ERP系統的內部風險控制

□王曉東

ERP系統的應用對提升企業管理水平、降低成本、提高效益成效明顯，同時也給企業內控管理帶來了具有IT技術特點的風險。如何做好ERP環境下內部控制風險的防范，是企業目前必須注意研究解決的問題。

ERP環境下內部控制面臨的風險

傳統的企業內部控制只包括管理控制和會計控制，ERP系統的應用使得內部控制又增加了新的內容——ERP系統的控制。ERP系統在幫助企業節省內部控制的人力成本、提高內部控制的效率方面發揮了積極的作用，但它也給企業內控管理帶來了具有IT技術特點的新問題。如何將企業內部控制體系全面融入ERP系統開發實施和應用維護的全過程，將信息技術帶來的風險納入到內部控制之中，是企業內控管理必須解決的問題。

在實施ERP之后，企業內部控制主要面臨如下風險：

1.規章制度不健全導致的風險。ERP系統從程序開發到運行維護各個階段都需要建立健全規章制度，沒有嚴格的制度，會導致對系統管理的失控。建立了規章制度，也要定期審核制度是否能滿足現行系統和內控的需要，否則，管理上就會出現漏洞。

2.程序和數據訪問管理方面的風險。ERP系統權限和賬號的管理不到位是程序和數據訪問方面的主要風險。在操作系統、應用層面、數據庫層面都需要做好用戶權限及賬戶的管理。如果權限設計和設置不合理，導致權限過大或出現權限不相容等問題，都會帶來風險。

3.程序變更風險。ERP系統變更包括配置、客戶化開發、參數變更、補丁和升級等內容，如果變更管理不規范，客戶化開發、測試和傳輸管理不完善，將會導致系統故障或不能滿足業務需求，產生系統運行風險和經營風險。

4.程序開發過程的風險。在ERP程序開發過程中，從可研報告、業務流程設計、客戶化開發需求和測試、業務流程相關的配置測試和文檔支持、系統變更審批和測試、數據轉換管理、系統切換和月結差異分析等各個環節，如果不加強審批和測試等風險管理，將給今后系統上線運行帶來很大的風險。

5.系統運行中的風險。ERP系統包括操作系統、數據庫、SAP軟件，還包括硬件如服務器、備份和存儲等設備。這些設備和軟件性能是否優良，系統運行是否穩定和可靠，直接影響ERP系統的安全，如數據備份是否有效關系到ERP系統發生災難時是否可以及時得以恢復。

上述ERP系統管理風險輕則會使業務操作受到影響，重則會導致系統死機或數據丟失，使得應用業務流程中斷或無法正常運轉，給企業帶來難以預料的損失，應引起各企業的高度重視。

ERP系統內部控制風險的防范

做好ERP系統內部控制的風險防范，主要應從以下方面入手。

1.強化全員風險意識。從管理者到ERP系統用戶，從上到下，都應樹立防范風險的意識。在ERP系統的權限管理、批導入管理或后臺作業、應急預案管理等方面嚴格管理，往往會引起一些使用者的抱怨，如權限管理給業務操作人員帶來諸多不便，批導入作業申請發生頻繁的用戶往往會抱怨對批導入作業管理過于嚴格等，這些都會影響人們的風險防范意識。加強對員工的風險意識教育十分必要。

2.建立健全ERP系統安全運行制度。防范風險應從規章制度設計開始。建立健全ERP系統運行的規章制度對系統安全可靠運行非常關鍵。ERP系統管理中的四個方面程序和數據訪問、程序變更、程序開發和系統運行都需要有合理的流程和制度做支持。管理制度也應該根據系統運行實際情況和內控的要求及時調整。從近幾年ERP系統運行維護資料統計，最多的是用戶權限變更和系統變更，這兩個環節的管理最容易出問題。用戶權限管理方面應著重抓用戶賬戶、權限變更的審核，權限的分配和變更，權限的安全檢查，崗位變動人員賬戶管理，閑置賬戶清理，權限較大賬戶的管理，數據庫賬戶管理等關鍵環節。系統變更的風險防范需要關注系統變更審批、測試、文檔管理和人員培訓等方面。

3.建立內控管理體系。加強內部控制管理體系和制度建設，定期組織相關人員對包括ERP系統內控流程等IT內控流程進行穿行測試，對查出的問題進行整改。強化審計管理。程序開發容易成為內控管理的死角，應加強程序開發方面的內控管理。

4.建立有效的檢查督促和獎懲考核機制。企業在建立了自己的ERP系統管理組織機構和健全了管理制度后，還應該建立有效的獎懲激勵機制，否則，管理制度就不可能有效落實。