广东省职称考试网:ERP应用的风险与内部控制

ERP系统的实施引起企业各个方面
　　的巨大变化.在很大程度上改变了企业
　　的业务流程。在ERP系统实施以前许
　　多企业基于计算机的业务系统.基本都
　　是围绕某一业务功能或者是职能部门运
　　行的.比如销售系统‘采购系统和财务
　　系统等。而ERP系统集成了企业运营的
　　各个方面一个完整的〔RP系统亦即是
　　人力资源、财务卜销售制造、分销以
　　及供应链管理等的集成。实现了跨职能
　　部门业务处理.这种集成能使企业多方
　　受益对竞争压力和市场机会的迅速反
　　应灵活的产品装配减少库存以及更
　　加有效的供应链管理。ERP系统中单一
　　的数据库，使过去跨部门的审批流程得
　　到简化和压缩。从而用于企业内部控制
　　的许多审计线索在ERP系统的引入后消
　　失了。同时，企业过去基于文件审批的
　　内部控制机制也无法适应ERP基于流
　　程的管理需要。更重要的是由于企业
　　的业务运作更加依赖于ERP系统这种
　　依赖和信息系统本身特点导致了企业新
　　的业务风险。
　　新的风险一般来自四个方面业务
　　流程、技术架构数据质妞和系统访问。
　　其中业务流程的转变对企业内部控制
　　的影响最大它对企业内部管理和财务
　　方面的监控提出了新的要求.这方面的
　　风险特征相比过去发生了根本性的变化。
　　业务流程风险及其控制方案
　　实行ERP系统之前，原来部门职能实
　　行条块分割，各部门对自己管辖的业务
　　实行责任制管理风险分级控制ERP实
　　行的是流程化的管理，打破了原来职能
　　部门的条块分割实现了企业资源的统
　　一管理和共享。企业的运行和内部控制
　　在一定程度上也交给了ERP系统来进行
　　控制。这样一来一方面导致企业所处的
　　内部风险环境发生了变化过去手工状
　　态下的控制风险由于〔RP系统的引人而
　　变得更加复杂:另一方面ERP系统的实
　　施需要对原有的业务流程进行优化和设
　　计改变了企业的组织结构。如果不能很
　　快建立起新的、有效的内部控制，必然对
　　企业的整体运营产生不利影响。
　　首先，对整个流程进行评估，确保
　　各个单一流程很好地完成自己的功能并
　　保证很好地满足和支持最终业务目标的
　　实现。很少有企业用一个系统将企业所
　　有的数据和流程都管理起来。所以，ERP
　　系统和其他系统之间的接口是实现不同
　　系统间数据互联互通的必需。这些位于
　　不同系统之间的接口是一个重要的风险
　　控制区域要设置密码并进行权限控制。
　　其次，确定旅程控制关键点。对整
　　个流程和控制的设计进行评估，确定关
　　键的业务流程找出业务容易出问题的
　　环节.设置监督控制点.对敏感业务文易
　　给出足够的访问限制。确保这些控制很
　　好地发挥个体功能使整个流程顺利运
　　行。
　　第三，岗位职责合理设置，确保在
　　整个流程中存在正确的借核点和平衡
　　点。比如ERP系统实施实现了‘’物资流、
　　信息流、资金流“三流合一财务和其
　　他内部业务已完全协同，传统上的财务
　　会计岗位分工.如材料核算总账、固
　　定资产等岗位设置为投资岗，成本管理
　　岗、稽核报销等岗。要加强稽核报销管
　　理严把第一道关口。
　　第四，确定合理的控制方式。在〔RP
　　环境中通常有两种控制方式我们需要
　　考虑一种是基于系统的流程控制，另
　　一种是基于书面的手工控制。手工控
　　制主要依靠个人职责的履行来完成。比
　　如工程项目申请付款首先具备经建设
　　单位‘专业技术人员讨论‘领导小组审
　　核签字、部门审批签章后形成的批复书
　　面文件.然后填写付款申请单并经有
　　关负责人按生产计划任务书和一定的级
　　别签字确认方可上线支付。人工流程结
　　束后，ERP上线进行单据录入、批处理文
　　件.线上审核付款等。在ERP系统流程
　　中，上述两种方式通常需要结合使用。
　　技术风险及其控制方案
　　ERP系统的使用涉及到整个企业的
　　业务流程。高度集成的功能和系统.使
　　用户无论在企业的哪个角落都能获得访
　　问系统并且控制或改变重要的业务参数
　　的可能。显然ERP系统的特点一方面使
　　企业员工以更大的灵活性去处理问题、
　　提高效率，但另一方面如果对这种灵活
　　性缺乏有效的控制那么ERP的高度集
　　成性和分布式的系统技术结构同样会为
　　企业带来风险。
　　首先，ERP系统中高度集成的功能
　　模块使得任何一点出现问题都会影响到
　　其他模块的正常运行。比如在销售模
　　块中的采购定单的下达将同时会有相应
　　的确认信息在成本管理模块和现金管理
　　模块中产生。这种在线实时功能使得在
　　某一数据输入点数据输入错误或模块发
　　生问题时将会把这个影响迅速扩散到系
　　统的其他功能应用上。对于ERP这样的
　　实时业务系统需要相应的在线实时监控
　　以确保在严重问题发生以前或对其它业
　　务产生影响前能够得到及时处理。
　　其次，系统审计难度加人。复杂的
　　ER尸系统使得系统控制和审计人员必须
　　具有相应的专业知识。但是.对于大型
　　的ERP系统几乎没有人能够对整个系
　　录.不受空间的限制，任何不正当的用
　　户授权都能导致对系统的非法访问。这
　　就要严把授权关。
　　第四，ERP系统的高度集成性的一
　　大特点是使用单一的数据库，并且任何
　　数据的轴入都是单点的。这一方面保证
　　了E日尸系统数据的一致性和减少重复劳
　　动的同时使各个部门.比如生产、销
　　售、库存和财务能够共享信息。在另一
　　方面这样的环境中，数据的所有权和
　　维护权成为一个问题。如果存在不合适
　　的访问权限的定义缺乏有效的法规对
　　系统使用的控制，那么系统中的一些机
　　密数据将会变得非常透明，将会可能导
　　致企业的重大损失。因此，除对本单位
　　职工进行道职业德教育谨慎授权夕卜
　　还要呼吁法律建设的及时到位。
　　务流程中的角色来定义.并符合企业级
　　安全策略的要求;权限的定义还要根据
　　风险控制和成本效益平衡的原则也就
　　是说消除用户某个权限后规避的风
　　险和可能付出的代价是否是合理的。
　　数据质t风险及其控制方案
　　系统访问风险及其控制方案
　　由于ERP系统将所有大量的业务应
　　用功能集成在一个系统环境之下，ERP
　　用户就可能有更多的机会访问其它与之
　　不相关的信息。虽然ERP系统中都有权
　　限控制的功能，但这并不能完全保证信
　　息的保密性和完整性。
　　纵观目前市场上的ERP系统几乎
　　都具备不同程度的安全控制功能。例如
　　在某〔RP系统中就有大量的安全参数
　　统的功能和每个模.阅........................设置包括用户密
　　块的特点有个全面对于大型的ERP系统，几码、入侵锁定超级
　　的认识和理解。比乎没有人能够对整个系统的功用户访问等等·为
　　如·对于熟悉财务能和每个模块的特点有个全面了确保万无一失，
　　管理模块的人员，的认识和理解。有些〔RP系统还通
　　佩脱1tJc}}l麒一脆附献熊
　　他所有模块有深入的认识。这就需要有更强的安全控制。除了技术手段外.企
　　计划的对审计人员进行有关ERP业务的业还应该制定面向企业级的安全策略，
　　培训.使其适应新形势的申计需要并用户的访问权限应该基于这个安全策略
　　且分工协作发挥集体的智慧。来定义，而不仅仅是基于业务需求的考
　　第三，许多ERP系统已经开始使用虑。访问权限的定义和访问权限的使用
　　基于WEB的B/S技术，这种技术支持应由不同的人员来执行。比如权限应
　　异地登录和访问。由于通过因特网登局限于用户的工作需要或根据用户在业
　　许多实施了ERP系统的企业中流传
　　这样一句话，如果数据的准确性、完整
　　性不能保证那么ERP系统的使用是没
　　有任何意义的，一进去的是垃圾出来的
　　肯定也是垃圾”。ERP系统中数据的录
　　入一般有两种方式一种是人工键入
　　另一种是通过数据录入装置例如条形
　　码扫描。对于后一种方式，数据录入的
　　差错风险较小但人工键入的方式差错
　　率就比较高。虽然，ERP系统中可以设置
　　一些参数来对错误数据进行报警但无
　　法根本上解决这类问题。
　　实验中我们发现对于系统弹出
　　的警告.系统用户在经历多次后会变得
　　麻木甚至完全忽略。实践证明，建立
　　完善的输入控制机制是有效化解这方面
　　风险的手段。一方面‘要加强人员的培
　　训和增加控制点。例如，数据输入后由
　　另外一个人进行核对并确认。
　　总之对ERP项目应用中的风险，要
　　建立风险控制机制.建立并及时更新项
　　目风险列表及风险排序。项目管理人员
　　应随时关注与关键风险相关因素的变化
　　情况及时决定何时‘采用何种风险应
　　对措施。开展风险应对审计:随时关注
　　风险应对措施实施的效果建立报告机
　　制及时将项目中存在的问题反映到管
　　理层。定期召集ERP系统业务骨干会议
　　对风险状况进行评估并通过各方面对
　　项目实施的反应来发现新风险。引入第
　　三方咨询，定期对项目进行质量检查，
　　以防范大的风险.