RP應(yīng)用風險與內(nèi)部控制

1、ERP應(yīng)用用風險與內(nèi)內(nèi)部控制ERP的實實施，就好好比危險的的飛行一般般，讓人膽膽戰(zhàn)心驚而而又無法抗抗拒。在EERP HYPERLINK 應(yīng)用用的過程中中， HYPERLINK /company/ 企業(yè)要面臨臨來自業(yè)務(wù)務(wù)流程、 HYPERLINK 應(yīng)應(yīng)用架構(gòu)、數(shù)據(jù)質(zhì)量量和技術(shù)架架構(gòu)等四個個方面的業(yè)業(yè)務(wù)風險。下文針對對如何從內(nèi)內(nèi)部控制這這些風險，提提出了解決決之道。 由于于對原有手手 HYPERLINK /gongxue/ 工業(yè)務(wù)流程程的重新設(shè)設(shè)計，ERRP系統(tǒng)的的實施在很很大程度上上改變了 HYPERLINK /company/ 企企業(yè)的業(yè)務(wù)務(wù)流程。在在ERP系系統(tǒng)實施以以前，許多多企業(yè)基于于

2、HYPERLINK /pc/ 計算機的業(yè)業(yè)務(wù)系統(tǒng)，基基本都是圍圍繞某一業(yè)業(yè)務(wù)功能或或者是職能能部門運行行的，比如如銷售系統(tǒng)統(tǒng)、采購系系統(tǒng)和財務(wù)務(wù)系統(tǒng)等。這些系統(tǒng)統(tǒng)都不是基基于跨部門門的流程來來設(shè)計的。ERP系系統(tǒng)實現(xiàn)了了從采購到到付款、訂訂單的獲取取到發(fā)票的的開出等業(yè)業(yè)務(wù)集成，實實現(xiàn)了跨職職能部門業(yè)業(yè)務(wù)處理。在這這種情況下下，ERPP系統(tǒng)中單單一的數(shù)據(jù)據(jù)庫，使過過去跨部門門的審批流流程得到簡簡化和壓縮縮。壓縮所所造成的一一個結(jié)果是是，用于企企業(yè)內(nèi)部控控制的許多多審計線索索在ERPP系統(tǒng)的引引入后消失失了。同時時，企業(yè)過過去基于文文件審批的的內(nèi)部控制制機制，也也無法適應(yīng)應(yīng)ERP基基于流程的的管理

3、需要要。更重要要的是，由由于企業(yè)的的業(yè)務(wù)運作作更加依賴賴于ERPP系統(tǒng)，這這種依賴和和信息系統(tǒng)統(tǒng)本身特點點所導致的的脆弱性，形形成了企業(yè)業(yè)新的業(yè)務(wù)務(wù)風險。實施EERP系統(tǒng)統(tǒng)后，企業(yè)業(yè)所遇到的的業(yè)務(wù)風險險一般來自自四個方面面：業(yè)務(wù)流流程、應(yīng)用用架構(gòu)、數(shù)數(shù)據(jù)質(zhì)量和和技術(shù)架構(gòu)構(gòu)。其中，業(yè)業(yè)務(wù)流程的的轉(zhuǎn)變對企企業(yè)內(nèi)部控控制的 HYPERLINK / 影響響最大，對對企業(yè)內(nèi)部部管理和財財務(wù)方面的的監(jiān)控提出出了新的要要求，這方方面的風險險特征相比比過去發(fā)生生了根本性性的變化。例如，在在ERP系系統(tǒng)中，通通過對手工工流程的機機器處理，比比如審批處處理自動化化等，進一一步增強了了完成各種種業(yè)務(wù)流程程的效率。但

4、是，在在新的業(yè)務(wù)務(wù)執(zhí)行環(huán)境境中，這些些審批處理理自動化 HYPERLINK / 方方法將改變變企業(yè)內(nèi)部部原有的一一些風險特特征，這時時相應(yīng)的內(nèi)內(nèi)部控制體體系就需要要重新評估估和設(shè)計。內(nèi)部部控制蘊涵涵新的風險險ERRP實行的的是流程化化的管理，打打破了原來來職能部門門的條塊分分割，實現(xiàn)現(xiàn)了企業(yè)資資源的統(tǒng)一一管理和共共享。企業(yè)業(yè)的運行和和管理在一一定程度上上已經(jīng)交給給了ERPP系統(tǒng)來進進行控制。這樣樣一來，一一方面導致致企業(yè)所處處的內(nèi)部風風險環(huán)境發(fā)發(fā)生了變化化，過去手手工狀態(tài)下下的控制風風險，由于于ERP系系統(tǒng)的引入入而變得更更加復(fù)雜；另一方面面，ERPP系統(tǒng)的實實施需要對對原有的業(yè)業(yè)務(wù)流程進進行

5、優(yōu)化和和設(shè)計，改改變了企業(yè)業(yè)的組織結(jié)結(jié)構(gòu)。流程優(yōu)化化的目的就就是減少或或合并流程程中重復(fù)的的、不增值值的環(huán)節(jié)，原原有的基于于手工作業(yè)業(yè)流程中有有利于控制制的重復(fù)環(huán)環(huán)節(jié)將消失失，這樣一一來內(nèi)部控控制體系會會發(fā)生變化化。這些變變化必然對對企業(yè)內(nèi)部部的整體控控制體系的的有效性產(chǎn)產(chǎn)生負面 HYPERLINK / 影影響。在這這種情況下下，就需要要企業(yè)對基基于ERPP系統(tǒng)的關(guān)關(guān)鍵業(yè)務(wù)流流程的內(nèi)部部控制進行行定期的審審核，確認認是否存在在足夠的有有效控制以以降低由于于ERP系系統(tǒng)的使用用而帶來的的業(yè)務(wù)風險險。定定內(nèi)部控制制目標針對由EERP系統(tǒng)統(tǒng)實施所帶帶來的新的的業(yè)務(wù)控制制風險，我我們需要對對企業(yè)內(nèi)部部

6、控制體系系做重新評評估和完善善。ERPP系統(tǒng)實施施之后，內(nèi)內(nèi)部控制評評估的目標標通常包括括下面這些些 HYPERLINK / 內(nèi)容：1.利用風險險評估手段段重新確定定企業(yè)中關(guān)關(guān)鍵的業(yè)務(wù)務(wù)流程；2.對對整個流程程和控制的的設(shè)計進行行評估，確確定這些控控制是否很很好地滿足足和支持最最終業(yè)務(wù)目目標的實現(xiàn)現(xiàn)；33.對崗位位職責分離離的評估，確確保在整個個流程中存存在正確的的稽核點和和平衡點，對對敏感業(yè)務(wù)務(wù)交易給出出足夠的訪訪問限制；4.評估控制制方式是否否合理，比比如基于手手工流程的的控制和基基于系統(tǒng)的的自動控制制是否搭配配合理。確定評評估范圍一般來來說，ERRP系統(tǒng)將將覆蓋營銷銷、計劃、生產(chǎn)、采采購

7、、倉儲儲、財務(wù)、人力資源源等企業(yè)運運營管理的的各個層面面。根據(jù)經(jīng)經(jīng)驗，如果果對每個流流程和控制制點都進行行評估在資資源的利用用上是非常常不 HYPERLINK /Economic/ 經(jīng)濟的。EERP系統(tǒng)統(tǒng)的控制評評估必須基基于風險管管理的原則則，通過風風險評估尋尋找對主要要業(yè)務(wù)運作作中影響最最大的領(lǐng)域域。換句話話說，我們們可以從企企業(yè)整個業(yè)業(yè)務(wù)風險域域中尋找對對企業(yè)具有有最大風險險的業(yè)務(wù)流流程，從而而進一步確確定有哪些些ERP模模塊在支持持這些業(yè)務(wù)務(wù)流程。一般來說，我我們通過對對業(yè)務(wù)流程程所有者的的訪談，來來確定我們們的評估范范圍。在對實施了了ERP系系統(tǒng)的 HYPERLINK /compan

8、y/ 企業(yè)業(yè)的調(diào)研和和風險評估估中，我們們發(fā)現(xiàn)，EERP系統(tǒng)統(tǒng)中涉及到到 HYPERLINK /company/ 企業(yè)收入業(yè)業(yè)務(wù)、支出出業(yè)務(wù)和庫庫存業(yè)務(wù)的的系統(tǒng)控制制流程對企企業(yè)的業(yè)務(wù)務(wù)能否順利利運轉(zhuǎn) HYPERLINK / 影響響比較大。對于這種種 HYPERLINK / 影響，是這這樣定義的的：由于業(yè)業(yè)務(wù)控制的的削弱，導導致企業(yè)出出現(xiàn) HYPERLINK /Economic/ 經(jīng)濟 HYPERLINK 問題和違規(guī)規(guī) HYPERLINK 問題的可能能性增加。例如，企業(yè)業(yè)管理層非非常關(guān)注財財務(wù)控制的的內(nèi)部和外外部流程，因因為那些這這些流程決決定了財務(wù)務(wù)數(shù)據(jù)的準準確性，是是反映企業(yè)業(yè)運作是否否健

9、康的“脈搏”。因此，我我們通常會會更關(guān)注收收入業(yè)務(wù)，它它包括主數(shù)數(shù)據(jù)維護、銷售訂單單處理、發(fā)發(fā)運、開票票、退貨和和收款等控控制 HYPERLINK / 內(nèi)容。評估控制方方案在確定評估估范圍之后后，我們需需要對這些些流程進行行描述和 HYPERLINK / 分分析。對EERP流程程中的每個個動作，我我們都需要要追溯到它它的結(jié)果，描描述風險特特征并確認認相應(yīng)的控控制點。在ERP環(huán)環(huán)境中，通通常有兩種種控制方式式我們需要要考慮：一一種是基于于系統(tǒng)的控控制，另一一種是基于于流程的控控制。在EERP系統(tǒng)統(tǒng)支撐的業(yè)業(yè)務(wù)流程中中，上述兩兩種方式通通常需要結(jié)結(jié)合使用。手工控制主主要依靠個個人職責的的履行來完完

10、成。比如如，通常付付款是需要要通過填表表、簽字確確認才可支支付的?；贓RPP系統(tǒng)的控控制，是由由軟件來完完成的，通通過控制數(shù)數(shù)據(jù)的有效效性和合理理性來限制制和核查動動作的合法法性。ERRP系統(tǒng)的的參數(shù)設(shè)置置將決定這這個領(lǐng)域的的控制級別別。這些控制包包括用戶訪訪問、字段段驗證、工工作流和許許多其他用用于確保數(shù)數(shù)據(jù)處理一一致性的控控制。例如如，系統(tǒng)會會自動拒絕絕生成一張張與前一次次序號相同同的發(fā)票。這樣就自自動降低了了差錯發(fā)生生的可能性性和應(yīng)付帳帳款處理的的混亂。值得注意的的是，在EERP系統(tǒng)統(tǒng)實施過程程中，某些些二次開發(fā)發(fā)工作會削削弱在系統(tǒng)統(tǒng)中已經(jīng)設(shè)設(shè)置好的控控制，從而而產(chǎn)生新的的風險因子子

11、。這個時時候，我們們必須要用用手工控制制來彌補。完善控制，杜杜絕盲區(qū)需要了解的的是，即便便根據(jù)ERRP系統(tǒng)的的要求，調(diào)調(diào)整和優(yōu)化化了內(nèi)部控控制，減少少了由于“流程自動動化”帶來來的內(nèi)部控控制可能的的削弱，仍仍然無法徹徹底消除系系統(tǒng)本身的的特點導致致的控制盲盲區(qū)。這在在復(fù)雜的系系統(tǒng)接口和和多用戶訪訪問情形下下，問題是是比較突出出的。很少有企業(yè)業(yè)用一個系系統(tǒng)將企業(yè)業(yè)所有的數(shù)數(shù)據(jù)和流程程都管理起起來。所以以，ERPP系統(tǒng)和其其他系統(tǒng)之之間的接口口是實現(xiàn)不不同系統(tǒng)間間數(shù)據(jù)互聯(lián)聯(lián)互通的必必需。這些些位于不同同系統(tǒng)之間間的接口是是一個重要要的風險區(qū)區(qū)域。由于不同系系統(tǒng)的數(shù)據(jù)據(jù)格式可能能完全不同同，為了實實

12、現(xiàn)數(shù)據(jù)的的傳遞，就就需要進行行一系列的的轉(zhuǎn)換。這這就要求針針對不同的的技術(shù)平臺臺和特點開開發(fā)不同的的接口，這這些接口會會產(chǎn)生新的的控制方面面的問題和和風險。另另一方面，許許多企業(yè)在在實施了EERP系統(tǒng)統(tǒng)后，陷入入了用戶訪訪問方面的的問題。比比如，如果果訪問權(quán)限限開放給不不應(yīng)該擁有有訪問權(quán)限限的個人或或團體，它它將極大地地提高數(shù)據(jù)據(jù)遭到破壞壞的風險。缺乏對這這類用戶權(quán)權(quán)限的有效效控制，會會降低那些些敏感交易易的安全性性。所以，用用戶訪問對對敏感交易易的訪問需需要通過有有效的控制制，例如責責權(quán)分離的的原則加以以限制。作為企業(yè)管管理信息化化進程中重重要的一項項 HYPERLINK / 內(nèi)容，ERRP系統(tǒng)正正