《RP应用风险与内部控制.docx》由会员分享,可在线阅读,更多相关《RP应用风险与内部控制.docx(6页珍藏版)》请在淘文阁 - 分享文档赚钱的网站上搜索。
1、ERP应用风险与内部控制ERP的实施,就好比危险的飞行一般,让人胆战心惊而又无法抗拒。在ERP 应用的过程中,企业要面临来自业务流程、应用架构、数据质量和技术架构 等四个方面的业务风险。下文针对如何从内部控制这些风险,提出了解决之 道。由于对原有手工业务流程的重新设计,ERP系统的实施在很大程度上改 变了企业的业务流程。在ERP系统实施以前,许多企业基于计算机的业务 系统,基本都是围绕某一业务功能或者是职能部门运行的,比方销售系统、 采购系统和财务系统等。这些系统都不是基于跨部门的流程来设计的。ERP 系统实现了从采购到付款、订单的获取到发票的开出等业务集成,实现了跨 职能部门业务处理。在这种
2、情况下,ERP系统中单一的数据库,使过去跨部门的审批流程得 到简化和压缩。压缩所造成的一个结果是,用于企业内部控制的许多审计线 索在ERP系统的引入后消失了。同时,企业过去基于文件审批的内部控制 机制,也无法适应ERP基于流程的管理需要。更重要的是,由于企业的业 务运作更加依赖于ERP系统,这种依赖和信息系统本身特点所导致的脆弱 性,形成了企业新的业务风险。实施ERP系统后,企业所遇到的业务风险一般来自四个方面:业务流 程、应用架构、数据质量和技术架构。其中,业务流程的转变对企业内部控 制的影响最大,对企业内部管理和财务方面的监控提出了新的要求,这方面 的风险特征相比过去发生了根本性的变化。例
3、如,在ERP系统中,通过对 手工流程的机器处理,比方审批处理自动化等,进一步增强了完成各种业务 流程的效率。但是,在新的业务执行环境中,这些审批处理自动化方法将改 变企业内部原有的一些风险特征,这时相应的内部控制体系就需要重新评估 和设计。内部控制蕴涵新的风险ERP实行的是流程化的管理,打破了原来职能部门的条块分割,实现了 企业资源的统一管理和共享。企业的运行和管理在一定程度上已经交给了 ERP系统来进行控制。这样一来,一方面导致企业所处的内部风险环境发生了变化,过去手工 状态下的控制风险,由于ERP系统的引入而变得更加复杂:另一方面,ERP 系统的实施需要对原有的业务流程进行优化和设计,改变
4、了企业的组织结 构。流程优化的目的就是减少或合并流程中重复的、不增值的环节,原有的 基于手工作业流程中有利于控制的重复环节将消失,这样一来内部控制体系 会发生变化。这些变化必然对企业内部的整体控制体系的有效性产生负面影 胞。在这种情况下,就需要企业对基于ERP系统的关键业务流程的内部控 制进行定期的审核,确认是否存在足够的有效控制以降低由于ERP系统的 使用而带来的业务风险。定内部控制目标针对由ERP系统实施所带来的新的业务控制风险我们需要对企业内部 控制体系做重新评估和完善。ERP系统实施之后,内部控制评估的目标通常 包括下面这些内容:1 .利用风险评估手段重新确定企业中关键的业务流程;2
5、.对整个流程和控制的设计进行评估,确定这些控制是否很好地满足和 支持最终业务目标的实现;3 .对岗位职责别离的评估,确保在整个流程中存在正确的稽核点和平衡 点,对敏感业务交易给出足够的访问限制;4 .评估控制方式是否合理,比方基于手工流程的控制和基于系统的自动 控制是否搭配合理。确定评估范围一般来说,ERP系统将覆盖营销、计划、生产、采购、仓储、财务、人 力资源等企业运营管理的各个层面。根据经验,如果对每个流程和控制点都 进行评估在资源的利用上是非常不经选的。ERP系统的控制评估必须基于风险管理的原那么,通过风险评估寻找对主要业务运作中影响最大的领域。换句话说,我们可以从企业整个业务风险域中寻
6、找对企业具有最大风险的业务流程,从而进一步确定有哪些ERP模块 在支持这些业务流程。一般来说,我们通过对业务流程所有者的访谈,来确定我们的评估范围。在对实施了 ERP系统的企业的调研和风险评估中,我们发现,ERP系统中 涉及到企业收入业务、支出业务和库存业务的系统控制流程对企业的业务能 否顺利运转影响比拟大。对于这种影响,是这样定义的:由于业务控制的削 弱,导致企业出现经济问题和违规问题的可能性增加。例如,企业管理层非常关注财务控制的内部和外部流程,因为那些这些流程 决定了财务数据的准确性,是反映企业运作是否健康的“脉搏”。因此,我们 通常会更关注收入业务,它包括主数据维护、销售订单处理、发运
7、、开票、 退货和收款等控制内容。评估控制方案在确定评估范围之后,我们需要对这些流程进行描述和分析。对ERP流程 中的每个动作,我们都需要追溯到它的结果,描述风险特征并确认相应的控 制点。在ERP环境中,通常有两种控制方式我们需要考虑:一种是基于系统的控 制,另一种是基于流程的控制。在ERP系统支撑的业务流程中,上述两种 方式通常需要结合使用。手工控制主要依靠个人职责的履行来完成。比方,通常付款是需要通过填表、 签字确认才可支付的。基于ERP系统的控制,是由软件来完成的,通过控 制数据的有效性和合理性来限制和核查动作的合法性。ERP系统的参数设置 将决定这个领域的控制级别。这些控制包括用户访问、
8、字段验证、工作流和许多其他用于确保数据处理一 致性的控制。例如,系统会自动拒绝生成一张与前一次序号相同的发票。这 样就自动降低了过失发生的可能性和应付帐款处理的混乱。值得注意的是,在ERP系统实施过程中,某些二次开发工作会削弱在系统 中已经设置好的控制,从而产生新的风险因子。这个时候,我们必须要用手 工控制来弥补。完善控制,杜绝盲区需要了解的是,即便根据ERP系统的要求,调整和优化了内部控制,减少 了由于“流程自动化”带来的内部控制可能的削弱,仍然无法彻底消除系统本 身的特点导致的控制盲区。这在复杂的系统接口和多用户访问情形下,问题 是比拟突出的。很少有企业用一个系统将企业所有的数据和流程都管
9、理起来。所以,ERP系 统和其他系统之间的接口是实现不同系统间数据互联互通的必需。这些位于 不同系统之间的接口是一个重要的风险区域。由于不同系统的数据格式可能完全不同,为了实现数据的传递,就需要进行 一系列的转换。这就要求针对不同的技术平台和特点开发不同的接口,这些 接口会产生新的控制方面的问题和风险。另一方面,许多企业在实施了 ERP 系统后,陷入了用户访问方面的问题。比方,如果访问权限开放给不应该拥 有访问权限的个人或团体,它将极大地提高数据遭到破坏的风险。缺乏对这 类用户权限的有效控制,会降低那些敏感交易的平安性。所以,用户访问对 敏感交易的访问需要通过有效的控制,例如责权别离的原那么加以限制。作为企业管理信息化进程中重要的一项内餐,ERP系统正逐步在企业中得到 广泛应用。但是,当我们关注其为企业带来巨大的管理提升和经济效益的同 时,也必须充分认识到由于ERP系统自身的特点所带来的风险。针对这些 风险,砒血和制定ERP环境下企业的内部控制策略,是ERP应用中不容忽 视的新课题。
限制150内