时间:2020-05-20 作者:李永伟 李自洁 李若山 (作者单位:复旦大学会计系)
[大]
[中]
[小]
摘要:
ERP流程的发明与运用,给企业带来了福音。由于ERP能够做到对企业所有业务的全流程覆盖,企业管理者很容易通过ERP系统对企业的交易事项进行控制。内部控制的一些原则和措施,如不相容职务分离、授权、复核与监督等,在ERP系统都能得到体现和实施。有的ERP系统还能对企业交易进行自动预警,ERP系统将人工控制转化为自动控制,确实提高了内部控制的效率和准确度。由此,很多企业管理层认为:只要运用了ERP流程,通过其严密设计,可以控制企业所有经济业务的风险,企业发生的任何事项都逃不过ERP的网络监督。然而最近上海发生的一家大型跨国连锁超市营业款被窃案,却为持有这种看法的企业敲响了警钟:以收银员、计算机管理员为主的普通员工,居然利用超市ERP系统的漏洞,在短短半年之间,悄无声息地从超市窃走397万元的营业款。看来,如果没有一个坚实的企业内部控制做基础,即使花了大力气运用了ERP系统,也难以防范风险。
一、案例介绍:ERP漏洞为舞弊者大开方便之门
某大型跨国连锁超市自从落户上海以来,面对上海庞大的消费群体,做了大量的营销工作,果然,生意兴隆,门庭若市。为此,投资方连开了多家分店,且开一家火一家。然而,伴随着业绩的高速增长,一...
ERP流程的发明与运用,给企业带来了福音。由于ERP能够做到对企业所有业务的全流程覆盖,企业管理者很容易通过ERP系统对企业的交易事项进行控制。内部控制的一些原则和措施,如不相容职务分离、授权、复核与监督等,在ERP系统都能得到体现和实施。有的ERP系统还能对企业交易进行自动预警,ERP系统将人工控制转化为自动控制,确实提高了内部控制的效率和准确度。由此,很多企业管理层认为:只要运用了ERP流程,通过其严密设计,可以控制企业所有经济业务的风险,企业发生的任何事项都逃不过ERP的网络监督。然而最近上海发生的一家大型跨国连锁超市营业款被窃案,却为持有这种看法的企业敲响了警钟:以收银员、计算机管理员为主的普通员工,居然利用超市ERP系统的漏洞,在短短半年之间,悄无声息地从超市窃走397万元的营业款。看来,如果没有一个坚实的企业内部控制做基础,即使花了大力气运用了ERP系统,也难以防范风险。
一、案例介绍:ERP漏洞为舞弊者大开方便之门
某大型跨国连锁超市自从落户上海以来,面对上海庞大的消费群体,做了大量的营销工作,果然,生意兴隆,门庭若市。为此,投资方连开了多家分店,且开一家火一家。然而,伴随着业绩的高速增长,一些问题也随之而来。从2005年3月开始,超市在进行盘点时总是发现账实不符,库存总是远低于账面记录的数字,而这又远远超出了超市合理的自然损耗率范围。这种现象在好几家分店都存在,差额累计达到了近400万元之巨。管理人员凭着直觉认为这其中肯定有问题,但又查不出问题出在什么地方,随即向警方报了案。警方介入以后,经过一个多月的侦查,终于将犯罪团伙抓获,一起利用公司ERP系统漏洞盗窃营业款的案件逐渐浮出水面。
这家超市究竟发生了什么呢?事情还得从三个核心人物说起。方元,毕业于上海一所中专学校,学的是计算机专业,曾任该超市某分店的计算机网络管理员,其职责是负责维护分店所有收银机的正常运行。方元平时工作非常认真,业务能力也很强,对软件技术非常精通。方元经常通宵加班,有时感到饥饿,就想拿超市中的食品吃。但该超市平时监督很严,内部工作人员拿超市的商品,保安也要抽查是否有付过款的收银小票。然而对这样的检查,方元很不以为然。于是,他凭借自己对计算机的精通,利用维护网络系统的机会,通过输入一笔程序,经易地在不付钱的情况下,打出收银小票。然后,堂而皇之地凭收银小票,享用自己钟情的食品。这样白吃了几个月之后,有一次,他将事情告诉了同在这家超市担任司机的好友陈炜嘉,陈炜嘉兴奋不已,他告诉方元,既然能拿食品,也就可以拿钱。再说,根据超市规定,大件商品——锁定,但小件商品有5‰的自然损耗率,超市这么大,只要在小件商品上做点文章,积少成多,收获会很可观。经过陈炜嘉的劝说,方元也怦然心动,认为只要经过严密设计,就不会被发现,于是他们带着发财的梦想,决定联手捞一把。首先,由方元设计一个补丁程序,由另一个负责终端的程序管理员于琪植入超市的ERP系统。该补丁程序能将收银机的当日营业款在合计时自动减少20%。即如果收银员收到100元,打给顾客的收银小条是100元,但汇总给超市的营业款只有80元。这样,超市的东西卖出去了,营业款也收回来了,只不过收银员收到的是全额营业款,而交上去的却只有其中的80%,其余20%的资金就被截留下来。其次,陈炜嘉专门负责招募和培训“可靠”的收银员,作为内应。收银员只要在收银机上简单地按几个键,由方元设计的程序就会自动发挥作用。当天营业结束时,收银员便将截留下来的20%的营业款转移出去,而账上根本不会有任何记录。作为该案的第三个核心人物,于琪在超市内的职务与方元相同,但主要负责终端的计算机和收银系统的维护。他就利用自己的职务之便,秘密在各家分店安装非法程序,以扩大“业务”范围。如此严密筹备之后,方元一伙编织了一个里应外合的秘密网络,几乎每天都从超市截留大量的现金。在提取了自己所得的一份之后,收银员必须将剩余的截留款,通过指令,到银行将钱转到上层,由方元等人统一分配,这样团伙中的每一位成员都得到了一笔不菲的收入。为了能更多地得到好处,他们还模仿传销的方式,不断发展下线。这样,该超市在上海的许多分店都成了他们秘密敛财的场所。
警方在最初调查这个案件的时候,虽反复查看超市提供的监控录像,但根本找不到任何蛛丝马迹。在超市的配合下,警方调出了失踪物品清单,结果发现这些失踪物品真可谓五花八门:酱油、盐、卫生纸、洗发水、零食等,几乎涉及了超市经营范围内的所有商品。按照常理推断,这么多的货物,要装车也要几卡车才能拉得完,怎么就会轻易地从严密监视的超市里消失了呢?这些货物究竟去了哪里呢?
后来,在一次无意的检查中,有人捡到一张收银小票,发现与收银机上的合计数有差异。在对超市的ERP系统仔细侦查之后,计算机犯罪侦破专家终于发现了方元在超市收银系统非法植入的秘密程序。以此为突破口,最终一举端掉了整个犯罪团伙。经警方查明,在一年多的时间里,方元等人总共从超市窃走了397万元营业款,涉案人员达43人之多。2006年5月,上海市金山区法院对该案进行了判决:以职务侵占罪判处方元有期徒刑14年,于琪有期徒刑10年,陈炜嘉有期徒刑12年,其他40名被告人分别被判处有期徒刑6个月至10年不等。
二、案例思考与点评:ERP系统不能承受之重
虽说这家超市发生了丢失近400万元货款的重大案件,但并不能说这家超市不重视对风险的防范。事实上,该超市作为跨国大型连锁超市,有着一套成熟的管理体系,也投入了大量资金建设ERP系统,还安装了许多电子系统对超市进行实时监视。但就在这样一家严密布控的大型连锁超市内,却发生了有43人共同参与的大规模集体舞弊。这家超市的内控系统究竟出现了什么问题?ERP系统为什么会失效呢?通过分析发现,对内部控制的忽视和对ERP系统的过分依赖是导致该案发生的重要原因。
1、数据修改不留痕迹,ERP的疏忽直接导致案件发生
从这家超市发生的案件来看,其最直接的原因就是公司ERP系统存在瑕疵,给了不法分子以蓄意舞弊的机会。超市每天的营业额统计是通过终端的收银机完成的,每当顾客前来付款结账时,收银机便将销售情况传到超市的信息中心,当天营业结束时,超市信息中心将所有的收银机销售额汇总便是全天的营业额了。超市对收银机的管理非常严格,只有当有顾客付款时,收银员才能打开收银机钱箱,否则收银员是接触不到现金的。然而问题恰恰就出现在超市的这套收银系统上,即收银机上的程序居然能被随意改动,而且不留痕迹。通常,企业在日常经营中难免会出现差错或者销售退回等事项,这时候就需要对计算机系统中的数据予以调整或更新。事实上,很多企业为了防止计算机犯罪,往往都会为自己的ERP系统设置分级管理权限,对于核心业务数据的调整一般都会统一管理,由专人操作,并不是所有计算机用户都有这个权限。除此之外,还需要另外一个前提:即对计算机数据的任何修改,不论是改正错误还是数据更新,都需要留有记录。即便是计算机管理员对系统进行调试时,也不允许单独操作,而且操作时应当对其行为留有记录。也就是说,在得到批准对错误数据进行更新时,除将错误数据更正之外,还应当将错误的数据、修改的时间、执行人、修改理由等——记录下来,以便日后检查和复核。相反,如果企业的ERP系统对差错数据的处理仅仅就是抹去更新即可,对数据的修改不留痕迹,则很容易被不法分子所利用。另外,一般来说,程序设计与操作员不能接触输出终端,特别是与资金有关的输出。美国发布的萨班斯法案的一个核心思想就是要求企业将所有的交易事项都留有痕迹和记录,且严格规定了不相容职务的分离。
2、大规模集体作案,内控环境堪忧
如果说内部控制对于公司高管串通舞弊的约束往往显得无能为力,那么发生在这家超市的以普通员工为主的大规模集体串通舞弊,着实比较少见。COSO报告通常将控制环境放在首位,说明控制环境是一个非常重要的因素。所谓控制环境主要是指企业的风险管理哲学和风险偏好、员工的诚实性和道德观以及企业的经营环境等。具体到这家超市来看,居然出现43名员工团伙作案,说明员工对公司并没有强烈的价值认同感,普遍存在一种想从公司捞一把的想法。因此,要重视企业文化的建设,重视员工职业道德的培养,否则,我国转型经济千变万化的社会环境,往往会成为许多企业内部控制失效的根源。内部控制应该是一个全员参与的过程。良好的控制环境是内部控制得以贯彻的必要前提,若缺少这样的环境,任何的内部控制制度都会显得力不从心。
3、正确认识ERP和内部控制的关系
事实上,ERP系统为企业实施内部控制提供了有效的技术手段,内部控制的许多控制活动都可以通过ERP系统得以顺利实现;而ERP的设计也必须符合内部控制的思想和原则,内部控制也会为ERP的实行提供一个基础与环境。但这并不是说ERP系统可以完全替代内部控制,因为内部控制的很多方面是ERP系统所不能完成的。
以采购循环中的付款环节为例,在ERP系统中,可以为采购循环设计业务流程和关键控制点,将整个采购循环划分为请购、询价、供应商选择、质检、入库、付款等相互关联的环节,只有当其他环节都已完成,并与库存、生产计划、合同等信息相互验证以后,ERP才会允许付款部门安排付款计划。系统中缺乏上述任何环节的信息,付款部门都无法在ERP系统中安排付款计划,整个项目就会自动中止。体现内部控制原则的供应商管理、采购申请、合同管理、质检、入库、付款等关键控制活动都通过ERP系统得以实施,ERP也确实为控制活动的实施提供了技术支持。然而,一个企业的内部控制却远非如此简单,其内涵和外延都更为广阔。内部控制中许多与人密切联系的因素却是网络系统无法企及的,诸如控制环境、目标设定、风险评估、信息沟通、监督等关键内控要素都无法通过ERP系统得以完全实现。内部控制强调的是一个不断完善和监督的动态过程,内部控制本身也需要定期检查和评估。
此外,ERP表面的严密和复杂,很容易使人轻信网络系统的强大和高效率,忽视对内部控制的建设和执行。实际上,ERP系统本身也是一个不断完善的过程,如果过分依赖ERP系统,则会使企业忽视背后隐藏的风险。出于业务发展的需要,很多企业的ERP系统主要是为经济业务的便利性而设置,有的企业ERP系统在设计之初,也没有充分考虑对各种风险的防范。因此,如果没有一个完善的内部控制系统作基础,这样的ERP系统所面临的风险也就可想而知了。
4、自然损耗率背后隐藏的玄机
超市由于商品品种繁多、流转速度快,如何控制物资损耗成为一项复杂而繁琐的工作。应当说这家超市的管理水平在业内还不错,其物资的自然损耗率定为行业的平均水平5‰。但就是人们认为很正常的自然损耗率,却也被犯罪分子看成是发财致富的一个机会。方元一伙正是瞅准了超市预先设定的损耗率才决定动手的。方元、陈炜嘉等原本认为,超市每天营业额这么大,5‰的份额对个人来说是一笔不小的数目,但对超市来说就微乎其微了,利用自然损耗率作为掩护,小规模的物品丢失不会引起超市重视的。但是,在ERP系统中,只要做一些小小的程序设计,就可以轻而易举地将个别的5‰变成无数个5‰。如果不是方元等人后来胃口变大了,如果不是超市管理人员出于职业敏感发现情况可疑,问题很可能会被忽略。幸好该超市坚持了严格的手工盘点制度,正是通过这样的盘点才发现了问题。看来,对于企业存在的一些习以为常的现象,在ERP流程中可能就是一个大问题了,所以,企业管理者必须重视在传统管理中可能被忽视的事项,因为,ERP流程的特殊功能往往也会掩盖传统管理的漏洞。由上可见,ERP流程的发明与运用,尽管给企业在实施内部控制时带来了许多有利条件,但是,好的技术还需要好的环境、好的人才来实施。全面正确理解企业内部控制,将各种有利与不利因素均充分考虑进去,才能使好技术发挥出应有的作用。近期的一个统计表明,我国采用ERP流程的企业中有近80%并没有取得预期效果,这就是许多企业过于看重ERP作用的结果。因此,笔者希望借这一案例给那些准备运用ERP流程的企业敲响警钟:ERP不是万能的,只有全面理解内部控制的精神,才能使ERP流程发挥其应有的作用。
责任编辑 孙蕊
相关推荐
主办单位:中国财政杂志社
地址:中国北京海淀区万寿路西街甲11号院3号楼 邮编:100036 电话:010-88227114
京ICP备19047955号京公网安备 11010802030967号网络出版服务许可证:(署)网出证(京)字第317号