ＥＲＰ系統(tǒng)風險控制探究

[摘 要] ERP系統(tǒng)的實施受多種因素的影響，本文著重分析了實施ERP后所帶來的風險，探討了ERP系統(tǒng)風險控制的基本策略和具體措施。

[關(guān)鍵詞] ERP；風險；策略；控制

[中圖分類號] F270.7

[文獻標識碼] A

[文章編號] 1673-0194(2006)09-0024-03

［收稿日期］2006-06-03

［作者簡介］張國平，陜西高陵人，副教授，主要從事會計及會計信息化方面的教學和研究。

ERP（Enterprise Resource Planning，企業(yè)資源計劃）是一個對企業(yè)的多種資源進行規(guī)劃的管理信息系統(tǒng)和操作平臺，它以財務(wù)管理為核心，使企業(yè)的物流、業(yè)務(wù)流、資金流和信息流相集成，實現(xiàn)了數(shù)據(jù)的來源唯一、實時共享、多路徑查詢，使企業(yè)的人、財、物、產(chǎn)、供、銷等在內(nèi)的資源得到較為充分的調(diào)配和平衡，為企業(yè)決策、計劃、控制與經(jīng)營業(yè)績評價提供全方位、系統(tǒng)化的服務(wù)。但ERP系統(tǒng)的實施受多種因素的影響，包含眾多的不確定因素，不可避免地帶來這樣或那樣的風險，如何降低或消除風險是我們面臨的新課題。

一、ERP系統(tǒng)風險分析

在ERP環(huán)境下，雖然計算機網(wǎng)絡(luò)代替了手工的數(shù)據(jù)采集、處理和輸出，使得企業(yè)信息化建設(shè)的效率和規(guī)范化得到了極大的改善。但是，在企業(yè)實施ERP后，由于ERP系統(tǒng)具有業(yè)務(wù)處理自動化、控制方法和措施程序化、信息存儲數(shù)據(jù)化等特點，又為控制風險帶來了一些新的問題和難點，主要表現(xiàn)在：

1. 內(nèi)部崗位牽制的效力降低

自動高效的計算機網(wǎng)絡(luò)的應(yīng)用，使操作人員的數(shù)量大大減少，各種業(yè)務(wù)核算手續(xù)完全由計算機統(tǒng)一執(zhí)行，那種試圖通過適當?shù)膷徫环蛛x而實現(xiàn)各種業(yè)務(wù)環(huán)節(jié)的相互牽制，就顯得乏力。

2. 口令權(quán)限的局限性

在ERP環(huán)境下，各個操作人員的權(quán)限分工是靠口令授權(quán)來完成的，而口令存放在計算機系統(tǒng)內(nèi)，不像手工環(huán)境下代表授權(quán)的印章鎖在箱子里或帶在身上那樣保險，因此一旦被人破解或竊取便會帶來極大的隱患。

3. 加大了風險控制的難度

ERP在開放和動態(tài)的計算機網(wǎng)絡(luò)環(huán)境下運行，大量信息通過網(wǎng)絡(luò)傳輸，有可能遭到非法攔截、竊取和篡改；業(yè)務(wù)數(shù)據(jù)通過ERP系統(tǒng)的采集轉(zhuǎn)化為數(shù)字化的信息被存儲在磁（光）介質(zhì)上，而電子數(shù)據(jù)易被修改、刪除、隱匿、轉(zhuǎn)移和偽造而不留痕跡。

4.構(gòu)成要素的復(fù)雜性加大了系統(tǒng)安全控制的難度

ERP是一個網(wǎng)絡(luò)系統(tǒng)，計算機硬件、軟件、人員和各種業(yè)務(wù)處理流程等構(gòu)成了一個復(fù)雜的網(wǎng)絡(luò)系統(tǒng)，而且絕大多數(shù)交易的合法性和有效性是依賴計算機網(wǎng)絡(luò)來自動完成的，因此，硬件配置的不合理、軟件功能的缺陷、系統(tǒng)操作的失誤、內(nèi)部人員的非法訪問及外部的惡意攻擊、人們對風險的控制缺乏應(yīng)有的主動權(quán)等，都會使ERP系統(tǒng)面臨嚴重的安全威脅。

5. 過度依賴計算機程序的質(zhì)量

一般認為，計算機程序的質(zhì)量是毋庸質(zhì)疑的，然而也可能存在先天的設(shè)計缺陷或惡意的“后門”，一旦程序中存在嚴重的瑕疵或惡意的“后門”，都會嚴重危及系統(tǒng)安全，而憑操作人員有限的計算機專業(yè)知識，很難及時發(fā)現(xiàn)這些漏洞，致使系統(tǒng)發(fā)生多次重復(fù)的錯誤。

上述問題使得企業(yè)在實施ERP過程中的風險加大，歸納起來主要表現(xiàn)在以下幾個方面：

1. 準備風險

準備風險是指在實施ERP過程中前期準備階段存在的風險。例如沒有制訂規(guī)劃或規(guī)劃不合理、咨詢伙伴選擇不當、設(shè)計流程缺乏有效的控制環(huán)節(jié)、系統(tǒng)選型錯誤等。

2. 軟件技術(shù)風險

軟件技術(shù)風險是指ERP系統(tǒng)軟件本身及其所使用的技術(shù)而帶來的風險。例如使用的技術(shù)和開發(fā)工具不成熟或未經(jīng)授權(quán)、所依賴的技術(shù)過于復(fù)雜引起實施者未恰當理解、軟件存在先天設(shè)計缺陷、程序設(shè)計員設(shè)置秘密“后門”、軟件自我糾錯能力弱等。

3. 運行操作風險

運行操作風險是指利用ERP進行業(yè)務(wù)處理、記錄、維護和報告過程中所帶來的風險。如收銀員在收款環(huán)節(jié)可能將收到客戶的現(xiàn)金據(jù)為己有、某業(yè)務(wù)處理環(huán)節(jié)誤操作、不正確的業(yè)務(wù)處理、業(yè)務(wù)數(shù)據(jù)遭竊取或被篡改、病毒侵入造成數(shù)據(jù)丟失、操作人員缺乏主動性等。

4. 環(huán)境風險

環(huán)境風險是指ERP所處環(huán)境而帶來的風險。例如組織結(jié)構(gòu)不合理、職責權(quán)限不明確、業(yè)務(wù)部門工作不協(xié)調(diào)、管理制度缺失或未發(fā)揮作用、計算機硬件系統(tǒng)不能滿足要求、自然環(huán)境不符合技術(shù)安全要求等。

二、ERP環(huán)境下風險控制的基本策略

風險控制是人們對風險進行識別、分析、監(jiān)控和解決的過程。在這個過程中，我們應(yīng)當采取積極的態(tài)度，尋找解決問題的方法。為此，筆者認為，ERP系統(tǒng)管理者應(yīng)著重做好以下幾個方面的工作：

1.風險的識別

風險的識別是指在實施ERP的過程中，找到可能存在的風險，其目的在于查明ERP實施過程中的不確定因素、來源及其相互之間的關(guān)系，為制訂發(fā)現(xiàn)控制預(yù)案提供依據(jù)。該階段主要是通過一定的手段按照風險的分類，從ERP實施過程中找出該系統(tǒng)可能存在的風險。識別風險的方法有：定期召開有關(guān)專家會議，詢問實施過程中發(fā)現(xiàn)的風險；將ERP實施項目進行分解，使實施工作不斷細化，以便于找出風險；將實際實施過程與標準的實施過程進行核對等等。

2. 風險的分析

風險的分析是指在風險識別的基礎(chǔ)上，對風險存在及發(fā)生的可能性以及將會給ERP造成的損失范圍與程度進行估計和衡量，確定各種風險的重要性，使實施人員將主要精力集中在主要風險上，從而使ERP的整體風險得到有效控制。在進行風險分析時可結(jié)合使用定性分析和定量分析的方法。

3. 制訂風險控制預(yù)案

ERP的實施是一個龐大的系統(tǒng)工程，涉及的因素、內(nèi)容和環(huán)節(jié)比較多，因此，不能等到問題出現(xiàn)了再想辦法解決，必須在風險識別和分析的基礎(chǔ)上，事先制訂風險控制預(yù)案，指導(dǎo)風險控制，以便使可能出現(xiàn)的風險所造成的損失消失或減少。風險控制預(yù)案，由專門的小組或人員負責制訂，既包括風險控制的策略，也包括可能存在的風險及其識別方法、應(yīng)對措施、責任單位和責任人。

風險控制預(yù)案是開展風險管理活動的依據(jù)，對風險控制工作起指導(dǎo)作用，其編制目的是使可能出現(xiàn)的風險所造成的損失消失或減少。因此，風險控制預(yù)案的編制應(yīng)當盡可能全面、合理、有效。同時，在ERP日常運行的過程中還應(yīng)當加強監(jiān)督和控制，跟蹤已識別的風險，識別新的風險，對風險控制預(yù)案做出及時調(diào)整，使之得到進一步完善，更加合理，切實可行。

4. 積極應(yīng)對發(fā)生的風險

風險的應(yīng)對是指當風險將要發(fā)生或已經(jīng)發(fā)生時，按照事先編制的風險控制預(yù)案，采取相應(yīng)的風險應(yīng)對策略，使ERP的整體風險降到最低的活動。通常采取的應(yīng)對策略有消除風險、接受風險和轉(zhuǎn)移風險。

消除風險是指通過一定的方法或措施消除風險產(chǎn)生的條件，以達到ERP免受風險影響的目的。接受風險是指當風險的負面影響在可以接受的范圍內(nèi)或沒有找到合適的方法來消除或轉(zhuǎn)移風險時，直接接受風險給ERP所帶來的影響。轉(zhuǎn)移風險是指將風險所產(chǎn)生的結(jié)果轉(zhuǎn)移給他人，避免己方遭受風險所帶來的損失。很顯然，我們應(yīng)當采取積極的態(tài)度來消除風險，盡可能減少可接受風險，反對轉(zhuǎn)移風險。

三、ERP環(huán)境下風險控制的具體措施

對待風險人們應(yīng)當采取積極的態(tài)度來消除風險，這需要有具體、有效的防范措施才能實現(xiàn)。筆者認為，ERP系統(tǒng)風險防范的措施主要有：

1. 轉(zhuǎn)變觀念，提升風險管理層次

ERP利用信息技術(shù)的成果，對企業(yè)內(nèi)部的人、財、物、信息等進行規(guī)劃、統(tǒng)籌和整合，這些工作的實施必然涉及一些重大問題的決策，如網(wǎng)絡(luò)技術(shù)的決策、網(wǎng)上支付風險的評估、經(jīng)營業(yè)績的審核、風險管理與安全控制的程序決策等等。因此，控制風險不只是各部門工作人員的事情，企業(yè)的董事會、監(jiān)事會和高級管理層必須發(fā)揮領(lǐng)導(dǎo)和監(jiān)督的責任，對風險管理的職責進行確認，明確劃分董事會和高級管理層在ERP實施中的風險管理的責任，評價風險管理體系，提出完善措施，協(xié)調(diào)各方面的問題。監(jiān)事會也不要成為擺設(shè)，應(yīng)加強內(nèi)部審計，對董事會和高級管理層履行風險管理職責的情況進行監(jiān)督。

2. 做好前期準備工作

對于ERP實施而言，前期準備工作是ERP具體實施前的重要環(huán)節(jié)，它直接關(guān)系到ERP的成敗。因此，在ERP項目實施前，首先要結(jié)合企業(yè)發(fā)展的總體規(guī)劃和內(nèi)外部環(huán)境做好ERP項目的前期規(guī)劃，明確ERP的實施目標、基本步驟、時間安排、資金預(yù)算、實施范圍和實施內(nèi)容；其次，要慎重選擇合作伙伴，考察他們的行業(yè)經(jīng)驗、工作能力與職業(yè)信譽等；再次，要做好業(yè)務(wù)流程的重組和有效的控制環(huán)節(jié)，簡化工作程序，改進組織內(nèi)部以及組織與外部合作伙伴的溝通和協(xié)作關(guān)系，以提高自身的管理水平和響應(yīng)速度來適應(yīng)新的競爭環(huán)境；最后要做好ERP選型工作，考察軟件供應(yīng)商的行業(yè)應(yīng)用經(jīng)驗、研發(fā)能力、信譽、服務(wù)品質(zhì)等。

3. 合理設(shè)崗，加強內(nèi)部牽制

ERP是一個龐大的企業(yè)內(nèi)部資源管理系統(tǒng)，包括分銷、制造、會計、稅務(wù)、質(zhì)量控制、售后服務(wù)、人力資源、網(wǎng)上結(jié)算、運輸?shù)茸酉到y(tǒng)，是由各個部門協(xié)同完成來實現(xiàn)企業(yè)的目標。因此，在ERP實施的過程中應(yīng)按照其特點設(shè)置業(yè)務(wù)處理崗位，并明確各個崗位的職責范圍。在分工時，確實做到不相容的職能由不同的人員或部門擔任，同一事項的處理由兩個或兩個以上的職能部門共同完成，使得人員或部門之間的工作相互聯(lián)系、相互依賴、相互監(jiān)督、相互印證，切實加強內(nèi)部牽制，從而杜絕錯誤、舞弊或欺詐等風險的發(fā)生。

4. 加強運行操作控制

ERP將企業(yè)的業(yè)務(wù)數(shù)據(jù)統(tǒng)一化，實現(xiàn)了“數(shù)出一門，大家共享”和在線管理，這就要求在運行操作階段應(yīng)加強數(shù)據(jù)的輸入、處理和輸出這3個環(huán)節(jié)的控制。其中，輸入正確、可靠的數(shù)據(jù)是保證ERP數(shù)據(jù)準確的首要環(huán)節(jié)，如果這個環(huán)節(jié)發(fā)生錯誤，必然會引起處理環(huán)節(jié)的數(shù)據(jù)錯誤，最終使整個ERP所輸出的信息不正確。因此，除了加強操作人員的責任心、提高其專業(yè)技能和水平外，還應(yīng)對數(shù)據(jù)的輸入、處理和輸出實施嚴格的控制措施，以確保數(shù)據(jù)操作的準確性。

運行操作階段的控制措施有：所輸入的數(shù)據(jù)應(yīng)經(jīng)過必要的授權(quán)，并經(jīng)有關(guān)部門檢查；采取建立科目對照文件、設(shè)立對應(yīng)關(guān)系參照文件、確定合理數(shù)據(jù)范圍、總數(shù)校驗、平衡校驗等技術(shù)手段，對所輸入數(shù)據(jù)的正確性進行校驗、禁止非操作人員操作會計信息系統(tǒng)的專用計算機；設(shè)置操作人員的操作權(quán)限，并進行嚴格的密碼控制；數(shù)據(jù)的處理和存儲相隔離；合理使用數(shù)據(jù)備份和數(shù)據(jù)恢復(fù)功能；在數(shù)據(jù)輸出前，將輸出總數(shù)與輸入總數(shù)相核對，以保證數(shù)據(jù)經(jīng)過處理后沒有丟失和重復(fù)；對輸出的數(shù)據(jù)進行人工和機器審核，檢查會計報表有關(guān)項目之間的勾稽關(guān)系是否存在，以保證其完整性和正確性；對輸出的磁性介質(zhì)資料和打印資料應(yīng)經(jīng)主管人員審批后方能報出，并由專人保管，登記日期、名稱、份數(shù)、送達部門或人員等。

5. 不能忽視環(huán)境控制

ERP是建立在一定的物質(zhì)基礎(chǔ)之上的，設(shè)備能否正常運行對ERP的實施具有重要的意義。因此，設(shè)備環(huán)境的控制是ERP風險防范中一個重要的方面，只能加強，不可忽視。設(shè)備的環(huán)境包括所使用的計算機、網(wǎng)絡(luò)、軟件及其相互協(xié)同工作等方面，其控制措施主要包括：采取防火、防水、防磁、防震、防掉電、防高低溫等措施；保證恒溫、恒壓和適宜的濕度；裝備不間斷動力和穩(wěn)壓裝置；定期對硬件進行測試；安裝防病毒軟件等。

6. 加強軟件開發(fā)、使用和維護的控制

軟件的控制措施用于保證程序和數(shù)據(jù)不被錯用、濫用和非法使用。常用的控制措施主要有：所使用的各種軟件必須經(jīng)過授權(quán)；安全程度不等的數(shù)據(jù)應(yīng)賦予不同的訪問級別；設(shè)置日志文件以便詳細登記并保留使用者進行業(yè)務(wù)處理的蹤跡；對程序源代碼采取保密措施，以防操作者對指令進行篡改；重要文檔采取密碼存儲和傳輸?shù)姆绞剑卉浖木S護應(yīng)經(jīng)過周密計劃，嚴格履行審批和測試手續(xù)；如果是自行開發(fā)的軟件，應(yīng)選擇成熟并經(jīng)授權(quán)的軟件技術(shù)和開發(fā)工具，并由審計人員對數(shù)據(jù)的輸入、處理和輸出環(huán)節(jié)進行符合性測試，以測試軟件中的內(nèi)部控制是否存在、有效。

7. 重視檔案管理

ERP環(huán)境下的檔案包括各種賬、證、表、數(shù)據(jù)文件、軟件及其技術(shù)和法律文檔，應(yīng)按照檔案管理辦法的有關(guān)規(guī)定進行管理，其控制措施有：建立健全檔案的保管、領(lǐng)用、復(fù)制、修改、銷毀制度；實行專人、分人、分處管理；數(shù)據(jù)每天做雙重備份，并定期檢查；經(jīng)領(lǐng)導(dǎo)同意借閱的檔案資料，應(yīng)嚴格履行借閱和歸還手續(xù)。

主要參考文獻

[1] 羅鴻.ERP原理設(shè)計實施[M].北京:電子工業(yè)出版社，2005.

[2] 張國平. ERP系統(tǒng)與傳統(tǒng)會計信息系統(tǒng)之比較[J].中國農(nóng)業(yè)會計，2004，(7).

[3] 王鍇，岳麗娟. ERP發(fā)展進程中若干問題研究[D]. 中國會計學會第四屆全國會計信息化年會論文集.

[4] 劉文昌. 會計電算化信息系統(tǒng)的安全控制[J]. 會計之友，2005，(4).