ERP应用的风险与内部控制

1、无忧商务网 5ucom 共享和传播管理资源，引导管理人实现杰出管理 .精品资料网cnshu25万份精华管理资料，2万多集管理视频讲座无忧商务网 5ucom 共享和传播管理资源，引导管理人实现杰出管理 ：.；精品资料网cnshu 专业提供企管培训资料无忧商务网 5ucom 共享和传播管理资源，引导管理人实现杰出管理 无忧商务网 5ucom 共享和传播管理资源，引导管理人实现杰出管理 ERP运用的风险与内部控制 陆培炜 发表：2003.07.21 16:35:03 来源：中国计算机用户-赛迪网 编者按：ERP的实施，就好比危险的飞行普通，让人胆战心惊而又无法抗拒。在ERP运用的过程中，企业要面临业

2、务流程、运用架构、数据质量和技术架构等四个方面的业务风险。下文针对如何从内部控制这些风险，提出理处理之道。 由于对原有手工业务流程的重新设计，ERP系统的实施在很大程度上改动了企业的业务流程。在ERP系统实施以前，许多企业基于计算机的业务系统，根本都是围绕某一业务功能或者是职能部门运转的，比如销售系统、采购系统和财务系统等。这些系统都不是基于跨部门的流程来设计的。ERP系统实现了从采购到付款、订单的获取到发票的开出等业务集成，实现了跨职能部门业务处置。 在这种情况下，ERP系统中单一的数据库，使过去跨部门的审批流程得到简化和紧缩。紧缩所呵斥的一个结果是，用于企业内部控制的许多审计线索在ERP系

3、统的引入后消逝了。同时，企业过去基于文件审批的内部控制机制，也无法顺应ERP基于流程的管理需求。更重要的是，由于企业的业务运作更加依赖于ERP系统，这种依赖和信息系统本身特点所导致的脆弱性，构成了企业新的业务风险。 实施ERP系统后，企业所遇到的业务风险普通四个方面：业务流程、运用架构、数据质量和技术架构。其中，业务流程的转变对企业内部控制的影响最大，对企业内部管理和财务方面的监控提出了新的要求，这方面的风险特征相比过去发生了根本性的变化。例如，在ERP系统中，经过对手工流程的机器处置，比如审批处置自动化等，进一步加强了完成各种业务流程的效率。但是，在新的业务执行环境中，这些审批处置自动化方法

4、将改动企业内部原有的一些风险特征，这时相应的内部控制体系就需求重新评价和设计。 内部控制蕴涵新的风险ERP实行的是流程化的管理，突破了原来职能部门的条块分割，实现了企业资源的一致管理和共享。企业的运转和管理在一定程度上曾经交给了ERP系统来进展控制。 这样一来，一方面导致企业所处的内部风险环境发生了变化，过去手工形状下的控制风险，由于ERP系统的引入而变得更加复杂；另一方面，ERP系统的实施需求对原有的业务流程进展优化和设计，改动了企业的组织构造。 流程优化的目的就是减少或合并流程中反复的、不增值的环节，原有的基于手任务业流程中有利于控制的反复环节将消逝，这样一来内部控制体系会发生变化。这些变

5、化必然对企业内部的整体控制体系的有效性产生负面影响。在这种情况下，就需求企业对基于ERP系统的关键业务流程的内部控制进展定期的审核，确认能否存在足够的有效控制以降低由于ERP系统的运用而带来的业务风险。 定内部控制目的针对由ERP系统实施所带来的新的业务控制风险，我们需求对企业内部控制体系做重新评价和完善。ERP系统实施之后，内部控制评价的目的通常包括下面这些内容： 1.利用风险评价手段重新确定企业中关键的业务流程； 2.对整个流程和控制的设计进展评价，确定这些控制能否很好地满足和支持最终业务目的的实现； 3.对岗位职责分别的评价，确保在整个流程中存在正确的稽核点和平衡点，对敏感业务买卖给出足

6、够的访问限制； 4.评价控制方式能否合理，比如基于手工流程的控制和基于系统的自动控制能否搭配合理。 确定评价范围普通来说，ERP系统将覆盖营销、方案、消费、采购、仓储、财务、人力资源等企业运营管理的各个层面。根据阅历，假设对每个流程和控制点都进展评价在资源的利用上是非常不经济的。 ERP系统的控制评价必需基于风险管理的原那么，经过风险评价寻觅对主要业务运作中影响最大的领域。换句话说，我们可以从企业整个业务风险域中寻觅对企业具有最大风险的业务流程，从而进一步确定有哪些ERP模块在支持这些业务流程。 普通来说，我们经过对业务流程一切者的访谈，来确定我们的评价范围。 在对实施了ERP系统的企业的调研

7、和风险评价中，我们发现，ERP系统中涉及到企业收入业务、支出业务和库存业务的系统控制流程对企业的业务能否顺利运转影响比较大。对于这种影响，是这样定义的：由于业务控制的减弱，导致企业出现经济问题和违规问题的能够性添加。 例如，企业管理层非常关注财务控制的内部和外部流程，由于那些这些流程决议了财务数据的准确性，是反映企业运作能否安康的“脉搏。因此，我们通常会更关注收入业务，它包括主数据维护、销售订单处置、发运、开票、退货和收款等控制内容。 评价控制方案在确定评价范围之后，我们需求对这些流程进展描画和分析。对ERP流程中的每个动作，我们都需求追溯到它的结果，描画风险特征并确认相应的控制点。 在ERP

8、环境中，通常有两种控制方式我们需求思索：一种是基于系统的控制，另一种是基于流程的控制。在ERP系统支撑的业务流程中，上述两种方式通常需求结合运用。 手工控制主要依托个人职责的履行来完成。比如，通常付款是需求经过填表、签字确认才可支付的。基于ERP系统的控制，是由软件来完成的，经过控制数据的有效性和合理性来限制和核对动作的合法性。ERP系统的参数设置将决议这个领域的控制级别。 这些控制包括用户访问、字段验证、任务流和许多其他用于确保数据处置一致性的控制。例如，系统会自动回绝生成一张与前一次序号一样的发票。这样就自动降低了过失发生的能够性和应付帐款处置的混乱。 值得留意的是，在ERP系统实施过程中

9、，某些二次开发任务会减弱在系统中曾经设置好的控制，从而产生新的风险因子。这个时候，我们必需求用手工控制来弥补。 完善控制，杜绝盲区需求了解的是，即使根据ERP系统的要求，调整和优化了内部控制，减少了由于“流程自动化带来的内部控制能够的减弱，依然无法彻底消除系统本身的特点导致的控制盲区。这在复杂的系统接口和多用户访问情形下，问题是比较突出的。 很少有企业用一个系统将企业一切的数据和流程都管理起来。所以，ERP系统和其他系统之间的接口是实现不同系统间数据互联互通的必需。这些位于不同系统之间的接口是一个重要的风险区域。 由于不同系统的数据格式能够完全不同，为了实现数据的传送，就需求进展一系列的转换。这就要求针对不同的技术平台和特点开发不同的接口，这些接口会产生新的控制方面的问题和风险。另一方面，许多企业在实施了ERP系统后，堕入了用户访问方面的问题。比如，假设访问权限开放给不应该拥有访问权限的个人或团体，它将极大地提高数据遭到破坏的风险。缺乏对这类用户权限的有效控制，会降低那些敏感买卖的平安性。所以，用户访问对敏感买卖的访问需求经过有效的控制，例如责权分别的原那么加以限制。 作为企业管理信