ITPub博客

首页 > Linux操作系统 > Linux操作系统 > ERP应用的风险与内部控制

ERP应用的风险与内部控制

原创 Linux操作系统 作者:hpj168 时间:2019-04-24 22:21:07 0 删除 编辑
ERP系统的实施引起企业各个方面的巨大变化,在很大程度上改变了企业的业务流程。在ERP系统实施以前,许多企业基于计算机的业务系统,基本都是围绕某一业务功能或者是职能部门运行的,比如销售系统、采购系统和财务系统等。而ERP系统集成了企业运营的各个方面,一个完整的ERP系统亦即是人力资源、财务、销售、制造、分销以及供应链管理等的集成。实现了跨职能部门业务处理,这种集成能使企业多方受益:对竞争压力和市场机会的迅速反应,灵活的产品装配,减少库存以及更加有效的供应链管理。ERP系统中单一的数据库,使过去跨部门的审批流程得到简化和压缩。从而用于企业内部控制的许多审计线索在ERP系统的引入后消失了。同时,企业过去基于文件审批的内部控制机制,也无法适应ERP基于流程的管理需要。更重要的是,由于企业的业务运作更加依赖于ERP系统,这种依赖和信息系统本身特点导致了企业新的业务风险。
新的风险一般来自四个方面:业务流程、技术架构、数据质量和系统访问。其中,业务流程的转变对企业内部控制的影响最大,它对企业内部管理和财务方面的监控提出了新的要求,这方面的风险特征相比过去发生了根本性的变化。
业务流程风险及其控制方案
实行ERP系统之前,原来部门职能实行条块分割,各部门对自己管辖的业务实行责任制管理,风险分级控制,ERP实行的是流程化的管理,打破了原来职能部门的条块分割,实现了企业资源的统一管理和共享。企业的运行和内部控制在一定程度上也交给了ERP系统来进行控制。这样一来,一方面导致企业所处的内部风险环境发生了变化,过去手工状态下的控制风险,由于ERP系统的引入而变得更加复杂;另一方面,ERP系统的实施需要对原有的业务流程进行优化和设计,改变了企业的组织结构。如果不能很快建立起新的、有效的内部控制,必然对企业的整体运营产生不利影响。
首先,对整个流程进行评估,确保各个单一流程很好地完成自己的功能并保证很好地满足和支持最终业务目标的实现。很少有企业用一个系统将企业所有的数据和流程都管理起来。所以,ERP系统和其他系统之间的接口是实现不同系统间数据互联互通的必需。这些位于不同系统之间的接口是一个重要的风险控制区域,要设置密码并进行权限控制。
其次,确定流程控制关键点。对整个流程和控制的设计进行评估,确定关键的业务流程,找出业务容易出问题的环节,设置监督控制点,对敏感业务交易给出足够的访问限制。确保这些控制很好地发挥个体功能,使整个流程顺利运行。
第三,岗位职责合理设置,确保在整个流程中存在正确的稽核点和平衡点。比如ERP系统实施实现了“物资流、信息流、资金流”三流合一,财务和其他内部业务已完全协同,传统上的财务会计岗位分工,如材料核算、总账、固定资产等岗位设置为投资岗、成本管理岗、稽核报销等岗。要加强稽核报销管理,严把第一道关口。
第四,确定合理的控制方式。在ERP环境中,通常有两种控制方式我们需要考虑,一种是基于系统的流程控制,另一种是基于书面的手工控制。 手工控制主要依靠个人职责的履行来完成。比如工程项目申请付款,首先具备经建设单位、专业技术人员讨论、领导小组审核签字、部门审批签章后形成的批复书面文件,然后填写付款申请单,并经有关负责人按生产计划任务书和一定的级别签字确认方可上线支付。人工流程结束后,ERP上线进行单据录入、批处理文件、线上审核付款等。在ERP系统流程中,上述两种方式通常需要结合使用。
技术风险及其控制方案
ERP系统的使用涉及到整个企业的业务流程。高度集成的功能和系统,使用户无论在企业的哪个角落都能获得访问系统并且控制或改变重要的业务参数的可能。显然,ERP系统的特点一方面使企业员工以更大的灵活性去处理问题、提高效率,但另一方面如果对这种灵活性缺乏有效的控制,那么ERP的高度集成性和分布式的系统技术结构同样会为企业带来风险。
首先,ERP系统中高度集成的功能模块使得任何一点出现问题都会影响到其他模块的正常运行。 比如,在销售模块中的采购定单的下达将同时会有相应的确认信息在成本管理模块和现金管理模块中产生。这种在线实时功能使得在某一数据输入点数据输入错误或模块发生问题时将会把这个影响迅速扩散到系统的其他功能应用上。对于ERP这样的实时业务系统需要相应的在线实时监控以确保在严重问题发生以前或对其它业务产生影响前能够得到及时处理。
其次,系统审计难度加大。复杂的ERP系统使得系统控制和审计人员必须具有相应的专业知识。但是,对于大型的ERP系统,几乎没有人能够对整个系统的功能和每个模块的特点有个全面的认识和理解。比如,对于熟悉财务管理模块的人员,他就无法做到对其他所有模块有深入的认识。这就需要有计划的对审计人员进行有关ERP业务的培训,使其适应新形势的审计需要,并且分工协作,发挥集体的智慧。
第三,许多ERP系统已经开始使用基于WEB的B/S技术,这种技术支持异地登录和访问。由于通过因特网登录,不受空间的限制,任何不正当的用户授权都能导致对系统的非法访问。这就要严把授权关。
第四,ERP系统的高度集成性的一大特点是使用单一的数据库,并且任何数据的输入都是单点的。这一方面保证了ERP系统数据的一致性和减少重复劳动的同时,使各个部门,比如生产、销售、库存和财务能够共享信息。在另一方面,这样的环境中,数据的所有权和维护权成为一个问题。如果存在不合适的访问权限的定义,缺乏有效的法规对系统使用的控制,那么系统中的一些机密数据将会变得非常透明,将会可能导致企业的重大损失。因此,除对本单位职工进行道职业德教育、谨慎授权外,还要呼吁法律建设的及时到位。
系统访问风险及其控制方案
由于ERP系统将所有大量的业务应用功能集成在一个系统环境之下,ERP用户就可能有更多的机会访问其它与之不相关的信息。虽然,ERP系统中都有权限控制的功能,但这并不能完全保证信息的保密性和完整性。
纵观目前市场上的ERP系统,几乎都具备不同程度的安全控制功能。例如在某ERP系统中,就有大量的安全参数设置,包括用户密码、入侵锁定、超级用户访问等等。为了确保万无一失,有些ERP系统还通过插件的方式获得更强的安全控制。除了技术手段外,企业还应该制定面向企业级的安全策略,用户的访问权限应该基于这个安全策略来定义,而不仅仅是基于业务需求的考虑。访问权限的定义和访问权限的使用应由不同的人员来执行。比如,权限应局限于用户的工作需要或根据用户在业务流程中的角色来定义,并符合企业级安全策略的要求;权限的定义还要根据风险控制和成本效益平衡的原则,也就是说,消除用户某个权限后,规避的风险和可能付出的代价是否是合理的。
数据质量风险及其控制方案
许多实施了ERP系统的企业中流传这样一句话,如果数据的准确性、完整性不能保证,那么ERP系统的使用是没有任何意义的,“进去的是垃圾,出来的肯定也是垃圾”。ERP系统中,数据的录入一般有两种方式,一种是人工键入,另一种是通过数据录入装置,例如条形码扫描。对于后一种方式,数据录入的差错风险较小,但人工键入的方式差错率就比较高。虽然,ERP系统中可以设置一些参数来对错误数据进行报警,但无法根本上解决这类问题。
实验中,我们发现,对于系统弹出的警告,系统用户在经历多次后会变得麻木,甚至完全忽略。实践证明,建立完善的输入控制机制是有效化解这方面风险的手段。一方面,要加强人员的培训和增加控制点。例如,数据输入后,由另外一个人进行核对并确认。
总之,对ERP项目应用中的风险,要建立风险控制机制,建立并及时更新项目风险列表及风险排序。项目管理人员应随时关注与关键风险相关因素的变化情况,及时决定何时、采用何种风险应对措施。开展风险应对审计:随时关注风险应对措施实施的效果,建立报告机制,及时将项目中存在的问题反映到管理层。定期召集ERP系统业务骨干会议,对风险状况进行评估,并通过各方面对项目实施的反应来发现新风险。引入第三方咨询,定期对项目进行质量检查,以防范大的风险。
文/李淑琴

来自 “ ITPUB博客 ” ,链接:http://blog.itpub.net/178883/viewspace-16195/,如需转载,请注明出处,否则将追究法律责任。

请登录后发表评论 登录
全部评论

注册时间:2004-11-19

  • 博文量
    412
  • 访问量
    301880