ERP應(yīng)用風(fēng)險(xiǎn)與內(nèi)部控制

1、ERP應(yīng)用風(fēng)險(xiǎn)險(xiǎn)與內(nèi)部控制制ERP的實(shí)施，就就好比危險(xiǎn)的的飛行一般，讓讓人膽戰(zhàn)心驚驚而又無(wú)法抗抗拒。在ERRP HYPERLINK 應(yīng)用的過(guò)程中中， HYPERLINK /company/ 企業(yè)要面臨來(lái)來(lái)自業(yè)務(wù)流程程、 HYPERLINK 應(yīng)用架構(gòu)、數(shù)數(shù)據(jù)質(zhì)量和技技術(shù)架構(gòu)等四四個(gè)方面的業(yè)業(yè)務(wù)風(fēng)險(xiǎn)。下下文針對(duì)如何何從內(nèi)部控制制這些風(fēng)險(xiǎn)，提提出了解決之之道。 由于對(duì)原有有手 HYPERLINK /gongxue/ 工業(yè)務(wù)流程的的重新設(shè)計(jì)，EERP系統(tǒng)的的實(shí)施在很大大程度上改變變了 HYPERLINK /company/ 企業(yè)的業(yè)務(wù)流流程。在ERRP系統(tǒng)實(shí)施施以前，許多多企業(yè)基于 HYPERLINK

2、 /pc/ 計(jì)計(jì)算機(jī)的業(yè)務(wù)務(wù)系統(tǒng)，基本本都是圍繞某某一業(yè)務(wù)功能能或者是職能能部門運(yùn)行的的，比如銷售售系統(tǒng)、采購(gòu)購(gòu)系統(tǒng)和財(cái)務(wù)務(wù)系統(tǒng)等。這這些系統(tǒng)都不不是基于跨部部門的流程來(lái)來(lái)設(shè)計(jì)的。EERP系統(tǒng)實(shí)實(shí)現(xiàn)了從采購(gòu)購(gòu)到付款、訂訂單的獲取到到發(fā)票的開(kāi)出出等業(yè)務(wù)集成成，實(shí)現(xiàn)了跨跨職能部門業(yè)業(yè)務(wù)處理。在這種情情況下，ERRP系統(tǒng)中單單一的數(shù)據(jù)庫(kù)庫(kù)，使過(guò)去跨跨部門的審批批流程得到簡(jiǎn)簡(jiǎn)化和壓縮。壓壓縮所造成的的一個(gè)結(jié)果是是，用于企業(yè)業(yè)內(nèi)部控制的的許多審計(jì)線線索在ERPP系統(tǒng)的引入入后消失了。同同時(shí)，企業(yè)過(guò)過(guò)去基于文件件審批的內(nèi)部部控制機(jī)制，也也無(wú)法適應(yīng)EERP基于流流程的管理需需要。更重要要的是，由于于企業(yè)的業(yè)

3、務(wù)務(wù)運(yùn)作更加依依賴于ERPP系統(tǒng)，這種種依賴和信息息系統(tǒng)本身特特點(diǎn)所導(dǎo)致的的脆弱性，形形成了企業(yè)新新的業(yè)務(wù)風(fēng)險(xiǎn)險(xiǎn)。實(shí)施施ERP系統(tǒng)統(tǒng)后，企業(yè)所所遇到的業(yè)務(wù)務(wù)風(fēng)險(xiǎn)一般來(lái)來(lái)自四個(gè)方面面：業(yè)務(wù)流程程、應(yīng)用架構(gòu)構(gòu)、數(shù)據(jù)質(zhì)量量和技術(shù)架構(gòu)構(gòu)。其中，業(yè)業(yè)務(wù)流程的轉(zhuǎn)轉(zhuǎn)變對(duì)企業(yè)內(nèi)內(nèi)部控制的 HYPERLINK / 影影響最大，對(duì)對(duì)企業(yè)內(nèi)部管管理和財(cái)務(wù)方方面的監(jiān)控提提出了新的要要求，這方面面的風(fēng)險(xiǎn)特征征相比過(guò)去發(fā)發(fā)生了根本性性的變化。例例如，在ERRP系統(tǒng)中，通通過(guò)對(duì)手工流流程的機(jī)器處處理，比如審審批處理自動(dòng)動(dòng)化等，進(jìn)一一步增強(qiáng)了完完成各種業(yè)務(wù)務(wù)流程的效率率。但是，在在新的業(yè)務(wù)執(zhí)執(zhí)行環(huán)境中，這這些審批處理理自動(dòng)化

4、 HYPERLINK / 方法法將改變企業(yè)業(yè)內(nèi)部原有的的一些風(fēng)險(xiǎn)特特征，這時(shí)相相應(yīng)的內(nèi)部控控制體系就需需要重新評(píng)估估和設(shè)計(jì)。內(nèi)部控制制蘊(yùn)涵新的風(fēng)風(fēng)險(xiǎn)ERRP實(shí)行的是是流程化的管管理，打破了了原來(lái)職能部部門的條塊分分割，實(shí)現(xiàn)了了企業(yè)資源的的統(tǒng)一管理和和共享。企業(yè)業(yè)的運(yùn)行和管管理在一定程程度上已經(jīng)交交給了ERPP系統(tǒng)來(lái)進(jìn)行行控制。這樣一來(lái)，一一方面導(dǎo)致企企業(yè)所處的內(nèi)內(nèi)部風(fēng)險(xiǎn)環(huán)境境發(fā)生了變化化，過(guò)去手工工狀態(tài)下的控控制風(fēng)險(xiǎn)，由由于ERP系系統(tǒng)的引入而而變得更加復(fù)復(fù)雜；另一方方面，ERPP系統(tǒng)的實(shí)施施需要對(duì)原有有的業(yè)務(wù)流程程進(jìn)行優(yōu)化和和設(shè)計(jì)，改變變了企業(yè)的組組織結(jié)構(gòu)。流程優(yōu)化化的目的就是是減少或合并并

5、流程中重復(fù)復(fù)的、不增值值的環(huán)節(jié)，原原有的基于手手工作業(yè)流程程中有利于控控制的重復(fù)環(huán)環(huán)節(jié)將消失，這這樣一來(lái)內(nèi)部部控制體系會(huì)會(huì)發(fā)生變化。這這些變化必然然對(duì)企業(yè)內(nèi)部部的整體控制制體系的有效效性產(chǎn)生負(fù)面面 HYPERLINK / 影響。在這種種情況下，就就需要企業(yè)對(duì)對(duì)基于ERPP系統(tǒng)的關(guān)鍵鍵業(yè)務(wù)流程的的內(nèi)部控制進(jìn)進(jìn)行定期的審審核，確認(rèn)是是否存在足夠夠的有效控制制以降低由于于ERP系統(tǒng)統(tǒng)的使用而帶帶來(lái)的業(yè)務(wù)風(fēng)風(fēng)險(xiǎn)。定定內(nèi)部控制目目標(biāo)針對(duì)對(duì)由ERP系系統(tǒng)實(shí)施所帶帶來(lái)的新的業(yè)業(yè)務(wù)控制風(fēng)險(xiǎn)險(xiǎn)，我們需要要對(duì)企業(yè)內(nèi)部部控制體系做做重新評(píng)估和和完善。ERRP系統(tǒng)實(shí)施施之后，內(nèi)部部控制評(píng)估的的目標(biāo)通常包包括下面這些些

6、 HYPERLINK / 內(nèi)容：1.利利用風(fēng)險(xiǎn)評(píng)估估手段重新確確定企業(yè)中關(guān)關(guān)鍵的業(yè)務(wù)流流程；22.對(duì)整個(gè)流流程和控制的的設(shè)計(jì)進(jìn)行評(píng)評(píng)估，確定這這些控制是否否很好地滿足足和支持最終終業(yè)務(wù)目標(biāo)的的實(shí)現(xiàn)；3.對(duì)崗位位職責(zé)分離的的評(píng)估，確保保在整個(gè)流程程中存在正確確的稽核點(diǎn)和和平衡點(diǎn)，對(duì)對(duì)敏感業(yè)務(wù)交交易給出足夠夠的訪問(wèn)限制制；4.評(píng)估控制方方式是否合理理，比如基于于手工流程的的控制和基于于系統(tǒng)的自動(dòng)動(dòng)控制是否搭搭配合理。確定評(píng)估估范圍一一般來(lái)說(shuō)，EERP系統(tǒng)將將覆蓋營(yíng)銷、計(jì)計(jì)劃、生產(chǎn)、采采購(gòu)、倉(cāng)儲(chǔ)、財(cái)財(cái)務(wù)、人力資資源等企業(yè)運(yùn)運(yùn)營(yíng)管理的各各個(gè)層面。根根據(jù)經(jīng)驗(yàn)，如如果對(duì)每個(gè)流流程和控制點(diǎn)點(diǎn)都進(jìn)行評(píng)估估在資

7、源的利利用上是非常常不 HYPERLINK /Economic/ 經(jīng)濟(jì)的。ERRP系統(tǒng)的控控制評(píng)估必須須基于風(fēng)險(xiǎn)管管理的原則，通通過(guò)風(fēng)險(xiǎn)評(píng)估估尋找對(duì)主要要業(yè)務(wù)運(yùn)作中中影響最大的的領(lǐng)域。換句句話說(shuō)，我們們可以從企業(yè)業(yè)整個(gè)業(yè)務(wù)風(fēng)風(fēng)險(xiǎn)域中尋找找對(duì)企業(yè)具有有最大風(fēng)險(xiǎn)的的業(yè)務(wù)流程，從從而進(jìn)一步確確定有哪些EERP模塊在在支持這些業(yè)業(yè)務(wù)流程。一般來(lái)說(shuō)，我們們通過(guò)對(duì)業(yè)務(wù)務(wù)流程所有者者的訪談，來(lái)來(lái)確定我們的的評(píng)估范圍。在對(duì)實(shí)施了ERRP系統(tǒng)的 HYPERLINK /company/ 企企業(yè)的調(diào)研和和風(fēng)險(xiǎn)評(píng)估中中，我們發(fā)現(xiàn)現(xiàn)，ERP系系統(tǒng)中涉及到到 HYPERLINK /company/ 企業(yè)收入業(yè)務(wù)務(wù)、支出業(yè)

8、務(wù)務(wù)和庫(kù)存業(yè)務(wù)務(wù)的系統(tǒng)控制制流程對(duì)企業(yè)業(yè)的業(yè)務(wù)能否否順利運(yùn)轉(zhuǎn) HYPERLINK / 影影響比較大。對(duì)對(duì)于這種 HYPERLINK / 影響響，是這樣定定義的：由于于業(yè)務(wù)控制的的削弱，導(dǎo)致致企業(yè)出現(xiàn) HYPERLINK /Economic/ 經(jīng)經(jīng)濟(jì) HYPERLINK 問(wèn)題和違規(guī) HYPERLINK 問(wèn)題的可能性性增加。例如，企業(yè)管理理層非常關(guān)注注財(cái)務(wù)控制的的內(nèi)部和外部部流程，因?yàn)闉槟切┻@些流流程決定了財(cái)財(cái)務(wù)數(shù)據(jù)的準(zhǔn)準(zhǔn)確性，是反反映企業(yè)運(yùn)作作是否健康的的“脈搏”。因因此，我們通通常會(huì)更關(guān)注注收入業(yè)務(wù)，它它包括主數(shù)據(jù)據(jù)維護(hù)、銷售售訂單處理、發(fā)發(fā)運(yùn)、開(kāi)票、退退貨和收款等等控制 HYPERLINK

9、/ 內(nèi)容。評(píng)估控制方案在確定評(píng)估范圍圍之后，我們們需要對(duì)這些些流程進(jìn)行描描述和 HYPERLINK / 分析。對(duì)ERRP流程中的的每個(gè)動(dòng)作，我我們都需要追追溯到它的結(jié)結(jié)果，描述風(fēng)風(fēng)險(xiǎn)特征并確確認(rèn)相應(yīng)的控控制點(diǎn)。在ERP環(huán)境中中，通常有兩兩種控制方式式我們需要考考慮：一種是是基于系統(tǒng)的的控制，另一一種是基于流流程的控制。在在ERP系統(tǒng)統(tǒng)支撐的業(yè)務(wù)務(wù)流程中，上上述兩種方式式通常需要結(jié)結(jié)合使用。手工控制主要依依靠個(gè)人職責(zé)責(zé)的履行來(lái)完完成。比如，通通常付款是需需要通過(guò)填表表、簽字確認(rèn)認(rèn)才可支付的的?；贓RRP系統(tǒng)的控控制，是由軟軟件來(lái)完成的的，通過(guò)控制制數(shù)據(jù)的有效效性和合理性性來(lái)限制和核核查動(dòng)作的合

10、合法性。ERRP系統(tǒng)的參參數(shù)設(shè)置將決決定這個(gè)領(lǐng)域域的控制級(jí)別別。這些控制包括用用戶訪問(wèn)、字字段驗(yàn)證、工工作流和許多多其他用于確確保數(shù)據(jù)處理理一致性的控控制。例如，系系統(tǒng)會(huì)自動(dòng)拒拒絕生成一張張與前一次序序號(hào)相同的發(fā)發(fā)票。這樣就就自動(dòng)降低了了差錯(cuò)發(fā)生的的可能性和應(yīng)應(yīng)付帳款處理理的混亂。值得注意的是，在在ERP系統(tǒng)統(tǒng)實(shí)施過(guò)程中中，某些二次次開(kāi)發(fā)工作會(huì)會(huì)削弱在系統(tǒng)統(tǒng)中已經(jīng)設(shè)置置好的控制，從從而產(chǎn)生新的的風(fēng)險(xiǎn)因子。這這個(gè)時(shí)候，我我們必須要用用手工控制來(lái)來(lái)彌補(bǔ)。完善控制，杜絕絕盲區(qū)需要了解的是，即即便根據(jù)ERRP系統(tǒng)的要要求，調(diào)整和和優(yōu)化了內(nèi)部部控制，減少少了由于“流流程自動(dòng)化”帶帶來(lái)的內(nèi)部控控制可能的削

11、削弱，仍然無(wú)無(wú)法徹底消除除系統(tǒng)本身的的特點(diǎn)導(dǎo)致的的控制盲區(qū)。這這在復(fù)雜的系系統(tǒng)接口和多多用戶訪問(wèn)情情形下，問(wèn)題題是比較突出出的。很少有企業(yè)用一一個(gè)系統(tǒng)將企企業(yè)所有的數(shù)數(shù)據(jù)和流程都都管理起來(lái)。所所以，ERPP系統(tǒng)和其他他系統(tǒng)之間的的接口是實(shí)現(xiàn)現(xiàn)不同系統(tǒng)間間數(shù)據(jù)互聯(lián)互互通的必需。這這些位于不同同系統(tǒng)之間的的接口是一個(gè)個(gè)重要的風(fēng)險(xiǎn)險(xiǎn)區(qū)域。由于不同系統(tǒng)的的數(shù)據(jù)格式可可能完全不同同，為了實(shí)現(xiàn)現(xiàn)數(shù)據(jù)的傳遞遞，就需要進(jìn)進(jìn)行一系列的的轉(zhuǎn)換。這就就要求針對(duì)不不同的技術(shù)平平臺(tái)和特點(diǎn)開(kāi)開(kāi)發(fā)不同的接接口，這些接接口會(huì)產(chǎn)生新新的控制方面面的問(wèn)題和風(fēng)風(fēng)險(xiǎn)。另一方方面，許多企企業(yè)在實(shí)施了了ERP系統(tǒng)統(tǒng)后，陷入了了用戶訪問(wèn)方方面的問(wèn)題。比比如，如果訪訪問(wèn)權(quán)限開(kāi)放放給不應(yīng)該擁?yè)碛性L問(wèn)權(quán)限限的個(gè)人或團(tuán)團(tuán)體，它將極極大地提高數(shù)數(shù)據(jù)遭到破壞壞的風(fēng)險(xiǎn)。缺缺乏對(duì)這類用用戶權(quán)限的有有效控制，會(huì)會(huì)降低那些敏敏感交易的安安全性。所以以，用戶訪問(wèn)問(wèn)對(duì)敏感交易易的訪問(wèn)需要要通過(guò)有效的的控制，例如如責(zé)權(quán)分離的的原則加以限限制。作為企業(yè)管理信信息化進(jìn)程中中重要的一項(xiàng)項(xiàng) HYPERLINK / 內(nèi)容，ERPP系統(tǒng)正逐步步