在執行整合的、三道防線式保證機製對大多數企業而言是一項挑戰。因為不是由一個部門或一個人掌控所有的事情，如同前述對三道防線的闡述，由多個部門為風險和治理提供了保證，但他們的活動沒有相互聯係，而各部門間也往往缺乏有效溝通，由此則可能導致對某項關鍵風險應對措施的冗餘或缺失。因此由內審部門協助高級管理層牽頭負責，組織協調，將各部門有機結合起來，是最佳實踐的經驗總結。

當然，每個企業都應從自己的實際情況出發，認真審視企業自身的現狀並評估上述的風險評價過程的頻度，上述的風險與控製信息圖以及其工作過程也應是一個不斷根據企業實際變化更新的過程。

全麵保證框架在ERP項目投資和係統實施的應用

近年來，很多企業投入大量資源——人力、物力、財力實施ERP係統。一方麵，ERP的實施可以很好的將企業各項資源、數據與業務流程進行整合，將企業資源進行有效規劃，最大化企業收益；但另一方麵，ERP項目實施過程中往往由於缺乏有效的管理措施和客觀的監督檢查，無法實現企業預期目標，如實施項目超期、投入資源超過預算、係統功能無法滿足業務需求、存在員工對於ERP應用表示無法接受、ERP未能實現預期效益等問題。

某知名企業CEO就曾撰文寫到“有媒體報道，實施ERP的中國企業成功率隻有7％。企業是水，把ERP當成油放在上麵，兩者永遠融合不了，其原因是企業沒有做流程再造。更重要的是，企業做好內部流程才能適應信息化時代的變化”。

因此在IT領域方麵，企業怎樣獲得客觀的內控製度全麵保證以確保企業在ERP項目投資和係統實施的利益最大化是值得關注的。所以在形成風險與控製信息圖後，企業管理層應識別出現狀的差距，並根據三道防線確定其企業所需獲得的內部及外部風險保障程度。根據筆者的經驗，在ERP項目實施的全過程中，如用戶需求分析、係統開發、數據遷移、安全配置、上線測試等各階段均存在關鍵風險，一旦缺乏必要管控措施，就可能造成企業的損失。

根據許多國際先進企業成功實施ERI，的經驗，我們發現ERP的上線實施過程實際上是對原有的業務流程的一次變革。不幸的是，從上麵的報道結果可以看出，隻有很少一部分企業從ERP的實施使用過程中受益。ERP係統的投資通常都不是一個小數目，但不少公司在投資了許多資金上線ERP係統後仍保留了大量的原有的手工流程，甚至仍在使用在ERP之外的財務係統。此外在ERP的開發實施過程中缺乏必要的監控管理，也將最終對於ERP的數據轉換、流程一致性等與預期造成一定的差距。更遺憾的是，企業未能有效地把ERP的投資利益最大化。

內部審計可以協助管理層就ERP項目投資和係統實施提供全麵保證，首先需要將項目實施各環節及關鍵風險、風險負責部門清晰列示。例如ERP項目由IT部門和業務部門負責，項目團隊需要製定詳盡的實施計劃，就各階段關鍵裏程碑、風險因素進行分析，並製定保障計劃。在係統開發過程中，需執行測試並保留相關文檔。可以說，IT實施團隊有責任建立防範風險的第一道防線。在一些比較大規模的企業，風險部門往往作為第二道防線，即在係統實施全過程進行監督，對重要節點，如係統藍圖批準、重要的係統控製功能變化、係統上線計劃等，均需要風險管理部門的正式批準。這種實踐模式的優勢在於，對項目監督檢查的前置性，以及對ERP係統的控製要求能夠被較好地考慮並配置，確保未來係統上線後對風險的有效管控。內部審計通常作為第三道防線，通常需要引入獨立客觀的第三方進行協助來定期執行檢查，就項目階段目標、預算執行情況、項目管理和實施後的砰價等方麵進行監督評價，並向高級管理層和治理機構彙報。

內審人員可以利用內控治理框架的工具分析和識別關鍵風險，以及該風險管控措施的適當性，定期形成彙總報告向管理層彙報，以達到為企業內控製度提供全麵保證的目的。管理層則可以在內審的協助下，有效監督管理相關風險，製定管理決策。

筆者希望內控治理框架能夠幫助內部審計在企業風險管理及內部控製領域發揮更大作用。無論是作為業務谘詢角色協助管理層完善管控及治理流程，還是滿足監管機構對風險和內控的要求作為監督角色開展獨立測試評估，並向管理層、董事會／審計委員會報告，內審將對戰略、運營風險等關鍵風險持續關注，拓展服務範圍，在為企業提供增值服務的同時不斷增加自身價值，提升績效。

（作者為普華永道風險管理與內部控製服務合夥人）