一般来说,我们通过对业务流程所有者的访谈,来确定我们的评估范围。
在对实施了ERP系统的 企业 的调研和风险评估中,我们发现,ERP系统中涉及到企业收入业务、支出业务和库存业务的系统控制流程对企业的业务能否顺利运转 影响 比较大。对于这种影响,是这样定义的:由于业务控制的削弱,导致企业出现 经济 问题 和违规问题的可能性增加。
例如,企业管理层非常关注财务控制的内部和外部流程,因为那些这些流程决定了财务数据的准确性,是反映企业运作是否健康的“脉搏”。因此,我们通常会更关注收入业务,它包括主数据维护、销售订单处理、发运、开票、退货和收款等控制 内容 。
评估控制方案
在确定评估范围之后,我们需要对这些流程进行描述和 分析 。对ERP流程中的每个动作,我们都需要追溯到它的结果,描述风险特征并确认相应的控制点。
在ERP环境中,通常有两种控制方式我们需要考虑:一种是基于系统的控制,另一种是基于流程的控制。在ERP系统支撑的业务流程中,上述两种方式通常需要结合使用。
手工控制主要依靠个人职责的履行来完成。比如,通常付款是需要通过填表、签字确认才可支付的。基于ERP系统的控制,是由软件来完成的,通过控制数据的有效性和合理性来限制和核查动作的合法性。ERP系统的参数设置将决定这个领域的控制级别。
这些控制包括用户访问、字段验证、工作流和许多其他用于确保数据处理一致性的控制。例如,系统会自动拒绝生成一张与前一次序号相同的发票。这样就自动降低了差错发生的可能性和应付帐款处理的混乱。
值得注意的是,在ERP系统实施过程中,某些二次开发工作会削弱在系统中已经设置好的控制,从而产生新的风险因子。这个时候,我们必须要用手工控制来弥补。
完善控制,杜绝盲区
需要了解的是,即便根据ERP系统的要求,调整和优化了内部控制,减少了由于“流程自动化”带来的内部控制可能的削弱,仍然无法彻底消除系统本身的特点导致的控制盲区。这在复杂的系统接口和多用户访问情形下,问题是比较突出的。
很少有企业用一个系统将企业所有的数据和流程都管理起来。所以,ERP系统和其他系统之间的接口是实现不同系统间数据互联互通的必需。这些位于不同系统之间的接口是一个重要的风险区域。
由于不同系统的数据格式可能完全不同,为了实现数据的传递,就需要进行一系列的转换。这就要求针对不同的技术平台和特点开发不同的接口,这些接口会产生新的控制方面的问题和风险。另一方面,许多企业在实施了ERP系统后,陷入了用户访问方面的问题。比如,如果访问权限开放给不应该拥有访问权限的个人或团体,它将极大地提高数据遭到破坏的风险。缺乏对这类用户权限的有效控制,会降低那些敏感交易的安全性。所以,用户访问对敏感交易的访问需要通过有效的控制,例如责权分离的原则加以限制。
作为企业管理信息化进程中重要的一项内容,ERP系统正逐步在企业中得到广泛 应用 。但是,当我们关注其为企业带来巨大的管理提升和经济效益的同时,也必须充分认识到由于ERP系统自身的特点所带来的风险。针对这些风险, 研究 和制定ERP环境下企业的内部控制策略,是ERP应用中不容忽视的新课题。
萨班斯—奥克斯利法案下公司内部控制的思考
管理学的属性与学科定位