ERP應(yīng)用風險與內(nèi)部控制

1、唉ERP應(yīng)用風險俺與內(nèi)部控制鞍ERP的實施，澳就好比危險的飛罷行一般，讓人膽捌戰(zhàn)心驚而又無法氨抗拒。在ERP HYPERLINK 艾應(yīng)用吧的過程中， HYPERLINK /company/ 擺企業(yè)罷要面臨來自業(yè)務(wù)瓣流程、 HYPERLINK 耙應(yīng)用瓣架構(gòu)、數(shù)據(jù)質(zhì)量愛和技術(shù)架構(gòu)等四搬個方面的業(yè)務(wù)風哀險。下文針對如岸何從內(nèi)部控制這罷些風險，提出了哎解決之道。 澳由于對原有瓣手 HYPERLINK /gongxue/ 背工業(yè)拌務(wù)流程的重新設(shè)熬計，ERP系統(tǒng)氨的實施在很大程懊度上改變了 HYPERLINK /company/ 昂企業(yè)傲的業(yè)務(wù)流程。在佰ERP系統(tǒng)實施懊以前，許多企業(yè)半基于 HYPERLI

2、NK /pc/ 埃計算白機的業(yè)務(wù)系統(tǒng)，哀基本都是圍繞某背一業(yè)務(wù)功能或者氨是職能部門運行頒的，比如銷售系艾統(tǒng)、采購系統(tǒng)和板財務(wù)系統(tǒng)等。這懊些系統(tǒng)都不是基暗于跨部門的流程佰來設(shè)計的。ER班P系統(tǒng)實現(xiàn)了從罷采購到付款、訂藹單的獲取到發(fā)票澳的開出等業(yè)務(wù)集岸成，實現(xiàn)了跨職拜能部門業(yè)務(wù)處理唉。敗在這種情況扮下，ERP系統(tǒng)八中單一的數(shù)據(jù)庫愛，使過去跨部門拔的審批流程得到襖簡化和壓縮。壓白縮所造成的一個傲結(jié)果是，用于企案業(yè)內(nèi)部控制的許搬多審計線索在E盎RP系統(tǒng)的引入壩后消失了。同時襖，企業(yè)過去基于暗文件審批的內(nèi)部笆控制機制，也無盎法適應(yīng)ERP基哎于流程的管理需哀要。更重要的是氨，由于企業(yè)的業(yè)瓣務(wù)運作更加依賴扮

3、于ERP系統(tǒng)，扳這種依賴和信息愛系統(tǒng)本身特點所鞍導(dǎo)致的脆弱性，安形成了企業(yè)新的埃業(yè)務(wù)風險。盎實施ERP白系統(tǒng)后，企業(yè)所骯遇到的業(yè)務(wù)風險爸一般來自四個方阿面：業(yè)務(wù)流程、稗應(yīng)用架構(gòu)、數(shù)據(jù)絆質(zhì)量和技術(shù)架構(gòu)班。其中，業(yè)務(wù)流啊程的轉(zhuǎn)變對企業(yè)絆內(nèi)部控制的 HYPERLINK / 胺影響哀最大，對企業(yè)內(nèi)拜部管理和財務(wù)方胺面的監(jiān)控提出了瓣新的要求，這方皚面的風險特征相爸比過去發(fā)生了根骯本性的變化。例唉如，在ERP系霸統(tǒng)中，通過對手胺工流程的機器處哀理，比如審批處扒理自動化等，進邦一步增強了完成斑各種業(yè)務(wù)流程的捌效率。但是，在挨新的業(yè)務(wù)執(zhí)行環(huán)佰境中，這些審批版處理自動化 HYPERLINK / 敗方法板將改變企

4、業(yè)內(nèi)部扳原有的一些風險按特征，這時相應(yīng)凹的內(nèi)部控制體系白就需要重新評估耙和設(shè)計。叭內(nèi)部控制蘊絆涵新的風險藹ERP實行襖的是流程化的管案理，打破了原來白職能部門的條塊盎分割，實現(xiàn)了企阿業(yè)資源的統(tǒng)一管骯理和共享。企業(yè)頒的運行和管理在巴一定程度上已經(jīng)暗交給了ERP系罷統(tǒng)來進行控制。拜這樣一來，拔一方面導(dǎo)致企業(yè)埃所處的內(nèi)部風險阿環(huán)境發(fā)生了變化捌，過去手工狀態(tài)翱下的控制風險，阿由于ERP系統(tǒng)昂的引入而變得更班加復(fù)雜；另一方霸面，ERP系統(tǒng)矮的實施需要對原愛有的業(yè)務(wù)流程進岸行優(yōu)化和設(shè)計，扒改變了企業(yè)的組盎織結(jié)構(gòu)。背流程優(yōu)化的跋目的就是減少或瓣合并流程中重復(fù)昂的、不增值的環(huán)八節(jié)，原有的基于靶手工作業(yè)流程中板

5、有利于控制的重按復(fù)環(huán)節(jié)將消失，盎這樣一來內(nèi)部控皚制體系會發(fā)生變矮化。這些變化必罷然對企業(yè)內(nèi)部的皚整體控制體系的搬有效性產(chǎn)生負面 HYPERLINK / 稗影響澳。在這種情況下把，就需要企業(yè)對安基于ERP系統(tǒng)啊的關(guān)鍵業(yè)務(wù)流程熬的內(nèi)部控制進行哀定期的審核，確頒認是否存在足夠傲的有效控制以降隘低由于ERP系爸統(tǒng)的使用而帶來俺的業(yè)務(wù)風險。俺定內(nèi)部控制敖目標安針對由ER澳P系統(tǒng)實施所帶扒來的新的業(yè)務(wù)控懊制風險，我們需凹要對企業(yè)內(nèi)部控懊制體系做重新評扳估和完善。ER皚P系統(tǒng)實施之后案，內(nèi)部控制評估愛的目標通常包括扒下面這些 HYPERLINK / 爸內(nèi)容矮：罷1.利用風版險評估手段重新懊確定企業(yè)中關(guān)鍵霸的

6、業(yè)務(wù)流程；哎2.對整個按流程和控制的設(shè)疤計進行評估，確愛定這些控制是否板很好地滿足和支跋持最終業(yè)務(wù)目標罷的實現(xiàn)；柏3.對崗位般職責分離的評估稗，確保在整個流搬程中存在正確的白稽核點和平衡點俺，對敏感業(yè)務(wù)交叭易給出足夠的訪阿問限制；岸4.評估控背制方式是否合理拌，比如基于手工安流程的控制和基笆于系統(tǒng)的自動控斑制是否搭配合理擺。凹確定評估范敖圍辦一般來說，骯ERP系統(tǒng)將覆鞍蓋營銷、計劃、扮生產(chǎn)、采購、倉柏儲、財務(wù)、人力安資源等企業(yè)運營板管理的各個層面爸。根據(jù)經(jīng)驗，如皚果對每個流程和奧控制點都進行評愛估在資源的利用暗上是非常不 HYPERLINK /Economic/ 叭經(jīng)濟敖的。藹ERP系統(tǒng)爸的控

7、制評估必須阿基于風險管理的安原則，通過風險哀評估尋找對主要斑業(yè)務(wù)運作中影響鞍最大的領(lǐng)域。換挨句話說，我們可靶以從企業(yè)整個業(yè)熬務(wù)風險域中尋找熬對企業(yè)具有最大翱風險的業(yè)務(wù)流程凹，從而進一步確笆定有哪些ERP巴模塊在支持這些八業(yè)務(wù)流程。跋一般來說，我們艾通過對業(yè)務(wù)流程扮所有者的訪談，昂來確定我們的評柏估范圍。絆在對實施了ER藹P系統(tǒng)的 HYPERLINK /company/ 岸企業(yè)安的調(diào)研和風險評柏估中，我們發(fā)現(xiàn)胺，ERP系統(tǒng)中皚涉及到 HYPERLINK /company/ 哎企業(yè)艾收入業(yè)務(wù)、支出扳業(yè)務(wù)和庫存業(yè)務(wù)襖的系統(tǒng)控制流程稗對企業(yè)的業(yè)務(wù)能版否順利運轉(zhuǎn) HYPERLINK / 鞍影響翱比較大。

8、對于這班種 HYPERLINK / 搬影響班，是這樣定義的拜：由于業(yè)務(wù)控制佰的削弱，導(dǎo)致企按業(yè)出現(xiàn) HYPERLINK /Economic/ 扳經(jīng)濟 HYPERLINK 懊問題霸和違規(guī) HYPERLINK 啊問題芭的可能性增加。柏例如，企業(yè)管理瓣層非常關(guān)注財務(wù)扮控制的內(nèi)部和外隘部流程，因為那翱些這些流程決定皚了財務(wù)數(shù)據(jù)的準擺確性，是反映企礙業(yè)運作是否健康唉的“脈搏”。因班此，我們通常會唉更關(guān)注收入業(yè)務(wù)拌，它包括主數(shù)據(jù)巴維護、銷售訂單靶處理、發(fā)運、開案票、退貨和收款柏等控制 HYPERLINK / 瓣內(nèi)容八。評估控制方案敗在確定評估范圍骯之后，我們需要挨對這些流程進行般描述和 HYPERLINK

9、 / 隘分析板。對ERP流程班中的每個動作，爸我們都需要追溯斑到它的結(jié)果，描岸述風險特征并確搬認相應(yīng)的控制點盎。捌在ERP環(huán)境中俺，通常有兩種控氨制方式我們需要叭考慮：一種是基唉于系統(tǒng)的控制，搬另一種是基于流柏程的控制。在E板RP系統(tǒng)支撐的昂業(yè)務(wù)流程中，上翱述兩種方式通常稗需要結(jié)合使用。拌手工控制主要依按靠個人職責的履佰行來完成。比如柏，通常付款是需案要通過填表、簽瓣字確認才可支付笆的?；贓RP拜系統(tǒng)的控制，是翱由軟件來完成的拌，通過控制數(shù)據(jù)罷的有效性和合理挨性來限制和核查癌動作的合法性。俺ERP系統(tǒng)的參柏數(shù)設(shè)置將決定這唉個領(lǐng)域的控制級矮別。奧這些控制包括用扳戶訪問、字段驗敖證、工作流和許爸

10、多其他用于確保俺數(shù)據(jù)處理一致性傲的控制。例如，稗系統(tǒng)會自動拒絕胺生成一張與前一哎次序號相同的發(fā)拜票。這樣就自動頒降低了差錯發(fā)生擺的可能性和應(yīng)付奧帳款處理的混亂奧。艾值得注意的是，愛在ERP系統(tǒng)實矮施過程中，某些拜二次開發(fā)工作會巴削弱在系統(tǒng)中已絆經(jīng)設(shè)置好的控制擺，從而產(chǎn)生新的矮風險因子。這個凹時候，我們必須癌要用手工控制來扒彌補。邦完善控制，杜絕伴盲區(qū)柏需要了解的是，芭即便根據(jù)ERP奧系統(tǒng)的要求，調(diào)阿整和優(yōu)化了內(nèi)部熬控制，減少了由把于“流程自動化吧”帶來的內(nèi)部控稗制可能的削弱，唉仍然無法徹底消礙除系統(tǒng)本身的特拔點導(dǎo)致的控制盲辦區(qū)。這在復(fù)雜的愛系統(tǒng)接口和多用阿戶訪問情形下，澳問題是比較突出暗的。罷

11、很少有企業(yè)用一盎個系統(tǒng)將企業(yè)所岸有的數(shù)據(jù)和流程阿都管理起來。所巴以，ERP系統(tǒng)辦和其他系統(tǒng)之間扳的接口是實現(xiàn)不埃同系統(tǒng)間數(shù)據(jù)互凹聯(lián)互通的必需。巴這些位于不同系八統(tǒng)之間的接口是邦一個重要的風險班區(qū)域。扳由于不同系統(tǒng)的案數(shù)據(jù)格式可能完半全不同，為了實靶現(xiàn)數(shù)據(jù)的傳遞，唉就需要進行一系耙列的轉(zhuǎn)換。這就安要求針對不同的壩技術(shù)平臺和特點敖開發(fā)不同的接口把，這些接口會產(chǎn)鞍生新的控制方面昂的問題和風險。唉另一方面，許多癌企業(yè)在實施了E疤RP系統(tǒng)后，陷百入了用戶訪問方拜面的問題。比如擺，如果訪問權(quán)限跋開放給不應(yīng)該擁柏有訪問權(quán)限的個敖人或團體，它將罷極大地提高數(shù)據(jù)斑遭到破壞的風險擺。缺乏對這類用唉戶權(quán)限的有效控翱制，會降低那些昂敏感交易的安全埃性。所以，用戶唉訪問對敏感交易般的訪問需要通過百有效的控制，例疤如責權(quán)分離的原胺則加以限制。奧作為企業(yè)管理信扒息化進程中重要癌的一項 HYPERLINK / 敖內(nèi)容絆，ERP系統(tǒng)正跋逐步在企業(yè)中得安到廣泛 H