论ERP系统内部控制风险防范.docVIP

论ERP系统内部控制风险防范 　　【摘要】在ERP环境下，企业业务运作更加依赖于ERP系统，导致企业出现了新的业务控制风险。本文通过对ERP系统内部控制风险的分析，提出了风险防范的相应措施。 　　【关键词】ERP；风险；内部控制 　　ERP系统是建立在信息技术基础上，利用现代企业的先进管理思想，全面集成企业的所有资源，并为企业提供决策、计划、控制与经营业绩评价的全面化、整合化和动态化的管理平台。在ERP环境下，由于企业业务运作更加依赖于ERP系统，导致企业出现了新的业务风险。如何对这些风险进行防范，值得企业关注及防范。 　　一、ERP系统内部控制风险分析 　　（一）控制流程风险 　　由于控制流程与过去相比发生了根本性改变，因此其对企业内部控制风险的影响最大。ERP强调企业流程与工作流，通过工作流实现企业人员、财务、制造与分销间的集成，支持企业流程重组。但ERP系统一般是固定的模式结构，企业在运行时，软件无法灵活地适应个性化的企业流程要求，且企业在进行管理与业务流程重整时，很难真正达到从组织结构、生产流程、业务流程方面全面适应ERP系统的效果。于是现有ERP系统结构与功能制约了企业动态重整过程。另外，企业组织重组与业务流程简化，会造成很多审批环节的缺失，隐含内部控制流程不完善的风险。 　　（二）计算机系统风险 　　计算机系统风险主要指来自于计算机硬件和软件两方面的风险。计算机硬件以及与之相关的设备都存在着外部不可抗拒的因素（如火灾、停电等），而一些人为因素（如操作失误等）也会引起系统故障，从而导致数据丢失甚至瘫痪。且由于其系统一体化、数据逻辑化、信息生成自动化的特点，内部控制无法触及，一旦出现故障，损失便很严重。软件风险主要指的是应用ERP软件时存在的各种风险，由于ERP系统功能繁多，ERP软件具体运用于企业时，不可避免地存在某些功能不足或潜在的软件缺陷，如软件功能与企业需求的切合度、系统的集成性、软件的成熟性和稳定性及对中文界面和数据的支持程度等，这都将影响ERP系统的正常运行，给内部控制带来潜在风险。 　　（三）人员道德风险 　　主要是指企业内部??员和外部人员（如黑客）对会计数据非授权的访问、篡改、泄密和破坏等方面的风险。随着计算机网络、电子商务的不断发展，高级系统用户可随时随地访问系统模块或系统控制，甚至改变一些重要业务参数。由于ERP系统涉及整个企业的运营流程，这样一方面使企业员工可更方便快捷地处理问题、提高效率，但另一方面若缺乏有效管控，ERP用户就有可能获取或改变与其不相关的信息或数据，给系统安全带来威胁。另外，互联网的开放性，也给系统带来了一定的安全风险。 　　（四）环境控制风险 　　内部控制的风险大小很大程度上取决于企业管理当局的态度。ERP系统无疑加剧了这一风险。如果企业管理当局无法充分将ERP系统的现代管理理念融入企业管理思想和管理模式，内部控制将无法实现。 　　二、防范ERP系统内部控制风险的措施 　　（一）落实流程性控制 　　1.输入控制。在ERP环境下，从不同计算机上输入的不同会计信息交叉在一起，形成了庞大、复杂的会计信息数据库，再加上信息共享，若内部控制不严密，直接影响会计信息环境下信息披露的准确性和可靠性。因此在信息输入系统前要经过检验，明确责任；数据输入过程中进行岗位分工；最后进行数据输入核对，最大限度地减少操作人员出错概率。 　　2.处理控制。数据输入计算机后，数据处理是否正确，其结果是否可靠，在很大程度上依赖于应用程序的正确性和环境控制的强弱。必须先进行严格检查与测试，查看该软件是否具有容错和纠错能力，确定该软件的合格性和合规性。纠正隐含在软件内的程序处理逻辑错误与计算错误，以提高计算机数据处理质量。 　　3.输出控制。对输出进行控制可以有效地保证系统完整、准确地输出经处理的会计信息，保证输出结果能够快速正确地发送到有关部门手中。 　　（二）落实配置性控制 　　1.计算机硬件层次上的所有控制。硬件控制通常是由计算机硬件制造商设计、并安排在计算机硬件设备上的，如边界保护、双电路、奇偶校验、溢出校验及程序固化等。设置这种控制的目的，是为使计算机有更高的可靠性，在环境出现一些细微干扰时不至于影响计算机运行。 　　2.系统支持软件中的控制。系统支持软件主要指单机、网络操作系统、数据库管理系统等基础软件。这些软件中的控制通常是由像Microsoft、Oracle一类专业性软件公司设计的。恰当地利用系统软件提供的控制机制，是加强电算系统安全，提高开发、运行和维护效率的基本手段。 　　3.应用软件中的控制。此类控制一般由软件开发单位在软件开发时设计在程序中。与前两种控制相比，这种控制不具有普遍性，是针对会计信息的处理特点来设置的，受会计电算化管理规章的约束。 　　（三）落实权限类控制 　　信息系统环境