ERP应用风险与内部控制(一).pdfVIP

ERP应用风险与内部控制

ERP的实施，就好比危险的飞行一般，让人胆战心惊而又无法抗。在ERP应用的过

程中，企业要面临来自业务流程、应用架构、数据质量和技术架构等四人方面的业

务风险。下文针对如何从内部控制这些风险，提出了解决之道。

由于对原有手工火务流程的重新设计，ERP系统的实施在很大程度上改变了企业

的业务流程。在ERP系统实施以前，许多企业基于计算机的业务系统，根本都是围

绕某一业务功能或者是职能部门运行的，比方销售系统、采购系统和财务系统等。

这些系统都不是基于跨部厂的流程来设计的。ERP系统实现了从采购到付款、订单的

获取到发票的开出等业务集成，实现了跨职能部门业务处理。

在这种情况下，ERP系统中单一的数据库，使过去跨部门的审批流程得到简化和

压缩。压缩所造成的一个结果是，用于企业内部控制的许多审计线索在ERP系统的

引入后消失了。同时，企业过去基于文件审批的内部控制机制，也无法适应ERP基

于流程的管理需要。更重要的是，由于企业的业务运作更加依赖于ERP系统，这种

依赖和信息系统本身特点所导致的脆弱性，形成了企业新的业务风险。

实施ERP系统后，企业所遇到的业务风险一般来自四个方面：业务流程、应用

架构、数据质量和技术架构。其中，业务流程的转变对企业内部控制的塞咆最大,

对企业内部管理和财务方面的监控提出了新的要求，这方面的风险特征相比过去发

生了根本性的变化。例如，在ERP系统中，通过对手工流程的机器处理，比方审批

处理自动化等，进一步增强了完成各种业务流程的效率。但是，在新的业务执行环

境中，这些审批处理自动化方法将改变企业内部原有的一些风险特征，这时相应的

内部控制体系就需要重新评估和设计U

内部控制蕴涵新的风险

ERP实行的是流程化的管理，打破了原来职能部门的条块分割，实现了企业资源

的统一管理和共享。企业的运行和管理在一定程度上已经交给了ERP系统来进行控

制。

这样一来，一方面导致企业所处的内部风险环境发生了变化，过去手工状态下

的控制风险，由于ERP系统的引入而变得更加复杂；另一方面，ERP系统的实施需要

对原有的业务流程进行优化和设计，改变了企业的组织结构。

流程优化的目的就是减少或合并流程中重复的、不增值的环节，原有的基于手

工作业流程中有利于控制的重复环节将消失，这样一来部控制体系会发生变化。

这些变化必然对企业部的整体控制体系的有效性产生负面影胞。在这种情况下，

就需要企业对基于ERP系统的关键业务流程的离控制进行定期的审核，确认是否

存在足够的有效控制以降低由于ERP系统的使用而带来的业务风险。

定部控制目标

针对由ERP系统实施所带来的新的业务控制风险，我们需要对企业部控制体

系做重新评估和完善。ERP系统实施之后，部控制评估的目标通常包括下面这些

1.利用风险评估手段重新确定企业中关键的业务流程；

2.对整个流程和控制的设计进行评估，确定这些控制是否很好地满足和支持最

终业务目标的实现；

3.对岗位职责别离的评估，确保在整个流程中存在正确的稽核点和立衡点，对

敏感业务交易给出足够的访问限制；

4.评估控制方式是否合理，比方基于手工流程的控制和基于系统的自动控制是

否搭配合理。

确定评估范围

一般来说，ERP系统将覆盖营销、方案、生产、采购、仓储、财务、人力资源等

企业运营管理的各个层面。根据经验，如果对每个流程和控制点都进行评估在资源

的利用上是非常不经济的。

ERP系统的控制评估必须基于风险管理的原则，通过风险评估寻找对主要业务运

作中影响最大的领域。换句话说，我们可以从企业整个业务风险域中寻找对企业具

有最大风险的业务流程，从而进一步确定有哪些ERP模块在支持这些业务流程。

一般来说，我们通过对业务流程所有者的访谈，来确定我们的评估范围。

在对实施了ERP系统的企业的调研和风险评估中，我们发现，ERP系统中涉及到企业

收入业务、支出业务和库存业务的系统控制流程对企业的业务能否顺利运转影响比

较大。对于这种影响,是这样定义的：由于业务挖制的削弱，导致企业b现经逢回

题和违规问题的可能性增加。

例如，企业管理层非常关注财务控制的部和外部流程，因为那些这些流程决定了

财务