【摘要】AI 进入 ERP 后，企业面对的不再只是模型准确率问题，而是数据安全、权限越权、模型幻觉、错误执行、合规审计和组织责任的系统性治理问题。ERP 是企业核心系统，AI 一旦能查询数据、生成建议、创建单据、发起审批甚至调用 API 执行动作，就必须被当作有身份、有权限、有边界、有责任链的系统参与者。真正成熟的 AI+ERP，不是 AI 能做多少事，而是 AI 做事时是否可控、可审计、可解释、可回退。

引言

ERP 是企业经营的核心底座。订单、库存、采购、生产、财务、客户、供应商、付款、凭证和审批都沉淀在 ERP 或其周边系统中。AI 进入 ERP 后，问题不再只是“能不能回答问题”，而是“能不能在核心业务系统里安全工作”。

当 AI 只是回答制度问题时，错误最多影响理解。当 AI 能查询库存、分析订单风险、生成采购申请草稿、发起审批甚至回写 ERP 时，错误就可能改变业务事实。这类风险不能靠模型能力本身解决，必须靠治理体系约束。

这篇文章面向 CIO、ERP 负责人、企业架构师、数据负责人、审计负责人和业务管理者，重点讨论 AI+ERP 的五类核心风险、人机协同边界、AI 操作分级授权、六维治理体系、组织角色变化和使用规范。核心判断很简单。AI 进入 ERP，技术能力决定能不能做，治理能力决定能不能上线。

一、🧭 ERP 是核心系统，AI 进入后风险等级会变化

1.1 ERP 管的是企业业务事实

1.1.1 ERP 不是普通业务工具

ERP 与普通办公软件不同。它记录的是企业业务事实。一个销售订单代表客户承诺，一个采购订单代表供应计划，一次库存调整会影响账实一致，一张凭证会影响财务报表，一次付款审批会影响资金安全。

AI 接入普通知识库，主要风险是回答不准。AI 接入 ERP 后，风险会变成业务风险、财务风险和合规风险。因为 ERP 中的很多动作不是“信息展示”，而是会改变状态和责任。

例如，AI 如果错误解释某个制度，影响有限。AI 如果错误生成采购申请，可能造成重复采购。AI 如果错误判断库存可用，可能导致生产排产失败。AI 如果错误触发付款流程，风险会直接进入资金链条。

ERP 是核心系统，AI 一旦能查询、判断、生成单据和发起流程，就必须被当作有身份、有权限、有边界的系统参与者。

1.2 AI 会放大 ERP 原有风险

1.2.1 原有系统问题不会因为 AI 消失

很多企业在 ERP 中本来就存在数据质量问题、权限粗放问题、流程线下补录问题、接口文档缺失问题和主数据口径不一致问题。AI 接入后，这些问题不会自动消失，反而可能被放大。

传统 ERP 中，错误数据通常影响报表和人工判断。AI+ERP 中，错误数据可能影响预测、建议和执行动作。传统 ERP 中，权限设置不细可能只是个别用户多看一些数据。AI Agent 接入后，可能一次性汇总多个模块、多个角色、多个敏感字段，形成更大的泄露风险。

简道云等企业应用平台在 ERP 风险分析中也把权限与数据泄露、流程与主数据失控、系统可用性、第三方与合规风险作为重点风险类型。这个分类对 AI+ERP 很有参考价值。AI 不是把 ERP 风险清零的工具，它更像风险放大器，前提是企业没有先把边界建好。

1.3 从聊天助手到流程执行，风险逐级上升

1.3.1 风险等级取决于 AI 是否改变业务事实

AI 在 ERP 中的能力可以从只读问答逐步走向执行。不同能力阶段的风险完全不同。只读查询主要影响信息获取。风险分析主要影响业务判断。单据草稿开始影响流程准备。发起审批则进入业务链路。自动执行低风险任务时，AI 已经成为系统动作参与者。

AI 能力阶段	典型动作	是否改变业务事实	风险等级
只读查询	查询库存、订单、报表	否	低
分析建议	解释异常、生成风险建议	否，但影响判断	中低
草稿生成	采购申请草稿、凭证草稿	尚未正式生效	中
发起流程	发起审批、调拨申请	进入业务流程	中高
自动执行	自动提醒、低风险状态更新	可能改变状态	高

从治理角度看，企业不能把这些能力放在同一个审批标准下。AI+ERP 的最大风险，不是 AI 回答错一句话，而是错误建议进入流程、错误动作写入系统。

二、🔐 AI+ERP 的五大核心风险

2.1 数据安全风险

2.1.1 ERP 数据高度敏感

ERP 中的数据包括客户价格、供应商报价、采购合同、库存成本、财务凭证、薪酬相关信息、付款账户、利润数据和经营预算。这些数据一旦进入不受控的 AI 链路，就可能造成商业机密泄露和合规风险。

AI+ERP 的数据安全风险主要有四类。第一是敏感数据被越权查询。第二是敏感数据进入外部模型或不受控日志。第三是训练数据被污染或混入错误业务记录。第四是员工绕过企业平台使用外部工具，也就是常说的影子 AI 风险。

ERP 数据安全治理需要从数据分级、脱敏、加密、访问控制、备份和安全监测入手。简道云等资料在 ERP 数据安全治理中也强调权限控制、数据加密、备份策略、持续安全监测和应急响应。AI 接入 ERP 后，这些能力不是可选项。

风险点	典型表现	治理措施
敏感数据泄露	成本、合同、客户价格被不当展示	数据分级、字段脱敏
外部模型风险	财务明细进入外部模型调用链	私有化部署、脱敏转发
训练数据污染	错误历史数据影响模型判断	数据质量规则、训练集审核
影子 AI	员工自行上传 ERP 数据到外部工具	使用规范、网关审计、教育培训
日志泄露	Prompt、返回结果中包含敏感字段	日志脱敏、访问控制

AI 能看什么，必须在系统设计时说清楚，不能等上线后再靠员工自觉。

2.2 权限越权风险

2.2.1 Agent 不能成为超级用户

ERP 的权限通常按角色、组织、部门、业务对象和字段控制。销售只能看自己的客户，采购只能看相关供应商，财务能看应收应付，管理层能看汇总指标。AI Agent 进入 ERP 后，如果直接使用高权限账号，就会绕过原有权限体系。

权限越权风险在 Agent 场景中更突出。Agent 可能替用户跨模块查询，也可能把多个数据源合并成一份分析报告。即使单个数据源查询没有越权，合并后的结果也可能暴露敏感信息。

治理原则很明确。用户能看什么，AI 才能帮他看什么；用户能做什么，AI 才能代他发起什么。 这个原则应体现在身份认证、权限继承、字段脱敏、工具调用和审计日志中。

2.2.2 RBAC 和 ABAC 需要结合使用

RBAC 是基于角色的访问控制，适合管理职位、部门和岗位权限。ABAC 是基于属性的访问控制，可以根据用户属性、数据属性、环境属性和操作属性动态判断权限。AI+ERP 中，两者需要结合。

例如，同样是销售经理，不同区域只能看不同客户。财务可以看应收账款，但未必能看薪酬数据。管理层可以看利润汇总，但不一定能看单个客户合同细节。AI 查询时也要遵守这些限制。

权限机制	适用场景	AI+ERP 中的作用
RBAC	按岗位和角色授权	控制基础菜单和模块访问
ABAC	按数据属性、组织、场景判断	控制字段级、对象级和场景级权限
最小授权	只授予任务所需权限	降低越权风险
数字身份	标记 AI 操作主体	支持责任追溯
分级授权	按风险等级放权	控制执行动作边界

AI 操作还应具备数字身份。系统需要知道某次查询是用户直接操作，还是 AI 代用户查询。某张单据是人创建，还是 AI 生成草稿。某个审批是人发起，还是 AI 在人工确认后发起。没有数字身份，就无法明确责任链。

2.3 模型幻觉风险

2.3.1 ERP 是强事实场景，不能靠模型猜

大模型存在幻觉问题，这是企业应用必须正视的事实。幻觉在普通文本生成场景中可能只是内容错误，在 ERP 场景中则可能导致业务判断错误。AI 如果编造库存、误解销售额口径、把开票金额当回款金额、把草稿单据当正式单据，就可能误导决策。

ERP 是强事实系统。订单状态、库存数量、应收账龄、付款节点、凭证金额都必须来自可信数据源。AI 可以理解问题、组织表达、解释结果，但不能凭模型生成事实数字。

治理措施包括 RAG、SQL 或 API 查询、指标口径库、规则引擎、来源引用和人工复核。RAG 适合制度、流程和知识类问题。ERP API 或受控 SQL 适合事实查询。混合问题需要同时查询知识库和 ERP 数据。

问题类型	示例	推荐处理方式
知识问题	报销标准是什么	RAG 检索知识库
事实问题	本月销售额是多少	ERP API 或 SQL 查询
混合问题	这笔费用是否合规	RAG + ERP 查询
执行问题	生成采购申请草稿	Agent + API + 人工确认

ERP 场景是强事实场景，AI 的回答必须能回到数据源、指标口径和业务规则。

2.4 错误决策与执行风险

2.4.1 从建议到执行是风险分水岭

AI 给建议和 AI 执行动作是两个风险等级。AI 判断某个客户逾期风险较高，影响的是业务判断。AI 自动停止发货，改变的是业务事实。AI 提示某个物料可能缺货，属于预警。AI 自动生成并提交采购订单，属于执行动作。

错误执行的后果更重。重复创建采购申请、错误修改库存状态、错误发起付款流程、错误调整客户信用额度，都可能影响企业经营。治理上必须把“能回答”和“能执行”严格区分开。

常见问题是企业认为只要模型准确率足够高，就可以让 AI 自动执行。这个判断不稳妥。ERP 执行动作涉及审批、责任、合规和回退。模型准确率只是一个条件，不能替代流程控制和人工确认。

2.5 合规与审计风险

2.5.1 AI 进入 ERP 后，审计对象发生变化

传统 ERP 审计关注用户操作、单据流程、权限变更、系统日志和财务结果。AI 进入后，审计对象增加了模型输入、模型输出、检索来源、工具调用、Agent 任务步骤、人工确认记录和回退动作。

贵州省审计厅关于 AI 嵌入内部审计风险预警的研究提到，AI 可以形成“数据驱动决策、算法预判风险、系统闭环管控”的审计生态。这个方向对 AI+ERP 很有启发。AI 不仅可以帮助审计发现风险，AI 自身也必须被纳入审计范围。

山东省审计厅相关研究也强调，采用人工智能技术构建风险管控体系时，还需要完善制度建设和人才培养。这个判断同样适用于企业 AI+ERP。AI 治理不是模型部门的事，而是制度、流程、技术和组织共同建设。

审计对象	需要记录的内容
用户请求	用户身份、时间、问题、业务场景
数据查询	查询接口、数据范围、权限结果
知识检索	文档来源、版本、引用段落
模型调用	模型版本、输入摘要、输出摘要
工具调用	API 名称、参数、返回结果
流程动作	草稿、审批、写入、回退
人工确认	确认人、意见、时间、结果

AI 决策过程如果不可追溯，就不适合进入 ERP 核心流程。

三、🤝 人机协同与职责边界

3.1 AI 给建议，人承担责任

3.1.1 AI 不是责任主体

AI 可以查询数据、整理材料、生成草稿、识别异常、给出建议，但它不是法律意义和管理意义上的责任主体。企业中的责任仍然属于授权人员、业务负责人、数据负责人、系统负责人和审批人。

人机协同的关键，是明确哪些事情 AI 可以独立完成，哪些事情 AI 只能辅助，哪些事情必须由人确认。低风险查询可以自动完成。中风险建议需要人工采纳。高风险动作必须审批。涉及资金、库存、客户信用、财务凭证和合同责任的动作，应保留人工确认。

3.1.2 “建议—审核—反馈”是基础闭环

制造、财务和供应链场景中，较稳妥的方式是建立“建议—审核—反馈”闭环。AI 输出建议，业务人员审核，系统记录是否采纳和原因，反馈数据进入模型和规则优化。这样 AI 不是一次性上线，而是持续迭代。

任务类型	AI 角色	人的角色	控制方式
数据查询	自动查询和摘要	查看结果	权限继承
异常识别	筛选风险线索	判断是否处理	来源引用
单据草稿	生成草稿	修改和确认	草稿留痕
流程发起	准备材料	审批确认	审批日志
高风险执行	提供建议	最终决策	强制人工确认
模型反馈	收集纠错样本	标注和复盘	反馈闭环

AI 不是替代人，而是把人从低价值重复劳动中移出来，让人负责判断、授权和责任承担。

3.2 常见问题一：AI 推荐错了，责任算谁的

3.2.1 责任要按链路划分

AI 推荐错了不能简单归责给模型，也不能完全归责给使用者。企业需要按照链路划分责任。数据错误由数据责任方处理。指标口径错误由指标负责人处理。模型误判由模型团队和业务评估方共同复盘。人工审批错误由审批人承担相应责任。系统越权由 IT 和安全团队排查。

这也是审计日志重要的原因。没有日志，责任会变成争论。日志清楚，才能区分是数据问题、模型问题、流程问题、权限问题，还是人工判断问题。

四、🧱 AI 操作分级授权模型

4.1 分级授权的基本逻辑

4.1.1 能力越接近执行，治理越要严格

AI 操作分级授权的本质，是把不同风险等级的 AI 能力拆开管理。只读查询和自动执行不能采用同一套授权方式。解释报表和修改库存不能采用同一套审批标准。

等级	AI 能力	示例	风险	控制方式
L1 只读	查询、摘要、解释	查询库存、解释报表	低	权限继承
L2 建议	风险分析、方案推荐	缺货建议、应收风险	中低	来源引用、人工判断
L3 草稿	生成业务单据草稿	采购申请、凭证草稿	中	人工确认
L4 发起	人工确认后发起流程	审批、调拨、复核	中高	审批日志
L5 自动	低风险自动执行	定时报表、提醒推送	高	白名单、回退、审计

从 L1 到 L5，不只是技术能力递增，也是风险等级递增。企业应先开放 L1 和 L2，再根据数据、流程、权限和审计成熟度逐步开放 L3 到 L5。

4.2 高风险动作必须设为禁区或强确认

4.2.1 财务、库存、信用和主数据变更要谨慎

以下动作不建议早期自动化。付款审批、正式入账、税务处理、库存调整、客户信用额度变更、供应商准入变更、批量关闭订单、大额采购提交、价格策略调整。这些动作可以由 AI 准备材料和生成建议，但必须由授权人员确认。

高风险动作	AI 可以做	人必须做
付款审批	检查风险、整理材料	最终审批
凭证入账	生成凭证草稿	入账确认
库存调整	识别差异、生成建议	审批调整
客户信用	风险评分、额度建议	授权决策
供应商准入	资料检查、风险提示	准入确认
价格变更	模拟毛利影响	价格批准

AI 操作分级授权的本质，是把“能回答”和“能执行”严格区分开。

4.3 常见问题二：低风险任务可以完全自动执行吗

4.3.1 低风险也需要边界

低风险任务可以自动执行，但需要白名单、日志和异常回退。比如定时报表、库存提醒、到期合同提醒、低风险状态通知，可以在明确规则下自动执行。即便如此，也要记录触发条件、执行时间、目标对象和结果。

低风险不是没有风险，而是风险可承受、可审计、可回退。

五、🛡️ 六维治理机制与技术设计

5.1 数据治理

5.1.1 数据治理是 AI 可信输出的前提

AI+ERP 的数据治理包括主数据治理、指标口径、数据质量监控、数据血缘、数据分级、脱敏、加密和备份。中国一汽相关公开案例中曾强调，管理智能化建立在数据治理基础之上。如果没有标准、准确、畅通的数据，AI 很难发挥价值。这个判断适用于所有 ERP AI 化项目。

数据治理要解决三个问题。第一，数据是否准确。第二，指标是否统一。第三，数据是否允许被当前用户和当前 AI 任务使用。

5.2 权限治理

5.2.1 权限治理要覆盖人和 Agent

权限治理不仅控制人，也要控制 AI。Agent 必须有身份，必须继承用户权限，必须遵守工具白名单。敏感字段应按数据等级控制。跨部门数据分析要经过授权。

权限治理还要处理临时授权和场景授权。例如审计期间可以临时放宽某些查询权限，但必须有审批和日志。某些经营分析可以看汇总数据，但不能下钻到客户合同明细。

5.3 模型治理

5.3.1 模型上线后仍要持续评估

模型治理包括版本管理、效果评估、误报漏报监控、样本反馈、模型回滚和变更审批。AI+ERP 不能把模型上线视为项目结束。应收风险模型要持续对比真实逾期结果。库存预测模型要对比实际消耗。费用异常模型要看人工复核结果。

指标	说明	适用场景
准确率	预测正确比例	分类、风险识别
召回率	风险识别覆盖能力	风控、异常检测
误报率	错误预警比例	审核、预警
漏报率	未识别风险比例	高风险场景
采纳率	业务采纳 AI 建议比例	推荐、分析
纠错率	人工修正 AI 输出比例	草稿、报告

5.4 流程治理

5.4.1 AI 动作必须进入流程状态机

流程治理关注人工确认、分级执行、审批链、状态控制和回退机制。Agent 不能在不知道流程状态的情况下发起动作。采购单是否已审批，付款是否达到阈值，库存调整是否需要盘点依据，合同是否生效，这些都必须由流程系统判断。

5.5 审计治理

5.5.1 全链路日志是审计基础

审计治理要覆盖输入、输出、查询、检索、工具调用、审批、写入和回退。日志要能按用户、Agent、业务对象、时间和流程追溯。对于高风险动作，日志应支持不可篡改存储或独立审计备份。

5.6 组织治理

5.6.1 AI+ERP 治理是跨部门责任

组织治理包括业务部门参与规则定义，IT 负责平台和架构，数据团队负责数据质量和口径，审计负责风险监督，管理层负责边界和责任机制。AI+ERP 不是 IT 单独能完成的项目。

下面这张图可以概括六维治理体系。

治理不是上线后的补丁，而是 AI 进入 ERP 的准入条件。

六、🏢 组织层面的变革

6.1 业务部门必须参与规则定义

6.1.1 AI 不能替企业定义业务规则

业务部门必须参与 AI+ERP 治理。采购规则、费用标准、信用政策、库存策略、排产规则、审批边界，都不是 IT 或模型团队单独能定义的。AI 只是执行和辅助判断，业务规则仍然来自企业管理体系。

如果业务不参与，AI 输出往往无法落地。比如库存模型预测缺货，但计划部门不认可可用库存口径。费用审核模型提示异常，但财务制度没有结构化规则。采购 Agent 推荐供应商，但采购部门没有确认供应商准入标准。

6.2 IT 架构要升级为 AI+ERP 平台治理

6.2.1 IT 不再只是系统运维

AI 进入 ERP 后，IT 的职责从系统运维和接口开发，扩展到 AI 平台治理、API 网关、权限体系、日志审计、模型接入和安全监控。IT 需要提供统一入口、统一身份、统一工具调用和统一日志。

如果每个部门各自接模型、建知识库、写接口，就会形成新的智能孤岛。企业需要统一架构，否则后续权限、安全和审计都会很难管理。

6.3 数据治理能力成为前台能力

6.3.1 数据团队要靠近业务

数据治理不再是后台报表工作。AI 输出是否可信，很大程度取决于主数据、指标口径、数据血缘和数据质量监控。数据团队需要和业务一起定义指标，和 IT 一起建设数据服务，和审计一起确认数据追溯。

6.4 新角色会出现

6.4.1 AI 产品经理和 AI 业务分析师会成为关键角色

AI+ERP 会带来新角色。AI 产品经理负责场景设计、用户体验、价值评估和迭代路线。AI 业务分析师负责抽取业务规则、定义模型输入输出、复盘模型效果。AI 治理官或治理负责人负责权限、审计、风险和制度。AI 训练师或标注负责人负责样本质量和反馈闭环。

角色	传统职责	AI+ERP 后新增职责
业务部门	使用 ERP、执行流程	定义规则、验证 AI 输出
IT 部门	系统运维、接口开发	AI 平台、API 网关、日志审计
数据团队	报表和数据仓库	数据质量、指标口径、数据血缘
财务审计	核算和审计	AI 风险审计、流程监管
AI 产品经理	可能不存在	场景设计、价值评估
AI 业务分析师	可能不存在	规则抽取、效果复盘
AI 治理负责人	可能不存在	权限、模型、审计协调

6.5 常见问题三：是否需要成立 AI 治理委员会

6.5.1 中大型企业建议建立固定治理机制

中大型企业建议建立 AI 治理委员会或 AI 运营中心。它不一定是很大的组织，但要有明确职责。成员应包括业务、IT、数据、安全、审计和管理层代表。它负责场景准入、风险评估、模型上线、权限策略、审计复盘和事故处理。

中小企业可以采用轻量化机制，比如跨部门治理小组。关键不是名称，而是要有人负责治理。

七、📜 AI 使用规范与效果评估

7.1 使用规范要明确红线

7.1.1 哪些数据不能输入模型要写清楚

企业需要明确 AI 使用规范。哪些数据不能输入外部模型，哪些场景必须人工确认，哪些输出必须标注 AI 生成，员工如何反馈错误，违规使用如何追责，这些都应制度化。

规范项	具体要求
数据输入	禁止上传未经授权的合同、财务明细、客户价格
外部模型	敏感数据必须脱敏或禁止调用
生成内容	经营分析、财务报告需标注来源
高风险动作	付款、库存、信用调整必须人工确认
错误反馈	建立反馈入口和纠错流程
责任追溯	记录用户、Agent、审批人和系统动作

7.2 效果评估要包含技术指标和业务指标

7.2.1 模型好不好，业务也要说了算

AI+ERP 的效果评估不能只看模型准确率。还要看业务采纳率、人工纠错率、处理时长、风险识别率、误报率、漏报率和实际业务收益。比如费用审核模型误报太多，会增加财务负担。应收风险模型漏报高，会影响现金安全。

效果评估应形成周期性复盘。模型输出与人工判断差异要记录，误判原因要分类，模型版本变化要审批。高风险模型还要有回滚机制。

7.3 常见问题四：AI 生成内容是否需要标注

7.3.1 涉及经营判断和外发材料建议标注

内部临时摘要不一定都要显式标注，但涉及经营判断、管理报告、外发文件、审计材料和审批意见时，建议标注 AI 参与生成，并保留人工确认记录。这样可以降低责任不清和引用错误风险。

八、🧩 治理框架与风险地图

8.1 风险地图

8.1.1 风险要和治理措施一一对应

AI+ERP 风险治理不能停留在原则层。每类风险都需要对应机制。

风险类型	典型表现	后果	治理措施
数据安全风险	敏感数据进入模型、外部泄露	商业机密泄露、合规风险	脱敏、加密、权限控制
权限越权风险	AI 跨权限查询和执行	数据泄露、违规操作	权限继承、最小授权
模型幻觉风险	AI 编造数据或解释错误	误导决策	RAG、API 查询、来源引用
错误执行风险	AI 错误创建单据或发起流程	改变业务事实	分级授权、人工确认
合规审计风险	AI 操作无日志	无法追责	全链路日志、审计留痕
组织责任风险	AI 出错无人负责	项目停滞	责任机制、治理角色

8.2 四位一体治理框架

8.2.1 制度、流程、技术、文化要同时建设

ERP 风险防护常强调制度、流程、技术、文化四位一体。AI 进入 ERP 后，这个框架仍然适用。制度规定边界，流程控制动作，技术实现权限和审计，文化决定员工是否按规范使用 AI。

维度	主要内容	AI+ERP 中的体现
制度	使用规范、权限规则、责任机制	明确能做什么、不能做什么
流程	审批、确认、回退、复盘	控制 AI 动作进入业务链路
技术	权限、日志、RAG、API 网关	保证可控和可追溯
文化	风险意识、反馈机制、培训	避免滥用和影子 AI

成功的 AI+ERP 改造，其关键不在于 AI 能力有多强，而在于企业能否建立有效的数字缰绳。

8.3 常见问题五：治理会不会降低效率

8.3.1 治理会增加前期成本，但减少后期事故成本

治理确实会增加设计、开发和审批成本。权限、日志、审计、回退、人工确认都会让项目看起来变慢。但对于 ERP 这种核心系统，少一点治理换来的速度，可能会在后期变成更高的事故成本。

治理不是为了限制 AI，而是让 AI 可以进入更深的业务流程。没有治理，AI 只能停留在问答和报告层。有了治理，AI 才能逐步进入建议、草稿、审批和低风险执行。

结论

AI 进入 ERP 后，企业真正要治理的不是一个模型，而是数据、权限、模型、流程、工具、日志、责任和组织协同。ERP 是企业核心系统，AI 一旦参与查询、判断、单据生成和流程发起，就必须被纳入与人相同甚至更严格的治理体系。

AI+ERP 的五大核心风险包括数据安全、权限越权、模型幻觉、错误执行、合规审计。每类风险都需要对应机制。数据要分级和脱敏，权限要继承和最小授权，模型要评估和可追溯，流程要人工确认和可回退，审计要覆盖查询、生成、调用和写入全过程，组织上要让业务、IT、数据、安全和审计共同承担治理责任。

没有治理，AI 只能停留在问答和报告层。有了治理，AI 才能逐步进入建议、草稿、审批和受控执行。AI+ERP 的成熟标志，不是 AI 能做多少事，而是 AI 做事时是否可控、可审计、可解释、可回退。

企业真正要问的，不是 AI 能不能进入 ERP，而是当前 ERP 是否具备承载 AI 的治理基础。技术能力只是门票，治理能力才决定 AI 能走多深、走多稳。

📢💻 【省心锐评】

AI 进入 ERP 后，真正的门槛不是智能能力，而是企业能否把它管住。