確定評估范圍
一般來說，ERP系統將覆蓋營銷、計劃、生產、采購、倉儲、財務、人力資源等企業運營管理的各個層面。根據經驗，如果對每個流程和控制點都進行評估在資源的利用上是非常不經濟的。 
ERP系統的控制評估必須基于風險管理的原則，通過風險評估尋找對主要業務運作中影響最大的領域。換句話說，我們可以從企業整個業務風險域中尋找對企業具有最大風險的業務流程，從而進一步確定有哪些ERP模塊在支持這些業務流程。 
一般來說，我們通過對業務流程所有者的訪談，來確定我們的評估范圍。 
在對實施了ERP系統的企業的調研和風險評估中，我們發現，ERP系統中涉及到企業收入業務、支出業務和庫存業務的系統控制流程對企業的業務能否順利運轉影響比較大。對于這種影響，是這樣定義的：由于業務控制的削弱，導致企業出現經濟問題和違規問題的可能性增加。 
例如，企業管理層非常關注財務控制的內部和外部流程，因為那些這些流程決定了財務數據的準確性，是反映企業運作是否健康的“脈搏”。因此，我們通常會更關注收入業務，它包括主數據維護、銷售訂單處理、發運、開票、退貨和收款等控制內容。 
評估控制方案
在確定評估范圍之后，我們需要對這些流程進行描述和分析。對ERP流程中的每個動作，我們都需要追溯到它的結果，描述風險特征并確認相應的控制點。 
在ERP環境中，通常有兩種控制方式我們需要考慮：一種是基于系統的控制，另一種是基于流程的控制。在ERP系統支撐的業務流程中，上述兩種方式通常需要結合使用。 
手工控制主要依靠個人職責的履行來完成。比如，通常付款是需要通過填表、簽字確認才可支付的。基于ERP系統的控制，是由軟件來完成的，通過控制數據的有效性和合理性來限制和核查動作的合法性。ERP系統的參數設置將決定這個領域的控制級別。 
這些控制包括用戶訪問、字段驗證、工作流和許多其他用于確保數據處理一致性的控制。例如，系統會自動拒絕生成一張與前一次序號相同的發票。這樣就自動降低了差錯發生的可能性和應付帳款處理的混亂。 
值得注意的是，在ERP系統實施過程中，某些二次開發工作會削弱在系統中已經設置好的控制，從而產生新的風險因子。這個時候，我們必須要用手工控制來彌補。 
完善控制，杜絕盲區
需要了解的是，即便根據ERP系統的要求，調整和優化了內部控制，減少了由于“流程自動化”帶來的內部控制可能的削弱，仍然無法徹底消除系統本身的特點導致的控制盲區。這在復雜的系統接口和多用戶訪問情形下，問題是比較突出的。 
很少有企業用一個系統將企業所有的數據和流程都管理起來。所以，ERP系統和其他系統之間的接口是實現不同系統間數據互聯互通的必需。這些位于不同系統之間的接口是一個重要的風險區域。 
由于不同系統的數據格式可能完全不同，為了實現數據的傳遞，就需要進行一系列的轉換。這就要求針對不同的技術平臺和特點開發不同的接口，這些接口會產生新的控制方面的問題和風險。另一方面，許多企業在實施了ERP系統后，陷入了用戶訪問方面的問題。比如，如果訪問權限開放給不應該擁有訪問權限的個人或團體，它將極大地提高數據遭到破壞的風險。缺乏對這類用戶權限的有效控制，會降低那些敏感交易的安全性。所以，用戶訪問對敏感交易的訪問需要通過有效的控制，例如責權分離的原則加以限制。 
作為企業管理信息化進程中重要的一項內容，ERP系統正逐步在企業中得到廣泛應用。但是，當我們關注其為企業帶來巨大的管理提升和經濟效益的同時，也必須充分認識到由于ERP系統自身的特點所帶來的風險。針對這些風險，研究和制定ERP環境下企業的內部控制策略，是ERP應用中不容忽視的新課題。