詹云

摘 要：目前，越來越多的企業(yè)通過實施ERP系統(tǒng)管理生產(chǎn)經(jīng)營業(yè)務(wù)運(yùn)作，因此給企業(yè)帶來了新的業(yè)務(wù)控制風(fēng)險。文章通過論述企業(yè)在ERP系統(tǒng)中如何通過合理有效的權(quán)限管理，加強(qiáng)企業(yè)內(nèi)部風(fēng)險控制、防范的相應(yīng)措施。

關(guān)鍵詞：ERP；ERP系統(tǒng)；權(quán)限；風(fēng)險；IT；內(nèi)部控制

中圖分類號：F275 文獻(xiàn)標(biāo)識碼：A 文章編號：1006-8937（2015）17-0140-02

1 ERP系統(tǒng)權(quán)限管理與內(nèi)部控制概述

1.1 ERP權(quán)限管理概述

ERP是企業(yè)資源計劃（Enterprise Resources Planning）的簡稱，主要宗旨是將企業(yè)的所有資源通過信息化系統(tǒng)進(jìn)行科學(xué)合理的組織、管理和控制，以求收益、效果最佳化。ERP系統(tǒng)是以軟件為載體，為企業(yè)采購、生產(chǎn)、庫存、銷售、財務(wù)等業(yè)務(wù)人員提供的一個統(tǒng)一經(jīng)營管理工作平臺。

企業(yè)要把ERP系統(tǒng)用好，必須依照企業(yè)內(nèi)部各部門崗位職責(zé)的劃分，在ERP系統(tǒng)通過合理的授權(quán)，才能在ERP系統(tǒng)完成各部門的業(yè)務(wù)操作。對每個崗位業(yè)務(wù)操作的合理、有效授權(quán)，即權(quán)限管理。

1.2 內(nèi)部控制概述

內(nèi)部控制是企業(yè)防控內(nèi)部運(yùn)營和操作風(fēng)險的程序、制度、措施和方法的總稱，是對企業(yè)內(nèi)部職能部門和業(yè)務(wù)單位實施管理和控制的系統(tǒng)方法。IT一般性控制就是對所有利用計算機(jī)和通信技術(shù)進(jìn)行企業(yè)業(yè)務(wù)集成、轉(zhuǎn)化和提升的信息化管理平臺進(jìn)行風(fēng)險控制。

一般基于企業(yè)業(yè)務(wù)層面的內(nèi)部控制是把企業(yè)的關(guān)鍵業(yè)務(wù)按歸口管理要求，劃分成流程，通過流程內(nèi)風(fēng)險控制點的形式加以管控。比如內(nèi)控貨幣資金管理、固定資產(chǎn)管理、一般采購管理等流程中，都會考慮IT應(yīng)用控制的要求。

2 通過ERP系統(tǒng)權(quán)限管理實現(xiàn)IT內(nèi)部控制措施和

手段分析

隨著ERP系統(tǒng)被越來越多的企業(yè)所認(rèn)同，企業(yè)業(yè)務(wù)運(yùn)作更加依賴于ERP系統(tǒng)，導(dǎo)致企業(yè)出現(xiàn)了新的業(yè)務(wù)風(fēng)險。如何對這些風(fēng)險進(jìn)行有效防范，需要在ERP系統(tǒng)授權(quán)配置管理上深度融合企業(yè)內(nèi)部風(fēng)險控制的要求，既要有識別風(fēng)險的意識，又要有防范風(fēng)險的措施和手段加以保障。

2.1 配置控制

配置控制指對系統(tǒng)功能啟用的控制，主要有兩層含義：①保證啟用系統(tǒng)自動控制功能，自動實現(xiàn)對業(yè)務(wù)風(fēng)險及操作規(guī)范性的控制；②按照標(biāo)準(zhǔn)模版要求，統(tǒng)一配置系統(tǒng)。例如：對于物資采購流程，在ERP系統(tǒng)中創(chuàng)建采購申請的權(quán)限由物資部門計劃人員擁有；根據(jù)采購審批制度，在ERP系統(tǒng)中合理配置采購申請的審批流程，要求在系統(tǒng)中至少進(jìn)行一級審批。

2.2 業(yè)務(wù)操作控制

業(yè)務(wù)操作控制是指為了保證用戶在系統(tǒng)中能夠按照規(guī)范的業(yè)務(wù)流程進(jìn)行系統(tǒng)操作而設(shè)置的相關(guān)控制。業(yè)務(wù)操作控制包含業(yè)務(wù)流程控制、數(shù)據(jù)輸入控制、數(shù)據(jù)質(zhì)量控制等。該環(huán)節(jié)要防范未經(jīng)授權(quán)非法處理業(yè)務(wù)、系統(tǒng)處理不正確導(dǎo)致業(yè)務(wù)無法正常運(yùn)行風(fēng)險。例如：銷售模塊客戶主數(shù)據(jù)維護(hù)流程，客戶主數(shù)據(jù)的維護(hù)必須經(jīng)過審批。

2.3 權(quán)限控制

權(quán)限控制是指為了保證用戶職責(zé)的有效履行，對其在系統(tǒng)進(jìn)行操作或數(shù)據(jù)訪問的控制。權(quán)限控制包括角色分配管理、關(guān)鍵系統(tǒng)操作授權(quán)管理、ERP組織級別管理等。例如：應(yīng)收帳款管理、信用管理流程，權(quán)限控制要求客戶信用主數(shù)據(jù)的維護(hù)必須經(jīng)過審批；在ERP系統(tǒng)中維護(hù)客戶信用主數(shù)據(jù)的權(quán)限由經(jīng)授權(quán)的財務(wù)部門信用主數(shù)據(jù)維護(hù)管理員擁有；基于不相容原則，該人員不能同時負(fù)責(zé)銷售訂單創(chuàng)建/維護(hù)。

2.4 不相容崗位分離控制

不相容崗位分離控制特指通過系統(tǒng)操作權(quán)限分配中的不相容權(quán)限控制達(dá)到不相容崗位分離的作用。不相容崗位分離是指那些由一個人擔(dān)任，既可能發(fā)生錯誤和舞弊行為，又可能掩蓋其錯誤和弊端行為的職務(wù)、崗位或系統(tǒng)操作權(quán)限，不相容崗位分離即對這類行為予以控制。例如：對于物資采購流程，在ERP系統(tǒng)中進(jìn)行發(fā)票校驗的權(quán)限由財務(wù)部門發(fā)票校驗人員擁有，基于不相容原則，該人員不能同時負(fù)責(zé)操作收貨過賬；進(jìn)行付款的賬務(wù)處理的權(quán)限由財務(wù)部門付款賬務(wù)處理人員擁有，基于不相容原則，該人員不能同時負(fù)責(zé)付款申請。

3 ERP系統(tǒng)的權(quán)限風(fēng)險分析

3.1 來自系統(tǒng)層面的風(fēng)險

由于系統(tǒng)管理員、應(yīng)用管理員等系統(tǒng)維護(hù)人員能直接接觸數(shù)據(jù)庫軟件、熟悉信息系統(tǒng)技術(shù)，他們的有意作案或無意的誤操作所造成的影響很難估量，所以這些關(guān)鍵技術(shù)人員需持證上崗，簽訂保密協(xié)議和授權(quán)書，同時必須有嚴(yán)格的管理制度，嚴(yán)格約束。

此外，為防止非法用戶和黑客侵入信息系統(tǒng)，可通過設(shè)置防火墻、采用身份識別系統(tǒng)等技術(shù)防護(hù)措施。

3.2 ERP權(quán)限設(shè)計缺陷帶來的風(fēng)險

主要表現(xiàn)在權(quán)限設(shè)計不當(dāng)，存在與用戶工作崗位不相稱的系統(tǒng)權(quán)限，有違背不相容崗位原則的系統(tǒng)用戶和角色。這樣在出現(xiàn)誤操作時，給系統(tǒng)帶來的危害是很大的。

3.3 授權(quán)不當(dāng)帶來的風(fēng)險

①超職責(zé)范圍的授權(quán)導(dǎo)致用戶權(quán)限過大。這種情況一般存在于崗位變遷，權(quán)限只增不減，不再負(fù)責(zé)的業(yè)務(wù)權(quán)限未刪除；②人員離職，用戶、密碼未及時變更；③擅自把用戶給非崗位人員使用。

這些權(quán)限的不當(dāng)使用，都會給ERP帶來信息泄露，違規(guī)操作等業(yè)務(wù)風(fēng)險。

3.4 不相容崗位職責(zé)不分帶來的風(fēng)險

一個員工擁有多個系統(tǒng)帳號、一人擁有跨模塊流程的權(quán)限、一人操作多崗位業(yè)務(wù)，這些都可以造成不相容崗位權(quán)限交叉、信息泄密等風(fēng)險。

4 利用IT內(nèi)部控制管理規(guī)避ERP權(quán)限風(fēng)險的措施

和方法

企業(yè)信息化帶來的IT風(fēng)險已經(jīng)成為企業(yè)風(fēng)險管理的主要方面。在此結(jié)合內(nèi)部控制管理要求，總結(jié)規(guī)避ERP權(quán)限風(fēng)險的措施和方法。

4.1 實施IT風(fēng)險評估

企業(yè)信息化建設(shè)初期，常常會忽視風(fēng)險評估，隨著企業(yè)在IT內(nèi)部控制要求日趨明確化，IT風(fēng)險評估也就毫無爭議的成為企業(yè)防范IT風(fēng)險的必要措施。IT風(fēng)險評估主要包括IT目標(biāo)設(shè)定、風(fēng)險識別、風(fēng)險分析和風(fēng)險應(yīng)對。IT目標(biāo)設(shè)定可以理解為IT戰(zhàn)略與IT規(guī)劃，IT風(fēng)險識別與分析應(yīng)對包括對信息資產(chǎn)的風(fēng)險、IT流程的風(fēng)險以及應(yīng)用系統(tǒng)的風(fēng)險識別分析與應(yīng)對。企業(yè)在具體實施方法上可以選擇業(yè)界口碑好，具有相應(yīng)資質(zhì)的第三方公司幫助進(jìn)行風(fēng)險評估。經(jīng)過IT風(fēng)險評估，信息系統(tǒng)安全問題風(fēng)險分析和評價、系統(tǒng)安全建設(shè)整改建議就一目了然，做到心中有數(shù)。

4.2 做好IT控制措施與監(jiān)督檢查

IT控制措施包括IT技術(shù)類控制措施和IT管理類控制措施。

①IT技術(shù)控制措施主要是對防火墻、防病毒、入侵檢測、身份管理等安全設(shè)施、軟件定期更新，做好安全防護(hù)策略；權(quán)限管理方面，ERP系統(tǒng)相對于其它的應(yīng)用系統(tǒng)，其集成性的顯著特點，使得ERP系統(tǒng)的權(quán)限管理更具代表性。具體規(guī)避ERP權(quán)限風(fēng)險的方法建議定期梳理風(fēng)險權(quán)限、不相容權(quán)限、敏感權(quán)限等，通過定期專項檢查、內(nèi)控審計等方法規(guī)避權(quán)限風(fēng)險；目前有的企業(yè)通過開發(fā)權(quán)限風(fēng)險分析工具輔助人工檢查，也一個不錯的參考方法。

②IT管理類控制措施，主要是制定相應(yīng)的管控制度與規(guī)定，如開發(fā)管理、項目管理、變更管理、安全管理、運(yùn)營管理、授權(quán)審批等；制定規(guī)范業(yè)務(wù)流程，明確崗位職責(zé)的相關(guān)文件。通過管理制度的落地執(zhí)行，有效控制風(fēng)險。

③聘請業(yè)界有資質(zhì)的專業(yè)審計公司做IT風(fēng)險控制檢查。

5 結(jié) 語

總之，IT一般控制流程是企業(yè)內(nèi)部控制體系不可或缺的內(nèi)容，ERP系統(tǒng)應(yīng)用到企業(yè)內(nèi)部控制中，特別是ERP權(quán)限管理貫穿于內(nèi)部控制的所有流程，是企業(yè)內(nèi)部控制日益完善的標(biāo)志。企業(yè)在應(yīng)用ERP系統(tǒng)的過程中，應(yīng)該注意防范以上文中分析的各種風(fēng)險。

參考文獻(xiàn)：

[1] 財政部會計司.企業(yè)內(nèi)部控制講解[M].北京：經(jīng)濟(jì)科學(xué)出版社，2010.

[2] 胡為民.內(nèi)部控制與企業(yè)風(fēng)險管理[M].北京：電子工業(yè)出版社，2013.