編者按：ERP的實施，就好比危險的飛行一般，讓人膽戰(zhàn)心驚而又無法抗拒。在ERP應(yīng)用的過程中，企業(yè)要面臨來自業(yè)務(wù)流程、應(yīng)用架構(gòu)、數(shù)據(jù)質(zhì)量和技術(shù)架構(gòu)等四個方面的業(yè)務(wù)風(fēng)險。下文針對如何從內(nèi)部控制這些風(fēng)險，提出了解決之道。 

　　由于對原有手工業(yè)務(wù)流程的重新設(shè)計，ERP系統(tǒng)的實施在很大程度上改變了企業(yè)的業(yè)務(wù)流程。在ERP系統(tǒng)實施以前，許多企業(yè)基于計算機的業(yè)務(wù)系統(tǒng)，基本都是圍繞某一業(yè)務(wù)功能或者是職能部門運行的，比如銷售系統(tǒng)、采購系統(tǒng)和財務(wù)系統(tǒng)等。這些系統(tǒng)都不是基于跨部門的流程來設(shè)計的。ERP系統(tǒng)實現(xiàn)了從采購到付款、訂單的獲取到發(fā)票的開出等業(yè)務(wù)集成，實現(xiàn)了跨職能部門業(yè)務(wù)處理。 

　　在這種情況下，ERP系統(tǒng)中單一的數(shù)據(jù)庫，使過去跨部門的審批流程得到簡化和壓縮。壓縮所造成的一個結(jié)果是，用于企業(yè)內(nèi)部控制的許多審計線索在ERP系統(tǒng)的引入后消失了。同時，企業(yè)過去基于文件審批的內(nèi)部控制機制，也無法適應(yīng)ERP基于流程的管理需要。更重要的是，由于企業(yè)的業(yè)務(wù)運作更加依賴于ERP系統(tǒng)，這種依賴和信息系統(tǒng)本身特點所導(dǎo)致的脆弱性，形成了企業(yè)新的業(yè)務(wù)風(fēng)險。 

　　實施ERP系統(tǒng)后，企業(yè)所遇到的業(yè)務(wù)風(fēng)險一般來自四個方面：業(yè)務(wù)流程、應(yīng)用架構(gòu)、數(shù)據(jù)質(zhì)量和技術(shù)架構(gòu)。其中，業(yè)務(wù)流程的轉(zhuǎn)變對企業(yè)內(nèi)部控制的影響最大，對企業(yè)內(nèi)部管理和財務(wù)方面的監(jiān)控提出了新的要求，這方面的風(fēng)險特征相比過去發(fā)生了根本性的變化。例如，在ERP系統(tǒng)中，通過對手工流程的機器處理，比如審批處理自動化等，進一步增強了完成各種業(yè)務(wù)流程的效率。但是，在新的業(yè)務(wù)執(zhí)行環(huán)境中，這些審批處理自動化方法將改變企業(yè)內(nèi)部原有的一些風(fēng)險特征，這時相應(yīng)的內(nèi)部控制體系就需要重新評估和設(shè)計。 

　　
  [$page$]內(nèi)部控制蘊涵新的風(fēng)險


　　ERP實行的是流程化的管理，打破了原來職能部門的條塊分割，實現(xiàn)了企業(yè)資源的統(tǒng)一管理和共享。企業(yè)的運行和管理在一定程度上已經(jīng)交給了ERP系統(tǒng)來進行控制。 

　　這樣一來，一方面導(dǎo)致企業(yè)所處的內(nèi)部風(fēng)險環(huán)境發(fā)生了變化，過去手工狀態(tài)下的控制風(fēng)險，由于ERP系統(tǒng)的引入而變得更加復(fù)雜；另一方面，ERP系統(tǒng)的實施需要對原有的業(yè)務(wù)流程進行優(yōu)化和設(shè)計，改變了企業(yè)的組織結(jié)構(gòu)。 

　　流程優(yōu)化的目的就是減少或合并流程中重復(fù)的、不增值的環(huán)節(jié)，原有的基于手工作業(yè)流程中有利于控制的重復(fù)環(huán)節(jié)將消失，這樣一來內(nèi)部控制體系會發(fā)生變化。這些變化必然對企業(yè)內(nèi)部的整體控制體系的有效性產(chǎn)生負(fù)面影響。在這種情況下，就需要企業(yè)對基于ERP系統(tǒng)的關(guān)鍵業(yè)務(wù)流程的內(nèi)部控制進行定期的審核，確認(rèn)是否存在足夠的有效控制以降低由于ERP系統(tǒng)的使用而帶來的業(yè)務(wù)風(fēng)險。 

　　
定內(nèi)部控制目標(biāo)


　　針對由ERP系統(tǒng)實施所帶來的新的業(yè)務(wù)控制風(fēng)險，我們需要對企業(yè)內(nèi)部控制體系做重新評估和完善。ERP系統(tǒng)實施之后，內(nèi)部控制評估的目標(biāo)通常包括下面這些內(nèi)容： 

　　1.利用風(fēng)險評估手段重新確定企業(yè)中關(guān)鍵的業(yè)務(wù)流程； 

　　2.對整個流程和控制的設(shè)計進行評估，確定這些控制是否很好地滿足和支持最終業(yè)務(wù)目標(biāo)的實現(xiàn)； 

　　3.對崗位職責(zé)分離的評估，確保在整個流程中存在正確的稽核點和平衡點，對敏感業(yè)務(wù)交易給出足夠的訪問限制； 

　　4.評估控制方式是否合理，比如基于手工流程的控制和基于系統(tǒng)的自動控制是否搭配合理。 

　　
[$page$]確定評估范圍


　　一般來說，ERP系統(tǒng)將覆蓋營銷、計劃、生產(chǎn)、采購、倉儲、財務(wù)、人力資源等企業(yè)運營管理的各個層面。根據(jù)經(jīng)驗，如果對每個流程和控制點都進行評估在資源的利用上是非常不經(jīng)濟的。 

　　ERP系統(tǒng)的控制評估必須基于風(fēng)險管理的原則，通過風(fēng)險評估尋找對主要業(yè)務(wù)運作中影響最大的領(lǐng)域。換句話說，我們可以從企業(yè)整個業(yè)務(wù)風(fēng)險域中尋找對企業(yè)具有最大風(fēng)險的業(yè)務(wù)流程，從而進一步確定有哪些ERP模塊在支持這些業(yè)務(wù)流程。 

　　一般來說，我們通過對業(yè)務(wù)流程所有者的訪談，來確定我們的評估范圍。 

　　在對實施了ERP系統(tǒng)的企業(yè)的調(diào)研和風(fēng)險評估中，我們發(fā)現(xiàn)，ERP系統(tǒng)中涉及到企業(yè)收入業(yè)務(wù)、支出業(yè)務(wù)和庫存業(yè)務(wù)的系統(tǒng)控制流程對企業(yè)的業(yè)務(wù)能否順利運轉(zhuǎn)影響比較大。對于這種影響，是這樣定義的：由于業(yè)務(wù)控制的削弱，導(dǎo)致企業(yè)出現(xiàn)經(jīng)濟問題和違規(guī)問題的可能性增加。 

　　例如，企業(yè)管理層非常關(guān)注財務(wù)控制的內(nèi)部和外部流程，因為那些這些流程決定了財務(wù)數(shù)據(jù)的準(zhǔn)確性，是反映企業(yè)運作是否健康的“脈搏”。因此，我們通常會更關(guān)注收入業(yè)務(wù)，它包括主數(shù)據(jù)維護、銷售訂單處理、發(fā)運、開票、退貨和收款等控制內(nèi)容。 

　　
評估控制方案


　　在確定評估范圍之后，我們需要對這些流程進行描述和分析。對ERP流程中的每個動作，我們都需要追溯到它的結(jié)果，描述風(fēng)險特征并確認(rèn)相應(yīng)的控制點。 

　　在ERP環(huán)境中，通常有兩種控制方式我們需要考慮：一種是基于系統(tǒng)的控制，另一種是基于流程的控制。在ERP系統(tǒng)支撐的業(yè)務(wù)流程中，上述兩種方式通常需要結(jié)合使用。 

　　手工控制主要依靠個人職責(zé)的履行來完成。比如，通常付款是需要通過填表、簽字確認(rèn)才可支付的�；�于ERP系統(tǒng)的控制，是由軟件來完成的，通過控制數(shù)據(jù)的有效性和合理性來限制和核查動作的合法性。ERP系統(tǒng)的參數(shù)設(shè)置將決定這個領(lǐng)域的控制級別。 

　　[$page$]這些控制包括用戶訪問、字段驗證、工作流和許多其他用于確保數(shù)據(jù)處理一致性的控制。例如，系統(tǒng)會自動拒絕生成一張與前一次序號相同的發(fā)票。這樣就自動降低了差錯發(fā)生的可能性和應(yīng)付帳款處理的混亂。 

　　值得注意的是，在ERP系統(tǒng)實施過程中，某些二次開發(fā)工作會削弱在系統(tǒng)中已經(jīng)設(shè)置好的控制，從而產(chǎn)生新的風(fēng)險因子。這個時候，我們必須要用手工控制來彌補。 

　　
完善控制，杜絕盲區(qū)


　　需要了解的是，即便根據(jù)ERP系統(tǒng)的要求，調(diào)整和優(yōu)化了內(nèi)部控制，減少了由于“流程自動化”帶來的內(nèi)部控制可能的削弱，仍然無法徹底消除系統(tǒng)本身的特點導(dǎo)致的控制盲區(qū)。這在復(fù)雜的系統(tǒng)接口和多用戶訪問情形下，問題是比較突出的。 

　　很少有企業(yè)用一個系統(tǒng)將企業(yè)所有的數(shù)據(jù)和流程都管理起來。所以，ERP系統(tǒng)和其他系統(tǒng)之間的接口是實現(xiàn)不同系統(tǒng)間數(shù)據(jù)互聯(lián)互通的必需。這些位于不同系統(tǒng)之間的接口是一個重要的風(fēng)險區(qū)域。 

　　由于不同系統(tǒng)的數(shù)據(jù)格式可能完全不同，為了實現(xiàn)數(shù)據(jù)的傳遞，就需要進行一系列的轉(zhuǎn)換。這就要求針對不同的技術(shù)平臺和特點開發(fā)不同的接口，這些接口會產(chǎn)生新的控制方面的問題和風(fēng)險。另一方面，許多企業(yè)在實施了ERP系統(tǒng)后，陷入了用戶訪問方面的問題。比如，如果訪問權(quán)限開放給不應(yīng)該擁有訪問權(quán)限的個人或團體，它將極大地提高數(shù)據(jù)遭到破壞的風(fēng)險。缺乏對這類用戶權(quán)限的有效控制，會降低那些敏感交易的安全性。所以，用戶訪問對敏感交易的訪問需要通過有效的控制，例如責(zé)權(quán)分離的原則加以限制。 

　　作為企業(yè)管理信息化進程中重要的一項內(nèi)容，ERP系統(tǒng)正逐步在企業(yè)中得到廣泛應(yīng)用。但是，當(dāng)我們關(guān)注其為企業(yè)帶來巨大的管理提升和經(jīng)濟效益的同時，也必須充分認(rèn)識到由于ERP系統(tǒng)自身的特點所帶來的風(fēng)險。針對這些風(fēng)險，研究和制定ERP環(huán)境下企業(yè)的內(nèi)部控制策略，是ERP應(yīng)用中不容忽視的新課題。