ERP系統(tǒng)權(quán)限管理與內(nèi)部風(fēng)險(xiǎn)控制探討

詹云

摘 要：目前，越來(lái)越多的企業(yè)通過(guò)實(shí)施ERP系統(tǒng)管理生產(chǎn)經(jīng)營(yíng)業(yè)務(wù)運(yùn)作，因此給企業(yè)帶來(lái)了新的業(yè)務(wù)控制風(fēng)險(xiǎn)。文章通過(guò)論述企業(yè)在ERP系統(tǒng)中如何通過(guò)合理有效的權(quán)限管理，加強(qiáng)企業(yè)內(nèi)部風(fēng)險(xiǎn)控制、防范的相應(yīng)措施。

關(guān)鍵詞：ERP；ERP系統(tǒng)；權(quán)限；風(fēng)險(xiǎn)；IT；內(nèi)部控制

中圖分類號(hào)：F275 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1006-8937（2015）17-0140-02

1 ERP系統(tǒng)權(quán)限管理與內(nèi)部控制概述

1.1 ERP權(quán)限管理概述

ERP是企業(yè)資源計(jì)劃（Enterprise Resources Planning）的簡(jiǎn)稱，主要宗旨是將企業(yè)的所有資源通過(guò)信息化系統(tǒng)進(jìn)行科學(xué)合理的組織、管理和控制，以求收益、效果最佳化。ERP系統(tǒng)是以軟件為載體，為企業(yè)采購(gòu)、生產(chǎn)、庫(kù)存、銷售、財(cái)務(wù)等業(yè)務(wù)人員提供的一個(gè)統(tǒng)一經(jīng)營(yíng)管理工作平臺(tái)。

企業(yè)要把ERP系統(tǒng)用好，必須依照企業(yè)內(nèi)部各部門崗位職責(zé)的劃分，在ERP系統(tǒng)通過(guò)合理的授權(quán)，才能在ERP系統(tǒng)完成各部門的業(yè)務(wù)操作。對(duì)每個(gè)崗位業(yè)務(wù)操作的合理、有效授權(quán)，即權(quán)限管理。

1.2 內(nèi)部控制概述

內(nèi)部控制是企業(yè)防控內(nèi)部運(yùn)營(yíng)和操作風(fēng)險(xiǎn)的程序、制度、措施和方法的總稱，是對(duì)企業(yè)內(nèi)部職能部門和業(yè)務(wù)單位實(shí)施管理和控制的系統(tǒng)方法。IT一般性控制就是對(duì)所有利用計(jì)算機(jī)和通信技術(shù)進(jìn)行企業(yè)業(yè)務(wù)集成、轉(zhuǎn)化和提升的信息化管理平臺(tái)進(jìn)行風(fēng)險(xiǎn)控制。

一般基于企業(yè)業(yè)務(wù)層面的內(nèi)部控制是把企業(yè)的關(guān)鍵業(yè)務(wù)按歸口管理要求，劃分成流程，通過(guò)流程內(nèi)風(fēng)險(xiǎn)控制點(diǎn)的形式加以管控。比如內(nèi)控貨幣資金管理、固定資產(chǎn)管理、一般采購(gòu)管理等流程中，都會(huì)考慮IT應(yīng)用控制的要求。

2 通過(guò)ERP系統(tǒng)權(quán)限管理實(shí)現(xiàn)IT內(nèi)部控制措施和

手段分析

隨著ERP系統(tǒng)被越來(lái)越多的企業(yè)所認(rèn)同，企業(yè)業(yè)務(wù)運(yùn)作更加依賴于ERP系統(tǒng)，導(dǎo)致企業(yè)出現(xiàn)了新的業(yè)務(wù)風(fēng)險(xiǎn)。如何對(duì)這些風(fēng)險(xiǎn)進(jìn)行有效防范，需要在ERP系統(tǒng)授權(quán)配置管理上深度融合企業(yè)內(nèi)部風(fēng)險(xiǎn)控制的要求，既要有識(shí)別風(fēng)險(xiǎn)的意識(shí)，又要有防范風(fēng)險(xiǎn)的措施和手段加以保障。

2.1 配置控制

配置控制指對(duì)系統(tǒng)功能啟用的控制，主要有兩層含義：①保證啟用系統(tǒng)自動(dòng)控制功能，自動(dòng)實(shí)現(xiàn)對(duì)業(yè)務(wù)風(fēng)險(xiǎn)及操作規(guī)范性的控制；②按照標(biāo)準(zhǔn)模版要求，統(tǒng)一配置系統(tǒng)。例如：對(duì)于物資采購(gòu)流程，在ERP系統(tǒng)中創(chuàng)建采購(gòu)申請(qǐng)的權(quán)限由物資部門計(jì)劃人員擁有；根據(jù)采購(gòu)審批制度，在ERP系統(tǒng)中合理配置采購(gòu)申請(qǐng)的審批流程，要求在系統(tǒng)中至少進(jìn)行一級(jí)審批。

2.2 業(yè)務(wù)操作控制

業(yè)務(wù)操作控制是指為了保證用戶在系統(tǒng)中能夠按照規(guī)范的業(yè)務(wù)流程進(jìn)行系統(tǒng)操作而設(shè)置的相關(guān)控制。業(yè)務(wù)操作控制包含業(yè)務(wù)流程控制、數(shù)據(jù)輸入控制、數(shù)據(jù)質(zhì)量控制等。該環(huán)節(jié)要防范未經(jīng)授權(quán)非法處理業(yè)務(wù)、系統(tǒng)處理不正確導(dǎo)致業(yè)務(wù)無(wú)法正常運(yùn)行風(fēng)險(xiǎn)。例如：銷售模塊客戶主數(shù)據(jù)維護(hù)流程，客戶主數(shù)據(jù)的維護(hù)必須經(jīng)過(guò)審批。

2.3 權(quán)限控制

權(quán)限控制是指為了保證用戶職責(zé)的有效履行，對(duì)其在系統(tǒng)進(jìn)行操作或數(shù)據(jù)訪問(wèn)的控制。權(quán)限控制包括角色分配管理、關(guān)鍵系統(tǒng)操作授權(quán)管理、ERP組織級(jí)別管理等。例如：應(yīng)收帳款管理、信用管理流程，權(quán)限控制要求客戶信用主數(shù)據(jù)的維護(hù)必須經(jīng)過(guò)審批；在ERP系統(tǒng)中維護(hù)客戶信用主數(shù)據(jù)的權(quán)限由經(jīng)授權(quán)的財(cái)務(wù)部門信用主數(shù)據(jù)維護(hù)管理員擁有；基于不相容原則，該人員不能同時(shí)負(fù)責(zé)銷售訂單創(chuàng)建/維護(hù)。

2.4 不相容崗位分離控制

不相容崗位分離控制特指通過(guò)系統(tǒng)操作權(quán)限分配中的不相容權(quán)限控制達(dá)到不相容崗位分離的作用。不相容崗位分離是指那些由一個(gè)人擔(dān)任，既可能發(fā)生錯(cuò)誤和舞弊行為，又可能掩蓋其錯(cuò)誤和弊端行為的職務(wù)、崗位或系統(tǒng)操作權(quán)限，不相容崗位分離即對(duì)這類行為予以控制。例如：對(duì)于物資采購(gòu)流程，在ERP系統(tǒng)中進(jìn)行發(fā)票校驗(yàn)的權(quán)限由財(cái)務(wù)部門發(fā)票校驗(yàn)人員擁有，基于不相容原則，該人員不能同時(shí)負(fù)責(zé)操作收貨過(guò)賬；進(jìn)行付款的賬務(wù)處理的權(quán)限由財(cái)務(wù)部門付款賬務(wù)處理人員擁有，基于不相容原則，該人員不能同時(shí)負(fù)責(zé)付款申請(qǐng)。

3 ERP系統(tǒng)的權(quán)限風(fēng)險(xiǎn)分析

3.1 來(lái)自系統(tǒng)層面的風(fēng)險(xiǎn)

由于系統(tǒng)管理員、應(yīng)用管理員等系統(tǒng)維護(hù)人員能直接接觸數(shù)據(jù)庫(kù)軟件、熟悉信息系統(tǒng)技術(shù)，他們的有意作案或無(wú)意的誤操作所造成的影響很難估量，所以這些關(guān)鍵技術(shù)人員需持證上崗，簽訂保密協(xié)議和授權(quán)書，同時(shí)必須有嚴(yán)格的管理制度，嚴(yán)格約束。

此外，為防止非法用戶和黑客侵入信息系統(tǒng)，可通過(guò)設(shè)置防火墻、采用身份識(shí)別系統(tǒng)等技術(shù)防護(hù)措施。

3.2 ERP權(quán)限設(shè)計(jì)缺陷帶來(lái)的風(fēng)險(xiǎn)

主要表現(xiàn)在權(quán)限設(shè)計(jì)不當(dāng)，存在與用戶工作崗位不相稱的系統(tǒng)權(quán)限，有違背不相容崗位原則的系統(tǒng)用戶和角色。這樣在出現(xiàn)誤操作時(shí)，給系統(tǒng)帶來(lái)的危害是很大的。

3.3 授權(quán)不當(dāng)帶來(lái)的風(fēng)險(xiǎn)

①超職責(zé)范圍的授權(quán)導(dǎo)致用戶權(quán)限過(guò)大。這種情況一般存在于崗位變遷，權(quán)限只增不減，不再負(fù)責(zé)的業(yè)務(wù)權(quán)限未刪除；②人員離職，用戶、密碼未及時(shí)變更；③擅自把用戶給非崗位人員使用。

這些權(quán)限的不當(dāng)使用，都會(huì)給ERP帶來(lái)信息泄露，違規(guī)操作等業(yè)務(wù)風(fēng)險(xiǎn)。

3.4 不相容崗位職責(zé)不分帶來(lái)的風(fēng)險(xiǎn)

一個(gè)員工擁有多個(gè)系統(tǒng)帳號(hào)、一人擁有跨模塊流程的權(quán)限、一人操作多崗位業(yè)務(wù)，這些都可以造成不相容崗位權(quán)限交叉、信息泄密等風(fēng)險(xiǎn)。

4 利用IT內(nèi)部控制管理規(guī)避ERP權(quán)限風(fēng)險(xiǎn)的措施

和方法

企業(yè)信息化帶來(lái)的IT風(fēng)險(xiǎn)已經(jīng)成為企業(yè)風(fēng)險(xiǎn)管理的主要方面。在此結(jié)合內(nèi)部控制管理要求，總結(jié)規(guī)避ERP權(quán)限風(fēng)險(xiǎn)的措施和方法。

4.1 實(shí)施IT風(fēng)險(xiǎn)評(píng)估

企業(yè)信息化建設(shè)初期，常常會(huì)忽視風(fēng)險(xiǎn)評(píng)估，隨著企業(yè)在IT內(nèi)部控制要求日趨明確化，IT風(fēng)險(xiǎn)評(píng)估也就毫無(wú)爭(zhēng)議的成為企業(yè)防范IT風(fēng)險(xiǎn)的必要措施。IT風(fēng)險(xiǎn)評(píng)估主要包括IT目標(biāo)設(shè)定、風(fēng)險(xiǎn)識(shí)別、風(fēng)險(xiǎn)分析和風(fēng)險(xiǎn)應(yīng)對(duì)。IT目標(biāo)設(shè)定可以理解為IT戰(zhàn)略與IT規(guī)劃，IT風(fēng)險(xiǎn)識(shí)別與分析應(yīng)對(duì)包括對(duì)信息資產(chǎn)的風(fēng)險(xiǎn)、IT流程的風(fēng)險(xiǎn)以及應(yīng)用系統(tǒng)的風(fēng)險(xiǎn)識(shí)別分析與應(yīng)對(duì)。企業(yè)在具體實(shí)施方法上可以選擇業(yè)界口碑好，具有相應(yīng)資質(zhì)的第三方公司幫助進(jìn)行風(fēng)險(xiǎn)評(píng)估。經(jīng)過(guò)IT風(fēng)險(xiǎn)評(píng)估，信息系統(tǒng)安全問(wèn)題風(fēng)險(xiǎn)分析和評(píng)價(jià)、系統(tǒng)安全建設(shè)整改建議就一目了然，做到心中有數(shù)。

4.2 做好IT控制措施與監(jiān)督檢查

IT控制措施包括IT技術(shù)類控制措施和IT管理類控制措施。

①IT技術(shù)控制措施主要是對(duì)防火墻、防病毒、入侵檢測(cè)、身份管理等安全設(shè)施、軟件定期更新，做好安全防護(hù)策略；權(quán)限管理方面，ERP系統(tǒng)相對(duì)于其它的應(yīng)用系統(tǒng)，其集成性的顯著特點(diǎn)，使得ERP系統(tǒng)的權(quán)限管理更具代表性。具體規(guī)避ERP權(quán)限風(fēng)險(xiǎn)的方法建議定期梳理風(fēng)險(xiǎn)權(quán)限、不相容權(quán)限、敏感權(quán)限等，通過(guò)定期專項(xiàng)檢查、內(nèi)控審計(jì)等方法規(guī)避權(quán)限風(fēng)險(xiǎn)；目前有的企業(yè)通過(guò)開發(fā)權(quán)限風(fēng)險(xiǎn)分析工具輔助人工檢查，也一個(gè)不錯(cuò)的參考方法。

②IT管理類控制措施，主要是制定相應(yīng)的管控制度與規(guī)定，如開發(fā)管理、項(xiàng)目管理、變更管理、安全管理、運(yùn)營(yíng)管理、授權(quán)審批等；制定規(guī)范業(yè)務(wù)流程，明確崗位職責(zé)的相關(guān)文件。通過(guò)管理制度的落地執(zhí)行，有效控制風(fēng)險(xiǎn)。

③聘請(qǐng)業(yè)界有資質(zhì)的專業(yè)審計(jì)公司做IT風(fēng)險(xiǎn)控制檢查。

5 結(jié) 語(yǔ)

總之，IT一般控制流程是企業(yè)內(nèi)部控制體系不可或缺的內(nèi)容，ERP系統(tǒng)應(yīng)用到企業(yè)內(nèi)部控制中，特別是ERP權(quán)限管理貫穿于內(nèi)部控制的所有流程，是企業(yè)內(nèi)部控制日益完善的標(biāo)志。企業(yè)在應(yīng)用ERP系統(tǒng)的過(guò)程中，應(yīng)該注意防范以上文中分析的各種風(fēng)險(xiǎn)。

參考文獻(xiàn)：

[1] 財(cái)政部會(huì)計(jì)司.企業(yè)內(nèi)部控制講解[M].北京：經(jīng)濟(jì)科學(xué)出版社，2010.

[2] 胡為民.內(nèi)部控制與企業(yè)風(fēng)險(xiǎn)管理[M].北京：電子工業(yè)出版社，2013.