ERP系統權限管理與內部風險控制探討

詹云

摘 要：目前，越來越多的企業通過實施ERP系統管理生產經營業務運作，因此給企業帶來了新的業務控制風險。文章通過論述企業在ERP系統中如何通過合理有效的權限管理，加強企業內部風險控制、防范的相應措施。

關鍵詞：ERP；ERP系統；權限；風險；IT；內部控制

中圖分類號：F275 文獻標識碼：A 文章編號：1006-8937（2015）17-0140-02

1 ERP系統權限管理與內部控制概述

1.1 ERP權限管理概述

ERP是企業資源計劃（Enterprise Resources Planning）的簡稱，主要宗旨是將企業的所有資源通過信息化系統進行科學合理的組織、管理和控制，以求收益、效果最佳化。ERP系統是以軟件為載體，為企業采購、生產、庫存、銷售、財務等業務人員提供的一個統一經營管理工作平臺。

企業要把ERP系統用好，必須依照企業內部各部門崗位職責的劃分，在ERP系統通過合理的授權，才能在ERP系統完成各部門的業務操作。對每個崗位業務操作的合理、有效授權，即權限管理。

1.2 內部控制概述

內部控制是企業防控內部運營和操作風險的程序、制度、措施和方法的總稱，是對企業內部職能部門和業務單位實施管理和控制的系統方法。IT一般性控制就是對所有利用計算機和通信技術進行企業業務集成、轉化和提升的信息化管理平臺進行風險控制。

一般基于企業業務層面的內部控制是把企業的關鍵業務按歸口管理要求，劃分成流程，通過流程內風險控制點的形式加以管控。比如內控貨幣資金管理、固定資產管理、一般采購管理等流程中，都會考慮IT應用控制的要求。

2 通過ERP系統權限管理實現IT內部控制措施和

手段分析

隨著ERP系統被越來越多的企業所認同，企業業務運作更加依賴于ERP系統，導致企業出現了新的業務風險。如何對這些風險進行有效防范，需要在ERP系統授權配置管理上深度融合企業內部風險控制的要求，既要有識別風險的意識，又要有防范風險的措施和手段加以保障。

2.1 配置控制

配置控制指對系統功能啟用的控制，主要有兩層含義：①保證啟用系統自動控制功能，自動實現對業務風險及操作規范性的控制；②按照標準模版要求，統一配置系統。例如：對于物資采購流程，在ERP系統中創建采購申請的權限由物資部門計劃人員擁有；根據采購審批制度，在ERP系統中合理配置采購申請的審批流程，要求在系統中至少進行一級審批。

2.2 業務操作控制

業務操作控制是指為了保證用戶在系統中能夠按照規范的業務流程進行系統操作而設置的相關控制。業務操作控制包含業務流程控制、數據輸入控制、數據質量控制等。該環節要防范未經授權非法處理業務、系統處理不正確導致業務無法正常運行風險。例如：銷售模塊客戶主數據維護流程，客戶主數據的維護必須經過審批。

2.3 權限控制

權限控制是指為了保證用戶職責的有效履行，對其在系統進行操作或數據訪問的控制。權限控制包括角色分配管理、關鍵系統操作授權管理、ERP組織級別管理等。例如：應收帳款管理、信用管理流程，權限控制要求客戶信用主數據的維護必須經過審批；在ERP系統中維護客戶信用主數據的權限由經授權的財務部門信用主數據維護管理員擁有；基于不相容原則，該人員不能同時負責銷售訂單創建/維護。

2.4 不相容崗位分離控制

不相容崗位分離控制特指通過系統操作權限分配中的不相容權限控制達到不相容崗位分離的作用。不相容崗位分離是指那些由一個人擔任，既可能發生錯誤和舞弊行為，又可能掩蓋其錯誤和弊端行為的職務、崗位或系統操作權限，不相容崗位分離即對這類行為予以控制。例如：對于物資采購流程，在ERP系統中進行發票校驗的權限由財務部門發票校驗人員擁有，基于不相容原則，該人員不能同時負責操作收貨過賬；進行付款的賬務處理的權限由財務部門付款賬務處理人員擁有，基于不相容原則，該人員不能同時負責付款申請。

3 ERP系統的權限風險分析

3.1 來自系統層面的風險

由于系統管理員、應用管理員等系統維護人員能直接接觸數據庫軟件、熟悉信息系統技術，他們的有意作案或無意的誤操作所造成的影響很難估量，所以這些關鍵技術人員需持證上崗，簽訂保密協議和授權書，同時必須有嚴格的管理制度，嚴格約束。

此外，為防止非法用戶和黑客侵入信息系統，可通過設置防火墻、采用身份識別系統等技術防護措施。

3.2 ERP權限設計缺陷帶來的風險

主要表現在權限設計不當，存在與用戶工作崗位不相稱的系統權限，有違背不相容崗位原則的系統用戶和角色。這樣在出現誤操作時，給系統帶來的危害是很大的。

3.3 授權不當帶來的風險

①超職責范圍的授權導致用戶權限過大。這種情況一般存在于崗位變遷，權限只增不減，不再負責的業務權限未刪除；②人員離職，用戶、密碼未及時變更；③擅自把用戶給非崗位人員使用。

這些權限的不當使用，都會給ERP帶來信息泄露，違規操作等業務風險。

3.4 不相容崗位職責不分帶來的風險

一個員工擁有多個系統帳號、一人擁有跨模塊流程的權限、一人操作多崗位業務，這些都可以造成不相容崗位權限交叉、信息泄密等風險。

4 利用IT內部控制管理規避ERP權限風險的措施

和方法

企業信息化帶來的IT風險已經成為企業風險管理的主要方面。在此結合內部控制管理要求，總結規避ERP權限風險的措施和方法。

4.1 實施IT風險評估

企業信息化建設初期，常常會忽視風險評估，隨著企業在IT內部控制要求日趨明確化，IT風險評估也就毫無爭議的成為企業防范IT風險的必要措施。IT風險評估主要包括IT目標設定、風險識別、風險分析和風險應對。IT目標設定可以理解為IT戰略與IT規劃，IT風險識別與分析應對包括對信息資產的風險、IT流程的風險以及應用系統的風險識別分析與應對。企業在具體實施方法上可以選擇業界口碑好，具有相應資質的第三方公司幫助進行風險評估。經過IT風險評估，信息系統安全問題風險分析和評價、系統安全建設整改建議就一目了然，做到心中有數。

4.2 做好IT控制措施與監督檢查

IT控制措施包括IT技術類控制措施和IT管理類控制措施。

①IT技術控制措施主要是對防火墻、防病毒、入侵檢測、身份管理等安全設施、軟件定期更新，做好安全防護策略；權限管理方面，ERP系統相對于其它的應用系統，其集成性的顯著特點，使得ERP系統的權限管理更具代表性。具體規避ERP權限風險的方法建議定期梳理風險權限、不相容權限、敏感權限等，通過定期專項檢查、內控審計等方法規避權限風險；目前有的企業通過開發權限風險分析工具輔助人工檢查，也一個不錯的參考方法。

②IT管理類控制措施，主要是制定相應的管控制度與規定，如開發管理、項目管理、變更管理、安全管理、運營管理、授權審批等；制定規范業務流程，明確崗位職責的相關文件。通過管理制度的落地執行，有效控制風險。

③聘請業界有資質的專業審計公司做IT風險控制檢查。

5 結 語

總之，IT一般控制流程是企業內部控制體系不可或缺的內容，ERP系統應用到企業內部控制中，特別是ERP權限管理貫穿于內部控制的所有流程，是企業內部控制日益完善的標志。企業在應用ERP系統的過程中，應該注意防范以上文中分析的各種風險。

參考文獻：

[1] 財政部會計司.企業內部控制講解[M].北京：經濟科學出版社，2010.

[2] 胡為民.內部控制與企業風險管理[M].北京：電子工業出版社，2013.