菜单
__yEs、先生 提问于 2016-09-22 16:40:11

走在ERP系统控制实践的路上

本帖最后由 __yEs、先生 于 2016-9-25 15:03 编辑
走在ERP系统控制实践的路上
       控制方式有系统控制与人工控制,系统控制相对于人工控制的优势在于其用事先确定的业务规则一贯执行,不容易如人工控制易被规避、忽视或凌驾。日前在信息系统(用友U8)优化中做了一些工作,随着基础操作及业务流程的不断规范,进一步规范系统控制取代人工控制成为所需。对内部控制如何嵌入信息系统进行一些思考,在不断探索中从角色、用户及人员、功能权限、数据权限、业务流程控制等方面做出实践。
  n 角色、用户及人员      角色是指在企业管理中拥有某一类相同职能的组织或个人,这个角色组织可以按实际职能部门划分,可以是由拥有同一类职能的人构成的集合、一个虚拟组织。设置角色意义在于对系统功能、数据权限进行授权时按角色授权而非按用户授权,如果系统用户多、人员岗位变动时,都需要调整一次系统权限增加工作量,角色的利用可以使得系统权限分配时具有系统性。
      比如财务部属于一个职能部门,可以将其设置成“财务部”一个角色,在实践中我们按照公司组织架构设置“部门角色”;而财务部有不同会计岗位、出纳岗位、主管岗位、经理岗位等,我们可以通过部门的不同岗位设置不同“岗位角色”。在设置岗位角色时需要做好充分的调研,并非所有部门均需要按岗位进行逐一设置“岗位角色”,根据所需系统功能权限的共性设置部门通用权限即可。
       人员档案是企业中所有的职员信息。用户是操作U8系统的人员。用户一般情况下是人员档案的一个子集,在系统中需要将用户与人员建立一个对应关系。同时不容忽略的是部门档案与部门角色相对应,同时部门档案中部门负责人、上一层级负责人与人员和用户建立起对应关于。有了这些对应关系时在配置系统单据审批流程时才有基础。       在角色、用户和人员设置对应着内部控制体系中的组织结构,相关设置与组织结构的对应是后续不相容职务相互分离控制、业务流程控制控制、信息数据安全控制的基础。
  n 功能权限分配       功能权限是指用户可以对系统进行那些操作,具体来说就是具有哪些单据填制、查询及报表查询等权限。在授予用户功能权限时不得不考虑一个内控原则——不相容职务相互分离,基于此建议按业务循环进行梳理规划,常用的业务循环有采购与付款业务、销售与收款业务、生产与仓储业务、费用报销业务等。下面就采购与付款业务流程谈谈。
       采购与付款业务循环中,供应商资格核准—>供应商供货核准—>供应商配额管理—>采购价格核准—>请购—>采购—>到货—>质检—>入库—>发票—>结算—>付款。从这些业务流程各个子流程中梳理出执行部门、执行人员,分析各自需要的功能权限,授予权限时既要考虑不相容职务相互分离的原则又要避免流程控制过于繁琐。
       职务分离原则与效率考虑就体现在,如供应商资格、供应商供货核准时涉及到采购部门与质检部门,根据分离原则授予采购员发起审批的权限,授予采购部主管、质检部门人员审核权限;考虑到采购与质管对供应商资质与供货资质审核的重点不同,在设置单据审批流时采用“并行结构”而非“逐级审批”,避免“逐级审批”致使流程滞留时间增长。
       在内部职务分离原则下要求制单与审核不能同为一人,在信息系统下个人以为并非必须所有单据制单与审核人员都分离,比如到货单流程中配置必须参照采购订单,而采购订单制单与审核分离后,前有订单控制后有仓储部门控制,认为风险可控,无需就到货单制单与审核分离。此类单据授权站在整个业务循环流程中更大范围考虑分离的问题就能更有效的兼顾流程效率。
  n 数据权限控制       数据权限在用友U8中指用户所要使用的档案或部分业务单据的权限,包括记录权限、字段权限和金额权限。
       记录权限指对档案记录或业务数据记录的权限控制。       比如采购业务中不同采购员按采购类型进行划分职责,我们对采购类型与存货档案进行双记录权限控制,以达到采购员按其职责权限下达正确的采购订单。比如部门权限控制可有效防止单据部门输入错误,增强数据准确性,有些时候也需要控制部门只能看到自己部门的单据时,更需要部门权限控制。再如产品分为内销产品和出口产品两大类,而针对国内和国外销售的产品需要不同的部门和人员来销售不能混销,因此就存在存货权限控制问题。如供应商档案、存货档案、客户档案具有分类时,在针对其设置记录权限时,可利用权限分组功能来实现权限的按一定规则进行分配。
       字段权限是对档案、单据、单据列表、报表上的每一个数据项(字段)进行的权限控制。字段权限控最有效的控制即为信息保密控制,企业出于安全保密性考虑,需要对单据上的某些数据项进行权限控制,如出入单据上的成本价格、金额对生产、仓储部门某些岗位是保密的,价格信息对除财务、销售、采购来说应该是保密的。有些行业如果供应商信息、客户信息、采购价格、销售价格信息都未能保密时,公司内部人员完全利用这些信息自己撇开公司单干。
      同时字段权限还可以控制在记录权限控制外授予恰当人的对字段数据进行记录、修改的控制。个人认为记录权限更多对基础档案的控制,如部门、业务员、客户、供应商、存货、业务类型等控制,而字段级权限控制更多在业务单据表体的字段数据控制,对记录级权限控制起到补充控制的作用。在进行数据权限控制时,根据业务流程系统的考虑如何将记录级权限与字段级权限有机结合进行控制。
       金额权限控制,按照系统给出的逻辑可以进行单据金额控制,但是适用范围有限(仅限于科目、采购订单),也可能是个人未能研究透这个控制。在实践中我们对金额审批授权是通过单据审批流进行控制,通过设置多个“条件分派审批”嵌入在审批流中实现不同金额权限审批。对于大额订单、资金审批的联签制度,在审批流中通过增加“并行结构”来实现集体决策的控制。
      上述为个人所做的系统控制上所做的实践,受限于实践检验不足,还望各位多多指教讨论并分享更好实践经验。
PS:本文系原创,转载请注明出处和作者,用于商业用途敬请站内联系作者。
1 个回答
大冉叔 回答于 2016-09-22 17:51:01
做过U8供应链初始设置,存货分类,级次建立,可能初始考虑不周全,在日后带来很多问题。做了,重在初期测试。
创建编辑专辑
可以通过“添加”将内容添加到新专辑中
公开此专辑
取消
确定删除
确定取消
公共场所不建议自动登录,以防账号丢失