在SAP环境下的职责分离测试研究

摘要：在实施sap系统的企业，财务信息采集向业务部门延伸，原始数据由业务部门输入，系统通过设置自动生成会计凭证、会计报表。在多数模块缺少再次复核或审批环节的SAP环境下，职责分离是预防舞弊或发现错误的有效控制措施。定期进行职责分离测试，评估其是否真实存在和有效运行是实施SAP系统企业进行内控自评的重要部分。本文基于SAP环境下，围绕与财务相关的不相容职责分离问题，从制度要求、冲突矩阵的构建以及冲突矩阵在SAP中的转化等方面展开探讨。

关键词：SAP 职责分离 测试

20世纪90年代初SAP开始进入中国，相继在中国很多大型知名企业如中国石化、中国电信、一汽大众等企业实施SAP，其用户涵盖金融保险、地产、物流、制造业等多个行业。企业对信息技术的应用虽然合并了某些职责，提高了工作效率，但是并没有削弱职责分离的重要性，若流程设计不当，可能会加大错误或舞弊的风险。本文主要围绕在内控体系中，与财务相关的不相容职责分离问题，基于SAP环境下，从制度要求、职责分离测试设计等方面展开探讨。

一、概述

SAP作为最先进的ERP系统，一般通过工作流程再造，实现财务、生产计划、销售、采购等业务模块的信息集成。企业的业务数据和财务数据，业务过程和财务过程在信息技术环境中集成，实现经营运行和财务反映的一致性，以及企业资源的统一管理和共享。随着系统的日益广泛运用，许多学者对在信息系统下的内部控制的特点及其带来的相关风险作了大量研究。

通常认为在手工环境下，企业基于文件审批的内部控制机制，以文字形式对业务活动发生的全过程进行记载并形成书面材料，这些书面材料为内部控制和审计提供了交易轨迹。但是在SAP系统环境下，企业的组织重组和流程优化大量简化了跨部门间、部门内部的审批流程，甚至不再设置再次复核的角色或审批环节，虽然大大提高了工作效率，但导致许多企业的内部控制审计线索在SAP系统实施后消失了。（王棣华、李丹，2009；陈宪宇，2009）

与此同时，在信息集成的环境下，财务信息的采集将向前延伸到生产部门、物流部门、销售部门、以及采购部门等业务端，甚至跨出本企业，延伸到供应商或客户。信息由非财务人员录入系统，然后根据设置自动生成会计凭证、总账和明细账以及财务报表。相较于传统的依靠多管理层次和严格指令的严密控制，如果没有合理的职责分离，则系统修改、敏感数据的盗取、故意输入的假数据等舞弊或错误行为将不易被发现，将对企业将造成很大的损失和会计失真（陈宪宇，2009；吕新民、柳巧玲，2011）。事实上，根据权威统计，在所有报告的实质性发现中，职责分离占了相当大的比重，缺乏科学合理的职责分离可能使潜在错误或欺诈产生灾难性的后果（刘媛媛、刘凌冰，2007）。

因此，在SAP环境下，作为内部控制系统的重要组成部分，各控制环节的职责分离要求被系统的身份认证、授权机制所取代（梅蕙娟，2008）。根据内控制度要求，企业在系统开发过程中，应根据业务的控制要求，通过用户的权限管理控制操作权限，避免授予同一客户不相容职责的处理权限。但事实上，在系统开发及其系统维护、二次开发等业务活动时，IT或业务部门往往更注重于系统功能的实现，常存在赋予用户的权限过大、甚至出现职责权限冲突等情形。故定期测试和评估SAP系统授权是否满足不相容职责分离原则显得非常必要，也是评价企业内部控制有效性的重要内容之一。

二、不相容职责分离的制度规范

所谓不相容职责分离是指一人可以同时执行某一业务流程的多个环节，存在实施并隐藏舞弊或发生了错误而不被发现的风险，为了避免或降低该职责冲突风险而采取的将多个环节分配给两人以上负责的控制措施。该控制措施属于预防性措施，其核心是通过相应的分离措施，形成各司其职、各负其责、相互制约的内部牵制机制，是控制活动的七个最基本的控制措施之一。从现有生效的内控相关制度看，职责分离主要从原则性规范和业务层面两方面提出要求。

（一）原则性规范

职责分离的原则性规范主要体现在2008年五部委联合的《企业内部控制基本规范》第四条制衡性原则以及成本效益原则和2010年的相关配套指引（后简称五部委内控制度）第七条科学合理性要求。职责分离的制衡性原则要求在机构设置及权责分配、业务流程等方面形成相互制约、相互监督、同时兼顾运营效率。但是在机构设置、职责分配、岗位分工等方面并不是越细越好，这时候企业必须权衡实施成本与预期效益，以适当的成本实现有效控制。科学合理性要求规定企业在机构设置、岗位设置时，要基于科学合理分解的原则，确定各岗位职责和工作要求等，明确各岗位的权限和相互关系，并体现不相容职务相互分离的要求。因此只要兼顾了制衡性和成本效益原则，将必然能够达到内控的科学合理性要求。

（二）业务层面规范

财政部1996年颁布的《会计基础工作规范》、财政部1999年修订的《会计法》和五部委2010年颁布的《企业内部控制配套指引》等相关制度在业务层面上对职责分离有相关规定。笔者认为《会计法》和《企业内部控制配套指引》第1号――组织架构对职责分离业层面规定了一般规范，即记录与业务经办、保管、审批需要分离；可行性研究、审批、执行、监督等环节需要职责分离。而资金活动、采购业务、资产管理、销售业务等关键业务活动的职责分离规范，如表1所示主要在《企业内部控制配套指引》中进行规范。其中资金活动的业务层面要求相对详尽，这可能与企业普遍比较关注资金活动的风险相关。

从目前的规章制度来看，业务层面的职责分离规定相对比较零散，且相对比较模糊。如采购业务通常来说一般包括请购、审批、购买、验收、付款等环节，在第7号配套指引第五条只作了“除小额零星物资或服务外，不得安排同一机构办理采购业务全过程”的概括性的规定。对于这些具体的关键业务活动，除了满足采购业务指引外，还必须符合一般规定的职责分离要求。因此对于采购业务，至少划分为采购、会计记录两个分离的岗位。

需要明确的是，无论是一般规范还是关键活动的特定规范，法规制度规定的只是职责分离的最低要求。因此企业在构建职责分离体系时，除了以原则性规范为指导，满足业务层面规范外，更多的是要根据企业自身的业务特点和风险要求梳理每个关键业务流程，设计更为科学合理、更为详细的职责划分。（见表1）

三、基于SAP环境下的职责分离测试设计

在SAP环境下，职责分离测试通常分为如下几步：首先结合内控要求，全面梳理企业的业务流程，找出业务活动中的关键控制点，选择测试目标；其次构建职责冲突矩阵；第三在SAP中实现冲突矩阵要求转化；第四冲突分析。

（一）流程梳理、选择测试目标

一般而言，SAP系统会覆盖销售、生产计划、采购、仓储及物流、财务等企业运营管理的各个层面，如果对每个业务流程的控制点都进行测试在资源利用和时间上是非常不经济的。根据成本与收益原则，通常会根据每个公司对内控的要求，以及经济业务的自身的风险选择重要的业务流程、关键的控制点进行测试。例如对于一般企业来说，关键业务活动可能包括采购与付款、存货管理、固定资产及在建工程管理、销售与收款等，但是对于有的IT企业存货管理活动可能并非企业的关键活动。因此在选择需要测试的业务流程时，必须结合企业自身的特点，选择关键控制点。

（二）冲突矩阵构建

以制造业为例，企业的关键活动一般包括采购与支出、销售与收款、存货管理、固定资产及在建工程管理、财务报表编制等活动。在构建冲突矩阵时需要坚持的一个重要原则是：主数据维护、业务活动（采购、销售等）和财务活动之间必须互相分离。

比如采购与支出业务，企业主要关注的风险是：采购业务是否真实、供应商是否经过授权、付款是否经过授权（包括是否提前付款、金额是否正确、付款的供应商是否正确）等。故在冲突矩阵中，将采购业务划分为供应商主数据维护、采购订单创建及修改、采购物品的收料、发票校验、付款冻结、付款冻结释放、付款申请、应付账款账务处理等具体活动。其中供应商户数据维护通常由专人来负责维护，并且维护供应商主数据的人员不能拥有采购订单创建及修改、采购物品收料等其他业务活动和财务活动的操作权限。采购订单创建及修改一般由采购人员负责、采购物品的收料则由请购部门的人员负责、发票校验等财务活动则由财务人员负责。因此，在冲突矩阵中，供应商主数据维护与采购订单创建及修改、采购物品的收料等权限为冲突权限，以此类推如表2中标志为“X”的也为冲突权限。

（三）冲突矩阵在SAP中的转化

实施SAP的企业，各控制环节的职责分离要求被系统以身份认证、授权机制所取代，因此需要将冲突矩阵转化成SAP的内部语言，并通过工具进行扫描。首先导出SAP中的所有操作性T-Code，包括自定义T-Code。然后筛选出与财务相关的T-Code，并将这些T-Code按照功能与冲突矩阵中相应的活动一一配对，形成业务活动与T-code的映射表。最后定义冲突对。根据冲突矩阵和T-Code映射表，将业务活动层级的冲突矩阵转化成T-Code层级的冲突矩阵。这时若某一用户在SAP中同时拥有冲突矩阵中的两个T-Code，则认为该用户的职责权限存在冲突。

（四）冲突分析及应对策略

工具扫描形成冲突分析报告，其结果需要结合企业业务的具体控制来进行分析。这时需要与业务部门的SAP支持人员（KBU）、SAP顾问共同分析每对权限冲突的产生原因，评估存在的风险。对于发现的有效职责权限冲突，一般包括保留或修改用户SAP权限两个应对措施。值得注意的是对于保留的关键冲突权限，需要进一步审核是否存在补偿措施以及该补偿措施的执行是否有效。

四、不足及建议

首先，基于T-Code的职责分离测试，通过工具扫描会产生大量误报。往往企业在进行权限构架时，通常会在T-Code之上设置角色（Role）对用户的权限进行限定。因此，可能用户虽然同时拥有了冲突权限的T-Code，但在SAP中并不一定能够形成有效职责冲突。如某一用户拥有收料的T-Code，同时拥有物料主数据维护的T-code。根据冲突矩阵，通常认为该用户存在权限冲突，但若仓库人员的物料主数据维护只是限定在某些视图上，比如只能修改库位、零件类型等，则这个冲突通常并不会被认为是一个有效冲突。若要消除类似的非有效冲突，势必将冲突矩阵进一步细化到授权对象层级，这将大大增加冲突矩阵构建的时间成本。这需要企业根据自身经济业务的复杂程度，在构建冲突矩阵和分析冲突报告的时间成本之间进行权衡。

其次，许多企业基于成本的考虑，往往会在SAP系统上外挂其他自开发系统，以控制SAP的用户数。比如外挂采购系统，实现请购、审批、比价、合同创建等业务活动，而在SAP中只是通过接口导入相关采购数据，那么基于SAP的职责分离测试将不可能覆盖至这些外挂系统，与此同时，国内还没有专门针对跨系统扫描的测试软件。因此仅仅针对SAP进行测试，对于跨系统的职责分离风险将不能被识别出来。

再次，冲突矩阵的构建和冲突分析报告需要内控人员、业务部门SAP支持人员（KBU）和SAP顾问，三者缺一不可。内控人员熟悉职责分离规则，能从风险角度来分析和评估冲突。业务部门的KBU则熟悉和了解具体的业务控制在SAP的实现方式，可以与SAP顾问一道在SAP测试环境中测试相关控制点是否真实存在并有效运行。

最后，SAP的职责分离不能完全规避输入性错误。因为在SAP系统中，多数模块并没有再次复核或审批的环节，因此初始输入错误或其它系统接口的原始数据错误，将导致SAP的数据错误，并且不易被发现，即“垃圾进垃圾出”。这可能需要企业实施其它如对账等补偿措施。

参考文献：

[1]梅蕙娟.基于信息集成的内部控制评价与审计程序选择研究[J].财务通讯，2008（5）.

[2]李玉涛.公司会计职务不相容分离研究[J].东方企业文化，2013（1）.

[3]王棣华，李丹.会计信息化对内部控制的影响及对策研究[J].Commercial Accounting，2009（6）.

[4]陈宪宇.ERP系统下的企业内部控制风险及防范研究[J].价值工程，2009（4）.

[5]张震，张巍钟.ERP系统权限管理[J].中国管理信息化，2012（2）.

[6]刘媛媛，刘凌冰.ERP系统风险分析与规避策略[J].财务与会计（综合版），2007（9）.

[7]刘虹.职责分工在内部控制中的作用[J].现代商业，2009（6）.

[8]赵玲.内部控制环境对控制活动的影响[J].合作经济与科技，2007（3）.

[9]《企业内部控制基本规范》财会[2008]7号.

[10]《企业内部控制配套指引》财会[2010]11号.

（作者单位：上海通用汽车有限公司）