ERP系统权限管理与内部风险控制探讨

詹云

摘 要：目前，越来越多的企业通过实施ERP系统管理生产经营业务运作，因此给企业带来了新的业务控制风险。文章通过论述企业在ERP系统中如何通过合理有效的权限管理，加强企业内部风险控制、防范的相应措施。

关键词：ERP；ERP系统；权限；风险；IT；内部控制

中图分类号：F275 文献标识码：A 文章编号：1006-8937（2015）17-0140-02

1 ERP系统权限管理与内部控制概述

1.1 ERP权限管理概述

ERP是企业资源计划（Enterprise Resources Planning）的简称，主要宗旨是将企业的所有资源通过信息化系统进行科学合理的组织、管理和控制，以求收益、效果最佳化。ERP系统是以软件为载体，为企业采购、生产、库存、销售、财务等业务人员提供的一个统一经营管理工作平台。

企业要把ERP系统用好，必须依照企业内部各部门岗位职责的划分，在ERP系统通过合理的授权，才能在ERP系统完成各部门的业务操作。对每个岗位业务操作的合理、有效授权，即权限管理。

1.2 内部控制概述

内部控制是企业防控内部运营和操作风险的程序、制度、措施和方法的总称，是对企业内部职能部门和业务单位实施管理和控制的系统方法。IT一般性控制就是对所有利用计算机和通信技术进行企业业务集成、转化和提升的信息化管理平台进行风险控制。

一般基于企业业务层面的内部控制是把企业的关键业务按归口管理要求，划分成流程，通过流程内风险控制点的形式加以管控。比如内控货币资金管理、固定资产管理、一般采购管理等流程中，都会考虑IT应用控制的要求。

2 通过ERP系统权限管理实现IT内部控制措施和

手段分析

随着ERP系统被越来越多的企业所认同，企业业务运作更加依赖于ERP系统，导致企业出现了新的业务风险。如何对这些风险进行有效防范，需要在ERP系统授权配置管理上深度融合企业内部风险控制的要求，既要有识别风险的意识，又要有防范风险的措施和手段加以保障。

2.1 配置控制

配置控制指对系统功能启用的控制，主要有两层含义：①保证启用系统自动控制功能，自动实现对业务风险及操作规范性的控制；②按照标准模版要求，统一配置系统。例如：对于物资采购流程，在ERP系统中创建采购申请的权限由物资部门计划人员拥有；根据采购审批制度，在ERP系统中合理配置采购申请的审批流程，要求在系统中至少进行一级审批。

2.2 业务操作控制

业务操作控制是指为了保证用户在系统中能够按照规范的业务流程进行系统操作而设置的相关控制。业务操作控制包含业务流程控制、数据输入控制、数据质量控制等。该环节要防范未经授权非法处理业务、系统处理不正确导致业务无法正常运行风险。例如：销售模块客户主数据维护流程，客户主数据的维护必须经过审批。

2.3 权限控制

权限控制是指为了保证用户职责的有效履行，对其在系统进行操作或数据访问的控制。权限控制包括角色分配管理、关键系统操作授权管理、ERP组织级别管理等。例如：应收帐款管理、信用管理流程，权限控制要求客户信用主数据的维护必须经过审批；在ERP系统中维护客户信用主数据的权限由经授权的财务部门信用主数据维护管理员拥有；基于不相容原则，该人员不能同时负责销售订单创建/维护。

2.4 不相容岗位分离控制

不相容岗位分离控制特指通过系统操作权限分配中的不相容权限控制达到不相容岗位分离的作用。不相容岗位分离是指那些由一个人担任，既可能发生错误和舞弊行为，又可能掩盖其错误和弊端行为的职务、岗位或系统操作权限，不相容岗位分离即对这类行为予以控制。例如：对于物资采购流程，在ERP系统中进行发票校验的权限由财务部门发票校验人员拥有，基于不相容原则，该人员不能同时负责操作收货过账；进行付款的账务处理的权限由财务部门付款账务处理人员拥有，基于不相容原则，该人员不能同时负责付款申请。

3 ERP系统的权限风险分析

3.1 来自系统层面的风险

由于系统管理员、应用管理员等系统维护人员能直接接触数据库软件、熟悉信息系统技术，他们的有意作案或无意的误操作所造成的影响很难估量，所以这些关键技术人员需持证上岗，签订保密协议和授权书，同时必须有严格的管理制度，严格约束。

此外，为防止非法用户和黑客侵入信息系统，可通过设置防火墙、采用身份识别系统等技术防护措施。

3.2 ERP权限设计缺陷带来的风险

主要表现在权限设计不当，存在与用户工作岗位不相称的系统权限，有违背不相容岗位原则的系统用户和角色。这样在出现误操作时，给系统带来的危害是很大的。

3.3 授权不当带来的风险

①超职责范围的授权导致用户权限过大。这种情况一般存在于岗位变迁，权限只增不减，不再负责的业务权限未删除；②人员离职，用户、密码未及时变更；③擅自把用户给非岗位人员使用。

这些权限的不当使用，都会给ERP带来信息泄露，违规操作等业务风险。

3.4 不相容岗位职责不分带来的风险

一个员工拥有多个系统帐号、一人拥有跨模块流程的权限、一人操作多岗位业务，这些都可以造成不相容岗位权限交叉、信息泄密等风险。

4 利用IT内部控制管理规避ERP权限风险的措施

和方法

企业信息化带来的IT风险已经成为企业风险管理的主要方面。在此结合内部控制管理要求，总结规避ERP权限风险的措施和方法。

4.1 实施IT风险评估

企业信息化建设初期，常常会忽视风险评估，随着企业在IT内部控制要求日趋明确化，IT风险评估也就毫无争议的成为企业防范IT风险的必要措施。IT风险评估主要包括IT目标设定、风险识别、风险分析和风险应对。IT目标设定可以理解为IT战略与IT规划，IT风险识别与分析应对包括对信息资产的风险、IT流程的风险以及应用系统的风险识别分析与应对。企业在具体实施方法上可以选择业界口碑好，具有相应资质的第三方公司帮助进行风险评估。经过IT风险评估，信息系统安全问题风险分析和评价、系统安全建设整改建议就一目了然，做到心中有数。

4.2 做好IT控制措施与监督检查

IT控制措施包括IT技术类控制措施和IT管理类控制措施。

①IT技术控制措施主要是对防火墙、防病毒、入侵检测、身份管理等安全设施、软件定期更新，做好安全防护策略；权限管理方面，ERP系统相对于其它的应用系统，其集成性的显著特点，使得ERP系统的权限管理更具代表性。具体规避ERP权限风险的方法建议定期梳理风险权限、不相容权限、敏感权限等，通过定期专项检查、内控审计等方法规避权限风险；目前有的企业通过开发权限风险分析工具辅助人工检查，也一个不错的参考方法。

②IT管理类控制措施，主要是制定相应的管控制度与规定，如开发管理、项目管理、变更管理、安全管理、运营管理、授权审批等；制定规范业务流程，明确岗位职责的相关文件。通过管理制度的落地执行，有效控制风险。

③聘请业界有资质的专业审计公司做IT风险控制检查。

5 结 语

总之，IT一般控制流程是企业内部控制体系不可或缺的内容，ERP系统应用到企业内部控制中，特别是ERP权限管理贯穿于内部控制的所有流程，是企业内部控制日益完善的标志。企业在应用ERP系统的过程中，应该注意防范以上文中分析的各种风险。

参考文献：

[1] 财政部会计司.企业内部控制讲解[M].北京：经济科学出版社，2010.

[2] 胡为民.内部控制与企业风险管理[M].北京：电子工业出版社，2013.