ERP环境下会计信息系统风险的控制


一、ERP环境下会计信息系统控制要素的变化
企业在实施ERP之后，会计信息系统进行了重组，内部环境发生了显著的变化，因此，企业内部控制体系要素及其构成方式也相应有了新的发展，呈现出新的内容，表现出新的特征。
（一）控制环境
ERP的实施，会计信息系统的变化，改变了企业内部的组织结构体系，管理结构变得扁平化、流程化，决策者和执行者能够快速沟通，企业的内部控制层次明显减少，控制责任更加明确，控制效率更高。同时也改变了企业内部控制的方式和管理观念。ERP的应用增强了企业内部控制的灵活性，对等的渠道使信息无论处于何处都可以被企业内外部人员容易地获得。
（二）风险评价
ERP的实施，会计信息系统的变化，给企业带来了新的风险发现、风险分析和风险评估的理念和方法，使企业可以及时、准确地分析、辨认企业在实现所定目标过程中可能发生的风险并适时地加以处理。
把ERP系统的信息技术与业务活动有机地结合起来作为风险防范的工具，将能大大减少错弊的发生，保证企业业务处理活动的正常进行。
当然，ERP系统对信息技术手段的应用，也给企业带来了新的风险。ERP环境下，企业的整体目标没有改变，但是伴随着业务流程的改变，系统的开放性、信息的分散性、数据的共享性，都极大地改变了以往企业封闭、集中的运行环境，从而改变了传统的风险控制内容和方法。
（三）控制活动
ERP的实施，会计信息系统的变化，增强了控制手段的灵活多样性和高效性，加强了内部控制体系的预防、检查和纠正功能。ERP的应用，可以使企业摆脱人员和资源对内控体系有效性的限制并在企业内部形成新的控制理念，内控体系不应仅仅依赖过多的检查、审批、核准人员或复杂的控制程序，也可以依靠信息技术对其进行合理设计，以经济、高效地达到控制目标。
同时看到，ERP系统所运用的信息技术工具也对内控体系提出了新的控制要求。如：储存在计算机中的数据能够容易地被篡改；数据库技术使数据高度集中，未经授权的人员有可能通过非法手段获得对数据库的处理权限来浏览全部数据文件；复制、伪造甚至销毁企业的重要数据等等。信息技术的运用无疑增加了企业内部控制的难度与复杂性。
（四）信息与沟通
会计信息系统的变化和ERP结合的信息技术手段使企业的信息系统具有开放性、实时性和电子化的特征，使内部控制系统呈现出新的特点。
在ERP环境下，网络连接企业各职能部门，实现了各种业务流程的一体化处理，信息需求者可以实时获取各种信息。在这种条件下，内部控制可以由顺序化控制向并行化控制发展。
同时，相对开放的信息系统也为内部员工和管理者提供了开放的沟通渠道，有利于内部沟通的进行，管理者也可以随时掌握内部控制制度的执行与生效情况。
但是，开放的技术环境很难避免非法侵扰，ERP系统也存在着遭受非法访问甚至破坏的可能性。同时，在新的环境下，由于各种信息都是借助于网络来完成传递的，电子符号代替了文字和数据，磁性介质代替了纸张，财务数据流动过程中签字盖章等传统的授权控制手段也不再存在。这些变化都使信息的真实性受到了质疑，给内部控制提出了新的问题。
（五）监督
在ERP环境下，内部控制体系的程序化使内部控制在一定程度上具有了对ERP软件系统的依赖性，同时还增加了由于差错得不到及时有效控制，因而反复发生的可能性。程序化内部控制体系的有效性取决于应用程序设计的质量，如果程序发生差错或不起作用，那么控制失效就可能长期不被发现，从而使系统由于程序运行的错误而反复发生。所以，在ERP环境下，更应注意对内部控制体系运行的监督，应该由适当的人员在适当的时候及时评估内部控制体系的设计和运作情况。
二、ERP环境下会计信息系统风险的控制
（一）一般控制
一般控制指对计算机数据处理系统的研制开发、组织、鉴定、应用环境等方面进行控制。一般控制的质量会直接影响到整个控制体系的有效性。一般控制应采取下列控制内容：高层管理控制，系统开发与维护控制，数据资源管理控制，质量管理控制，安全管理控制，信息系统外包的管理控制和运行管理控制。
（二）应用控制
应用控制是具体控制或微观控制，它与具体的应用系统有关，是为了确保数据处理完整正确而实施的控制。应用控制可以由人工实施控制，也可以由计算机程序实施自动化控制。这里将应用控制分为输入控制、处理控制和输出控制。应采取下列控制内容：
一是输入控制包括对原始单据审核控制、数据输入正确性控制、数据输入完整性控制、数据逻辑控制和错误纠正控制。
二是处理控制包括对处理权限控制、数据有效性检验、审计踪迹控制和备份与恢复控制。
三是输出控制包括对输出数据的正确性控制、输出数据审核控制、输出权限控制、输出信息的分发控制和差错更正控制。
（三）转变管理观念
应当认识到ERP是现代管理理念与现代计算机技