ERP應(yīng)用風(fēng)險(xiǎn)與內(nèi)部控制

1、唉ERP應(yīng)用風(fēng)險(xiǎn)俺與內(nèi)部控制鞍ERP的實(shí)施，澳就好比危險(xiǎn)的飛罷行一般，讓人膽捌戰(zhàn)心驚而又無(wú)法氨抗拒。在ERP HYPERLINK 艾應(yīng)用吧的過(guò)程中， HYPERLINK /company/ 擺企業(yè)罷要面臨來(lái)自業(yè)務(wù)瓣流程、 HYPERLINK 耙應(yīng)用瓣架構(gòu)、數(shù)據(jù)質(zhì)量愛(ài)和技術(shù)架構(gòu)等四搬個(gè)方面的業(yè)務(wù)風(fēng)哀險(xiǎn)。下文針對(duì)如岸何從內(nèi)部控制這罷些風(fēng)險(xiǎn)，提出了哎解決之道。 澳由于對(duì)原有瓣手 HYPERLINK /gongxue/ 背工業(yè)拌務(wù)流程的重新設(shè)熬計(jì)，ERP系統(tǒng)氨的實(shí)施在很大程懊度上改變了 HYPERLINK /company/ 昂企業(yè)傲的業(yè)務(wù)流程。在佰ERP系統(tǒng)實(shí)施懊以前，許多企業(yè)半基于 HYPERLI

2、NK /pc/ 埃計(jì)算白機(jī)的業(yè)務(wù)系統(tǒng)，哀基本都是圍繞某背一業(yè)務(wù)功能或者氨是職能部門運(yùn)行頒的，比如銷售系艾統(tǒng)、采購(gòu)系統(tǒng)和板財(cái)務(wù)系統(tǒng)等。這懊些系統(tǒng)都不是基暗于跨部門的流程佰來(lái)設(shè)計(jì)的。ER班P系統(tǒng)實(shí)現(xiàn)了從罷采購(gòu)到付款、訂藹單的獲取到發(fā)票澳的開出等業(yè)務(wù)集岸成，實(shí)現(xiàn)了跨職拜能部門業(yè)務(wù)處理唉。敗在這種情況扮下，ERP系統(tǒng)八中單一的數(shù)據(jù)庫(kù)愛(ài)，使過(guò)去跨部門拔的審批流程得到襖簡(jiǎn)化和壓縮。壓白縮所造成的一個(gè)傲結(jié)果是，用于企案業(yè)內(nèi)部控制的許搬多審計(jì)線索在E盎RP系統(tǒng)的引入壩后消失了。同時(shí)襖，企業(yè)過(guò)去基于暗文件審批的內(nèi)部笆控制機(jī)制，也無(wú)盎法適應(yīng)ERP基哎于流程的管理需哀要。更重要的是氨，由于企業(yè)的業(yè)瓣務(wù)運(yùn)作更加依賴扮

3、于ERP系統(tǒng)，扳這種依賴和信息愛(ài)系統(tǒng)本身特點(diǎn)所鞍導(dǎo)致的脆弱性，安形成了企業(yè)新的埃業(yè)務(wù)風(fēng)險(xiǎn)。盎實(shí)施ERP白系統(tǒng)后，企業(yè)所骯遇到的業(yè)務(wù)風(fēng)險(xiǎn)爸一般來(lái)自四個(gè)方阿面：業(yè)務(wù)流程、稗應(yīng)用架構(gòu)、數(shù)據(jù)絆質(zhì)量和技術(shù)架構(gòu)班。其中，業(yè)務(wù)流啊程的轉(zhuǎn)變對(duì)企業(yè)絆內(nèi)部控制的 HYPERLINK / 胺影響哀最大，對(duì)企業(yè)內(nèi)拜部管理和財(cái)務(wù)方胺面的監(jiān)控提出了瓣新的要求，這方皚面的風(fēng)險(xiǎn)特征相爸比過(guò)去發(fā)生了根骯本性的變化。例唉如，在ERP系霸統(tǒng)中，通過(guò)對(duì)手胺工流程的機(jī)器處哀理，比如審批處扒理自動(dòng)化等，進(jìn)邦一步增強(qiáng)了完成斑各種業(yè)務(wù)流程的捌效率。但是，在挨新的業(yè)務(wù)執(zhí)行環(huán)佰境中，這些審批版處理自動(dòng)化 HYPERLINK / 敗方法板將改變企

4、業(yè)內(nèi)部扳原有的一些風(fēng)險(xiǎn)按特征，這時(shí)相應(yīng)凹的內(nèi)部控制體系白就需要重新評(píng)估耙和設(shè)計(jì)。叭內(nèi)部控制蘊(yùn)絆涵新的風(fēng)險(xiǎn)藹ERP實(shí)行襖的是流程化的管案理，打破了原來(lái)白職能部門的條塊盎分割，實(shí)現(xiàn)了企阿業(yè)資源的統(tǒng)一管骯理和共享。企業(yè)頒的運(yùn)行和管理在巴一定程度上已經(jīng)暗交給了ERP系罷統(tǒng)來(lái)進(jìn)行控制。拜這樣一來(lái)，拔一方面導(dǎo)致企業(yè)埃所處的內(nèi)部風(fēng)險(xiǎn)阿環(huán)境發(fā)生了變化捌，過(guò)去手工狀態(tài)翱下的控制風(fēng)險(xiǎn)，阿由于ERP系統(tǒng)昂的引入而變得更班加復(fù)雜；另一方霸面，ERP系統(tǒng)矮的實(shí)施需要對(duì)原愛(ài)有的業(yè)務(wù)流程進(jìn)岸行優(yōu)化和設(shè)計(jì)，扒改變了企業(yè)的組盎織結(jié)構(gòu)。背流程優(yōu)化的跋目的就是減少或瓣合并流程中重復(fù)昂的、不增值的環(huán)八節(jié)，原有的基于靶手工作業(yè)流程中板

5、有利于控制的重按復(fù)環(huán)節(jié)將消失，盎這樣一來(lái)內(nèi)部控皚制體系會(huì)發(fā)生變矮化。這些變化必罷然對(duì)企業(yè)內(nèi)部的皚整體控制體系的搬有效性產(chǎn)生負(fù)面 HYPERLINK / 稗影響澳。在這種情況下把，就需要企業(yè)對(duì)安基于ERP系統(tǒng)啊的關(guān)鍵業(yè)務(wù)流程熬的內(nèi)部控制進(jìn)行哀定期的審核，確頒認(rèn)是否存在足夠傲的有效控制以降隘低由于ERP系爸統(tǒng)的使用而帶來(lái)俺的業(yè)務(wù)風(fēng)險(xiǎn)。俺定內(nèi)部控制敖目標(biāo)安針對(duì)由ER澳P系統(tǒng)實(shí)施所帶扒來(lái)的新的業(yè)務(wù)控懊制風(fēng)險(xiǎn)，我們需凹要對(duì)企業(yè)內(nèi)部控懊制體系做重新評(píng)扳估和完善。ER皚P系統(tǒng)實(shí)施之后案，內(nèi)部控制評(píng)估愛(ài)的目標(biāo)通常包括扒下面這些 HYPERLINK / 爸內(nèi)容矮：罷1.利用風(fēng)版險(xiǎn)評(píng)估手段重新懊確定企業(yè)中關(guān)鍵霸的

6、業(yè)務(wù)流程；哎2.對(duì)整個(gè)按流程和控制的設(shè)疤計(jì)進(jìn)行評(píng)估，確愛(ài)定這些控制是否板很好地滿足和支跋持最終業(yè)務(wù)目標(biāo)罷的實(shí)現(xiàn)；柏3.對(duì)崗位般職責(zé)分離的評(píng)估稗，確保在整個(gè)流搬程中存在正確的白稽核點(diǎn)和平衡點(diǎn)俺，對(duì)敏感業(yè)務(wù)交叭易給出足夠的訪阿問(wèn)限制；岸4.評(píng)估控背制方式是否合理拌，比如基于手工安流程的控制和基笆于系統(tǒng)的自動(dòng)控斑制是否搭配合理擺。凹確定評(píng)估范敖圍辦一般來(lái)說(shuō)，骯ERP系統(tǒng)將覆鞍蓋營(yíng)銷、計(jì)劃、扮生產(chǎn)、采購(gòu)、倉(cāng)柏儲(chǔ)、財(cái)務(wù)、人力安資源等企業(yè)運(yùn)營(yíng)板管理的各個(gè)層面爸。根據(jù)經(jīng)驗(yàn)，如皚果對(duì)每個(gè)流程和奧控制點(diǎn)都進(jìn)行評(píng)愛(ài)估在資源的利用暗上是非常不 HYPERLINK /Economic/ 叭經(jīng)濟(jì)敖的。藹ERP系統(tǒng)爸的控

7、制評(píng)估必須阿基于風(fēng)險(xiǎn)管理的安原則，通過(guò)風(fēng)險(xiǎn)哀評(píng)估尋找對(duì)主要斑業(yè)務(wù)運(yùn)作中影響鞍最大的領(lǐng)域。換挨句話說(shuō)，我們可靶以從企業(yè)整個(gè)業(yè)熬務(wù)風(fēng)險(xiǎn)域中尋找熬對(duì)企業(yè)具有最大翱風(fēng)險(xiǎn)的業(yè)務(wù)流程凹，從而進(jìn)一步確笆定有哪些ERP巴模塊在支持這些八業(yè)務(wù)流程。跋一般來(lái)說(shuō)，我們艾通過(guò)對(duì)業(yè)務(wù)流程扮所有者的訪談，昂來(lái)確定我們的評(píng)柏估范圍。絆在對(duì)實(shí)施了ER藹P系統(tǒng)的 HYPERLINK /company/ 岸企業(yè)安的調(diào)研和風(fēng)險(xiǎn)評(píng)柏估中，我們發(fā)現(xiàn)胺，ERP系統(tǒng)中皚涉及到 HYPERLINK /company/ 哎企業(yè)艾收入業(yè)務(wù)、支出扳業(yè)務(wù)和庫(kù)存業(yè)務(wù)襖的系統(tǒng)控制流程稗對(duì)企業(yè)的業(yè)務(wù)能版否順利運(yùn)轉(zhuǎn) HYPERLINK / 鞍影響翱比較大。

8、對(duì)于這班種 HYPERLINK / 搬影響班，是這樣定義的拜：由于業(yè)務(wù)控制佰的削弱，導(dǎo)致企按業(yè)出現(xiàn) HYPERLINK /Economic/ 扳經(jīng)濟(jì) HYPERLINK 懊問(wèn)題霸和違規(guī) HYPERLINK 啊問(wèn)題芭的可能性增加。柏例如，企業(yè)管理瓣層非常關(guān)注財(cái)務(wù)扮控制的內(nèi)部和外隘部流程，因?yàn)槟前啃┻@些流程決定皚了財(cái)務(wù)數(shù)據(jù)的準(zhǔn)擺確性，是反映企礙業(yè)運(yùn)作是否健康唉的“脈搏”。因班此，我們通常會(huì)唉更關(guān)注收入業(yè)務(wù)拌，它包括主數(shù)據(jù)巴維護(hù)、銷售訂單靶處理、發(fā)運(yùn)、開案票、退貨和收款柏等控制 HYPERLINK / 瓣內(nèi)容八。評(píng)估控制方案敗在確定評(píng)估范圍骯之后，我們需要挨對(duì)這些流程進(jìn)行般描述和 HYPERLINK

9、 / 隘分析板。對(duì)ERP流程班中的每個(gè)動(dòng)作，爸我們都需要追溯斑到它的結(jié)果，描岸述風(fēng)險(xiǎn)特征并確搬認(rèn)相應(yīng)的控制點(diǎn)盎。捌在ERP環(huán)境中俺，通常有兩種控氨制方式我們需要叭考慮：一種是基唉于系統(tǒng)的控制，搬另一種是基于流柏程的控制。在E板RP系統(tǒng)支撐的昂業(yè)務(wù)流程中，上翱述兩種方式通常稗需要結(jié)合使用。拌手工控制主要依按靠個(gè)人職責(zé)的履佰行來(lái)完成。比如柏，通常付款是需案要通過(guò)填表、簽瓣字確認(rèn)才可支付笆的?；贓RP拜系統(tǒng)的控制，是翱由軟件來(lái)完成的拌，通過(guò)控制數(shù)據(jù)罷的有效性和合理挨性來(lái)限制和核查癌動(dòng)作的合法性。俺ERP系統(tǒng)的參柏?cái)?shù)設(shè)置將決定這唉個(gè)領(lǐng)域的控制級(jí)矮別。奧這些控制包括用扳戶訪問(wèn)、字段驗(yàn)敖證、工作流和許爸

10、多其他用于確保俺數(shù)據(jù)處理一致性傲的控制。例如，稗系統(tǒng)會(huì)自動(dòng)拒絕胺生成一張與前一哎次序號(hào)相同的發(fā)拜票。這樣就自動(dòng)頒降低了差錯(cuò)發(fā)生擺的可能性和應(yīng)付奧帳款處理的混亂奧。艾值得注意的是，愛(ài)在ERP系統(tǒng)實(shí)矮施過(guò)程中，某些拜二次開發(fā)工作會(huì)巴削弱在系統(tǒng)中已絆經(jīng)設(shè)置好的控制擺，從而產(chǎn)生新的矮風(fēng)險(xiǎn)因子。這個(gè)凹時(shí)候，我們必須癌要用手工控制來(lái)扒彌補(bǔ)。邦完善控制，杜絕伴盲區(qū)柏需要了解的是，芭即便根據(jù)ERP奧系統(tǒng)的要求，調(diào)阿整和優(yōu)化了內(nèi)部熬控制，減少了由把于“流程自動(dòng)化吧”帶來(lái)的內(nèi)部控稗制可能的削弱，唉仍然無(wú)法徹底消礙除系統(tǒng)本身的特拔點(diǎn)導(dǎo)致的控制盲辦區(qū)。這在復(fù)雜的愛(ài)系統(tǒng)接口和多用阿戶訪問(wèn)情形下，澳問(wèn)題是比較突出暗的。罷

11、很少有企業(yè)用一盎個(gè)系統(tǒng)將企業(yè)所岸有的數(shù)據(jù)和流程阿都管理起來(lái)。所巴以，ERP系統(tǒng)辦和其他系統(tǒng)之間扳的接口是實(shí)現(xiàn)不埃同系統(tǒng)間數(shù)據(jù)互凹聯(lián)互通的必需。巴這些位于不同系八統(tǒng)之間的接口是邦一個(gè)重要的風(fēng)險(xiǎn)班區(qū)域。扳由于不同系統(tǒng)的案數(shù)據(jù)格式可能完半全不同，為了實(shí)靶現(xiàn)數(shù)據(jù)的傳遞，唉就需要進(jìn)行一系耙列的轉(zhuǎn)換。這就安要求針對(duì)不同的壩技術(shù)平臺(tái)和特點(diǎn)敖開發(fā)不同的接口把，這些接口會(huì)產(chǎn)鞍生新的控制方面昂的問(wèn)題和風(fēng)險(xiǎn)。唉另一方面，許多癌企業(yè)在實(shí)施了E疤RP系統(tǒng)后，陷百入了用戶訪問(wèn)方拜面的問(wèn)題。比如擺，如果訪問(wèn)權(quán)限跋開放給不應(yīng)該擁柏有訪問(wèn)權(quán)限的個(gè)敖人或團(tuán)體，它將罷極大地提高數(shù)據(jù)斑遭到破壞的風(fēng)險(xiǎn)擺。缺乏對(duì)這類用唉戶權(quán)限的有效控翱制，會(huì)降低那些昂敏感交易的安全埃性。所以，用戶唉訪問(wèn)對(duì)敏感交易般的訪問(wèn)需要通過(guò)百有效的控制，例疤如責(zé)權(quán)分離的原胺則加以限制。奧作為企業(yè)管理信扒息化進(jìn)程中重要癌的一項(xiàng) HYPERLINK / 敖內(nèi)容絆，ERP系統(tǒng)正跋逐步在企業(yè)中得安到廣泛 H