企业ERP系统内控管理
2014-04-29 11:34马英会张兴史诗
中国管理信息化 2014年14期
马英会 张兴 史诗
[摘要] 本文首先说明实施ERP内控管理的重要性,继而讲述了ERP蓝图设计中风险控制以及ERP信息系统总体控制,并阐述了ERP权限控制以及权限测试,以及要持续深化ERP内控管理。
[关键词] ERP;SLM;GCC
doi : 10 . 3969 / j . issn . 1673 - 0194 . 2014 . 14. 023
[中图分类号]F232[文献标识码]A[文章编号]1673 - 0194(2014)14- 0035- 020引言
公司建成了集生产计划(PP)、设备(PM)、项目(PS)、采购(MM)、销售(SD)、总账(FI)、成本(CO)、人力资源(HR)为一体的ERP工作平台,ERP以财务管理为核心,与金税系统、销售系统、网上报销、AMINS等系统有接口。业务部门把原始数据录入ERP后,由财务人员输入对应事物码,系统自动运行相关程序,具有高度的自动化,每一笔基础业务发生的同时,都产生对应的ERP-FI凭证,并同步传输到FMIS财务管理系统,业务处理更多的依赖系统操作,主要业务之间的关联程度很高,大量的业务活动通过集成凭证直接反映到财务数据,财务人员可随时进入ERP系统查看各项费用发生情况,提高了成本管理质量,提升了财务管理水平。
内部控制是企业管理的重要内容,内控管理保障财务报告的可靠性,堵塞内部管理漏洞,确保生产、业务数据真实,防止舞弊。ERP系统实施后,有些业务流程发生改变,对于业务的管理更加细化,用自动控制替代人工控制,在提升财务管理水平时,也带来了一定的风险,严格防范系统风险,加强内控管理,提升风险控制的有效性变得尤为重要。
1 ERP系统蓝图设计
按照公司业务流程架构管理的要求,对本单位原业务流程目录进行修订,使其涵盖ERP系统蓝图的全部内容,基于Solution Manager 完成ERP系统配置,保证ERP蓝图与系统配置及企业实际流程保持一致。
编制ERP蓝图时,要完成ERP蓝图差异分析,根据企业业务流程与ERP蓝图对照,依据ERP板块蓝图模板目录,标明蓝图各环节对应的主要风险和关键控制等内容,完成ERP系统相关风险与控制文档,确认ERP系统控制矩阵,并依据系统控制矩阵修改蓝图,完善蓝图信息、业务流程,进行蓝图建模质量检查,落实系统关键控制,防范系统风险。
2GCC控制
ERP系统GCC即总体层面控制,由于ERP系统高集成性、系统庞大而复杂,为了更好地保证ERP系统管理和维护,以及内部控制管理和信息化建设需要,实施ERP系统GCC控制。
防止信息资产在未经授权的情况下被使用、披露、修改、损坏或丢失,系统用户必须经过有效的审批才能拥有系统账户,对ERP的业务用户仅分配会话类型(A-Dialog)账号,系统所有用户都应拥有个人专用的唯一账号,以便操作能够追溯到具体责任人,个人不得外泄用户名和密码,不得转借他人使用,不应在应用系统中设立无人使用的账号,所有用户都应归属于一个用户组,以便有效地进行用户管理。
3系统权限控制
由于ERP系统用户数据、业务数据、财务数据的集中存放,为了避免对业务、财务数据相关的信息进行不适当的非授权修改,用户权限需符合股份公司下发的职责分离矩阵的要求,避免某个用户在操作时同时拥有可能进行舞弊的权限。
在执行ERP系统权限管理时,用户若在系统中具有不符合其实际业务职责的权限,可能导致对业务、财务数据相关信息不适当的非授权修改,系统管理员通过对业务终端用户的角色分配实现敏感事物的授权,所以在进行ERP系统用户权限管理时,应根据《敏感事务访问权限的设置规则》确定ERP系统中的敏感事务,用户权限分配应遵循能够满足用户使用系统的最小原则进行授权,可从系统中执行“SUIM->Change Documents->For RoleAssignment”,导出所有角色分配的日志,检查是否存在未经授权的角色分配操作。
用户若在系统中具有互斥权限,那么该用户就具有了在系统中进行舞弊操作的可能,制定了业务活动之间互斥关系的《ERP系统职责分离矩阵》,避免互斥权限,主数据维护、财务活动和其他业务活动(指采购、销售、库存等业务活动)之间必须两两分离。
因ERP系统用户多,权限分配机制复杂,采用Access数据库编制了ERP系统权限测试工具对ERP系统进行权限测试,从ERP系统中导出所需数据,将相关测试数据导入该工具中相应的表(Tables),并运行工具中的查询项目(Queries),得到当前系统中用户的敏感事务代码清单及不符合职责分离的用户名单。
4结束语
企业信息化建设目标之一是为管理者提供及时、准确、全面的管理数据,企业建立内部控制制度是规范管理、保证企业信息化系统有效运行的基础。实施ERP系统内部控制管理,保证信息及时、准确,量化考核做到公正、客观,制度得以真正落实下去的关键,企业要积极持续推进ERP系统,加强信息化应用,加强流程管理,严格职责分离等在内控管理中的应用和深化。
主要参考文献
[1]罗鸿.ERP原理、设计、实施[M].北京:电子工业出版社,2011.
[2]李敏.企业内部控制[M].上海:上海财经大学出版社,2009.
