案例七：ERP系统内部控制的风险与防范案由：一、集团信息系统的组成特点 某企业集团为一家日用消费品的生产企业。集团拥有三个生产基地专门负责生产；一个销售 总部负责所有产品的销售和管理覆盖全国的营销网络；一个财务总部负责整个集团的财务与 会计工作。集团一直致力于信息化的建设，很早就成立了集团信息中心；自行开发了生产管 理(Ml)、电子采购管理、销售管理以及人事管理信息系统；会计信息系统应用了用友公司的 会计软件，并不断对软件进行升级，以达到功能的不断完善。虽然企业在生产、销售和财务 等部门都使用计算机系统进行信息管理，但是这些信息系统各自独立，形成了“信息孤岛”， 不能为企业的决策提供更有效的信息支持。因此集团决定建立现代化的信息管理平台，通过 业务流程优化和信息化，进一步改善集团的信息管理，挖掘信息资源的效益，来应对自身发 展和市场竞争的需要。2002年该集团开始为实施ERP系统进行广泛的市场调研，并在2004年6月开始上线预运 行。该集团选择全球最大的企业管理软件供应商SAP公司的R/3软件作为企业ERP系统 的运行平台。集团采用分阶段上线的实施策略。在系统投入运行之初，集团根据需要，仅选 择 R/ 3 软件中的销售/分销模块、物料管理模块和财务会计模块上线，将销售、产成品库 存和财务会计进行集成管理。原有的生产管理系统:MRP)和网上电子采购平台继续使用；以 前的财务数据保留在旧系统之中。MRP、网上电子采购平台和原有的会计信息系统并没有 通过外部接口和ERP整合在一起，需要的数据通过相应的授权人员人工输入或导入。在ERP 系统试运行阶段，集团财务系统采用双系统运行的方式，在ERP系统通过测试正式运行后， 原有的会计信息系统停止使用。二、集团信息系统内部控制的现状及风险分析 1信息系统设备的控制现状及风险 集团信息系统的设备是信息系统实施的物理条件，设备的安全是系统运行的基础，因此如何 保证设备的安全是信息系统风险防范的基础。集团信息中心的设备主要有开发服务器、测试 服务器、生产服务器、外存储设备、网络设备、工作站等，并集中放置于集团办公大楼的计 算机机房。设备安全面临的威胁主要为地震、火灾等自然灾害和内外部人员的偷窃行为。该 企业集团对设备安全风险进行了认真分析，认为集团总部地理位置处于华中地区，不属于地 震等自然灾害的高发地区，主要面临的自然灾害为火灾，因此花费大量的资金购置了专门的 防火消防系统，能够对突发的火灾险情迅速做出反应，保证设备的安全。针对内外部可能存 在的偷盗威胁，对外集团总部大楼设置了严密的保安系统，能有效的防范外来人员的入侵； 对内则通过严格的接触控制，只有集团两个高层主管和保安部门拥有计算机机房的钥匙，而 保安人员只有在发现计算机机房出现意外的情况下才允许进入，因此一般员工很难接触到系 统设备，有效地控制了内部人员的偷窃风险。2信息系统软、硬件故障的控制现状及风险ERP 系统软、硬件的正确、有效、持续运行直接关系到集团业务处理的持续性和信息处理 的正确性。 ERP 系统软、硬件可能面临的威胁主要有：使用人员操作错误导致系统停止响 应或处理错误；系统内嵌程序出错导致系统对信息加工的错误；系统硬件设备运行时间过长、 消耗过多或硬件老化导致系统运行中断等。该企业集团在实施ERP系统时充分考虑了这些 风险，选择了国际上应用较成熟的SAP公司的R/3软件，保证ERP系统运行平台的稳定， 并且根据集团自身特点和需要采用试运行的方式对系统进行检测。首先在测试服务器上进行 程序测试，通过测试后的程序才能在正式的生产服务器上运行，有效地控制了新增程序设计 不当和与系统不兼容的风险。为了保证系统运行的顺畅和评价系统处理信息的正确性，企业 集团定期对业务数据进行分析，以便及时发现和纠正程序错误，降低风险。系统运行网络的 通畅性也是保证系统安全、有效运行的一个物理条件。企业集团为此采用冗余设备防范的方 法，为服务器铺设了三条网络专线，一旦一条网络断线，系统将自动切换到另一条专线上， 有效防范了由于网络故障造成业务处理中断的风险。另外，企业集团为系统配备了 UPS设 备以防范电力突然中断造成系统运行停止和数据丢失的风险。针对硬件引发的故障，集团的 IT 部门配备了专业人士能够在最短的时间内检修完毕和利用备份数据进行系统恢复，把企 业集团因之受到的损失控制在最低。3信息系统非授权访问的控制现状及风险 对集团信息系统的使用必须经过授权。非授权的访问将带来企业重要信息泄漏或丢失的风 险。集团信息系统非授权访问的威胁主要来自于系统外部，如黑客入侵和病毒攻击，尤其是 有意图、有目的的攻击行为将给企业集团带来巨大的伤害，严重威胁着企业集团信息的机密 性、完整性和可用性。该集团通过架设防火墙和杀毒软件等技术措施防范来自网络的黑客攻 击和病毒攻击，并且限制来路不明的软件在系统主机上安装，最大程度地控制了网络攻击和 恶意软件带来的风险。4信息系统管理部门内职责分离的控制现状及风险 职责分离是企业内部控制的基础控制手段，主要目标是防范内部人员的舞弊行为带给企业的 灾难。在 ERP 环境下，信息系统不相容的职责分离主要有：系统设计人员与系统操作人员 的职责分离；系统维护人员与系统操作人员职责要分离：系统操作人员、系统设计人员与数 据档案管理员职责要分离；数据库管理员与信息系统管理部门的其他职责要分离。该企业集 团由IT部门负责信息系统的管理和维护工作；在IT部门内对人员进行了严格的分工，并由 部门经理统一在系统中设定每个人的权限，每个人根据自己获得的用户名和初始密码登陆系 统进行权限内的操作，使用者在初次登陆后必须更改密码，这样保证了每个人操作权限的独 立性，有效地防范了舞弊风险。另外，我们也注意iJIT部门经理作为系 统管理员拥有系统的全部操作权限，该企业集团目前尚没有采取有效的措施对其进行监控， 仅依靠其自身的职业操守和道德准绳进行约束，这样的做法也给企业集团带来了一定的风 险。5不同信息系统之间信息传递的控制现状及风险 从该企业集团目前的信息系统组成结构看来， ERP 系统需要与原有的生产管理系统（企业自 行开发的MRP系统）、网上电子采购系统以及已停止使用但保留历史数据的用友财务会计系 统进行沟通。虽然R/3软件提供了系统外部接口，但是该企业集团并没有直接将它们和ERP 系统通过接口连接进行集成管理。他们的做法是由授权人员手工将通过网上竞标得到的供应 商信息录入到 ERP 系统中进行物料采购的管理。历史财务数据信息的读取同样是由授权人 员将用友的数据库文件手工导入到ERP系统中，由ERP系统转换成其可以识别和处理的文 件类型，再和新的数据进行关联处理。整个录入过程都通过了授权人员的审核以保证录入的 正确性。这种方式虽然没有将集团所有的信息系统集成，一定程度上降低了信息系统使用的 效率，但是可以减低由于系统接口标准不同所带来信息转换成本，同时也带来了再次录入的 风险。三、集团信息系统内部控制的风险防范对策 防范信息系统的风险，保证信息系统的安全，集团必须采取全面有效的控制措施。 ISOflEC 1 7799 标准是最早成为国际信息安全管理的标准，它作为一个通用的信息安全管理指南，广 泛的涵盖了几乎所有的安全议题，适合帮助管理者了解关于安全管理的注意事项和安全制 度，并且可以指导企业根据自身的情况设计和建立自己标准的安全管理体系。以下我们根据 ISOflEC 17799标准，针对企业集团完善信息系统的内部控制提出几点建议。1建立信息安全管理委员会，完善组织控制 企业集团可以设立独立的信息安全管理委员会，主要是用于指导、协调和评价企业集团信息 系统实施过程中的安全控制措施。该委员会应该与信息系统的维护和使用部门相独立，负责 确认企业管理层的信息安全方针，并在企业组织中指派安全角色，协调企业安全措施的实施， 以达到对信息系统的监督和有效的风险防范的作用。该委员会可以和企业内部审计部门合 作，对企业24 / CHINA MANAGEMENT INFORMATIONIZATION信息系统的使用和信息 安全管理的效果进行综合的评价，促进企业集团信息系统的改进。 2构建集团信息系统的物理与环境安全 企业集团可以设立专门的安全区域，主要用于放置关键的和敏感的业务信息处理设备，如计 算机主机、服务器、存储设备等，通过对安全区域设立适当的安全屏障和接入控制来有效地 防范未经授权访问、干扰和破坏所带来的风险。另外，对安全区域中的信息处理设备还应该 加以实体上的保护，采用一些专门的管理措施，如监控系统、自动报警系统、专业的防火消 防系统等，以使信息处理设备及其辅助设备免于灾难性事故的毁坏。 3建立安全事故及故障响应制度 安全事故及故障响应制度是安全事故及故障发生时处理的指导原则，目的是帮助企业集团能 迅速的对事故及故障做出反应，将事故及故障造成的损害降到最小，并通过对已发事件进行 分析来监督此类事件，达到进一步防范风险的作用。该制度中应该写明事件的不同类型，如 安全漏洞、安全威胁、弱点或故障等，以及它们的报告程序，以使员工在发现事件时可以依 之及时汇报和迅速做出处理。在对事故做出适当的处理后，应迅速收集相关证据，以合适的 机制进行量化，评价事故与故障的种类、数量和成本，以利于后续的监督和防范工作。此外， 还应当建立和事件相对应的处罚措施，对引起系统安全漏洞的员工以适当的惩罚，有利于降 低人员出错诱发事件的风险。4加强网络安全管理，抵制恶意软件的入侵 集团应该实施一系列控制措施来保证网络安全。例如运行专用的网管软件进行网络监控、采 用专用内容过滤技术阻止各种恶意内容的入侵等，并通过对防火墙、扫描器、入侵检测等系 统安全的支撑产品信息的采集，与信息系统的事故报告进行关联分析，以便于更准确地了解 信息系统受到非授权访问或攻击的信息以及控制措施的控制效果，有利于企业集团控制重点 的调整，加强网络风险的防范。5加强员工的信息安全意识，进行信息安全控制的再教育 企业集团信息系统的安全管理离不开人的作用，企业集团应该从上至下都建立起信息安全的 观念，并由管理层从战略高度出发，根据企业集团的需要和特点制定一套清晰的信息安全指 导方针，并向企业集团内部各组织发布，表明管理层对信息安全的支持和承诺。同时，对员 工进行信息安全的再教育，培养员工的信息安全意识，使员工在进行业务处理时能够依据企 业集团的信息安全方针进行信息安全控制和风险防范。（来源：中国管理信息化 文：罗凤兰 欧阳电平）分析要点：1. 伴随着企业信息化的进一步深入，很多企业开始将各个独立的信息系统进行集成。目前国 内很多企业都选择国际上应用比较成熟的 ERP 软件来实现企业的现代化管理，应用较多的 是 SAP 公司的 R/ 3 软件。本案例通过调查了国内一家应用 R/ 3 软件实施 ERP 效果较好的 企业集团，通过了解该集团在ERP环境下的内部控制状况来分析企业集团在ERP环境下信 息系统的风险，同时研究防范对策。2. 本案例通过对国内一家大型的日用消费品生产企业实施ERP系统的调查，分析了我国企 业集团ERP系统环境下集成的信息系统的组成特点，以及信息系统内部控制的现状和风险。 根据Is0 / IEc 17799标准，本案例提出了完善企业集团信息系统内部控制防范的风险，保证 信息系统的安全，集团必须采取全面有效的控制措施：建立信息安全管理委员会，完善组织 控制、构建集团信息系统的物理与环境安全、建立安全事故及故障响应制度、加强网络安全 管理，抵制恶意软件的入侵、加强员工的信息安全意识，进行信息安全控制的再教育