ERP系统的内部风险控制

□王晓东

ERP系统的应用对提升企业管理水平、降低成本、提高效益成效明显，同时也给企业内控管理带来了具有IT技术特点的风险。如何做好ERP环境下内部控制风险的防范，是企业目前必须注意研究解决的问题。

ERP环境下内部控制面临的风险

传统的企业内部控制只包括管理控制和会计控制，ERP系统的应用使得内部控制又增加了新的内容——ERP系统的控制。ERP系统在帮助企业节省內部控制的人力成本、提高內部控制的效率方面发挥了积极的作用，但它也给企业内控管理带来了具有IT技术特点的新问题。如何将企业内部控制体系全面融入ERP系统开发实施和应用维护的全过程，将信息技术带来的风险纳入到内部控制之中，是企业内控管理必须解决的问题。

在实施ERP之后，企业内部控制主要面临如下风险：

1.规章制度不健全导致的风险。ERP系统从程序开发到运行维护各个阶段都需要建立健全规章制度，没有严格的制度，会导致对系统管理的失控。建立了规章制度，也要定期审核制度是否能满足现行系统和内控的需要，否则，管理上就会出现漏洞。

2.程序和数据访问管理方面的风险。ERP系统权限和账号的管理不到位是程序和数据访问方面的主要风险。在操作系统、应用层面、数据库层面都需要做好用户权限及账户的管理。如果权限设计和设置不合理，导致权限过大或出现权限不相容等问题，都会带来风险。

3.程序变更风险。ERP系统变更包括配置、客户化开发、参数变更、补丁和升级等内容，如果变更管理不规范，客户化开发、测试和传输管理不完善，将会导致系统故障或不能满足业务需求，产生系统运行风险和经营风险。

4.程序开发过程的风险。在ERP程序开发过程中，从可研报告、业务流程设计、客户化开发需求和测试、业务流程相关的配置测试和文档支持、系统变更审批和测试、数据转换管理、系统切换和月结差异分析等各个环节，如果不加强审批和测试等风险管理，将给今后系统上线运行带来很大的风险。

5.系统运行中的风险。ERP系统包括操作系统、数据库、SAP软件，还包括硬件如服务器、备份和存储等设备。这些设备和软件性能是否优良，系统运行是否稳定和可靠，直接影响ERP系统的安全，如数据备份是否有效关系到ERP系统发生灾难时是否可以及时得以恢复。

上述ERP系统管理风险轻则会使业务操作受到影响，重则会导致系统死机或数据丢失，使得应用业务流程中断或无法正常运转，给企业带来难以预料的损失，应引起各企业的高度重视。

ERP系统内部控制风险的防范

做好ERP系统内部控制的风险防范，主要应从以下方面入手。

1.强化全员风险意识。从管理者到ERP系统用户，从上到下，都应树立防范风险的意识。在ERP系统的权限管理、批导入管理或后台作业、应急预案管理等方面严格管理，往往会引起一些使用者的抱怨，如权限管理给业务操作人员带来诸多不便，批导入作业申请发生频繁的用户往往会抱怨对批导入作业管理过于严格等，这些都会影响人们的风险防范意识。加强对员工的风险意识教育十分必要。

2.建立健全ERP系统安全运行制度。防范风险应从规章制度设计开始。建立健全ERP系统运行的规章制度对系统安全可靠运行非常关键。ERP系统管理中的四个方面程序和数据访问、程序变更、程序开发和系统运行都需要有合理的流程和制度做支持。管理制度也应该根据系统运行实际情况和内控的要求及时调整。从近几年ERP系统运行维护资料统计，最多的是用户权限变更和系统变更，这两个环节的管理最容易出问题。用户权限管理方面应着重抓用户账户、权限变更的审核，权限的分配和变更，权限的安全检查，岗位变动人员账户管理，闲置账户清理，权限较大账户的管理，数据库账户管理等关键环节。系统变更的风险防范需要关注系统变更审批、测试、文档管理和人员培训等方面。

3.建立内控管理体系。加强内部控制管理体系和制度建设，定期组织相关人员对包括ERP系统内控流程等IT内控流程进行穿行测试，对查出的问题进行整改。强化审计管理。程序开发容易成为内控管理的死角，应加强程序开发方面的内控管理。

4.建立有效的检查督促和奖惩考核机制。企业在建立了自己的ERP系统管理组织机构和健全了管理制度后，还应该建立有效的奖惩激励机制，否则，管理制度就不可能有效落实。