ERP应用的风险与内部控制.doc

河南XX学院经济管理系毕业设计（论文）中文题目：ERP应用的风险与内部控制专 业：会计电算化姓 名：XXX学 号：10040901XX指导教师：XX 2012年5月20日ERP应用的风险与内部控制摘要：ERP的实施，就好比危险的飞行一般，让人胆战心惊而又无法抗拒。在ERP应用的过程中，企业要面临来自组织变革和培训、项目规划与管理、项目成本超支、业务运作、软件功能不完善，不适用等四个方面的风险进行分析，并针对这些风险，从内部控制角度提出了风险防范之道。关键字：ERP系统、风险、内部控制Application of ERP risk and internal controlAbstract: the implementation of ERP, is a dangerous flight, make people tremble with fear in ones boots and irresistible. In the ERP application process, enterprises to face competition from organization and training, project planning and management, project cost overruns, business operation, the software function is not perfect, not applicable four respects such as risk analysis, and in the light of these risks, from the perspective of internal control proposed the risk guard road.Keyword: ERP system, risk, internal control目 录ERP应用的风险与内部控制1摘要1英文摘要2一、ERP的应用与内部控制概述4（一）ERP系统的概述4（二）内部控制概述5（三）企业实施ERP系统环境下的内部控制内容51、关于成本的内部控制52、关于业务流程的内部控制63、关于风险的内部控制7二、ERP系统的应用给内部控制带来的风险分析8（一）组织变革管理和培训风险9（二）项目规划和项目管理风险9（三）项目成本超支风险9（四）BPR对业务运作的风险10（五）软件功能风险10三、加强内部控制防范ERP系统应用风险的具体策略10（一）组织变革和培训风险的控制10（二）项目规划和项目管理的风险控制11（三）项目成本超支风险控制11（四）EPR对业务运作的风险控制12（五）软件功能风险控制12结束语13参考文献15致 谢16前言：企业运用的ERP系统实行的是流程化的管理，打破了原来职能部门的条块分割，实现了企业资源的统一管理和共享。企业的运行和管理在一定程度上已经交给了ERP系统来进行控制。这样一来，一方面导致企业所处的内部风险环境发生了变化，过去手工状态下的控制风险，由于ERP系统的引入而变得更加复杂；另一方面，ERP系统的实施需要对原有的业务流程进行优化和设计，改变了企业的组织结构。流程优化的目的就是减少或合并流程中重复的、不增值的环节，原有的基于手工作业流程中有利于控制的重复环节将消失，这样一来内部控制体系会发生变化。这些变化必然对企业内部的整体控制体系的有效性产生负面影响。在这种情况下，就需要企业对基于ERP系统的关键业务流程的内部控制进行定期的审核，确认是否存在足够的有效控制以降低由于ERP系统的使用而带来的业务风险。因此，研究ERP系统应用过程中的风险防范和对应的内部控制方法具有很大的实用价值和现实意义。一、ERP应用的内部控制概述（一）ERP系统的概述ERP（Enterprise Resource Planning）意为“企业资源规划系统”，是指建立在信息技术基础上，以系统化的管理思想，为企业决策层及员工提供决策运行手段的管理平台。ERP系统集中信息技术与先进的管理思想于一身，成为现代企业的运行模式，反映时代对企业合理调配资源，最大化地创造社会财富的要求，成为企业在信息时代生存、发展的基石。近年来，越来越多的企业采用ERP系统这一管理工具作为企业的管理平台，显而易见，ERP系统在很大程度上改变了企业的业务流程。在ERP系统实施以前，许多企业的计算机信息系统仅仅针对某一方面如会计信息系统、进销存信息系统、销售系统等。在此种背景下，各项流程的设计及内部控制更多的是以部门为基础来进行，而ERP系统实现了从接受订单、安排生产、计算物料需求、物料采购到支付货款、投料生产、发货运输、开票收款、记账生成报表、进行各项财务分析等业务集成，实现了跨职能、跨部门的业务处理，实现了企业资源的统一管理和共享，使原来各部门的职能界限变得日益模糊，而且依托ERP系统这一平台，企业可以进行更广泛的，包括客户、供应商、分销商和代理网络、各地制造工厂等的各种经营资源、各种信息的集成，从而为企业科学决策提供更好的服务。由此我们可以看到，采用ERP系统后，企业的控制环境发生了根本性的变化，所有部门的工作在ERP系统中形成了一条信息链，在此背景下，许多原内部控制程序在ERP系统的引入后无法适应ERP系统的需要，出现了新的控制风险，对内部控制提出了新的要求。（二）内部控制概述财政部在发布的企业内部控制基本规范中，将内部控制定义为：“内部控制，是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果、促进企业实现发展战略。（三）企业实施ERP系统环境下的内部控制内容1、关于成本的内部控制ERR系统经过近半个世纪的发展，从MRP、MRP到目前普遍应用的ERP，在最大的成本项目物料成本上实现了精确的控制，在该项目的内部控制发展过程中，它经历了以下五个阶段：（1）在二战后，产生出库存控制订货点法。按经济补充库存原则，控制模型中设立两个参数：订货点、订货批量。（2）物料供求计划：在生产周期内把生产目标的独立需求从主生产计划按照产品的物料构成清单开始向下逐层分解为各个零件，并据此安排零件的采购计划。（3）MRP：将生产能力计划、车间作业和采购作业计划相结合；在计划执行过程中，综合来自车间、采购人员和计划人员的反馈信息，调整计划平衡。（4）制造资源计划（也称MRP）：将生产、财务、工程技术人员、采购等各个子系统结合成一个一体化的系统。（5）ERP（企业资源计划）：以客户为中心，基于时间、面向整个供应链为基本特点，具备超越MRP范围的集成功能、支持混合方式的制造环境、支持能动的监控能力和支持开放的客户机/服务器计算环境。在这些发展阶段中，我们可以清晰地看出关于物料成本的内部控制是如何发展的：（1）从粗放走向精细，使得对物料成本的内部控制精益求精，深入到了企业的物料需求的最基本层面。（2）从单一部门走向跨部门的发展历程，从最初的物料成本的内部控制仅仅是物料部门的责任，然而随着物料成本的内部控制不断向更深的层面发展，其责任部门也逐渐向生产计划部门、生产部门、工程设计部门、采购部门延伸，甚至延伸到了企业外部的供应商，目前有些企业实行JIT(Just in time)的生产模式，对供应商的物料供给提出了严格的要求，在某种程度上，已经将供应商作为企业自身的一个部门列入了内部控制的范畴。完善的成本控制需要一个能协调计划、监控和管理企业各种成本发生的全面集成化系统，从而使企业能够全面规划成本并能够从接受订单起到最后回收货款的各个流程中加强对各种成本的控制与监督。在ERP导入之前，绝大部分的信息是过时的、局部的，甚至是失真的信息，信息的集成机制不完善是一个重要的原因，在此背景下，成本的控制主要为事后控制，也就是在成本发生后进行考核分析，在以后的生产过程中加以借鉴，而事中控制、事前控制因为要牵涉到众多部门的信息集成与即时信息的归纳汇总而几乎成为不可能。在导入ERP之后，由于所有的成本相关管理应用程序都共用同样的数据源并且使用一个标准化的报告系统，从而成本的监控可贯穿所有职能部门。数据是联动的而且可以随时更新，每个有关人员都可以随时掌握即时的资讯，只要确保各个部门的相关资料能够及时导入系统。差异或有问题的项目一旦出现就能被发现，并可采取措施去纠正，这就大大加强了对成本的事中控制。同时可以注意到，由于ERP中会计系统同其他各个子系统紧密地融合在一起，这种系统的融合将会使会计部门能够完整即时地取得企业的详细信息，有利于做前瞻性分析与预测，从而也加强了事前控制。2、关于业务流程的内部控制事实上，在导入ERP系统之前，企业必须首先进行流程再造，道理很简单，因为ERP是以客户为中心，基于时间、面向整个供应链为基本特点，它所蕴含的管理思想往往同企业现行的管理思想有很大的不同，ERP要成功实施，就必须对企业进行管理诊断及提出管理方案，在ERP不断集成、不断改变企业管理模式的过程中，其实质上是依靠越来越精确的控制手段和方法。ERP系统把客户需求和企业内部的制造活动以及供应商的制造资源甚至是客户的需求计划整合在一起，形成一个完整的供应链，并对供应链上的所有环节进行有效管理，这样就形成了以供应链为核心的ERP管理系统，供应链跨越了部门与企业，形成了以产品或服务为核心的业务流程。供应链从整个市场竞争与社会需求出发，实现了社会资源的重组与业务的重组，大大改善了社会经济活动中物流与信息流运转的效率和有效性，消除了中间冗余的环节，减少了浪费，避免了延误。在此背景下，企业应该围绕供应链来规划设计主要业务流程，一方面使得数据流能够顺畅地在各个部门之间流通，另一方面要确保数据在各个关键控制点上得到不同部门的确认之后才能流入下一个部门的子信息系统。为此，企业应围绕业务流程，分析ERP信息技术环境下的企业订单、采购、库存、计划、生产制造、质量控制、运输、销售、财务会计、人事管理等环节的作业过程、管理过程和信息过程的新特点，制定对应控制规则，设计企业各项控制制度和控制程序，并将这些控制程序和控制参数输入到计算机信息系统内部，形成完整、严密的面向流程的人机内部控制系统。这样，绝大多数程序性的事务交由ERP系统自动完成，企业员工可以有更多的精力根据信息系统反映的信息流及时监控业务过程的物流、资金流、作业流，通过反馈信息与控制参数的比较，制定决策、预防风险、修正作业错误，防范业务舞弊。另外，在计算机信息系统内部建立严格的人员访问授权、数据接触控制、操作流程规则和职责体系，以避免信息系统故障，杜绝利用信息技术进行危害企业的行为。3、关于风险的内部控制ERP系统可以处理更加复杂的大量的信息，支撑组织业务的急剧增长。现代企业规模庞大，组织结构复杂，信息来源纷繁，企业的管理者要确保企业作为一个整体，尽量保持员工个人目标与企业目标的协调性，恰当控制经营风险，实现其经营目标。通过ERP系统，信息的收集、处理、生成和传递过程主要由系统自动生成，减少了许多人为的介入，在事先设定的权限范围内很难对数据进行篡改和隐瞒，内部控制的环节和基础清晰明了。具有良好结构、严密控制的ERP系统，可以合理、及时、有效、全面反映企业的业务活动，从而建立起有效的信息反映及传递机制，有效的信息反映及传递机制是有效内部控制的基础，促使企业在规划和组织、获取和实施、交付和支持、监控等不同领域进行管理，将企业的制度安排、控制程序嵌入信息系统中，使系统本身具备内在的风险控制机制。ERP系统应用，通过清晰的业务操作流程，明晰的岗位职责以及恰当的授权机制，使管理的层次、职责、流程，被标准化和文档化，在企业运营的各个环节，篡改或违背都相对困难，或即使可以被篡改或违背，也会留下操作线索，这样就极大地降低了企业的经营风险。银行的资金清算系统就是明显的例证，通过和银行清算系统的连接，ERP系统使实时清算成为可能，发生舞弊风险的可能性大大降低。在传统环境下，内部控制只能更多地偏重发挥其检查性职能和纠正性职能，而ERP系统的实施，将会提供突破这一局限的机会。可以说，ERP系统将使内部控制的“预防性职能”充分发挥，而预防性职能的发挥是加强企业风险控制的最佳方式。二、ERP系统的应用给内部控制带来的风险分析由于对原有手工业务流程的重新设计，ERP系统的实施在很大程度上改变了企业的业务流程。在ERP系统实施以前，许多企业基于计算机的业务系统，基本都是围绕某一业务功能或者是职能部门运行的，比如销售系统、采购系统和财务系统等。这些系统都不是基于跨部门的流程来设计的。ERP系统实现了从采购到付款、订单的获取到发票的开出等业务集成，实现了跨职能部门业务处理。在这种情况下，ERP系统中单一的数据库，使过去跨部门的审批流程得到简化和压缩。压缩所造成的一个结果是，用于企业内部控制的许多审计线索在ERP系统的引入后消失了。同时，企业过去基于文件审批的内部控制机制，也无法适应ERP基于流程的管理需要。更重要的是，由于企业的业务运作更加依赖于ERP系统，这种依赖和信息系统本身特点所导致的脆弱性，形成了企业新的业务风险。实施ERP系统后，企业所遇到的业务风险一般来自四个方面：业务流程、应用架构、数据质量和技术架构。其中，业务流程的转变对企业内部控制的影响最大，对企业内部管理和财务方面的监控提出了新的要求，这方面的风险特征相比过去发生了根本性的变化。例如，在ERP系统中，通过对手工流程的机器处理，比如审批处理自动化等，进一步增强了完成各种业务流程的效率。但是，在新的业务执行环境中，这些审批处理自动化方法将改变企业内部原有的一些风险特征，这时相应的内部控制体系就需要重新评估和设计。尽管系统的使用会引入新的风险，但这并不意味我们要对这一信息化手段产生怀疑。只要合理有效控制和化解风险，实施ERP系统的企业就能够获得期望的收益和回报。（一）组织变革管理和培训风险组织变革管理和相应的培训在ERP系统的实施过程中常常被认为是主要风险区域。在ERP项目初期的预算制定和业务特征定义阶段，企业为了降低项目实施成本，这一方面往往被忽视。由于ERP的实施会给企业或组织带来相当程度的变革，而在变革管理和培训方面缺乏足够的投入是项目失败的主要原因之一。ERP项目的实施需要改变员工的工作方式和岗位职责，所以员工在参与ERP项目实施方面经常表现出迟疑和缺乏积极性。另外，员工需要接收大量的培训去熟悉改变了的业务流程，并且通过对系统的熟悉来获得使用的技能，而这些是整个企业或组织适应新流程和新系统的关键。这些系统用户对覆盖整个企业运作管理的ERP系统应用效果起到决定性作用。（二）项目规划和项目管理风险一个企业在ERP项目实施的阶段，挑战主要来自对人员、流程和技术等因素的正确、合理和详细的规划和项目管理。在德勤管理咨询公司于1998年发表的一篇报告中称，在ERP系统的实施过程中，百分之五十左右的问题和阻碍是和人的因素有关的。这些因素包括项目优先权、资源的分配，实施团队和项目组成结构，项目的所有控制权和沟通。许多企业往往对流程和技术因素重视有余而对人的因素缺乏重视，最终导致令人失望的实施结果。（三）项目成本超支风险造成ERP项目超支的原因在许多媒体上都有分析。原因包括企业变革管理的需要，培训的投入和软件功能无法满足要求而导致的额外开发费用等等。另外，软件系统的客户化和集成也占去整个实际实施费用的一部分。一般来说，在确保ERP标准系统能够满足业务主体需求的情况下，应该尽量避免客户化定制，追求系统完美的与业务需求匹配是不现实的。其它的一些地方也存在导致费用超支的风险，例如低估了程序接口的开发费用，数据转换，报表的开发和反复集成测试等而产生的额外实施费用。除此之外，由于企业特点不同，还会有许多没有考虑到的成本，这些往往隐藏在支撑ERP系统使用所需要的辅助项目中。（四）EPR对业务运作的风险对于熟悉过去那些基于单一业务功能系统的企业来说，基于流程并且具有高度集成性的ERP系统给他们提出了新的挑战。BPR在优化流程、提高流程效率的同时，不可避免的带来了潜在的影响因素。许多企业的管理层在考虑使用ERP系统时提出较多的问题就是岗位的变动。其实，这种疑虑是由于许多ERP系统实施商爱用业务流程重组（BPR）来描述ERP实施的第一阶段。事实上，在过去我所经历的项目中，算得上需要“伤筋动骨”的企业几乎没有。流程化的管理确实需要对岗位做出一定的调整，但我觉得这种调整更多的是关于原有岗位特征的重新描述或者说特征的调整，业务流程的优化造成不同程度组织结构和岗位特征的变动是很自然。对于习惯过去的组织结构和岗位要求的人来说，新的岗位角色可能会造成很多的不适应，其特点就是在ERP系统使用前期某些业务职能不能很好地得到实现。另外，经过优化改动的流程如果在系统中没有配置好同样也会导致出现不正确的处理结果或业务控制被削弱的现象。（五）软件功能风险不少准备上ERP系统的企业在对软件系统功能作详细了解后发现，软件并不能解决他们业务所涉及的所有问题。这种现象一方面是企业认为ERP能解决所有业务问题，这点本身是错误的，在这里不具体讨论。另外一方面，ERP软件供应商的过分宣传自己产品的特点也是一大原因。对于企业来说，应该把注意力放在软件功能是否满足企业的关键业务需求，当然这个前提是客户自己提出的业务需求必须是正确。软件功能的风险就在于企业用户没有正确认清功能的匹配程度以及需要匹配到多大的程度。三、加强内部控制防范ERP系统应用风险的具体策略（一）组织变革和培训风险的控制首先，对于项目决策者来说，确保整个组织都有共同的实施ERP系统的目标（愿景），它包括定义实施ERP后企业所获得新的能力和最终实现的收益。这个目标（愿景）是实施ERP流程优化变革的基础和业务驱动力。其次，在系统实施和上线阶段，应该把这个阶段看作是思想意识的“上线”。它要求项目决策者更加需要注重人的因素，它包括沟通、项目期望值的管理、教育和获得所有各级管理人员的支持。期间的变革管理和培训的实施必须涵盖各级层面上所有与ERP系统实施有关的人员，提供给他们相应的技能和知识从而使他们能够很好地参与到项目中去，并且更准确地理解在系统上线后如何去适应新的工作角色，最终实现项目的既定目标。另外，实施ERP系统的企业需要建立业务流程所有者机制，流程的所有者必须非常清楚该流程的任何不规范的行为将对其它流程所带来的影响。对于流程所有者来说，一个关键成功要素就是不同流程所有者对不同流程和系统模块间的相互依赖关系有个准确认识，同时流程所有者间能够做到有效沟通。（二）项目规划和项目管理的风险控制实施ERP的企业或组织需要有一种业务紧迫感来面对ERP项目，这样ERP项目才不会中途停顿或夭折。这种紧迫性需要在对业务特征和收益的描绘中强调，并且在用户充分参与制定的实施计划中体现。我们都知道，成功的项目都需要有详细的工作计划、里程碑和阶段推进计划作为指导。对于项目经理来说，同时还要具备一些相应的能力，它包括：1、能够很好地将IT人员和系统用户融合在决策过程中2、能够做出关键和棘手的决定，例如是否实施由ERP系统引起的流程变动很多企业在ERP上线后，就开始开香槟庆贺了。其实系统上线不是既定收益实现的时候，它只是获得ERP投资收益过程的开始。优化的成本结构、对客户的快速响应以及更有效率的业务流程是在系统使用过程中逐步实现并最终反映在我们的财务报表上的。事实上,系统上线的那一刻只是我们ERP之途的开始，我们的目的是实现投资回报而不是ERP系统上线本身。（三）项目成本超支风险控制控制项目超支风险最好的方式是通过明确定义项目的范围，并通过充分利用第三方的实施经验来细化项目支出。由于ERP项目涉及各业务部门，面比较广，项目复杂、周期长。这里可以建议企业尽可能把项目细分成适合控制的小项目，这样即可以使项目能够目标明确，更重要的是项目费用的控制难度可以降低。企业决策者们应该非常清楚地意识到化繁为简，这有助于制定相应的管理机制去面对不确定因素导致的额外费用。项目的超支应该及时充分利用这些机制去预测和证实，以便及早采取控制措施。（四）BPR对业务运作的风险控制通过完善的企业变革管理和相应的岗位培训，使系统的使用者对他们各自在整个业务流程中的每一项操作对其他流程、用户和整个系统的影响有个正确的认识和理解。对于岗位的变动，应该采用公开和透明的态度和原则让所有人了解，不要怕会产生阻力而遮遮掩掩，这反而会造成更多的猜疑和阻力。对于ERP系统的每个使用者来说，除了对与自己的操作有关的技能和知识有清楚的认识之外，还要有对系统有个整体的概念。另外，用户的培训和相应程序控制机制需要在系统上线前就明确定义。许多成功实施了ERP的企业都会遇到这样的情况，即ERP成功上线后遇到了业务绩效下滑的局面。对于任何实施ERP的企业来说，这种业务运行指标的下滑在各个企业中都回遇到，而且特征是不一样的。这主要是由于不同的人对业务操作和管理的变化需要有个适应过程。为了应对这些问题，企业应该在系统正式上线前做好所有准备，一方面抓好管理和系统使用技能培训，另一方面还需要有不同的预案和措施来应付在实时和在线环境中产生的数据错误。配置方案必须让用户完全理解并且根据业务需求的特点进行文档化管理以便于参考。（五）软件功能风险控制企业需要基于对本身业务需求的正确理解和定义来决定需要的软件功能，并进行评估来确定合适的软件。这里有个非常值得注意的问题，就是企业总是认为自己对业务需求的理解是正确的。事实上，企业在这方面过于乐观。许多企业提出的需求和要解决的问题往往是表面的而不是根本性的。降低消除这种由于业务需求理解不清楚导致软件定位不准确风险的关键是通过第三方专业的管理咨询公司来解决。管理咨询公司在确定业务需求时往往比较全面和客观。对于客户企业来说，第三方可以更全面的审视企业存在的各种问题，不会根据需要选择的软件功能来思考问题的根源或者陷入企业的原有思维。许多企业提出的需求其实是企业完全可以通过其他管理手段，例如流程优化去解决，而不需要都靠系统来满足。另外，伴随系统的实施，系统集成测试、系统用户的验收等都需要按规范流程进行，以确保系统运行达到所预期的结果。系统性能也是一个重要的测试内容，它能够为应用系统和相应的技术的平台稳定地处理在典型负荷下的业务交易提供保证。结束语：需要了解的是，即便根据ERP系统的要求，调整和优化了内部控制，减少了由于“流程自动化”带来的内部控制可能的削弱，仍然无法彻底消除系统本身的特点导致的控制盲区。这在复杂的系统接口和多用户访问情形下，问题是比较突出的。很少有企业用一个系统将企业所有的数据和流程都管理起来。所以，ERP系统和其他系统之间的接口是实现不同系统间数据互联互通的必需。这些位于不同系统之间的接口是一个重要的风险区域。由于不同系统的数据格式可能完全不同，为了实现数据的传递，就需要进行一系列的转换。这就要求针对不同的技术平台和特点开发不同的接口，这些接口会产生新的控制方面的问题和风险。另一方面，许多企业在实施了ERP系统后，陷入了用户访问方面的问题。比如，如果访问权限开放给不应该拥有访问权限的个人或团体，它将极大地提高数据遭到破坏的风险。缺乏对这类用户权限的有效控制，会降低那些敏感交易的安全性。所以，用户访问对敏感交易的访问需要通过有效的控制，例如责权分离的原则加以限制。作为企业管理信息化进程中重要的一项内容，ERP系统正逐步在企业中得到广泛应用。但是，当我们关注其为企业带来巨大的管理提升和经济效益的同时，也必须充分认识到由于ERP系统自身的特点所带来的风险。针对这些风险，研究和制定ERP环境下企业的内部控制策略，是ERP应用中不容忽视的新课题。