ERP风险控制

ERP风险控制（精选10篇）

ERP风险控制 第1篇

ERP (Enterprise Resource Planning, 企业资源计划) 是一个对企业的多种资源进行规划的管理信息系统和操作平台, 它以财务管理为核心, 使企业的物流、业务流、资金流和信息流相集成, 实现了数据的来源唯一、实时共享、多路径查询, 使企业的人、财、物、产、供、销等在内的资源得到较为充分的调配和平衡, 为企业决策、计划、控制与经营业绩评价提供全方位、系统化的服务。它是著名信息咨询公司Gartner上世纪90年代提出来的概念, 经过若干年的发展逐渐成为一种成熟的企业管理思想和管理模式, 被称为下一代企业级信息系统。成功的应用ERP可以使企业的决策建立在科学的基础之上, 提升管理的效率和效果。ERP的应用作为一种企业信息管理和经营管理良好平台的同时, 也是企业提升管理水平和自我学习的过程。

同时, 实施ERP引发的风险不可忽视。ERP项目的实施涉及面广、难度大、周期长和系统复杂, 但我国目前尚未建立健全一套科学、系统、规范和有效的ERP项目管理体系和运作机制, 难以对整个ERP应用过程及各环节起到科学、有效的规划、控制、监督和保障作用, 因此实施ERP项目具有较高的风险性。倘若企业对实施ERP项目的风险内容缺乏了解, 对实施ERP项目的风险重视程度不够, 那么将直接导致ERP项目实施的失败。据统计, 从20世纪80年代开始到现在, 国内有千余家企业建设了MRPⅡ/ERP, 投资超过80亿元人民币, 但实施成功率只有20%左右。

业界极力推崇的被认为是体现了先进管理思想和方法的ERP, 却遭遇如此低的实施成功率, 巨大的投资和由于对未来实施效果的不确定, 使许多企业在ERP面前望而却步, 这是当前ERP系统所面临的尴尬。[1]因此, 企业如何规避ERP实施的风险, 保证ERP的成功实施, 已经成为企业实施ERP过程中亟待解决的重要问题。

2 ERP项目实施的风险分析

ERP项目实施的风险贯穿整个实施过程, 风险主要来自3个方面: (1) ERP项目本身的风险; (2) 实施ERP的外部风险; (3) 实施ERP过程中企业内部风险。

2.1 ERP项目自身风险分析

由于ERP软件是基于流程式管理思想来设计的, 同时技术上强调功能的集成性和数据的一致性。这就决定了ERP系统在使用中不同于其他企业办公软件的特点, 这些特点犹如一把双刃剑, 为企业带来管理效率提高的同时, 也增加了许多企业运营管理的不确定性, 这些不确定因素会给企业带来巨大的麻烦, 甚至是灾难性的后果。[2]

2.1.1 高度集成性

ERP项目实施的重点就在于数据, 每个子功能的运行都是基于数据的相互交叉调用, 当一个模块中的数据出现错误, 则其他相关模块都会受到影响, 产生出错误的结果。举例来说, 在ERP系统中, 如果库存管理模块的信息出现错误, 则与其联系的成本管理、销售管理、分销管理等都会出现相应错误以至于总账管理等其他系统模块都受到错误影响。

2.1.2 安全风险

ERP项目的实施是基于企业所在的供应链的管理, 支持异地登陆和访问是其基本功能之一。ERP系统的网络化确实给那些跨地域、多工厂的企业带来系统管理的便利, 但同时也带来了风险, 安全风险一般包括:操作系统授权、网络设备权限、应用系统功能权限、数据访问权限、病毒的预防、非法入侵的监督、数据更改的追踪、数据的安全备份和存档等。

2.1.3 单一数据库风险

ERP系统具有高度的集成性, 其最大的特点就是使用单一的数据库。数据库的单一性保证了ERP系统数据的一致性、减少了重复劳动, 使各个部门, 比如生产、销售、库存和财务等能够进行充分的共享信息。这样一来, 数据的访问和维护便成了重要问题。如果存在不合适的访问权限的定义, 缺乏有效的法规对系统使用的控制, 那么系统中的一些机密数据将会变得非常透明, 无疑将会可能导致企业的重大损失。

2.1.4 人员要求突出

ERP项目是管理与计算机的相互结合, 这就要求使用人员必须具备过硬的专业知识。然而, 对于大型的ERP系统, 对整个系统的功能和每个模块的特点都有全面的了解和认识是很难的, 这无形中增加了人员的要求, 更增添了风险。例如, 对于财务模块的管理人员, 就很难做到对其他所有模块有深入的认识。

2.2 ERP项目实施的外部风险

企业实施ERP的外部风险主要指企业所处的宏观社会环境、软件供应商的选择及项目实施咨询服务提供商的选择等风险。

2.2.1 宏观社会环境风险

就目前我国企业所处的经济环境而言, 最大特点是市场经济体制不健全, 各项法规尚不完善, 实施ERP管理模式的外部环境还不完善;同时在企业之间无序竞争、不正当竞争大量存在, 行业规则、诚信制度还处在探索和发展阶段, 因此可以说在我国企业的外部社会经济环境对其实施ERP管理模式的认同程度还不很成熟。

2.2.2 软件商的选择风险

由于市场竞争激烈, 许多软件供应商只把软件推销出去作为最高使命, 而不管自己的软件是否符合实施企业的需求, 褒己之长、贬人之短, 以至于不负责任的签订合同, 弄得实施企业不知所从, 从而使ERP项目的实施周期加长、效果不理想、甚至后续工作无法继续进行。

2.2.3 咨询服务商的选择

由于企业往往对自身的实施需求认识不够明确、对各种ERP系统软件的特点及适用性了解不足、尤其是缺乏科学有效的ERP实施方法和手段。因此, 在实施ERP战略的全过程中, 聘请企业外部的管理咨询公司必不可少。在咨询服务商的选择过程中, 咨询公司对客户的长期和短期态度、对实施软件的掌握、对管理的驾驭、对行业的熟悉程度、项目经理和实施顾问的人员素质、经营的稳健度等是实施企业着重考虑的问题。但现在我国的管理咨询机构不健全, 水平也参差不齐, 实施企业要承担很大的风险。而在咨询公司的选择上, 用户往往是弱者, 选择了软件后, 选择咨询公司的余地有限。

2.3 ERP项目实施的内部风险

ERP项目实施的内部风险来自ERP系统实施的各个阶段以至全部过程。实施风险首先来自开发过程的需求分析, 需求不完整, 需求调研不充分, 都可能带来ERP实施时间进度及成本难以控制, 甚至影响到ERP实施效果。具体到实施过程中可能遇到的各种风险, 则主要包括:实施队伍组织、项目进度控制、实施成本控制、实施质量控制、实施结果的评价以及转化风险等。[3]

2.3.1 实施队伍的组织风险

ERP的实施阶段是整个ERP项目实施的核心环节, 一个人的努力是不可能让企业的ERP项目活起来的, 它需要更多人的集体努力。能否组成一个由拥有丰富ERP系统项目实施和企业管理流程的咨询人员和企业内部的管理人员、业务人员及技术人员的项目实施小组, 共同进行项目实施工作, 对提高ERP系统实施的成功率, 缩短实施周期, 减少实施风险至关重要。此外, ERP的实施涉及的部门很多, 需要各部门的协作才能完成, 因而如何协调各部门的工作、统筹安排所有实施的参与人员、避免出现扯皮现象是一个亟待解决的问题。

2.3.2 项目进度控制风险

ERP项目的实施是一个长期的连续不断的过程, 通常要3～6个月, 甚至1年时间, 由此, 项目计划更显重要。如果项目实施在开始没有进行系统统筹, 没有能够制定明确的、可行的实施计划, 那么在实施过程中就会出现进度缓慢、时间拖延等问题, 进而会影响企业实施人员的积极性, 甚至对ERP项目的实施产生怀疑, 最终造成项目半途而废或系统上线严重延误。

2.3.3 实施成本风险

ERP系统的实施成本通常包括:硬件费用、软件使用许可费用和软件培训费用、实施咨询费用及维护费用等。根据国外ERP系统实施的成功经验。一般实施咨询费用是软件使用许可费用的1.5～2倍。在实施过程中, 如何合理分配实施费用, 结合项目进度和时间安排, 将实施成本控制在计划之内, 是每一家实施ERP系统的企业需要认真对待的问题。不少企业由于不能按照项目时间进度计划开展实施, 造成时间的延误和实施成本上升, 使最终系统上线也不能符合时间和预算的要求, 客观上造成实施的不成功。

2.3.4 实施质量的控制和实施结果的评价

除了需要对ERP项目实施进行时间和成本的控制外, 对实施的质量和最终实施的结果也需要做出评价。不少企业在实施之初就没有制定实施的目标, 在实施过程中未能随时控制实施质量, 在实施完成时不知道如何进行实施成败的评估, 造成“为上系统而上系统”“系统上线就算成功”的现象, 这给企业的长远发展埋下了危险的种子。

此外, 实施ERP还会给企业带来管理模式上的转换风险。 (1) 管理观念的转变。ERP系统带来的不仅仅是一套软件, 更重要的是带来了整套先进的管理思想。只有深刻理解、全面消化吸收了新的管理思想, 并结合企业实际情况加以运用, 才能充分发挥ERP系统带来的效益。这个转变管理思想的过程对企业管理人员和业务人员是一个必不可少的痛苦过程, 能否顺利转变思想管理, 在某种意义上是ERP成功实施的关键。 (2) 组织架构的调整。为适应ERP系统带来的改变, 企业必须在组织架构和部门职责上做相应的调整。实施ERP往往需要同时进行企业流程重组, 而流程的改组会涉及到部门职能的重新划分、岗位职责的调整、业务流程的改变、权力利益的重新分配等复杂因素, 如果企业不能妥当地处理这些问题, 将会给企业带来不稳定因素。 (3) 业绩考评体系的转变。由于企业组织架构的业务流程调整, 企业必须对业绩体系进行相应的调整, 以适应新的岗位职责和业务要求。能否顺利地将原有的业绩考评体系转变到适应系统的业绩考评体系, 是对企业的一个考验。

3 企业实施ERP风险管理的基本构架

在日常经营管理活动中, 企业无法完全规避所面临的风险, 但可以借助有效管理将风险控制在最小范围中。企业风险管理是通过风险识别、风险分析与评估、风险决策、风险预警和风险管理等方面所组成的体系, 是依照企业战略管理过程设计, 配合经营管理过程而发挥作用的, 它由战略层面、管理层面和执行层面结合形成有机系统, 共同发挥作用。企业风险管理与企业战略管理与经营管理的关系见图1。[4]

企业风险管理同战略管理和经营管理紧密相连, 形成企业管理体系中的组成部分, 为保证战略目标的实现和经营管理活动的开展, 发挥风险控制和防范的作用。企业风险管理的建立为ERP的成功实施提供保障。ERP实施策略的选择应当建立在企业风险管理的基础之上, 将ERP管理与风险规避实现有机结合。见图2所示。

资料来源:林枚.基于风险控制的人力资源外包策略[J].中国人力资源开发, 2007 (9) :20-21

4 基于风险控制的ERP实施策略选择

4.1 外部风险管理策略

企业所面临的社会环境风险, 只能从国家和全社会的角度来考虑对策。当然, 国家可以通过政策、法规、基础设施建设等方面来改善企业实施ERP的社会环境, 致力于清理和调整一些陈旧的、不利于企业应用实施ERP的政策规定, 明确相关的优惠扶持政策, 催生国内龙头软件企业, 整顿和规范咨询机构, 加强对这些机构的培育和从业人员的培训等。

4.1.1 宏观社会环境风险管理策略

没有良好的发展环境, 任何事物的成长和发展就失去了保障。企业管理部门应当密切关注外部环境的发展变化, 强化环境分析, 及时关注相关法律、政策和行业发展的信息, 为ERP实施争取最为有利的条件。为此, 政府及行政管理部门应当加快相关法律建设工作, 建立健全相关的法律法规;完善行业指导和规范, 建立有效的部门监管, 加大管理力度, 实现对软件商的资质认定、质量保证、服务定价、运营规范及相关问题的解决和处理程序等方面的有效管理, 为ERP实施提供发展的有利环境。

4.1.2 软件商的选择风险管理策略

ERP项目实施的工具就是软件, 软件商的重要程度可见一斑。企业在选择软件商应主要注意以下几方面:软件企业的信誉、价格、产品线、开发管理水平、实施服务能力和资金能力等。考察软件供应商企业是否通过了ISO9001认证、软件开发是否采用了软件工程等, 充分了解供应商的实力。一般上市公司实力较强, 管理相对规范。选择相对有经验的高校或软件公司, 咨询公司帮助企业提供咨询服务、制定总体计划, 降低企业实施信息化工程的风险。

4.1.3 ERP项目咨询服务商的选择风险管理策略

在企业实施ERP项目的整个过程中, 咨询服务商可以帮助企业制定ERP规划目标, 发现问题, 提出改进解决方案, 监督项目执行的进度和质量等。因此, 聘请专业的咨询服务商是企业成功实施ERP的关键。企业在选择咨询服务商时应注意: (1) 应根据自己的情况选择咨询服务商。企业要了解自己的实际运作情况及ERP项目整体设计实施中遇到的问题, 如企业需要什么样的ERP, 标准是什么, 能否帮助企业塑造集成的模型等, 从而向服务商咨询, 要充分发挥咨询服务商的指导监督作用。 (2) 在选择服务商前应对该行业的服务商及其信誉度有很好的了解。避免出现服务商只以赚钱为目的, 而对企业的ERP项目实施缺乏责任感的现象。 (3) 咨询服务商工作人员的综合能力, 如:对各行业企业实际管理模式与业务处理流程的理解能力与经验、对计算机技术的综合运用能力、培训与讲解能力等。因为工作人员的专业素质水平对于企业提高管理水平, 与ERP软件系统有效结合具有重要的影响。

4.2 企业内部风险管理策略

辩证唯物主义认为, 事物的产生与发展都是内因与外因共同作用的结果, 外因通过内因起作用。因此, 对影响ERP实施风险的关键企业自身管理进行分析, 才是使企业处于低风险的状态的根本措施。

4.2.1 实施队伍的组织风险管理策略

实施队伍的组织管理对于项目的实施以及实施团队的良好发展, 具有决定性作用, 它决定着实施团队的整体发展方向, 是完成实施目标的基本保障。此外, 实现实施团队成员的知识共享对于项目的实施将会有非常大的帮助, 因而必须加强对实施团队的知识管理。[5]ERP系统风险防范的策略主要有: (1) 明确实施队伍组织的目标和任务。实施团队组织应是一个能够肩负代表企业实施ERP项目的重任, 能够把握ERP项目的实施方向, 并能够高效协调企业内、外部的业务和调动各种资源的管理机构。 (2) 选择合适的项目经理或项目负责人, 建立承担项目实施责任的项目组。项目负责人应当顾全大局, 透彻理解项目的目标, 对项目实施有强烈的责任感和具备相应的知识与项目管理技能。 (3) 完善团队的绩效管理。完善、准确的绩效考核对于一个企业的发展有相当重要作用。实施团队的绩效考核与整个公司的绩效考核又不尽相同, 实施团队作为一种临时性组织, 其团队成员的绩效考核存在一定的特殊性。 (4) 将实施团队成员的绩效考核与企业的实施ERP战略目标结合起来。将二者有效结合起来, 实施团队不仅能够得到高层领导的大力支持, 而且能使实施团队领导小组与参与项目实施成员的直接主管的目标统一起来, 进而制定团队成员的考核标准、考核方法, 使团队成员在一个标准下进行工作。 (5) 建立科学的绩效考评体系与方法。根据实施人员的具体实施工作设置能够量化的考核目标是能满足项目要求, 同时要切合实际。提高员工参与目标制定过程, 要让员工知道自己所做的工作与企业的整体目标有什么关系, 与企业战略有什么关系, 从而提高绩效目标的认可度, 要由远到近地设置员工的绩效考核目标。 (6) 绩效考核与激励相结合。只有员工的绩效目标实现得到应有的认可与激励, 员工才会努力去实现更高的绩效目标。实施团队领导小组要根据不同的绩效目标设置相应的激励方式, 多种激励方式相结合。

4.2.2 项目进度控制风险管理策略

在ERP实施项目一开始就应该制定明确的、可行的进度控制计划。内容应包括:实施各阶段应完成的工作及要达到的目标, 各阶段责任归属, 意外情况对进度的影响等。项目实施过程中, 每一阶段都要及时进行评价。评价的内容包括:本阶段工作是否达到了既定目标?没有按期完成的原因是什么?责任归谁承担?如何调整计划?当然, 调整必须适当, 不能陷入无休止的调整状态。[6]

4.2.3 实施成本风险管理策略

首先, 在引入系统前, 先对企业自身业务流程、管理体制和企业信息处理机制进行整改, 可以减少系统建设时系统需求费用, 同时缩短ERP的建设周期。企业应该预先用自身的人员力量, 对企业的核心业务和基础信息处理状况进行整改。从而减少盲目性产生的费用。其次, ERP项目的投入不是一次性的完成, 而是分阶段的投入, 所以要使总成本降低就要层层把关, 在每一阶段都认真控制好成本。再者, 成本的控制是很重要的, 但也不是说处处都狠砍成本, 必要的费用也省略, 例如培训费用、咨询费用等, 不适当的节省必然破坏ERP项目的实施过程, 从而导致项目的最终失败。此外, 还要注意控制隐性成本。如教育训练成本、整合与测试成本、顾问成本、数据转换费用等。

4.2.4 质量风险管理策略

ERP项目质量监控一般分为项目前监控, 项目过程监控和项目后期监控3个阶段。监控的内容主要包括:项目实施目标和计划、项目投入资源和项目成果、项目实施效益。可从以下3方面着手: (1) 对ERP实施每一阶段都做详细评审, 考察是否达到预设质量标准, 只有每一步骤都是有效且保质地完成才能保证ERP项目的最后的实施成功。 (2) 采用客观的、系统的方法实施质量评价。应用项目管理技术对实施过程进行控制和管理, 科学划分、明确阶段成果、严格成果审核、通畅信息传递、兼顾控制和效率。 (3) 建立起质量保证体系以确保在实施完成后, 企业成员能够达到对系统的完全掌握和不断改善的目标。

4.2.5 结果评价风险管理策略

对于任何事情, 成功总是相对的, 而非绝对的。ERP系统应用成功率究竟是多少并不应该是讨论的焦点, 怎样制定科学的考评体系倒是值得研究的。一般而言, 该评估体系由3个层面构成, 即评估目标、关键要素、关键绩效指标。比如, “销售和分销”是评估的目标, “销售周期管理”、“订单管理”、“仓库管理”和“运输管理”是在行业中实现这一目标的关键要素, 而对这些关键要素, 必须有可量化的绩效指标来明确衡量, 比如“订单输入时间”、“即时交付率”、“最佳销售时间”和“迅价周期”等, 这些关键绩效指标又有相关的行业基准和实施经验作为参考, 以帮助用户在实施过程中把握方向, 保证项目的成功。

4.2.6 转变风险管理策略

(1) 应当选择合适的时机对组织结构进行改革, 如市场份额下降、面临生存危机时, 此时能够留下来继续工作的员工, 更愿意为重组承担额外的工作负担与风险; (2) 完善员工风险控制。首先要实施有效的沟通, 做好员工的思想工作。尤其是要与职位及权力发生变化的员工多进行思想沟通, 并尽量安置好降职及下岗的员工, 避免企业人员的恐惧和排斥心理。其次, 争取员工参与, 强化对员工的宣传和教育, 赢得员工对ERP实施的认同与理解, 减少ERP应用的阻力。此外, 要将培训工作贯穿于整个ERP实施过程和应用过程。培训包括ERP理念、ERP软件功能、ERP处理流程等培训。

参考文献

[1].韩承双, 吴海峰.ERP风险分析与实施策略[J].河北工业大学学报, 2007, (4) :11-12

[2].李赤林.制造业ERP项目实施的风险管理研究[D].武汉理工大学硕士学位论文, 2008, (4) :21-26

[3].王汉新, 朱智清, 高俊山.我国企业实施ERP的风险[J].经济论坛, 2004, (5) :76

[4].林枚.基于风险控制的人力资源外包策略[J].中国人力资源开发, 2007, (9) :20-21

[5].朱宗乾, 程传旭.ERP系统实施风险辨识矩阵模型研究[J].情报杂志, 2005, (9) :47-49

ERP风险控制 第2篇

摘 要：目前，越来越多的企业通过实施ERP系统管理生产经营业务运作，因此给企业带来了新的业务控制风险。文章通过论述企业在ERP系统中如何通过合理有效的权限管理，加强企业内部风险控制、防范的相应措施。

关键词：ERP；ERP系统；权限；风险；IT；内部控制

中图分类号：F275 文献标识码：A 文章编号：1006-8937（2015）17-0140-02 ERP系统权限管理与内部控制概述

1.1 ERP权限管理概述

ERP是企业资源计划（Enterprise Resources Planning）的简称，主要宗旨是将企业的所有资源通过信息化系统进行科学合理的组织、管理和控制，以求收益、效果最佳化。ERP系统是以软件为载体，为企业采购、生产、库存、销售、财务等业务人员提供的一个统一经营管理工作平台。

企业要把ERP系统用好，必须依照企业内部各部门岗位职责的划分，在ERP系统通过合理的授权，才能在ERP系统完成各部门的业务操作。对每个岗位业务操作的合理、有效授权，即权限管理。

1.2 内部控制概述

内部控制是企业防控内部运营和操作风险的程序、制度、措施和方法的总称，是对企业内部职能部门和业务单位实施管理和控制的系统方法。IT一般性控制就是对所有利用计算机和通信技术进行企业业务集成、转化和提升的信息化管理平台进行风险控制。

一般基于企业业务层面的内部控制是把企业的关键业务按归口管理要求，划分成流程，通过流程内风险控制点的形式加以管控。比如内控货币资金管理、固定资产管理、一般采购管理等流程中，都会考虑IT应用控制的要求。通过ERP系统权限管理实现IT内部控制措施和

手段分析

随着ERP系统被越来越多的企业所认同，企业业务运作更加依赖于ERP系统，导致企业出现了新的业务风险。如何对这些风险进行有效防范，需要在ERP系统授权配置管理上深度融合企业内部风险控制的要求，既要有识别风险的意识，又要有防范风险的措施和手段加以保障。

2.1 配置控制

配置控制指对系统功能启用的控制，主要有两层含义：①保证启用系统自动控制功能，自动实现对业务风险及操作规范性的控制；②按照标准模版要求，统一配置系统。例如：对于物资采购流程，在ERP系统中创建采购申请的权限由物资部门计划人员拥有；根据采购审批制度，在ERP系统中合理配置采购申请的审批流程，要求在系统中至少进行一级审批。

2.2 业务操作控制

业务操作控制是指为了保证用户在系统中能够按照规范的业务流程进行系统操作而设置的相关控制。业务操作控制包含业务流程控制、数据输入控制、数据质量控制等。该环节要防范未经授权非法处理业务、系统处理不正确导致业务无法正常运行风险。例如：销售模块客户主数据维护流程，客户主数据的维护必须经过审批。

2.3 权限控制

权限控制是指为了保证用户职责的有效履行，对其在系统进行操作或数据访问的控制。权限控制包括角色分配管理、关键系统操作授权管理、ERP组织级别管理等。例如：应收帐款管理、信用管理流程，权限控制要求客户信用主数据的维护必须经过审批；在ERP系统中维护客户信用主数据的权限由经授权的财务部门信用主数据维护管理员拥有；基于不相容原则，该人员不能同时负责销售订单创建/维护。

2.4 不相容岗位分离控制

不相容岗位分离控制特指通过系统操作权限分配中的不相容权限控制达到不相容岗位分离的作用。不相容岗位分离是指那些由一个人担任，既可能发生错误和舞弊行为，又可能掩盖其错误和弊端行为的职务、岗位或系统操作权限，不相容岗位分离即对这类行为予以控制。例如：对于物资采购流程，在ERP系统中进行发票校验的权限由财务部门发票校验人员拥有，基于不相容原则，该人员不能同时负责操作收货过账；进行付款的账务处理的权限由财务部门付款账务处理人员拥有，基于不相容原则，该人员不能同时负责付款申请。ERP系统的权限风险分析

3.1 来自系统层面的风险

由于系统管理员、应用管理员等系统维护人员能直接接触数据库软件、熟悉信息系统技术，他们的有意作案或无意的误操作所造成的影响很难估量，所以这些关键技术人员需持证上岗，签订保密协议和授权书，同时必须有严格的管理制度，严格约束。

此外，为防止非法用户和黑客侵入信息系统，可通过设置防火墙、采用身份识别系统等技术防护措施。

3.2 ERP权限设计缺陷带来的风险

主要表现在权限设计不当，存在与用户工作岗位不相称的系统权限，有违背不相容岗位原则的系统用户和角色。这样在出现误操作时，给系统带来的危害是很大的。

3.3 授权不当带来的风险

①超职责范围的授权导致用户权限过大。这种情况一般存在于岗位变迁，权限只增不减，不再负责的业务权限未删除；②人员离职，用户、密码未及时变更；③擅自把用户给非岗位人员使用。

这些权限的不当使用，都会给ERP带来信息泄露，违规操作等业务风险。

3.4 不相容岗位职责不分带来的风险

一个员工拥有多个系统帐号、一人拥有跨模块流程的权限、一人操作多岗位业务，这些都可以造成不相容岗位权限交叉、信息泄密等风险。利用IT内部控制管理规避ERP权限风险的措施

和方法

企业信息化带来的IT风险已经成为企业风险管理的主要方面。在此结合内部控制管理要求，总结规避ERP权限风险的措施和方法。

4.1 实施IT风险评估

企业信息化建设初期，常常会忽视风险评估，随着企业在IT内部控制要求日趋明确化，IT风险评估也就毫无争议的成为企业防范IT风险的必要措施。IT风险评估主要包括IT目标设定、风险识别、风险分析和风险应对。IT目标设定可以理解为IT战略与IT规划，IT风险识别与分析应对包括对信息资产的风险、IT流程的风险以及应用系统的风险识别分析与应对。企业在具体实施方法上可以选择业界口碑好，具有相应资质的第三方公司帮助进行风险评估。经过IT风险评估，信息系统安全问题风险分析和评价、系统安全建设整改建议就一目了然，做到心中有数。

4.2 做好IT控制措施与监督检查

IT控制措施包括IT技术类控制措施和IT管理类控制措施。

①IT技术控制措施主要是对防火墙、防病毒、入侵检测、身份管理等安全设施、软件定期更新，做好安全防护策略；权限管理方面，ERP系统相对于其它的应用系统，其集成性的显著特点，使得ERP系统的权限管理更具代表性。具体规避ERP权限风险的方法建议定期梳理风险权限、不相容权限、敏感权限等，通过定期专项检查、内控审计等方法规避权限风险；目前有的企业通过开发权限风险分析工具辅助人工检查，也一个不错的参考方法。

②IT管理类控制措施，主要是制定相应的管控制度与规定，如开发管理、项目管理、变更管理、安全管理、运营管理、授权审批等；制定规范业务流程，明确岗位职责的相关文件。通过管理制度的落地执行，有效控制风险。

③聘请业界有资质的专业审计公司做IT风险控制检查。结 语

总之，IT一般控制流程是企业内部控制体系不可或缺的内容，ERP系统应用到企业内部控制中，特别是ERP权限管理贯穿于内部控制的所有流程，是企业内部控制日益完善的标志。企业在应用ERP系统的过程中，应该注意防范以上文中分析的各种风险。

参考文献：

ERP环境下企业内部控制风险防范 第3篇

在实施ERP的过程中, 组织再造与流程简化是一个必然的过程, 在此基础上, 企业的内部控制必定会受到一定的影响, 从而使ERP有利于企业内部控制的同时, 也使企业内部控制面临新的风险。因此, 高回报和高风险是ERP应用的特点。ERP作为一种新的管理工具, 短期内会对原有的内部控制带来一定的冲击与风险, 及早发现并有效管理ERP环境下内部控制的新风险, 才能发挥出ERP先进的管理思想与信息技术给企业带来的内部控制优势。

一、ERP系统对内部控制活动的影响

现代内部控制理论赋予了内控广泛的职能, 把内部控制置于很高的层面上, 从而强化了内部控制的重要性。1994年COSO认为, 内部控制涵盖了五大组成部分内容:控制环境、风险评估、控制活动、信息与交流和监督评审。而1998年巴塞尔委员会则在上述内控的五大组成部分之外, 增加了监管当局对内控的检查和评价。由于ERP依赖于先进的信息技术实现对信息的充分整合与传递, 实现从采购到付款、订单的获取到发票的开出等业务集成, 并实施跨职能部门业务处理, 其实施必然会对企业的内部控制各个环节带来很大的影响。

(一) 对于控制环境的影响。控制环境

要素有价值观、管理哲学与经营风格、激励与诱导机制、精神指导、组织结构和流程、规章制度、职责权限、员工素质和人力资源配置、计算机硬件系统、自然环境是否符合技术安全要求, 等等。ERP作为一种整合计算机科学技术和其他管理手段的先进管理思想, 其核心是供应链管理, 其前提是企业业务流程再造, 其实施必然带来上述各项要素的变化调整, 进而影响到企业内部控制环境。

(二) 对于风险评估的影响。风险评估

的要素包括:关注对整体目标和业务活动目标的制定和衔接、对内部和外部风险的识别与分析、对影响目标实现的变化的认识和各项政策与工作程序的调整等。ERP系统的实施必然给企业内控带来新的风险, 比如由于计算机病毒和网络安全等带来隐藏的数据安全风险等。新风险的出现, 对于内控的风险识别、风险评估与风险管理提出新的要求。

(三) 对于控制活动的影响。控制活动

是为了合理地保证经营战略目标的实现, 指导员工实施管理指令, 管理和化解风险而采取的政策和程序, 包括高层检查、直接管理、信息加工、实物控制、确定指标、职责分离等。伴随着ERP等以企业资源计划为特征的大型软件系统的实施, 管理者在决策时有了更多、更可靠的信息基础, 如ERP的预算管理功能可以对企业整个运行进行预算管理。内部控制流程作为保障业务顺利进行的重要手段逐渐独立出来。在传统的控制流程中, 可能一天或者几天才审批的环节, 在一个有效的控制信息系统中几分钟就完成了。但由于ERP实现了跨职能部门的业务管理, 相应要求业务流程重组与组织结构扁平化, 内部控制的程序与审核环节减少, 也会给企业的控制活动带来一定的风险。

(四) 对于信息与交流的影响。信息的

及时与准确对企业管理与控制极端重要。一个有效的内控系统需要充分的和全面的内部财务、经营和遵从性方面的数据, 以及关于外部市场中与决策相关的事件和条件的信息。ERP信息系统包括企业内部数据库 (会计信息系统、人力资源数据、供销存数据、生产与技术数据等) 和外部数据库 (经济政策、市场信息、合作伙伴等) 。它们具备如下特征: (1) 集成性。如电算化会计信息系统 (简称AIS) 的结构与企业的设计、生产、供应、销售等业务环节的数据结构是完全集成的; (2) 共享性。所有的原始数据都是一次录入, 多处共享; (3) 面向流程。按业务流程收集数据; (4) 实时性。每一个经济事项发生都会在会计信息系统中实时确认、计量与记录。ERP信息系统, 以电子形式存储和使用的数据, 完全改变了传统的信息储存与传递的形式, 对于企业内控信息的收集与交换带来极大的便利, 但同时带来了信息安全问题。

(五) 对于监督评审的影响。内部控制

的监督与评审, 主要监督评审内控流程的合理性、对内控缺陷的报告和对内控程序的调整, 是经营管理部门对内控的管理监督和内审监察部门对内控的再监督与再评价活动的总称。在ERP环境下对于内控监督与评审的最大影响就是, 由于控制流程的压缩与简化, 将会使很多审计线索和审计证据消失。

二、ERP实施下内部控制的风险

技术含量越高的产品其灰箱性或不可预见性就越高, ERP环境下企业的业务运作更加依赖于ERP系统, 这种依赖和信息系统本身特点所导致的脆弱性, 形成了企业新的风险。内部控制系统对于这些风险的识别与管理, 对于ERP系统本身的成败也至关重要。因此, 企业应积极主动地从新的角度来识别ERP系统下内部控制的新风险, 以有效降低内部风险发生的频率。

(一) 内部控制环境的风险。主要包括

管理理念调整与系统的先进性不够同步、人力资源调配失当、组织结构不合理、职责权限不明确、业务部门工作不协调、管理制度缺失或未发挥作用、计算机硬件系统不能满足要求、自然环境不符合技术安全要求等导致的风险。比如, 就组织结构来讲, 在ERP环境下, 高耸的金字塔结构将趋于扁平化, 传统的依靠多管理层次和严格指令的严密控制大大减少, 控制不再是基于权力, 而应该是建立在科学的信息和企业持续健康的成长方面。这对组织结构、领导观念和领导风格及企业文化等提出了更高的要求。

(二) 业务流程与控制流程风险。ERP

强调企业流程与工作流, 通过工作流实现企业的人员、财务、制造与分销间的集成, 支持企业的流程重组。但ERP系统一般是固定的模式结构, 企业在运行时, 软件无法灵活地适应个性化的企业流程要求。企业在进行管理与业务流程重整时, 也很难真正达到从组织结构、生产流程、业务流程全面适应ERP系统的效果。于是现有的ERP系统结构与功能制约了企业的动态重整过程。另外, 企业的组织重组与业务流程简化, 会造成很多审批环节的缺失, 隐含一定的内部控制流程不完善的风险。在这种情况下, 手工环境中用于企业内部控制的许多审计线索在ERP系统引入后消失了。这些变化在一定程度上简化了企业内部整体控制体系的有效性, 这样内部控制风险体系必将呈现新的特征。

(三) 信息安全和质量风险。ERP是承

载先进管理思想的媒体, 是先进管理哲学、理论和方法的软件封装, 是企业业务流和多维信息的高度集成。ERP的实施依赖于先进的计算机软、硬件技术, 如客户/服务器分布式结构、基于WEB技术的电子数据交换EDI、多数据库集成、数据仓库、第四代语言及辅助工具, 等等。由于计算机病毒以及网络黑客的恶意攻击、信息系统软件设计的漏洞、系统操作的失误、内部人员的非法访问、人们对风险的控制缺乏应有的主动权等, 都会使ERP系统面临严重的安全威胁, 从而导致系统数据安全和质量方面的风险。信息的失灵将影响内部控制的有效性。

(四) 技术架构风险。

ERP纳入了产品数据管理PDM功能, 增加了对设计数据与过程的管理, 并进一步加强了生产管理系统与CAD、CAM系统的集成。一系列高科技与新软件的实施, 要求企业具有计算机知识的复合型人才, 否则企业的管理与内部控制都将面临技术架构的尴尬。

三、ERP环境下企业内部控制风险的管理

简单来说, 风险的管理分为识别、评估、处理三大步骤。ERP环境下企业内部控制风险的管理, 首先应识别企业内控系统在ERP实施以后会面临哪些风险;其次应对这些风险进行评估, 比如利用风险评估手段重新对整个流程和控制的各个环节可能的缺陷进行评估, 进而评价各控制风险可能发生的频率以及造成损失的程度, 并据此选择风险处理的方式;最后再对不同特点的风险选择不同的方式进行相应的管理。风险处理方式的选择应建立在“成本效益分析”的基础上, 原则上来说风险的处理包括保留、回避、转移、分散和预防等方式, 风险的保留和回避虽说管理成本较低, 但却是消极和不得已的办法, 企业应当在识别内控风险的基础上, 积极地采取措施来转移和预防风险。

(一) 与ERP软件提供方签署协议。

ERP系统运行的失败, 有一部分原因是软件选型的错误, 也有一部分原因是软件设计的漏洞, 使得引入的ERP系统并不适于企业本身。对于这一风险的控制, 企业应当与软件的开发与供应方签署协议, 协议中应明确企业对于软件的要求, 以及软件的售后服务等事项。一旦软件应用中出现问题, 造成损失的一部分可以由开发方来承担。这是一种转移风险的方式。

(二) 内部审计人员参与软件的二次开发。

ERP软件引入企业之后, 由于其固定模式可能不适应企业本身的业务流程, 也可能对内部控制流程带来不利影响。为此, 在对软件的改型与二次开发的时候内部审计人员应参与其中, 利用自己多年的内控经验, 对ERP系统运行中关键点控制环节的设计, 提出宝贵意见, 避免由于“流程自动化”带来的内部控制可能的削弱, 以避免业务流程重组与简化带来的控制风险。

(三) 通过培训避免控制环境风险与技术风险。

定期的有针对性地管理培训可以改变人们的思想观念, 使管理者及员工接受供应链管理、精益生产、同步工程、敏捷制造、事先计划与事中控制的管理理念, 从而可以避免应用新的管理工具带给企业的理念冲击。另外, 计算机应用技术的培训, 可以提高员工使用新软件处理数据的效率, 也提高内控人员收集和使用信息的能力, 减少了ERP系统与内部控制实施的技术风险。

(四) 强化信息系统内部控制, 保证信息质量与安全。

ERP系统实施风险及其防范 第4篇

关键词：ERP；系统实施；风险防范：风险控制

中图分类号：F406 文献标识码：A 文章编号：1000-8136(2009)32-0140-03

1企业实施ERP的风险

ERP(Enterpfise Resource Planning)企业资源计划是一种先进的企业管理理念，它将管理与信息技术融合，充分调配企业各方面资源，使企业在激烈的市场竞争中取得竞争优势。

企业实施ERP将会为企业带来巨大的经济效益，但是在ERP为企业带来巨大利益的同时，更是一场高风险的管理革命。对于企业来说，需要对ERP实施过程中存在的各种风险有全面系统的认识，增强风险防范意识，有效地防范风险，提高ERP系统的实施成功率，从而提高企业的经济效益。企业实施ERP时，必须注意以下几类风险。

1.1技术风险

技术风险主要是指ERP系统所采用的技术与现有技术的配合程度以及与技术人员现有知识水平的配合程度。其中对于软件的选择是至关重要的一步。软件选择的风险主要包括企业自身选择软件的风险、软件服务商带来的风险、软件本身功能的风险。

(1)企业自身选择软件的风险。面对国内市场上种类繁多的ERP软件，企业首先要根据自身实际情况选择最适合自己的ERP系统。应从软件功能、技术方法是否先进、技术人员能力情况、软件服务能力、软件二次开发、可延展性等方面综合评估ERP系统，确定其是否最适合自己企业，最有助于企业整体发展，避免一步到位、求大、求全的思想。其次，在选择软件评估的人员时也应该慎重选择，这些人员应该全面了解企业情况，对企业的管理方法、模式、运作情况、产销流程以及技术水平都应有较好地掌握，这样才能合理选择软件，避免从一开始就给整个ERP系统的实施带来一定技术风险。

(2)软件服务商带来的风险。对ERP服务商即合作伙伴的选择是ERP系统实施至关重要的环节。服务商水平的高低，将导致实施效果服务有很大差别，企业在选择服务商时要对服务商的开发水平、信誉、诚信等作深入考察，如选择不当，将对整个ERF的实施产生极大的影响。

(3)软件功能风险。我国企业正在建立现代化企业制度、管理模式，企业内外部环境正在不断产生变化，这就要求ERP系统能够具有二次开发的可扩充性，功能和结构能够按客户要求进行改造，而ERP软件本身可能存在各种缺陷，尤其是比较刚性的产品结构，不容易改造以适应企业需求，造成企业业务流程变化不能与ERP系统很快的融合，导致ERP系统不仅不能提高企业效率反而阻碍企业快速发展。

1.2组织结构风险

企业组织结构风险主要指的是企业业务流程重组所带来的风险，为了适应激烈的市场竞争，企业要不断地对原有的业务流程进行重新思考与重组，以达到企业成本、质量、服务和速度的极大改进。业务流程重组如果适应ERP系统，那么ERP项目实施的风险就会减少很多，若业务流程重组进行之后，使ERP软件来适应现有业务流程将加大项目实施风险。

1.3项目规模及进度控制风险

ERP系统庞大，功能模块众多，主要包括销售管理、采购与库存管理、生产管理、财务管理、人力资源管理、设备管理、质量管理等。企业要合理运用和发展这些功能，从企业实际出发，不能照搬照抄别人的经验，一味地求全、求大，想一步到位，ERP是一个系统的管理工程，对ERP项目实施范围，内容界定清楚，否则有可能造成项目实施过程中范围扩大，规模增长，导致整个ERP系统实施周期延长，超出预算。在ERP项目的进度计划时，急功近利，一味求快，对进度控制不严，将对整个项目实施造成巨大压力。ERP项目实施有一定的周期性，通常需要一个较长的时间。在这个过程中，按照明确可行的进度控制计划，各阶段完成相应的工作，达到阶段目标，控制项目进度，按照计划进行，对整个项目实施的成败至关重要。许多ERP系统在实施开始初期就没有制定明确的，可行的实施计划，在实施过程中也不能按时完成阶段任务，造成项目周期拖延，从而导致整个项目半途而废或严重延误。

1.4管理变革风险

ERP不仅仅是一个软件，更重要的是一个管理思想的体现。ERP是对企业内部与外部资源的整合，实现了对企业整个供需链的管理。实施ERP实质上是企业管理模式上的变革，企业要用先进的管理思想指导企业朝着良好的方向发展，虽然目前大多数企业已经接受了国际上先进的管理理念，但要在企业内部运用先进的组织方式改革企业管理结构，贯彻实行先进的管理思想并不容易。首先，员工受固有观念影响已经形成了一套习惯的工作模式，新的管理方式必将改变原有的工作方法，一些员工会不适应甚至产生抵触情绪。此外，新的管理方式会造成一些员工岗位，工作角色的转变，改变员工的职权，甚至影响到个人利益，从不同程度上影响正常工作。再者，一个企业管理理念代表了—个企业的文化。企业高层管理者是否能坚定信念，在管理变革中使企业向良好的方向发展将起着决定性作用，否则，企业的管理将会更加混乱,ERP的应用反而促使企业走向失败，这样的例子也不乏少数。

1.5人力资源风险

ERP项目实施过程中的第五类独有风险与人力资源有关。人力资源是ERP项目实施过程非常关键的资源。

ERP项目的实施是一个系统工程，不是某一个人能够独立完成的，需要一个结构合理，高效的实施团队，ERP的实施涉及众多部门，信息、财务、销售、生产等部门的员工通力合作才能有条不紊的进行项目实施工作。一个优秀的实施团队要求配备有经验的项目经理、敬业的业务骨干，负责的系统管理员以及专业的咨询顾问，同时，应保证项目实施人员对项目投入极大的热情，充分调动员工的积极性与团队合作性。许多ERP项目没有组建一个完善的实施团队，工作缺乏计划性，员工缺乏热情、积极性，团队写作能力差，影响实施的进度和效果。

对相关人员进行项目培训也是实施的关键。ERP项目是将先进的管理思想贯穿于整个企业之中，因此要分别对管理人员、技术人员进行有效的针对性的培训。对管理人员进行ERP理念、ERP的组织方式、企业管理的培训；对技术人员进行基本原理培训、软件功能使用培训。ERP是整合性很强的系统，若大量业务操作失误，会导致ERP实施失败。

2ERP系统风险的特点

尽管ERP系统应用面临多种风险，这些风险都有可能导致

ERP实施的失败，但ERP系统的应用可以优化企业组织结构，减少管理误区，规范管理，降低企业的经营成本，使企业朝着更加科学化、规范化方向发展，提高企业市场竞争力，只要清楚认识ERP风险。才能合理控制风险，使ERP系统成功实施。

ERP系统风险有以下特点：

(1)风险类型复杂多样。由于ERP的应用是一个长期的过程。使一个综合性的复杂系统，在这个过程中，面临企业管理变革，组织结构调整，业务流程重组，人力资源调配等方面，各个阶段都面临不同的风险，包括技术风险、人员风险，风险类型复杂多样。所以企业高层以及企业成员都应该深入了解ERP系统的整个应用过程，对各种可能出现的风险有清晰地认识，才能采取措施防范、控制风险。

(2)风险涵盖面广。ERP的应用的整个周期不仅涉及到企业的方方面面，各个部门，还需要聘请项目咨询顾问，与ERP软件供应商合作，这样，风险就不仅存在于企业之中，还存在于企业外围。涵盖面广泛。

(3)风险变化不定。各个企业的经营状态不一样，实施ERP的过程也不尽相同，各个阶段面临的风险都不一样，没有固定模式的风险，而且阶段实施情况不同，下阶段面临的风险就会不同，企业应根据自身实施ERP的动态采取有针对性的方法来认识和控制风险。

3ERP风险的防范

3.1转变管理观念

ERP实施是一场管理革命，良好的管理基础对企业管理变革起着重要作用。在ERP实施前，企业管理者应清晰认识实施ERP的目的——改变企业手工管理方式，建立信息化管理的先进管理模式。企业的高层要推动这一管理模式变革的进程，充分认识ERP管理的思想与内涵，把ERP项目作为企业的一项重要战略，做好企业各类人员的思想工作，达成共识。ERP项目不仅仅是技术人员的工作，涉及各个部门方方面面的员工。使员工充分认识ERP项目的重要性与必要性，积极参与配合整个项目的实施工作。

3.2合理选择实施模式

不同的企业有着不同的管理体制，经营规模，经营种类，企业员工素质也不尽相同，选择实施ERP的目标也不同。所以，企业要根据自身情况选择相应的软件与实施模式，不照搬其他企业的方式，选择合适的模块。控制ERP项目的规模，制定合理的实施计划，循序渐进，降低成本，减少风险。

3.3转变组织结构、合理配置人力资源

实施ERP系统，必须对企业的业务流程进行重组。业务流程重组涉及到组织机构的改变和权利的重新划分，人员的调配等方面，为避免实施过程中由此导致风险加大，企业必须合理转变组织结构，调整好各部门相关人员的职责，既需要管理人员、技术人员的通力合作，又要使其各尽其责，防范风险。

4ERP环境下企业的内部控制策略及危机处理

由于ERP系统的实施给企业带来的风险种类繁多、涵盖面广，给企业的原有的内部控制策略造成了一定的影响，原有的内控策略需要进行完善，以下是几种ERP环境下企业的内部控制制度。

(1)预防性制度是事前控制，把错误与舞弊消灭在萌芽状态。例如：转变管理观念、授权批准、职责分离。

(2)检查性制度是事中控制，把已经发生和存在的错误检查出来。例如：实物盘点、实地观察、编制银行存款调节表、相关单据核对、预算执行控制、成本控制。

(3)纠正性制度是事后控制，把由检查性控制揭露出来的问题进行控制。例如：考核与奖惩。

(4)补偿性制度也是事前控制。是针对某些控制环节的不足或缺陷而采取的控制措施。例如：岗位轮换、不定期盘点、突击检查等。

企业实施ERP项目过程中面临多种风险，不可避免的会产生相应的危机，那么企业就要有一套应对危机的处理流程，这样才能使企业的损失降到最低。项目实施过程中一旦发现危机要立即调查情况，迅速制定计划控制危机进一步发展，同时将产生的危机尽快通知各管理层以及部门负责人。某些特殊的危机。需要企业员工与实施人员共同解决，其中可能面临普通员工与实施人员意见不一致的状况，最后要做好善后处理工作。

5结束语

论ERP项目风险的管理和控制措施 第5篇

企业资源计划 (Enterprise Resource Planning, ERP) , 是由美国高德纳咨询公司于1990年提出的, 它可以看做MRPⅡ (企业制造资源计划) 的升级版, 除含有MRPⅡ的生产资源计划, 采购、制造、销售、财务等功能外, 还增加了实验室管理、产品数据管理、支持物料流通运输管理、仓库管理、售后服务等功能, 因此, ERP超越了制造业的范围, 可适应于各类型企业的管理信息系统。一个优秀的ERP软件往往能支持多语言、多币种、复杂的跨国组织、混和型生产制造类型, 支持企业资本管理, 支持远程通讯、工作流、电子商务的集成。

尽管ERP功能强大, 然而, 许多研究表明, 一个成功的ERP项目, 往往要耗费巨大的时间、精力和金钱。ERP“漂洋过海”来到我国已有30多年, 国家对其累计投资已经超过数百亿元。不少的企业一头扎进了ERP实施的艰辛路途, 经过时间的检验, 很多的企业成功享受到了ERP给其带来的好处。然而, 部分企业因为各种各样的原因, 没有通过它得到自己预期的效果, 有的甚至给企业带来了灭顶之灾。导致在业内也流传着这样一句话:“ERP就是让规范的企业变得不规范, 不规范的企业快速倒闭”。这其中, 很大一部分原因是因为部分企业忽略了ERP项目实施过程中的风险管理工作, 对ERP项目没有一个正确的认识。

根据企业对ERP系统认识的不同, 可以把企业分为三类:

(1) 自主思考型, 此类企业, 能够有自主的判断, 选择合适的ERP软件, 并针对自身的特点进行本土化, 这一类型的企业, 往往能成功。

(2) 生搬硬套型, 这些企业对ER P认识模糊, 将“ER P系统”与“ERP软件”的概念相混淆。他们简单地认为, 只要投入资金, 引入计算机硬件以及某种ERP软件, 就能解决企业存在的各类资源管理问题。

(3) 怀疑观望型, 对国内的ERP软件市场进行调查, 发现该市场呈现明显的供大于求的状况, 也就是说卖家“一头热”, 有很多国内的企业认为, ERP是舶来品, 不一定适合中国的企业, 但也不完全否认ERP的功能, 此类企业属于ERP软件的潜在消费者。

2 项目风险管理

任何项目的实施都是有风险的, ERP项目自然也不例外。企业要想充分发挥ERP的作用, 最重要的就是要深刻认识实施ERP项目的风险。

美国项目管理协会对风险和风险的定义如下, 所谓“风险”, 是指对结果有利或不利的不确定因素。因此, 在项目的实施过程中就会存在大量的不确定性, 也就是所谓的项目风险。

不利的风险往往会给项目带来负面的影响, 如可能导致项目计划拖延或被迫取消、项目费用超出预算、创造的产品或者服务无法满足客户的需要等。因此, 企业在实施任何项目之前, 都应该进行风险管理, 风险管理主要包括以下几个步骤:风险识别、对风险进行定性或定量的分析、应对方案编制、风险监控。

2.1 风险识别

所谓风险识别, 即是指识别、记录有可能对项目造成不利影响的因素。风险识别贯穿于项目的整个实施过程, 而非仅在项目的开始阶段进行。有关人员需综合考虑所有与项目相关的信息, 如项目范围、类似项目的历史信息、项目的成本计划、工作分期结构、项目组织结构等, 并以此作为依据, 对项目进行实时风险识别。为整个风险管理打下基础。

2.2 风险的定性或定量分析

风险分析即通过分析、比较、评估等方式, 定性或定量地分析各类风险的重要性, 对风险进行排序, 从而使工作人员可将精力集中在少数主要风险上面。而要对风险进行排序, 主要要考虑风险概率和风险影响这两点。所谓风险概率, 即风险事件发生的可能性。这个数字大多通过诸如专家评估、访谈, 或根据类似项目的历史信息进行判断而得出。而风险影响, 即风险时间发生后对项目造成影响的大小。根据这两个因素, 可以得出风险值 (风险值=风险概率×风险影响) , 它是各类风险对项目造成的影响的最直接的评判指标。

2.3 应对方案编制

应对方案编制的目的在于通过制定合理的措施来应对风险可能会对项目造成的危害。最常采用的几种措施有:规避、减轻、转移。

所谓规避, 即通过消除的成因来从根源上消除该风险;减轻是指采取合理措施, 降低“风险影响”或“风险概率”, 从而降低风险值;转移是指通过购买保险、分包等方法, 把风险转移给第三方。而具体应该采取何种方法来应对, 取决于风险值 (EMV) 的大小、拟使用的应对措施的成本等因素。

2.4 风险监控

随着项目的实施和相对应的风险应对措施的执行, 各种风险影响因素也在不断的变化, 因此, 需要实时监控风险的变化情况, 并制定新的处理措施。通过风险监控, 项目人员可以更新风险列表, 保证项目风险始终处于受控状态。

3 ERP项目中的主要风险和防范措施

ERP项目的风险既有一般项目风险的通性, 也有其特殊性。在ERP项目实施过程中的主要风险有以下几方面。

3.1 项目范围的风险

在我国, 很多ERP软件客户倾向订立固定价格的服务合同, 这种合同方式对于顾问方 (卖方) 存在较大的风险。这样的合同, 若项目范围定义不明确, 就可能导致双方在项目实施过程中产生分歧:买方希望尽可能地从ERP系统中得到更多的功能, 获得最大的收益, 而卖方则希望能以最小的成本结束项目。分歧也大, 矛盾也会越大, 甚至导致项目无法进行。因此, 在ERP项目的合同中, 卖方应对项目的实施范围做出尽可能清晰的界定, 切不可使用诸如“实施应收、应付、总账管理”或是“实施财务模块”这种笼统的界定。

3.2 项目进度的风险

ER P项目的进度控制绝非易事, 它不仅受顾问公司的能力的影响, 也受到对范围控制是否有效、对项目的投入是否合理的影响。在项目进行时, 不能一味地求快, 定一个很大的目标, 最后却无法按时完成。事实上, 很多ERP项目的失败, 都是由于项目无法按照原定进度进行, 进而导致团队士气下降, 效率不高。因此, 对ERP项目进度的确定, 要充分考虑各潜在因素, 并适当地留有弹性余地, 任务分解的详细度要适中, 便于管理人员进行考核。

3.3 项目人力资源的风险

21世纪是人才的世纪, 任何一个项目的实施, 都和优质的人力资源分不开。使用合适的人, 并让其以足够的精力投入到项目中, 是保证项目成功的重要条件。要降低ERP项目的人力资源风险, 既要通过各种评估措施, 选择合适的人, 同时还要通过适当的奖惩措施, 保证“人尽其才”。

3.4 对ERP认识不正确的风险

有些企业把ERP奉上神坛, 认为只要花了大价钱用上了ERP软件, 企业的所有问题便都可迎刃而解, 甚至有的企业简单地将ERP视为当前业务流程的电子化。要降低这种风险, 卖方需要对客户进行合理的培训, 要让其明白ERP的原理、功能, 实施ERP的目的与合理的期望等, 尽可能让客户明白以自身企业的现状来看, 应该对ERP项目的功能持有一个怎样的期望才是合理的, 不能为了签下订单, 在开始的时候“糊弄”客户, 让其产生巨大的心里期望, 最终因为达不到其想要的作用而产生矛盾。

4 ERP项目成功和失败的案例

ERP成功案例:国美电器。国美电器于2011年底正式宣布国美ERP信息系统实施成功。作为中国家电零售业内的领军企业, 国美电器成功部署了全新的ERP系统, 加速向以商品和客户经营为中心的商业模式转型。它填补了我国家电零售业信息系统标准的空白, 成为国内少数具有世界最先进信息化平台的零售企业。

ERP失败案例:北京三露。北京市三露厂 (大宝系列产品厂商) 曾与联想集成签订了ERP实施合同。在合同中, 卖方承诺6个月内完成任务, 其中ERP软件由联想集成的独家代理——瑞典Intentia公司的MOVEX来完成。合作的双方, 一方是化妆品行业的著名企业, 早在1998年, 其销售额就已超过7亿。一方是国内IT业领头羊。这场合作本应很“美满”, 然而最后却因为Intentia软件产品的汉化没有做好, 导致部分表单无法正确生成, 使得合作最终失败。

参考文献

[1]林健, 张玲玲.ERP的未来发展趋势研究[J].系统工程理论与实践, 2002 (4) .

[2]管洲, 胡春美.产业集群风险管理与风险预警指标的建立[J].经济论坛, 2007 (6) .

基于风险控制的ERP项目管理研究 第6篇

通过实施和应用ERP, 对原有的业务流程进行重新设计和改造, 建立快速高效, 反应灵活的管理体系, 不断提高企业的自身管理水平和市场竞争力, 才能在激烈的市场中立于不败之地, 因此企业的成功首先是战略争取, 决策无误。

二、企业ERP项目风险识别控制

企业ERP项目是一个管理项目, 同时也是一个技术项目, 一个复杂的系统工程。风险识别是一项贯穿整个项目的风险管理工作。根据企业的实际情况进行分析, 进行ERP项目的实施, 主要包括企业外部风险和内部风险。

(一) 企业ERP项目面临的内部风险。

企业在实施ERP项目的过程中总共分为三大模版进行项目的维护工作:项目实施前、项目实施、运行维护工作。每一个阶段都制定了严格的运行流程。

1、风险实施前

根据企业的实际情况, 可概括为以下几个风险:1.调查不够全面、客观;2.管理水平不够。而选型是ERP项目是否成功的关键因素, 主要包括硬件和软件的选择。

2、项目实施

ERP在国内发展有二十多年, 已经形成了一套比较成熟的方法, 但是由于管理环境不同、软件产品不同, 各个企业所采用的实施方法也不同。企业对项目实施进度是最为关注的风险, 由于企业对ERP项目的实施不甚了解, 对于制定的计划的准确性有多高这都是个未知数, 这就导致了公司进度风险的形成, 这就包含了对计划的不信任, 对进度落后原因的追究等问题。

3、运行维护阶段风险

在ERP系统上线后, 日常使用阶段的维护最为关键。如果没有健全的运行维护管理制度, ERP软件会由于企业领导人或者项目负责人的更换而导致中途夭折。维护修改必不可少, 科室无序的更改不仅不能帮助企业业务的发展, 甚至会导致系统的混乱。

(二) 企业ERP项目面临的外部风险

所谓企业的外部风险就是企业在实施ERP项目的过程中, 他所生存的环境或因现有条件的不足或环境因素的变动等而可能对ERP在企业实施的成功与否产生影响, 从而给企业带来损失。而对于在信息化发展日新月异的今天, 对于企业来说, 外部风险的发生率一般都不是很高。因此, 企业要积极做到关注国家大事和国家政策, 遵守法律、法规, 将企业向着国家希望的方向前进。

三、企业ERP项目风险评价

ERP系统实施风险是由项目的内在性质所决定的, 是客观存在的。风险意识的薄弱将人为地加速风险的发生。建立风险管理机制是降低和化解风险的有效手段:建立风险监督机构, 建立长期的合作的关系, 实施项目全过程的监督和风险管理的基本条件等, 如表1。

ERP风险控制 第7篇

一、ERP环境下会计控制的实时特征

(一) ERP系统具有信息处理的实时性特征

由于传统会计流程远离业务流程, 信息采集是在经济活动发生之后进行, 不仅未能在业务发生时实时采集, 而且采集信息仅仅是满足登记会计账表需要, 信息加工远离业务活动, 且很少考虑会计信息和业务活动之间的关联性;财务报表需经过若干次加工后才能提交到使用者手中, 因此, 极易出现会计信息与业务信息不符、会计信息滞后业务信息的情况, 从而影响会计信息输入的实时性、相关性、有用性。此外, 由于会计人员工作重点是“事后核算”, 会计人员不能利用会计信息对经营活动过程进行实时控制, 会计流程与管理流程严重脱节。而会计控制的实时性, 则是指尽可能减少由于时间因素而造成的信息减值, 在信息期内获取、处理和应用信息, 实现会计的实时控制。ERP的实施实现了企业会计流程、业务流程、管理流程三者的有机融合, 会计信息系统的输入、处理、输出被嵌入在业务处理流程中由计算机自动执行, ERP内嵌的控制机制还能同时自动执行会计对生产经营过程的控制, 保证了会计信息采集、加工的实时性、完整性、正确性和有效性, 实现了对相关单据实时传递、相关数据的实时处理、相关信息的实时披露。从而保证了对物流、资金流和信息流的实时监控, 为企业的会计信息系统提供了大量实时会计信息。

(二) ERP系统要求树立实时控制的会计理念

ERP是一种全新的会计控制理论, 在其控制属性上强调会计控制所需求的信息具有跨越时空的特征, 即在网络的支持下, 可以在最短的时间和任意地点获取会计控制所需要的信息, 即实时控制。其核心管理思想就是以规范化、数字化、集成化管理为基础, 实现对企业供应链的实时有效管理, 主要体现在以下方面: (1) 具有规范化、数字化、信息集成化的管理思想, 这是传统管理模式与ERP管理模式主要区别的来源; (2) 在控制上充分体现了事前计划与事中控制的思想; (3) 引入了企业标准化和流程化的管理思想; (4) 管理上体现对整个供应链进行管理的思想。

因此, 与传统的内部会计控制依据内部牵制理论、通过不相容职务分离、账目核对等手段达到查错纠弊的目的相比较, ERP系统环境下的会计控制系统已极大地拓展了原有会计系统的功能, 将会计控制体系与其他管理控制子系统集成, 实现了与其他子系统的无缝集成, 使企业管理人员可以通过会计信息系统实现对资金、成本、报表等的实时控制。可以认为, ERP已不仅仅是一种技术, 更是一种先进的企业管理理念, 是建立在信息技术基础上, 利用现代企业先进的管理思想, 全面集成企业所有资源信息 (物流、资金流、信息流) , 为企业提供决策、计划、监控与经营业绩评估的全方位和系统化的管理平台。

(三) ERP系统要求建立实时的会计控制模式

会计控制模式按其控制内容可分为对会计信息质量的控制和对生产经营控制两类。传统会计控制模式下, 对会计信息质量的控制是一种基于会计要素对会计信息的输入、处理和输出环节规范控制的模式。因此, 传统会计环境下财务系统与业务系统呈“离岛”状态, 经济活动数据无法实时记录和处理, 会计信息严重滞后于业务信息, 内部会计控制呈现的是独立于业务活动、事后反映和检查, 而不是与业务活动融为一体的全过程监督和预防特征。而在信息系统环境下, ERP内嵌的控制机制对会计信息的输入、处理、输出在业务流程中全部由计算机自动执行, 信息处理人员直接关注业务实施过程, 同步完成业务事件的实时控制和数据记录, 业务活动和信息处理融为一体, 同步进行, 实现了业务规则执行和信息采集合二为一的集成, 为事前预防、事中检查和事后纠正三种控制的整合提供了可能。因此, ERP信息系统环境完全改变了传统会计环境下的会计人员因远离业务过程, 不能进行事前预防和事中控制, 只能通过事后检查来控制风险的状况, 全面提升了企业管理水平, 提高运作效率, 实现了企业从传统的、粗放的管理模式向科学、规范、精细化的模式转变。在这一控制模式下, 企业不仅可以具有敏捷的应变能力和快速响应市场的能力, 有效地开辟市场, 还能更有效地降低营运成本、加强控制手段和提高决策水平, 因而是一种更有效的实时控制模式。企业内部会计控制 (在业务发生时可及时收集业务信息) 实现了对物流、资金流、信息流的全面实时控制, 而不仅仅是传统会计环境下对资金流的事后控制, 因而是一种全新的内部会计控制模式。

(四) ERP系统要求实现实时的会计控制方法创新

会计控制方法是用来反映会计控制内容, 执行和完成会计控制目标的手段。传统的会计控制方法主要是采用结构控制法, 通过相互牵制的会计岗位、授权审批、预算控制等实现业务的相互稽核, 其核心是通过制定各种制度规范对会计控制对象进行约束。而ERP系统环境下, 大部分会计处理工作已由计算机自动完成, 这种数据处理的集中性使得传统的组织控制功能减弱, 原有的内部控制措施逐步由相应的程序功能代替, 如操作权限控制功能、数据输入、输出控制功能等。传统会计控制方法的控制力度已大大减弱, 取而代之的是如预算控制、责任会计控制、标准成本控制等一系列先进的管理会计等控制方法的运用, 在此系统下, 会计信息输入、处理、输出被嵌入在业务处理流程中由计算机自动执行, 会计信息质量控制的重点转变为业务源头的原始数据;ERP内嵌的控制机制还能同时自动执行会计对生产经营过程的控制。实现了将业务、财务会计、管理会计控制方法的集成, 为会计在企业经营活动中发挥实时控制作用提供支持。

二、ERP系统环境下会计实时控制的风险因素分析

(一) 控制环境的变化为会计控制带来新的风险主要包括两方面风险:

一是系统设备安全性风险及软硬件故障。首先, 信息系统的设备安全是系统运行的基础, 一旦系统设备中任何部分出现问题, 势必影响ERP系统的正常运行, 导致数据丢失, 甚至系统瘫痪。由于ERP系统高度集成化、数据逻辑化、信息集成化特点, 各项控制活动都较以前更依赖ERP系统, 当系统设备面临安全风险时将无法实施有效的控制, 设备安全面临的威胁主要有地震、火灾等自然灾害和内外部人员的偷盗。其次, 信息系统软硬件故障会导致系统无法正常运转, 系统设备运行时间过长、硬件老化会导致系统运行中断, 使用人员操作错误致使系统停止响应或处理错误等均会影响系统的顺畅运行。再次, 记录会计信息的磁盘等磁性介质, 极易受到周围环境的影响, 在受热、受潮、弯曲、强磁场等因素影响下极易损坏, 造成会计资料丢失, 且很难恢复。

二是网络安全的风险。网络安全是影响ERP系统正常运行的一个重要因素, 目前, 影响网络安全的因素主要来自于两方面:其一是非授权访问。非授权访问主要来自于系统外部如黑客入侵或病毒攻击, 信息系统的非授权访问会使企业面临重要信息泄漏或丢失、数据库被修改等风险, 严重威胁企业信息资料的机密性、完整性和可用性。尤其是在财务管理和业务管理一体化的情况下, 企业经营管理活动几乎完全依赖于网络系统, 如果企业对网络的管理水平和维护水平不高或疏于管理监控, 一旦网络系统瘫痪, 将严重影响企业的整体运作。其二是内部员工的职业操守。虽然ERP系统中都设有权限控制的功能, 每个员工根据自己的岗位拥有不同的权限, 但不能完全保证信息的保密性和完整性, 某些员工也可能超权限进入系统并修改参数, 尤其对于精通计算机操作的人是很容易绕过相关控制措施的, 进入计算机数据库各子系统, 利用特殊的文件获得某种权利或运行特定程序进行业务处理, 给企业带来损失。尤其是对于信息技术部门经理等计算机超级用户, 作为系统管理员拥有系统的全部操作权限而未对其采取有效措施进行监控, 仅依靠其自身操守和道德准绳进行约束, 这种情况将使企业信息资料及数据安全面临一定的风险。

(二) 控制范围的扩大增加会计控制难度

信息系统越庞大, 结构越复杂, 其面临的风险也越大。在手工会计环境下, 内部会计控制主要是通过设置相互牵制的会计岗位、会计业务的相互稽核进行控制。原始信息被记录在凭证、账簿等纸质上, 修改或伪造总是会留下痕迹。但在ERP环境下, 由于ERP数据处理方式的复杂多样, 以及系统结构具有开放性、数据共享性等特点, 使得会计信息系统控制的范围扩大, 控制的复杂度、难度增加, 原有的内部会计控制的观念、方法、措施已不适应ERP系统环境, 会计控制对象的重点已由传统环境下的对人的控制转变为对人机的控制, 主要包括对系统网络、系统硬件设备、软件系统、数据库、计算机机房及使用和维护人员等的控制。控制对象的增加, 控制范围的扩大, 增加了内部控制的难度和风险。

同时, ERP系统中的会计数据是通过计算机系统程序化处理的, 数据的存储介质由纸质凭证变成电磁化会计信息, 无纸化交易和电磁化数据极大地减少了原来用于内部控制的可视线索。而且ERP系统提供的修改、删除、“反记账”和“反结账”等功能, 对不正确的数据可以做到不留痕迹的修改, 使得其原有的特征完全消失, 这也增加了内部会计控制的难度。

(三) 流程的再造增加了会计控制的风险

ERP通过对传统的业务、会计、管理等流程的再造, 实现了各流程高度无缝集成。流程的重构使会计控制面临着一系列新的风险。一是ERP的实施对原有业务流程所进行的优化和设计, 改变了原来的组成结构, 如不能尽快建立新的、有效的业务流程, 使之与ERP系统环境相适应, 必然影响ERP作为一种先进的管理手段的管理效果, 难以实现内部会计的实时控制。二是ERP系统环境彻底改变了传统会计模式下单一、顺序化的信息输入方式, 消除了重复、不增值环节, 实现了会计信息与业务信息同步, 但在优化业务流程的同时也使一些有利于内部控制的线索消失了, 如由于数据的存储介质由纸质凭证变成电磁化会计信息, 无纸化交易和电磁化数据使可视线索明显减少, 很难通过纸质凭证跟踪会计处理的业务流程。

三、ERP系统环境下会计实时控制的风险防范措施

(一) 加强对信息系统设备及系统软、硬件的管理

ERP系统极大地提高了业务处理和会计处理的自动化程度, 但也使企业管理对系统的依赖性增强。因此, 信息系统有效、安全、可靠地运行必然成为企业生产经营管理和正常进行生产经营活动的前提和保障。对此, 应做到以下几点:一是对信息系统设备进行严格的安全管理, 以保证信息系统的正常运行。尤其对于信息系统设备如开发服务器、测试服务器、网络设备等应置于严密的监控和保护之中, 防止地震、火灾等自然灾害和内外部人员的偷盗行为, 采取防火及设置严密的保安系统等措施, 确保设备安全。二是应加强ERP系统软、硬件的管理, 使其可正确、有效、持续运行, 以保证业务处理和信息处理的正确性。因此, 应选用较成熟、评价较好的软件保证ERP系统运行平台的稳定, 并定期对业务数据进行分析评价以及时发现和纠正错误, 降低风险。三是根据企业组织结构及员工的岗位责任, 设置每个员工对系统的操作权限及对信息的查询范围, 确保各项操作是已被批准或被授权的员工执行。规范所使用软件的特殊功能 (如反记账) 的使用程序。建立计算机超级用户制衡机制规避风险。

(二) 加强网络安全管理

面对不安全的网络环境, 要实现网络及数据安全, 企业应制定一系列措施保证网络安全运行及信息数据的保密性。一是应设置多条网络专线, 一旦一条网络断线, 系统可自动切换到另一条专线上, 防止因网络故障造成业务处理中断的风险。二是对所使用的网络管理系统软件应进行严格的检查测试, 检验软件是否具有容错纠错能力;运用专用的网管软件, 进行网络监控, 采用专用内容过滤技术阻止各种恶意入侵, 通过防火墙、入侵检测等手段了解信息系统受到非授权访问或被攻击的信息及控制措施的效果, 及时调整控制重点, 加强网络风险防范;应完善系统软件的加密技术, 尽可能减少控制漏洞, 禁止任何违规操作。三是应建立与事件相对应的处罚措施, 对引起系统安全漏洞的员工给予适当的惩罚, 以降低人员出错诱发的风险。

(三) 优化会计控制流程

会计实时控制的前提是必须具有会计实时控制系统, 在信息有效期内获取、处理和应用信息, 实现会计的实时控制。但传统会计流程远离业务流程, 无法实现会计实时控制的目的。要实现会计实时控制, 必须有一个规范的业务流程与之相适应, 否则难以实现。由于ERP系统实现了对业务信息的实时处理, 能够及时生成会计信息, 会计数据处理呈现集成化趋势。为了充分利用ERP系统提供的先进实时控制技术, 以便于对各个业务循环内容进行实时控制, 内部会计控制也应采用集成化思路, 对各种会计方法进行集成化改进, 以适应ERP系统环境下集成的业务和会计流程实时控制的需要。同时, 应建立严格的职责分离制度, 各不相容业务的职责必需有效分离, 如数据录入和数据审核、系统开发与数据处理等职能需要通过权限的安排予以严格分离, 建立对系统设备、软件系统、数据资源保管的各种管理制度、对系统操作人员的授权批准制度、系统灾难检测和防范制度、信息系统的稽核制度等。

(四) 加强对财会人员知识结构的更新, 全面提升信息化下的业务处理能力

与传统会计环境相比较, ERP系统环境下, 由于会计核算和会计控制的自动化程度较高, 会计信息质量对系统的依赖性越来越大, 对信息系统的控制已成为内部会计控制的重要内容之一, 会计信息系统作为企业管理的一个有机组成部分, 控制的复杂度和难度增加, 系统风险增大, 因此, 对财会人员的要求也更高, 不仅要求会计人员有很好的财务会计专业知识, 还需掌握信息系统的结构、风险分析、控制、评估等技术。此外, 随着新的数据分析技术和工具如多维数据分析、数据挖掘等在会计领域的应用, 都需要会计人员掌握。因此, 企业应加强对财务人员ERP系统操作、网络安全及各种软件应用等方面的培训, 提高其专业技术水平和综合素质, 尤其是信息技术水平, 全面了解信息系统的特点和风险, 提高控制意识和控制水平, 以实现财务人员由“核算型”向“管理型”、“智能型”转变。

参考文献

[1]林宝玉:《IT环境下企业会计系统重构研究综述》, 《中国管理信息化》2006年第10期。

[2]陈靓:《对ERP环境下企业内部会计控制创新的思考》, 《中国管理信息化》, 2007年第5期。

[3]迟丽华:《ERP战略下的企业财务管理创新》, 《中央财经大学学报》2007年12期。

ERP风险控制 第8篇

关键词：中石油ERP系统,风险因素分析,控制策略

20世纪90年代以来, 全球化和信息化是世界经济发展的两大趋势。中国经济经过几十年的高速发展, 已经成为世界经济的重要组成部分, 其重要性日益显著。随着中国综合实力的增强, 国际资本不断涌入, 经济全球化对于发展中的中国来说, 既是机遇也是挑战。

石油行业作为我国经济的支柱产业, 与国家经济发展和人民生活水平的提高密切相关。随着石油行业的发展, 我国石油企业的内部管理问题显现出越来越多的弊端, 许多新的问题也都浮出水面。为了解决这些问题, 中国的石油企业开始学习西方国家先进的管理理念和方法, 这成为中国石油企业推行企业信息化, 转变管理方式的最强推力[1]。

中国石油天然气集团公司 (简称中石油) 是1998年7月在原中国石油天然气总公司的基础上组建的特大型石油石化企业集团, 是实行上下游、内外贸、产销一体化, 跨地区、跨行业、跨国经营的综合性石油公司。与国际领先石油公司相比, 我们的信息系统建设和应用水平总体上还存在着较大差距。国际石油公司的信息化发展大都经过了从“建设分散独立信息系统”到“建设全局性统一信息系统”两个阶段, 中石油日益认识到缺乏整合的信息系统难以促使自身实现跨越式发展, 这就使得中石油对ERP的需求更加强烈。

中石油2008年7月提出“三年基本建成ERP系统”的目标, 并作为未来几年信息化工作的重点。但是中石油既具有普通的生产企业的共性, 又有自己的行业特性, 庞大的组织结构、复杂的业务流程使中石油的ERP建设成为一个重要难题, 也使得ERP的组织与实施风险大大增加。

当前, 集团公司信息化还处在以建设为主的阶段。按照集团公司的总体部署, 集团公司的信息化建设的主要任务就是全面推进"十一五"信息技术总体规划, 尽快建成集团公司层面的统一集成的信息平台, 其中核心的任务是ERP系统建设。中石油ERP系统是将财务、采购、销售、生产、库存等业务功能综合集成的信息系统, 涵盖勘探与生产、天然气与管道、炼油与化工、销售与市场、工程技术服务、装备、海外业务、油田服务等各个方面的内容。是提升企业管理水平、增强核心竞争力的重要手段, 已经成为企业信息化水平和经营管理水平的重要标志。

但是中石油ERP系统的实施是一个高难度、复杂的系统工程, 涉及企业的流程调整、人员变动、资源配置、相关制度建立等, 单位多, 任务重, 系统的实施过程极为复杂。风险始终存在于系统实施的全过程, 包括系统调研、系统规划、系统预准备、实施过程和系统运行。归纳起来, 中石油ERP系统的风险主要有以下几方面:第一, ERP系统本身的风险;第二, 实施ERP系统的外部风险;第三, 实施ERP系统的内部风险。

1 中石油ERP系统风险因素分析

1.1 ERP系统本身的风险

由于中石油ERP系统是基于流程管理理念设计的, 强调功能的集成性和数据的一致性, 所以中石油ERP系统在使用中有不同于其他企业办公软件的特点。这些特点犹如一把双刃剑, 在提高企业管理效率的同时, 也增加了很多运营管理的不确定性, 这些不确定因素可能会给企业带来巨大的麻烦。中石油ERP系统的集成性是其最大的特点, 也是其最大的优势。ERP是根据其所涵盖业务的内在联系完整集成的系统, 它实施的重点就在于数据。每个模块功能的运行都是基于数据的相互调用, 当其中一个模块中的数据出现错误, 或者丢失时, 就会影响其他相关模块, 最后产生错误的结果。

中石油ERP系统的实施是基于供应链管理, 中石油行业广泛, 企业众多, 所以能否支持异地访问和登录是其基本功能。ERP系统的网络化确实给中石油带来系统管理和资源共享等方面的便利, 但同时也带来了风险。安全风险一般包括操作系统授权、数据访问权限、应用系统功能权限、病毒的预防、非法入侵的监督、主机房的安全管理规章、系统管理员的监督等。在实施ERP系统时, 存在着许多不重视系统安全的现象, 如用户不注意口令保密、超级用户授权管理不规范等。缺乏安全意识的直接后果是系统在安全设计上存在漏洞和缺陷。

中石油ERP系统具有很高的集成性, 其最大的特点就是使用单一的数据库。这保证了ERP系统数据的一致性和唯一性, 使各个单位和部门能够充分地共享信息。所以数据库的访问和维护便成了重要问题。如果数据库访问权限的定义不准确, 缺乏对系统使用控制的有效的规章制度, 安全意识薄弱, 系统中的数据库安全性将会大大降低, 可能导致企业遭受重大损失。另外数据库加密技术存在漏洞, 比如ERP系统登录仅采用用户名及口令, 在数据库信息处理和存储方面主要在TCP/IP协议中的相关协议进行加密, 这些加密技术很容易被破解, 保密性很差。

1.2 实施ERP系统的外部风险

中石油ERP系统实施过程中, 社会环境或某些制约性条件和因素的变动都会对ERP系统的成功实施产生影响。目前我国还处在社会主义初级阶段, 市场经济体制还不健全, 法律法规尚未完善, 市场竞争秩序混乱, 监管力度不够, 整体经济环境与国外还有很大差距。另外还包括政治风险、社会风险、经济风险、法律风险和不可抗力风险等。国家的政策的走向, 经济发展的稳定程度, 都随时影响中石油的战略决策、资金运用、发展方向, 也影响着ERP系统的顺利实施。

中石油长期以来已经形成了固有的思维模式, 企业内部也有很多的利益关系和其他限制条件, 管理人员对先进的ERP管理理念不是特别了解, 所以对怎样能与ERP软件更好地结合, 发挥最大的功能这样的问题往往束手无策, 这就需要咨询服务商的专家和顾问, 由他们帮助管理人员重新定位业务需求, 制定目标, 调整策略, 提出方案, 监督测试, 培训员工等, 保证系统的顺利实施。

1.3 实施ERP系统的内部风险

在了解了中石油ERP系统自身的风险和外部风险之后, 我们成功实施ERP系统的机会大大增加。但是如果不能清楚地识别内部风险, 并采取有效的控制策略来规避风险, ERP系统实施将会遇到很大的困难, 甚至遭到毁灭性打击。对于中石油的管理者来说, 目前开展的信息化建设越来越证明信息技术是一种工具, 是一种使企业管理快捷化、集成化的有效手段, 对企业的发展起到重要的支持和推进作用。但是在整个企业管理的过程中, 人才是最重要的因素, 也是一个企业最重要的资源。人事管理风险存在于企业管理的各个方面, 管理人员的知识、能力或者行为的过错, 会直接影响到ERP系统的实施, 甚至影响整个企业的稳定和发展。

中石油的管理模式和管理基础与国外的石油公司相比, 相对较弱。ERP系统是在国外先进的企业管理理念下发展起来的, 来到中国, 怎么才能更好地与中石油的管理模式相结合呢?这就需要我们对现有的、落后的管理模式进行变革, 变革的风险主要表现在变革力度低, 只是在表面做工作, 没有深入到企业的总体结构和核心业务流程;盲目按照国外的管理模式进行变革, 忽视自身实际情况;没有采用科学合理的方式方法[2]。

在选择适合本企业的ERP软件的过程中, 中石油需要对自身的业务需求和预计达到的目标进行深入的分析和研究, 并通过科学的方法对所选ERP软件进行综合评估。要了解软件的成熟度, 应用情况, 运行的可靠性, 技术支持和开发能力, 还有价格是否合适等各方面信息。

2 中石油ERP系统风险控制策略

2.1 ERP系统自身风险控制策略

中石油ERP系统的核心是充分调配人、财、物等资源和保持其平衡, 不仅可以使企业内部的物流和资金流实现集成, 而且也可以将企业外部供货商、客户集成在一起。从而保证产、供、销一体化, 实现物资流、资金流和信息流的同步, 真正实现企业级资源的统一管理[3]。

中石油为此专门提出了“六统一原则”, 即坚持统一规划、统一标准、统一设计、统一投资、统一建设和统一管理, 确保在集团公司范围内建成集成统一的信息平台。中石油的信息化体系、标准体系, 以及物资与机构代码一类的标准都是在信息技术项目建设之前研究确定, 要求ERP系统中的操作流程、配置流程、数据模型、数据标准、数据源的确定及对数据的定义等标准必须统一并严格执行, 真正做到统一建设, 统一管理。

中石油在实施ERP系统时, 与国际管理咨询公司、著名软硬件供应商建立战略伙伴关系, 选择成熟软件和系统;软、硬件及咨询服务都是经过招标与严格的评标后购买, 保障系统的灵活、稳定和可靠性。中石油ERP系统在数据库的安全上采取符合内控标准的 (GCC) 系统安全策略;利用第三方的先进技术对数据库进行二次加密, 有效地减少了黑客攻击;实现了中石油广域网与英特网的分离, 在英特网的用户通过中石油统建的VPN系统访问系统, 大大提高了数据的安全性。

2.2 ERP系统实施外部风险控制策略

中石油面临的社会环境风险, 从企业的角度去改变现状是很困难的, 只能从国家和社会的角度考虑对策。例如:国家可以通过政策、法律等改善中石油实施ERP系统的社会环境, 提供一些优惠政策, 规范管理咨询机构, 制定合理的石油行业规范, 保证行业内的正常、公平竞争。

中石油在选择咨询服务商之前首先进行内部需求调研, 明确企业内部的实际情况和需求, 对中石油需要什么样的ERP系统、标准如何应了如指掌。选择咨询服务商首先要考察其能力, 比如技术能力, 管理能力, 业务流程重组能力, 人员配置等;其次要查看是其否有石油行业的成功实施经验, 这样能避免因为咨询服务商行业经验不足而产生的风险。

中石油要摆正自己的位置, 增强主体意识和作用, 确立ERP系统实施的总体目标和方案, 并根据实际情况的改变而改变, 积极迅速地做出合理的调整。还要提出明确的时间阶段和业务需求, 并且要主动地检查和督促其他两方的工作成果, 如果发现问题, 要明确提出, 并要求他们整改。

三方的理念、身份和利益不同, 若沟通不及时、不深入, 会大大影响整体实施的顺利开展。需要大家有效进行沟通, 比如采用座谈会的方式, 应积极地寻找三方都能接受的方式方法, 更好、更快地解决问题。

2.3 ERP系统实施内部风险控制策略

中石油ERP系统自身的风险和实施过程中的外部风险得到很好的控制之后, 有些人就认为ERP的成功近在眼前了, 但是他们忽略了最重要的一点, 就是ERP系统实施过程中中石油的内部风险控制。

中石油在实施ERP系统的时候必须对员工进行有计划的、系统的、持续的培训。对于中石油的管理层, ERP系统相关的培训应该在系统实施前进行, 这样有助于提升中石油整体对ERP系统实施的认识, 也便于日后系统的推行。对于员工的培训, 应该在系统实施的过程中同步进行。这样大家可以一边培训学习, 一边实际操作, 有助于加深对系统的印象和提高操作的熟练程度, 从而达到提高工作效率的效果。

中石油ERP系统的实施是“一把手”工程, 高层领导的态度决定整个系统的实施。首先, 高层领导自身对ERP系统的理念和管理模式要有一个深入的了解;其次在各种场合表示对ERP系统的支持, 积极参与到系统的调研和建设工作中, 保证人力、物力和财力的持续投入, 及时对系统实施过程中遇到的重大问题做出有力的决策;最后, 为了避免因工作调动而导致系统实施计划发生改变, 最好将各项责任和工作制度化, 保证系统实施的持续性。

中石油还要建立完善的规章制度体系, 包括机房管理规定、网络管理规定、机房出入登记表等, 对使用人员采用监督和奖励机制, 增强其管理水平和安全防范意识, 确保网络、硬件设施、信息系统的正常稳定运行。要做好数据工作的管理、标准化和备份工作。数据管理要保证数据的安全性和完整性, 要从技术和规章制度等方面抓起, 利用培训等手段增强操作人员的实际操作能力和安全意识, 并做好监督检查工作。

中石油ERP系统是中石油信息技术总体规划的核心, 该系统功能覆盖中石油的主要业务领域和各级机构, 达到规范业务流程, 提高办事效率, 提升管理理念的目的, 帮助中石油提高数据分析能力, 提供决策支持, 增强中石油的国际竞争力。

综上所述, 通过对中石油ERP系统实施过程中风险因素的研究与分析, 结合企业情况, 运用理论与实际相结合的手段, 提出切实可行的风险控制策略, 为中石油ERP系统在集团范围内的推广实施提供了理论依据和策略支持。

参考文献

[1]邓景毅, 罗伟其.我国企业ERP系统的三位一体实施方法初探[J].暨南学报, 2002 (3) .

[2]周宇.ERP项目评估方法研究[D].广西大学, 2002.

ERP在企业中实施策略与风险管理 第9篇

首先，ERP弥补企业管理资源不足。ERP把客户需求和企业内部的制造活动以及供应商的制造资源整合在一起，通过流通的信息实现供应链内的无缝衔接和企业零库存，提高企业资金利用率，让有限的资源得以充分利用。

其次，ERP增强了企业内部管理功能。企业中，在人员不足和对效率的片面追求的双重作用下，生产经营高度依赖于操作者的经验和能力。通过 ERP形成的企业内部网络，部门之间的沟通、员工与员工之间的沟通更加容易；统一透明的物流、资金流和信息流管理将面向人的管理转变为面向目标的管理，充分调动员工的工作积极性并激发其主观能动性。

再次，ERP可以有效整合企业组织结构。在企业中，常常出现组织结构分化不明显，企业成员之间分工不明确，各部门以事务型为主等现象，使得部门职能过于笼统、权责不清，管理层更是身兼多职、缺乏有效的协调手段。但是ERP在中国的成功实施率还是有待于提高。

许多企业在实施ERP的时候会面临各种各样的问题。有技术方面的也有管理方面的。因此，企业在实施ERP的时候不仅要在前期做好选型，在过程当中也要做好风险控制。

ERP选型中的困惑

每一个企业在ERP的选型中，都会碰到这样或那样的困惑：第一，如此眼花缭乱的ERP供应商和ERP软件，哪一个供应商和ERP软件适合自己的企业；第二，在激烈的市场竞争中，企业随着市场的变化而随时发生变化，ERP软件如何满足自己的企业；第三，应该从哪几个方面去分析和综合评估哪一家企业的ERP软件适合自己的企业；第四，如何能满足自己企业当前和未来的需求变化；第五，软件选择错误会给企业带来什么样的后果等。

明确企业目标

在ERP选型过程中，首先考虑企业的战略，将信息技术与企业的战略结合在一起，并纳入企业战略总体部署。同时在ERP选型过程中，结合企业的实际情况，提出信息化管理的总体目标、企业现在和未来的需求等。

实施风险控制

在实施准备阶段，企业必须充分了解实施ERP对企业的深远影响，进行科学地论证，并需要咨询公司或开发商的协助。企业与咨询公司或开发商应本着互惠互利和相互信任的精神，以科学的ERP理论为指导，以企业的现实情况和长远发展目标为依据，对企业实施ERP的规模和模式作出准确，客观地定位。

成立领导机构负责ERP实施过程中的各种事务。在该机构的统一协调下，企业首先自行实施ERP可行性论证，明确实施ERP的目标和计划，并下定决心全力实施。企业根据自身经营的客观需求，结合以往的信息化经验和经营管理的历史数据，客观分析企业ERP实施规模和步骤，确保ERP系统适合企业自身管理经营特点。有此，在实施ERP的时候主要注意以下几点风险：

1.实用性风险

企业放弃自己的管理特色，采用咨询公司或开发商建议的通用型ERP模式，管理模式被同化，失去实施ERP的目的；企业过度强调自己的特色，忽视ERP实施的科学规律，将会导致ERP实施失败。

2.成本风险

企业实施ERP的规模过于庞大，将造成人力，物力，财力和时间的巨大浪费，很多企业由于实施ERP的时间无限期延长或资金过度投入而被迫放弃ERP实施，造成了不可估量的损失，开发商也会因此陷入危机，被项目所拖累。

3.可持续性风险

ERP系统开发模式和系统运行平台选择不合理，不但引发成本风险，还会影响ERP系统的可持续性发展，如系统的运行可靠性易维护性和便于升级等。计算机技术和管理理论的飞速发展，使企业的ERP系统很快不适合形势发展的需要而被淘汰，如何提高ERP系统的可持续性特性，是ERP实施准备阶段的重要内容。

4.功能萎缩风险

企业实施ERP的规模和模式定位不准确，会造成功能萎缩风险。在ERP再开发阶段，可能由于系统开发模式或开发技术的困难，造成不能实现预期的开发目标，降低了系统开发标准，使得系统功能降低。

5.信任危机风险

由于规模和模式定位不准确，会造成企业与咨询公司或开发商之间在ERP实施过程中相互不信任的风险，造成合作阻力加大，影响ERP的实施。

ERP风险控制 第10篇

由于对原有手工业务流程的重新设计，ERP系统的实施在很大程度上改变了企业的业务流程。在ERP系统实施以前，许多企业基于计算机的业务系统，基本都是围绕某一业务功能或者是职能部门运行的，比如销售系统、采购系统和财务系统等，但这些系统都不是基于跨部门的流程来设计的。ERP系统实现了从采购到付款、订单的获取到发票的开出等业务集成，实现了跨职能部门业务处理。

在这种情况下，ERP系统中单一的数据库，使过去跨部门的审批流程得到简化和压缩。压缩所造成的一个结果是，用于企业内部控制的许多审计线索在ERP系统的引入后消失了。同时，企业过去基于文件审批的内部控制机制，也无法适应ERP基于流程的管理需要。更重要的是，由于企业的业务运作更加依赖于ERP系统，这种依赖和信息系统本身特点所导致的脆弱性，形成了企业新的业务风险。

实施ERP系统以后，企业所遇到的业务风险一般来自四个方面：业务流程、应用架构、数据质量和技术架构[1]。其中，业务流程的转变对企业内部控制的影响最大，对企业内部管理和财务方面的监控提出了新的要求，这方面的风险特征相比过去发生了根本性的变化。例如，在ERP系统中，通过对手工流程的机器处理，比如审批处理自动化等，进一步增强了完成各种业务流程的效率。但是，在新的业务执行环境中，这些审批处理自动化方法，将改变企业内部原有的一些风险特征，这时相应的内部控制体系就必须重新进行评估和设计。

内部控制，是被审计单位为了准确、合理地保证财务报告的可靠性、经营的效率和效果的一级对法律法规的遵守，由管理层和其他人员设计和执行的政策和程序。

ERP系统引入内部控制是内部控制的革新，ERP的引入给内部控制带来了新的方法，改变了内部控制的方式，其集中性的数据处理使内部控制程序化，扩大了内部控制的范围，改变了内部控制的内部与外部环境，改变了内部控制的重点，使内部控制的重点不只是在人员之间的互相牵制上[2]。它还改变了信息与沟通的模式，电子化、程序化的信息传递取代了以信息存储技术，物理性可视的手工信息传递，为管理者、员工和顾客等提供了更为方便的交流平台。

2 ERP系统下企业内部控制的风险

ERP实行的是流程化的管理，打破了原来职能部门的条块分割，实现了企业资源的统一管理和共享。企业的运行和管理在一定程度上已经交给了ERP系统来进行控制。

这样一来，一方面导致企业所处的内部风险环境发生了变化，过去手工状态下的控制风险，由于ERP系统的引入而变得更加复杂；另一方面，ERP系统的实施需要对原有的业务流程进行优化和设计，改变了企业的组织结构。

流程优化的目的就是减少或合并流程中重复的、不增值的环节，原有的基于手工作业流程中有利于控制的重复环节将消失，这样一来内部控制体系会发生变化。这些变化必然对企业内部的整体控制体系的有效性产生负面影响。在这种情况下，就需要企业对基于ERP系统的关键业务流程的内部控制进行定期的审核，确认是否存在足够的有效控制以降低由于ERP系统的使用而带来的业务风险。

首先，ERP系统的实施本身就存在着很大的不确定性，总会存在着一些不可预见的影响因素凸显出来，影响ERP系统在企业中的实施，由此而带来的风险是一个方面，同时，企业内部控制本来就存在着一些固有风险和不确定风险[3]。这些风险主要表现在以下几个方面：

2.1 系统设备的控制风险

设备是ERP系统运行的基础，因此如何保证设备的安全是系统风险防范的基础。设备安全面临的风险主要是各种自然灾害和人员的偷窃行为。如果一个企业没有对设备安全风险进行分析，并置备必要的预防系统，在事故突然发生时就不能迅速做出反应，防止设备受到损害。

ERP作为承载先进管理思想的媒体，是先进管理哲学、理论和方法的软件封装，是企业业务与多维信息的高度集成。ERP的实施依赖于先进的计算机软、硬件技术，如客户/服务器分布式结构、基于WEB技术的电子数据交换EDI、多数据库集成、数据仓库、第四代语言及辅助工具等。由于计算机病毒以及网络黑客的恶意攻击、信息系统软件设计的漏洞、系统操作的失误、内部人员的非法访问、人们对风险的控制缺乏应有的主动权等，都会使ERP系统面临严重的安全威胁，从而导致系统数据安全和质量方面的风险。信息失灵将影响内部控制的有效性。

2.2 管理部门内的控制风险

在ERP环境下，高耸的金字塔结构将趋于扁平化。传统的依靠多管理层次和严格指令的严密控制大大减少，控制不再是基于权力，而应该是建立在科学的信息和企业持续健康的成长方面。这对组织结构、领导观念和领导风格及企业文化等提出了更高的要求。职责分离是企业内部控制的基础控制手段，其主要目标是预防因内部人员的舞弊行为而使企业遭受损失。在ERP系统环境下，如果一个企业没有对相关职位进行职责分离或者没有严格分离，这些职位的责任人就都有可能随便查看系统甚至修改系统，盗取系统数据，这对企业会造成很大的损失。

ERP强调科学合理、高效的企业流程与工作流。ERP通过工作流实现企业人员、财务、制造与分销之间的集成，支持企业的流程重组。但ERP系统一般是固定的模式结构，企业在运营时，系统往往无法灵活地适应个性化的企业流程要求。企业在进行管理与业务流程重整时，也很难真正达到从组织结构、生产流程、业务流程全面适应ERP系统的效果。于是现有的ERP系统结构与功能制约了企业的动态重整过程。另外，企业的组织重组和流程优化，会造成很多审批环节的缺失，隐含一定的内部控制流程不完善的风险。在这种情况下，手工环境中用于企业内部控制的许多审计线索在引入ERP后就消失了，这样内部控制就面临着技术构架的尴尬。

2.3 信息传递的控制风险

信息传递，即企业ERP系统与网上采购系统以及财务会计系统等进行沟通，由工作人员将通过网上竞标得到的供应商信息录入到ERP系统中进行物料采购的管理；各财务数据信息也由工作人员导入ERP系统中，由系统进行处理，形成可识别文件类型。这些都要在保证输入正确的基础上进行。在这一过程中，风险存在于各个方面，例如，在输入的过程中，可能产生输入数据的错误，有时一个数据的错误就会导致整个系统的数据无法对上，再次录入或者检查则又会浪费很多时间，大大降低了工作效率；各个系统的连接，也可能会出现问题，导致ERP系统的运用出现一系列差错，等等。

3 ERP系统下企业内部控制风险的防范

在ERP环境下企业内部控制风险的管理，首先，应当识别企业内部控制系统在ERP实施以后会面临哪些风险；其次，应当对这些风险进行评估，比如利用风险评估手段，重新对整个流程和控制的各个环节可能的缺陷进行评估，进而评估各控制风险可能发生的频率以及可能造成损失的程度，并据此选择风险处理的方式；最后，再对不同特点的风险，选择不同的方式进行相应的管理[4]。风险处理方式的选择应建立在“成本效益分析”的基础上，原则上来说风险的处理包括保留、回避、转移、分散和预防等方式，风险的保留和回避虽说管理成本较低，但却是消极的不得已的办法，企业应当在识别内控风险的基础上，积极地采取措施来转移和预防风险[5]。

3.1 确定内部控制目标

针对由ERP系统实施带来新的业务控制风险，需要对企业内部控制体系重新评估和改进、完善[6]。ERP系统实施之后，内部控制评估的目标通常包括下面这些内容：

(1)利用风险评估手段，重新确定企业中关键的业务流程；

(2)对整个流程和控制的设计进行评估，分析和确定这些控制是否能够很好地满足和支持最终业务目标的实现；

(3)对岗位职责分离的评估，确保在整个流程中存在正确的稽核点和平衡点，对敏感业务交易给出足够的访问限制；

(4)评估控制方式是否合理，比如基于手工流程的控制和基于系统的自动控制是否搭配合理。

3.2 确定评估范围

一般来说，ERP系统将覆盖营销、计划、生产、采购、仓储、财务、人力资源等企业运营管理的各个层面。根据经验，如果对每个流程和控制点都进行评估在资源的利用上是非常不经济的。

ERP系统的控制评估必须基于风险管理的原则，通过风险评估寻找对主要业务运作中影响最大的领域。换句话说，我们可以从企业整个业务风险域中寻找对企业具有最大风险的业务流程，从而进一步确定有哪些ERP模块在支持这些业务流程。

一般来说，我们通过对业务流程所有者的访谈，来确定我们的评估范围。

在对实施了ERP系统的企业的调研和风险评估中，我们发现，ERP系统中涉及到企业收入业务、支出业务和库存业务的系统控制流程对企业的业务能否顺利运转影响比较大。对于这种影响，是这样定义的：由于业务控制的削弱，导致企业出现经济问题和违规问题的可能性增加。

例如，企业管理层非常关注财务控制的内部和外部流程，因为那些这些流程决定了财务数据的准确性，是反映企业运作是否健康的“脉搏”。因此，我们通常会更关注收入业务，它包括主数据维护、销售订单处理、发运、开票、退货和收款等控制内容。

3.3 评估控制方案

在确定评估范围之后，我们需要对这些流程进行描述和分析。对ERP流程中的每个动作，我们都需要追溯到它的结果，描述风险特征并确认相应的控制点。

在ERP环境中，通常有两种控制方式我们需要考虑：一种是基于系统的控制，另一种是基于流程的控制。在ERP系统支撑的业务流程中，上述两种方式通常需要结合使用。

手工控制主要是依靠个人职责的履行来完成的。比如，通常付款是需要通过填表、签字确认才可支付的。而基于ERP系统的控制，则是由软件来完成的，可以通过控制数据的有效性和合理性，来限制和核查动作的合法性。对ERP系统的参数设置，将决定这个领域的控制级别。

这些控制包括用户访问、字段验证、工作流和许多其他用于确保数据处理一致性的控制。例如，系统会自动拒绝生成一张与前一次序号相同的发票；这就可自动地降低差错发生的可能性和应付帐款处理的混乱。

值得注意的是，在ERP系统实施过程中，某些二次开发工作会削弱在系统中已经设置好的控制，从而产生新的风险因子。这个时候，我们必须要用手工控制来弥补。

3.4 完善控制，杜绝盲区

需要了解的是，即便根据ERP系统的要求，调整和优化了内部控制，减少了由于“流程自动化”带来的内部控制可能的削弱，仍然无法彻底消除系统本身的特点导致的控制盲区。这在复杂的系统接口和多用户访问情形下，问题是比较突出的。

很少有企业可以用一个系统将企业所有的数据和流程都能够管理起来。所以，ERP系统和其他系统之间的接口，是实现不同系统之间数据互联互通所必需的。而这些位于不同系统之间的接口，则是一个重要的风险区域。[7]

然而，由于不同系统的数据格式可能完全不同，因此，为了实现数据的传递，就需要进行一系列的转换。这就要求针对不同的技术平台和特点，开发不同的接口，但这些接口会产生新的控制方面的问题和风险。另一方面，许多企业在实施了ERP系统后，陷入了用户访问方面的问题；比如，如果访问权限开放给不应该拥有访问权限的个人或团体，它将极大地提高数据遭到破坏的风险。如果缺乏对这类用户权限的有效控制，会降低那些敏感交易的安全性。所以，用户访问对敏感交易的访问需要进行有效的控制，例如用责权分离的原则加以限制。

3.5 具体措施[8]

(1)加强安全意识，完善安全管理。

企业应设立与安全相关部门，已设置安全部门的应强调安全部门的重要作用，完善安全部门的职能，明确其工作重点与目标，加强安全防范。

(2)严格部门内部系统管理人员职责分离。

在ERP系统环境下，可能发生舞弊行为的职位应该分由不同的人员负责，避免一人负责几个相关职务的工作。严格系统管理人员的职责分离，明确纪律，对工作人员进行这方面的教育，保证ERP系统的运行有一个安全正规的内部环境。

(3)加强员工的信息安全意识，进行信息安全控制的再教育。

企业ERP系统和内控系统的安全管理离不开人的作用，企业应该从上至下建立起信息安全的观念，管理层应根据系统的需要和特点制定一套具体的信息安全指导方针，并向企业各部门发布。同时，对员工进行信息安全的再教育，培养员工的信息安全意识，使员工在进行业务处理时能够依据企业的信息安全方针进行信息安全控制和风险防范，并使其成为员工的一项自觉的行为。

(4)加强监督。

任何事情不仅要有一套实施的体系，还必须有相应的监督体系。缺少了监督，徇私舞弊就会日渐成风。这里所说的监督，不是只对系统操作人员和管理人员等进行的监督，也包括管理层人员和系统操作人员，还包括其他员工。系统操作人员是最直接与系统接触的，在系统环境下，他们负责处理日常各种业务，出问题的可能性多，在企业中，对他们进行直接监督的是上级管理人员，但这是不够的，各管理层人员和其他员工都有监督的权利和义务。对管理层人员来说，由于职权的关系，他们大多时候可以直接进入系统，所受约束比较小，出问题与系统操作人员共同舞弊的可能性大，因此管理人员也是应该接受监督。员工，不仅系统操作部门的员工，也包括其他各部门员工，既有监督他人的权利，也要受其他人的监督。

4 小结

作为企业管理信息化进程中重要的一项内容，ERP系统正逐步在企业中得到广泛应用。但是，当关注其为企业带来巨大的管理提升和经济效益的同时，也必须充分认识到由于ERP系统自身的特点所带来的风险。针对这些风险，研究和制定ERP环境下企业的内部控制策略，是ERP应用中不容忽视的新课题。

ERP系统应用到企业内部控制中，对其内部控制体系产生了广泛而深远的影响，是企业内部控制进一步完善的标志。企业在应用这一系统的过程中，应该注意控制以上所分析的各种风险，并将系统与企业的内部业务流程、内部管理系统等结合起来。在不断发展中，企业应当根据环境条件的变化对ERP系统和内控系统的调整，使其适应企业的变化。

摘要：ERP环境下,企业内部控制的运行环境发生了明显变化,这给内部控制带来了很多新的问题。首先对ERP系统实施对企业内部控制进行分析,着重探讨了在ERP应用的过程中,企业要面临来自业务流程、应用架构、数据质量和技术架构等四个方面的业务风险,并提出了相应的防范内部控制风险措施。

关键词：ERP,内部控制,风险防范,信息

参考文献

[1]Boynton A C,Zmud R W.An assessment of critical successfactors[J];Sloan Management Review,Summer1984,17-27.

[2]Delone W H,McLean E R.Information system success:thequest for the dependent variables.Information Systems Research,1992.3:60-95.

[3]Teltumbde A.A framework for evaluating ERP projects.InternationalJournal of Production Research,2000,38(17):175-182.

[4]Markus M L,Axline S,Petrie D,Tanis C.Learning fromadopter’s experiences with ERP:problems encountered and success achieved.Journal of Information Technology,(2000)15:245-265.

[5]Al-Mashari M,Al-Mudimigh,A,Zairi M.Enterprise resourceplanning:a taxonomy of critical factors[J];European Journal of OperationalResearch146,2003:352-364.

[6]仲秋雁、闵庆文、吴力文:《中国企业ERP实施关键成功因素的实证研究》[J];《中国软科学》2004(2):35-38。

[7]杨胜友、李鹏:《ERP实施中的系统风险分析与控制机制》[J];《天津工业大学学报》2003(03):98-105。