文档介绍:案例七: ERP 系统内部控制的风险与防范案由: 一、集团信息系统的组成特点某企业集团为一家日用消费品的生产企业。集团拥有三个生产基地专门负责生产; 一个销售总部负责所有产品的销售和管理覆盖全国的营销网络; 一个财务总部负责整个集团的财务与会计工作。集团一直致力于信息化的建设, 很早就成立了集团信息中心; 自行开发了生产管理(Ml) 、电子采购管理、销售管理以及人事管理信息系统; 会计信息系统应用了用友公司的会计软件, 并不断对软件进行升级, 以达到功能的不断完善。虽然企业在生产、销售和财务等部门都使用计算机系统进行信息管理, 但是这些信息系统各自独立, 形成了“信息孤岛”, 不能为企业的决策提供更有效的信息支持。因此集团决定建立现代化的信息管理平台, 通过业务流程优化和信息化, 进一步改善集团的信息管理, 挖掘信息资源的效益, 来应对自身发展和市场竞争的需要。 2002 年该集团开始为实施 ERP 系统进行广泛的市场调研,并在 2004 年6 月开始上线预运行。该集团选择全球最大的企业管理软件供应商 SAP 公司的 R/3 软件作为企业 ERP 系统的运行平台。集团采用分阶段上线的实施策略。在系统投入运行之初, 集团根据需要, 仅选择R/3 软件中的销售/分销模块、物料管理模块和财务会计模块上线, 将销售、产成品库存和财务会计进行集成管理。原有的生产管理系统(MRP) 和网上电子采购平台继续使用;以前的财务数据保留在旧系统之中。 MRP 、网上电子采购平台和原有的会计信息系统并没有通过外部接口和 ERP 整合在一起, 需要的数据通过相应的授权人员人工输入或导入。在 ER P 系统试运行阶段, 集团财务系统采用双系统运行的方式,在 ERP 系统通过测试正式运行后, 原有的会计信息系统停止使用。二、集团信息系统内部控制的现状及风险分析 1 .信息系统设备的控制现状及风险集团信息系统的设备是信息系统实施的物理条件, 设备的安全是系统运行的基础, 因此如何保证设备的安全是信息系统风险防范的基础。集团信息中心的设备主要有开发服务器、测试服务器、生产服务器、外存储设备、网络设备、工作站等, 并集中放置于集团办公大楼的计算机机房。设备安全面临的威胁主要为地震、火灾等自然灾害和内外部人员的偷窃行为。该企业集团对设备安全风险进行了认真分析, 认为集团总部地理位置处于华中地区, 不属于地震等自然灾害的高发地区, 主要面临的自然灾害为火灾, 因此花费大量的资金购置了专门的防火消防系统, 能够对突发的火灾险情迅速做出反应, 保证设备的安全。针对内外部可能存在的偷盗威胁,对外集团总部大楼设置了严密的保安系统,能有效的防范外来人员的入侵; 对内则通过严格的接触控制,只有集团两个高层主管和保安部门拥有计算机机房的钥匙,而保安人员只有在发现计算机机房出现意外的情况下才允许进入, 因此一般员工很难接触到系统设备,有效地控制了内部人员的偷窃风险。 2 .信息系统软、硬件故障的控制现状及风险 ERP 系统软、硬件的正确、有效、持续运行直接关系到集团业务处理的持续性和信息处理的正确性。 ERP 系统软、硬件可能面临的威胁主要有:使用人员操作错误导致系统停止响应或处理错误; 系统内嵌程序出错导致系统对信息加工的错误; 系统硬件设备运行时间过长、消耗过多或硬件老化导致系统运行中断等。该企业集