ERP系統(tǒng)權限管理與內部風險控制探討

詹云

摘 要：目前，越來越多的企業(yè)通過實施ERP系統(tǒng)管理生產(chǎn)經(jīng)營業(yè)務運作，因此給企業(yè)帶來了新的業(yè)務控制風險。文章通過論述企業(yè)在ERP系統(tǒng)中如何通過合理有效的權限管理，加強企業(yè)內部風險控制、防范的相應措施。

關鍵詞：ERP；ERP系統(tǒng)；權限；風險；IT；內部控制

中圖分類號：F275 文獻標識碼：A 文章編號：1006-8937（2015）17-0140-02

1 ERP系統(tǒng)權限管理與內部控制概述

1.1 ERP權限管理概述

ERP是企業(yè)資源計劃（Enterprise Resources Planning）的簡稱，主要宗旨是將企業(yè)的所有資源通過信息化系統(tǒng)進行科學合理的組織、管理和控制，以求收益、效果最佳化。ERP系統(tǒng)是以軟件為載體，為企業(yè)采購、生產(chǎn)、庫存、銷售、財務等業(yè)務人員提供的一個統(tǒng)一經(jīng)營管理工作平臺。

企業(yè)要把ERP系統(tǒng)用好，必須依照企業(yè)內部各部門崗位職責的劃分，在ERP系統(tǒng)通過合理的授權，才能在ERP系統(tǒng)完成各部門的業(yè)務操作。對每個崗位業(yè)務操作的合理、有效授權，即權限管理。

1.2 內部控制概述

內部控制是企業(yè)防控內部運營和操作風險的程序、制度、措施和方法的總稱，是對企業(yè)內部職能部門和業(yè)務單位實施管理和控制的系統(tǒng)方法。IT一般性控制就是對所有利用計算機和通信技術進行企業(yè)業(yè)務集成、轉化和提升的信息化管理平臺進行風險控制。

一般基于企業(yè)業(yè)務層面的內部控制是把企業(yè)的關鍵業(yè)務按歸口管理要求，劃分成流程，通過流程內風險控制點的形式加以管控。比如內控貨幣資金管理、固定資產(chǎn)管理、一般采購管理等流程中，都會考慮IT應用控制的要求。

2 通過ERP系統(tǒng)權限管理實現(xiàn)IT內部控制措施和

手段分析

隨著ERP系統(tǒng)被越來越多的企業(yè)所認同，企業(yè)業(yè)務運作更加依賴于ERP系統(tǒng)，導致企業(yè)出現(xiàn)了新的業(yè)務風險。如何對這些風險進行有效防范，需要在ERP系統(tǒng)授權配置管理上深度融合企業(yè)內部風險控制的要求，既要有識別風險的意識，又要有防范風險的措施和手段加以保障。

2.1 配置控制

配置控制指對系統(tǒng)功能啟用的控制，主要有兩層含義：①保證啟用系統(tǒng)自動控制功能，自動實現(xiàn)對業(yè)務風險及操作規(guī)范性的控制；②按照標準模版要求，統(tǒng)一配置系統(tǒng)。例如：對于物資采購流程，在ERP系統(tǒng)中創(chuàng)建采購申請的權限由物資部門計劃人員擁有；根據(jù)采購審批制度，在ERP系統(tǒng)中合理配置采購申請的審批流程，要求在系統(tǒng)中至少進行一級審批。

2.2 業(yè)務操作控制

業(yè)務操作控制是指為了保證用戶在系統(tǒng)中能夠按照規(guī)范的業(yè)務流程進行系統(tǒng)操作而設置的相關控制。業(yè)務操作控制包含業(yè)務流程控制、數(shù)據(jù)輸入控制、數(shù)據(jù)質量控制等。該環(huán)節(jié)要防范未經(jīng)授權非法處理業(yè)務、系統(tǒng)處理不正確導致業(yè)務無法正常運行風險。例如：銷售模塊客戶主數(shù)據(jù)維護流程，客戶主數(shù)據(jù)的維護必須經(jīng)過審批。

2.3 權限控制

權限控制是指為了保證用戶職責的有效履行，對其在系統(tǒng)進行操作或數(shù)據(jù)訪問的控制。權限控制包括角色分配管理、關鍵系統(tǒng)操作授權管理、ERP組織級別管理等。例如：應收帳款管理、信用管理流程，權限控制要求客戶信用主數(shù)據(jù)的維護必須經(jīng)過審批；在ERP系統(tǒng)中維護客戶信用主數(shù)據(jù)的權限由經(jīng)授權的財務部門信用主數(shù)據(jù)維護管理員擁有；基于不相容原則，該人員不能同時負責銷售訂單創(chuàng)建/維護。

2.4 不相容崗位分離控制

不相容崗位分離控制特指通過系統(tǒng)操作權限分配中的不相容權限控制達到不相容崗位分離的作用。不相容崗位分離是指那些由一個人擔任，既可能發(fā)生錯誤和舞弊行為，又可能掩蓋其錯誤和弊端行為的職務、崗位或系統(tǒng)操作權限，不相容崗位分離即對這類行為予以控制。例如：對于物資采購流程，在ERP系統(tǒng)中進行發(fā)票校驗的權限由財務部門發(fā)票校驗人員擁有，基于不相容原則，該人員不能同時負責操作收貨過賬；進行付款的賬務處理的權限由財務部門付款賬務處理人員擁有，基于不相容原則，該人員不能同時負責付款申請。

3 ERP系統(tǒng)的權限風險分析

3.1 來自系統(tǒng)層面的風險

由于系統(tǒng)管理員、應用管理員等系統(tǒng)維護人員能直接接觸數(shù)據(jù)庫軟件、熟悉信息系統(tǒng)技術，他們的有意作案或無意的誤操作所造成的影響很難估量，所以這些關鍵技術人員需持證上崗，簽訂保密協(xié)議和授權書，同時必須有嚴格的管理制度，嚴格約束。

此外，為防止非法用戶和黑客侵入信息系統(tǒng)，可通過設置防火墻、采用身份識別系統(tǒng)等技術防護措施。

3.2 ERP權限設計缺陷帶來的風險

主要表現(xiàn)在權限設計不當，存在與用戶工作崗位不相稱的系統(tǒng)權限，有違背不相容崗位原則的系統(tǒng)用戶和角色。這樣在出現(xiàn)誤操作時，給系統(tǒng)帶來的危害是很大的。

3.3 授權不當帶來的風險

①超職責范圍的授權導致用戶權限過大。這種情況一般存在于崗位變遷，權限只增不減，不再負責的業(yè)務權限未刪除；②人員離職，用戶、密碼未及時變更；③擅自把用戶給非崗位人員使用。

這些權限的不當使用，都會給ERP帶來信息泄露，違規(guī)操作等業(yè)務風險。

3.4 不相容崗位職責不分帶來的風險

一個員工擁有多個系統(tǒng)帳號、一人擁有跨模塊流程的權限、一人操作多崗位業(yè)務，這些都可以造成不相容崗位權限交叉、信息泄密等風險。

4 利用IT內部控制管理規(guī)避ERP權限風險的措施

和方法

企業(yè)信息化帶來的IT風險已經(jīng)成為企業(yè)風險管理的主要方面。在此結合內部控制管理要求，總結規(guī)避ERP權限風險的措施和方法。

4.1 實施IT風險評估

企業(yè)信息化建設初期，常常會忽視風險評估，隨著企業(yè)在IT內部控制要求日趨明確化，IT風險評估也就毫無爭議的成為企業(yè)防范IT風險的必要措施。IT風險評估主要包括IT目標設定、風險識別、風險分析和風險應對。IT目標設定可以理解為IT戰(zhàn)略與IT規(guī)劃，IT風險識別與分析應對包括對信息資產(chǎn)的風險、IT流程的風險以及應用系統(tǒng)的風險識別分析與應對。企業(yè)在具體實施方法上可以選擇業(yè)界口碑好，具有相應資質的第三方公司幫助進行風險評估。經(jīng)過IT風險評估，信息系統(tǒng)安全問題風險分析和評價、系統(tǒng)安全建設整改建議就一目了然，做到心中有數(shù)。

4.2 做好IT控制措施與監(jiān)督檢查

IT控制措施包括IT技術類控制措施和IT管理類控制措施。

①IT技術控制措施主要是對防火墻、防病毒、入侵檢測、身份管理等安全設施、軟件定期更新，做好安全防護策略；權限管理方面，ERP系統(tǒng)相對于其它的應用系統(tǒng)，其集成性的顯著特點，使得ERP系統(tǒng)的權限管理更具代表性。具體規(guī)避ERP權限風險的方法建議定期梳理風險權限、不相容權限、敏感權限等，通過定期專項檢查、內控審計等方法規(guī)避權限風險；目前有的企業(yè)通過開發(fā)權限風險分析工具輔助人工檢查，也一個不錯的參考方法。

②IT管理類控制措施，主要是制定相應的管控制度與規(guī)定，如開發(fā)管理、項目管理、變更管理、安全管理、運營管理、授權審批等；制定規(guī)范業(yè)務流程，明確崗位職責的相關文件。通過管理制度的落地執(zhí)行，有效控制風險。

③聘請業(yè)界有資質的專業(yè)審計公司做IT風險控制檢查。

5 結 語

總之，IT一般控制流程是企業(yè)內部控制體系不可或缺的內容，ERP系統(tǒng)應用到企業(yè)內部控制中，特別是ERP權限管理貫穿于內部控制的所有流程，是企業(yè)內部控制日益完善的標志。企業(yè)在應用ERP系統(tǒng)的過程中，應該注意防范以上文中分析的各種風險。

參考文獻：

[1] 財政部會計司.企業(yè)內部控制講解[M].北京：經(jīng)濟科學出版社，2010.

[2] 胡為民.內部控制與企業(yè)風險管理[M].北京：電子工業(yè)出版社，2013.