□王曉東

ERP系統(tǒng)的應(yīng)用對(duì)提升企業(yè)管理水平、降低成本、提高效益成效明顯，同時(shí)也給企業(yè)內(nèi)控管理帶來(lái)了具有IT技術(shù)特點(diǎn)的風(fēng)險(xiǎn)。如何做好ERP環(huán)境下內(nèi)部控制風(fēng)險(xiǎn)的防范，是企業(yè)目前必須注意研究解決的問(wèn)題。

ERP環(huán)境下內(nèi)部控制面臨的風(fēng)險(xiǎn)

傳統(tǒng)的企業(yè)內(nèi)部控制只包括管理控制和會(huì)計(jì)控制，ERP系統(tǒng)的應(yīng)用使得內(nèi)部控制又增加了新的內(nèi)容——ERP系統(tǒng)的控制。ERP系統(tǒng)在幫助企業(yè)節(jié)省內(nèi)部控制的人力成本、提高內(nèi)部控制的效率方面發(fā)揮了積極的作用，但它也給企業(yè)內(nèi)控管理帶來(lái)了具有IT技術(shù)特點(diǎn)的新問(wèn)題。如何將企業(yè)內(nèi)部控制體系全面融入ERP系統(tǒng)開(kāi)發(fā)實(shí)施和應(yīng)用維護(hù)的全過(guò)程，將信息技術(shù)帶來(lái)的風(fēng)險(xiǎn)納入到內(nèi)部控制之中，是企業(yè)內(nèi)控管理必須解決的問(wèn)題。

在實(shí)施ERP之后，企業(yè)內(nèi)部控制主要面臨如下風(fēng)險(xiǎn)：

1.規(guī)章制度不健全導(dǎo)致的風(fēng)險(xiǎn)。ERP系統(tǒng)從程序開(kāi)發(fā)到運(yùn)行維護(hù)各個(gè)階段都需要建立健全規(guī)章制度，沒(méi)有嚴(yán)格的制度，會(huì)導(dǎo)致對(duì)系統(tǒng)管理的失控。建立了規(guī)章制度，也要定期審核制度是否能滿足現(xiàn)行系統(tǒng)和內(nèi)控的需要，否則，管理上就會(huì)出現(xiàn)漏洞。

2.程序和數(shù)據(jù)訪問(wèn)管理方面的風(fēng)險(xiǎn)。ERP系統(tǒng)權(quán)限和賬號(hào)的管理不到位是程序和數(shù)據(jù)訪問(wèn)方面的主要風(fēng)險(xiǎn)。在操作系統(tǒng)、應(yīng)用層面、數(shù)據(jù)庫(kù)層面都需要做好用戶權(quán)限及賬戶的管理。如果權(quán)限設(shè)計(jì)和設(shè)置不合理，導(dǎo)致權(quán)限過(guò)大或出現(xiàn)權(quán)限不相容等問(wèn)題，都會(huì)帶來(lái)風(fēng)險(xiǎn)。

3.程序變更風(fēng)險(xiǎn)。ERP系統(tǒng)變更包括配置、客戶化開(kāi)發(fā)、參數(shù)變更、補(bǔ)丁和升級(jí)等內(nèi)容，如果變更管理不規(guī)范，客戶化開(kāi)發(fā)、測(cè)試和傳輸管理不完善，將會(huì)導(dǎo)致系統(tǒng)故障或不能滿足業(yè)務(wù)需求，產(chǎn)生系統(tǒng)運(yùn)行風(fēng)險(xiǎn)和經(jīng)營(yíng)風(fēng)險(xiǎn)。

4.程序開(kāi)發(fā)過(guò)程的風(fēng)險(xiǎn)。在ERP程序開(kāi)發(fā)過(guò)程中，從可研報(bào)告、業(yè)務(wù)流程設(shè)計(jì)、客戶化開(kāi)發(fā)需求和測(cè)試、業(yè)務(wù)流程相關(guān)的配置測(cè)試和文檔支持、系統(tǒng)變更審批和測(cè)試、數(shù)據(jù)轉(zhuǎn)換管理、系統(tǒng)切換和月結(jié)差異分析等各個(gè)環(huán)節(jié)，如果不加強(qiáng)審批和測(cè)試等風(fēng)險(xiǎn)管理，將給今后系統(tǒng)上線運(yùn)行帶來(lái)很大的風(fēng)險(xiǎn)。

5.系統(tǒng)運(yùn)行中的風(fēng)險(xiǎn)。ERP系統(tǒng)包括操作系統(tǒng)、數(shù)據(jù)庫(kù)、SAP軟件，還包括硬件如服務(wù)器、備份和存儲(chǔ)等設(shè)備。這些設(shè)備和軟件性能是否優(yōu)良，系統(tǒng)運(yùn)行是否穩(wěn)定和可靠，直接影響ERP系統(tǒng)的安全，如數(shù)據(jù)備份是否有效關(guān)系到ERP系統(tǒng)發(fā)生災(zāi)難時(shí)是否可以及時(shí)得以恢復(fù)。

上述ERP系統(tǒng)管理風(fēng)險(xiǎn)輕則會(huì)使業(yè)務(wù)操作受到影響，重則會(huì)導(dǎo)致系統(tǒng)死機(jī)或數(shù)據(jù)丟失，使得應(yīng)用業(yè)務(wù)流程中斷或無(wú)法正常運(yùn)轉(zhuǎn)，給企業(yè)帶來(lái)難以預(yù)料的損失，應(yīng)引起各企業(yè)的高度重視。

ERP系統(tǒng)內(nèi)部控制風(fēng)險(xiǎn)的防范

做好ERP系統(tǒng)內(nèi)部控制的風(fēng)險(xiǎn)防范，主要應(yīng)從以下方面入手。

1.強(qiáng)化全員風(fēng)險(xiǎn)意識(shí)。從管理者到ERP系統(tǒng)用戶，從上到下，都應(yīng)樹(shù)立防范風(fēng)險(xiǎn)的意識(shí)。在ERP系統(tǒng)的權(quán)限管理、批導(dǎo)入管理或后臺(tái)作業(yè)、應(yīng)急預(yù)案管理等方面嚴(yán)格管理，往往會(huì)引起一些使用者的抱怨，如權(quán)限管理給業(yè)務(wù)操作人員帶來(lái)諸多不便，批導(dǎo)入作業(yè)申請(qǐng)發(fā)生頻繁的用戶往往會(huì)抱怨對(duì)批導(dǎo)入作業(yè)管理過(guò)于嚴(yán)格等，這些都會(huì)影響人們的風(fēng)險(xiǎn)防范意識(shí)。加強(qiáng)對(duì)員工的風(fēng)險(xiǎn)意識(shí)教育十分必要。

2.建立健全ERP系統(tǒng)安全運(yùn)行制度。防范風(fēng)險(xiǎn)應(yīng)從規(guī)章制度設(shè)計(jì)開(kāi)始。建立健全ERP系統(tǒng)運(yùn)行的規(guī)章制度對(duì)系統(tǒng)安全可靠運(yùn)行非常關(guān)鍵。ERP系統(tǒng)管理中的四個(gè)方面程序和數(shù)據(jù)訪問(wèn)、程序變更、程序開(kāi)發(fā)和系統(tǒng)運(yùn)行都需要有合理的流程和制度做支持。管理制度也應(yīng)該根據(jù)系統(tǒng)運(yùn)行實(shí)際情況和內(nèi)控的要求及時(shí)調(diào)整。從近幾年ERP系統(tǒng)運(yùn)行維護(hù)資料統(tǒng)計(jì)，最多的是用戶權(quán)限變更和系統(tǒng)變更，這兩個(gè)環(huán)節(jié)的管理最容易出問(wèn)題。用戶權(quán)限管理方面應(yīng)著重抓用戶賬戶、權(quán)限變更的審核，權(quán)限的分配和變更，權(quán)限的安全檢查，崗位變動(dòng)人員賬戶管理，閑置賬戶清理，權(quán)限較大賬戶的管理，數(shù)據(jù)庫(kù)賬戶管理等關(guān)鍵環(huán)節(jié)。系統(tǒng)變更的風(fēng)險(xiǎn)防范需要關(guān)注系統(tǒng)變更審批、測(cè)試、文檔管理和人員培訓(xùn)等方面。

3.建立內(nèi)控管理體系。加強(qiáng)內(nèi)部控制管理體系和制度建設(shè)，定期組織相關(guān)人員對(duì)包括ERP系統(tǒng)內(nèi)控流程等IT內(nèi)控流程進(jìn)行穿行測(cè)試，對(duì)查出的問(wèn)題進(jìn)行整改。強(qiáng)化審計(jì)管理。程序開(kāi)發(fā)容易成為內(nèi)控管理的死角，應(yīng)加強(qiáng)程序開(kāi)發(fā)方面的內(nèi)控管理。

4.建立有效的檢查督促和獎(jiǎng)懲考核機(jī)制。企業(yè)在建立了自己的ERP系統(tǒng)管理組織機(jī)構(gòu)和健全了管理制度后，還應(yīng)該建立有效的獎(jiǎng)懲激勵(lì)機(jī)制，否則，管理制度就不可能有效落實(shí)。