ERP應用的風險與內(nèi)部控制

1、無憂商務網(wǎng) 5ucom 共享和傳播管理資源，引導管理人實現(xiàn)杰出管理 .精品資料網(wǎng)cnshu25萬份精華管理資料，2萬多集管理視頻講座無憂商務網(wǎng) 5ucom 共享和傳播管理資源，引導管理人實現(xiàn)杰出管理 ：.；精品資料網(wǎng)cnshu 專業(yè)提供企管培訓資料無憂商務網(wǎng) 5ucom 共享和傳播管理資源，引導管理人實現(xiàn)杰出管理 無憂商務網(wǎng) 5ucom 共享和傳播管理資源，引導管理人實現(xiàn)杰出管理 ERP運用的風險與內(nèi)部控制 陸培煒 發(fā)表：2003.07.21 16:35:03 來源：中國計算機用戶-賽迪網(wǎng) 編者按：ERP的實施，就好比危險的飛行普通，讓人膽戰(zhàn)心驚而又無法抗拒。在ERP運用的過程中，企業(yè)要面臨業(yè)

2、務流程、運用架構、數(shù)據(jù)質(zhì)量和技術架構等四個方面的業(yè)務風險。下文針對如何從內(nèi)部控制這些風險，提出理處理之道。 由于對原有手工業(yè)務流程的重新設計，ERP系統(tǒng)的實施在很大程度上改動了企業(yè)的業(yè)務流程。在ERP系統(tǒng)實施以前，許多企業(yè)基于計算機的業(yè)務系統(tǒng)，根本都是圍繞某一業(yè)務功能或者是職能部門運轉的，比如銷售系統(tǒng)、采購系統(tǒng)和財務系統(tǒng)等。這些系統(tǒng)都不是基于跨部門的流程來設計的。ERP系統(tǒng)實現(xiàn)了從采購到付款、訂單的獲取到發(fā)票的開出等業(yè)務集成，實現(xiàn)了跨職能部門業(yè)務處置。 在這種情況下，ERP系統(tǒng)中單一的數(shù)據(jù)庫，使過去跨部門的審批流程得到簡化和緊縮。緊縮所呵斥的一個結果是，用于企業(yè)內(nèi)部控制的許多審計線索在ERP系

3、統(tǒng)的引入后消逝了。同時，企業(yè)過去基于文件審批的內(nèi)部控制機制，也無法順應ERP基于流程的管理需求。更重要的是，由于企業(yè)的業(yè)務運作更加依賴于ERP系統(tǒng)，這種依賴和信息系統(tǒng)本身特點所導致的脆弱性，構成了企業(yè)新的業(yè)務風險。 實施ERP系統(tǒng)后，企業(yè)所遇到的業(yè)務風險普通四個方面：業(yè)務流程、運用架構、數(shù)據(jù)質(zhì)量和技術架構。其中，業(yè)務流程的轉變對企業(yè)內(nèi)部控制的影響最大，對企業(yè)內(nèi)部管理和財務方面的監(jiān)控提出了新的要求，這方面的風險特征相比過去發(fā)生了根本性的變化。例如，在ERP系統(tǒng)中，經(jīng)過對手工流程的機器處置，比如審批處置自動化等，進一步加強了完成各種業(yè)務流程的效率。但是，在新的業(yè)務執(zhí)行環(huán)境中，這些審批處置自動化方法

4、將改動企業(yè)內(nèi)部原有的一些風險特征，這時相應的內(nèi)部控制體系就需求重新評價和設計。 內(nèi)部控制蘊涵新的風險ERP實行的是流程化的管理，突破了原來職能部門的條塊分割，實現(xiàn)了企業(yè)資源的一致管理和共享。企業(yè)的運轉和管理在一定程度上曾經(jīng)交給了ERP系統(tǒng)來進展控制。 這樣一來，一方面導致企業(yè)所處的內(nèi)部風險環(huán)境發(fā)生了變化，過去手工形狀下的控制風險，由于ERP系統(tǒng)的引入而變得更加復雜；另一方面，ERP系統(tǒng)的實施需求對原有的業(yè)務流程進展優(yōu)化和設計，改動了企業(yè)的組織構造。 流程優(yōu)化的目的就是減少或合并流程中反復的、不增值的環(huán)節(jié)，原有的基于手任務業(yè)流程中有利于控制的反復環(huán)節(jié)將消逝，這樣一來內(nèi)部控制體系會發(fā)生變化。這些變

5、化必然對企業(yè)內(nèi)部的整體控制體系的有效性產(chǎn)生負面影響。在這種情況下，就需求企業(yè)對基于ERP系統(tǒng)的關鍵業(yè)務流程的內(nèi)部控制進展定期的審核，確認能否存在足夠的有效控制以降低由于ERP系統(tǒng)的運用而帶來的業(yè)務風險。 定內(nèi)部控制目的針對由ERP系統(tǒng)實施所帶來的新的業(yè)務控制風險，我們需求對企業(yè)內(nèi)部控制體系做重新評價和完善。ERP系統(tǒng)實施之后，內(nèi)部控制評價的目的通常包括下面這些內(nèi)容： 1.利用風險評價手段重新確定企業(yè)中關鍵的業(yè)務流程； 2.對整個流程和控制的設計進展評價，確定這些控制能否很好地滿足和支持最終業(yè)務目的的實現(xiàn)； 3.對崗位職責分別的評價，確保在整個流程中存在正確的稽核點和平衡點，對敏感業(yè)務買賣給出足

6、夠的訪問限制； 4.評價控制方式能否合理，比如基于手工流程的控制和基于系統(tǒng)的自動控制能否搭配合理。 確定評價范圍普通來說，ERP系統(tǒng)將覆蓋營銷、方案、消費、采購、倉儲、財務、人力資源等企業(yè)運營管理的各個層面。根據(jù)閱歷，假設對每個流程和控制點都進展評價在資源的利用上是非常不經(jīng)濟的。 ERP系統(tǒng)的控制評價必需基于風險管理的原那么，經(jīng)過風險評價尋覓對主要業(yè)務運作中影響最大的領域。換句話說，我們可以從企業(yè)整個業(yè)務風險域中尋覓對企業(yè)具有最大風險的業(yè)務流程，從而進一步確定有哪些ERP模塊在支持這些業(yè)務流程。 普通來說，我們經(jīng)過對業(yè)務流程一切者的訪談，來確定我們的評價范圍。 在對實施了ERP系統(tǒng)的企業(yè)的調(diào)研

7、和風險評價中，我們發(fā)現(xiàn)，ERP系統(tǒng)中涉及到企業(yè)收入業(yè)務、支出業(yè)務和庫存業(yè)務的系統(tǒng)控制流程對企業(yè)的業(yè)務能否順利運轉影響比較大。對于這種影響，是這樣定義的：由于業(yè)務控制的減弱，導致企業(yè)出現(xiàn)經(jīng)濟問題和違規(guī)問題的能夠性添加。 例如，企業(yè)管理層非常關注財務控制的內(nèi)部和外部流程，由于那些這些流程決議了財務數(shù)據(jù)的準確性，是反映企業(yè)運作能否安康的“脈搏。因此，我們通常會更關注收入業(yè)務，它包括主數(shù)據(jù)維護、銷售訂單處置、發(fā)運、開票、退貨和收款等控制內(nèi)容。 評價控制方案在確定評價范圍之后，我們需求對這些流程進展描畫和分析。對ERP流程中的每個動作，我們都需求追溯到它的結果，描畫風險特征并確認相應的控制點。 在ERP

8、環(huán)境中，通常有兩種控制方式我們需求思索：一種是基于系統(tǒng)的控制，另一種是基于流程的控制。在ERP系統(tǒng)支撐的業(yè)務流程中，上述兩種方式通常需求結合運用。 手工控制主要依托個人職責的履行來完成。比如，通常付款是需求經(jīng)過填表、簽字確認才可支付的?；贓RP系統(tǒng)的控制，是由軟件來完成的，經(jīng)過控制數(shù)據(jù)的有效性和合理性來限制和核對動作的合法性。ERP系統(tǒng)的參數(shù)設置將決議這個領域的控制級別。 這些控制包括用戶訪問、字段驗證、任務流和許多其他用于確保數(shù)據(jù)處置一致性的控制。例如，系統(tǒng)會自動回絕生成一張與前一次序號一樣的發(fā)票。這樣就自動降低了過失發(fā)生的能夠性和應付帳款處置的混亂。 值得留意的是，在ERP系統(tǒng)實施過程中

9、，某些二次開發(fā)任務會減弱在系統(tǒng)中曾經(jīng)設置好的控制，從而產(chǎn)生新的風險因子。這個時候，我們必需求用手工控制來彌補。 完善控制，杜絕盲區(qū)需求了解的是，即使根據(jù)ERP系統(tǒng)的要求，調(diào)整和優(yōu)化了內(nèi)部控制，減少了由于“流程自動化帶來的內(nèi)部控制能夠的減弱，依然無法徹底消除系統(tǒng)本身的特點導致的控制盲區(qū)。這在復雜的系統(tǒng)接口和多用戶訪問情形下，問題是比較突出的。 很少有企業(yè)用一個系統(tǒng)將企業(yè)一切的數(shù)據(jù)和流程都管理起來。所以，ERP系統(tǒng)和其他系統(tǒng)之間的接口是實現(xiàn)不同系統(tǒng)間數(shù)據(jù)互聯(lián)互通的必需。這些位于不同系統(tǒng)之間的接口是一個重要的風險區(qū)域。 由于不同系統(tǒng)的數(shù)據(jù)格式能夠完全不同，為了實現(xiàn)數(shù)據(jù)的傳送，就需求進展一系列的轉換。這就要求針對不同的技術平臺和特點開發(fā)不同的接口，這些接口會產(chǎn)生新的控制方面的問題和風險。另一方面，許多企業(yè)在實施了ERP系統(tǒng)后，墮入了用戶訪問方面的問題。比如，假設訪問權限開放給不應該擁有訪問權限的個人或團體，它將極大地提高數(shù)據(jù)遭到破壞的風險。缺乏對這類用戶權限的有效控制，會降低那些敏感買賣的平安性。所以，用戶訪問對敏感買賣的訪問需求經(jīng)過有效的控制，例如責權分別的原那么加以限制。 作為企業(yè)管理信