找對企業(yè)具有最大風(fēng)險的業(yè)務(wù)流程�,從而進一步確定有哪些ERP模塊在支持這些業(yè)務(wù)流程���。 一般來說,我們通過對業(yè)務(wù)流程所有者的訪談�,來確定我們的評估范圍����。
在對實施了ERP系統(tǒng)的企業(yè)的調(diào)研和風(fēng)險評估中,我們發(fā)現(xiàn)��,ERP系統(tǒng)中涉及到企業(yè)收入業(yè)務(wù)��、支出業(yè)務(wù)和庫存業(yè)務(wù)的系統(tǒng)控制流程對企業(yè)的業(yè)務(wù)能否順利運轉(zhuǎn)影響比較大。對于這種影響����,是這樣定義的:由于業(yè)務(wù)控制的削弱�����,導(dǎo)致企業(yè)出現(xiàn)經(jīng)濟問題和違規(guī)問題的可能性增加��。
例如�����,企業(yè)管理層非常關(guān)注財務(wù)控制的內(nèi)部和外部流程�����,因為那些這些流程決定了財務(wù)數(shù)據(jù)的準確性�,是反映企業(yè)運作是否健康的“脈搏”。因此�����,我們通常會更關(guān)注收入業(yè)務(wù)����,它包括主數(shù)據(jù)維護��、銷售訂單處理���、發(fā)運、開票��、退貨和收款等控制內(nèi)容����。
評估控制方案
在確定評估范圍之后,我們需要對這些流程進行描述和分析�。對ERP流程中的每個動作,我們都需要追溯到它的結(jié)果��,描述風(fēng)險特征并確認相應(yīng)的控制點���。
在ERP環(huán)境中�����,通常有兩種控制方式我們需要考慮:一種是基于系統(tǒng)的控制���,另一種是基于流程的控制。在ERP系統(tǒng)支撐的業(yè)務(wù)流程中,上述兩種方式通常需要結(jié)合使用����。
手工控制主要依靠個人職責(zé)的履行來完成。比如��,通常付款是需要通過填表��、簽字確認才可支付的��?�;贓RP系統(tǒng)的控制��,是由軟件來完成的�����,通過控制數(shù)據(jù)的有效性和合理性來限制和核查動作的合法性�����。ERP系統(tǒng)的參數(shù)設(shè)置將決定這個領(lǐng)域的控制級別���。
這些控制包括用戶訪問、字段驗證、工作流和許多其他用于確保數(shù)據(jù)處理一致性的控制���。例如�,系統(tǒng)會自動拒絕生成一張與前一次序號相同的發(fā)票��。這樣就自動降低了差錯發(fā)生的可能性和應(yīng)付帳款處理的混亂���。
值得注意的是�����,在ERP系統(tǒng)實施過程中����,某些二次開發(fā)工作會削弱在系統(tǒng)中已經(jīng)設(shè)置好的控制�,從而產(chǎn)生新的風(fēng)險因子。這個時候����,我們必須要用手工控制來彌補。
完善控制�����,杜絕盲區(qū)
需要了解的是,即便根據(jù)ERP系統(tǒng)的要求����,調(diào)整和優(yōu)化了內(nèi)部控制,減少了由于“流程自動化”帶來的內(nèi)部控制可能的削弱���,仍然無法徹底消除系統(tǒng)本身的特點導(dǎo)致的控制盲區(qū)��。這在復(fù)雜的系統(tǒng)接口和多用戶訪問情形下����,問題是比較突出的����。
很少有企業(yè)用一個系統(tǒng)將企業(yè)所有的數(shù)據(jù)和流程都管理起來��。所以�,ERP系統(tǒng)和其他系統(tǒng)之間的接口是實現(xiàn)不同系統(tǒng)間數(shù)據(jù)互聯(lián)互通的必需。這些位于不同系統(tǒng)之間的接口是一個重要的風(fēng)險區(qū)域����。
由于不同系統(tǒng)的數(shù)據(jù)格式可能完全不同,為了實現(xiàn)數(shù)據(jù)的傳遞���,就需要進行一系列的轉(zhuǎn)換��。這就要求針對不同的技術(shù)平臺和特點開發(fā)不同的接口�����,這些接口會產(chǎn)生新的控制方面的問題和風(fēng)險�����。另一方面�����,許多企業(yè)在實施了ERP系統(tǒng)后��,陷入了用戶訪問方面的問題�。比如,如果訪問權(quán)限開放給不應(yīng)該擁有訪問權(quán)限的個人或團體���,它將極大地提高數(shù)據(jù)遭到破壞的風(fēng)險�。缺乏對這類用戶權(quán)限的有效控制����,會降低那些敏感交易的安全性�����。所以�����,用戶訪問對敏感交易的訪問需要通過有效的控制���,例如責(zé)權(quán)分離的原則加以限制。
作為企業(yè)管理信息化進程中重要的一項內(nèi)容���,ERP系統(tǒng)正逐步在企業(yè)中得到廣泛應(yīng)用�����。但是,當我們關(guān)注其為企業(yè)帶來巨大的管理提升和經(jīng)濟效益的同時�,也必須充分認識到由于ERP系統(tǒng)自身的特點所帶來的風(fēng)險。針對這些風(fēng)險�����,研究和制定ERP環(huán)境下企業(yè)的內(nèi)部控制策略����,是ERP應(yīng)用中不容忽視的新課題�����。
項目經(jīng)理勝任力免費測評PMQ上線啦�����!快來測測你排多少名吧~
http://m.opto-elec.com.cn/pmqhd/index.html
