ERP系統(tǒng)的內(nèi)部風(fēng)險控制

□王曉東

ERP系統(tǒng)的應(yīng)用對提升企業(yè)管理水平、降低成本、提高效益成效明顯，同時也給企業(yè)內(nèi)控管理帶來了具有IT技術(shù)特點的風(fēng)險。如何做好ERP環(huán)境下內(nèi)部控制風(fēng)險的防范，是企業(yè)目前必須注意研究解決的問題。

ERP環(huán)境下內(nèi)部控制面臨的風(fēng)險

傳統(tǒng)的企業(yè)內(nèi)部控制只包括管理控制和會計控制，ERP系統(tǒng)的應(yīng)用使得內(nèi)部控制又增加了新的內(nèi)容——ERP系統(tǒng)的控制。ERP系統(tǒng)在幫助企業(yè)節(jié)省內(nèi)部控制的人力成本、提高內(nèi)部控制的效率方面發(fā)揮了積極的作用，但它也給企業(yè)內(nèi)控管理帶來了具有IT技術(shù)特點的新問題。如何將企業(yè)內(nèi)部控制體系全面融入ERP系統(tǒng)開發(fā)實施和應(yīng)用維護的全過程，將信息技術(shù)帶來的風(fēng)險納入到內(nèi)部控制之中，是企業(yè)內(nèi)控管理必須解決的問題。

在實施ERP之后，企業(yè)內(nèi)部控制主要面臨如下風(fēng)險：

1.規(guī)章制度不健全導(dǎo)致的風(fēng)險。ERP系統(tǒng)從程序開發(fā)到運行維護各個階段都需要建立健全規(guī)章制度，沒有嚴(yán)格的制度，會導(dǎo)致對系統(tǒng)管理的失控。建立了規(guī)章制度，也要定期審核制度是否能滿足現(xiàn)行系統(tǒng)和內(nèi)控的需要，否則，管理上就會出現(xiàn)漏洞。

2.程序和數(shù)據(jù)訪問管理方面的風(fēng)險。ERP系統(tǒng)權(quán)限和賬號的管理不到位是程序和數(shù)據(jù)訪問方面的主要風(fēng)險。在操作系統(tǒng)、應(yīng)用層面、數(shù)據(jù)庫層面都需要做好用戶權(quán)限及賬戶的管理。如果權(quán)限設(shè)計和設(shè)置不合理，導(dǎo)致權(quán)限過大或出現(xiàn)權(quán)限不相容等問題，都會帶來風(fēng)險。

3.程序變更風(fēng)險。ERP系統(tǒng)變更包括配置、客戶化開發(fā)、參數(shù)變更、補丁和升級等內(nèi)容，如果變更管理不規(guī)范，客戶化開發(fā)、測試和傳輸管理不完善，將會導(dǎo)致系統(tǒng)故障或不能滿足業(yè)務(wù)需求，產(chǎn)生系統(tǒng)運行風(fēng)險和經(jīng)營風(fēng)險。

4.程序開發(fā)過程的風(fēng)險。在ERP程序開發(fā)過程中，從可研報告、業(yè)務(wù)流程設(shè)計、客戶化開發(fā)需求和測試、業(yè)務(wù)流程相關(guān)的配置測試和文檔支持、系統(tǒng)變更審批和測試、數(shù)據(jù)轉(zhuǎn)換管理、系統(tǒng)切換和月結(jié)差異分析等各個環(huán)節(jié)，如果不加強審批和測試等風(fēng)險管理，將給今后系統(tǒng)上線運行帶來很大的風(fēng)險。

5.系統(tǒng)運行中的風(fēng)險。ERP系統(tǒng)包括操作系統(tǒng)、數(shù)據(jù)庫、SAP軟件，還包括硬件如服務(wù)器、備份和存儲等設(shè)備。這些設(shè)備和軟件性能是否優(yōu)良，系統(tǒng)運行是否穩(wěn)定和可靠，直接影響ERP系統(tǒng)的安全，如數(shù)據(jù)備份是否有效關(guān)系到ERP系統(tǒng)發(fā)生災(zāi)難時是否可以及時得以恢復(fù)。

上述ERP系統(tǒng)管理風(fēng)險輕則會使業(yè)務(wù)操作受到影響，重則會導(dǎo)致系統(tǒng)死機或數(shù)據(jù)丟失，使得應(yīng)用業(yè)務(wù)流程中斷或無法正常運轉(zhuǎn)，給企業(yè)帶來難以預(yù)料的損失，應(yīng)引起各企業(yè)的高度重視。

ERP系統(tǒng)內(nèi)部控制風(fēng)險的防范

做好ERP系統(tǒng)內(nèi)部控制的風(fēng)險防范，主要應(yīng)從以下方面入手。

1.強化全員風(fēng)險意識。從管理者到ERP系統(tǒng)用戶，從上到下，都應(yīng)樹立防范風(fēng)險的意識。在ERP系統(tǒng)的權(quán)限管理、批導(dǎo)入管理或后臺作業(yè)、應(yīng)急預(yù)案管理等方面嚴(yán)格管理，往往會引起一些使用者的抱怨，如權(quán)限管理給業(yè)務(wù)操作人員帶來諸多不便，批導(dǎo)入作業(yè)申請發(fā)生頻繁的用戶往往會抱怨對批導(dǎo)入作業(yè)管理過于嚴(yán)格等，這些都會影響人們的風(fēng)險防范意識。加強對員工的風(fēng)險意識教育十分必要。

2.建立健全ERP系統(tǒng)安全運行制度。防范風(fēng)險應(yīng)從規(guī)章制度設(shè)計開始。建立健全ERP系統(tǒng)運行的規(guī)章制度對系統(tǒng)安全可靠運行非常關(guān)鍵。ERP系統(tǒng)管理中的四個方面程序和數(shù)據(jù)訪問、程序變更、程序開發(fā)和系統(tǒng)運行都需要有合理的流程和制度做支持。管理制度也應(yīng)該根據(jù)系統(tǒng)運行實際情況和內(nèi)控的要求及時調(diào)整。從近幾年ERP系統(tǒng)運行維護資料統(tǒng)計，最多的是用戶權(quán)限變更和系統(tǒng)變更，這兩個環(huán)節(jié)的管理最容易出問題。用戶權(quán)限管理方面應(yīng)著重抓用戶賬戶、權(quán)限變更的審核，權(quán)限的分配和變更，權(quán)限的安全檢查，崗位變動人員賬戶管理，閑置賬戶清理，權(quán)限較大賬戶的管理，數(shù)據(jù)庫賬戶管理等關(guān)鍵環(huán)節(jié)。系統(tǒng)變更的風(fēng)險防范需要關(guān)注系統(tǒng)變更審批、測試、文檔管理和人員培訓(xùn)等方面。

3.建立內(nèi)控管理體系。加強內(nèi)部控制管理體系和制度建設(shè)，定期組織相關(guān)人員對包括ERP系統(tǒng)內(nèi)控流程等IT內(nèi)控流程進行穿行測試，對查出的問題進行整改。強化審計管理。程序開發(fā)容易成為內(nèi)控管理的死角，應(yīng)加強程序開發(fā)方面的內(nèi)控管理。

4.建立有效的檢查督促和獎懲考核機制。企業(yè)在建立了自己的ERP系統(tǒng)管理組織機構(gòu)和健全了管理制度后，還應(yīng)該建立有效的獎懲激勵機制，否則，管理制度就不可能有效落實。