【ERP环境下的企业信息安全和内部控制管理7900字（论文）】

ERP环境下的企业信息安全和内部控制管理目录TOC\o"1-2"\h\u22179ERP环境下的企业信息安全和内部控制管理 127952关键词：ERP；企业；信息安全；内部控制 110845一、ERP应用对企业信息安全与内部控制的影响 1454（一）ERP应用对企业信息安全的影响 223150（二）ERP应用对企业内部控制的影响 320672二、ERP环境下企业信息安全与内部控制管理的不足 422048（一）ERP环境下企业信息安全管理的不足 44460（二）ERP环境下企业内部控制管理的不足 512273三、ERP环境下企业信息安全与内部控制管理的优化 52839（一）ERP环境下企业信息安全管理优化 57607（二）ERP环境下企业内部控制管理优化 6摘要：进入信息时代，随着现代电子计算机技术与网络技术的快速发展，信息化的管理模式已经成为现代企业经营管理的必然趋势，而以ERP应用为核心的信息化建设也成为企业发展进程中的重要任务。与此同时，在美国“萨班斯法案”的影响下，加强企业内部控制并对其现有的内部控制体系进行进一步的优化成为现代企业在管理方面的热点问题，如何在ERP的应用环境下加强企业信息安全及内部控制管理也因此成为各大企业丞待加强的研究焦点。因而，本文将主要围绕ERP环境下企业信息安全和内部控制管理的问题进行简单探讨。关键词：ERP；企业；信息安全；内部控制正如我们所了解的一样，ERP系统应用的核心理念就是对企业的信息链进行系统和完整性的有效管理，因而，在ERP环境下，企业的资金流、物资流和信息流处于一种高度集成的状态，业务处理流程也实现了极大的简化。但计算机对手工处理的替代使企业内部部分牵制性措施无法得到有效执行，会计人员不能直接参与到内部控制工作当中，审查与稽核机制也被削弱。与此同时，计算机及网络技术在可靠性与安全性方面存在的问题，也使企业的信息安全受到威胁，为企业内部控制工作带来了一定的风险。结合实际来看，ERP应用对企业形成了怎样的影响？ERP环境下，企业信息安全与内部控制管理存在哪些不足与缺陷？企业应通过哪些具体的方法和途径对ERP环境下企业信息安全与内部控制管理工作进行深入的优化与完善？一、ERP应用对企业信息安全与内部控制的影响作为现代企业管理的一种全新思想，ERP不仅仅是新型的企业管理模式，同时也是一套相对先进且完整的计算机管理系统。在现代计算机技术、网络技术及信息技术高速发展的技术环境下，ERP系统也被国内众多企业所引进，成为各个行业、各种规模企业经营、管理的新手段。而ERP系统在企业中的全面应用，对企业的信息安全及内部控制都形成了一定的影响。（一）ERP应用对企业信息安全的影响从信息安全的角度上来看，随着企业信息化水平的不断提升，信息安全的影响因素越来越多。结合表一所示来看，ERP环境下，企业信息的处理方式、信息化的程度以及信息安全管理都发生了相应的改变，因此，企业管理层在对信息安全问题进行管理的过程中，所需考虑的因素也越来越多，信息安全在企业管理工作中的重要性日趋突出。传统内容发展方向以人工的方式记录、传递信息←信息处理方式→使用集中管理的ERP系统存储、处理、分析、传输信息数据少量分散信息存贮；简单缓慢的信息传递方式；狭窄的接触范围；各业务单元相对鼓励；←信息化程度→海量集中的信息存贮；复杂迅捷的信息传递方式；广泛的接触范围；各业务单元相互联动；采用手工方式进行管理；信息载体的物理安全更为重要←信息安全管理→采用系统自动与手工结合的方式管理；信息访问逻辑安全为重表一ERP环境下企业信息安全管理变化图示1．ERP应用对企业信息处理方式的影响传统管理模式下，企业信息数据的记录与传递都依靠手工方式，而ERP环境下，ERP系统的集中管理则替代了传统手工处理方式，采用现代化的信息系统对企业的信息数据进行系统性地存储、分析、处理和传输，这使企业信息处理的效率和质量得到了有效保障；2．ERP应用对企业信息化程度的影响引入ERP系统之前，企业信息化建设尚处于刚刚起步的阶段，只能通过计算机对少量且分散的信息进行基本存储，并借助传统的网络技术对信息进行简单且缓慢的传递，企业内部各个业务单元相对独立，信息化建设所能够接触到的范围相对狭窄。而在ERP环境下，通过对现代ERP系统的应用，企业信息化程度大大提升，不仅可以对海量的信息数据进行进中华的存储，而且可以对各种复杂的信息进行快速的传递，使企业不同业务单元之间通过ERP系统进行有效的相互联动，全面提升信息化的涉及范围。但恰恰是ERP系统在信息存储、传输以及业务单元联动方面的先进性，使企业信息安全管理的范围不断扩大，加重了企业信息安全管理的负担；3．ERP应用对企业信息安全管理的影响在信息化管理之前，企业对信息的安全管理同样采用手工的基本方式，将企业内部各种信息载体的物理安全放在首位。但在ERP环境下，通过对ERP系统的应用，企业信息安全管理将传统手工管理的方式与ERP系统的自动化管理结合在一切，将信息的访问逻辑安全作为信息安全管理的重点。也就是说，在ERP环境下，企业信息安全的管理重点发生转变。不难看出，在ERP环境下，因ERP系统的全面及深入应用而对企业信息管理工作形成了一定的影响，企业信息处理方式、信息化程度以及信息的安全管理都发生相应的转变，而这些转变则加重了企业信息安全管理的负担，使企业信息的安全性受到更大的威胁。而从内部控制的角度上来看，ERP系统的应用对企业内部控制工作形成了怎样的影响呢？（二）ERP应用对企业内部控制的影响基于企业对ERP系统的应用，因企业内部的一切资源与信息都可以得到统一管理与共享，所以ERP环境下企业内部各项业务的处理基本需要跨职能部门来推进。而因ERP系统的应用，企业信息在储存载体、储存形式以及处理方式等方面也都发生了相应过的改变，企业内部控制工作也因此而面临更多的风险。1．ERP应用改变了企业的业务流程，影响了内部控制内部控制作为企业管理体系的重要组成部分，几乎涵盖企业经营及管理活动的所有内容。尽管ERP系统的应用旨在为企业的经营活动提供更好的服务，但ERP环境下，企业原有的业务流程发生了相应的转变，而这种业务流程的改变则使企业内部控制工作面临更多的风险与挑战。第一，因ERP系统的全面应用使企业业务流程发生变化，相比于手工处理而言，其中的变化相对较大，企业内部参与到内部控制工作中的相关人员无法适应ERP系统的操作方式，各种不确定性因素普遍存在，而这些不确定性因素的存在则对企业内部控制工作的有效开展形成了一定的影响；第二，在ERP环境下，企业业务流程发生较大转变，而且内部管理的整体框架也逐渐趋向扁平化，内部控制工作基本通过ERP系统程序来进行执行，自动化程度的提升是企业内部业务人员的工作量大大减少，这为企业员工身兼多职提供了可能性，同时也为内部控制工作留下了潜在的隐患与风险；第三，ERP系统对企业内部控制的流程化管理使企业内部部门与部门之间的关联度更为密切，跨职能部门的业务处理方式使企业各个部门紧密地联系在一起，如此一来，一旦业务处理的某一环节出现问题，则将对其他的业务处理流程的运作形成影响，使企业内部控制工作无法得到有效地落实与开展，甚至影响企业正常的运营与管理；第四，在现有的ERP系统当中，集成的系统多采用单一的数据库，企业内部所有信息数据基本都采用一次性的单点进行输入，企业产品入库的数量信息通常只是通过仓管部门进行确认，而这一环节如果出现差错，将会造成内部控制工作无法获取准确且有效的信息，并对企业生产、销售以及财务部门的工作形成影响。2．ERP应用使企业内控要素发生变化，进而对内部控制工作形成影响。一般情况下，企业内部控制的基本框架由控制环境、控制活动、风险评估、信息及沟通以及监督这五部分构成。在ERP的环境下，企业内部控制的这一框架并未从根本上发生转变，依然由这五部分要素构成，但具体到每一项要素来看，其内部构成却因ERP系统的应用而发生了一定的转变。第一，ERP系统的应用改变了企业的控制环境。企业通过全面实施ERP，内部原有的组织结构发生改变，管理结构更为扁平化和流程化，企业内部的管理层、决策者以及执行者能够实现快速的沟通与交流，企业内部控制的层次大大减少，内部控制的责任也更为明确，控制效率也因此而得到提升。但同时，因ERP系统的应用，企业内部控制的灵活性增降，系统中对等的渠道使身处任何地点的人员都可以较为容易地获取，而这种信息获取的便捷性和灵活性在方便内部控制工作开展的同时，也容易造成企业内控信息的流失；第二，ERP系统的应用影响了企业的控制活动。通过对ERP系统的应用，企业内部控制的手段更为多样、灵活和高效，企业内部控制体系所具备的预防、检查与纠正功能得到有效加强，使企业内部控制工作摆脱在人员和资源方面的限制，在企业内部树立起全新的内部控制理念。可以说，ERP环境下，企业内部控制工作对检查、审批、控制程序以及核准人员的依赖性降低，更多地依靠于现代信息技术的支持。但正是这种对信息技术的高度依赖，直接加重了企业内部控制工作的难度和复杂性；第三，ERP系统的应用对企业风险评估形成一定影响。ERP系统的应用为企业内部控制工作中风险发现、分析与评估提供了全新的处理理念和方法，使企业在对既定目标实现过程中所存在的各种风险能够进行及时的分析、辨认与处理。而通过将ERP系统中所应用的信息技术与企业业务活动的有效结合，则形成了有效的风险防范工具，降低了企业内部控制中各种错弊问题发生的几率，使企业各项业务活动的有序进行得到了保障。但同时，计算机系统本身的复杂性具备一定的应用风险，而电子数据便于删除或改写的特性使企业数据处理及观测工作的准确性和安全性受到影响；第四，ERP系统的应用影响了内部控制的信息及沟通。ERP环境系，企业内部各个部门依靠网络进行连接，各种业务可以通过ERP系统进行一体化的处理，企业内部信息需求者能够通过ERP系统及时获取相应的信息。可以说相对开放的ERP系统为企业内部的岗位员工以及企业管理层提供了一个开放式的沟通管道，企业内部的沟通更为顺畅，这不仅可以使企业的员工能够对内部控制体系中的职责斤进行更直观、更清楚地了解，同时也能够使管理层更快速、更全面地掌握内部控制工作开展及落实的具体情况。但开放式的技术环节无法对各种非法的侵扰行为进行有效避免，ERP系统遭受非法访问或者是恶意破坏的可能性普遍存在；第五，ERP系统的应用改变了内部控制的监督工作。在现有的ERP环境下，企业内部控制体系程序化的发展趋向加重了内部控制工作对ERP软件系统的依赖性，同时也使内部控制工作具备人工控制跟程序控制结合的全新特点。而内部控制工作程序化的发展模式使内部控制工作的质量与ERP软件系统的质量紧密相关，一旦软件程序出现问题，企业内部控制将失效，而这种内控体系的失效很可能无法在短期内被发现，这大大提升企业内控纰漏发生的可能性。正所谓任何存在都具备两面性，ERP系统的应用对企业而言有利也有弊。可以说，ERP环境下，企业信息安全管理及内部控制管理都发生了不同程度的转变，而要对ERP环境下企业信息安全管理及内部控制管理工作进行优化与完善，首先要理清ERP环境下企业信息安全与内部控制管理中存在的不足与缺陷。二、ERP环境下企业信息安全与内部控制管理的不足通过以上的分析可以看出，通过对ERP系统的应用，ERP环境下企业信息安全管理与内部控制工作都发生了较大转变，ERP实施除了对企业信息安全及内部控制管理工作进行有效改善与提升之外，还带来了部分新的挑战和风险。而结合我国工商银行ERP系统应用的实例来看，企业信息安全与内部控制管理都存在部分丞待改善的不足。（一）ERP环境下企业信息安全管理的不足作为我国经济领域中具备较大影响力的企业之一，中国石油化工集团公司（以下简称中国石化）已经建立起标准、统一且规范的ERP平台，实现了企业业务处理以银行产品为中心向以客户为中心的转变。发展至今，中国石化已经建立起包含23个子系统在内的综合业务系统，可以说，其对ERP系统的应用已经较为成熟。但在实践中，企业ERP系统并没有得到切实的深化应用，尚未发展成为一个上下贯通、切实有效的核心共用管理平台；尽管企业ERP应用已经全部达标，总部的各部门也能有效地将内部ERP系统融入到企业的发展战略、管理体系及日常的经营活动之中，但业务环节与IT职责在分配上存在冲突、开发环境下程序人员可在生产环境中对变更请求进行释放、超级用户管理不当、系统操作权限设置相对较大、权限的分配缺乏标准性、SAP的安全管理不够完善以及关键交易代码管控不当等，这些问题普遍存在于中国石化ERP系统使用过程中，影响着其信息的安全管理，企业ERP系统因此从总体上无法达到如国外大型能源化工公司的ERP应用水平。而结合中国重汽以及国内众多大型企业ERP应用的实践来看，以上问题同样，对这些企业ERP应用环境下信息安全管理工作的开展形成了影响。（二）ERP环境下企业内部控制管理的不足从内部控制管理方面来看，随着ERP系统应用的发展与完善，中国石化信贷业务及管理工作的创新、服务效率以及运营成本控制等工作都取得了较为可观的开展成果，企业实际业务的信息化管理也得到了强化，企业可以对客户进行统一的管理，且可以利用ERP系统对业务进行监控和管理。但在ERP系统的应用过程中，针对ERP环境而制定的内控制度并不完善，丰富的内部控制内容使不同的控制工作之间缺少必要的整合，内部控制工作无法对ERP环境下所存在的风险点进行全面覆盖，而重要的业务处理也缺乏针对性和有效性的保障。与此同时，尽管ERP环境下中国石化内部信息的沟通问题得到有效改善，但从根本上来看，ERP应用并没有真正解决企业因发展规模扩大以及业务结构的复杂性而造成的信息沟通的难题，ERP环境下，企业信息的沟通依然缺少顺畅的交流机制，各种业务风险无法得到有效的防范、分析和控制。中国石化这一类ERP系统的先行企业在系统应用上尚且存在如此之多的不足，那些刚刚引入并应用ERP系统的企业在信息安全管理与内部控制管理方面的基本现状可想而知。由此可见，加强对ERP环境下企业信息安全与内部控制管理工作的优化与完善已如张弓之箭，势在必行。三、ERP环境下企业信息安全与内部控制管理的优化（一）ERP环境下企业信息安全管理优化在遵守外部法规监管要求的基础上，为避免因信息安全的漏洞而使企业发生重大损失，信息安全问题无疑是企业ERP应用中应关注的重要问题。基于对ERP系统的应用，企业内部所有的业务数据基本都存储于ERP系统当中，所以在ERP环境下，信息安全管理工作首先要解决的就是ERP系统的访问授权问题。加强ERP系统访问授权管理具体来看，ERP系统当中，对于关键性的经营、管理及财务数据信息，企业必须采取相应的措施对其进行充分保护；其次，企业要针对管理需要，对系统的访问权限与授权进行有效控制和管理，按照最小授权的原则，在保障访问权限与岗位职责一致的基础上进行企业ERP系统访问权限的分配，以保障系统内部信息数据不被非法修改、删除或者是泄漏；另外，在进行ERP系统应用的过程中，企业必须按照企业岗位权限的分布，对系统操作权限进行职责分离，避免因访问权限模糊而造成舞弊问题的发生。要实现对ERP系统授权的这种管理，企业可以在系统中适当引入GRC访问控制系统，据表2中相关部门对130家企业的调查可知，在ERP系统中植入GRC访问控制系统，除了可以保障信息安全，还可以有效降低企业运营在人力及财务方面的成本投入，提高企业内控效率。节约内部和外部审计时间30%节约内部和外部审计成本25%为控制访问授权风险花费的时间降值32%为控制访问授权风险花费的成本降值28%用户及角色变更花费的时间降值28%为清楚审计发现的安全问题花费的时间降值31%表二130家企业GRC系统应用调查报告平均值2．加强ERP系统软硬件维护除此之外，要切实保证企业信息安全管理的有效性，企业还必须加强对ERP系统软件及硬件的优化管理，保证ERP软件及硬件平台可以处于稳定运行状态。要实现这一目标，企业就必须加大对系统软件及硬件系统的定期维护和评价，并针对系统运行的具体情况出具相应的运行报告，条件允许的情况下还应当对系统检测以及维护的人员进行轮换。若系统出现故障，则应及时向相关管理部门报备，系统维护人员或系统管理部门不能私自作出决定，以便于保证ERP系统所提供的数据信息的真实性、准确性和可靠性。（二）ERP环境下企业内部控制管理优化要对ERP环境下企业内部控制管理工作进行进一步的优化，企业首先要针对ERP系统应用的特点对现有的风险管理机制进行完善，对ERP环境下的内部控制环境进行优化，并借助于外部的审计机构来对ERP环境下企业内部控制工作进行有效的评价、监督与控制。1．对现有的风险管理机制进行完善以上分析中已经提及，ERP系统的应用使企业内部各部门之间的联系更为紧密，企业内部各个部门、各个作业单位，企业与外部供应商、合作伙伴及客户之间可以通过互联网实现信息及作业高度的共享，开放式的网络将企业信息暴露于各种潜在风险当中。所以要加强ERP环境下企业内部控制的水平，就必须结合ERP系统的特点对传统风险管理机制进行完善，建立起包含信息网络安全保障制度、系统定期维护政策、效果评价体系在内的，能够与ERP环境相适应的风险管理新机制，并通过多企业内控框架的完善，对企业预算及权责管理制度进行健全，强化ERP这一信息环境下的风险意识。必要的条件下，企业还应当设立相应的风险评估岗位或者是部门，对企业ERP环境下内控风险工作进行专门的负责，以便于及时对各种风险进行识别、分析、防范及控制。2．进一步优化内部控制环境据最新的COSO报告显示，内控环境是决定企业内部控制的关键要素，而企业管理理念、治理结构、管理方式以及人力资源的整体水平等都决定着内部控制环境的优劣。因而，要保障在ERP环境下企业内部控制工作依然可以有效落实，适应ERP系统应用对企业内部控制提出的新挑战，并有效解决目前ERP实施过程中存在的不足，企业首先应当对现有的组织结构进行调整，明确ERP环境下各个岗位与部门的权责，并根据ERP系统应用的需要建立起合理且有效的管理制度，采用关键岗位分离及轮岗的制度，进行权利与职责的合理划分，并确定企业董事会及管理层在内部控制工作中的核心地位，对其系统访问权限进行科学分配；在此基础上，企业还必须针对ERP应用的专业化要求，加强对专业人才的开发和培养，避免因系统操作不当而使企业内部控制工作受到影响。3．加