馬英會(huì) 張興 史詩(shī)

［摘要］ 本文首先說(shuō)明實(shí)施ERP內(nèi)控管理的重要性，繼而講述了ERP藍(lán)圖設(shè)計(jì)中風(fēng)險(xiǎn)控制以及ERP信息系統(tǒng)總體控制，并闡述了ERP權(quán)限控制以及權(quán)限測(cè)試，以及要持續(xù)深化ERP內(nèi)控管理。

［關(guān)鍵詞］ ERP；SLM；GCC

doi : 10 . 3969 / j . issn . 1673 - 0194 . 2014 . 14. 023

［中圖分類(lèi)號(hào)］F232［文獻(xiàn)標(biāo)識(shí)碼］A［文章編號(hào)］1673 - 0194（2014）14- 0035- 020引言

公司建成了集生產(chǎn)計(jì)劃（ＰＰ）、設(shè)備（ＰＭ）、項(xiàng)目（ＰＳ）、采購(gòu)（ＭＭ）、銷(xiāo)售（ＳＤ）、總賬（ＦＩ）、成本（ＣＯ）、人力資源（ＨＲ）為一體的ＥＲＰ工作平臺(tái)，ＥＲＰ以財(cái)務(wù)管理為核心，與金稅系統(tǒng)、銷(xiāo)售系統(tǒng)、網(wǎng)上報(bào)銷(xiāo)、ＡＭＩＮＳ等系統(tǒng)有接口。業(yè)務(wù)部門(mén)把原始數(shù)據(jù)錄入ＥＲＰ后，由財(cái)務(wù)人員輸入對(duì)應(yīng)事物碼，系統(tǒng)自動(dòng)運(yùn)行相關(guān)程序，具有高度的自動(dòng)化，每一筆基礎(chǔ)業(yè)務(wù)發(fā)生的同時(shí)，都產(chǎn)生對(duì)應(yīng)的ＥＲＰ－ＦＩ憑證，并同步傳輸?shù)剑疲停桑迂?cái)務(wù)管理系統(tǒng)，業(yè)務(wù)處理更多的依賴(lài)系統(tǒng)操作，主要業(yè)務(wù)之間的關(guān)聯(lián)程度很高，大量的業(yè)務(wù)活動(dòng)通過(guò)集成憑證直接反映到財(cái)務(wù)數(shù)據(jù)，財(cái)務(wù)人員可隨時(shí)進(jìn)入ＥＲＰ系統(tǒng)查看各項(xiàng)費(fèi)用發(fā)生情況，提高了成本管理質(zhì)量，提升了財(cái)務(wù)管理水平。

內(nèi)部控制是企業(yè)管理的重要內(nèi)容，內(nèi)控管理保障財(cái)務(wù)報(bào)告的可靠性，堵塞內(nèi)部管理漏洞，確保生產(chǎn)、業(yè)務(wù)數(shù)據(jù)真實(shí)，防止舞弊。ＥＲＰ系統(tǒng)實(shí)施后，有些業(yè)務(wù)流程發(fā)生改變，對(duì)于業(yè)務(wù)的管理更加細(xì)化，用自動(dòng)控制替代人工控制，在提升財(cái)務(wù)管理水平時(shí)，也帶來(lái)了一定的風(fēng)險(xiǎn)，嚴(yán)格防范系統(tǒng)風(fēng)險(xiǎn)，加強(qiáng)內(nèi)控管理，提升風(fēng)險(xiǎn)控制的有效性變得尤為重要。

1 ＥＲＰ系統(tǒng)藍(lán)圖設(shè)計(jì)

按照公司業(yè)務(wù)流程架構(gòu)管理的要求，對(duì)本單位原業(yè)務(wù)流程目錄進(jìn)行修訂，使其涵蓋ＥＲＰ系統(tǒng)藍(lán)圖的全部?jī)?nèi)容，基于Ｓｏｌｕｔｉｏｎ Ｍａｎａｇｅｒ 完成ＥＲＰ系統(tǒng)配置，保證ＥＲＰ藍(lán)圖與系統(tǒng)配置及企業(yè)實(shí)際流程保持一致。

編制ＥＲＰ藍(lán)圖時(shí)，要完成ＥＲＰ藍(lán)圖差異分析，根據(jù)企業(yè)業(yè)務(wù)流程與ＥＲＰ藍(lán)圖對(duì)照，依據(jù)ＥＲＰ板塊藍(lán)圖模板目錄，標(biāo)明藍(lán)圖各環(huán)節(jié)對(duì)應(yīng)的主要風(fēng)險(xiǎn)和關(guān)鍵控制等內(nèi)容，完成ＥＲＰ系統(tǒng)相關(guān)風(fēng)險(xiǎn)與控制文檔，確認(rèn)ＥＲＰ系統(tǒng)控制矩陣，并依據(jù)系統(tǒng)控制矩陣修改藍(lán)圖，完善藍(lán)圖信息、業(yè)務(wù)流程，進(jìn)行藍(lán)圖建模質(zhì)量檢查，落實(shí)系統(tǒng)關(guān)鍵控制，防范系統(tǒng)風(fēng)險(xiǎn)。

2ＧＣＣ控制

ＥＲＰ系統(tǒng)ＧＣＣ即總體層面控制，由于ＥＲＰ系統(tǒng)高集成性、系統(tǒng)龐大而復(fù)雜，為了更好地保證ＥＲＰ系統(tǒng)管理和維護(hù)，以及內(nèi)部控制管理和信息化建設(shè)需要，實(shí)施ＥＲＰ系統(tǒng)ＧＣＣ控制。

防止信息資產(chǎn)在未經(jīng)授權(quán)的情況下被使用、披露、修改、損壞或丟失，系統(tǒng)用戶(hù)必須經(jīng)過(guò)有效的審批才能擁有系統(tǒng)賬戶(hù)，對(duì)ＥＲＰ的業(yè)務(wù)用戶(hù)僅分配會(huì)話(huà)類(lèi)型（Ａ－Ｄｉａｌｏｇ）賬號(hào)，系統(tǒng)所有用戶(hù)都應(yīng)擁有個(gè)人專(zhuān)用的唯一賬號(hào)，以便操作能夠追溯到具體責(zé)任人，個(gè)人不得外泄用戶(hù)名和密碼，不得轉(zhuǎn)借他人使用，不應(yīng)在應(yīng)用系統(tǒng)中設(shè)立無(wú)人使用的賬號(hào)，所有用戶(hù)都應(yīng)歸屬于一個(gè)用戶(hù)組，以便有效地進(jìn)行用戶(hù)管理。

3系統(tǒng)權(quán)限控制

由于ＥＲＰ系統(tǒng)用戶(hù)數(shù)據(jù)、業(yè)務(wù)數(shù)據(jù)、財(cái)務(wù)數(shù)據(jù)的集中存放，為了避免對(duì)業(yè)務(wù)、財(cái)務(wù)數(shù)據(jù)相關(guān)的信息進(jìn)行不適當(dāng)?shù)姆鞘跈?quán)修改，用戶(hù)權(quán)限需符合股份公司下發(fā)的職責(zé)分離矩陣的要求，避免某個(gè)用戶(hù)在操作時(shí)同時(shí)擁有可能進(jìn)行舞弊的權(quán)限。

在執(zhí)行ＥＲＰ系統(tǒng)權(quán)限管理時(shí)，用戶(hù)若在系統(tǒng)中具有不符合其實(shí)際業(yè)務(wù)職責(zé)的權(quán)限，可能導(dǎo)致對(duì)業(yè)務(wù)、財(cái)務(wù)數(shù)據(jù)相關(guān)信息不適當(dāng)?shù)姆鞘跈?quán)修改，系統(tǒng)管理員通過(guò)對(duì)業(yè)務(wù)終端用戶(hù)的角色分配實(shí)現(xiàn)敏感事物的授權(quán)，所以在進(jìn)行ＥＲＰ系統(tǒng)用戶(hù)權(quán)限管理時(shí)，應(yīng)根據(jù)《敏感事務(wù)訪(fǎng)問(wèn)權(quán)限的設(shè)置規(guī)則》確定ＥＲＰ系統(tǒng)中的敏感事務(wù)，用戶(hù)權(quán)限分配應(yīng)遵循能夠滿(mǎn)足用戶(hù)使用系統(tǒng)的最小原則進(jìn)行授權(quán)，可從系統(tǒng)中執(zhí)行“ＳＵＩＭ－＞Ｃｈａｎｇｅ Ｄｏｃｕｍｅｎｔｓ－＞Ｆｏｒ ＲｏｌｅＡｓｓｉｇｎｍｅｎｔ”，導(dǎo)出所有角色分配的日志，檢查是否存在未經(jīng)授權(quán)的角色分配操作。

用戶(hù)若在系統(tǒng)中具有互斥權(quán)限，那么該用戶(hù)就具有了在系統(tǒng)中進(jìn)行舞弊操作的可能，制定了業(yè)務(wù)活動(dòng)之間互斥關(guān)系的《ＥＲＰ系統(tǒng)職責(zé)分離矩陣》，避免互斥權(quán)限，主數(shù)據(jù)維護(hù)、財(cái)務(wù)活動(dòng)和其他業(yè)務(wù)活動(dòng)（指采購(gòu)、銷(xiāo)售、庫(kù)存等業(yè)務(wù)活動(dòng)）之間必須兩兩分離。

因ＥＲＰ系統(tǒng)用戶(hù)多，權(quán)限分配機(jī)制復(fù)雜，采用Ａccess數(shù)據(jù)庫(kù)編制了ＥＲＰ系統(tǒng)權(quán)限測(cè)試工具對(duì)ＥＲＰ系統(tǒng)進(jìn)行權(quán)限測(cè)試，從ＥＲＰ系統(tǒng)中導(dǎo)出所需數(shù)據(jù)，將相關(guān)測(cè)試數(shù)據(jù)導(dǎo)入該工具中相應(yīng)的表（Ｔａｂｌｅｓ），并運(yùn)行工具中的查詢(xún)項(xiàng)目（Ｑｕｅｒｉｅｓ），得到當(dāng)前系統(tǒng)中用戶(hù)的敏感事務(wù)代碼清單及不符合職責(zé)分離的用戶(hù)名單。

4結(jié)束語(yǔ)

企業(yè)信息化建設(shè)目標(biāo)之一是為管理者提供及時(shí)、準(zhǔn)確、全面的管理數(shù)據(jù)，企業(yè)建立內(nèi)部控制制度是規(guī)范管理、保證企業(yè)信息化系統(tǒng)有效運(yùn)行的基礎(chǔ)。實(shí)施ＥＲＰ系統(tǒng)內(nèi)部控制管理，保證信息及時(shí)、準(zhǔn)確，量化考核做到公正、客觀(guān)，制度得以真正落實(shí)下去的關(guān)鍵，企業(yè)要積極持續(xù)推進(jìn)ＥＲＰ系統(tǒng)，加強(qiáng)信息化應(yīng)用，加強(qiáng)流程管理，嚴(yán)格職責(zé)分離等在內(nèi)控管理中的應(yīng)用和深化。

主要參考文獻(xiàn)

［１］羅鴻．ＥＲＰ原理、設(shè)計(jì)、實(shí)施［Ｍ］．北京：電子工業(yè)出版社，2011.

［2］李敏.企業(yè)內(nèi)部控制[M].上海：上海財(cái)經(jīng)大學(xué)出版社，2009.