由於對原有手務流程的重新設計,ERP系統的實施在很大程度上改變了企業的業務流程。在ERP系統實施以前,許多企業基於機的業務系統,基本都是圍繞某一業務功能或者是職能部門執行的,比如銷售系統、採購系統和財務系統等。這些系統都不是基於跨部門的流程來設計的。ERP系統實現了從採購到付款、訂單的獲取到發票的開出等業務集成,實現了跨職能部門業務處理。
在這種情況下,ERP系統中單一的數據庫,使過去跨部門的審批流程得到簡化和壓縮。壓縮所造成的一個結果是,用於企業內部控制的許多審計線索在ERP系統的引入後消失了。同時,企業過去基於檔案審批的內部控制機制,也無法適應ERP基於流程的管理需要。更重要的是,由於企業的業務運作更加依賴於ERP系統,這種依賴和資訊系統本身特點所導致的脆弱性,形成了企業新的業務風險。
實施ERP系統後,企業所遇到的業務風險一般來自四個方面:業務流程、應用架構、數據質量和技術架構。其中,業務流程的轉變對企業內部控制的最大,對企業內部管理和財務方面的監控提出了新的要求,這方面的風險特徵相比過去發生了根本性的變化。例如,在ERP系統中,透過對手工流程的機器處理,比如審批處理自動化等,進一步增強了完成各種業務流程的效率。但是,在新的業務執行環境中,這些審批處理自動化將改變企業內部原有的一些風險特徵,這時相應的內部控制體系就需要重新評估和設計。
內部控制蘊涵新的風險
ERP實行的是流程化的管理,打破了原來職能部門的條塊分割,實現了企業資源的統一管理和共享。企業的執行和管理在一定程度上已經交給了ERP系統來進行控制。
這樣一來,一方面導致企業所處的內部風險環境發生了變化,過去手工狀態下的控制風險,由於ERP系統的引入而變得更加複雜;另一方面,ERP系統的實施需要對原有的業務流程進行優化和設計,改變了企業的組織結構。
流程優化的目的就是減少或合併流程中重複的、不增值的環節,原有的基於手工作業流程中有利於控制的`重複環節將消失,這樣一來內部控制體系會發生變化。這些變化必然對企業內部的整體控制體系的有效性產生負面影響。在這種情況下,就需要企業對基於ERP系統的關鍵業務流程的內部控制進行定期的審覈,確認是否存在足夠的有效控制以降低由於ERP系統的使用而帶來的業務風險。
定內部控制目標
針對由ERP系統實施所帶來的新的業務控制風險,我們需要對企業內部控制體系做重新評估和完善。ERP系統實施之後,內部控制評估的目標通常包括下面這些:
1.利用風險評估手段重新確定企業中關鍵的業務流程;
2.對整個流程和控制的設計進行評估,確定這些控制是否很好地滿足和支援最終業務目標的實現;
3.對崗位職責分離的評估,確保在整個流程中存在正確的稽覈點和平衡點,對敏感業務交易給出足夠的訪問限制;
4.評估控制方式是否合理,比如基於手工流程的控制和基於系統的自動控制是否搭配合理。
確定評估範圍
一般來說,ERP系統將覆蓋營銷、計劃、生產、採購、倉儲、財務、人力資源等企業運營管理的各個層面。根據經驗,如果對每個流程和控制點都進行評估在資源的利用上是非常不的。
ERP系統的控制評估必須基於風險管理的原則,透過風險評估尋找對主要業務運作中影響最大的領域。換句話說,我們可以從企業整個業務風險域中尋找對企業具有最大風險的業務流程,從而進一步確定有哪些ERP模組在支援這些業務流程。 一般來說,我們透過對業務流程所有者的訪談,來確定我們的評估範圍。 在對實施了ERP系統的的調研和風險評估中,我們發現,ERP系統中涉及到企業收入業務、支出業務和庫存業務的系統控制流程對企業的業務能否順利運轉比較大。對於這種影響,是這樣定義的:由於業務控制的削弱,導致企業出現和違規問題的可能性增加。 例如,企業管理層非常關注財務控制的內部和外部流程,因爲那些這些流程決定了財務數據的準確性,是反映企業運作是否健康的“脈搏”。因此,我們通常會更關注收入業務,它包括主數據維護、銷售訂單處理、發運、開票、退貨和收款等控制。