企業ERP系統內控管理
2014-04-29 11:34:41馬英會張興史詩
中國管理信息化 2014年14期
馬英會 張興 史詩
[摘要] 本文首先說明實施ERP內控管理的重要性,繼而講述了ERP藍圖設計中風險控制以及ERP信息系統總體控制,并闡述了ERP權限控制以及權限測試,以及要持續深化ERP內控管理。
[關鍵詞] ERP;SLM;GCC
doi : 10 . 3969 / j . issn . 1673 - 0194 . 2014 . 14. 023
[中圖分類號]F232[文獻標識碼]A[文章編號]1673 - 0194(2014)14- 0035- 020引言
公司建成了集生產計劃(PP)、設備(PM)、項目(PS)、采購(MM)、銷售(SD)、總賬(FI)、成本(CO)、人力資源(HR)為一體的ERP工作平臺,ERP以財務管理為核心,與金稅系統、銷售系統、網上報銷、AMINS等系統有接口。業務部門把原始數據錄入ERP后,由財務人員輸入對應事物碼,系統自動運行相關程序,具有高度的自動化,每一筆基礎業務發生的同時,都產生對應的ERP-FI憑證,并同步傳輸到FMIS財務管理系統,業務處理更多的依賴系統操作,主要業務之間的關聯程度很高,大量的業務活動通過集成憑證直接反映到財務數據,財務人員可隨時進入ERP系統查看各項費用發生情況,提高了成本管理質量,提升了財務管理水平。
內部控制是企業管理的重要內容,內控管理保障財務報告的可靠性,堵塞內部管理漏洞,確保生產、業務數據真實,防止舞弊。ERP系統實施后,有些業務流程發生改變,對于業務的管理更加細化,用自動控制替代人工控制,在提升財務管理水平時,也帶來了一定的風險,嚴格防范系統風險,加強內控管理,提升風險控制的有效性變得尤為重要。
1 ERP系統藍圖設計
按照公司業務流程架構管理的要求,對本單位原業務流程目錄進行修訂,使其涵蓋ERP系統藍圖的全部內容,基于Solution Manager 完成ERP系統配置,保證ERP藍圖與系統配置及企業實際流程保持一致。
編制ERP藍圖時,要完成ERP藍圖差異分析,根據企業業務流程與ERP藍圖對照,依據ERP板塊藍圖模板目錄,標明藍圖各環節對應的主要風險和關鍵控制等內容,完成ERP系統相關風險與控制文檔,確認ERP系統控制矩陣,并依據系統控制矩陣修改藍圖,完善藍圖信息、業務流程,進行藍圖建模質量檢查,落實系統關鍵控制,防范系統風險。
2GCC控制
ERP系統GCC即總體層面控制,由于ERP系統高集成性、系統龐大而復雜,為了更好地保證ERP系統管理和維護,以及內部控制管理和信息化建設需要,實施ERP系統GCC控制。
防止信息資產在未經授權的情況下被使用、披露、修改、損壞或丟失,系統用戶必須經過有效的審批才能擁有系統賬戶,對ERP的業務用戶僅分配會話類型(A-Dialog)賬號,系統所有用戶都應擁有個人專用的唯一賬號,以便操作能夠追溯到具體責任人,個人不得外泄用戶名和密碼,不得轉借他人使用,不應在應用系統中設立無人使用的賬號,所有用戶都應歸屬于一個用戶組,以便有效地進行用戶管理。
3系統權限控制
由于ERP系統用戶數據、業務數據、財務數據的集中存放,為了避免對業務、財務數據相關的信息進行不適當的非授權修改,用戶權限需符合股份公司下發的職責分離矩陣的要求,避免某個用戶在操作時同時擁有可能進行舞弊的權限。
在執行ERP系統權限管理時,用戶若在系統中具有不符合其實際業務職責的權限,可能導致對業務、財務數據相關信息不適當的非授權修改,系統管理員通過對業務終端用戶的角色分配實現敏感事物的授權,所以在進行ERP系統用戶權限管理時,應根據《敏感事務訪問權限的設置規則》確定ERP系統中的敏感事務,用戶權限分配應遵循能夠滿足用戶使用系統的最小原則進行授權,可從系統中執行“SUIM->Change Documents->For RoleAssignment”,導出所有角色分配的日志,檢查是否存在未經授權的角色分配操作。
用戶若在系統中具有互斥權限,那么該用戶就具有了在系統中進行舞弊操作的可能,制定了業務活動之間互斥關系的《ERP系統職責分離矩陣》,避免互斥權限,主數據維護、財務活動和其他業務活動(指采購、銷售、庫存等業務活動)之間必須兩兩分離。
因ERP系統用戶多,權限分配機制復雜,采用Access數據庫編制了ERP系統權限測試工具對ERP系統進行權限測試,從ERP系統中導出所需數據,將相關測試數據導入該工具中相應的表(Tables),并運行工具中的查詢項目(Queries),得到當前系統中用戶的敏感事務代碼清單及不符合職責分離的用戶名單。
4結束語
企業信息化建設目標之一是為管理者提供及時、準確、全面的管理數據,企業建立內部控制制度是規范管理、保證企業信息化系統有效運行的基礎。實施ERP系統內部控制管理,保證信息及時、準確,量化考核做到公正、客觀,制度得以真正落實下去的關鍵,企業要積極持續推進ERP系統,加強信息化應用,加強流程管理,嚴格職責分離等在內控管理中的應用和深化。
主要參考文獻
[1]羅鴻.ERP原理、設計、實施[M].北京:電子工業出版社,2011.
[2]李敏.企業內部控制[M].上海:上海財經大學出版社,2009.
