- 相關推薦
ERP應用風險與內部控制
編者按:ERP的實施,就好比危險的飛行一般,讓人膽戰心驚而又無法抗拒。在ERP的過程中,要面臨來自業務流程、應用架構、數據質量和技術架構等四個方面的業務風險。下文針對如何從內部控制這些風險,提出了解決之道。由于對原有手務流程的重新設計,ERP系統的實施在很大程度上改變了企業的業務流程。在ERP系統實施以前,許多企業基于機的業務系統,基本都是圍繞某一業務功能或者是職能部門運行的,比如銷售系統、采購系統和財務系統等。這些系統都不是基于跨部門的流程來設計的。ERP系統實現了從采購到付款、訂單的獲取到發票的開出等業務集成,實現了跨職能部門業務處理。
在這種情況下,ERP系統中單一的數據庫,使過去跨部門的審批流程得到簡化和壓縮。壓縮所造成的一個結果是,用于企業內部控制的許多審計線索在ERP系統的引入后消失了。同時,企業過去基于文件審批的內部控制機制,也無法適應ERP基于流程的管理需要。更重要的是,由于企業的業務運作更加依賴于ERP系統,這種依賴和信息系統本身特點所導致的脆弱性,形成了企業新的業務風險。
實施ERP系統后,企業所遇到的業務風險一般來自四個方面:業務流程、應用架構、數據質量和技術架構。其中,業務流程的轉變對企業內部控制的最大,對企業內部管理和財務方面的監控提出了新的要求,這方面的風險特征相比過去發生了根本性的變化。例如,在ERP系統中,通過對手工流程的機器處理,比如審批處理自動化等,進一步增強了完成各種業務流程的效率。但是,在新的業務執行環境中,這些審批處理自動化將改變企業內部原有的一些風險特征,這時相應的內部控制體系就需要重新評估和設計。
內部控制蘊涵新的風險
ERP實行的是流程化的管理,打破了原來職能部門的條塊分割,實現了企業資源的統一管理和共享。企業的運行和管理在一定程度上已經交給了ERP系統來進行控制。
這樣一來,一方面導致企業所處的內部風險環境發生了變化,過去手工狀態下的控制風險,由于ERP系統的引入而變得更加復雜;另一方面,ERP系統的實施需要對原有的業務流程進行優化和設計,改變了企業的組織結構。
流程優化的目的就是減少或合并流程中重復的、不增值的環節,原有的基于手工作業流程中有利于控制的重復環節將消失,這樣一來內部控制體系會發生變化。這些變化必然對企業內部的整體控制體系的有效性產生負面影響。在這種情況下,就需要企業對基于ERP系統的關鍵業務流程的內部控制進行定期的審核,確認是否存在足夠的有效控制以降低由于ERP系統的使用而帶來的業務風險。
定內部控制目標
針對由ERP系統實施所帶來的新的業務控制風險,我們需要對企業內部控制體系做重新評估和完善。ERP系統實施之后,內部控制評估的目標通常包括下面這些:
1.利用風險評估手段重新確定企業中關鍵的業務流程;
2.對整個流程和控制的設計進行評估,確定這些控制是否很好地滿足和支持最終業務目標的實現;
3.對崗位職責分離的評估,確保在整個流程中存在正確的稽核點和平衡點,對敏感業務交易給出足夠的訪問限制;
4.評估控制方式是否合理,比如基于手工流程的控制和基于系統的自動控制是否搭配合理。
確定評估范圍
一般來說,ERP系統將覆蓋營銷、計劃、生產、采購、倉儲、財務、人力資源等企業運營管理的各個層面。根據經驗,如果對每個流程和控制點都進行評估在資源的利用上是非常不的。
ERP系統的控制評估必須基于風險管理的原則,通過風險評估尋找對主要業務運作中影響最大的領域。換句話說,我們可以從企業整個業務風險域中尋找對企業具有最大風險的業務流程,從而進一步確定有哪些ERP模塊在支持這些業務流程! ∫话銇碚f,我們通過對業務流程所有者的訪談,來確定我們的評估范圍! ≡趯嵤┝薊RP系統的的調研和風險評估中,我們發現,ERP系統中涉及到企業收入業務、支出業務和庫存業務的系統控制流程對企業的業務能否順利運轉比較大。對于這種影響,是這樣定義的:由于業務控制的削弱,導致企業出現和違規問題的可能性增加! ±,企業管理層非常關注財務控制的內部和外部流程,因為那些這些流程決定了財務數據的準確性,是反映企業運作是否健康的“脈搏”。因此,我們通常會更關注收入業務,它包括主數據維護、銷售訂單處理、發運、開票、退貨和收款等控制。 評估控制方案 在確定評估范圍之后,我們需要對這些流程進行描述和。對ERP流程中的每個動作,我們都需要追溯到它的結果,描述風險特征并確認相應的控制點! ≡贓RP環境中,通常有兩種控制方式我們需要考慮:一種是基于系統的控制,另一種是基于流程的控制。在ERP系統支撐的業務流程中,上述兩種方式通常需要結合使用。 手工控制主要依靠個人職責的履行來完成。比如,通常付款是需要通過填表、簽字確認才可支付的。基于ERP系統的控制,是由軟件來完成的,通過控制數據的有效性和合理性來限制和核查動作的合法性。ERP系統的參數設置將決定這個領域的控制級別! ∵@些控制包括用戶訪問、字段驗證、工作流和許多其他用于確保數據處理一致性的控制。例如,系統會自動拒絕生成一張與前一次序號相同的發票。這樣就自動降低了差錯發生的可能性和應付帳款處理的混亂! ≈档米⒁獾氖,在ERP系統實施過程中,某些二次開發工作會削弱在系統中已經設置好的控制,從而產生新的風險因子。這個時候,我們必須要用手工控制來彌補! 完善控制,杜絕盲區 需要了解的是,即便根據ERP系統的要求,調整和優化了內部控制,減少了由于“流程自動化”帶來的內部控制可能的削弱,仍然無法徹底消除系統本身的特點導致的控制盲區。這在復雜的系統接口和多用戶訪問情形下,問題是比較突出的。 很少有企業用一個系統將企業所有的數據和流程都管理起來。所以,ERP系統和其他系統之間的接口是實現不同系統間數據互聯互通的必需。這些位于不同系統之間的接口是一個重要的風險區域! ∮捎诓煌到y的數據格式可能完全不同,為了實現數據的傳遞,就需要進行一系列的轉換。這就要求針對不同的技術平臺和特點開發不同的接口,這些接口會產生新的控制方面的問題和風險。另一方面,許多企業在實施了ERP系統后,陷入了用戶訪問方面的問題。比如,如果訪問權限開放給不應該擁有訪問權限的個人或團體,它將極大地提高數據遭到破壞的風險。缺乏對這類用戶權限的有效控制,會降低那些敏感交易的安全性。所以,用戶訪問對敏感交易的訪問需要通過有效的控制,例如責權分離的原則加以限制。 作為企業管理信息化進程中重要的一項內容,ERP系統正逐步在企業中得到廣泛。但是,當我們關注其為企業帶來巨大的管理提升和經濟效益的同時,也必須充分認識到由于ERP系統自身的特點所帶來的風險。針對這些風險,和制定ERP環境下企業的內部控制策略,是ERP應用中不容忽視的新課題。
【ERP應用風險與內部控制】相關文章:
淺談內部審計風險控制(精選7篇)04-26
內部審計與ERP初探06-09
內部控制審計評價初探06-03
淺析內部審計新模式-風險導向內部審計06-07
建立內部控制審計與組織效率06-03
審計風險模型的演進及應用08-26
內部審計風險及應對措施探討的論文08-23
企業內部控制失控的表現03-29
證券公司內部控制指引06-03
企業內部控制失控的原因分析08-09