要進(jìn)行重新設(shè)計(jì),不僅改變了企業(yè)的業(yè)務(wù)流程,梳理工作流程,控制制度要嚴(yán)密,而且要抓好關(guān)鍵人,如分支結(jié)構(gòu)負(fù)責(zé)人和財(cái)會(huì)部門負(fù)責(zé)人;把握關(guān)鍵部位,如:審批程序、資金調(diào)度、交接手續(xù)、電腦操作密碼等;管好關(guān)鍵物件,如:重要的發(fā)票、銀行票據(jù)、印鑒等;控制關(guān)鍵工作崗位,如:現(xiàn)金、銀行出納、收支事項(xiàng)及憑證的核準(zhǔn)、實(shí)物負(fù)責(zé)人等。ERP系統(tǒng)中內(nèi)部牽制是指在對(duì)具體業(yè)務(wù)進(jìn)行分工時(shí),不能由一個(gè)部門或一個(gè)人來完成一項(xiàng)業(yè)務(wù)的全過程,必須要建立科學(xué)、嚴(yán)密的會(huì)計(jì)內(nèi)部控制體系。它由適當(dāng)授權(quán)、不相容工作的責(zé)任分工、憑證和記錄、接近控制、獨(dú)立檢查等環(huán)節(jié)組成,這種制約包括上、下級(jí)之間的互相制約、相關(guān)部門之間的相互制約。ERP系統(tǒng)環(huán)境的權(quán)限控制始于系統(tǒng)初始設(shè)置階段,即通過系統(tǒng)管理員(或系統(tǒng)維護(hù)員)對(duì)工作人員、工作范圍等進(jìn)行設(shè)置(輸入相關(guān)的數(shù)據(jù));每個(gè)崗位人員采用口令密碼按照所授予的權(quán)限對(duì)系統(tǒng)進(jìn)行作業(yè),不得超權(quán)限接觸系統(tǒng)。同時(shí)由于系統(tǒng)維護(hù)人員和熟悉信息系統(tǒng)技術(shù)的相關(guān)人員能直接接觸會(huì)計(jì)數(shù)據(jù)庫、會(huì)計(jì)軟件,他們的有意作案或無意的錯(cuò)誤操作所造成的影響很難估量,因此必須用嚴(yán)格的制度約束他們。要做到業(yè)務(wù)決策人員與經(jīng)辦人員權(quán)限設(shè)置全面分離制約,將業(yè)務(wù)授權(quán)(管理職能)、業(yè)務(wù)執(zhí)行(保管職能)、業(yè)務(wù)記錄(會(huì)計(jì)職能)、業(yè)績(jī)檢查(監(jiān)督職能)很好的分離,重大事項(xiàng)的決策和執(zhí)行能做到很好的分離制約。
應(yīng)特別關(guān)注企業(yè)內(nèi)部會(huì)計(jì)控制制度的有效實(shí)施,因?yàn)樗鼘?duì)企業(yè)財(cái)務(wù)管理目標(biāo)的實(shí)現(xiàn)和企業(yè)財(cái)產(chǎn)的安全有著重要的、直接的影響。建立科學(xué)、嚴(yán)密的企業(yè)內(nèi)部會(huì)計(jì)控制制度是安全、有效的財(cái)務(wù)管理的基礎(chǔ)。企業(yè)的一些高級(jí)管理人員認(rèn)為,稽核部門不能創(chuàng)造效益,還要占用人員編制,增加經(jīng)營(yíng)成本,因此,對(duì)其并不十分重視,這一觀念應(yīng)立即更新,并切實(shí)加強(qiáng)考核、監(jiān)督、制約機(jī)制,發(fā)揮企業(yè)內(nèi)部會(huì)計(jì)控制的作用,將內(nèi)部審計(jì)人員從會(huì)計(jì)、財(cái)務(wù)人員中分離出來,直接對(duì)董事會(huì)負(fù)責(zé),這樣才能真正發(fā)揮內(nèi)部審計(jì)人員的作用,監(jiān)督和保護(hù)企業(yè)的資產(chǎn)、財(cái)產(chǎn)安全,監(jiān)督企業(yè)朝著合理、合法的良性方面發(fā)展。
(作者單位:寧波科信會(huì)計(jì)師事務(wù)所有限公司)