確定評(píng)估范圍
一般來說，ERP系統(tǒng)將覆蓋營銷、計(jì)劃、生產(chǎn)、采購、倉儲(chǔ)、財(cái)務(wù)、人力資源等企業(yè)運(yùn)營管理的各個(gè)層面。根據(jù)經(jīng)驗(yàn)，如果對(duì)每個(gè)流程和控制點(diǎn)都進(jìn)行評(píng)估在資源的利用上是非常不經(jīng)濟(jì)的。 
ERP系統(tǒng)的控制評(píng)估必須基于風(fēng)險(xiǎn)管理的原則，通過風(fēng)險(xiǎn)評(píng)估尋找對(duì)主要業(yè)務(wù)運(yùn)作中影響最大的領(lǐng)域。換句話說，我們可以從企業(yè)整個(gè)業(yè)務(wù)風(fēng)險(xiǎn)域中尋找對(duì)企業(yè)具有最大風(fēng)險(xiǎn)的業(yè)務(wù)流程，從而進(jìn)一步確定有哪些ERP模塊在支持這些業(yè)務(wù)流程。 
一般來說，我們通過對(duì)業(yè)務(wù)流程所有者的訪談，來確定我們的評(píng)估范圍。 
在對(duì)實(shí)施了ERP系統(tǒng)的企業(yè)的調(diào)研和風(fēng)險(xiǎn)評(píng)估中，我們發(fā)現(xiàn)，ERP系統(tǒng)中涉及到企業(yè)收入業(yè)務(wù)、支出業(yè)務(wù)和庫存業(yè)務(wù)的系統(tǒng)控制流程對(duì)企業(yè)的業(yè)務(wù)能否順利運(yùn)轉(zhuǎn)影響比較大。對(duì)于這種影響，是這樣定義的：由于業(yè)務(wù)控制的削弱，導(dǎo)致企業(yè)出現(xiàn)經(jīng)濟(jì)問題和違規(guī)問題的可能性增加。 
例如，企業(yè)管理層非常關(guān)注財(cái)務(wù)控制的內(nèi)部和外部流程，因?yàn)槟切┻@些流程決定了財(cái)務(wù)數(shù)據(jù)的準(zhǔn)確性，是反映企業(yè)運(yùn)作是否健康的“脈搏”。因此，我們通常會(huì)更關(guān)注收入業(yè)務(wù)，它包括主數(shù)據(jù)維護(hù)、銷售訂單處理、發(fā)運(yùn)、開票、退貨和收款等控制內(nèi)容。 
評(píng)估控制方案
在確定評(píng)估范圍之后，我們需要對(duì)這些流程進(jìn)行描述和分析。對(duì)ERP流程中的每個(gè)動(dòng)作，我們都需要追溯到它的結(jié)果，描述風(fēng)險(xiǎn)特征并確認(rèn)相應(yīng)的控制點(diǎn)。 
在ERP環(huán)境中，通常有兩種控制方式我們需要考慮：一種是基于系統(tǒng)的控制，另一種是基于流程的控制。在ERP系統(tǒng)支撐的業(yè)務(wù)流程中，上述兩種方式通常需要結(jié)合使用。 
手工控制主要依靠個(gè)人職責(zé)的履行來完成。比如，通常付款是需要通過填表、簽字確認(rèn)才可支付的。基于ERP系統(tǒng)的控制，是由軟件來完成的，通過控制數(shù)據(jù)的有效性和合理性來限制和核查動(dòng)作的合法性。ERP系統(tǒng)的參數(shù)設(shè)置將決定這個(gè)領(lǐng)域的控制級(jí)別。 
這些控制包括用戶訪問、字段驗(yàn)證、工作流和許多其他用于確保數(shù)據(jù)處理一致性的控制。例如，系統(tǒng)會(huì)自動(dòng)拒絕生成一張與前一次序號(hào)相同的發(fā)票。這樣就自動(dòng)降低了差錯(cuò)發(fā)生的可能性和應(yīng)付帳款處理的混亂。 
值得注意的是，在ERP系統(tǒng)實(shí)施過程中，某些二次開發(fā)工作會(huì)削弱在系統(tǒng)中已經(jīng)設(shè)置好的控制，從而產(chǎn)生新的風(fēng)險(xiǎn)因子。這個(gè)時(shí)候，我們必須要用手工控制來彌補(bǔ)。 
完善控制，杜絕盲區(qū)
需要了解的是，即便根據(jù)ERP系統(tǒng)的要求，調(diào)整和優(yōu)化了內(nèi)部控制，減少了由于“流程自動(dòng)化”帶來的內(nèi)部控制可能的削弱，仍然無法徹底消除系統(tǒng)本身的特點(diǎn)導(dǎo)致的控制盲區(qū)。這在復(fù)雜的系統(tǒng)接口和多用戶訪問情形下，問題是比較突出的。 
很少有企業(yè)用一個(gè)系統(tǒng)將企業(yè)所有的數(shù)據(jù)和流程都管理起來。所以，ERP系統(tǒng)和其他系統(tǒng)之間的接口是實(shí)現(xiàn)不同系統(tǒng)間數(shù)據(jù)互聯(lián)互通的必需。這些位于不同系統(tǒng)之間的接口是一個(gè)重要的風(fēng)險(xiǎn)區(qū)域。 
由于不同系統(tǒng)的數(shù)據(jù)格式可能完全不同，為了實(shí)現(xiàn)數(shù)據(jù)的傳遞，就需要進(jìn)行一系列的轉(zhuǎn)換。這就要求針對(duì)不同的技術(shù)平臺(tái)和特點(diǎn)開發(fā)不同的接口，這些接口會(huì)產(chǎn)生新的控制方面的問題和風(fēng)險(xiǎn)。另一方面，許多企業(yè)在實(shí)施了ERP系統(tǒng)后，陷入了用戶訪問方面的問題。比如，如果訪問權(quán)限開放給不應(yīng)該擁有訪問權(quán)限的個(gè)人或團(tuán)體，它將極大地提高數(shù)據(jù)遭到破壞的風(fēng)險(xiǎn)。缺乏對(duì)這類用戶權(quán)限的有效控制，會(huì)降低那些敏感交易的安全性。所以，用戶訪問對(duì)敏感交易的訪問需要通過有效的控制，例如責(zé)權(quán)分離的原則加以限制。 
作為企業(yè)管理信息化進(jìn)程中重要的一項(xiàng)內(nèi)容，ERP系統(tǒng)正逐步在企業(yè)中得到廣泛應(yīng)用。但是，當(dāng)我們關(guān)注其為企業(yè)帶來巨大的管理提升和經(jīng)濟(jì)效益的同時(shí)，也必須充分認(rèn)識(shí)到由于ERP系統(tǒng)自身的特點(diǎn)所帶來的風(fēng)險(xiǎn)。針對(duì)這些風(fēng)險(xiǎn)，研究和制定ERP環(huán)境下企業(yè)的內(nèi)部控制策略，是ERP應(yīng)用中不容忽視的新課題。