ERP系统风险防控

摘要：现如今，防范和规避ERP系统风险成为企业关注的焦点。本文通过对ERP 系统的主要风险进行分析研究，提出风险应对策略，为企业有效控制和规避ERP风险提供了参考。

关键词：ERP系统；风险管理；内部控制

中图分类号：F406 文献标识码：A 文章编号：1001-828X（2014）08-000-01

一、ERP管理信息系统及其技术特点

ERP是企业资源规划的简称，其实质是对企业的资源进行计划、控制和管理的一种手段。ERP系统是指建立在信息技术基础上，以系统化的管理思想为企业决策层及员工提供决策运行手段的管理平台。

ERP系统的技术特点如下：

⑴支持大中型企业跨地区的体系式管理模式，具有强大的统计分析和辅助决策功能。

⑵借助网络通信、Internet及分布数据库技术，采用集中与分布相结合形式，实现管理经营信息的动态共享。

⑶应用最新Web 数据库技术，浏览器/服务器技术与客户机/服务器相结合，支持电子商务应用模式，并为用户提供友好的操作界面。

⑷有严格的用户权限管理，信息的安全性和可靠性高。

二、ERP系统的风险识别

结合ERP系统实践开发和应用经验，可将系统风险评估分成四类，即商业风险、控制风险、系统风险和安全风险。

1.商业风险

商业风险是指与企业经营业务本质有关系的、可能会阻碍企业达到目标的风险。商业风险表现在三方面：

⑴项目开发和实施。对项目定义不充分是ERP失败的主要原因。在一个集成的ERP系统中， 对项目的定义不充分是会影响整个企业的。很多企业没有考虑商业目标、实施战略等因素就盲目采纳技术，注定只会失败。

⑵企业文化和再造。许多企业在实施ERP系统之前没能认识到培植企业文化的重要性。ERP软件包括预制的商业流程，一定程度的业务流程再造是建立有效系统的前提，高级管理层的支持是企业流程再造的关键。

⑶人的因素。员工培训和使用者参与被认为是ERP系统成功的最重要因素。因此，用户参与不足、培训不充分是ERP系统的重要风险之一。而另一个经常被忽略的因素是员工承受巨大压力而导致的风险。

2.控制风险

控制风险是指ERP系统不能执行所设计的功能的风险。控制风险包括以下两方面：

⑴职责分离不足。职责分离是内部控制系统的重要组成部分。尽管职责的正确分离可能会非常困难，但缺乏正确的职责分离会导致潜在的错误或欺诈，从而产生不可预计的后果。

⑵经营无效。内控系统的目标之一就是为了提高运营效率。很多用户不熟悉任务分配的职责，把时间浪费在无价值的作业中而影响运营效率，并最终导致结果无效。

3.系统风险

系统风险是指已实施的系统并没有按设计发挥功能。企业依赖于ERP顾问选择了错误的ERP系统，从而导致系统失败。

⑴ERP系统的错误选择。ERP供应商为市场的特定群体开发了具有特性的产品。因此计划购置ERP系统的企业需要明确特定的系统是否适合其本身的商业文化和业务流程。

⑵咨询服务。由于缺乏行内经验，大部分ERP实施都要聘用咨询公司。咨询公司服务质量参差不齐，选择一个具备专业技能的咨询公司对企业至关重要。

4.安全风险

安全风险是指未经授权进入设备、软件或者数据库的风险。安全控制分为两大类：物理控制和逻辑控制。大多数企业的物理控制措施较为成熟，因此，我们集中讨论逻辑控制风险。

用户界面也会影响安全风险。不同的ERP系统有不同的界面设计和不同的安全控制。企业业务往往需要和与系统过程和控制相关的第三方伙伴相结合，这就对企业的安全控制产生了潜在威胁。

三、ERP系统的风险防范

1.商业风险防范

ERP软件的技术设计和配置应当实现企业的战略目标。管理层应当明确ERP系统对企业目标的贡献和经营业绩的影响。同时也不能忽视人的因素，所有员工都应当理解新业务流程模式、必需的作业、控制机制和业绩评价。管理层也应当考虑重新设计工作流程，尤其对那些压力大的功能性领域。另外以前的监控系统应当得以贯彻执行， 这样任何早期预警信号都可能迅速且有效地被处理。

2.控制风险防范

为了弥补ERP环境下特有的职责分离不足，在项目实施前，内部审计部门和依靠数据才能运营的部门应当设置合理的授权作业。对那些被授权的用户，经理应当进行持续的监管以确保达到内控的目标。内部审计人员为了获得对功能的理解和保证数据的机密性， 应当确定潜在的控制风险和开展减轻风险的有效性测试。任何风险和错误都应当报告给高级管理层和系统管理员。为了降低或者消除损失，高级管理层和系统管理员应当采取必要的改正措施。

3.系统风险防范

ERP系统均有各自的特性，期望一套系统解决所有问题不太现实。当选择ERP系统时，管理层应从最宽泛的角度来进行评估，然后集中关注满足业务流程的特定应用。选择咨询公司时， 高级管理层和IT人员应主动去会见咨询师，以确定他们的技术资格。同时为了防止成本超标，管理层应当明确定义项目目标，并在此基础上商谈服务内容。为了减少或者消除在实施阶段对咨询公司的依赖，企业应当对IT人员进行广泛的培训。

4.安全风险防范

为了提高运营效率， 管理层经常会以牺牲安全控制为代价。安全控制不足不仅对运营效率，还会对运营成本产生负面影响，企业应当在系统想要达到的效率水平和必要的安全控制方面加以权衡。另外，在将ERP系统与其他的外部实体的系统整合之前，管理层应当评估与其业务相关的交易方的安全系统， 以确保未经授权的进入或交易输入企业系统。

四、总结

ERP 系统是企业的神经网络，对内部控制起着非常关键的作用，因此企业负责人应该整合企业资源，加大投入，制定科学规划，使信息系统建设有条不紊地进行，从而优化业务流程，降低企业风险，全面提高企业的经营管理水平。此外，高层管理者应认识到潜在的风险和相关的防范措施，并最终确保ERP系统的成功实施。

参考文献：

[1]姜年晓.中小企业实施ERP风险管理研究[J].中国海洋大学，2008.

[2]刘建军.浅析ERP与企业内部控制风险防范[J].中原油田分公司财务资产部，2009.