RP應用風險與內部控制

1、ERP應用用風險與內內部控制ERP的實實施，就好好比危險的的飛行一般般，讓人膽膽戰(zhàn)心驚而而又無法抗抗拒。在EERP HYPERLINK 應用用的過程中中， HYPERLINK /company/ 企業(yè)要面臨臨來自業(yè)務務流程、 HYPERLINK 應應用架構、數據質量量和技術架架構等四個個方面的業(yè)業(yè)務風險。下文針對對如何從內內部控制這這些風險，提提出了解決決之道。 由于于對原有手手 HYPERLINK /gongxue/ 工業(yè)務流程程的重新設設計，ERRP系統(tǒng)的的實施在很很大程度上上改變了 HYPERLINK /company/ 企企業(yè)的業(yè)務務流程。在在ERP系系統(tǒng)實施以以前，許多多企業(yè)基于于

2、HYPERLINK /pc/ 計算機的業(yè)業(yè)務系統(tǒng)，基基本都是圍圍繞某一業(yè)業(yè)務功能或或者是職能能部門運行行的，比如如銷售系統(tǒng)統(tǒng)、采購系系統(tǒng)和財務務系統(tǒng)等。這些系統(tǒng)統(tǒng)都不是基基于跨部門門的流程來來設計的。ERP系系統(tǒng)實現了了從采購到到付款、訂訂單的獲取取到發(fā)票的的開出等業(yè)業(yè)務集成，實實現了跨職職能部門業(yè)業(yè)務處理。在這這種情況下下，ERPP系統(tǒng)中單單一的數據據庫，使過過去跨部門門的審批流流程得到簡簡化和壓縮縮。壓縮所所造成的一一個結果是是，用于企企業(yè)內部控控制的許多多審計線索索在ERPP系統(tǒng)的引引入后消失失了。同時時，企業(yè)過過去基于文文件審批的的內部控制制機制，也也無法適應應ERP基基于流程的的管理

3、需要要。更重要要的是，由由于企業(yè)的的業(yè)務運作作更加依賴賴于ERPP系統(tǒng)，這這種依賴和和信息系統(tǒng)統(tǒng)本身特點點所導致的的脆弱性，形形成了企業(yè)業(yè)新的業(yè)務務風險。實施EERP系統(tǒng)統(tǒng)后，企業(yè)業(yè)所遇到的的業(yè)務風險險一般來自自四個方面面：業(yè)務流流程、應用用架構、數數據質量和和技術架構構。其中，業(yè)業(yè)務流程的的轉變對企企業(yè)內部控控制的 HYPERLINK / 影響響最大，對對企業(yè)內部部管理和財財務方面的的監(jiān)控提出出了新的要要求，這方方面的風險險特征相比比過去發(fā)生生了根本性性的變化。例如，在在ERP系系統(tǒng)中，通通過對手工工流程的機機器處理，比比如審批處處理自動化化等，進一一步增強了了完成各種種業(yè)務流程程的效率。但

4、是，在在新的業(yè)務務執(zhí)行環(huán)境境中，這些些審批處理理自動化 HYPERLINK / 方方法將改變變企業(yè)內部部原有的一一些風險特特征，這時時相應的內內部控制體體系就需要要重新評估估和設計。內部部控制蘊涵涵新的風險險ERRP實行的的是流程化化的管理，打打破了原來來職能部門門的條塊分分割，實現現了企業(yè)資資源的統(tǒng)一一管理和共共享。企業(yè)業(yè)的運行和和管理在一一定程度上上已經交給給了ERPP系統(tǒng)來進進行控制。這樣樣一來，一一方面導致致企業(yè)所處處的內部風風險環(huán)境發(fā)發(fā)生了變化化，過去手手工狀態(tài)下下的控制風風險，由于于ERP系系統(tǒng)的引入入而變得更更加復雜；另一方面面，ERPP系統(tǒng)的實實施需要對對原有的業(yè)業(yè)務流程進進行

5、優(yōu)化和和設計，改改變了企業(yè)業(yè)的組織結結構。流程優(yōu)化化的目的就就是減少或或合并流程程中重復的的、不增值值的環(huán)節(jié)，原原有的基于于手工作業(yè)業(yè)流程中有有利于控制制的重復環(huán)環(huán)節(jié)將消失失，這樣一一來內部控控制體系會會發(fā)生變化化。這些變變化必然對對企業(yè)內部部的整體控控制體系的的有效性產產生負面 HYPERLINK / 影影響。在這這種情況下下，就需要要企業(yè)對基基于ERPP系統(tǒng)的關關鍵業(yè)務流流程的內部部控制進行行定期的審審核，確認認是否存在在足夠的有有效控制以以降低由于于ERP系系統(tǒng)的使用用而帶來的的業(yè)務風險險。定定內部控制制目標針對由EERP系統(tǒng)統(tǒng)實施所帶帶來的新的的業(yè)務控制制風險，我我們需要對對企業(yè)內部部

6、控制體系系做重新評評估和完善善。ERPP系統(tǒng)實施施之后，內內部控制評評估的目標標通常包括括下面這些些 HYPERLINK / 內容：1.利用風險險評估手段段重新確定定企業(yè)中關關鍵的業(yè)務務流程；2.對對整個流程程和控制的的設計進行行評估，確確定這些控控制是否很很好地滿足足和支持最最終業(yè)務目目標的實現現；33.對崗位位職責分離離的評估，確確保在整個個流程中存存在正確的的稽核點和和平衡點，對對敏感業(yè)務務交易給出出足夠的訪訪問限制；4.評估控制制方式是否否合理，比比如基于手手工流程的的控制和基基于系統(tǒng)的的自動控制制是否搭配配合理。確定評評估范圍一般來來說，ERRP系統(tǒng)將將覆蓋營銷銷、計劃、生產、采采購

7、、倉儲儲、財務、人力資源源等企業(yè)運運營管理的的各個層面面。根據經經驗，如果果對每個流流程和控制制點都進行行評估在資資源的利用用上是非常常不 HYPERLINK /Economic/ 經濟的。EERP系統(tǒng)統(tǒng)的控制評評估必須基基于風險管管理的原則則，通過風風險評估尋尋找對主要要業(yè)務運作作中影響最最大的領域域。換句話話說，我們們可以從企企業(yè)整個業(yè)業(yè)務風險域域中尋找對對企業(yè)具有有最大風險險的業(yè)務流流程，從而而進一步確確定有哪些些ERP模模塊在支持持這些業(yè)務務流程。一般來說，我我們通過對對業(yè)務流程程所有者的的訪談，來來確定我們們的評估范范圍。在對實施了了ERP系系統(tǒng)的 HYPERLINK /compan

8、y/ 企業(yè)業(yè)的調研和和風險評估估中，我們們發(fā)現，EERP系統(tǒng)統(tǒng)中涉及到到 HYPERLINK /company/ 企業(yè)收入業(yè)業(yè)務、支出出業(yè)務和庫庫存業(yè)務的的系統(tǒng)控制制流程對企企業(yè)的業(yè)務務能否順利利運轉 HYPERLINK / 影響響比較大。對于這種種 HYPERLINK / 影響，是這這樣定義的的：由于業(yè)業(yè)務控制的的削弱，導導致企業(yè)出出現 HYPERLINK /Economic/ 經濟 HYPERLINK 問題和違規(guī)規(guī) HYPERLINK 問題的可能能性增加。例如，企業(yè)業(yè)管理層非非常關注財財務控制的的內部和外外部流程，因因為那些這這些流程決決定了財務務數據的準準確性，是是反映企業(yè)業(yè)運作是否否健

9、康的“脈搏”。因此，我我們通常會會更關注收收入業(yè)務，它它包括主數數據維護、銷售訂單單處理、發(fā)發(fā)運、開票票、退貨和和收款等控控制 HYPERLINK / 內容。評估控制方方案在確定評估估范圍之后后，我們需需要對這些些流程進行行描述和 HYPERLINK / 分分析。對EERP流程程中的每個個動作，我我們都需要要追溯到它它的結果，描描述風險特特征并確認認相應的控控制點。在ERP環(huán)環(huán)境中，通通常有兩種種控制方式式我們需要要考慮：一一種是基于于系統(tǒng)的控控制，另一一種是基于于流程的控控制。在EERP系統(tǒng)統(tǒng)支撐的業(yè)業(yè)務流程中中，上述兩兩種方式通通常需要結結合使用。手工控制主主要依靠個個人職責的的履行來完完

10、成。比如如，通常付付款是需要要通過填表表、簽字確確認才可支支付的?；贓RPP系統(tǒng)的控控制，是由由軟件來完完成的，通通過控制數數據的有效效性和合理理性來限制制和核查動動作的合法法性。ERRP系統(tǒng)的的參數設置置將決定這這個領域的的控制級別別。這些控制包包括用戶訪訪問、字段段驗證、工工作流和許許多其他用用于確保數數據處理一一致性的控控制。例如如，系統(tǒng)會會自動拒絕絕生成一張張與前一次次序號相同同的發(fā)票。這樣就自自動降低了了差錯發(fā)生生的可能性性和應付帳帳款處理的的混亂。值得注意的的是，在EERP系統(tǒng)統(tǒng)實施過程程中，某些些二次開發(fā)發(fā)工作會削削弱在系統(tǒng)統(tǒng)中已經設設置好的控控制，從而而產生新的的風險因子子

11、。這個時時候，我們們必須要用用手工控制制來彌補。完善控制，杜杜絕盲區(qū)需要了解的的是，即便便根據ERRP系統(tǒng)的的要求，調調整和優(yōu)化化了內部控控制，減少少了由于“流程自動動化”帶來來的內部控控制可能的的削弱，仍仍然無法徹徹底消除系系統(tǒng)本身的的特點導致致的控制盲盲區(qū)。這在在復雜的系系統(tǒng)接口和和多用戶訪訪問情形下下，問題是是比較突出出的。很少有企業(yè)業(yè)用一個系系統(tǒng)將企業(yè)業(yè)所有的數數據和流程程都管理起起來。所以以，ERPP系統(tǒng)和其其他系統(tǒng)之之間的接口口是實現不不同系統(tǒng)間間數據互聯聯互通的必必需。這些些位于不同同系統(tǒng)之間間的接口是是一個重要要的風險區(qū)區(qū)域。由于不同系系統(tǒng)的數據據格式可能能完全不同同，為了實實

12、現數據的的傳遞，就就需要進行行一系列的的轉換。這這就要求針針對不同的的技術平臺臺和特點開開發(fā)不同的的接口，這這些接口會會產生新的的控制方面面的問題和和風險。另另一方面，許許多企業(yè)在在實施了EERP系統(tǒng)統(tǒng)后，陷入入了用戶訪訪問方面的的問題。比比如，如果果訪問權限限開放給不不應該擁有有訪問權限限的個人或或團體，它它將極大地地提高數據據遭到破壞壞的風險。缺乏對這這類用戶權權限的有效效控制，會會降低那些些敏感交易易的安全性性。所以，用用戶訪問對對敏感交易易的訪問需需要通過有有效的控制制，例如責責權分離的的原則加以以限制。作為企業(yè)管管理信息化化進程中重重要的一項項 HYPERLINK / 內容，ERRP系統(tǒng)正正