ERP系统环境下内部会计控制风险及防范研究

武汉大学经济与管理学院 徐晟

ERP系统是指建立在信息技术基础上，以系统化的管理思想，为企业决策层及员工提供决策运行手段的管理平台。ERP系统主要是对企业所拥有的人、财、物、信息、时间和空间等综合资源进行综合平衡和优化管理，协调企业各管理部门，围绕市场导向开展业务活动，提高企业的核心竞争力，从而取得最好的经济效益。ERP系统集信息技术与先进管理思想于一身，成为现代企业良好的运行模式，反映了时代对企业合理调配资源，最大化地创造社会财富的要求，成为企业在信息时代生存、发展的基石。近年来，企业会计信息化日益成为企业管理变革的一项重要内容，给企业带来的不仅仅是管理手段上的革新，更是管理理念和管理方式上的变革。为了更好的迎接这种变革，我国政府十分重视对内部控制的研究，并发布了一系列规范和指导意见，促进了企事业单位内部控制制度的建立和完善。然而，在企业信息化过程中，会计工作不可避免地受到影响。为了保证会计记录真实可靠、企业资产安全完整、相关法律法规得到遵循，会计信息系统内部控制受到高度重视，随着网络技术全方位地渗透到企业经营过程，会计信息系统内部控制也必然面临着重新组织。传统内部会计控制手段基本是由人来控制，通过制度的制定以及事后检查来实现管理目标。在执行过程中，个体素质的差异将影响管理控制的质量，存在一定的主观性，尤其对关键环节的控制影响较大，导致管理效率低，控制成本高。随着企业信息化进程的深入和ERP在企业管理中的广泛应用，传统的控制手段已明显不适应日益复杂的控制环境和控制程序，极大地阻碍了内部会计控制目标的实现。本文拟从ERP的内涵和特征出发，探讨ERP环境给内部会计控制带来的优势和风险，并针对其风险提出了相应的防范措施。

一、ERP系统环境下内部会计控制优势

（一）改变了企业原有的组织结构 在信息技术的大环境下，企业所处的内部环境发生了变化，在传统岗位基础上还要求对原有的业务流程进行优化和重新设计，针对ERP系统设置工作岗位并授予一定的权限。如：系统管理员、账套主管、销售主管、采购主管等职务。

（二）改变了内部会计控制的方式 数据处理的集中性使内部控制程序化。在手工会计环境下，内部控制主要采用结构控制法，包括设置相互牵制的会计岗位。通过会计业务的相互稽核进行控制，会计工作通常被分成几个步骤，按一定的程序完成。任何一个步骤都是对前面工作的审查与复核，前一个步骤中出现的错误往往可以在后一步骤中发现而得以修改。例如，凭证的错误可以在记账中发现，记账的错误可以在对账中发现，对账中未发现的错误又可以在编制报表中发现。然而使用计算机后，大部分的会计处理工作都由计算机自动完成。这种数据处理的集中性使得传统的组织控制功能减弱，原有的内部控制措施逐步由相应的程序功能代替。如：操作权限控制功能、数据输入、输出控制功能等。

（三）扩大了内部会计控制的范围 ERP系统运行的复杂性使内部控制的范围扩大。由于ERP系统的实施，会计核算环境发生了很大变化，会计部门的组成人员也由原来单一的财务会计人员变成会计人员和系统操作人员（包括业务人员）两部分。ERP系统的数据处理方式复杂多样，这不仅给会计工作增加了新的内容，也使内部控制的范围相应扩大。例如，不但要注意对业务操作人员的制约管理，更要强调会计人员与计算机维护人员之间的内部牵制；不仅要对输出的纸质资料进行归档管理，更要加强对计算机机内数据的维护与安全管理。

（四）改变了内部会计控制的重点 在手工会计环境下，内部控制的重点在人员之间的相互牵制，即“一般控制”。而采用ERP系统后，会计工作的执行涉及到人与系统软件两个因素，并且系统软件还是主要的影响因素。这使得内部控制的重点由对人控制转变为对人、机的控制，即“一般控制+应用程序控制”。如：对原始数据输入计算机的控制、人机交互处理的控制、会计信息的输出控制，岗位分离及授权控制等。

（五）提高了内部会计控制的时效性 ERP环境下经营信息的高度共享，使企业的决策者能随时了解经营情况并及时做出应有的反应。各部门管理人员也可以随时监控系统运行情况，收到ERP系统自动发出的错误报告或异常情况信息快速做出处理，从而达到及时控制风险和损失的目的。

二、ERP系统环境下内部会计控制的风险因素

一个完整的ERP系统是人力资源、财务、销售、制造、分销以及供应链管理等的集成能使企业实现对竞争压力和市场机会的迅速反应，采用灵活的产品装配，减少库存以及更加有效的供应链管理。但ERP系统中单一的数据库使过去跨部门的审批流程得到简化和压缩，从而用于企业内部控制的许多审计线索在ERP系统的引入后消失了；企业过去基于文件审批的内部控制机制，也无法适应ERP基于流程的管理需要，更重要的是由于企业的业务运作更加依赖于ERP系统，导致了企业新的业务风险。

（一）内部会计控制管理制度不健全 信息化在处理方式和内部结构上与原来的手工会计系统存在着较大的差别，原有手工会计环境下的管理制度已不能适应信息化管理的需要。要保证信息化安全、有效运行，就必须建立健全一套新的管理制度。否则不但不能很好地发挥会计信息化的作用，还会造成单位工作的混乱，给非法行为以可乘之机，从而给企业造成无法挽回的损失。目前我国有些企业虽然建立了内部控制制度，但总体上仍缺乏科学性、前瞻性。具体表现在：内部控制制度在内容上片面、零散，不具有科学性和系统性；偏重事后控制；企业对外部环境和经济业务的变化缺乏前瞻性，导致其管理滞后；内部控制手段相对落后。

（二）身份识别与权限控制风险 在手工会计系统中，一项经济业务从发生到形成相对应的会计信息，所经历的每个环节都要求具有相应管理权限的人员签字或盖章，签名或印章的仿造具有一定的难度。这种传统管理方式的效率虽不高，但可以有效地防止作弊。会计信息化后，原来人与人之间的关系部分转化为人与计算机之间的联系，签名或盖章转化为授权文件和口令，许多手工方式下的数据处理流程都汇集到了信息化程序中。口令对于精通计算机知识的人来说算不上什么秘密。同时，业务人员可以利用特殊的文件或口令，获得某种权利或运行特定程序进行业务处理，从而造成经济损失。这就要求企业会计人员严格身份认证、加强授权控制。如果不能很好地解决以上问题，就很难保证会计信息的真实性和准确性。

（三）专业人才匮乏 从会计人员的素质角度看，尽管经过多年的努力，企业会计人员的业务素质有了较大的提高，但在信息技术环境下，对既掌握会计专业知识，又懂相应的管理知识及计算机应用技术的复合型人才还很少。而且长期以来，企业会计人员养成了按照会计制度的有关规定，采用固定的模式来进行会计处理的习惯，缺乏职业判断能力。而信息技术环境下的会计处理是一种计算机与会计相结合的方法，不仅需要现代化手段的技术支持，先进的生产制度作保障，更需要高素质的会计人员，否则，就很难保证实施的效果。

（四）网络安全 网络环境具有开放性的特点，给会计信息系统的内部控制带来了许多新问题。具体表现在：（1）会计信息失真。在网络环境下，电子符号代替了会计数据，磁介质代替了纸介质，会计信息面临安全风险，网络系统面临安全风险，企业内部控制面临失效风险。由于财务数据流动过程中签字盖章等传统确认手段不再存在，不能排除电子凭证、电子账簿可能被随意修改，从而使网上信息的真实性受到质疑。一旦会计信息系统的安全受到侵害，最直接的影响就是会计数据错误、数据丢失或被篡改，从而使会计信息失真，不同程度地影响到会计信息使用者进行有关决策。网络系统的开放性和动态性加大了审计取证难度，加剧了会计信息失真的风险。（2）企业资产损失。利用非法手段侵吞企业资产是会计信息系统安全风险的主要形式之一。其手段主要有：未经许可非法侵入他人计算机设施、通过网络散布病毒等有害程序、非法转移电子资金及盗窃银行存款等。随着犯罪技术的日趋多样化、复杂化，信息系统犯罪更加隐蔽，更加难以被发现，涉及的金额也从最初的几千元发展到几万元，甚至几百万元，由此造成的安全风险损失越来越大，后果越来越严重。（3）信息泄露与篡改。企业的财务数据属重大商业机密，在网络传递过程中，大量信息通过网络通讯线路传输，有可能遭受非法拦截、窃取和篡改，从而造成企业重要信息泄露。信息技术高速发展的今天，信息在企业的经营管理中变得尤为重要，成为企业的一项重要资本，甚至决定了企业在激烈的市场竞争中的成败。利用高技术手段窃取企业机密是当今计算机犯罪的主要目的之一，也是构成系统安全风险的重要形式，常常会对企业造成无法估量的损失。（4）系统安全控制难度大。无论是无法避免的自然灾害，还是出于非法目的而输入的破坏性程序、操作者操作失误造成硬件设施的损害、计算机病毒的破坏、网络黑客的攻击，都有可能使会计信息系统的软硬件无法正常工作，甚至系统瘫痪，造成巨大损失。

三、ERP系统环境下风险防范措施

在网络环境下，广泛地使用网络信息技术为支持决策和改善业务与信息转化过程提供了战略机会，也提供了预防、检查和纠正错误或防止程序舞弊的机会。因此，在网络环境下建立会计信息系统的内部控制时，应充分考虑技术的能力，打破传统上独立的、反映的和检查性的模式，而具备“实时”的控制思想。即利用网络信息技术，将控制嵌入到会计信息系统中，在更广泛的网络环境下，设置会计信息系统的关键控制点，制定相应的控制手段。

（一）完善内部会计控制规范 对于完善内部会计控制规范，企业应建立内部审计机制。健全内部审计机构、加强内部审计监督是营造守法、公平、正直的内部环境的重要保证。企业应当加强内部审计工作，在企业内部形成有权必有责、用权受监督的良好氛围。第一，在董事会下设立审计委员会的企业，应当保证审计委员会成员具备良好的职业操守和专业胜任能力，审计委员会及其成员应当具有相应的独立性。审计委员会应当直接对董事会负责。第二，企业应当赋予审计委员会监督企业内部控制建立和实施情况的相应职权。第三，设立专门的内部审计机构的企业，应当保证内部审计机构具有相应的独立性，并配备与履行内部审计职能相适应的人员和工作条件。

（二）合理进行人员岗位设置 合理进行人员岗位设置，对保证会计数据的及时、准确、安全具有重要作用。这就要求人们建立信息化系统使用登记制度，要在电脑里自动生成文件，用来记录上机操作人员使用会计软件的时间、身份、姓名、操作内容和故障情况等，并制定相应的组织和管理机制，明确岗位职责分工范围，采用相应的管理规章与之配套，设立一种相互稽核、相互监督和相互制约的机制来减少发生错误和舞弊的可能性，结合本单位组织的实际情况，进行科学、合理的人员分工。由于集成的会计信息系统将相对独立的、不同的会计职责集中化为一个信息系统，所有会计处理程序和财务数据存储在同一个计算机系统中。所有操作员的操作权限均由信息系统进行自动化管理，操作的合法性只能通过操作员姓名和密码来确认，信息系统本身不能通过字迹验证操作员的真实身份，处理操作和证、账、表上签章也由会计信息系统依据登录操作员的注册资料自动完成。因此，操作员身份合法性检验和操作权限管理就变得非常重要，操作人员必须严格保护自己的操作密码，防止自己的操作权限被他人侵犯。

（三）加大培养复合型会计人才的力度 企业应加大复合型会计人才的培训力度，将职业道德素养和专业胜任能力作为选拔和聘用员工的重要标准，并适当关注应聘者的价值取向和行为特征是否与本企业的企业文化和内部控制的有关要求相适应。制定科学、合理的培训计划，提高培训的针对性和实效性，不断提升员工的道德素养和业务素质。此外，企业应当建立和完善针对各层级员工的激励约束机制，通过制定合理的目标、建立明确的标准、执行严格的考核和落实配套的奖惩，促进员工责、权、利的有机统一和企业内部控制的有效执行。

（四）加强网络安全管理 自从1986年以来，我国相继制定并颁布了《中华人民共和国信息系统安全保护条例》、《计算机系统安全规范》、《计算机病毒控制条例》等系列相关的安全方面的条文，有利的打击了计算机犯罪、病毒的猖獗传播等，保护了计算机信息的安全。但是，有关会计信息系统安全保护等方面的法律相对甚少，并且很不规范，因此，我国会计信息系统安全立法势在必行。并且应坚持在立足于我国基本国情的前提下参照国际有关示范的原则，制定出一套规范的、符合我国国情的网络环境下会计信息系统方面的法律、法规，使我国的会计信息系统真正走上健康发展的轨道。加紧网络有关法规立法，制定相关法律，把网络下会计信息系统安全控制纳入法制化轨道，并严格组织实施网络安全法律。对于猖獗的计算机罪犯，国家应在全社会范围内加强宏观控制，实施网络安全法律，加强全民网络安全教育，提高全民防范网络风险的自觉性和能力，这也是稳定社会、发展经济的有力保障。首先，在评审网络型财会软件时，要进行严格的检查与测试，查看该软件是否具有容错和纠错的能力，确定软件是否合格、合规。其次，由于会计制度、核算方法不断变化和更新，要求软件开发商和企业用户对网络环境下的财会软件不断进行版本升级，以满足网络信息下加强内部控制等各方面的要求。再次，应大力鼓励和扶持财务软件的研制和开发。

［1］财政部：《企业内部控制规范——企业内部控制应用指引第18号信息系统》（2010）。

［2］韦永峰：《企业信息化与内部会计控制》，《财经界》（学术版）2008年第11期。

［3］王又花：《基于ERP的内部会计控制分析》，《中国管理信息化》2007年第1期。

［4］刘燕：《会计信息化对企业内部控制的影响》，《财会通讯》（综合）2006年第6期。

［5］Editorial，The research on internal control［J］.International Journal of Accounting Information Systems6:1-4.

［6］Attaran，Mohsen .Exploring the Relationship between Information Technology and Business Process Reengineering［J］.Information&Management，2004（41）:110-114.