ERP系统权限僻理对仓业内部控制的影响及管控优化

任泽坤 杨眉

（1.中国石油川庆钻探地质勘探开发研究院；2.中国石油西南油气田公司华油集团四川利能燃气工程设计有限公司）

科学的ERP（企业资源计划）实施方法和管理是ERP成功实施的关键，高效的 ERP运维管理体系则是系统安全、高效、稳定运行的可靠保障和手段。

ERP系统运行后，其主要管理工作包括运维体系建设、日常运行维护、应急事件处理、系统安全管理、ERP系统内部控制及ERP培训和考核等。其中，系统权限管理和控制是ERP系统日常运行维护工作的重要组成部分，规范的系统权限管理和有力的系统权限管控是保证ERP系统安全运行和数据保密的重要手段。但是，由于ERP系统用户多、分工复杂，加上人员岗位调动、离职等情况，难免会造成系统权限分配混乱的问题，给系统的正常运行和业务流程的正常流转带来较大的隐患。因此，ERP系统的权限管理和控制显得尤为重要。

1 ERP系统权限管理的内容与原则

1.1 ERP系统权限管理内容

用户、角色、角色参数构成了ERP系统权限管理的3个基本要素。ERP系统运行后的用户管理、角色与授权管理及 ERP系统内部控制工作均属于ERP系统权限管理的范围和工作内容。

1.1.1 用户管理

用户管理包括新增用户账号（ID）及账号信息的变更、撤销、冻结等工作。用户是指包括系统管理员在内的所有ERP系统的使用人员，每个用户在系统中具有唯一的 ID。创建 ID时，系统中会同步完成用户信息注册，包括用户姓名、工作单位、部门、职务、联系方式等基本信息。撤销账号就是删除某个用户在系统中的ID，使之不再有访问系统的能力。冻结账号是暂时锁定用户ID，使之暂时失去系统访问能力，当需要时再开放该用户访问系统的权限。

1.1.2 角色与授权管理

角色是一组业务操作的权限，用ERP系统角色代码来描述，角色就是具有一个或多个事务操作代码的集合，一个用户可以分配多个角色，多个用户也可以授予同一个角色。权限通过角色分配给用户，因此，授权管理是把具有在系统中进行特定的业务操作和运行处理事务权限的角色授予某个用户或用户组。用户被授予某个角色后，才可以登录系统，运行其所属角色中的各种事务代码来处理业务；当用户岗位（岗位职责）调整或业务需求变更后，需要重新进行授权，包括旧权限撤销和新权限授予。

1.1.3 ERP系统内部控制

ERP系统内部控制是指根据 ERP系统控制规范，开展与ERP系统有关的内控工作，定期、不定期地开展ERP系统测试检查，不断改进、完善业务流程的过程。其中，最重要的是权限测试，包括访问权限测试和职责分离测试。

访问权限测试是确定用户能够访问系统中资源和功能的范围，从控制的角度查找用户在系统中所拥有的权限是否超出了其工作需要。如，ERP系统权限管理员分为普通管理员、高级管理员和超级管理员，一般情况下，普通管理员被授予用户ID显示、冻结、解锁、角色分配和删除等权限；高级管理员除普通管理员职能外，还被授予用户ID创建和修改权限；超级管理员除普通管理员和高级管理员权限外，还具备用户ID删除的权限。根据系统访问权限有别的原则，普通管理员不能访问高级管理员和超级管理员特有的权限，同样，高级管理员不能具备超级管理员的用户ID删除权限。

职责分离测试是根据业务流程中不相容的业务功能必须由不同的人来完成的原则，检查系统用户在权限分配上是否存在具备处理不相容业务功能的漏洞和问题，即，权限互斥检查，避免因一人具有操作不相容业务的权限而产生舞弊风险。如，在物料需求计划处理业务流程中，需求计划的创建功能和需求计划审批功能是不相容的，或者说是互斥的2个业务操作，根据岗位职责分离原则，这 2个功能必须分别由2个人来承担，一旦违背该原则，势必造成权限分配失控。

1.2 ERP系统权限管理原则

1.2.1 职责分离原则

职责分离原则是ERP系统权限管理最基本也是最重要的原则。赋给用户的权限不能存在不相容的操作权限，以避免因一人拥有操作不相容业务的权限而产生舞弊风险和非授权修改业务、财务数据及相关信息的情况。

1.2.2 以业务为驱动的原则

ERP系统的实施应用，极大地提高了企业运营信息的加工和传递效率。但是，若不受限制地给用户授权，则大大增加了企业运行信息泄密的风险，同时，增加了业务混乱和管理失控的可能。

1.2.3 先测试后授权的原则

为了避免用户权限在系统中出现角色互斥和业务不相容的情况，必须先在ERP系统内控工作要求下进行权限互斥和敏感权限测试，测试通过后，再报送领导审批，最后，给用户分配角色。若测试不通过，则不能授权。

1.2.4 用户权限按需分配及权限设置最小化原则

用户权限申请应符合本职岗位业务需求，不能超越自身真实的岗位和职责范围，以避免造成用户权限互斥和混乱的情况。

2 权限管理流程及关键风险点分析

图1 ERP系统权限实施流程

2.1 系统权限角色设计漏洞（控制点A）

在ERP系统中，用事务码表示一个用户能干的事情，即权限。角色是系统中一个或多个事务码的集合，具有一个事务码的角色称为单一角色，多个单一角色集合起来就是复合角色。复合角色中包含有多个事务代码，若赋给用户的角色中存在互斥的事务代码，即，角色授权漏洞，则在业务上势必造成业务互斥和冲突。

2.2 用户身份验证（控制点B）

若缺乏账号申请或持有人的身份验证，则无法保证用户身份的合法性。一旦在系统中开通了非法用户的账号和权限，对系统的访问安全、信息安全和业务安全存在重大风险。

2.3 用户账号管理（控制点C）

若用户账号申请缺少经过有效审批的实施证据表单，则不符合内控管理要求。另外，若无节制地申请账号，导致账号空置率高，以及未能及时冻结不用的账号和关闭权限，则势必造成ERP系统业务混乱，对数据保密形成威胁。

2.4 权限申请、变更及授权（控制点D）

在此环节，若权限申请、变更及授权不符合权限管理工作原则，或者不具有完备的经过有效审批的实施证据表单，则不符合内控管理工作要求。

3 ERP系统与企业内部控制

3.1 ERP系统与企业内部控制的关系

内部控制是企业管理中重要的一环。内部控制工作引入ERP系统是内部控制的革新，并通过它改善了企业内部控制的方式，优化了企业内部控制系统和范围，使企业内部控制由命令与控制向集中与协调转变，大幅度提升了内部控制的效率。可见，ERP系统已成为企业内部控制的重要工具和手段。

信息系统是信息内部传递和对外报告的技术手段，是企业利用计算机和通信技术，对内部控制进行集成、转化和提升所形成的信息化管理平台，同时，信息系统自身也存在风险，需要加强管理和控制。因此，信息系统本身也是内部控制的客体。

3.2 ERP系统权限管理对企业内部控制工作的影响

根据ERP系统用户权限设置原则，用户对系统的应用需求、访问需求、操作系统和处理业务的需求都直接受ERP系统权限控制。在权限授权工作中，若违背授权原则的规定，势必造成系统操作混乱、业务混乱，操作舞弊、业务数据和财务数据等被非法篡改的潜在风险大大增加，带来的后果必然是管理失控。因此，权限管理作为ERP系统运维的一项最重要的工作内容，直接影响着ERP系统是否能安全、高效、稳定运行，也影响着企业内部控制工作的质量。

4 ERP系统权限管理失控案例及影响

一是，ERP系统权限账号混乱造成系统业务混乱。某公司ERP系统运行后，未能及时对ERP系统账号进行梳理和权限清理，当该公司下属单位进行投资预决算工作时发现，系统中有一笔未知投资项目，经查找，发现该项目是ERP系统运行后未及时关闭的超级系统应用权限账号所创建。另外，在实际运营中，还发现下属部分单位的个别用户由于具有受控权限，而擅自在系统中创建利润中心、更改库存地点和投资项目计划等。由于权限管理失控，造成了该公司项目投资计划、预算分配、业务流程的混乱，给企业内部控制工作带来了不利的影响。

二是，权限管理混乱严重影响公司内控检查结果和内部控制工作考核。某公司ERP系统权限管理不规范，与内控管理要求严重脱节，致使ERP系统权限管理失控，部分账号权限互斥严重，一人多岗、敏感权限现象突出。在对该地区公司进行内部控制工作检查中，发现权限测试结果互斥及敏感权限达3万条之多，涉及的用户数量约占总用户数的70%，直接影响了该公司的内控工作考核结果和生产业绩考核。

三是，权限角色不受控，出现代码分配漏洞，导致用户角色互斥。某公司对某次ERP系统权限自我内部控制测试结果进行分析，发现角色权限互斥中，多数用户均出现创建采购订单、更改采购订单与审批采购订单互斥。经过对具有以上事务代码的角色进行分析，该问题属于角色定义错误，这些事务代码存在于一个角色中，在设计上存在漏洞。

5 ERP系统权限管理和管控优化

一是，分别设置系统管理员、系统审计员和系统保密员，各司其职，保证系统安全。系统管理员负责响应来自最终用户的需求，并在系统中进行相应操作，包括账号申请、账号加锁及解锁、权限授权与变更；同时，负责实施证据表单的规范性审查和管理，确保表单经过有效审批。系统审计员负责权限互斥测试检查，确保所申请的权限符合内控管理规定及权限管理原则；同时，负责收集整理用户流动信息和岗位变动动态，梳理出业务职责，并根据用户动态，协助系统管理员开展用户账号梳理及权限清理工作，及时关闭、撤销或冻结不需要的闲置账号，及时删除用户的旧权限，并添加新权限。系统保密员负责用户身份合法性验证，确保不为非法的申请人开通账号，从而保证系统的访问安全、信息安全和业务安全。

二是，建立规范的ERP系统权限管理体系，加强权限授权管控，做到权限申请流程清晰，权限分配合理、合规、可控。ERP系统运行后，建立起成熟的ERP系统权限运维管理体系，对ERP系统管理是非常重要的。在实际工作中，不能完全通过技术手段来进行权限的维护，还需要建立起相应的权限管理制度来规范权限管理，做到管理流程化、规范化。用管理制度来约束权限管理工作，减少用户和管理员主观意识的负面作用。

三是，设计权限控制解决方案。ERP系统权限控制分为事务代码级、组织机构级和权限对象字段值级3个层次。用户进行业务操作，必须具有对应的事务代码执行权限，同时，还必须具有相应组织的操作权限才能完成业务。按照企业的实际情况，在ERP系统中根据业务特点设计了不同性质的组织架构，系统中最高的组织级别为公司代码，可以通过为角色分配不同的公司代码值，将用户的业务限制在不同的公司代码下。用户具有了事务代码的执行权限和相应的组织操作权限后，系统根据权限对象进一步控制相应操作，如，增加、修改、删除等。因此，必须对每一个授权对象进行具体设置，以完成权限的最终控制。

四是，建立起清晰的用户岗位职责体系，保证用户岗位职责划分合理、有序、无冲突，业务处理权限无互斥。若在ERP系统中按照“一人一岗”的原则对用户账号、权限申请及权限分配进行管理，可快速、高效地解决用户权限授权混乱和角色互斥严重的现状。事实上，在企业不断追求管理精细化、扁平化，以及人力资源成本最小化、效益最大化的情况下，“一人多岗”的现象非常普遍，用户的岗位职责冲突、业务处理权限互斥的现象不可避免。因此，若没有清晰的岗位职责体系，则无法保证用户在工作岗位职责方面划分合理、合规，最终将导致用户权限分配失控，管理混乱。

五是，ERP系统应用部门和权限管理部门，要与人事管理部门建立起有效的沟通协调体系，形成畅通的用户信息反馈机制。ERP系统用户账号与用户实际岗位相对应，用户的岗位和业务职责决定了其账号在系统中应分配的角色和权限。因此，业务部门与人事管理部门需要建立起有效的沟通协调体系和信息反馈机制，在人员岗位和职责分工调整时，人事管理部门要及时将相关信息反馈到业务部门和权限管理部门，以便业务部门和权限管理部门能迅速作出反应，及时对用户ID进行撤销、冻结，或者对用户权限进行变更或删除，以保证系统运营风险最小化。

六是，按照ERP系统内部控制规范，定期开展ERP系统账号梳理，提升账号有效利用率。ERP系统用户账号管理是权限管理工作中最基础的工作。要做好ERP系统权限管理工作，保证管理程序上清晰、规范，首先要做好账号管理的规范。因此，按照 ERP系统内部控制规范，定期开展ERP系统账号梳理，提升账号有效利用率是非常必要的。

七是，内控管理部门介入ERP系统权限管理，从内控管理制度层面上控制ERP系统授权管理。内控管理部门是ERP系统内控管理工作的业务指导部门，在ERP系统运维业务上，内控管理部门具有协助职责。但是，按照目前的 ERP系统运维管理现状，内控部门基本上脱离了ERP系统的运维工作，往往在内控测试检查出问题后，再要求执行部门去整改。因此，内控管理部门应履行协助职责，真正参与ERP系统权限的管理。

6 结语

ERP系统的内部控制工作，对企业内部控制工作的成效影响较大，若ERP系统权限管理失控，将对内控工作造成严重的负面影响，同时，也给企业经营带来重大的安全风险。

ERP系统的内控工作要坚持以业务为驱动、最小化授权为准则，优先进行权限测试，从而真正做到合理分配用户操作权限和限制用户操作范围，以保证系统的安全性及数据的完整性。

[1] 李辉，张蓉，邱露.信息系统控制在 ERP系统实施过程中的应用研究[J].计算机科学，2012，39(10)：135-138.

[2] 张震，张巍钟.ERP系统权限管理[J].中国管理信息化，2012，15(3)： 53-54.

[3] 季红岩.SAP物料管理模块权限的实施与研究[J].电大理工，2012(3)： 13-14.

[4] 靳谊，兰凤霞，谭鹏云，等.SAP系统在生产计划管理中的应用[J].河南冶金，2012，20(1)： 54-56.

[5] 周阳，郭顺生.细粒度 RBAC模型在 ERP权限管理中的研究与应用[J].机械制造，2009，47(10)： 13-15.

[6] 杨报丽，赵海涛，陈酥政，等.应用 ARIS业务管理系统对企业业务流程的整合[J].甘肃科技，2010，26(19)： 28-30.