企業(yè)ERP系統(tǒng)業(yè)財(cái)一體化權(quán)限管理風(fēng)險(xiǎn)控制研究

李丹 萬馨陽(yáng) 曾駿 祁庶

摘 要：ERP系統(tǒng)是企業(yè)運(yùn)營(yíng)的核心管理系統(tǒng)，但是ERP系統(tǒng)中關(guān)鍵控制點(diǎn)存在諸多安全隱患，特別是權(quán)限配置內(nèi)控管理不健全，易造成敏感數(shù)據(jù)泄露的風(fēng)險(xiǎn)。本文對(duì)ERP業(yè)務(wù)財(cái)務(wù)一體化系統(tǒng)銷售、采購(gòu)、總賬權(quán)限管理內(nèi)控風(fēng)險(xiǎn)進(jìn)行分析，并利用功能級(jí)權(quán)限管理、數(shù)據(jù)級(jí)權(quán)限管理和金額級(jí)權(quán)限管理技術(shù)逐一提出風(fēng)險(xiǎn)應(yīng)對(duì)方案。

關(guān)鍵詞：ERP系統(tǒng);權(quán)限管理;風(fēng)險(xiǎn)分析;風(fēng)險(xiǎn)應(yīng)對(duì)

一、引言

目前企業(yè)ERP系統(tǒng)正進(jìn)入普及期，越來越多的企業(yè)ERP系統(tǒng)包含供應(yīng)鏈管理、財(cái)務(wù)會(huì)計(jì)、生產(chǎn)制造管理和人力資源管理，實(shí)現(xiàn)了業(yè)務(wù)財(cái)務(wù)一體化集成管理，大量的業(yè)務(wù)數(shù)據(jù)自動(dòng)生成財(cái)務(wù)數(shù)據(jù)。但是，企業(yè)ERP系統(tǒng)中用戶身份認(rèn)證及權(quán)限管理控制活動(dòng)設(shè)計(jì)不嚴(yán)謹(jǐn)，反舞弊機(jī)制不健全，均會(huì)導(dǎo)致安全問題的出現(xiàn)。因此，必須加強(qiáng)企業(yè)內(nèi)部控制職責(zé)分工和敏感字段等關(guān)鍵控制點(diǎn)權(quán)限設(shè)置管理，才能保障企業(yè)利益和機(jī)密數(shù)據(jù)安全、完整，更加有力地支持了企業(yè)核心業(yè)務(wù)的運(yùn)營(yíng)。

二、目前企業(yè)ERP系統(tǒng)權(quán)限管理風(fēng)險(xiǎn)控制存在的問題

企業(yè)ERP系統(tǒng)權(quán)限管理存在以下的主要問題：

1.銷售與收款環(huán)節(jié)權(quán)限管理風(fēng)險(xiǎn)分析

銷售與收款業(yè)務(wù)權(quán)限配置內(nèi)控風(fēng)險(xiǎn)包括：銷售員之間的惡性競(jìng)爭(zhēng)，導(dǎo)致企業(yè)客戶銷售價(jià)格等數(shù)據(jù)泄漏;客戶信用管理不到位，賬款回收不力等，可能導(dǎo)致銷售款項(xiàng)不能收回或遭到欺詐。

2.采購(gòu)與付款環(huán)節(jié)權(quán)限管理風(fēng)險(xiǎn)分析

采購(gòu)與付款業(yè)務(wù)權(quán)限配置內(nèi)控風(fēng)險(xiǎn)包括：采購(gòu)員跟供應(yīng)商勾結(jié)，泄露公司近期的采購(gòu)計(jì)劃、其他供應(yīng)商的價(jià)格等信息，使得企業(yè)喪失采購(gòu)的主動(dòng)權(quán);供應(yīng)商選擇不當(dāng)，授權(quán)審批不規(guī)范，可能導(dǎo)致采購(gòu)物資質(zhì)次價(jià)高，出現(xiàn)舞弊或遭受欺詐。

3.總賬環(huán)節(jié)權(quán)限管理風(fēng)險(xiǎn)分析

在ERP軟件中，銷售與采購(gòu)業(yè)務(wù)數(shù)據(jù)實(shí)時(shí)傳遞到財(cái)務(wù)模塊，自動(dòng)在總賬子系統(tǒng)中生成財(cái)務(wù)憑證。業(yè)務(wù)數(shù)據(jù)和財(cái)務(wù)數(shù)據(jù)集成后總賬環(huán)節(jié)權(quán)限控制內(nèi)控風(fēng)險(xiǎn)包括：在采購(gòu)與付款環(huán)節(jié)，存在現(xiàn)金支付舞弊風(fēng)險(xiǎn);在銷售與收款環(huán)節(jié)，存在不記或漏記實(shí)現(xiàn)地銷售收入，被員工轉(zhuǎn)移到賬外的風(fēng)險(xiǎn)。

三、ERP系統(tǒng)的權(quán)限管理風(fēng)險(xiǎn)控制的幾點(diǎn)建議

1.銷售環(huán)節(jié)權(quán)限管理風(fēng)險(xiǎn)控制

（1）功能級(jí)權(quán)限管理，明確銷售崗位職責(zé)和權(quán)限

銷售與應(yīng)收循環(huán)中，首先要明確銷售訂單、銷售發(fā)貨、收款、信用管理等環(huán)節(jié)的職責(zé)和審批權(quán)限，避免銷售過程存在舞弊行為。例如，在開票直接發(fā)貨的模式下，會(huì)計(jì)王志遠(yuǎn)開具銷售發(fā)票，要根據(jù)總經(jīng)理鄧國(guó)強(qiáng)審核后的，同時(shí)是銷售員鄭爽填制的銷售訂單;并且銷售發(fā)票一經(jīng)財(cái)務(wù)經(jīng)理張德根復(fù)核后，系統(tǒng)自動(dòng)生成發(fā)貨單和出庫(kù)單，庫(kù)管員張曉琪只能查詢、審核出庫(kù)單，不能修改，以上功能級(jí)權(quán)限設(shè)置能有效防止多開發(fā)票、多發(fā)貨、多出庫(kù)形成銷售員賬外庫(kù)存的風(fēng)險(xiǎn)。

（2）數(shù)據(jù)級(jí)權(quán)限管理，價(jià)格權(quán)限配置適當(dāng)

利用數(shù)據(jù)權(quán)限控制中記錄級(jí)設(shè)置，限制某用戶不能查看訂單的單價(jià)。具體操作如下：第一，總經(jīng)理鄧國(guó)強(qiáng)在數(shù)據(jù)權(quán)限控制設(shè)置中，勾選用戶和單據(jù)模板控制;第二，打開單據(jù)格式設(shè)計(jì)，在單據(jù)格式中新增加一個(gè)沒有金額的單據(jù)格式;第三，在數(shù)據(jù)權(quán)限控制中，記錄級(jí)選擇限制“用戶”，點(diǎn)擊授權(quán);第四，針對(duì)需要控制權(quán)限的這些用戶，設(shè)置只能查看自己的單據(jù)。

（3）金額級(jí)權(quán)限管理，信用審批權(quán)限控制

例如，利用金額級(jí)權(quán)限管理更能對(duì)客戶的信用進(jìn)行控制。第一，在ERP系統(tǒng)中分別為銷售專員、部門經(jīng)理、銷售總監(jiān)設(shè)置了以20萬元、50萬元、100萬元為界的警示觸發(fā)限額，并設(shè)置了以30天、90天、183天為界的賬齡警示期限。其中，200萬元以上的大額業(yè)務(wù)或183天以上較長(zhǎng)賬齡的高風(fēng)險(xiǎn)賬項(xiàng)歸集在銷售副總掌控中。第二，針對(duì)每位客戶信用狀況實(shí)時(shí)監(jiān)控，如在保存、審核銷售訂單時(shí)，若當(dāng)前客戶收賬款余額或期間超過了該客戶檔案中設(shè)定的信用額度或期限，系統(tǒng)會(huì)提示當(dāng)前客戶已超信用，并根據(jù)是否需要信用審批進(jìn)行控制。

2.采購(gòu)環(huán)節(jié)權(quán)限管理風(fēng)險(xiǎn)控制

（1）功能級(jí)權(quán)限管理，明確采購(gòu)崗位職責(zé)和權(quán)限

采購(gòu)與應(yīng)付循環(huán)中，首先要明確采購(gòu)請(qǐng)購(gòu)、采購(gòu)訂單、采購(gòu)到貨、采購(gòu)發(fā)票、付款、信用評(píng)估等環(huán)節(jié)的職責(zé)和審批權(quán)限，例如，采購(gòu)部門憑總經(jīng)理審批后的采購(gòu)請(qǐng)購(gòu)單進(jìn)行采購(gòu)，而采購(gòu)的材料必須經(jīng)過驗(yàn)收崗位驗(yàn)收合格后，才能辦理有關(guān)入庫(kù)手續(xù)。

（2）數(shù)據(jù)級(jí)權(quán)限管理，控制敏感字段查看權(quán)和修改權(quán)

例如，系統(tǒng)權(quán)限設(shè)定采購(gòu)員填制采購(gòu)單據(jù)時(shí)，只能參照采購(gòu)員管理權(quán)的供應(yīng)商;并且，采購(gòu)員不能查看到敏感字段如供應(yīng)商開戶銀行、采購(gòu)計(jì)劃、其他供應(yīng)商的價(jià)格等信息。例如，在賦給采購(gòu)員李美玉填制采購(gòu)訂單字段權(quán)限時(shí)，在字段權(quán)限管理中，取消供應(yīng)商開戶銀行等信息。

（3）金額級(jí)權(quán)限管理，審批權(quán)限劃分

對(duì)采購(gòu)職責(zé)不同職位操作員進(jìn)行金額級(jí)別控制，例如，設(shè)定采購(gòu)主管劉旭陽(yáng)只能審核100萬以下訂單;采購(gòu)部門經(jīng)理祁宇只能錄入審批金額在200萬以內(nèi)的訂單;超過需要采購(gòu)部總監(jiān)審批。

3.總賬權(quán)限管理風(fēng)險(xiǎn)控制

（1）功能級(jí)權(quán)限管理，明確總賬崗位職責(zé)和權(quán)限

ERP系統(tǒng)中所有業(yè)務(wù)數(shù)據(jù)最后都匯集到總賬子系統(tǒng)中，因此總賬模塊不相容業(yè)務(wù)分工更顯得重要。例如，采購(gòu)支付環(huán)節(jié)，會(huì)計(jì)王志遠(yuǎn)接到發(fā)票等原始憑證后，先由財(cái)務(wù)經(jīng)理張德根審批，再由會(huì)計(jì)人員編制付款憑證，之后，交給出納員王艷由其根據(jù)付款憑證列出的金額支付現(xiàn)金，并登記現(xiàn)金日記賬，然后將付款憑證退交會(huì)計(jì)王志遠(yuǎn)，以便登記總賬和明細(xì)賬。

（2）金額級(jí)權(quán)限管理，業(yè)務(wù)憑證限額處理

操作員進(jìn)行金額控制，就是對(duì)不同級(jí)別的人員進(jìn)行業(yè)務(wù)處理金額大小的控制。例如，一般會(huì)計(jì)只能錄入50萬的業(yè)務(wù)憑證，而財(cái)務(wù)主管可以錄入金額大于100萬的業(yè)務(wù)憑證。金額權(quán)限控制設(shè)置作用就是可以防止經(jīng)濟(jì)損失。

四、ERP系統(tǒng)權(quán)限配置典型事例

以用友ERP U8v10.1系統(tǒng)為例，數(shù)據(jù)級(jí)、金額級(jí)權(quán)限設(shè)置方法如下：

1.數(shù)據(jù)級(jí)權(quán)限管理使用說明

數(shù)據(jù)級(jí)權(quán)限管理，是針對(duì)業(yè)務(wù)對(duì)象進(jìn)行的控制，可以選擇對(duì)特定業(yè)務(wù)對(duì)象的某些項(xiàng)目和某些記錄進(jìn)行查詢和錄入的權(quán)限控制。例如，字段級(jí)權(quán)限設(shè)置案例：授權(quán)銷售員鄭爽僅有華北區(qū)權(quán)限，首先由賬套主管鄧國(guó)強(qiáng)身份登錄系統(tǒng)，選擇路徑：數(shù)據(jù)權(quán)限控制-記錄級(jí)-客戶檔案-數(shù)據(jù)權(quán)限分配，檔案分配：把明細(xì)檔案分為華北區(qū)和華南區(qū)，授權(quán)鄭爽華北區(qū)權(quán)限。實(shí)現(xiàn)銷售員鄭爽僅負(fù)責(zé)華北區(qū)相關(guān)業(yè)務(wù)、不能處理其他地區(qū)業(yè)務(wù)，而銷售業(yè)務(wù)主管祁庶則可處理全部業(yè)務(wù)。

2.金額級(jí)權(quán)限管理使用說明

金額級(jí)權(quán)限管理，限制操作員制單時(shí)可以使用的金額數(shù)量，以實(shí)現(xiàn)對(duì)用戶權(quán)限的精細(xì)劃分。例如，設(shè)置會(huì)計(jì)時(shí)穎只能填制銷售費(fèi)用科目金額在1萬元以下的憑證。在企業(yè)應(yīng)用平臺(tái)系統(tǒng)服務(wù)中，執(zhí)行“權(quán)限”/“金額權(quán)限分配”命令，打開“金額權(quán)限設(shè)置”對(duì)話框。單擊【級(jí)別】按鈕，打開“金額級(jí)別設(shè)置”對(duì)話框。設(shè)置銷售費(fèi)用科目金額級(jí)別，級(jí)別一：1萬;級(jí)別二：10萬。單擊【保存】按鈕退出。在金額權(quán)限設(shè)置界面，單擊【增加】按鈕，設(shè)置會(huì)計(jì)時(shí)穎對(duì)應(yīng)的金額級(jí)別為“級(jí)別一”，單擊【保存】按鈕。

參考文獻(xiàn)：

[1]李丹，曾慶峰.基于虛擬機(jī)快照技術(shù)構(gòu)建ISCA模型實(shí)踐教學(xué)設(shè)計(jì)[J].中國(guó)注冊(cè)會(huì)計(jì)師，2015，4：61-64.

[2]鄭述招.金蝶K3中用戶權(quán)限設(shè)置及其對(duì)業(yè)務(wù)的影響[J].財(cái)會(huì)月刊，2015，9：104-107.

[3]李丹，曾慶峰.基于虛擬機(jī)快照功能獲取ERP系統(tǒng)審計(jì)證據(jù)[J].財(cái)會(huì)月刊，2014，6：68-69.

[4]李丹，曾慶峰.ERP環(huán)境下內(nèi)部控制會(huì)計(jì)監(jiān)督實(shí)踐教學(xué)設(shè)計(jì)[J].財(cái)會(huì)月刊，2012.7：90-97.

[5]企業(yè)內(nèi)部控制編審委員會(huì)企業(yè)內(nèi)部控制基本規(guī)范及配套指引[M].立信會(huì)計(jì)出版社，北京，2016.4：453.

作者簡(jiǎn)介：李丹（1973.09- ），女，漢族，遼寧沈陽(yáng)人，副教授，碩士研究生，工作單位：北京服裝學(xué)院商學(xué)院會(huì)計(jì)教研室，主要研究方向：ERP、稅法、財(cái)務(wù)管理