ERP环境下企业舞弊风险的规避
2013-04-29王晓云
王晓云
摘要:ERP是一种基于计算机信息技术的现代企业管理模式。随着ERP的日益普及和应用,ERP系统的舞弊风险与防范问题也突显出来,成为企业应该高度关注的焦点和亟待解决的首要问题。本文从企业实施ERP过程中易产生的舞弊现象出发,对舞弊现象产生的原因进行了深入的分析,提出了对ERP环境下企业舞弊风险的预防与控制措施。
关键词:ERP;舞弊风险;内部控制系统
ERP(Enterprise Resource Planning,企业资源计划系统)是建立在信息技术的基础之上,利用现代企业先进的管理思想,全面集成企业资源信息的管理平台。企业在实施ERP之后,会计信息系统进行了重组,不仅加快了会计信息的处理速度,提高了会计信息的效益和质量,更重要的是为企业加强内部控制提供了有效的方法。但是,ERP系统也是一把“双刃剑”,在给企业会计工作领域带来巨大变革的同时,一些利用ERP系统客观存在的安全缺陷进行的舞弊违法犯罪活动也有所增加,给企业和社会造成了不可估量的损失。因此,企业如何有效地预防和治理舞弊就显得尤为重要。
一、ERP环境下企业舞弊的手段
(一)篡改数据
篡改数据是ERP环境下最简单、最普遍的舞弊手段, 该方法通过在信息数据录入前或输入期间做手脚以达到舞弊目的。篡改数据的表现形式包括虚构业务数据、修改业务数据、删除业务数据三个方面。
(二)篡改文件
篡改文件是指舞弊者直接通过终端修改或通过软件维护程序来修改文件中的数据。在ERP环境下, 企业有许多重要的原始参数以数据的形式存储在系统文件中,这些参数都是ERP程序计算的依据之一,若被修改或删除将得不到正确的计算结果。篡改文件的表现形式主要包括直接更改文件中的参数数据、篡改系统打印输出资料和另造文件覆盖企业原有文件等方面。
(三)篡改程序
篡改程序是指舞弊者通过对程序作非法改动,以达到某种不法目的。这种手段需要较高的编程技巧,而这些技术只有少数程序设计员或系统维护员拥有,审计人员要发现此类舞弊非常困难。一方面由于审计人员无法预知系统何处可能存在错误,另一方面舞弊者可能设置相关程序使系统表面运行“正常”。
(四)舞弊操作
ERP环境下舞弊者大多数掌握熟练的计算机操作技能和相当高的计算机专业知识,作案时通常采用高智能、高技术的计算机手段。同时,舞弊者总是通过对数据和程序这些无形信息的操作来实现其非法目的,如盗取密码、冒名顶替、磁卡仿造等。这类舞弊行为作案时间地点不受限制,又具有很强的隐蔽性。
二、ERP环境下企业产生舞弊风险的原因分析
(一)应用软件本身并不完善
目前国内外有众多ERP系统的软件供应商,从国外的Oracle、SAP到国内的用友、金蝶以及各企业自己研究开发的软件等,水平良莠不齐。并且用户企业与软件供应商之间存在着很严重的信息不对称现象,在复杂的系统面前企业很难看清本质,只能任由软件供应商游说与演示,然后尽量压价,这时供应商所提供的软件在质量上就得不到保证,使得舞弊者有机可乘。许多软件数据库缺少必要的加密措施,可以很简单地从外部打开修改,还有一些ERP软件为了占领市杨,给用户提供修改以前年度账目等功能,这些功能都为舞弊的发生提供了便利。
(二)内部控制系统存在缺陷
在ERP环境下,舞弊者能得逞的内因就是企业内部控制系统存在缺陷。目前我国许多企业实行ERP系统时间短,缺乏管理经验,没有建立与ERP系统相配套的内部控制系统,给企业带来了一系列的会计舞弊风险。如人员分工不明确、会计人员操作不规范、企业缺乏有效地系统操作管理制度和系统维护管理制度,造成ERP系统内部数据的丢失或破坏。因此,企业内部控制系统的好坏直接决定了ERP系统的安全可靠运行,决定着能否有效防止舞弊行为的发生。
(三)外部主管部门监督松懈
我国目前对企业ERP系统的实施运用较为重视,但对于ERP系统的审计重视程度远远不够,一些外部主管部门对企业实施ERP及其带来的一系列问题缺乏有效的规范管理。相关主管部门仍然存在审计人员业务素质较低、审计方法不科学和相关法律法规不健全的情况。许多审计人员没有足够的会计实务经验,对计算机审计软件及其方法不能熟练掌握,普遍采用绕过计算机审计的方法,对一些单位的舞弊行为不能做到及时发现、及时提醒和警告,以至于出现有法不依或执法不严的现象。
三、企业实施ERP过程中舞弊的防范与控制
(一)选择适合企业特点的ERP软件
选择ERP软件不仅关系到所选的软件是否适合企业的管理需求,更是选择一个能在企业信息化建设方面给予长期支持的合作伙伴。企业不但要清楚地知道自己的需求,而且要仔细了解对方提供地软件功能,在此基础上确定两者之间到底能否实现良好的合作,应避免片面追求功能全面的软件或性能存在问题的廉价软件。企业需要在前期ERP系统需求分析的基础上,结合自身业务特点和管理模式,综合了解市场上多种ERP软件,对其从功能、价格、软件商的技术支持能力等多方面进行考察,慎重选择出适合自己企业特点的ERP软件。
(二)完善内部控制系统
在企业内部制定严格的ERP系统操作规程和相关制度是保证会计数据安全防止舞弊发生的关键。企业应从以下三方面健全内部控制系统:
1.系统工作环境控制
为保证ERP系统安全运行,企业应该实施一系列控制措施来保证网络环境安全。同时,企业应定期对相关硬件设备特别是关键设备进行检测,及时升级杀毒软件和防火墙版本,第一时间发现和解决问题,提高每一员工的风险防范意识。
2.业务流程控制
业务流程控制又称应用控制,它是指对会计信息系统中具体数据处理功能的控制。ERP系统中的应用控制由输入控制、处理控制、输出控制三部分组成。因为系统具体数据的处理由事先设计的模块自动核算,所以ERP系统的应用控制重点是输入和输出的控制。
3.权限控制
权限控制的目的在于防止未经授权的人员擅自动用ERP系统的各种资源。ERP环境下的权限控制始于系统初始设置阶段,即通过系统管理员对工作人员、工作范围等进行设置,把各项业务的授权、执行、记录及资产保管等职能授予不同岗位的用户,对各种数据的读、写、修改权限进行严格限制。
(三)增强外部主管部门监管
舞弊者利用ERP系统犯罪是高科技下的一种新型犯罪,为此制定专门的法规加以有效控制很有必要。相关主管部门要建立针对利用ERP系统进行犯罪活动的法律。外部主管部门一方面应在审计中查处计算机舞弊案件,另一方面要审核和评估内部控制系统的弱点,提请被审计单位改善内部控制制度,通过完善内部控制系统来预防、查出和处理计算机舞弊活动。
在信息技术高速发展的今天,ERP系统应用于企业, 成为新的管理方法已是社会发展的必然趋势。与此同时,ERP软件仍然存在着发展不够全面的问题,给企业带来了新的舞弊风险。因此,企业要及时采取措施进行控制与防范,保证ERP系统的正确性、安全性和可靠性,使ERP系统的资源得到有效保护和运用,让会计工作在更好的环境下进行,最终提高企业经济效益与行业竞争力,让企业走上一条安全、高效的ERP之路。(作者单位:山西财经大学)
参考文献
[1]赵明,侯景波.会计信息化过程中舞弊的预防与治理[J].会计之友,2009,(7):46-47
[2]薛鹏.浅谈会计信息化对内部控制的影响[J].中国乡镇企业会计,2009,(13):95-97
[3]李淑连.会计电算化舞弊风险及防范措施[J].辽宁经济,2009,(10):21
[4]王惠芬,黎文,葛星.企业资源计划——ERP[M].北京:经济科学出版社,2007:107-136