ＥＲＰ系統風險控制探究

[摘 要] ERP系統的實施受多種因素的影響，本文著重分析了實施ERP后所帶來的風險，探討了ERP系統風險控制的基本策略和具體措施。

[關鍵詞] ERP；風險；策略；控制

[中圖分類號] F270.7

[文獻標識碼] A

[文章編號] 1673-0194(2006)09-0024-03

［收稿日期］2006-06-03

［作者簡介］張國平，陜西高陵人，副教授，主要從事會計及會計信息化方面的教學和研究。

ERP（Enterprise Resource Planning，企業資源計劃）是一個對企業的多種資源進行規劃的管理信息系統和操作平臺，它以財務管理為核心，使企業的物流、業務流、資金流和信息流相集成，實現了數據的來源唯一、實時共享、多路徑查詢，使企業的人、財、物、產、供、銷等在內的資源得到較為充分的調配和平衡，為企業決策、計劃、控制與經營業績評價提供全方位、系統化的服務。但ERP系統的實施受多種因素的影響，包含眾多的不確定因素，不可避免地帶來這樣或那樣的風險，如何降低或消除風險是我們面臨的新課題。

一、ERP系統風險分析

在ERP環境下，雖然計算機網絡代替了手工的數據采集、處理和輸出，使得企業信息化建設的效率和規范化得到了極大的改善。但是，在企業實施ERP后，由于ERP系統具有業務處理自動化、控制方法和措施程序化、信息存儲數據化等特點，又為控制風險帶來了一些新的問題和難點，主要表現在：

1. 內部崗位牽制的效力降低

自動高效的計算機網絡的應用，使操作人員的數量大大減少，各種業務核算手續完全由計算機統一執行，那種試圖通過適當的崗位分離而實現各種業務環節的相互牽制，就顯得乏力。

2. 口令權限的局限性

在ERP環境下，各個操作人員的權限分工是靠口令授權來完成的，而口令存放在計算機系統內，不像手工環境下代表授權的印章鎖在箱子里或帶在身上那樣保險，因此一旦被人破解或竊取便會帶來極大的隱患。

3. 加大了風險控制的難度

ERP在開放和動態的計算機網絡環境下運行，大量信息通過網絡傳輸，有可能遭到非法攔截、竊取和篡改；業務數據通過ERP系統的采集轉化為數字化的信息被存儲在磁（光）介質上，而電子數據易被修改、刪除、隱匿、轉移和偽造而不留痕跡。

4.構成要素的復雜性加大了系統安全控制的難度

ERP是一個網絡系統，計算機硬件、軟件、人員和各種業務處理流程等構成了一個復雜的網絡系統，而且絕大多數交易的合法性和有效性是依賴計算機網絡來自動完成的，因此，硬件配置的不合理、軟件功能的缺陷、系統操作的失誤、內部人員的非法訪問及外部的惡意攻擊、人們對風險的控制缺乏應有的主動權等，都會使ERP系統面臨嚴重的安全威脅。

5. 過度依賴計算機程序的質量

一般認為，計算機程序的質量是毋庸質疑的，然而也可能存在先天的設計缺陷或惡意的“后門”，一旦程序中存在嚴重的瑕疵或惡意的“后門”，都會嚴重危及系統安全，而憑操作人員有限的計算機專業知識，很難及時發現這些漏洞，致使系統發生多次重復的錯誤。

上述問題使得企業在實施ERP過程中的風險加大，歸納起來主要表現在以下幾個方面：

1. 準備風險

準備風險是指在實施ERP過程中前期準備階段存在的風險。例如沒有制訂規劃或規劃不合理、咨詢伙伴選擇不當、設計流程缺乏有效的控制環節、系統選型錯誤等。

2. 軟件技術風險

軟件技術風險是指ERP系統軟件本身及其所使用的技術而帶來的風險。例如使用的技術和開發工具不成熟或未經授權、所依賴的技術過于復雜引起實施者未恰當理解、軟件存在先天設計缺陷、程序設計員設置秘密“后門”、軟件自我糾錯能力弱等。

3. 運行操作風險

運行操作風險是指利用ERP進行業務處理、記錄、維護和報告過程中所帶來的風險。如收銀員在收款環節可能將收到客戶的現金據為己有、某業務處理環節誤操作、不正確的業務處理、業務數據遭竊取或被篡改、病毒侵入造成數據丟失、操作人員缺乏主動性等。

4. 環境風險

環境風險是指ERP所處環境而帶來的風險。例如組織結構不合理、職責權限不明確、業務部門工作不協調、管理制度缺失或未發揮作用、計算機硬件系統不能滿足要求、自然環境不符合技術安全要求等。

二、ERP環境下風險控制的基本策略

風險控制是人們對風險進行識別、分析、監控和解決的過程。在這個過程中，我們應當采取積極的態度，尋找解決問題的方法。為此，筆者認為，ERP系統管理者應著重做好以下幾個方面的工作：

1.風險的識別

風險的識別是指在實施ERP的過程中，找到可能存在的風險，其目的在于查明ERP實施過程中的不確定因素、來源及其相互之間的關系，為制訂發現控制預案提供依據。該階段主要是通過一定的手段按照風險的分類，從ERP實施過程中找出該系統可能存在的風險。識別風險的方法有：定期召開有關專家會議，詢問實施過程中發現的風險；將ERP實施項目進行分解，使實施工作不斷細化，以便于找出風險；將實際實施過程與標準的實施過程進行核對等等。

2. 風險的分析

風險的分析是指在風險識別的基礎上，對風險存在及發生的可能性以及將會給ERP造成的損失范圍與程度進行估計和衡量，確定各種風險的重要性，使實施人員將主要精力集中在主要風險上，從而使ERP的整體風險得到有效控制。在進行風險分析時可結合使用定性分析和定量分析的方法。

3. 制訂風險控制預案

ERP的實施是一個龐大的系統工程，涉及的因素、內容和環節比較多，因此，不能等到問題出現了再想辦法解決，必須在風險識別和分析的基礎上，事先制訂風險控制預案，指導風險控制，以便使可能出現的風險所造成的損失消失或減少。風險控制預案，由專門的小組或人員負責制訂，既包括風險控制的策略，也包括可能存在的風險及其識別方法、應對措施、責任單位和責任人。

風險控制預案是開展風險管理活動的依據，對風險控制工作起指導作用，其編制目的是使可能出現的風險所造成的損失消失或減少。因此，風險控制預案的編制應當盡可能全面、合理、有效。同時，在ERP日常運行的過程中還應當加強監督和控制，跟蹤已識別的風險，識別新的風險，對風險控制預案做出及時調整，使之得到進一步完善，更加合理，切實可行。

4. 積極應對發生的風險

風險的應對是指當風險將要發生或已經發生時，按照事先編制的風險控制預案，采取相應的風險應對策略，使ERP的整體風險降到最低的活動。通常采取的應對策略有消除風險、接受風險和轉移風險。

消除風險是指通過一定的方法或措施消除風險產生的條件，以達到ERP免受風險影響的目的。接受風險是指當風險的負面影響在可以接受的范圍內或沒有找到合適的方法來消除或轉移風險時，直接接受風險給ERP所帶來的影響。轉移風險是指將風險所產生的結果轉移給他人，避免己方遭受風險所帶來的損失。很顯然，我們應當采取積極的態度來消除風險，盡可能減少可接受風險，反對轉移風險。

三、ERP環境下風險控制的具體措施

對待風險人們應當采取積極的態度來消除風險，這需要有具體、有效的防范措施才能實現。筆者認為，ERP系統風險防范的措施主要有：

1. 轉變觀念，提升風險管理層次

ERP利用信息技術的成果，對企業內部的人、財、物、信息等進行規劃、統籌和整合，這些工作的實施必然涉及一些重大問題的決策，如網絡技術的決策、網上支付風險的評估、經營業績的審核、風險管理與安全控制的程序決策等等。因此，控制風險不只是各部門工作人員的事情，企業的董事會、監事會和高級管理層必須發揮領導和監督的責任，對風險管理的職責進行確認，明確劃分董事會和高級管理層在ERP實施中的風險管理的責任，評價風險管理體系，提出完善措施，協調各方面的問題。監事會也不要成為擺設，應加強內部審計，對董事會和高級管理層履行風險管理職責的情況進行監督。

2. 做好前期準備工作

對于ERP實施而言，前期準備工作是ERP具體實施前的重要環節，它直接關系到ERP的成敗。因此，在ERP項目實施前，首先要結合企業發展的總體規劃和內外部環境做好ERP項目的前期規劃，明確ERP的實施目標、基本步驟、時間安排、資金預算、實施范圍和實施內容；其次，要慎重選擇合作伙伴，考察他們的行業經驗、工作能力與職業信譽等；再次，要做好業務流程的重組和有效的控制環節，簡化工作程序，改進組織內部以及組織與外部合作伙伴的溝通和協作關系，以提高自身的管理水平和響應速度來適應新的競爭環境；最后要做好ERP選型工作，考察軟件供應商的行業應用經驗、研發能力、信譽、服務品質等。

3. 合理設崗，加強內部牽制

ERP是一個龐大的企業內部資源管理系統，包括分銷、制造、會計、稅務、質量控制、售后服務、人力資源、網上結算、運輸等子系統，是由各個部門協同完成來實現企業的目標。因此，在ERP實施的過程中應按照其特點設置業務處理崗位，并明確各個崗位的職責范圍。在分工時，確實做到不相容的職能由不同的人員或部門擔任，同一事項的處理由兩個或兩個以上的職能部門共同完成，使得人員或部門之間的工作相互聯系、相互依賴、相互監督、相互印證，切實加強內部牽制，從而杜絕錯誤、舞弊或欺詐等風險的發生。

4. 加強運行操作控制

ERP將企業的業務數據統一化，實現了“數出一門，大家共享”和在線管理，這就要求在運行操作階段應加強數據的輸入、處理和輸出這3個環節的控制。其中，輸入正確、可靠的數據是保證ERP數據準確的首要環節，如果這個環節發生錯誤，必然會引起處理環節的數據錯誤，最終使整個ERP所輸出的信息不正確。因此，除了加強操作人員的責任心、提高其專業技能和水平外，還應對數據的輸入、處理和輸出實施嚴格的控制措施，以確保數據操作的準確性。

運行操作階段的控制措施有：所輸入的數據應經過必要的授權，并經有關部門檢查；采取建立科目對照文件、設立對應關系參照文件、確定合理數據范圍、總數校驗、平衡校驗等技術手段，對所輸入數據的正確性進行校驗、禁止非操作人員操作會計信息系統的專用計算機；設置操作人員的操作權限，并進行嚴格的密碼控制；數據的處理和存儲相隔離；合理使用數據備份和數據恢復功能；在數據輸出前，將輸出總數與輸入總數相核對，以保證數據經過處理后沒有丟失和重復；對輸出的數據進行人工和機器審核，檢查會計報表有關項目之間的勾稽關系是否存在，以保證其完整性和正確性；對輸出的磁性介質資料和打印資料應經主管人員審批后方能報出，并由專人保管，登記日期、名稱、份數、送達部門或人員等。

5. 不能忽視環境控制

ERP是建立在一定的物質基礎之上的，設備能否正常運行對ERP的實施具有重要的意義。因此，設備環境的控制是ERP風險防范中一個重要的方面，只能加強，不可忽視。設備的環境包括所使用的計算機、網絡、軟件及其相互協同工作等方面，其控制措施主要包括：采取防火、防水、防磁、防震、防掉電、防高低溫等措施；保證恒溫、恒壓和適宜的濕度；裝備不間斷動力和穩壓裝置；定期對硬件進行測試；安裝防病毒軟件等。

6. 加強軟件開發、使用和維護的控制

軟件的控制措施用于保證程序和數據不被錯用、濫用和非法使用。常用的控制措施主要有：所使用的各種軟件必須經過授權；安全程度不等的數據應賦予不同的訪問級別；設置日志文件以便詳細登記并保留使用者進行業務處理的蹤跡；對程序源代碼采取保密措施，以防操作者對指令進行篡改；重要文檔采取密碼存儲和傳輸的方式；軟件的維護應經過周密計劃，嚴格履行審批和測試手續；如果是自行開發的軟件，應選擇成熟并經授權的軟件技術和開發工具，并由審計人員對數據的輸入、處理和輸出環節進行符合性測試，以測試軟件中的內部控制是否存在、有效。

7. 重視檔案管理

ERP環境下的檔案包括各種賬、證、表、數據文件、軟件及其技術和法律文檔，應按照檔案管理辦法的有關規定進行管理，其控制措施有：建立健全檔案的保管、領用、復制、修改、銷毀制度；實行專人、分人、分處管理；數據每天做雙重備份，并定期檢查；經領導同意借閱的檔案資料，應嚴格履行借閱和歸還手續。

主要參考文獻

[1] 羅鴻.ERP原理設計實施[M].北京:電子工業出版社，2005.

[2] 張國平. ERP系統與傳統會計信息系統之比較[J].中國農業會計，2004，(7).

[3] 王鍇，岳麗娟. ERP發展進程中若干問題研究[D]. 中國會計學會第四屆全國會計信息化年會論文集.

[4] 劉文昌. 會計電算化信息系統的安全控制[J]. 會計之友，2005，(4).