ＥＲＰ系统风险控制探究

[摘 要] ERP系统的实施受多种因素的影响，本文着重分析了实施ERP后所带来的风险，探讨了ERP系统风险控制的基本策略和具体措施。

[关键词] ERP；风险；策略；控制

[中图分类号] F270.7

[文献标识码] A

[文章编号] 1673-0194(2006)09-0024-03

［收稿日期］2006-06-03

［作者简介］张国平，陕西高陵人，副教授，主要从事会计及会计信息化方面的教学和研究。

ERP（Enterprise Resource Planning，企业资源计划）是一个对企业的多种资源进行规划的管理信息系统和操作平台，它以财务管理为核心，使企业的物流、业务流、资金流和信息流相集成，实现了数据的来源唯一、实时共享、多路径查询，使企业的人、财、物、产、供、销等在内的资源得到较为充分的调配和平衡，为企业决策、计划、控制与经营业绩评价提供全方位、系统化的服务。但ERP系统的实施受多种因素的影响，包含众多的不确定因素，不可避免地带来这样或那样的风险，如何降低或消除风险是我们面临的新课题。

一、ERP系统风险分析

在ERP环境下，虽然计算机网络代替了手工的数据采集、处理和输出，使得企业信息化建设的效率和规范化得到了极大的改善。但是，在企业实施ERP后，由于ERP系统具有业务处理自动化、控制方法和措施程序化、信息存储数据化等特点，又为控制风险带来了一些新的问题和难点，主要表现在：

1. 内部岗位牵制的效力降低

自动高效的计算机网络的应用，使操作人员的数量大大减少，各种业务核算手续完全由计算机统一执行，那种试图通过适当的岗位分离而实现各种业务环节的相互牵制，就显得乏力。

2. 口令权限的局限性

在ERP环境下，各个操作人员的权限分工是靠口令授权来完成的，而口令存放在计算机系统内，不像手工环境下代表授权的印章锁在箱子里或带在身上那样保险，因此一旦被人破解或窃取便会带来极大的隐患。

3. 加大了风险控制的难度

ERP在开放和动态的计算机网络环境下运行，大量信息通过网络传输，有可能遭到非法拦截、窃取和篡改；业务数据通过ERP系统的采集转化为数字化的信息被存储在磁（光）介质上，而电子数据易被修改、删除、隐匿、转移和伪造而不留痕迹。

4.构成要素的复杂性加大了系统安全控制的难度

ERP是一个网络系统，计算机硬件、软件、人员和各种业务处理流程等构成了一个复杂的网络系统，而且绝大多数交易的合法性和有效性是依赖计算机网络来自动完成的，因此，硬件配置的不合理、软件功能的缺陷、系统操作的失误、内部人员的非法访问及外部的恶意攻击、人们对风险的控制缺乏应有的主动权等，都会使ERP系统面临严重的安全威胁。

5. 过度依赖计算机程序的质量

一般认为，计算机程序的质量是毋庸质疑的，然而也可能存在先天的设计缺陷或恶意的“后门”，一旦程序中存在严重的瑕疵或恶意的“后门”，都会严重危及系统安全，而凭操作人员有限的计算机专业知识，很难及时发现这些漏洞，致使系统发生多次重复的错误。

上述问题使得企业在实施ERP过程中的风险加大，归纳起来主要表现在以下几个方面：

1. 准备风险

准备风险是指在实施ERP过程中前期准备阶段存在的风险。例如没有制订规划或规划不合理、咨询伙伴选择不当、设计流程缺乏有效的控制环节、系统选型错误等。

2. 软件技术风险

软件技术风险是指ERP系统软件本身及其所使用的技术而带来的风险。例如使用的技术和开发工具不成熟或未经授权、所依赖的技术过于复杂引起实施者未恰当理解、软件存在先天设计缺陷、程序设计员设置秘密“后门”、软件自我纠错能力弱等。

3. 运行操作风险

运行操作风险是指利用ERP进行业务处理、记录、维护和报告过程中所带来的风险。如收银员在收款环节可能将收到客户的现金据为己有、某业务处理环节误操作、不正确的业务处理、业务数据遭窃取或被篡改、病毒侵入造成数据丢失、操作人员缺乏主动性等。

4. 环境风险

环境风险是指ERP所处环境而带来的风险。例如组织结构不合理、职责权限不明确、业务部门工作不协调、管理制度缺失或未发挥作用、计算机硬件系统不能满足要求、自然环境不符合技术安全要求等。

二、ERP环境下风险控制的基本策略

风险控制是人们对风险进行识别、分析、监控和解决的过程。在这个过程中，我们应当采取积极的态度，寻找解决问题的方法。为此，笔者认为，ERP系统管理者应着重做好以下几个方面的工作：

1.风险的识别

风险的识别是指在实施ERP的过程中，找到可能存在的风险，其目的在于查明ERP实施过程中的不确定因素、来源及其相互之间的关系，为制订发现控制预案提供依据。该阶段主要是通过一定的手段按照风险的分类，从ERP实施过程中找出该系统可能存在的风险。识别风险的方法有：定期召开有关专家会议，询问实施过程中发现的风险；将ERP实施项目进行分解，使实施工作不断细化，以便于找出风险；将实际实施过程与标准的实施过程进行核对等等。

2. 风险的分析

风险的分析是指在风险识别的基础上，对风险存在及发生的可能性以及将会给ERP造成的损失范围与程度进行估计和衡量，确定各种风险的重要性，使实施人员将主要精力集中在主要风险上，从而使ERP的整体风险得到有效控制。在进行风险分析时可结合使用定性分析和定量分析的方法。

3. 制订风险控制预案

ERP的实施是一个庞大的系统工程，涉及的因素、内容和环节比较多，因此，不能等到问题出现了再想办法解决，必须在风险识别和分析的基础上，事先制订风险控制预案，指导风险控制，以便使可能出现的风险所造成的损失消失或减少。风险控制预案，由专门的小组或人员负责制订，既包括风险控制的策略，也包括可能存在的风险及其识别方法、应对措施、责任单位和责任人。

风险控制预案是开展风险管理活动的依据，对风险控制工作起指导作用，其编制目的是使可能出现的风险所造成的损失消失或减少。因此，风险控制预案的编制应当尽可能全面、合理、有效。同时，在ERP日常运行的过程中还应当加强监督和控制，跟踪已识别的风险，识别新的风险，对风险控制预案做出及时调整，使之得到进一步完善，更加合理，切实可行。

4. 积极应对发生的风险

风险的应对是指当风险将要发生或已经发生时，按照事先编制的风险控制预案，采取相应的风险应对策略，使ERP的整体风险降到最低的活动。通常采取的应对策略有消除风险、接受风险和转移风险。

消除风险是指通过一定的方法或措施消除风险产生的条件，以达到ERP免受风险影响的目的。接受风险是指当风险的负面影响在可以接受的范围内或没有找到合适的方法来消除或转移风险时，直接接受风险给ERP所带来的影响。转移风险是指将风险所产生的结果转移给他人，避免己方遭受风险所带来的损失。很显然，我们应当采取积极的态度来消除风险，尽可能减少可接受风险，反对转移风险。

三、ERP环境下风险控制的具体措施

对待风险人们应当采取积极的态度来消除风险，这需要有具体、有效的防范措施才能实现。笔者认为，ERP系统风险防范的措施主要有：

1. 转变观念，提升风险管理层次

ERP利用信息技术的成果，对企业内部的人、财、物、信息等进行规划、统筹和整合，这些工作的实施必然涉及一些重大问题的决策，如网络技术的决策、网上支付风险的评估、经营业绩的审核、风险管理与安全控制的程序决策等等。因此，控制风险不只是各部门工作人员的事情，企业的董事会、监事会和高级管理层必须发挥领导和监督的责任，对风险管理的职责进行确认，明确划分董事会和高级管理层在ERP实施中的风险管理的责任，评价风险管理体系，提出完善措施，协调各方面的问题。监事会也不要成为摆设，应加强内部审计，对董事会和高级管理层履行风险管理职责的情况进行监督。

2. 做好前期准备工作

对于ERP实施而言，前期准备工作是ERP具体实施前的重要环节，它直接关系到ERP的成败。因此，在ERP项目实施前，首先要结合企业发展的总体规划和内外部环境做好ERP项目的前期规划，明确ERP的实施目标、基本步骤、时间安排、资金预算、实施范围和实施内容；其次，要慎重选择合作伙伴，考察他们的行业经验、工作能力与职业信誉等；再次，要做好业务流程的重组和有效的控制环节，简化工作程序，改进组织内部以及组织与外部合作伙伴的沟通和协作关系，以提高自身的管理水平和响应速度来适应新的竞争环境；最后要做好ERP选型工作，考察软件供应商的行业应用经验、研发能力、信誉、服务品质等。

3. 合理设岗，加强内部牵制

ERP是一个庞大的企业内部资源管理系统，包括分销、制造、会计、税务、质量控制、售后服务、人力资源、网上结算、运输等子系统，是由各个部门协同完成来实现企业的目标。因此，在ERP实施的过程中应按照其特点设置业务处理岗位，并明确各个岗位的职责范围。在分工时，确实做到不相容的职能由不同的人员或部门担任，同一事项的处理由两个或两个以上的职能部门共同完成，使得人员或部门之间的工作相互联系、相互依赖、相互监督、相互印证，切实加强内部牵制，从而杜绝错误、舞弊或欺诈等风险的发生。

4. 加强运行操作控制

ERP将企业的业务数据统一化，实现了“数出一门，大家共享”和在线管理，这就要求在运行操作阶段应加强数据的输入、处理和输出这3个环节的控制。其中，输入正确、可靠的数据是保证ERP数据准确的首要环节，如果这个环节发生错误，必然会引起处理环节的数据错误，最终使整个ERP所输出的信息不正确。因此，除了加强操作人员的责任心、提高其专业技能和水平外，还应对数据的输入、处理和输出实施严格的控制措施，以确保数据操作的准确性。

运行操作阶段的控制措施有：所输入的数据应经过必要的授权，并经有关部门检查；采取建立科目对照文件、设立对应关系参照文件、确定合理数据范围、总数校验、平衡校验等技术手段，对所输入数据的正确性进行校验、禁止非操作人员操作会计信息系统的专用计算机；设置操作人员的操作权限，并进行严格的密码控制；数据的处理和存储相隔离；合理使用数据备份和数据恢复功能；在数据输出前，将输出总数与输入总数相核对，以保证数据经过处理后没有丢失和重复；对输出的数据进行人工和机器审核，检查会计报表有关项目之间的勾稽关系是否存在，以保证其完整性和正确性；对输出的磁性介质资料和打印资料应经主管人员审批后方能报出，并由专人保管，登记日期、名称、份数、送达部门或人员等。

5. 不能忽视环境控制

ERP是建立在一定的物质基础之上的，设备能否正常运行对ERP的实施具有重要的意义。因此，设备环境的控制是ERP风险防范中一个重要的方面，只能加强，不可忽视。设备的环境包括所使用的计算机、网络、软件及其相互协同工作等方面，其控制措施主要包括：采取防火、防水、防磁、防震、防掉电、防高低温等措施；保证恒温、恒压和适宜的湿度；装备不间断动力和稳压装置；定期对硬件进行测试；安装防病毒软件等。

6. 加强软件开发、使用和维护的控制

软件的控制措施用于保证程序和数据不被错用、滥用和非法使用。常用的控制措施主要有：所使用的各种软件必须经过授权；安全程度不等的数据应赋予不同的访问级别；设置日志文件以便详细登记并保留使用者进行业务处理的踪迹；对程序源代码采取保密措施，以防操作者对指令进行篡改；重要文档采取密码存储和传输的方式；软件的维护应经过周密计划，严格履行审批和测试手续；如果是自行开发的软件，应选择成熟并经授权的软件技术和开发工具，并由审计人员对数据的输入、处理和输出环节进行符合性测试，以测试软件中的内部控制是否存在、有效。

7. 重视档案管理

ERP环境下的档案包括各种账、证、表、数据文件、软件及其技术和法律文档，应按照档案管理办法的有关规定进行管理，其控制措施有：建立健全档案的保管、领用、复制、修改、销毁制度；实行专人、分人、分处管理；数据每天做双重备份，并定期检查；经领导同意借阅的档案资料，应严格履行借阅和归还手续。

主要参考文献

[1] 罗鸿.ERP原理设计实施[M].北京:电子工业出版社,2005.

[2] 张国平. ERP系统与传统会计信息系统之比较[J].中国农业会计,2004,(7).

[3] 王锴,岳丽娟. ERP发展进程中若干问题研究[D]. 中国会计学会第四届全国会计信息化年会论文集.

[4] 刘文昌. 会计电算化信息系统的安全控制[J]. 会计之友,2005,(4).