在ERP环境下,企业的信息流、物资流和资金流高度集成,业务处理程序被大大简化,大部分手工处理改由计算机完成。由此带来了一些内部牵制措施无法执行的问题,包括会计人员无法直接参与和控制、控制效率低、其审查和稽核机制被削弱等。此外,计算机技术和网络通讯技术本身存在的可靠性、安全性等问题,也给企业内部控制风险的防范带来了相应的难题。在ERP环境下,企业只有对内部控制体系进行优化,才能保障内部控制系统的有效实施,促进企业资源的配置和优化,实现经营的可持续增长。
一、ERP环境下的内部控制风险
在ERP环境下,企业的业务处理是跨职能部门的,企业的资源和信息可以得到统一的管理和共享。由于企业信息的存储介质、存储形式、处理方式都有重大改变,企业内部控制的新风险主要表现在以下方面:
(一)业务流程的改变带来的风险
首先,在系统实施之初,由于业务流程的变化,和手工方式差异很大,用户可能不能马上适应新的操作方式,由此带来一系列的不确定因素造成了风险。其次,业务流程的变化,企业的管理架构趋向扁平,内部控制由程序执行,自动化程度高,业务人员大大减少,给个人身兼多职带来可能,因而导致控制风险。再次,流程化管理进一步密切了部门与部门之间的联系,跨职能部门的流程管理使得某个环节出现问题直接影响其他流程的运作。过去职能化的管理也许还有绕过某些环节变通的方法,而集成系统就必须经过每个流程。在这种情况下,任何一个环节出现差错,将直接影响到后续流程的实施。最后,由于集成系统采用的是单一数据库,所有的数据采取一次性单点输入,如某产品入库的具体数量若只有仓库确认,如果有差错,将直接影响销售、生产、财务等部门统计。
(二)网络的大量应用带来的风险
在企业内的业务逐渐集成到系统的过程中,网络在企业内也开始大量地应用。不仅是各个部门,网络也把异地的分支机构也连接起来。
由于网络环境具有开放性的特点,在这个环境中,一切信息在理论上都是可以被访问到的。网络下的会计信息系统很有可能遭受非法访问或者病毒的侵扰,而且内部人的非法访问成功的机会还很高,一旦发生将造成巨大的损失。
(三)内部控制要素构成的变化及其带来的风险
内部控制整体架构主要由控制环境、风险评估、控制活动、信息与沟通、监督五项要素构成。在ERP环境下,企业内部控制系统仍是由以上五个基本要素构成,控制体系框架并没有发生实质性的改变。但是,每项基本要素的内部构成却发生了变化。
1.控制环境
ERP的实施,改变了企业内部的组织结构体系,管理结构变的扁平化、流程化,决策者和执行者能够快速沟通,企业的内部控制层次明显减少,控制责任更加明确,控制效率更高。ERP的应用增强了企业内部控制的灵活性,对等的渠道使信息无论处于何处都可以被企业内外部人员比较容易地获得。
2.风险评价
ERP的实施给企业带来了新的风险发现、风险分析和风险评估的理念和方法,使企业可以及时准确地分析、辨认企业在实现既定目标过程中可能发生的风险并适时地加以处理。把ERP系统的信息技术与业务活动有机结合起来作为风险防范的工具,将能大大减少错弊的发生,保证企业业务活动的正常进行。同时,ERP系统也给企业带来了新的风险,例如计算机系统的复杂性增加了企业潜在的应用风险;电子数据可以被方便地改写和删除、数据处理过程无法直观观测等都增加了数据安全风险。
3.控制活动
ERP的实施增强了控制手段的灵活性、多样性和高效性,加强了内部控制体系的预防、检查和纠正功能。ERP的应用,可以使企业摆脱人员和资源对内控体系有效性的限制并在企业内部形成新的控制理念:内控体系不再仅仅依赖过多的检查、审批、核准人员或复杂的控制程序,而是依靠信息技术对其进行合理设计,经济、高效地达到控制目标。同时,信息技术的运用也增加了企业内部控制的难度与复杂性.
4.信息与沟通
在ERP环境下,网络连接企业各职能部门,实现了各种业务流程的一体化处理,信息需求者可以实时获取各种信息。相对开放的信息系统也为内部员工和管理者提供了开放的沟通管道,有利于内部沟通的进行,使组织内的员工清楚地了解内部控制体系和各自的责任。管理者也可以随时掌握内部控制制度的执行与生效情况。但是,开放的技术环境很难避免非法侵扰,ERP系统也存在着遭受非法访问甚至破坏的可能性,这使信息的真实性受到了质疑。
5.监督
在ERP环境下,内部控制体系的程序化使内部控制在一定程度上具有了对ERP软件系统的依赖性。同时,ERP的应用使内部控制体系具有了人工控制与程序控制相结合的特点。程序化内部控制体系的有效性取决于应用程序设计的质量,如果程序发生差错或不起作用,那么控制失效就可能长期不被发现,从而使系统由于程序运行的重复性而反复发生相同的纰漏。