【摘要】AI 进入 ERP 后企业面对的不再只是模型准确率问题而是数据安全、权限越权、模型幻觉、错误执行、合规审计和组织责任的系统性治理问题。ERP 是企业核心系统AI 一旦能查询数据、生成建议、创建单据、发起审批甚至调用 API 执行动作就必须被当作有身份、有权限、有边界、有责任链的系统参与者。真正成熟的 AIERP不是 AI 能做多少事而是 AI 做事时是否可控、可审计、可解释、可回退。引言ERP 是企业经营的核心底座。订单、库存、采购、生产、财务、客户、供应商、付款、凭证和审批都沉淀在 ERP 或其周边系统中。AI 进入 ERP 后问题不再只是“能不能回答问题”而是“能不能在核心业务系统里安全工作”。当 AI 只是回答制度问题时错误最多影响理解。当 AI 能查询库存、分析订单风险、生成采购申请草稿、发起审批甚至回写 ERP 时错误就可能改变业务事实。这类风险不能靠模型能力本身解决必须靠治理体系约束。这篇文章面向 CIO、ERP 负责人、企业架构师、数据负责人、审计负责人和业务管理者重点讨论 AIERP 的五类核心风险、人机协同边界、AI 操作分级授权、六维治理体系、组织角色变化和使用规范。核心判断很简单。AI 进入 ERP技术能力决定能不能做治理能力决定能不能上线。一、 ERP 是核心系统AI 进入后风险等级会变化1.1 ERP 管的是企业业务事实1.1.1 ERP 不是普通业务工具ERP 与普通办公软件不同。它记录的是企业业务事实。一个销售订单代表客户承诺一个采购订单代表供应计划一次库存调整会影响账实一致一张凭证会影响财务报表一次付款审批会影响资金安全。AI 接入普通知识库主要风险是回答不准。AI 接入 ERP 后风险会变成业务风险、财务风险和合规风险。因为 ERP 中的很多动作不是“信息展示”而是会改变状态和责任。例如AI 如果错误解释某个制度影响有限。AI 如果错误生成采购申请可能造成重复采购。AI 如果错误判断库存可用可能导致生产排产失败。AI 如果错误触发付款流程风险会直接进入资金链条。ERP 是核心系统AI 一旦能查询、判断、生成单据和发起流程就必须被当作有身份、有权限、有边界的系统参与者。1.2 AI 会放大 ERP 原有风险1.2.1 原有系统问题不会因为 AI 消失很多企业在 ERP 中本来就存在数据质量问题、权限粗放问题、流程线下补录问题、接口文档缺失问题和主数据口径不一致问题。AI 接入后这些问题不会自动消失反而可能被放大。传统 ERP 中错误数据通常影响报表和人工判断。AIERP 中错误数据可能影响预测、建议和执行动作。传统 ERP 中权限设置不细可能只是个别用户多看一些数据。AI Agent 接入后可能一次性汇总多个模块、多个角色、多个敏感字段形成更大的泄露风险。简道云等企业应用平台在 ERP 风险分析中也把权限与数据泄露、流程与主数据失控、系统可用性、第三方与合规风险作为重点风险类型。这个分类对 AIERP 很有参考价值。AI 不是把 ERP 风险清零的工具它更像风险放大器前提是企业没有先把边界建好。1.3 从聊天助手到流程执行风险逐级上升1.3.1 风险等级取决于 AI 是否改变业务事实AI 在 ERP 中的能力可以从只读问答逐步走向执行。不同能力阶段的风险完全不同。只读查询主要影响信息获取。风险分析主要影响业务判断。单据草稿开始影响流程准备。发起审批则进入业务链路。自动执行低风险任务时AI 已经成为系统动作参与者。AI 能力阶段典型动作是否改变业务事实风险等级只读查询查询库存、订单、报表否低分析建议解释异常、生成风险建议否但影响判断中低草稿生成采购申请草稿、凭证草稿尚未正式生效中发起流程发起审批、调拨申请进入业务流程中高自动执行自动提醒、低风险状态更新可能改变状态高从治理角度看企业不能把这些能力放在同一个审批标准下。AIERP 的最大风险不是 AI 回答错一句话而是错误建议进入流程、错误动作写入系统。二、 AIERP 的五大核心风险2.1 数据安全风险2.1.1 ERP 数据高度敏感ERP 中的数据包括客户价格、供应商报价、采购合同、库存成本、财务凭证、薪酬相关信息、付款账户、利润数据和经营预算。这些数据一旦进入不受控的 AI 链路就可能造成商业机密泄露和合规风险。AIERP 的数据安全风险主要有四类。第一是敏感数据被越权查询。第二是敏感数据进入外部模型或不受控日志。第三是训练数据被污染或混入错误业务记录。第四是员工绕过企业平台使用外部工具也就是常说的影子 AI 风险。ERP 数据安全治理需要从数据分级、脱敏、加密、访问控制、备份和安全监测入手。简道云等资料在 ERP 数据安全治理中也强调权限控制、数据加密、备份策略、持续安全监测和应急响应。AI 接入 ERP 后这些能力不是可选项。风险点典型表现治理措施敏感数据泄露成本、合同、客户价格被不当展示数据分级、字段脱敏外部模型风险财务明细进入外部模型调用链私有化部署、脱敏转发训练数据污染错误历史数据影响模型判断数据质量规则、训练集审核影子 AI员工自行上传 ERP 数据到外部工具使用规范、网关审计、教育培训日志泄露Prompt、返回结果中包含敏感字段日志脱敏、访问控制AI 能看什么必须在系统设计时说清楚不能等上线后再靠员工自觉。2.2 权限越权风险2.2.1 Agent 不能成为超级用户ERP 的权限通常按角色、组织、部门、业务对象和字段控制。销售只能看自己的客户采购只能看相关供应商财务能看应收应付管理层能看汇总指标。AI Agent 进入 ERP 后如果直接使用高权限账号就会绕过原有权限体系。权限越权风险在 Agent 场景中更突出。Agent 可能替用户跨模块查询也可能把多个数据源合并成一份分析报告。即使单个数据源查询没有越权合并后的结果也可能暴露敏感信息。治理原则很明确。用户能看什么AI 才能帮他看什么用户能做什么AI 才能代他发起什么。这个原则应体现在身份认证、权限继承、字段脱敏、工具调用和审计日志中。2.2.2 RBAC 和 ABAC 需要结合使用RBAC 是基于角色的访问控制适合管理职位、部门和岗位权限。ABAC 是基于属性的访问控制可以根据用户属性、数据属性、环境属性和操作属性动态判断权限。AIERP 中两者需要结合。例如同样是销售经理不同区域只能看不同客户。财务可以看应收账款但未必能看薪酬数据。管理层可以看利润汇总但不一定能看单个客户合同细节。AI 查询时也要遵守这些限制。权限机制适用场景AIERP 中的作用RBAC按岗位和角色授权控制基础菜单和模块访问ABAC按数据属性、组织、场景判断控制字段级、对象级和场景级权限最小授权只授予任务所需权限降低越权风险数字身份标记 AI 操作主体支持责任追溯分级授权按风险等级放权控制执行动作边界AI 操作还应具备数字身份。系统需要知道某次查询是用户直接操作还是 AI 代用户查询。某张单据是人创建还是 AI 生成草稿。某个审批是人发起还是 AI 在人工确认后发起。没有数字身份就无法明确责任链。2.3 模型幻觉风险2.3.1 ERP 是强事实场景不能靠模型猜大模型存在幻觉问题这是企业应用必须正视的事实。幻觉在普通文本生成场景中可能只是内容错误在 ERP 场景中则可能导致业务判断错误。AI 如果编造库存、误解销售额口径、把开票金额当回款金额、把草稿单据当正式单据就可能误导决策。ERP 是强事实系统。订单状态、库存数量、应收账龄、付款节点、凭证金额都必须来自可信数据源。AI 可以理解问题、组织表达、解释结果但不能凭模型生成事实数字。治理措施包括 RAG、SQL 或 API 查询、指标口径库、规则引擎、来源引用和人工复核。RAG 适合制度、流程和知识类问题。ERP API 或受控 SQL 适合事实查询。混合问题需要同时查询知识库和 ERP 数据。问题类型示例推荐处理方式知识问题报销标准是什么RAG 检索知识库事实问题本月销售额是多少ERP API 或 SQL 查询混合问题这笔费用是否合规RAG ERP 查询执行问题生成采购申请草稿Agent API 人工确认ERP 场景是强事实场景AI 的回答必须能回到数据源、指标口径和业务规则。2.4 错误决策与执行风险2.4.1 从建议到执行是风险分水岭AI 给建议和 AI 执行动作是两个风险等级。AI 判断某个客户逾期风险较高影响的是业务判断。AI 自动停止发货改变的是业务事实。AI 提示某个物料可能缺货属于预警。AI 自动生成并提交采购订单属于执行动作。错误执行的后果更重。重复创建采购申请、错误修改库存状态、错误发起付款流程、错误调整客户信用额度都可能影响企业经营。治理上必须把“能回答”和“能执行”严格区分开。常见问题是企业认为只要模型准确率足够高就可以让 AI 自动执行。这个判断不稳妥。ERP 执行动作涉及审批、责任、合规和回退。模型准确率只是一个条件不能替代流程控制和人工确认。2.5 合规与审计风险2.5.1 AI 进入 ERP 后审计对象发生变化传统 ERP 审计关注用户操作、单据流程、权限变更、系统日志和财务结果。AI 进入后审计对象增加了模型输入、模型输出、检索来源、工具调用、Agent 任务步骤、人工确认记录和回退动作。贵州省审计厅关于 AI 嵌入内部审计风险预警的研究提到AI 可以形成“数据驱动决策、算法预判风险、系统闭环管控”的审计生态。这个方向对 AIERP 很有启发。AI 不仅可以帮助审计发现风险AI 自身也必须被纳入审计范围。山东省审计厅相关研究也强调采用人工智能技术构建风险管控体系时还需要完善制度建设和人才培养。这个判断同样适用于企业 AIERP。AI 治理不是模型部门的事而是制度、流程、技术和组织共同建设。审计对象需要记录的内容用户请求用户身份、时间、问题、业务场景数据查询查询接口、数据范围、权限结果知识检索文档来源、版本、引用段落模型调用模型版本、输入摘要、输出摘要工具调用API 名称、参数、返回结果流程动作草稿、审批、写入、回退人工确认确认人、意见、时间、结果AI 决策过程如果不可追溯就不适合进入 ERP 核心流程。三、 人机协同与职责边界3.1 AI 给建议人承担责任3.1.1 AI 不是责任主体AI 可以查询数据、整理材料、生成草稿、识别异常、给出建议但它不是法律意义和管理意义上的责任主体。企业中的责任仍然属于授权人员、业务负责人、数据负责人、系统负责人和审批人。人机协同的关键是明确哪些事情 AI 可以独立完成哪些事情 AI 只能辅助哪些事情必须由人确认。低风险查询可以自动完成。中风险建议需要人工采纳。高风险动作必须审批。涉及资金、库存、客户信用、财务凭证和合同责任的动作应保留人工确认。3.1.2 “建议—审核—反馈”是基础闭环制造、财务和供应链场景中较稳妥的方式是建立“建议—审核—反馈”闭环。AI 输出建议业务人员审核系统记录是否采纳和原因反馈数据进入模型和规则优化。这样 AI 不是一次性上线而是持续迭代。任务类型AI 角色人的角色控制方式数据查询自动查询和摘要查看结果权限继承异常识别筛选风险线索判断是否处理来源引用单据草稿生成草稿修改和确认草稿留痕流程发起准备材料审批确认审批日志高风险执行提供建议最终决策强制人工确认模型反馈收集纠错样本标注和复盘反馈闭环AI 不是替代人而是把人从低价值重复劳动中移出来让人负责判断、授权和责任承担。3.2 常见问题一AI 推荐错了责任算谁的3.2.1 责任要按链路划分AI 推荐错了不能简单归责给模型也不能完全归责给使用者。企业需要按照链路划分责任。数据错误由数据责任方处理。指标口径错误由指标负责人处理。模型误判由模型团队和业务评估方共同复盘。人工审批错误由审批人承担相应责任。系统越权由 IT 和安全团队排查。这也是审计日志重要的原因。没有日志责任会变成争论。日志清楚才能区分是数据问题、模型问题、流程问题、权限问题还是人工判断问题。四、 AI 操作分级授权模型4.1 分级授权的基本逻辑4.1.1 能力越接近执行治理越要严格AI 操作分级授权的本质是把不同风险等级的 AI 能力拆开管理。只读查询和自动执行不能采用同一套授权方式。解释报表和修改库存不能采用同一套审批标准。等级AI 能力示例风险控制方式L1 只读查询、摘要、解释查询库存、解释报表低权限继承L2 建议风险分析、方案推荐缺货建议、应收风险中低来源引用、人工判断L3 草稿生成业务单据草稿采购申请、凭证草稿中人工确认L4 发起人工确认后发起流程审批、调拨、复核中高审批日志L5 自动低风险自动执行定时报表、提醒推送高白名单、回退、审计从 L1 到 L5不只是技术能力递增也是风险等级递增。企业应先开放 L1 和 L2再根据数据、流程、权限和审计成熟度逐步开放 L3 到 L5。4.2 高风险动作必须设为禁区或强确认4.2.1 财务、库存、信用和主数据变更要谨慎以下动作不建议早期自动化。付款审批、正式入账、税务处理、库存调整、客户信用额度变更、供应商准入变更、批量关闭订单、大额采购提交、价格策略调整。这些动作可以由 AI 准备材料和生成建议但必须由授权人员确认。高风险动作AI 可以做人必须做付款审批检查风险、整理材料最终审批凭证入账生成凭证草稿入账确认库存调整识别差异、生成建议审批调整客户信用风险评分、额度建议授权决策供应商准入资料检查、风险提示准入确认价格变更模拟毛利影响价格批准AI 操作分级授权的本质是把“能回答”和“能执行”严格区分开。4.3 常见问题二低风险任务可以完全自动执行吗4.3.1 低风险也需要边界低风险任务可以自动执行但需要白名单、日志和异常回退。比如定时报表、库存提醒、到期合同提醒、低风险状态通知可以在明确规则下自动执行。即便如此也要记录触发条件、执行时间、目标对象和结果。低风险不是没有风险而是风险可承受、可审计、可回退。五、️ 六维治理机制与技术设计5.1 数据治理5.1.1 数据治理是 AI 可信输出的前提AIERP 的数据治理包括主数据治理、指标口径、数据质量监控、数据血缘、数据分级、脱敏、加密和备份。中国一汽相关公开案例中曾强调管理智能化建立在数据治理基础之上。如果没有标准、准确、畅通的数据AI 很难发挥价值。这个判断适用于所有 ERP AI 化项目。数据治理要解决三个问题。第一数据是否准确。第二指标是否统一。第三数据是否允许被当前用户和当前 AI 任务使用。5.2 权限治理5.2.1 权限治理要覆盖人和 Agent权限治理不仅控制人也要控制 AI。Agent 必须有身份必须继承用户权限必须遵守工具白名单。敏感字段应按数据等级控制。跨部门数据分析要经过授权。权限治理还要处理临时授权和场景授权。例如审计期间可以临时放宽某些查询权限但必须有审批和日志。某些经营分析可以看汇总数据但不能下钻到客户合同明细。5.3 模型治理5.3.1 模型上线后仍要持续评估模型治理包括版本管理、效果评估、误报漏报监控、样本反馈、模型回滚和变更审批。AIERP 不能把模型上线视为项目结束。应收风险模型要持续对比真实逾期结果。库存预测模型要对比实际消耗。费用异常模型要看人工复核结果。指标说明适用场景准确率预测正确比例分类、风险识别召回率风险识别覆盖能力风控、异常检测误报率错误预警比例审核、预警漏报率未识别风险比例高风险场景采纳率业务采纳 AI 建议比例推荐、分析纠错率人工修正 AI 输出比例草稿、报告5.4 流程治理5.4.1 AI 动作必须进入流程状态机流程治理关注人工确认、分级执行、审批链、状态控制和回退机制。Agent 不能在不知道流程状态的情况下发起动作。采购单是否已审批付款是否达到阈值库存调整是否需要盘点依据合同是否生效这些都必须由流程系统判断。5.5 审计治理5.5.1 全链路日志是审计基础审计治理要覆盖输入、输出、查询、检索、工具调用、审批、写入和回退。日志要能按用户、Agent、业务对象、时间和流程追溯。对于高风险动作日志应支持不可篡改存储或独立审计备份。5.6 组织治理5.6.1 AIERP 治理是跨部门责任组织治理包括业务部门参与规则定义IT 负责平台和架构数据团队负责数据质量和口径审计负责风险监督管理层负责边界和责任机制。AIERP 不是 IT 单独能完成的项目。下面这张图可以概括六维治理体系。治理不是上线后的补丁而是 AI 进入 ERP 的准入条件。六、 组织层面的变革6.1 业务部门必须参与规则定义6.1.1 AI 不能替企业定义业务规则业务部门必须参与 AIERP 治理。采购规则、费用标准、信用政策、库存策略、排产规则、审批边界都不是 IT 或模型团队单独能定义的。AI 只是执行和辅助判断业务规则仍然来自企业管理体系。如果业务不参与AI 输出往往无法落地。比如库存模型预测缺货但计划部门不认可可用库存口径。费用审核模型提示异常但财务制度没有结构化规则。采购 Agent 推荐供应商但采购部门没有确认供应商准入标准。6.2 IT 架构要升级为 AIERP 平台治理6.2.1 IT 不再只是系统运维AI 进入 ERP 后IT 的职责从系统运维和接口开发扩展到 AI 平台治理、API 网关、权限体系、日志审计、模型接入和安全监控。IT 需要提供统一入口、统一身份、统一工具调用和统一日志。如果每个部门各自接模型、建知识库、写接口就会形成新的智能孤岛。企业需要统一架构否则后续权限、安全和审计都会很难管理。6.3 数据治理能力成为前台能力6.3.1 数据团队要靠近业务数据治理不再是后台报表工作。AI 输出是否可信很大程度取决于主数据、指标口径、数据血缘和数据质量监控。数据团队需要和业务一起定义指标和 IT 一起建设数据服务和审计一起确认数据追溯。6.4 新角色会出现6.4.1 AI 产品经理和 AI 业务分析师会成为关键角色AIERP 会带来新角色。AI 产品经理负责场景设计、用户体验、价值评估和迭代路线。AI 业务分析师负责抽取业务规则、定义模型输入输出、复盘模型效果。AI 治理官或治理负责人负责权限、审计、风险和制度。AI 训练师或标注负责人负责样本质量和反馈闭环。角色传统职责AIERP 后新增职责业务部门使用 ERP、执行流程定义规则、验证 AI 输出IT 部门系统运维、接口开发AI 平台、API 网关、日志审计数据团队报表和数据仓库数据质量、指标口径、数据血缘财务审计核算和审计AI 风险审计、流程监管AI 产品经理可能不存在场景设计、价值评估AI 业务分析师可能不存在规则抽取、效果复盘AI 治理负责人可能不存在权限、模型、审计协调6.5 常见问题三是否需要成立 AI 治理委员会6.5.1 中大型企业建议建立固定治理机制中大型企业建议建立 AI 治理委员会或 AI 运营中心。它不一定是很大的组织但要有明确职责。成员应包括业务、IT、数据、安全、审计和管理层代表。它负责场景准入、风险评估、模型上线、权限策略、审计复盘和事故处理。中小企业可以采用轻量化机制比如跨部门治理小组。关键不是名称而是要有人负责治理。七、 AI 使用规范与效果评估7.1 使用规范要明确红线7.1.1 哪些数据不能输入模型要写清楚企业需要明确 AI 使用规范。哪些数据不能输入外部模型哪些场景必须人工确认哪些输出必须标注 AI 生成员工如何反馈错误违规使用如何追责这些都应制度化。规范项具体要求数据输入禁止上传未经授权的合同、财务明细、客户价格外部模型敏感数据必须脱敏或禁止调用生成内容经营分析、财务报告需标注来源高风险动作付款、库存、信用调整必须人工确认错误反馈建立反馈入口和纠错流程责任追溯记录用户、Agent、审批人和系统动作7.2 效果评估要包含技术指标和业务指标7.2.1 模型好不好业务也要说了算AIERP 的效果评估不能只看模型准确率。还要看业务采纳率、人工纠错率、处理时长、风险识别率、误报率、漏报率和实际业务收益。比如费用审核模型误报太多会增加财务负担。应收风险模型漏报高会影响现金安全。效果评估应形成周期性复盘。模型输出与人工判断差异要记录误判原因要分类模型版本变化要审批。高风险模型还要有回滚机制。7.3 常见问题四AI 生成内容是否需要标注7.3.1 涉及经营判断和外发材料建议标注内部临时摘要不一定都要显式标注但涉及经营判断、管理报告、外发文件、审计材料和审批意见时建议标注 AI 参与生成并保留人工确认记录。这样可以降低责任不清和引用错误风险。八、 治理框架与风险地图8.1 风险地图8.1.1 风险要和治理措施一一对应AIERP 风险治理不能停留在原则层。每类风险都需要对应机制。风险类型典型表现后果治理措施数据安全风险敏感数据进入模型、外部泄露商业机密泄露、合规风险脱敏、加密、权限控制权限越权风险AI 跨权限查询和执行数据泄露、违规操作权限继承、最小授权模型幻觉风险AI 编造数据或解释错误误导决策RAG、API 查询、来源引用错误执行风险AI 错误创建单据或发起流程改变业务事实分级授权、人工确认合规审计风险AI 操作无日志无法追责全链路日志、审计留痕组织责任风险AI 出错无人负责项目停滞责任机制、治理角色8.2 四位一体治理框架8.2.1 制度、流程、技术、文化要同时建设ERP 风险防护常强调制度、流程、技术、文化四位一体。AI 进入 ERP 后这个框架仍然适用。制度规定边界流程控制动作技术实现权限和审计文化决定员工是否按规范使用 AI。维度主要内容AIERP 中的体现制度使用规范、权限规则、责任机制明确能做什么、不能做什么流程审批、确认、回退、复盘控制 AI 动作进入业务链路技术权限、日志、RAG、API 网关保证可控和可追溯文化风险意识、反馈机制、培训避免滥用和影子 AI成功的 AIERP 改造其关键不在于 AI 能力有多强而在于企业能否建立有效的数字缰绳。8.3 常见问题五治理会不会降低效率8.3.1 治理会增加前期成本但减少后期事故成本治理确实会增加设计、开发和审批成本。权限、日志、审计、回退、人工确认都会让项目看起来变慢。但对于 ERP 这种核心系统少一点治理换来的速度可能会在后期变成更高的事故成本。治理不是为了限制 AI而是让 AI 可以进入更深的业务流程。没有治理AI 只能停留在问答和报告层。有了治理AI 才能逐步进入建议、草稿、审批和低风险执行。结论AI 进入 ERP 后企业真正要治理的不是一个模型而是数据、权限、模型、流程、工具、日志、责任和组织协同。ERP 是企业核心系统AI 一旦参与查询、判断、单据生成和流程发起就必须被纳入与人相同甚至更严格的治理体系。AIERP 的五大核心风险包括数据安全、权限越权、模型幻觉、错误执行、合规审计。每类风险都需要对应机制。数据要分级和脱敏权限要继承和最小授权模型要评估和可追溯流程要人工确认和可回退审计要覆盖查询、生成、调用和写入全过程组织上要让业务、IT、数据、安全和审计共同承担治理责任。没有治理AI 只能停留在问答和报告层。有了治理AI 才能逐步进入建议、草稿、审批和受控执行。AIERP 的成熟标志不是 AI 能做多少事而是 AI 做事时是否可控、可审计、可解释、可回退。企业真正要问的不是 AI 能不能进入 ERP而是当前 ERP 是否具备承载 AI 的治理基础。技术能力只是门票治理能力才决定 AI 能走多深、走多稳。 【省心锐评】AI 进入 ERP 后真正的门槛不是智能能力而是企业能否把它管住。
AI 进入 ERP 后,企业如何管得住?治理、安全与组织变革(AI+ERP系列-10)
【摘要】AI 进入 ERP 后企业面对的不再只是模型准确率问题而是数据安全、权限越权、模型幻觉、错误执行、合规审计和组织责任的系统性治理问题。ERP 是企业核心系统AI 一旦能查询数据、生成建议、创建单据、发起审批甚至调用 API 执行动作就必须被当作有身份、有权限、有边界、有责任链的系统参与者。真正成熟的 AIERP不是 AI 能做多少事而是 AI 做事时是否可控、可审计、可解释、可回退。引言ERP 是企业经营的核心底座。订单、库存、采购、生产、财务、客户、供应商、付款、凭证和审批都沉淀在 ERP 或其周边系统中。AI 进入 ERP 后问题不再只是“能不能回答问题”而是“能不能在核心业务系统里安全工作”。当 AI 只是回答制度问题时错误最多影响理解。当 AI 能查询库存、分析订单风险、生成采购申请草稿、发起审批甚至回写 ERP 时错误就可能改变业务事实。这类风险不能靠模型能力本身解决必须靠治理体系约束。这篇文章面向 CIO、ERP 负责人、企业架构师、数据负责人、审计负责人和业务管理者重点讨论 AIERP 的五类核心风险、人机协同边界、AI 操作分级授权、六维治理体系、组织角色变化和使用规范。核心判断很简单。AI 进入 ERP技术能力决定能不能做治理能力决定能不能上线。一、 ERP 是核心系统AI 进入后风险等级会变化1.1 ERP 管的是企业业务事实1.1.1 ERP 不是普通业务工具ERP 与普通办公软件不同。它记录的是企业业务事实。一个销售订单代表客户承诺一个采购订单代表供应计划一次库存调整会影响账实一致一张凭证会影响财务报表一次付款审批会影响资金安全。AI 接入普通知识库主要风险是回答不准。AI 接入 ERP 后风险会变成业务风险、财务风险和合规风险。因为 ERP 中的很多动作不是“信息展示”而是会改变状态和责任。例如AI 如果错误解释某个制度影响有限。AI 如果错误生成采购申请可能造成重复采购。AI 如果错误判断库存可用可能导致生产排产失败。AI 如果错误触发付款流程风险会直接进入资金链条。ERP 是核心系统AI 一旦能查询、判断、生成单据和发起流程就必须被当作有身份、有权限、有边界的系统参与者。1.2 AI 会放大 ERP 原有风险1.2.1 原有系统问题不会因为 AI 消失很多企业在 ERP 中本来就存在数据质量问题、权限粗放问题、流程线下补录问题、接口文档缺失问题和主数据口径不一致问题。AI 接入后这些问题不会自动消失反而可能被放大。传统 ERP 中错误数据通常影响报表和人工判断。AIERP 中错误数据可能影响预测、建议和执行动作。传统 ERP 中权限设置不细可能只是个别用户多看一些数据。AI Agent 接入后可能一次性汇总多个模块、多个角色、多个敏感字段形成更大的泄露风险。简道云等企业应用平台在 ERP 风险分析中也把权限与数据泄露、流程与主数据失控、系统可用性、第三方与合规风险作为重点风险类型。这个分类对 AIERP 很有参考价值。AI 不是把 ERP 风险清零的工具它更像风险放大器前提是企业没有先把边界建好。1.3 从聊天助手到流程执行风险逐级上升1.3.1 风险等级取决于 AI 是否改变业务事实AI 在 ERP 中的能力可以从只读问答逐步走向执行。不同能力阶段的风险完全不同。只读查询主要影响信息获取。风险分析主要影响业务判断。单据草稿开始影响流程准备。发起审批则进入业务链路。自动执行低风险任务时AI 已经成为系统动作参与者。AI 能力阶段典型动作是否改变业务事实风险等级只读查询查询库存、订单、报表否低分析建议解释异常、生成风险建议否但影响判断中低草稿生成采购申请草稿、凭证草稿尚未正式生效中发起流程发起审批、调拨申请进入业务流程中高自动执行自动提醒、低风险状态更新可能改变状态高从治理角度看企业不能把这些能力放在同一个审批标准下。AIERP 的最大风险不是 AI 回答错一句话而是错误建议进入流程、错误动作写入系统。二、 AIERP 的五大核心风险2.1 数据安全风险2.1.1 ERP 数据高度敏感ERP 中的数据包括客户价格、供应商报价、采购合同、库存成本、财务凭证、薪酬相关信息、付款账户、利润数据和经营预算。这些数据一旦进入不受控的 AI 链路就可能造成商业机密泄露和合规风险。AIERP 的数据安全风险主要有四类。第一是敏感数据被越权查询。第二是敏感数据进入外部模型或不受控日志。第三是训练数据被污染或混入错误业务记录。第四是员工绕过企业平台使用外部工具也就是常说的影子 AI 风险。ERP 数据安全治理需要从数据分级、脱敏、加密、访问控制、备份和安全监测入手。简道云等资料在 ERP 数据安全治理中也强调权限控制、数据加密、备份策略、持续安全监测和应急响应。AI 接入 ERP 后这些能力不是可选项。风险点典型表现治理措施敏感数据泄露成本、合同、客户价格被不当展示数据分级、字段脱敏外部模型风险财务明细进入外部模型调用链私有化部署、脱敏转发训练数据污染错误历史数据影响模型判断数据质量规则、训练集审核影子 AI员工自行上传 ERP 数据到外部工具使用规范、网关审计、教育培训日志泄露Prompt、返回结果中包含敏感字段日志脱敏、访问控制AI 能看什么必须在系统设计时说清楚不能等上线后再靠员工自觉。2.2 权限越权风险2.2.1 Agent 不能成为超级用户ERP 的权限通常按角色、组织、部门、业务对象和字段控制。销售只能看自己的客户采购只能看相关供应商财务能看应收应付管理层能看汇总指标。AI Agent 进入 ERP 后如果直接使用高权限账号就会绕过原有权限体系。权限越权风险在 Agent 场景中更突出。Agent 可能替用户跨模块查询也可能把多个数据源合并成一份分析报告。即使单个数据源查询没有越权合并后的结果也可能暴露敏感信息。治理原则很明确。用户能看什么AI 才能帮他看什么用户能做什么AI 才能代他发起什么。这个原则应体现在身份认证、权限继承、字段脱敏、工具调用和审计日志中。2.2.2 RBAC 和 ABAC 需要结合使用RBAC 是基于角色的访问控制适合管理职位、部门和岗位权限。ABAC 是基于属性的访问控制可以根据用户属性、数据属性、环境属性和操作属性动态判断权限。AIERP 中两者需要结合。例如同样是销售经理不同区域只能看不同客户。财务可以看应收账款但未必能看薪酬数据。管理层可以看利润汇总但不一定能看单个客户合同细节。AI 查询时也要遵守这些限制。权限机制适用场景AIERP 中的作用RBAC按岗位和角色授权控制基础菜单和模块访问ABAC按数据属性、组织、场景判断控制字段级、对象级和场景级权限最小授权只授予任务所需权限降低越权风险数字身份标记 AI 操作主体支持责任追溯分级授权按风险等级放权控制执行动作边界AI 操作还应具备数字身份。系统需要知道某次查询是用户直接操作还是 AI 代用户查询。某张单据是人创建还是 AI 生成草稿。某个审批是人发起还是 AI 在人工确认后发起。没有数字身份就无法明确责任链。2.3 模型幻觉风险2.3.1 ERP 是强事实场景不能靠模型猜大模型存在幻觉问题这是企业应用必须正视的事实。幻觉在普通文本生成场景中可能只是内容错误在 ERP 场景中则可能导致业务判断错误。AI 如果编造库存、误解销售额口径、把开票金额当回款金额、把草稿单据当正式单据就可能误导决策。ERP 是强事实系统。订单状态、库存数量、应收账龄、付款节点、凭证金额都必须来自可信数据源。AI 可以理解问题、组织表达、解释结果但不能凭模型生成事实数字。治理措施包括 RAG、SQL 或 API 查询、指标口径库、规则引擎、来源引用和人工复核。RAG 适合制度、流程和知识类问题。ERP API 或受控 SQL 适合事实查询。混合问题需要同时查询知识库和 ERP 数据。问题类型示例推荐处理方式知识问题报销标准是什么RAG 检索知识库事实问题本月销售额是多少ERP API 或 SQL 查询混合问题这笔费用是否合规RAG ERP 查询执行问题生成采购申请草稿Agent API 人工确认ERP 场景是强事实场景AI 的回答必须能回到数据源、指标口径和业务规则。2.4 错误决策与执行风险2.4.1 从建议到执行是风险分水岭AI 给建议和 AI 执行动作是两个风险等级。AI 判断某个客户逾期风险较高影响的是业务判断。AI 自动停止发货改变的是业务事实。AI 提示某个物料可能缺货属于预警。AI 自动生成并提交采购订单属于执行动作。错误执行的后果更重。重复创建采购申请、错误修改库存状态、错误发起付款流程、错误调整客户信用额度都可能影响企业经营。治理上必须把“能回答”和“能执行”严格区分开。常见问题是企业认为只要模型准确率足够高就可以让 AI 自动执行。这个判断不稳妥。ERP 执行动作涉及审批、责任、合规和回退。模型准确率只是一个条件不能替代流程控制和人工确认。2.5 合规与审计风险2.5.1 AI 进入 ERP 后审计对象发生变化传统 ERP 审计关注用户操作、单据流程、权限变更、系统日志和财务结果。AI 进入后审计对象增加了模型输入、模型输出、检索来源、工具调用、Agent 任务步骤、人工确认记录和回退动作。贵州省审计厅关于 AI 嵌入内部审计风险预警的研究提到AI 可以形成“数据驱动决策、算法预判风险、系统闭环管控”的审计生态。这个方向对 AIERP 很有启发。AI 不仅可以帮助审计发现风险AI 自身也必须被纳入审计范围。山东省审计厅相关研究也强调采用人工智能技术构建风险管控体系时还需要完善制度建设和人才培养。这个判断同样适用于企业 AIERP。AI 治理不是模型部门的事而是制度、流程、技术和组织共同建设。审计对象需要记录的内容用户请求用户身份、时间、问题、业务场景数据查询查询接口、数据范围、权限结果知识检索文档来源、版本、引用段落模型调用模型版本、输入摘要、输出摘要工具调用API 名称、参数、返回结果流程动作草稿、审批、写入、回退人工确认确认人、意见、时间、结果AI 决策过程如果不可追溯就不适合进入 ERP 核心流程。三、 人机协同与职责边界3.1 AI 给建议人承担责任3.1.1 AI 不是责任主体AI 可以查询数据、整理材料、生成草稿、识别异常、给出建议但它不是法律意义和管理意义上的责任主体。企业中的责任仍然属于授权人员、业务负责人、数据负责人、系统负责人和审批人。人机协同的关键是明确哪些事情 AI 可以独立完成哪些事情 AI 只能辅助哪些事情必须由人确认。低风险查询可以自动完成。中风险建议需要人工采纳。高风险动作必须审批。涉及资金、库存、客户信用、财务凭证和合同责任的动作应保留人工确认。3.1.2 “建议—审核—反馈”是基础闭环制造、财务和供应链场景中较稳妥的方式是建立“建议—审核—反馈”闭环。AI 输出建议业务人员审核系统记录是否采纳和原因反馈数据进入模型和规则优化。这样 AI 不是一次性上线而是持续迭代。任务类型AI 角色人的角色控制方式数据查询自动查询和摘要查看结果权限继承异常识别筛选风险线索判断是否处理来源引用单据草稿生成草稿修改和确认草稿留痕流程发起准备材料审批确认审批日志高风险执行提供建议最终决策强制人工确认模型反馈收集纠错样本标注和复盘反馈闭环AI 不是替代人而是把人从低价值重复劳动中移出来让人负责判断、授权和责任承担。3.2 常见问题一AI 推荐错了责任算谁的3.2.1 责任要按链路划分AI 推荐错了不能简单归责给模型也不能完全归责给使用者。企业需要按照链路划分责任。数据错误由数据责任方处理。指标口径错误由指标负责人处理。模型误判由模型团队和业务评估方共同复盘。人工审批错误由审批人承担相应责任。系统越权由 IT 和安全团队排查。这也是审计日志重要的原因。没有日志责任会变成争论。日志清楚才能区分是数据问题、模型问题、流程问题、权限问题还是人工判断问题。四、 AI 操作分级授权模型4.1 分级授权的基本逻辑4.1.1 能力越接近执行治理越要严格AI 操作分级授权的本质是把不同风险等级的 AI 能力拆开管理。只读查询和自动执行不能采用同一套授权方式。解释报表和修改库存不能采用同一套审批标准。等级AI 能力示例风险控制方式L1 只读查询、摘要、解释查询库存、解释报表低权限继承L2 建议风险分析、方案推荐缺货建议、应收风险中低来源引用、人工判断L3 草稿生成业务单据草稿采购申请、凭证草稿中人工确认L4 发起人工确认后发起流程审批、调拨、复核中高审批日志L5 自动低风险自动执行定时报表、提醒推送高白名单、回退、审计从 L1 到 L5不只是技术能力递增也是风险等级递增。企业应先开放 L1 和 L2再根据数据、流程、权限和审计成熟度逐步开放 L3 到 L5。4.2 高风险动作必须设为禁区或强确认4.2.1 财务、库存、信用和主数据变更要谨慎以下动作不建议早期自动化。付款审批、正式入账、税务处理、库存调整、客户信用额度变更、供应商准入变更、批量关闭订单、大额采购提交、价格策略调整。这些动作可以由 AI 准备材料和生成建议但必须由授权人员确认。高风险动作AI 可以做人必须做付款审批检查风险、整理材料最终审批凭证入账生成凭证草稿入账确认库存调整识别差异、生成建议审批调整客户信用风险评分、额度建议授权决策供应商准入资料检查、风险提示准入确认价格变更模拟毛利影响价格批准AI 操作分级授权的本质是把“能回答”和“能执行”严格区分开。4.3 常见问题二低风险任务可以完全自动执行吗4.3.1 低风险也需要边界低风险任务可以自动执行但需要白名单、日志和异常回退。比如定时报表、库存提醒、到期合同提醒、低风险状态通知可以在明确规则下自动执行。即便如此也要记录触发条件、执行时间、目标对象和结果。低风险不是没有风险而是风险可承受、可审计、可回退。五、️ 六维治理机制与技术设计5.1 数据治理5.1.1 数据治理是 AI 可信输出的前提AIERP 的数据治理包括主数据治理、指标口径、数据质量监控、数据血缘、数据分级、脱敏、加密和备份。中国一汽相关公开案例中曾强调管理智能化建立在数据治理基础之上。如果没有标准、准确、畅通的数据AI 很难发挥价值。这个判断适用于所有 ERP AI 化项目。数据治理要解决三个问题。第一数据是否准确。第二指标是否统一。第三数据是否允许被当前用户和当前 AI 任务使用。5.2 权限治理5.2.1 权限治理要覆盖人和 Agent权限治理不仅控制人也要控制 AI。Agent 必须有身份必须继承用户权限必须遵守工具白名单。敏感字段应按数据等级控制。跨部门数据分析要经过授权。权限治理还要处理临时授权和场景授权。例如审计期间可以临时放宽某些查询权限但必须有审批和日志。某些经营分析可以看汇总数据但不能下钻到客户合同明细。5.3 模型治理5.3.1 模型上线后仍要持续评估模型治理包括版本管理、效果评估、误报漏报监控、样本反馈、模型回滚和变更审批。AIERP 不能把模型上线视为项目结束。应收风险模型要持续对比真实逾期结果。库存预测模型要对比实际消耗。费用异常模型要看人工复核结果。指标说明适用场景准确率预测正确比例分类、风险识别召回率风险识别覆盖能力风控、异常检测误报率错误预警比例审核、预警漏报率未识别风险比例高风险场景采纳率业务采纳 AI 建议比例推荐、分析纠错率人工修正 AI 输出比例草稿、报告5.4 流程治理5.4.1 AI 动作必须进入流程状态机流程治理关注人工确认、分级执行、审批链、状态控制和回退机制。Agent 不能在不知道流程状态的情况下发起动作。采购单是否已审批付款是否达到阈值库存调整是否需要盘点依据合同是否生效这些都必须由流程系统判断。5.5 审计治理5.5.1 全链路日志是审计基础审计治理要覆盖输入、输出、查询、检索、工具调用、审批、写入和回退。日志要能按用户、Agent、业务对象、时间和流程追溯。对于高风险动作日志应支持不可篡改存储或独立审计备份。5.6 组织治理5.6.1 AIERP 治理是跨部门责任组织治理包括业务部门参与规则定义IT 负责平台和架构数据团队负责数据质量和口径审计负责风险监督管理层负责边界和责任机制。AIERP 不是 IT 单独能完成的项目。下面这张图可以概括六维治理体系。治理不是上线后的补丁而是 AI 进入 ERP 的准入条件。六、 组织层面的变革6.1 业务部门必须参与规则定义6.1.1 AI 不能替企业定义业务规则业务部门必须参与 AIERP 治理。采购规则、费用标准、信用政策、库存策略、排产规则、审批边界都不是 IT 或模型团队单独能定义的。AI 只是执行和辅助判断业务规则仍然来自企业管理体系。如果业务不参与AI 输出往往无法落地。比如库存模型预测缺货但计划部门不认可可用库存口径。费用审核模型提示异常但财务制度没有结构化规则。采购 Agent 推荐供应商但采购部门没有确认供应商准入标准。6.2 IT 架构要升级为 AIERP 平台治理6.2.1 IT 不再只是系统运维AI 进入 ERP 后IT 的职责从系统运维和接口开发扩展到 AI 平台治理、API 网关、权限体系、日志审计、模型接入和安全监控。IT 需要提供统一入口、统一身份、统一工具调用和统一日志。如果每个部门各自接模型、建知识库、写接口就会形成新的智能孤岛。企业需要统一架构否则后续权限、安全和审计都会很难管理。6.3 数据治理能力成为前台能力6.3.1 数据团队要靠近业务数据治理不再是后台报表工作。AI 输出是否可信很大程度取决于主数据、指标口径、数据血缘和数据质量监控。数据团队需要和业务一起定义指标和 IT 一起建设数据服务和审计一起确认数据追溯。6.4 新角色会出现6.4.1 AI 产品经理和 AI 业务分析师会成为关键角色AIERP 会带来新角色。AI 产品经理负责场景设计、用户体验、价值评估和迭代路线。AI 业务分析师负责抽取业务规则、定义模型输入输出、复盘模型效果。AI 治理官或治理负责人负责权限、审计、风险和制度。AI 训练师或标注负责人负责样本质量和反馈闭环。角色传统职责AIERP 后新增职责业务部门使用 ERP、执行流程定义规则、验证 AI 输出IT 部门系统运维、接口开发AI 平台、API 网关、日志审计数据团队报表和数据仓库数据质量、指标口径、数据血缘财务审计核算和审计AI 风险审计、流程监管AI 产品经理可能不存在场景设计、价值评估AI 业务分析师可能不存在规则抽取、效果复盘AI 治理负责人可能不存在权限、模型、审计协调6.5 常见问题三是否需要成立 AI 治理委员会6.5.1 中大型企业建议建立固定治理机制中大型企业建议建立 AI 治理委员会或 AI 运营中心。它不一定是很大的组织但要有明确职责。成员应包括业务、IT、数据、安全、审计和管理层代表。它负责场景准入、风险评估、模型上线、权限策略、审计复盘和事故处理。中小企业可以采用轻量化机制比如跨部门治理小组。关键不是名称而是要有人负责治理。七、 AI 使用规范与效果评估7.1 使用规范要明确红线7.1.1 哪些数据不能输入模型要写清楚企业需要明确 AI 使用规范。哪些数据不能输入外部模型哪些场景必须人工确认哪些输出必须标注 AI 生成员工如何反馈错误违规使用如何追责这些都应制度化。规范项具体要求数据输入禁止上传未经授权的合同、财务明细、客户价格外部模型敏感数据必须脱敏或禁止调用生成内容经营分析、财务报告需标注来源高风险动作付款、库存、信用调整必须人工确认错误反馈建立反馈入口和纠错流程责任追溯记录用户、Agent、审批人和系统动作7.2 效果评估要包含技术指标和业务指标7.2.1 模型好不好业务也要说了算AIERP 的效果评估不能只看模型准确率。还要看业务采纳率、人工纠错率、处理时长、风险识别率、误报率、漏报率和实际业务收益。比如费用审核模型误报太多会增加财务负担。应收风险模型漏报高会影响现金安全。效果评估应形成周期性复盘。模型输出与人工判断差异要记录误判原因要分类模型版本变化要审批。高风险模型还要有回滚机制。7.3 常见问题四AI 生成内容是否需要标注7.3.1 涉及经营判断和外发材料建议标注内部临时摘要不一定都要显式标注但涉及经营判断、管理报告、外发文件、审计材料和审批意见时建议标注 AI 参与生成并保留人工确认记录。这样可以降低责任不清和引用错误风险。八、 治理框架与风险地图8.1 风险地图8.1.1 风险要和治理措施一一对应AIERP 风险治理不能停留在原则层。每类风险都需要对应机制。风险类型典型表现后果治理措施数据安全风险敏感数据进入模型、外部泄露商业机密泄露、合规风险脱敏、加密、权限控制权限越权风险AI 跨权限查询和执行数据泄露、违规操作权限继承、最小授权模型幻觉风险AI 编造数据或解释错误误导决策RAG、API 查询、来源引用错误执行风险AI 错误创建单据或发起流程改变业务事实分级授权、人工确认合规审计风险AI 操作无日志无法追责全链路日志、审计留痕组织责任风险AI 出错无人负责项目停滞责任机制、治理角色8.2 四位一体治理框架8.2.1 制度、流程、技术、文化要同时建设ERP 风险防护常强调制度、流程、技术、文化四位一体。AI 进入 ERP 后这个框架仍然适用。制度规定边界流程控制动作技术实现权限和审计文化决定员工是否按规范使用 AI。维度主要内容AIERP 中的体现制度使用规范、权限规则、责任机制明确能做什么、不能做什么流程审批、确认、回退、复盘控制 AI 动作进入业务链路技术权限、日志、RAG、API 网关保证可控和可追溯文化风险意识、反馈机制、培训避免滥用和影子 AI成功的 AIERP 改造其关键不在于 AI 能力有多强而在于企业能否建立有效的数字缰绳。8.3 常见问题五治理会不会降低效率8.3.1 治理会增加前期成本但减少后期事故成本治理确实会增加设计、开发和审批成本。权限、日志、审计、回退、人工确认都会让项目看起来变慢。但对于 ERP 这种核心系统少一点治理换来的速度可能会在后期变成更高的事故成本。治理不是为了限制 AI而是让 AI 可以进入更深的业务流程。没有治理AI 只能停留在问答和报告层。有了治理AI 才能逐步进入建议、草稿、审批和低风险执行。结论AI 进入 ERP 后企业真正要治理的不是一个模型而是数据、权限、模型、流程、工具、日志、责任和组织协同。ERP 是企业核心系统AI 一旦参与查询、判断、单据生成和流程发起就必须被纳入与人相同甚至更严格的治理体系。AIERP 的五大核心风险包括数据安全、权限越权、模型幻觉、错误执行、合规审计。每类风险都需要对应机制。数据要分级和脱敏权限要继承和最小授权模型要评估和可追溯流程要人工确认和可回退审计要覆盖查询、生成、调用和写入全过程组织上要让业务、IT、数据、安全和审计共同承担治理责任。没有治理AI 只能停留在问答和报告层。有了治理AI 才能逐步进入建议、草稿、审批和受控执行。AIERP 的成熟标志不是 AI 能做多少事而是 AI 做事时是否可控、可审计、可解释、可回退。企业真正要问的不是 AI 能不能进入 ERP而是当前 ERP 是否具备承载 AI 的治理基础。技术能力只是门票治理能力才决定 AI 能走多深、走多稳。 【省心锐评】AI 进入 ERP 后真正的门槛不是智能能力而是企业能否把它管住。
