ERP系统权限管理与内部风险控制探讨
摘 要:目前,越来越多的企业通过实施ERP系统管理生产经营业务运作,因此给企业带来了新的业务控制风险。文章通过论述企业在ERP系统中如何通过合理有效的权限管理,加强企业内部风险控制、防范的相应措施。
关键词:ERP;ERP系统;权限;风险;IT;内部控制 中图分类号:F275 文献标识码:A 文章编号:1006-8937(2015)17-0140-02
1 ERP系统权限管理与内部控制概述 1.1 ERP权限管理概述
ERP是企业资源计划(Enterprise Resources Planning)的简称,主要宗旨是将企业的所有资源通过信息化系统进行科学合理的组织、管理和控制,以求收益、效果最佳化。ERP系统是以软件为载体,为企业采购、生产、库存、销售、财务等业务人员提供的一个统一经营管理工作平台。 企业要把ERP系统用好,必须依照企业内部各部门岗位职责的划分,在ERP系统通过合理的授权,才能在ERP系统完成各部门的业务操作。对每个岗位业务操作的合理、有效授权,即权限管理。 1.2 内部控制概述
内部控制是企业防控内部运营和操作风险的程序、制度、措施和方法的总称,是对企业内部职能部门和业务单位实施管理和控制的系统方法。IT一般性控制就是对所有利用计算机和通信技术进行企业业务集成、转化和提升的信息化管理平台进行风险控制。
一般基于企业业务层面的内部控制是把企业的关键业务按归口管理要求,划分成流程,通过流程内风险控制点的形式加以管控。比如内控货币资金管理、固定资产管理、一般采购管理等流程中,都会考虑IT应用控制的要求。 2 通过ERP系统权限管理实现IT内部控制措施和 手段分析
随着ERP系统被越来越多的企业所认同,企业业务运作更加依赖于ERP系统,导致企业出现了新的业务风险。如何对这些风险进行有效防范,需要在ERP系统授权配置管理上深度融合企业内部风险控制的要求,既要有识别风险的意识,又要有防范风险的措施和手段加以保障。 2.1 配置控制
配置控制指对系统功能启用的控制,主要有两层含义:①保证启用系统自动控制功能,自动实现对业务风险及操作规范性的控制;②按照标准模版要求,统一配置系统。例如:对于物资采购流程,在ERP系统中创建采购申请的权限由物资部门计划人员拥有;根据采购审批制度,在ERP系统中合
理配置采购申请的审批流程,要求在系统中至少进行一级审批。
2.2 业务操作控制
业务操作控制是指为了保证用户在系统中能够按照规范的业务流程进行系统操作而设置的相关控制。业务操作控制包含业务流程控制、数据输入控制、数据质量控制等。该环节要防范未经授权非法处理业务、系统处理不正确导致业务无法正常运行风险。例如:销售模块客户主数据维护流程,客户主数据的维护必须经过审批。 2.3 权限控制
权限控制是指为了保证用户职责的有效履行,对其在系统进行操作或数据访问的控制。权限控制包括角色分配管理、关键系统操作授权管理、ERP组织级别管理等。例如:应收帐款管理、信用管理流程,权限控制要求客户信用主数据的维护必须经过审批;在ERP系统中维护客户信用主数据的权限由经授权的财务部门信用主数据维护管理员拥有;基于不相容原则,该人员不能同时负责销售订单创建/维护。 2.4 不相容岗位分离控制
不相容岗位分离控制特指通过系统操作权限分配中的不相容权限控制达到不相容岗位分离的作用。不相容岗位分离是指那些由一个人担任,既可能发生错误和舞弊行为,又可能掩盖其错误和弊端行为的职务、岗位或系统操作权限,
ERP系统权限管理与内部风险控制探讨
