李丹 万馨阳 曾骏 祁庶

摘 要：ERP系统是企业运营的核心管理系统，但是ERP系统中关键控制点存在诸多安全隐患，特别是权限配置内控管理不健全，易造成敏感数据泄露的风险。本文对ERP业务财务一体化系统销售、采购、总账权限管理内控风险进行分析，并利用功能级权限管理、数据级权限管理和金额级权限管理技术逐一提出风险应对方案。

关键词：ERP系统;权限管理;风险分析;风险应对

一、引言

目前企业ERP系统正进入普及期，越来越多的企业ERP系统包含供应链管理、财务会计、生产制造管理和人力资源管理，实现了业务财务一体化集成管理，大量的业务数据自动生成财务数据。但是，企业ERP系统中用户身份认证及权限管理控制活动设计不严谨，反舞弊机制不健全，均会导致安全问题的出现。因此，必须加强企业内部控制职责分工和敏感字段等关键控制点权限设置管理，才能保障企业利益和机密数据安全、完整，更加有力地支持了企业核心业务的运营。

二、目前企业ERP系统权限管理风险控制存在的问题

企业ERP系统权限管理存在以下的主要问题：

1.销售与收款环节权限管理风险分析

销售与收款业务权限配置内控风险包括：销售员之间的恶性竞争，导致企业客户销售价格等数据泄漏;客户信用管理不到位，账款回收不力等，可能导致销售款项不能收回或遭到欺诈。

2.采购与付款环节权限管理风险分析

采购与付款业务权限配置内控风险包括：采购员跟供应商勾结，泄露公司近期的采购计划、其他供应商的价格等信息，使得企业丧失采购的主动权;供应商选择不当，授权审批不规范，可能导致采购物资质次价高，出现舞弊或遭受欺诈。

3.总账环节权限管理风险分析

在ERP软件中，销售与采购业务数据实时传递到财务模块，自动在总账子系统中生成财务凭证。业务数据和财务数据集成后总账环节权限控制内控风险包括：在采购与付款环节，存在现金支付舞弊风险;在销售与收款环节，存在不记或漏记实现地销售收入，被员工转移到账外的风险。

三、ERP系统的权限管理风险控制的几点建议

1.销售环节权限管理风险控制

（1）功能级权限管理，明确销售岗位职责和权限

销售与应收循环中，首先要明确销售订单、销售发货、收款、信用管理等环节的职责和审批权限，避免销售过程存在舞弊行为。例如，在开票直接发货的模式下，会计王志远开具销售发票，要根据总经理邓国强审核后的，同时是销售员郑爽填制的销售订单;并且销售发票一经财务经理张德根复核后，系统自动生成发货单和出库单，库管员张晓琪只能查询、审核出库单，不能修改，以上功能级权限设置能有效防止多开发票、多发货、多出库形成销售员账外库存的风险。

（2）数据级权限管理，价格权限配置适当

利用数据权限控制中记录级设置，限制某用户不能查看订单的单价。具体操作如下：第一，总经理邓国强在数据权限控制设置中，勾选用户和单据模板控制;第二，打开单据格式设计，在单据格式中新增加一个没有金额的单据格式;第三，在数据权限控制中，记录级选择限制“用户”，点击授权;第四，针对需要控制权限的这些用户，设置只能查看自己的单据。

（3）金额级权限管理，信用审批权限控制

例如，利用金额级权限管理更能对客户的信用进行控制。第一，在ERP系统中分别为销售专员、部门经理、销售总监设置了以20万元、50万元、100万元为界的警示触发限额，并设置了以30天、90天、183天为界的账龄警示期限。其中，200万元以上的大额业务或183天以上较长账龄的高风险账项归集在销售副总掌控中。第二，针对每位客户信用状况实时监控，如在保存、审核销售订单时，若当前客户收账款余额或期间超过了该客户档案中设定的信用额度或期限，系统会提示当前客户已超信用，并根据是否需要信用审批进行控制。

2.采购环节权限管理风险控制

（1）功能级权限管理，明确采购岗位职责和权限

采购与应付循环中，首先要明确采购请购、采购订单、采购到货、采购发票、付款、信用评估等环节的职责和审批权限，例如，采购部门凭总经理审批后的采购请购单进行采购，而采购的材料必须经过验收岗位验收合格后，才能办理有关入库手续。

（2）数据级权限管理，控制敏感字段查看权和修改权

例如，系统权限设定采购员填制采购单据时，只能参照采购员管理权的供应商;并且，采购员不能查看到敏感字段如供应商开户银行、采购计划、其他供应商的价格等信息。例如，在赋给采购员李美玉填制采购订单字段权限时，在字段权限管理中，取消供应商开户银行等信息。

（3）金额级权限管理，审批权限划分

对采购职责不同职位操作员进行金额级别控制，例如，设定采购主管刘旭阳只能审核100萬以下订单;采购部门经理祁宇只能录入审批金额在200万以内的订单;超过需要采购部总监审批。

3.总账权限管理风险控制

（1）功能级权限管理，明确总账岗位职责和权限

ERP系统中所有业务数据最后都汇集到总账子系统中，因此总账模块不相容业务分工更显得重要。例如，采购支付环节，会计王志远接到发票等原始凭证后，先由财务经理张德根审批，再由会计人员编制付款凭证，之后，交给出纳员王艳由其根据付款凭证列出的金额支付现金，并登记现金日记账，然后将付款凭证退交会计王志远，以便登记总账和明细账。

（2）金额级权限管理，业务凭证限额处理

操作员进行金额控制，就是对不同级别的人员进行业务处理金额大小的控制。例如，一般会计只能录入50万的业务凭证，而财务主管可以录入金额大于100万的业务凭证。金额权限控制设置作用就是可以防止经济损失。

四、ERP系统权限配置典型事例

以用友ERP U8v10.1系统为例，数据级、金额级权限设置方法如下：

1.数据级权限管理使用说明

数据级权限管理，是针对业务对象进行的控制，可以选择对特定业务对象的某些项目和某些记录进行查询和录入的权限控制。例如，字段级权限设置案例：授权销售员郑爽仅有华北区权限，首先由账套主管邓国强身份登录系统，选择路径：数据权限控制-记录级-客户档案-数据权限分配，档案分配：把明细档案分为华北区和华南区，授权郑爽华北区权限。实现销售员郑爽仅负责华北区相关业务、不能处理其他地区业务，而销售业务主管祁庶则可处理全部业务。

2.金额级权限管理使用说明

金额级权限管理，限制操作员制单时可以使用的金额数量，以实现对用户权限的精细划分。例如，设置会计时颖只能填制销售费用科目金额在1万元以下的凭证。在企业应用平台系统服务中，执行“权限”/“金额权限分配”命令，打开“金额权限设置”对话框。单击【级别】按钮，打开“金额级别设置”对话框。设置销售费用科目金额级别，级别一：1万;级别二：10万。单击【保存】按钮退出。在金额权限设置界面，单击【增加】按钮，设置会计时颖对应的金额级别为“级别一”，单击【保存】按钮。

参考文献：

[1]李丹，曾庆峰.基于虚拟机快照技术构建ISCA模型实践教学设计[J].中国注册会计师，2015，4：61-64.

[2]郑述招.金蝶K3中用户权限设置及其对业务的影响[J].财会月刊，2015，9：104-107.

[3]李丹，曾庆峰.基于虚拟机快照功能获取ERP系统审计证据[J].财会月刊，2014，6：68-69.

[4]李丹，曾庆峰.ERP环境下内部控制会计监督实践教学设计[J].财会月刊，2012.7：90-97.

[5]企业内部控制编审委员会企业内部控制基本规范及配套指引[M].立信会计出版社，北京，2016.4：453.

作者简介：李丹（1973.09- ），女，汉族，辽宁沈阳人，副教授，硕士研究生，工作单位：北京服装学院商学院会计教研室，主要研究方向：ERP、税法、财务管理