ERP系統(tǒng)權限僻理對倉業(yè)內部控制的影響及管控優(yōu)化

任澤坤 楊眉

（1.中國石油川慶鉆探地質勘探開發(fā)研究院；2.中國石油西南油氣田公司華油集團四川利能燃氣工程設計有限公司）

科學的ERP（企業(yè)資源計劃）實施方法和管理是ERP成功實施的關鍵，高效的 ERP運維管理體系則是系統(tǒng)安全、高效、穩(wěn)定運行的可靠保障和手段。

ERP系統(tǒng)運行后，其主要管理工作包括運維體系建設、日常運行維護、應急事件處理、系統(tǒng)安全管理、ERP系統(tǒng)內部控制及ERP培訓和考核等。其中，系統(tǒng)權限管理和控制是ERP系統(tǒng)日常運行維護工作的重要組成部分，規(guī)范的系統(tǒng)權限管理和有力的系統(tǒng)權限管控是保證ERP系統(tǒng)安全運行和數(shù)據(jù)保密的重要手段。但是，由于ERP系統(tǒng)用戶多、分工復雜，加上人員崗位調動、離職等情況，難免會造成系統(tǒng)權限分配混亂的問題，給系統(tǒng)的正常運行和業(yè)務流程的正常流轉帶來較大的隱患。因此，ERP系統(tǒng)的權限管理和控制顯得尤為重要。

1 ERP系統(tǒng)權限管理的內容與原則

1.1 ERP系統(tǒng)權限管理內容

用戶、角色、角色參數(shù)構成了ERP系統(tǒng)權限管理的3個基本要素。ERP系統(tǒng)運行后的用戶管理、角色與授權管理及 ERP系統(tǒng)內部控制工作均屬于ERP系統(tǒng)權限管理的范圍和工作內容。

1.1.1 用戶管理

用戶管理包括新增用戶賬號（ID）及賬號信息的變更、撤銷、凍結等工作。用戶是指包括系統(tǒng)管理員在內的所有ERP系統(tǒng)的使用人員，每個用戶在系統(tǒng)中具有唯一的 ID。創(chuàng)建 ID時，系統(tǒng)中會同步完成用戶信息注冊，包括用戶姓名、工作單位、部門、職務、聯(lián)系方式等基本信息。撤銷賬號就是刪除某個用戶在系統(tǒng)中的ID，使之不再有訪問系統(tǒng)的能力。凍結賬號是暫時鎖定用戶ID，使之暫時失去系統(tǒng)訪問能力，當需要時再開放該用戶訪問系統(tǒng)的權限。

1.1.2 角色與授權管理

角色是一組業(yè)務操作的權限，用ERP系統(tǒng)角色代碼來描述，角色就是具有一個或多個事務操作代碼的集合，一個用戶可以分配多個角色，多個用戶也可以授予同一個角色。權限通過角色分配給用戶，因此，授權管理是把具有在系統(tǒng)中進行特定的業(yè)務操作和運行處理事務權限的角色授予某個用戶或用戶組。用戶被授予某個角色后，才可以登錄系統(tǒng)，運行其所屬角色中的各種事務代碼來處理業(yè)務；當用戶崗位（崗位職責）調整或業(yè)務需求變更后，需要重新進行授權，包括舊權限撤銷和新權限授予。

1.1.3 ERP系統(tǒng)內部控制

ERP系統(tǒng)內部控制是指根據(jù) ERP系統(tǒng)控制規(guī)范，開展與ERP系統(tǒng)有關的內控工作，定期、不定期地開展ERP系統(tǒng)測試檢查，不斷改進、完善業(yè)務流程的過程。其中，最重要的是權限測試，包括訪問權限測試和職責分離測試。

訪問權限測試是確定用戶能夠訪問系統(tǒng)中資源和功能的范圍，從控制的角度查找用戶在系統(tǒng)中所擁有的權限是否超出了其工作需要。如，ERP系統(tǒng)權限管理員分為普通管理員、高級管理員和超級管理員，一般情況下，普通管理員被授予用戶ID顯示、凍結、解鎖、角色分配和刪除等權限；高級管理員除普通管理員職能外，還被授予用戶ID創(chuàng)建和修改權限；超級管理員除普通管理員和高級管理員權限外，還具備用戶ID刪除的權限。根據(jù)系統(tǒng)訪問權限有別的原則，普通管理員不能訪問高級管理員和超級管理員特有的權限，同樣，高級管理員不能具備超級管理員的用戶ID刪除權限。

職責分離測試是根據(jù)業(yè)務流程中不相容的業(yè)務功能必須由不同的人來完成的原則，檢查系統(tǒng)用戶在權限分配上是否存在具備處理不相容業(yè)務功能的漏洞和問題，即，權限互斥檢查，避免因一人具有操作不相容業(yè)務的權限而產生舞弊風險。如，在物料需求計劃處理業(yè)務流程中，需求計劃的創(chuàng)建功能和需求計劃審批功能是不相容的，或者說是互斥的2個業(yè)務操作，根據(jù)崗位職責分離原則，這 2個功能必須分別由2個人來承擔，一旦違背該原則，勢必造成權限分配失控。

1.2 ERP系統(tǒng)權限管理原則

1.2.1 職責分離原則

職責分離原則是ERP系統(tǒng)權限管理最基本也是最重要的原則。賦給用戶的權限不能存在不相容的操作權限，以避免因一人擁有操作不相容業(yè)務的權限而產生舞弊風險和非授權修改業(yè)務、財務數(shù)據(jù)及相關信息的情況。

1.2.2 以業(yè)務為驅動的原則

ERP系統(tǒng)的實施應用，極大地提高了企業(yè)運營信息的加工和傳遞效率。但是，若不受限制地給用戶授權，則大大增加了企業(yè)運行信息泄密的風險，同時，增加了業(yè)務混亂和管理失控的可能。

1.2.3 先測試后授權的原則

為了避免用戶權限在系統(tǒng)中出現(xiàn)角色互斥和業(yè)務不相容的情況，必須先在ERP系統(tǒng)內控工作要求下進行權限互斥和敏感權限測試，測試通過后，再報送領導審批，最后，給用戶分配角色。若測試不通過，則不能授權。

1.2.4 用戶權限按需分配及權限設置最小化原則

用戶權限申請應符合本職崗位業(yè)務需求，不能超越自身真實的崗位和職責范圍，以避免造成用戶權限互斥和混亂的情況。

2 權限管理流程及關鍵風險點分析

圖1 ERP系統(tǒng)權限實施流程

2.1 系統(tǒng)權限角色設計漏洞（控制點A）

在ERP系統(tǒng)中，用事務碼表示一個用戶能干的事情，即權限。角色是系統(tǒng)中一個或多個事務碼的集合，具有一個事務碼的角色稱為單一角色，多個單一角色集合起來就是復合角色。復合角色中包含有多個事務代碼，若賦給用戶的角色中存在互斥的事務代碼，即，角色授權漏洞，則在業(yè)務上勢必造成業(yè)務互斥和沖突。

2.2 用戶身份驗證（控制點B）

若缺乏賬號申請或持有人的身份驗證，則無法保證用戶身份的合法性。一旦在系統(tǒng)中開通了非法用戶的賬號和權限，對系統(tǒng)的訪問安全、信息安全和業(yè)務安全存在重大風險。

2.3 用戶賬號管理（控制點C）

若用戶賬號申請缺少經過有效審批的實施證據(jù)表單，則不符合內控管理要求。另外，若無節(jié)制地申請賬號，導致賬號空置率高，以及未能及時凍結不用的賬號和關閉權限，則勢必造成ERP系統(tǒng)業(yè)務混亂，對數(shù)據(jù)保密形成威脅。

2.4 權限申請、變更及授權（控制點D）

在此環(huán)節(jié)，若權限申請、變更及授權不符合權限管理工作原則，或者不具有完備的經過有效審批的實施證據(jù)表單，則不符合內控管理工作要求。

3 ERP系統(tǒng)與企業(yè)內部控制

3.1 ERP系統(tǒng)與企業(yè)內部控制的關系

內部控制是企業(yè)管理中重要的一環(huán)。內部控制工作引入ERP系統(tǒng)是內部控制的革新，并通過它改善了企業(yè)內部控制的方式，優(yōu)化了企業(yè)內部控制系統(tǒng)和范圍，使企業(yè)內部控制由命令與控制向集中與協(xié)調轉變，大幅度提升了內部控制的效率?？梢姡珽RP系統(tǒng)已成為企業(yè)內部控制的重要工具和手段。

信息系統(tǒng)是信息內部傳遞和對外報告的技術手段，是企業(yè)利用計算機和通信技術，對內部控制進行集成、轉化和提升所形成的信息化管理平臺，同時，信息系統(tǒng)自身也存在風險，需要加強管理和控制。因此，信息系統(tǒng)本身也是內部控制的客體。

3.2 ERP系統(tǒng)權限管理對企業(yè)內部控制工作的影響

根據(jù)ERP系統(tǒng)用戶權限設置原則，用戶對系統(tǒng)的應用需求、訪問需求、操作系統(tǒng)和處理業(yè)務的需求都直接受ERP系統(tǒng)權限控制。在權限授權工作中，若違背授權原則的規(guī)定，勢必造成系統(tǒng)操作混亂、業(yè)務混亂，操作舞弊、業(yè)務數(shù)據(jù)和財務數(shù)據(jù)等被非法篡改的潛在風險大大增加，帶來的后果必然是管理失控。因此，權限管理作為ERP系統(tǒng)運維的一項最重要的工作內容，直接影響著ERP系統(tǒng)是否能安全、高效、穩(wěn)定運行，也影響著企業(yè)內部控制工作的質量。

4 ERP系統(tǒng)權限管理失控案例及影響

一是，ERP系統(tǒng)權限賬號混亂造成系統(tǒng)業(yè)務混亂。某公司ERP系統(tǒng)運行后，未能及時對ERP系統(tǒng)賬號進行梳理和權限清理，當該公司下屬單位進行投資預決算工作時發(fā)現(xiàn)，系統(tǒng)中有一筆未知投資項目，經查找，發(fā)現(xiàn)該項目是ERP系統(tǒng)運行后未及時關閉的超級系統(tǒng)應用權限賬號所創(chuàng)建。另外，在實際運營中，還發(fā)現(xiàn)下屬部分單位的個別用戶由于具有受控權限，而擅自在系統(tǒng)中創(chuàng)建利潤中心、更改庫存地點和投資項目計劃等。由于權限管理失控，造成了該公司項目投資計劃、預算分配、業(yè)務流程的混亂，給企業(yè)內部控制工作帶來了不利的影響。

二是，權限管理混亂嚴重影響公司內控檢查結果和內部控制工作考核。某公司ERP系統(tǒng)權限管理不規(guī)范，與內控管理要求嚴重脫節(jié)，致使ERP系統(tǒng)權限管理失控，部分賬號權限互斥嚴重，一人多崗、敏感權限現(xiàn)象突出。在對該地區(qū)公司進行內部控制工作檢查中，發(fā)現(xiàn)權限測試結果互斥及敏感權限達3萬條之多，涉及的用戶數(shù)量約占總用戶數(shù)的70%，直接影響了該公司的內控工作考核結果和生產業(yè)績考核。

三是，權限角色不受控，出現(xiàn)代碼分配漏洞，導致用戶角色互斥。某公司對某次ERP系統(tǒng)權限自我內部控制測試結果進行分析，發(fā)現(xiàn)角色權限互斥中，多數(shù)用戶均出現(xiàn)創(chuàng)建采購訂單、更改采購訂單與審批采購訂單互斥。經過對具有以上事務代碼的角色進行分析，該問題屬于角色定義錯誤，這些事務代碼存在于一個角色中，在設計上存在漏洞。

5 ERP系統(tǒng)權限管理和管控優(yōu)化

一是，分別設置系統(tǒng)管理員、系統(tǒng)審計員和系統(tǒng)保密員，各司其職，保證系統(tǒng)安全。系統(tǒng)管理員負責響應來自最終用戶的需求，并在系統(tǒng)中進行相應操作，包括賬號申請、賬號加鎖及解鎖、權限授權與變更；同時，負責實施證據(jù)表單的規(guī)范性審查和管理，確保表單經過有效審批。系統(tǒng)審計員負責權限互斥測試檢查，確保所申請的權限符合內控管理規(guī)定及權限管理原則；同時，負責收集整理用戶流動信息和崗位變動動態(tài)，梳理出業(yè)務職責，并根據(jù)用戶動態(tài)，協(xié)助系統(tǒng)管理員開展用戶賬號梳理及權限清理工作，及時關閉、撤銷或凍結不需要的閑置賬號，及時刪除用戶的舊權限，并添加新權限。系統(tǒng)保密員負責用戶身份合法性驗證，確保不為非法的申請人開通賬號，從而保證系統(tǒng)的訪問安全、信息安全和業(yè)務安全。

二是，建立規(guī)范的ERP系統(tǒng)權限管理體系，加強權限授權管控，做到權限申請流程清晰，權限分配合理、合規(guī)、可控。ERP系統(tǒng)運行后，建立起成熟的ERP系統(tǒng)權限運維管理體系，對ERP系統(tǒng)管理是非常重要的。在實際工作中，不能完全通過技術手段來進行權限的維護，還需要建立起相應的權限管理制度來規(guī)范權限管理，做到管理流程化、規(guī)范化。用管理制度來約束權限管理工作，減少用戶和管理員主觀意識的負面作用。

三是，設計權限控制解決方案。ERP系統(tǒng)權限控制分為事務代碼級、組織機構級和權限對象字段值級3個層次。用戶進行業(yè)務操作，必須具有對應的事務代碼執(zhí)行權限，同時，還必須具有相應組織的操作權限才能完成業(yè)務。按照企業(yè)的實際情況，在ERP系統(tǒng)中根據(jù)業(yè)務特點設計了不同性質的組織架構，系統(tǒng)中最高的組織級別為公司代碼，可以通過為角色分配不同的公司代碼值，將用戶的業(yè)務限制在不同的公司代碼下。用戶具有了事務代碼的執(zhí)行權限和相應的組織操作權限后，系統(tǒng)根據(jù)權限對象進一步控制相應操作，如，增加、修改、刪除等。因此，必須對每一個授權對象進行具體設置，以完成權限的最終控制。

四是，建立起清晰的用戶崗位職責體系，保證用戶崗位職責劃分合理、有序、無沖突，業(yè)務處理權限無互斥。若在ERP系統(tǒng)中按照“一人一崗”的原則對用戶賬號、權限申請及權限分配進行管理，可快速、高效地解決用戶權限授權混亂和角色互斥嚴重的現(xiàn)狀。事實上，在企業(yè)不斷追求管理精細化、扁平化，以及人力資源成本最小化、效益最大化的情況下，“一人多崗”的現(xiàn)象非常普遍，用戶的崗位職責沖突、業(yè)務處理權限互斥的現(xiàn)象不可避免。因此，若沒有清晰的崗位職責體系，則無法保證用戶在工作崗位職責方面劃分合理、合規(guī)，最終將導致用戶權限分配失控，管理混亂。

五是，ERP系統(tǒng)應用部門和權限管理部門，要與人事管理部門建立起有效的溝通協(xié)調體系，形成暢通的用戶信息反饋機制。ERP系統(tǒng)用戶賬號與用戶實際崗位相對應，用戶的崗位和業(yè)務職責決定了其賬號在系統(tǒng)中應分配的角色和權限。因此，業(yè)務部門與人事管理部門需要建立起有效的溝通協(xié)調體系和信息反饋機制，在人員崗位和職責分工調整時，人事管理部門要及時將相關信息反饋到業(yè)務部門和權限管理部門，以便業(yè)務部門和權限管理部門能迅速作出反應，及時對用戶ID進行撤銷、凍結，或者對用戶權限進行變更或刪除，以保證系統(tǒng)運營風險最小化。

六是，按照ERP系統(tǒng)內部控制規(guī)范，定期開展ERP系統(tǒng)賬號梳理，提升賬號有效利用率。ERP系統(tǒng)用戶賬號管理是權限管理工作中最基礎的工作。要做好ERP系統(tǒng)權限管理工作，保證管理程序上清晰、規(guī)范，首先要做好賬號管理的規(guī)范。因此，按照 ERP系統(tǒng)內部控制規(guī)范，定期開展ERP系統(tǒng)賬號梳理，提升賬號有效利用率是非常必要的。

七是，內控管理部門介入ERP系統(tǒng)權限管理，從內控管理制度層面上控制ERP系統(tǒng)授權管理。內控管理部門是ERP系統(tǒng)內控管理工作的業(yè)務指導部門，在ERP系統(tǒng)運維業(yè)務上，內控管理部門具有協(xié)助職責。但是，按照目前的 ERP系統(tǒng)運維管理現(xiàn)狀，內控部門基本上脫離了ERP系統(tǒng)的運維工作，往往在內控測試檢查出問題后，再要求執(zhí)行部門去整改。因此，內控管理部門應履行協(xié)助職責，真正參與ERP系統(tǒng)權限的管理。

6 結語

ERP系統(tǒng)的內部控制工作，對企業(yè)內部控制工作的成效影響較大，若ERP系統(tǒng)權限管理失控，將對內控工作造成嚴重的負面影響，同時，也給企業(yè)經營帶來重大的安全風險。

ERP系統(tǒng)的內控工作要堅持以業(yè)務為驅動、最小化授權為準則，優(yōu)先進行權限測試，從而真正做到合理分配用戶操作權限和限制用戶操作范圍，以保證系統(tǒng)的安全性及數(shù)據(jù)的完整性。

[1] 李輝，張蓉，邱露.信息系統(tǒng)控制在 ERP系統(tǒng)實施過程中的應用研究[J].計算機科學，2012，39(10)：135-138.

[2] 張震，張巍鐘.ERP系統(tǒng)權限管理[J].中國管理信息化，2012，15(3)： 53-54.

[3] 季紅巖.SAP物料管理模塊權限的實施與研究[J].電大理工，2012(3)： 13-14.

[4] 靳誼，蘭鳳霞，譚鵬云，等.SAP系統(tǒng)在生產計劃管理中的應用[J].河南冶金，2012，20(1)： 54-56.

[5] 周陽，郭順生.細粒度 RBAC模型在 ERP權限管理中的研究與應用[J].機械制造，2009，47(10)： 13-15.

[6] 楊報麗，趙海濤，陳酥政，等.應用 ARIS業(yè)務管理系統(tǒng)對企業(yè)業(yè)務流程的整合[J].甘肅科技，2010，26(19)： 28-30.