ERP環(huán)境下的內(nèi)部會(huì)計(jì)控制的風(fēng)險(xiǎn)及防范

孫建華

ERP環(huán)境下的內(nèi)部會(huì)計(jì)控制的風(fēng)險(xiǎn)及防范

孫建華

企業(yè)內(nèi)部會(huì)計(jì)控制制度，已成為企業(yè)內(nèi)部管理制度中的核心組成部分，隨著我國(guó)相關(guān)法律的提出和完善，企業(yè)對(duì)ERP的需求日益增加，但從現(xiàn)階段陸續(xù)爆出的資產(chǎn)流失、會(huì)計(jì)造假等企業(yè)丑聞可以看出，控制效果不盡如人意。出現(xiàn)問題的原因很多，其中一個(gè)重要原因是落后的控制手段不適應(yīng)日益復(fù)雜的控制環(huán)境和控制程序，極大地阻礙了內(nèi)部控制目標(biāo)的實(shí)現(xiàn)。因此，在現(xiàn)有企業(yè)條件下，強(qiáng)化企業(yè)對(duì)ERP環(huán)境下的內(nèi)部會(huì)計(jì)控制存在問題的認(rèn)識(shí)，以此尋求加強(qiáng)內(nèi)部會(huì)計(jì)控制的方法，并予以完善，是非常必要的。

一、ERP環(huán)境下內(nèi)部會(huì)計(jì)控制風(fēng)險(xiǎn)

（一）現(xiàn)階段我國(guó)內(nèi)部會(huì)計(jì)控制存在的問題

1.企業(yè)內(nèi)部會(huì)計(jì)控制的意識(shí)淡薄，有章不循和無章可循的現(xiàn)象較為突出

我國(guó)許多企業(yè)的管理者，由于過去長(zhǎng)期受計(jì)劃經(jīng)濟(jì)的影響，思想觀念和經(jīng)營(yíng)方式還沒有從根本上轉(zhuǎn)變過來，沒有把企業(yè)當(dāng)作自主經(jīng)營(yíng)、自負(fù)盈虧的法人實(shí)體，有章不循、執(zhí)法不嚴(yán)，使內(nèi)部會(huì)計(jì)控制制度失去了應(yīng)有的剛性和嚴(yán)肅性。

2.企業(yè)內(nèi)部會(huì)計(jì)控制存在薄弱環(huán)節(jié)

目前有些企業(yè)甚至連賬都沒有，內(nèi)部管理混亂；有的企業(yè)出納會(huì)計(jì)一人兼，發(fā)票印章一人管；一些重要部門和崗位缺乏嚴(yán)格的監(jiān)督，其內(nèi)部控制薄弱、管理松弛的情況逐漸暴露。大部分國(guó)有大中型企業(yè)對(duì)應(yīng)收賬款的管理與其發(fā)展要求不相適應(yīng)，造成應(yīng)收賬款居高不下。

3.缺乏科學(xué)性和連貫性，難以發(fā)揮應(yīng)有的功效

內(nèi)部會(huì)計(jì)控制制度組織不健全，把執(zhí)行業(yè)務(wù)規(guī)章制度完全等同于加強(qiáng)內(nèi)部會(huì)計(jì)控制制度。偏重事后控制，忽視事前、事中控制。重錢財(cái)?shù)扔行钨Y源的控制，輕人員素質(zhì)、信息等無形資源的控制。內(nèi)部控制難以適應(yīng)不斷變化的環(huán)境。各個(gè)單位都處在不斷變化的環(huán)境中，單位的外部環(huán)境和內(nèi)部環(huán)境都可能經(jīng)常的發(fā)生變化。

4.執(zhí)行與監(jiān)督、檢查不力，考核、獎(jiǎng)懲力度不夠

內(nèi)部會(huì)計(jì)控制制度的執(zhí)行、檢查流于形式，稽核的范圍有限。以偏概全、以點(diǎn)代面，缺乏完整性和全面性。有些人忽視控制程序，錯(cuò)誤判斷，甚至相互串通舞弊等常常導(dǎo)致內(nèi)部控制失靈。

5.外部監(jiān)督乏力

雖然我國(guó)已形成了包括政府監(jiān)督和社會(huì)監(jiān)督在內(nèi)的企業(yè)外部監(jiān)督體系，但未能形成有效的合力，加上會(huì)計(jì)師事務(wù)所不規(guī)范的執(zhí)業(yè)環(huán)境和不正當(dāng)?shù)臉I(yè)務(wù)競(jìng)爭(zhēng)，以及對(duì)注冊(cè)會(huì)計(jì)師監(jiān)督不力，使得“經(jīng)濟(jì)警察”的作用并沒有發(fā)揮出來。

（二）ERP系統(tǒng)存在風(fēng)險(xiǎn)

企業(yè)的條件無論多優(yōu)越，所做的準(zhǔn)備無論多充分，實(shí)施的風(fēng)險(xiǎn)仍然存在。在ERP系統(tǒng)的實(shí)施周期中，各種影響因素隨時(shí)都可能發(fā)生變化。如何有效地管理和控制風(fēng)險(xiǎn)是保證ERP系統(tǒng)實(shí)施成功的重要環(huán)節(jié)之一。

通常人們?cè)诳紤]失敗的因素時(shí)，一般著重于對(duì)實(shí)施過程中眾多因素的分析，而往往忽視項(xiàng)目啟動(dòng)前和實(shí)施完成后ERP系統(tǒng)潛在的風(fēng)險(xiǎn)。對(duì)于ERP項(xiàng)目而言，風(fēng)險(xiǎn)存在于項(xiàng)目的全過程，包括項(xiàng)目規(guī)劃、項(xiàng)目預(yù)準(zhǔn)備、實(shí)施過程和系統(tǒng)運(yùn)行。歸納起來，ERP項(xiàng)目的風(fēng)險(xiǎn)主要有以下幾方面：缺乏規(guī)劃或規(guī)劃不合理；項(xiàng)目預(yù)準(zhǔn)備不充分，表現(xiàn)為硬件選型及ERP軟件選擇錯(cuò)誤；實(shí)施過程控制不嚴(yán)格，階段成果未達(dá)標(biāo)；設(shè)計(jì)流程缺乏有效的控制環(huán)節(jié)；實(shí)施效果未做評(píng)估或評(píng)估不合理；系統(tǒng)安全設(shè)計(jì)不完善，存在系統(tǒng)被非法入侵的隱患；災(zāi)難防范措施不當(dāng)或不完整，容易造成系統(tǒng)崩潰。

二、ERP環(huán)境下內(nèi)部會(huì)計(jì)控制風(fēng)險(xiǎn)防范

（一）戰(zhàn)略規(guī)劃

企業(yè)是否存在一個(gè)五年的IT系統(tǒng)規(guī)劃。隨著社會(huì)的信息化，IT系統(tǒng)對(duì)于企業(yè)不僅是工具，更是技術(shù)手段。ERP作為IT系統(tǒng)的重要組成部分，服務(wù)于企業(yè)的長(zhǎng)期規(guī)劃，是長(zhǎng)期規(guī)劃的手段和保證。ERP的目標(biāo)源于IT系統(tǒng)規(guī)劃，是評(píng)價(jià)ERP系統(tǒng)成敗的基本標(biāo)準(zhǔn)，應(yīng)依據(jù)IT系統(tǒng)規(guī)劃，明確ERP系統(tǒng)的實(shí)施范圍和實(shí)施內(nèi)容。

（二）項(xiàng)目預(yù)準(zhǔn)備

確定硬件及網(wǎng)絡(luò)方案、選擇ERP系統(tǒng)和評(píng)估咨詢合作伙伴是該階段的三項(xiàng)主要任務(wù)，也是ERP系統(tǒng)實(shí)施的三大要素。硬件及網(wǎng)絡(luò)方案直接影響系統(tǒng)的性能、運(yùn)行的可靠性和穩(wěn)定性；ERP系統(tǒng)功能的強(qiáng)弱決定企業(yè)需求的滿足程度；咨詢合作伙伴的工作能力和經(jīng)驗(yàn)決定實(shí)施過程的質(zhì)量及實(shí)施成效。

（三）項(xiàng)目實(shí)施控制

在ERP系統(tǒng)實(shí)施中，通常采用項(xiàng)目管理技術(shù)對(duì)實(shí)施過程進(jìn)行控制和管理。有效的實(shí)施控制表現(xiàn)在科學(xué)的實(shí)施計(jì)劃、明確的階段成果和嚴(yán)格的成果審核。不僅如此，有效的控制還表現(xiàn)在積極的協(xié)調(diào)和通暢的信息傳遞渠道。實(shí)施ERP的組織機(jī)構(gòu)包括：指導(dǎo)委員會(huì)、項(xiàng)目經(jīng)理、外部咨詢顧問、IT部門、職能部門的實(shí)施小組和職能部門的最終用戶。部門之間協(xié)調(diào)和交流得好壞決定實(shí)施過程的工作質(zhì)量和工作效率。目前，在企業(yè)缺乏合適的項(xiàng)目經(jīng)理的條件下，這一風(fēng)險(xiǎn)尤其明顯和嚴(yán)重。

（四）業(yè)務(wù)流程控制

企業(yè)業(yè)務(wù)流程重組是在項(xiàng)目實(shí)施的設(shè)計(jì)階段完成的。流程中的控制和監(jiān)督環(huán)節(jié)保證ERP在正式運(yùn)行后，各項(xiàng)業(yè)務(wù)處于有效的控制之中，避免企業(yè)遭受人為損失。設(shè)計(jì)控制環(huán)節(jié)時(shí)，要兼顧控制和效率。過多的控制環(huán)節(jié)和業(yè)務(wù)流程冗余勢(shì)必降低工作效率，而控制環(huán)節(jié)不足又會(huì)有業(yè)務(wù)失控的風(fēng)險(xiǎn)。

（五）項(xiàng)目實(shí)施效果

雖然項(xiàng)目評(píng)估是ERP實(shí)施過程的最后一個(gè)環(huán)節(jié)。但這并不意味著項(xiàng)目評(píng)估不重要。相反，項(xiàng)目評(píng)估的結(jié)果是ERP實(shí)施效果的直接反映。正確地評(píng)價(jià)實(shí)施成果，離不開清晰的實(shí)施目標(biāo)、客觀的評(píng)價(jià)標(biāo)準(zhǔn)和科學(xué)的評(píng)價(jià)方法。目前普遍存在著忽視項(xiàng)目評(píng)估的問題。忽視項(xiàng)目評(píng)估將帶來實(shí)施小組不關(guān)心實(shí)施成果這一隱患。這也正是ERP項(xiàng)目的巨大風(fēng)險(xiǎn)所在。

（六）系統(tǒng)安全管理

系統(tǒng)安全包括：操作系統(tǒng)授權(quán)、網(wǎng)絡(luò)設(shè)備權(quán)限、應(yīng)用系統(tǒng)功能權(quán)限、數(shù)據(jù)訪問權(quán)限、病毒的預(yù)防、非法入侵的監(jiān)督、數(shù)據(jù)更改的追蹤、數(shù)據(jù)的安全備份與存檔、主機(jī)房的安全管理規(guī)章、系統(tǒng)管理員的監(jiān)督等。目前，企業(yè)中熟練掌握計(jì)算機(jī)技術(shù)的人員較少，計(jì)算機(jī)接入Internet的也不多。因此，在實(shí)施ERP系統(tǒng)時(shí)，普遍存在著不重視系統(tǒng)安全的現(xiàn)象。缺乏安全意識(shí)的直接后果是系統(tǒng)在安全設(shè)計(jì)上存在著漏洞和缺陷。近年來，不斷有報(bào)刊披露銀行或企業(yè)計(jì)算機(jī)系統(tǒng)被非法入侵的消息，這給企業(yè)敲響了警鐘。

（七）意外事故或?yàn)?zāi)難

水災(zāi)、火災(zāi)、地震等不可抗拒的自然災(zāi)害會(huì)給ERP系統(tǒng)帶來毀滅性的打擊。企業(yè)正式啟用ERP系統(tǒng)后，這種破壞將直接造成業(yè)務(wù)交易的中斷，給企業(yè)帶來不可估量的損失。未雨綢繆的策略和應(yīng)對(duì)措施是降低這一風(fēng)險(xiǎn)的良方。如：建立遠(yuǎn)程備份和恢復(fù)機(jī)制，在計(jì)算機(jī)系統(tǒng)不能正常工作的情況下，恢復(fù)手工處理業(yè)務(wù)的步驟和措施。

三、完善企業(yè)內(nèi)部會(huì)計(jì)內(nèi)部控制的幾點(diǎn)建議

（一）增強(qiáng)新環(huán)境意識(shí)，全員認(rèn)識(shí)ERP系統(tǒng)

ERP系統(tǒng)不僅僅是給企業(yè)帶來了ERP軟件，更重要的是給企業(yè)帶來了先進(jìn)的管理理念。企業(yè)實(shí)施ERP的過程，要關(guān)注觀念的變革與創(chuàng)新，將ERP的管理理念引入企業(yè)的過程。那么，ERP的實(shí)施必然涉及企業(yè)業(yè)務(wù)流程、組織機(jī)構(gòu)設(shè)置、人員配置等方方面面的配套改革，也必然涉及各方面利益關(guān)系的調(diào)整，所有這些僅僅依靠企業(yè)的幾個(gè)部門領(lǐng)導(dǎo)的參與是不夠的，需要企業(yè)對(duì)全體員工適應(yīng)ERP的實(shí)施進(jìn)行培訓(xùn)，讓企業(yè)員工全面認(rèn)識(shí)ERP帶來的先進(jìn)管理理念，讓員工熟悉ERP系統(tǒng)的結(jié)構(gòu)和運(yùn)作要求，改變?cè)械年惻f管理觀念，提高管理水平和系統(tǒng)操作能力。

（二）建立科學(xué)、嚴(yán)密的內(nèi)部會(huì)計(jì)控制制度

ERP環(huán)境下，企業(yè)原有的內(nèi)部會(huì)計(jì)控制活動(dòng)和組織結(jié)構(gòu)扁平化，對(duì)原有手工業(yè)務(wù)流程要進(jìn)行重新設(shè)計(jì)，不僅改變了企業(yè)的業(yè)務(wù)流程，梳理工作流程，控制制度要嚴(yán)密，而且要抓好關(guān)鍵人，如分支結(jié)構(gòu)負(fù)責(zé)人和財(cái)會(huì)部門負(fù)責(zé)人；把握關(guān)鍵部位，如：審批程序、資金調(diào)度、交接手續(xù)、電腦操作密碼等；管好關(guān)鍵物件，如：重要的發(fā)票、銀行票據(jù)、印鑒等；控制關(guān)鍵工作崗位，如：現(xiàn)金、銀行出納、收支事項(xiàng)及憑證的核準(zhǔn)、實(shí)物負(fù)責(zé)人等。ERP系統(tǒng)中內(nèi)部牽制是指在對(duì)具體業(yè)務(wù)進(jìn)行分工時(shí)，不能由一個(gè)部門或一個(gè)人來完成一項(xiàng)業(yè)務(wù)的全過程，必須要建立科學(xué)、嚴(yán)密的會(huì)計(jì)內(nèi)部控制體系。它由適當(dāng)授權(quán)、不相容工作的責(zé)任分工、憑證和記錄、接近控制、獨(dú)立檢查等環(huán)節(jié)組成，這種制約包括上、下級(jí)之間的互相制約、相關(guān)部門之間的相互制約。ERP系統(tǒng)環(huán)境的權(quán)限控制始于系統(tǒng)初始設(shè)置階段，即通過系統(tǒng)管理員（或系統(tǒng)維護(hù)員）對(duì)工作人員、工作范圍等進(jìn)行設(shè)置（輸入相關(guān)的數(shù)據(jù)）；每個(gè)崗位人員采用口令密碼按照所授予的權(quán)限對(duì)系統(tǒng)進(jìn)行作業(yè)，不得超權(quán)限接觸系統(tǒng)。同時(shí)由于系統(tǒng)維護(hù)人員和熟悉信息系統(tǒng)技術(shù)的相關(guān)人員能直接接觸會(huì)計(jì)數(shù)據(jù)庫、會(huì)計(jì)軟件，他們的有意作案或無意的錯(cuò)誤操作所造成的影響很難估量，因此必須用嚴(yán)格的制度約束他們。要做到業(yè)務(wù)決策人員與經(jīng)辦人員權(quán)限設(shè)置全面分離制約，將業(yè)務(wù)授權(quán)（管理職能）、業(yè)務(wù)執(zhí)行（保管職能）、業(yè)務(wù)記錄（會(huì)計(jì)職能）、業(yè)績(jī)檢查（監(jiān)督職能）很好的分離，重大事項(xiàng)的決策和執(zhí)行能做到很好的分離制約。

（三）確保會(huì)計(jì)內(nèi)部控制制度的有效實(shí)施

應(yīng)特別關(guān)注企業(yè)內(nèi)部會(huì)計(jì)控制制度的有效實(shí)施，因?yàn)樗鼘?duì)企業(yè)財(cái)務(wù)管理目標(biāo)的實(shí)現(xiàn)和企業(yè)財(cái)產(chǎn)的安全有著重要的、直接的影響。建立科學(xué)、嚴(yán)密的企業(yè)內(nèi)部會(huì)計(jì)控制制度是安全、有效的財(cái)務(wù)管理的基礎(chǔ)。企業(yè)的一些高級(jí)管理人員認(rèn)為，稽核部門不能創(chuàng)造效益，還要占用人員編制，增加經(jīng)營(yíng)成本，因此，對(duì)其并不十分重視，這一觀念應(yīng)立即更新，并切實(shí)加強(qiáng)考核、監(jiān)督、制約機(jī)制，發(fā)揮企業(yè)內(nèi)部會(huì)計(jì)控制的作用，將內(nèi)部審計(jì)人員從會(huì)計(jì)、財(cái)務(wù)人員中分離出來，直接對(duì)董事會(huì)負(fù)責(zé)，這樣才能真正發(fā)揮內(nèi)部審計(jì)人員的作用，監(jiān)督和保護(hù)企業(yè)的資產(chǎn)、財(cái)產(chǎn)安全，監(jiān)督企業(yè)朝著合理、合法的良性方面發(fā)展。

（作者單位：寧波科信會(huì)計(jì)師事務(wù)所有限公司）