【ERP環(huán)境下的企業(yè)信息安全和內(nèi)部控制管理7900字（論文）】

ERP環(huán)境下的企業(yè)信息安全和內(nèi)部控制管理目錄TOC\o"1-2"\h\u22179ERP環(huán)境下的企業(yè)信息安全和內(nèi)部控制管理 127952關(guān)鍵詞：ERP；企業(yè)；信息安全；內(nèi)部控制 110845一、ERP應(yīng)用對(duì)企業(yè)信息安全與內(nèi)部控制的影響 1454（一）ERP應(yīng)用對(duì)企業(yè)信息安全的影響 223150（二）ERP應(yīng)用對(duì)企業(yè)內(nèi)部控制的影響 320672二、ERP環(huán)境下企業(yè)信息安全與內(nèi)部控制管理的不足 422048（一）ERP環(huán)境下企業(yè)信息安全管理的不足 44460（二）ERP環(huán)境下企業(yè)內(nèi)部控制管理的不足 512273三、ERP環(huán)境下企業(yè)信息安全與內(nèi)部控制管理的優(yōu)化 52839（一）ERP環(huán)境下企業(yè)信息安全管理優(yōu)化 57607（二）ERP環(huán)境下企業(yè)內(nèi)部控制管理優(yōu)化 6摘要：進(jìn)入信息時(shí)代，隨著現(xiàn)代電子計(jì)算機(jī)技術(shù)與網(wǎng)絡(luò)技術(shù)的快速發(fā)展，信息化的管理模式已經(jīng)成為現(xiàn)代企業(yè)經(jīng)營(yíng)管理的必然趨勢(shì)，而以ERP應(yīng)用為核心的信息化建設(shè)也成為企業(yè)發(fā)展進(jìn)程中的重要任務(wù)。與此同時(shí)，在美國(guó)“薩班斯法案”的影響下，加強(qiáng)企業(yè)內(nèi)部控制并對(duì)其現(xiàn)有的內(nèi)部控制體系進(jìn)行進(jìn)一步的優(yōu)化成為現(xiàn)代企業(yè)在管理方面的熱點(diǎn)問(wèn)題，如何在ERP的應(yīng)用環(huán)境下加強(qiáng)企業(yè)信息安全及內(nèi)部控制管理也因此成為各大企業(yè)丞待加強(qiáng)的研究焦點(diǎn)。因而，本文將主要圍繞ERP環(huán)境下企業(yè)信息安全和內(nèi)部控制管理的問(wèn)題進(jìn)行簡(jiǎn)單探討。關(guān)鍵詞：ERP；企業(yè)；信息安全；內(nèi)部控制正如我們所了解的一樣，ERP系統(tǒng)應(yīng)用的核心理念就是對(duì)企業(yè)的信息鏈進(jìn)行系統(tǒng)和完整性的有效管理，因而，在ERP環(huán)境下，企業(yè)的資金流、物資流和信息流處于一種高度集成的狀態(tài)，業(yè)務(wù)處理流程也實(shí)現(xiàn)了極大的簡(jiǎn)化。但計(jì)算機(jī)對(duì)手工處理的替代使企業(yè)內(nèi)部部分牽制性措施無(wú)法得到有效執(zhí)行，會(huì)計(jì)人員不能直接參與到內(nèi)部控制工作當(dāng)中，審查與稽核機(jī)制也被削弱。與此同時(shí)，計(jì)算機(jī)及網(wǎng)絡(luò)技術(shù)在可靠性與安全性方面存在的問(wèn)題，也使企業(yè)的信息安全受到威脅，為企業(yè)內(nèi)部控制工作帶來(lái)了一定的風(fēng)險(xiǎn)。結(jié)合實(shí)際來(lái)看，ERP應(yīng)用對(duì)企業(yè)形成了怎樣的影響？ERP環(huán)境下，企業(yè)信息安全與內(nèi)部控制管理存在哪些不足與缺陷？企業(yè)應(yīng)通過(guò)哪些具體的方法和途徑對(duì)ERP環(huán)境下企業(yè)信息安全與內(nèi)部控制管理工作進(jìn)行深入的優(yōu)化與完善？一、ERP應(yīng)用對(duì)企業(yè)信息安全與內(nèi)部控制的影響作為現(xiàn)代企業(yè)管理的一種全新思想，ERP不僅僅是新型的企業(yè)管理模式，同時(shí)也是一套相對(duì)先進(jìn)且完整的計(jì)算機(jī)管理系統(tǒng)。在現(xiàn)代計(jì)算機(jī)技術(shù)、網(wǎng)絡(luò)技術(shù)及信息技術(shù)高速發(fā)展的技術(shù)環(huán)境下，ERP系統(tǒng)也被國(guó)內(nèi)眾多企業(yè)所引進(jìn)，成為各個(gè)行業(yè)、各種規(guī)模企業(yè)經(jīng)營(yíng)、管理的新手段。而ERP系統(tǒng)在企業(yè)中的全面應(yīng)用，對(duì)企業(yè)的信息安全及內(nèi)部控制都形成了一定的影響。（一）ERP應(yīng)用對(duì)企業(yè)信息安全的影響從信息安全的角度上來(lái)看，隨著企業(yè)信息化水平的不斷提升，信息安全的影響因素越來(lái)越多。結(jié)合表一所示來(lái)看，ERP環(huán)境下，企業(yè)信息的處理方式、信息化的程度以及信息安全管理都發(fā)生了相應(yīng)的改變，因此，企業(yè)管理層在對(duì)信息安全問(wèn)題進(jìn)行管理的過(guò)程中，所需考慮的因素也越來(lái)越多，信息安全在企業(yè)管理工作中的重要性日趨突出。傳統(tǒng)內(nèi)容發(fā)展方向以人工的方式記錄、傳遞信息←信息處理方式→使用集中管理的ERP系統(tǒng)存儲(chǔ)、處理、分析、傳輸信息數(shù)據(jù)少量分散信息存貯；簡(jiǎn)單緩慢的信息傳遞方式；狹窄的接觸范圍；各業(yè)務(wù)單元相對(duì)鼓勵(lì)；←信息化程度→海量集中的信息存貯；復(fù)雜迅捷的信息傳遞方式；廣泛的接觸范圍；各業(yè)務(wù)單元相互聯(lián)動(dòng)；采用手工方式進(jìn)行管理；信息載體的物理安全更為重要←信息安全管理→采用系統(tǒng)自動(dòng)與手工結(jié)合的方式管理；信息訪問(wèn)邏輯安全為重表一ERP環(huán)境下企業(yè)信息安全管理變化圖示1．ERP應(yīng)用對(duì)企業(yè)信息處理方式的影響傳統(tǒng)管理模式下，企業(yè)信息數(shù)據(jù)的記錄與傳遞都依靠手工方式，而ERP環(huán)境下，ERP系統(tǒng)的集中管理則替代了傳統(tǒng)手工處理方式，采用現(xiàn)代化的信息系統(tǒng)對(duì)企業(yè)的信息數(shù)據(jù)進(jìn)行系統(tǒng)性地存儲(chǔ)、分析、處理和傳輸，這使企業(yè)信息處理的效率和質(zhì)量得到了有效保障；2．ERP應(yīng)用對(duì)企業(yè)信息化程度的影響引入ERP系統(tǒng)之前，企業(yè)信息化建設(shè)尚處于剛剛起步的階段，只能通過(guò)計(jì)算機(jī)對(duì)少量且分散的信息進(jìn)行基本存儲(chǔ)，并借助傳統(tǒng)的網(wǎng)絡(luò)技術(shù)對(duì)信息進(jìn)行簡(jiǎn)單且緩慢的傳遞，企業(yè)內(nèi)部各個(gè)業(yè)務(wù)單元相對(duì)獨(dú)立，信息化建設(shè)所能夠接觸到的范圍相對(duì)狹窄。而在ERP環(huán)境下，通過(guò)對(duì)現(xiàn)代ERP系統(tǒng)的應(yīng)用，企業(yè)信息化程度大大提升，不僅可以對(duì)海量的信息數(shù)據(jù)進(jìn)行進(jìn)中華的存儲(chǔ)，而且可以對(duì)各種復(fù)雜的信息進(jìn)行快速的傳遞，使企業(yè)不同業(yè)務(wù)單元之間通過(guò)ERP系統(tǒng)進(jìn)行有效的相互聯(lián)動(dòng)，全面提升信息化的涉及范圍。但恰恰是ERP系統(tǒng)在信息存儲(chǔ)、傳輸以及業(yè)務(wù)單元聯(lián)動(dòng)方面的先進(jìn)性，使企業(yè)信息安全管理的范圍不斷擴(kuò)大，加重了企業(yè)信息安全管理的負(fù)擔(dān)；3．ERP應(yīng)用對(duì)企業(yè)信息安全管理的影響在信息化管理之前，企業(yè)對(duì)信息的安全管理同樣采用手工的基本方式，將企業(yè)內(nèi)部各種信息載體的物理安全放在首位。但在ERP環(huán)境下，通過(guò)對(duì)ERP系統(tǒng)的應(yīng)用，企業(yè)信息安全管理將傳統(tǒng)手工管理的方式與ERP系統(tǒng)的自動(dòng)化管理結(jié)合在一切，將信息的訪問(wèn)邏輯安全作為信息安全管理的重點(diǎn)。也就是說(shuō)，在ERP環(huán)境下，企業(yè)信息安全的管理重點(diǎn)發(fā)生轉(zhuǎn)變。不難看出，在ERP環(huán)境下，因ERP系統(tǒng)的全面及深入應(yīng)用而對(duì)企業(yè)信息管理工作形成了一定的影響，企業(yè)信息處理方式、信息化程度以及信息的安全管理都發(fā)生相應(yīng)的轉(zhuǎn)變，而這些轉(zhuǎn)變則加重了企業(yè)信息安全管理的負(fù)擔(dān)，使企業(yè)信息的安全性受到更大的威脅。而從內(nèi)部控制的角度上來(lái)看，ERP系統(tǒng)的應(yīng)用對(duì)企業(yè)內(nèi)部控制工作形成了怎樣的影響呢？（二）ERP應(yīng)用對(duì)企業(yè)內(nèi)部控制的影響基于企業(yè)對(duì)ERP系統(tǒng)的應(yīng)用，因企業(yè)內(nèi)部的一切資源與信息都可以得到統(tǒng)一管理與共享，所以ERP環(huán)境下企業(yè)內(nèi)部各項(xiàng)業(yè)務(wù)的處理基本需要跨職能部門來(lái)推進(jìn)。而因ERP系統(tǒng)的應(yīng)用，企業(yè)信息在儲(chǔ)存載體、儲(chǔ)存形式以及處理方式等方面也都發(fā)生了相應(yīng)過(guò)的改變，企業(yè)內(nèi)部控制工作也因此而面臨更多的風(fēng)險(xiǎn)。1．ERP應(yīng)用改變了企業(yè)的業(yè)務(wù)流程，影響了內(nèi)部控制內(nèi)部控制作為企業(yè)管理體系的重要組成部分，幾乎涵蓋企業(yè)經(jīng)營(yíng)及管理活動(dòng)的所有內(nèi)容。盡管ERP系統(tǒng)的應(yīng)用旨在為企業(yè)的經(jīng)營(yíng)活動(dòng)提供更好的服務(wù)，但ERP環(huán)境下，企業(yè)原有的業(yè)務(wù)流程發(fā)生了相應(yīng)的轉(zhuǎn)變，而這種業(yè)務(wù)流程的改變則使企業(yè)內(nèi)部控制工作面臨更多的風(fēng)險(xiǎn)與挑戰(zhàn)。第一，因ERP系統(tǒng)的全面應(yīng)用使企業(yè)業(yè)務(wù)流程發(fā)生變化，相比于手工處理而言，其中的變化相對(duì)較大，企業(yè)內(nèi)部參與到內(nèi)部控制工作中的相關(guān)人員無(wú)法適應(yīng)ERP系統(tǒng)的操作方式，各種不確定性因素普遍存在，而這些不確定性因素的存在則對(duì)企業(yè)內(nèi)部控制工作的有效開展形成了一定的影響；第二，在ERP環(huán)境下，企業(yè)業(yè)務(wù)流程發(fā)生較大轉(zhuǎn)變，而且內(nèi)部管理的整體框架也逐漸趨向扁平化，內(nèi)部控制工作基本通過(guò)ERP系統(tǒng)程序來(lái)進(jìn)行執(zhí)行，自動(dòng)化程度的提升是企業(yè)內(nèi)部業(yè)務(wù)人員的工作量大大減少，這為企業(yè)員工身兼多職提供了可能性，同時(shí)也為內(nèi)部控制工作留下了潛在的隱患與風(fēng)險(xiǎn)；第三，ERP系統(tǒng)對(duì)企業(yè)內(nèi)部控制的流程化管理使企業(yè)內(nèi)部部門與部門之間的關(guān)聯(lián)度更為密切，跨職能部門的業(yè)務(wù)處理方式使企業(yè)各個(gè)部門緊密地聯(lián)系在一起，如此一來(lái)，一旦業(yè)務(wù)處理的某一環(huán)節(jié)出現(xiàn)問(wèn)題，則將對(duì)其他的業(yè)務(wù)處理流程的運(yùn)作形成影響，使企業(yè)內(nèi)部控制工作無(wú)法得到有效地落實(shí)與開展，甚至影響企業(yè)正常的運(yùn)營(yíng)與管理；第四，在現(xiàn)有的ERP系統(tǒng)當(dāng)中，集成的系統(tǒng)多采用單一的數(shù)據(jù)庫(kù)，企業(yè)內(nèi)部所有信息數(shù)據(jù)基本都采用一次性的單點(diǎn)進(jìn)行輸入，企業(yè)產(chǎn)品入庫(kù)的數(shù)量信息通常只是通過(guò)倉(cāng)管部門進(jìn)行確認(rèn)，而這一環(huán)節(jié)如果出現(xiàn)差錯(cuò)，將會(huì)造成內(nèi)部控制工作無(wú)法獲取準(zhǔn)確且有效的信息，并對(duì)企業(yè)生產(chǎn)、銷售以及財(cái)務(wù)部門的工作形成影響。2．ERP應(yīng)用使企業(yè)內(nèi)控要素發(fā)生變化，進(jìn)而對(duì)內(nèi)部控制工作形成影響。一般情況下，企業(yè)內(nèi)部控制的基本框架由控制環(huán)境、控制活動(dòng)、風(fēng)險(xiǎn)評(píng)估、信息及溝通以及監(jiān)督這五部分構(gòu)成。在ERP的環(huán)境下，企業(yè)內(nèi)部控制的這一框架并未從根本上發(fā)生轉(zhuǎn)變，依然由這五部分要素構(gòu)成，但具體到每一項(xiàng)要素來(lái)看，其內(nèi)部構(gòu)成卻因ERP系統(tǒng)的應(yīng)用而發(fā)生了一定的轉(zhuǎn)變。第一，ERP系統(tǒng)的應(yīng)用改變了企業(yè)的控制環(huán)境。企業(yè)通過(guò)全面實(shí)施ERP，內(nèi)部原有的組織結(jié)構(gòu)發(fā)生改變，管理結(jié)構(gòu)更為扁平化和流程化，企業(yè)內(nèi)部的管理層、決策者以及執(zhí)行者能夠?qū)崿F(xiàn)快速的溝通與交流，企業(yè)內(nèi)部控制的層次大大減少，內(nèi)部控制的責(zé)任也更為明確，控制效率也因此而得到提升。但同時(shí)，因ERP系統(tǒng)的應(yīng)用，企業(yè)內(nèi)部控制的靈活性增降，系統(tǒng)中對(duì)等的渠道使身處任何地點(diǎn)的人員都可以較為容易地獲取，而這種信息獲取的便捷性和靈活性在方便內(nèi)部控制工作開展的同時(shí)，也容易造成企業(yè)內(nèi)控信息的流失；第二，ERP系統(tǒng)的應(yīng)用影響了企業(yè)的控制活動(dòng)。通過(guò)對(duì)ERP系統(tǒng)的應(yīng)用，企業(yè)內(nèi)部控制的手段更為多樣、靈活和高效，企業(yè)內(nèi)部控制體系所具備的預(yù)防、檢查與糾正功能得到有效加強(qiáng)，使企業(yè)內(nèi)部控制工作擺脫在人員和資源方面的限制，在企業(yè)內(nèi)部樹立起全新的內(nèi)部控制理念?？梢哉f(shuō)，ERP環(huán)境下，企業(yè)內(nèi)部控制工作對(duì)檢查、審批、控制程序以及核準(zhǔn)人員的依賴性降低，更多地依靠于現(xiàn)代信息技術(shù)的支持。但正是這種對(duì)信息技術(shù)的高度依賴，直接加重了企業(yè)內(nèi)部控制工作的難度和復(fù)雜性；第三，ERP系統(tǒng)的應(yīng)用對(duì)企業(yè)風(fēng)險(xiǎn)評(píng)估形成一定影響。ERP系統(tǒng)的應(yīng)用為企業(yè)內(nèi)部控制工作中風(fēng)險(xiǎn)發(fā)現(xiàn)、分析與評(píng)估提供了全新的處理理念和方法，使企業(yè)在對(duì)既定目標(biāo)實(shí)現(xiàn)過(guò)程中所存在的各種風(fēng)險(xiǎn)能夠進(jìn)行及時(shí)的分析、辨認(rèn)與處理。而通過(guò)將ERP系統(tǒng)中所應(yīng)用的信息技術(shù)與企業(yè)業(yè)務(wù)活動(dòng)的有效結(jié)合，則形成了有效的風(fēng)險(xiǎn)防范工具，降低了企業(yè)內(nèi)部控制中各種錯(cuò)弊問(wèn)題發(fā)生的幾率，使企業(yè)各項(xiàng)業(yè)務(wù)活動(dòng)的有序進(jìn)行得到了保障。但同時(shí)，計(jì)算機(jī)系統(tǒng)本身的復(fù)雜性具備一定的應(yīng)用風(fēng)險(xiǎn)，而電子數(shù)據(jù)便于刪除或改寫的特性使企業(yè)數(shù)據(jù)處理及觀測(cè)工作的準(zhǔn)確性和安全性受到影響；第四，ERP系統(tǒng)的應(yīng)用影響了內(nèi)部控制的信息及溝通。ERP環(huán)境系，企業(yè)內(nèi)部各個(gè)部門依靠網(wǎng)絡(luò)進(jìn)行連接，各種業(yè)務(wù)可以通過(guò)ERP系統(tǒng)進(jìn)行一體化的處理，企業(yè)內(nèi)部信息需求者能夠通過(guò)ERP系統(tǒng)及時(shí)獲取相應(yīng)的信息?？梢哉f(shuō)相對(duì)開放的ERP系統(tǒng)為企業(yè)內(nèi)部的崗位員工以及企業(yè)管理層提供了一個(gè)開放式的溝通管道，企業(yè)內(nèi)部的溝通更為順暢，這不僅可以使企業(yè)的員工能夠?qū)?nèi)部控制體系中的職責(zé)斤進(jìn)行更直觀、更清楚地了解，同時(shí)也能夠使管理層更快速、更全面地掌握內(nèi)部控制工作開展及落實(shí)的具體情況。但開放式的技術(shù)環(huán)節(jié)無(wú)法對(duì)各種非法的侵?jǐn)_行為進(jìn)行有效避免，ERP系統(tǒng)遭受非法訪問(wèn)或者是惡意破壞的可能性普遍存在；第五，ERP系統(tǒng)的應(yīng)用改變了內(nèi)部控制的監(jiān)督工作。在現(xiàn)有的ERP環(huán)境下，企業(yè)內(nèi)部控制體系程序化的發(fā)展趨向加重了內(nèi)部控制工作對(duì)ERP軟件系統(tǒng)的依賴性，同時(shí)也使內(nèi)部控制工作具備人工控制跟程序控制結(jié)合的全新特點(diǎn)。而內(nèi)部控制工作程序化的發(fā)展模式使內(nèi)部控制工作的質(zhì)量與ERP軟件系統(tǒng)的質(zhì)量緊密相關(guān)，一旦軟件程序出現(xiàn)問(wèn)題，企業(yè)內(nèi)部控制將失效，而這種內(nèi)控體系的失效很可能無(wú)法在短期內(nèi)被發(fā)現(xiàn)，這大大提升企業(yè)內(nèi)控紕漏發(fā)生的可能性。正所謂任何存在都具備兩面性，ERP系統(tǒng)的應(yīng)用對(duì)企業(yè)而言有利也有弊。可以說(shuō)，ERP環(huán)境下，企業(yè)信息安全管理及內(nèi)部控制管理都發(fā)生了不同程度的轉(zhuǎn)變，而要對(duì)ERP環(huán)境下企業(yè)信息安全管理及內(nèi)部控制管理工作進(jìn)行優(yōu)化與完善，首先要理清ERP環(huán)境下企業(yè)信息安全與內(nèi)部控制管理中存在的不足與缺陷。二、ERP環(huán)境下企業(yè)信息安全與內(nèi)部控制管理的不足通過(guò)以上的分析可以看出，通過(guò)對(duì)ERP系統(tǒng)的應(yīng)用，ERP環(huán)境下企業(yè)信息安全管理與內(nèi)部控制工作都發(fā)生了較大轉(zhuǎn)變，ERP實(shí)施除了對(duì)企業(yè)信息安全及內(nèi)部控制管理工作進(jìn)行有效改善與提升之外，還帶來(lái)了部分新的挑戰(zhàn)和風(fēng)險(xiǎn)。而結(jié)合我國(guó)工商銀行ERP系統(tǒng)應(yīng)用的實(shí)例來(lái)看，企業(yè)信息安全與內(nèi)部控制管理都存在部分丞待改善的不足。（一）ERP環(huán)境下企業(yè)信息安全管理的不足作為我國(guó)經(jīng)濟(jì)領(lǐng)域中具備較大影響力的企業(yè)之一，中國(guó)石油化工集團(tuán)公司（以下簡(jiǎn)稱中國(guó)石化）已經(jīng)建立起標(biāo)準(zhǔn)、統(tǒng)一且規(guī)范的ERP平臺(tái)，實(shí)現(xiàn)了企業(yè)業(yè)務(wù)處理以銀行產(chǎn)品為中心向以客戶為中心的轉(zhuǎn)變。發(fā)展至今，中國(guó)石化已經(jīng)建立起包含23個(gè)子系統(tǒng)在內(nèi)的綜合業(yè)務(wù)系統(tǒng)，可以說(shuō)，其對(duì)ERP系統(tǒng)的應(yīng)用已經(jīng)較為成熟。但在實(shí)踐中，企業(yè)ERP系統(tǒng)并沒(méi)有得到切實(shí)的深化應(yīng)用，尚未發(fā)展成為一個(gè)上下貫通、切實(shí)有效的核心共用管理平臺(tái)；盡管企業(yè)ERP應(yīng)用已經(jīng)全部達(dá)標(biāo)，總部的各部門也能有效地將內(nèi)部ERP系統(tǒng)融入到企業(yè)的發(fā)展戰(zhàn)略、管理體系及日常的經(jīng)營(yíng)活動(dòng)之中，但業(yè)務(wù)環(huán)節(jié)與IT職責(zé)在分配上存在沖突、開發(fā)環(huán)境下程序人員可在生產(chǎn)環(huán)境中對(duì)變更請(qǐng)求進(jìn)行釋放、超級(jí)用戶管理不當(dāng)、系統(tǒng)操作權(quán)限設(shè)置相對(duì)較大、權(quán)限的分配缺乏標(biāo)準(zhǔn)性、SAP的安全管理不夠完善以及關(guān)鍵交易代碼管控不當(dāng)?shù)?，這些問(wèn)題普遍存在于中國(guó)石化ERP系統(tǒng)使用過(guò)程中，影響著其信息的安全管理，企業(yè)ERP系統(tǒng)因此從總體上無(wú)法達(dá)到如國(guó)外大型能源化工公司的ERP應(yīng)用水平。而結(jié)合中國(guó)重汽以及國(guó)內(nèi)眾多大型企業(yè)ERP應(yīng)用的實(shí)踐來(lái)看，以上問(wèn)題同樣，對(duì)這些企業(yè)ERP應(yīng)用環(huán)境下信息安全管理工作的開展形成了影響。（二）ERP環(huán)境下企業(yè)內(nèi)部控制管理的不足從內(nèi)部控制管理方面來(lái)看，隨著ERP系統(tǒng)應(yīng)用的發(fā)展與完善，中國(guó)石化信貸業(yè)務(wù)及管理工作的創(chuàng)新、服務(wù)效率以及運(yùn)營(yíng)成本控制等工作都取得了較為可觀的開展成果，企業(yè)實(shí)際業(yè)務(wù)的信息化管理也得到了強(qiáng)化，企業(yè)可以對(duì)客戶進(jìn)行統(tǒng)一的管理，且可以利用ERP系統(tǒng)對(duì)業(yè)務(wù)進(jìn)行監(jiān)控和管理。但在ERP系統(tǒng)的應(yīng)用過(guò)程中，針對(duì)ERP環(huán)境而制定的內(nèi)控制度并不完善，豐富的內(nèi)部控制內(nèi)容使不同的控制工作之間缺少必要的整合，內(nèi)部控制工作無(wú)法對(duì)ERP環(huán)境下所存在的風(fēng)險(xiǎn)點(diǎn)進(jìn)行全面覆蓋，而重要的業(yè)務(wù)處理也缺乏針對(duì)性和有效性的保障。與此同時(shí)，盡管ERP環(huán)境下中國(guó)石化內(nèi)部信息的溝通問(wèn)題得到有效改善，但從根本上來(lái)看，ERP應(yīng)用并沒(méi)有真正解決企業(yè)因發(fā)展規(guī)模擴(kuò)大以及業(yè)務(wù)結(jié)構(gòu)的復(fù)雜性而造成的信息溝通的難題，ERP環(huán)境下，企業(yè)信息的溝通依然缺少順暢的交流機(jī)制，各種業(yè)務(wù)風(fēng)險(xiǎn)無(wú)法得到有效的防范、分析和控制。中國(guó)石化這一類ERP系統(tǒng)的先行企業(yè)在系統(tǒng)應(yīng)用上尚且存在如此之多的不足，那些剛剛引入并應(yīng)用ERP系統(tǒng)的企業(yè)在信息安全管理與內(nèi)部控制管理方面的基本現(xiàn)狀可想而知。由此可見，加強(qiáng)對(duì)ERP環(huán)境下企業(yè)信息安全與內(nèi)部控制管理工作的優(yōu)化與完善已如張弓之箭，勢(shì)在必行。三、ERP環(huán)境下企業(yè)信息安全與內(nèi)部控制管理的優(yōu)化（一）ERP環(huán)境下企業(yè)信息安全管理優(yōu)化在遵守外部法規(guī)監(jiān)管要求的基礎(chǔ)上，為避免因信息安全的漏洞而使企業(yè)發(fā)生重大損失，信息安全問(wèn)題無(wú)疑是企業(yè)ERP應(yīng)用中應(yīng)關(guān)注的重要問(wèn)題?；趯?duì)ERP系統(tǒng)的應(yīng)用，企業(yè)內(nèi)部所有的業(yè)務(wù)數(shù)據(jù)基本都存儲(chǔ)于ERP系統(tǒng)當(dāng)中，所以在ERP環(huán)境下，信息安全管理工作首先要解決的就是ERP系統(tǒng)的訪問(wèn)授權(quán)問(wèn)題。加強(qiáng)ERP系統(tǒng)訪問(wèn)授權(quán)管理具體來(lái)看，ERP系統(tǒng)當(dāng)中，對(duì)于關(guān)鍵性的經(jīng)營(yíng)、管理及財(cái)務(wù)數(shù)據(jù)信息，企業(yè)必須采取相應(yīng)的措施對(duì)其進(jìn)行充分保護(hù)；其次，企業(yè)要針對(duì)管理需要，對(duì)系統(tǒng)的訪問(wèn)權(quán)限與授權(quán)進(jìn)行有效控制和管理，按照最小授權(quán)的原則，在保障訪問(wèn)權(quán)限與崗位職責(zé)一致的基礎(chǔ)上進(jìn)行企業(yè)ERP系統(tǒng)訪問(wèn)權(quán)限的分配，以保障系統(tǒng)內(nèi)部信息數(shù)據(jù)不被非法修改、刪除或者是泄漏；另外，在進(jìn)行ERP系統(tǒng)應(yīng)用的過(guò)程中，企業(yè)必須按照企業(yè)崗位權(quán)限的分布，對(duì)系統(tǒng)操作權(quán)限進(jìn)行職責(zé)分離，避免因訪問(wèn)權(quán)限模糊而造成舞弊問(wèn)題的發(fā)生。要實(shí)現(xiàn)對(duì)ERP系統(tǒng)授權(quán)的這種管理，企業(yè)可以在系統(tǒng)中適當(dāng)引入GRC訪問(wèn)控制系統(tǒng)，據(jù)表2中相關(guān)部門對(duì)130家企業(yè)的調(diào)查可知，在ERP系統(tǒng)中植入GRC訪問(wèn)控制系統(tǒng)，除了可以保障信息安全，還可以有效降低企業(yè)運(yùn)營(yíng)在人力及財(cái)務(wù)方面的成本投入，提高企業(yè)內(nèi)控效率。節(jié)約內(nèi)部和外部審計(jì)時(shí)間30%節(jié)約內(nèi)部和外部審計(jì)成本25%為控制訪問(wèn)授權(quán)風(fēng)險(xiǎn)花費(fèi)的時(shí)間降值32%為控制訪問(wèn)授權(quán)風(fēng)險(xiǎn)花費(fèi)的成本降值28%用戶及角色變更花費(fèi)的時(shí)間降值28%為清楚審計(jì)發(fā)現(xiàn)的安全問(wèn)題花費(fèi)的時(shí)間降值31%表二130家企業(yè)GRC系統(tǒng)應(yīng)用調(diào)查報(bào)告平均值2．加強(qiáng)ERP系統(tǒng)軟硬件維護(hù)除此之外，要切實(shí)保證企業(yè)信息安全管理的有效性，企業(yè)還必須加強(qiáng)對(duì)ERP系統(tǒng)軟件及硬件的優(yōu)化管理，保證ERP軟件及硬件平臺(tái)可以處于穩(wěn)定運(yùn)行狀態(tài)。要實(shí)現(xiàn)這一目標(biāo)，企業(yè)就必須加大對(duì)系統(tǒng)軟件及硬件系統(tǒng)的定期維護(hù)和評(píng)價(jià)，并針對(duì)系統(tǒng)運(yùn)行的具體情況出具相應(yīng)的運(yùn)行報(bào)告，條件允許的情況下還應(yīng)當(dāng)對(duì)系統(tǒng)檢測(cè)以及維護(hù)的人員進(jìn)行輪換。若系統(tǒng)出現(xiàn)故障，則應(yīng)及時(shí)向相關(guān)管理部門報(bào)備，系統(tǒng)維護(hù)人員或系統(tǒng)管理部門不能私自作出決定，以便于保證ERP系統(tǒng)所提供的數(shù)據(jù)信息的真實(shí)性、準(zhǔn)確性和可靠性。（二）ERP環(huán)境下企業(yè)內(nèi)部控制管理優(yōu)化要對(duì)ERP環(huán)境下企業(yè)內(nèi)部控制管理工作進(jìn)行進(jìn)一步的優(yōu)化，企業(yè)首先要針對(duì)ERP系統(tǒng)應(yīng)用的特點(diǎn)對(duì)現(xiàn)有的風(fēng)險(xiǎn)管理機(jī)制進(jìn)行完善，對(duì)ERP環(huán)境下的內(nèi)部控制環(huán)境進(jìn)行優(yōu)化，并借助于外部的審計(jì)機(jī)構(gòu)來(lái)對(duì)ERP環(huán)境下企業(yè)內(nèi)部控制工作進(jìn)行有效的評(píng)價(jià)、監(jiān)督與控制。1．對(duì)現(xiàn)有的風(fēng)險(xiǎn)管理機(jī)制進(jìn)行完善以上分析中已經(jīng)提及，ERP系統(tǒng)的應(yīng)用使企業(yè)內(nèi)部各部門之間的聯(lián)系更為緊密，企業(yè)內(nèi)部各個(gè)部門、各個(gè)作業(yè)單位，企業(yè)與外部供應(yīng)商、合作伙伴及客戶之間可以通過(guò)互聯(lián)網(wǎng)實(shí)現(xiàn)信息及作業(yè)高度的共享，開放式的網(wǎng)絡(luò)將企業(yè)信息暴露于各種潛在風(fēng)險(xiǎn)當(dāng)中。所以要加強(qiáng)ERP環(huán)境下企業(yè)內(nèi)部控制的水平，就必須結(jié)合ERP系統(tǒng)的特點(diǎn)對(duì)傳統(tǒng)風(fēng)險(xiǎn)管理機(jī)制進(jìn)行完善，建立起包含信息網(wǎng)絡(luò)安全保障制度、系統(tǒng)定期維護(hù)政策、效果評(píng)價(jià)體系在內(nèi)的，能夠與ERP環(huán)境相適應(yīng)的風(fēng)險(xiǎn)管理新機(jī)制，并通過(guò)多企業(yè)內(nèi)控框架的完善，對(duì)企業(yè)預(yù)算及權(quán)責(zé)管理制度進(jìn)行健全，強(qiáng)化ERP這一信息環(huán)境下的風(fēng)險(xiǎn)意識(shí)。必要的條件下，企業(yè)還應(yīng)當(dāng)設(shè)立相應(yīng)的風(fēng)險(xiǎn)評(píng)估崗位或者是部門，對(duì)企業(yè)ERP環(huán)境下內(nèi)控風(fēng)險(xiǎn)工作進(jìn)行專門的負(fù)責(zé)，以便于及時(shí)對(duì)各種風(fēng)險(xiǎn)進(jìn)行識(shí)別、分析、防范及控制。2．進(jìn)一步優(yōu)化內(nèi)部控制環(huán)境據(jù)最新的COSO報(bào)告顯示，內(nèi)控環(huán)境是決定企業(yè)內(nèi)部控制的關(guān)鍵要素，而企業(yè)管理理念、治理結(jié)構(gòu)、管理方式以及人力資源的整體水平等都決定著內(nèi)部控制環(huán)境的優(yōu)劣。因而，要保障在ERP環(huán)境下企業(yè)內(nèi)部控制工作依然可以有效落實(shí)，適應(yīng)ERP系統(tǒng)應(yīng)用對(duì)企業(yè)內(nèi)部控制提出的新挑戰(zhàn)，并有效解決目前ERP實(shí)施過(guò)程中存在的不足，企業(yè)首先應(yīng)當(dāng)對(duì)現(xiàn)有的組織結(jié)構(gòu)進(jìn)行調(diào)整，明確ERP環(huán)境下各個(gè)崗位與部門的權(quán)責(zé)，并根據(jù)ERP系統(tǒng)應(yīng)用的需要建立起合理且有效的管理制度，采用關(guān)鍵崗位分離及輪崗的制度，進(jìn)行權(quán)利與職責(zé)的合理劃分，并確定企業(yè)董事會(huì)及管理層在內(nèi)部控制工作中的核心地位，對(duì)其系統(tǒng)訪問(wèn)權(quán)限進(jìn)行科學(xué)分配；在此基礎(chǔ)上，企業(yè)還必須針對(duì)ERP應(yīng)用的專業(yè)化要求，加強(qiáng)對(duì)專業(yè)人才的開發(fā)和培養(yǎng)，避免因系統(tǒng)操作不當(dāng)而使企業(yè)內(nèi)部控制工作受到影響。3．加