ERP的實施,就好比危險的飛行一般,讓人膽戰心驚而又無法抗拒。在ERP應用的過程中,企業要面臨來自業務流程、應用架構、數據質量和技術架構等四個方面的業務風險。下文針對如何從內部控制這些風險,提出了解決之道。
由于對原有手工業務流程的重新設計,ERP系統的實施在很大程度上改變了企業的業務流程。在ERP系統實施以前,許多企業基于計算機的業務系統,基本都是圍繞某一業務功能或者是職能部門運行的,比如銷售系統、采購系統和財務系統等。這些系統都不是基于跨部門的流程來設計的。ERP系統實現了從采購到付款、訂單的獲取到發票的開出等業務集成,實現了跨職能部門業務處理。
在這種情況下,ERP系統中單一的數據庫,使過去跨部門的審批流程得到簡化和壓縮。壓縮所造成的一個結果是,用于企業內部控制的許多審計線索在ERP系統的引入后消失了。同時,企業過去基于文件審批的內部控制機制,也無法適應ERP基于流程的管理需要。更重要的是,由于企業的業務運作更加依賴于ERP系統,這種依賴和信息系統本身特點所導致的脆弱性,形成了企業新的業務風險。
實施ERP系統后,企業所遇到的業務風險一般來自四個方面:業務流程、應用架構、數據質量和技術架構。其中,業務流程的轉變對企業內部控制的影響最大,對企業內部管理和財務方面的監控提出了新的要求,這方面的風險特征相比過去發生了根本性的變化。例如,在ERP系統中,通過對手工流程的機器處理,比如審批處理自動化等,進一步增強了完成各種業務流程的效率。但是,在新的業務執行環境中,這些審批處理自動化方法將改變企業內部原有的一些風險特征,這時相應的內部控制體系就需要重新評估和設計。
內部控制蘊涵新的風險
ERP實行的是流程化的管理,打破了原來職能部門的條塊分割,實現了企業資源的統一管理和共享。企業的運行和管理在一定程度上已經交給了ERP系統來進行控制。
這樣一來,一方面導致企業所處的內部風險環境發生了變化,過去手工狀態下的控制風險,由于ERP系統的引入而變得更加復雜;另一方面,ERP系統的實施需要對原有的業務流程進行優化和設計,改變了企業的組織結構。
流程優化的目的就是減少或合并流程中重復的、不增值的環節,原有的基于手工作業流程中有利于控制的重復環節將消失,這樣一來內部控制體系會發生變化。這些變化必然對企業內部的整體控制體系的有效性產生負面影響。在這種情況下,就需要企業對基于ERP系統的關鍵業務流程的內部控制進行定期的審核,確認是否存在足夠的有效控制以降低由于ERP系統的使用而帶來的業務風險。
定內部控制目標
針對由ERP系統實施所帶來的新的業務控制風險,我們需要對企業內部控制體系做重新評估和完善。ERP系統實施之后,內部控制評估的目標通常包括下面這些內容:
1.利用風險評估手段重新確定企業中關鍵的業務流程;
2.對整個流程和控制的設計進行評估,確定這些控制是否很好地滿足和支持最終業務目標的實現;
3.對崗位職責分離的評估,確保在整個流程中存在正確的稽核點和平衡點,對敏感業務交易給出足夠的訪問限制;
4.評估控制方式是否合理,比如基于手工流程的控制和基于系統的自動控制是否搭配合理。
確定評估范圍
一般來說,ERP系統將覆蓋營銷、計劃、生產、采購、倉儲、財務、人力資源等企業運營管理的各個層面。根據經驗,如果對每個流程和控制點都進行評估在資源的利用上是非常不經濟的。
ERP系統的控制評估必須基于風險管理的原則,通過風險評估尋找對主要業務運作中影響最大的領域。換句話說,我們可以從企業整個業務風險域中尋找對企業具有最大風險的業務流程,從而進一步確定有哪些ERP模塊在支持這些業務流程。
