打开网易新闻 查看精彩图片

  • Agentic ERP 治理、安全与风险管理:Agentic ERP 绕不开的治理生死线

  • Agentic ERP 治理体系全拆解:五级成熟度 + 六层框架 + 七类风险地图

  • Agentic ERP 治理指南|成熟度评估、风险地图、可观测性与合规落地

  • Agentic ERP 系列系列第 8 篇:从零搭建 Agentic ERP 治理体系,附落地七步法

如果说过去二十年 ERP 一直在解决“企业怎么把流程数字化”的问题,那么进入 Agentic AI 时代之后,ERP 正在开始回答另一个更敏感的问题:

企业能不能把一部分经营动作,交给可以自主理解目标、调用工具、跨系统编排、持续执行任务的智能体?

这不是一个小升级。既不是在 ERP 上多加一个 Copilot,也不是在财务、供应链、人力模块里嵌几段生成式 AI 能力,而是在把 ERP 从系统记录推向系统行动。

打开网易新闻 查看精彩图片

Gartner 预测,到 2027 年末超过 40% 的 Agentic AI 项目将被取消,核心原因从来不是模型能力不足,而是成本失控、风险不可控、治理体系缺位。

Deloitte 2026 年调研更直白:74% 的企业计划布局 Agentic ERP,但仅有 21% 拥有成熟的智能体治理模型。

当下行业正陷入一个普遍误区:厂商端 SAP、Oracle、微软纷纷加码 Agent 产品,企业端忙着选型、做试点、跑 Demo,所有人都在关注 Agent 能不能做事,却很少有人先回答 企业能不能接住会自主行动的 ERP。

传统 ERP 的权限管控、流程审计、主数据治理体系,本质上是面向 “人操作系统” 设计的。

当 ERP 从 系统记录 走向 系统行动,当智能体可以自主拆解目标、跨系统调用工具、动态编排业务流程,旧的治理框架已经彻底兜不住新的风险。

本篇是 Agentic ERP 系列第 8 篇,我们系统聊透智能体时代的治理命题:

  • 为什么治理是 Agentic ERP 的第一瓶颈?

  • 传统治理体系为什么失效?

  • 企业该如何评估自身治理成熟度?

  • 如何搭建六层治理框架、绘制七类风险地图、设计分层监督模式?

  • 又该如何从软件治理平稳走向自主系统治理?

核心结论先行:Agentic ERP 的核心矛盾,从来不是智能体够不够聪明,而是企业能不能事前定义边界、事中看见过程、事后追清责任。

PS:后台回复AgenticERP08,获取本文扩展阅读资料包。

Agentic ERP为什么突然成了热词

Agentic ERP 这个词之所以在 2025 到 2026 年迅速升温,不是因为咨询公司又造了一个新概念,而是几件事叠加到了一起。

打开网易新闻 查看精彩图片

第一,传统 ERP 的体验和效率天花板已经很明显。

企业这些年花了很多钱做 ERP 上云、流程标准化、数据集中化,但很多流程仍然卡在“人去系统里点、填、查、批、催”。系统是通的,数据是有的,规则也是完整的,问题是动作仍然需要大量人工发起和衔接。

第二,生成式 AI 让“理解意图”这件事突然有了商业可行性。

过去的自动化,更多是基于规则和流程图。RPA 擅长重复性动作,BPM 擅长流程约束,BI 擅长看数,ERP 擅长记账和留痕。现在 Agent 的能力变成了:能根据目标拆解任务,能调用多个工具,能在上下文中持续执行,还能根据反馈修正路径。

这意味着什么?意味着 ERP 不只是一个等人来操作的系统,而有机会变成一个主动推进业务结果的执行底盘。

第三,厂商已经把这个趋势产品化了。

看几家最典型的厂商动作就够了:

厂商

2026年代表动作

释放的信号

Oracle

发布 Fusion Agentic Applications

Agent 已从助手走向结果执行型应用

SAP

推出 Joule Studio、Autonomous Enterprise

Agent 开始成为企业级开发与运行时平台的一部分

Microsoft

财务对账代理强化独立身份、连接与部署流程

Agent 已进入 ERP 细分业务流程的生产准备阶段

再看咨询机构的判断。

Deloitte 说,ERP 不会被 AI 取代,但会朝着 lean、composable、agentic 的方向进化。

Bain 说,Agentic AI 真正的价值,不是给 ERP 改写文档、测代码、补配置,而是把它变成 touchless platform,也就是更接近“少触碰、强编排、重自治”的平台。

这背后其实是一条很清晰的演化链:

ERP 1.0 是系统记录。 ERP 2.0 是流程数字化。 ERP 3.0 是数据驱动决策。 Agentic ERP 则开始走向自主编排与自主执行。

问题来了。

只要 ERP 还停留在“系统记录”层,治理的重心主要是内控、审计、权限、主数据、变更管理。而一旦 ERP 开始向“系统行动”跃迁,治理对象就变了。企业要治理的,不再只是数据、流程和用户,而是:

  • • 目标是怎么被解释的

  • • 行动是谁发起的

  • • 工具是谁调用的

  • • 权限是谁继承的

  • • 风险是谁承担的

  • • 例外是谁升级的

  • • 决策为什么会这么发生

这就不是传统 ERP 治理能天然处理好的问题了。

说到底,原来的 ERP 足够稳定,却不够主动。新的 Agent 足够主动,却未必足够可控。两者一旦碰在一起,热词背后其实就是一场新的企业治理重构。

为什么说治理,才是Agentic ERP的第一瓶颈

很多企业看 Agentic ERP,第一反应通常是技术栈问题,比如:

  • • 选 SAP 还是 Oracle 还是 Microsoft?

  • • 用原生 Agent 还是自建 Agent?

  • • 用 MCP 还是 API 网关?

  • • 用单智能体还是多智能体?

  • • 用平台内 Agent 还是外部编排层?

这些都重要,但它们还不是第一问题。

第一问题是,企业是不是已经搞清楚,什么样的动作可以交给 Agent,什么样的动作不能交给 Agent。技术问题解决的是“能不能做”,治理问题解决的是“该不该做、做到哪一步、出事谁负责”。

本文把它拆成四个层次,如下。

打开网易新闻 查看精彩图片

1. 技术可以让Agent动起来,但治理决定Agent能动到哪

Oracle 说过一句很关键的话:Fusion Agentic Applications ,在既有安全框架中自主推进 routine work,只把 exceptions、tradeoffs 和高价值判断抛给人。

这句话表面在讲产品能力,本质在讲治理边界。Agent 并不是因为会推理才危险,而是因为它一旦会推理,就有机会在多系统之间跨越权限边界、流程边界和责任边界。

它越能动,就越需要边界。

2. 技术可以提升效率,但治理决定效率是不是合规

财务、采购、库存、结算、用工、税务这些流程,原本就是强监管、强审计、强责任链的。如果一个 Agent 帮你把发票识别、三方匹配、异常分类、催款优先级、现金预测都提速了,这当然很好。

但如果它做完之后,你没法回答下面这些问题,效率本身就会变成风险:

  • • 它为什么这么分类?

  • • 它调用了哪些数据源?

  • • 它是不是访问了超出任务范围的数据?

  • • 它有没有绕开原有审批链?

  • • 它是不是在另一个代理里继续放大了权限?

  • • 审计时能不能把全过程还原出来?

企业真正怕的,不是慢,而是快得不可解释。

3. 技术可以造一个Agent,治理要面对的是Agent群

单个 Agent 看起来不复杂。给它一点上下文,给它一点工具,给它一些流程规则,再加个审批节点,好像就能上线。

但真正到了企业里,情况很快就会变成:

  • • 财务有财务 Agent

  • • 供应链有供应链 Agent

  • • HR 有 HR Agent

  • • 采购有采购 Agent

  • • 数据团队有分析 Agent

  • • 开发团队还有运维 Agent、测试 Agent、发布 Agent

然后这些 Agent 之间还会相互调用、相互转交、相互触发。

一旦进入多智能体协同,治理难度会指数上升,你治理的就不再是单个动作,而是一个自治网络。

4. 技术项目可以试点,治理缺口会在规模化时集中爆发

Deloitte 2026 年调研最值得重视的一点,就是企业战略意愿和治理成熟度严重失衡。企业普遍愿意上 Agent,但只有大约五分之一具备成熟治理模型。

Gartner 则警告,到 2027 年末,超过 40% 的 agentic AI 项目会被取消。原因不是模型不够强,而是成本、价值和风险控制都没打通。

换句话说,今天很多 Agentic ERP 试点之所以还能跑,不是因为治理到位,而是因为规模还小、权限还浅、场景还窄、风险还没真正叠加。

一旦进入真实生产环境,治理缺口就会集中暴露。

基于以上分析,本文给出这样一个判断:

Agentic ERP 的本质,不是 ERP 加 AI,是企业第一次把自治能力接入核心经营系统。一旦核心系统开始自主行动,治理就必须从后台配角,变成前台主角。

传统ERP治理为什么管不好Agentic ERP

接下来,我们把传统 ERP 治理为什么“不够用”说透。

要谈新治理,先得说清楚旧治理的问题出在哪。

传统 ERP 治理体系当然不是没用。恰恰相反,它仍然非常重要。主数据治理、流程治理、权限治理、职责分离、SOX 控制、变更管理、审计留痕,这些没有一个会失效。

问题是,到了 Agentic ERP这里,它们就不够用了。原因在于,传统 ERP 治理默认有四个前提,而这四个前提到了 Agentic ERP 时代都开始松动。

打开网易新闻 查看精彩图片

前提一:动作主体主要是人

传统 ERP 假设,系统里的关键动作最终由人发起,哪怕中间有自动规则、批处理、RPA 和接口调用,责任归属也比较容易追到人。

Agentic ERP 不一样。Agent 不只是代替人点按钮,它会解释目标、拆分任务、决定调用顺序、在多工具之间迁移上下文,甚至把一段任务交给另一个 Agent。

这时候,“谁做的”这个问题就变得不再简单。

前提二:权限是相对稳定的

传统权限治理更多处理静态授权。

谁能看什么、谁能改什么、谁能批什么、谁能导出什么。

但 Agent 的权限更像动态权限。它可能只为某个任务临时存在,可能在一次任务里连续调用多个系统,可能代表某个用户,也可能代表某个业务流程,还可能在链式调用里临时转授权限。

这意味着传统 RBAC 只能解决一部分问题,必须引入 task-scoped access、just-in-time authorization、delegation chain validation 这些动态控制。

前提三:流程边界相对清晰

过去 ERP 的流程大多是在模块内或者既定接口内跑。

采购归采购,财务归财务,供应链归供应链,虽然也集成,但路径比较固定。

Agentic ERP 的一大特点,是它会主动跨边界。比如一个现金流 Agent,可能为了给出收款建议,去拉 AR、客户信用、合同条款、争议工单、销售跟进、预测模型,再触发一个催收代理去起草沟通,再把结果送回财务工作台。

这个路径不再是单一模块内的动作,而是跨域动作。一旦跨域,治理就不能只按模块看,而要按目标链路看。

前提四:日志足够支撑审计

过去的 ERP 审计,对交易记录、审批记录、变更记录、用户行为记录就已经能覆盖大多数风险。

Agentic ERP 的问题是,仅有“发生了什么”还不够。还得知道:

  • • 为什么发生

  • • 在什么上下文下发生

  • • 是谁授权它发生

  • • 它中间还调用了谁

  • • 哪一步是建议,哪一步是执行

  • • 哪一步有人看过,哪一步没人看过

这也是为什么 Strata 会说,observability is the evidence layer。

没有证据层,治理就是空的。

所以,传统 ERP 治理不是要被推翻,而是要被扩容。原来的治理体系擅长管理“人如何使用系统”,现在企业还得补上一套能力,去管理“系统如何替人行动”。

企业需要先做一件事:判断自己处在哪个Agent治理成熟度阶段

很多企业现在一上来就问,怎么部署 Agent。其实企业真正该先问的是:现在配不配上 Agent?

这个问题听起来有点刺耳,却非常现实。因为不是所有企业,都已经准备好进入 Agentic ERP。

怎么才能知道企业是否已经准备好了呢?本文给出一个适合企业自查的 Agent 治理成熟度模型(Agentic Governance Maturity Model,AGMM),见下图与下表。

打开网易新闻 查看精彩图片

AGMM五级成熟度模型

等级

名称

典型状态

是否适合扩大Agentic ERP

L1

工具试验级

有零散 Copilot 或 Agent 试点,缺少统一台账与治理责任

不适合

L2

受控试点级

有部分流程试点,有基本审批和人工复核,但身份、日志、策略分散

谨慎

L3

平台治理级

有统一 Agent 注册、身份管理、授权标准、日志与例外升级机制

可逐步扩大

L4

运行控制级

已形成运行时策略、可观测性、评估、成本治理、跨域控制面

适合扩大

L5

自治运营级

Agent 治理嵌入企业经营体系,形成持续评估、动态授权和分层监督

可系统化推广

AGMM不是行业现成标准,但非常适合企业做内部判断。下面展开说说。

L1:工具试验级

这个阶段的企业最常见,特点是:

  • • 业务部门或 IT 部门各自玩 Agent

  • • 没有统一 Agent inventory

  • • 没有明确 owner of record

  • • 没有独立身份治理

  • • 没有统一观测和留痕标准

说白了,就是“先跑起来再说”。这个阶段最大的风险,不是技术差,而是很容易出现 shadow agents,也就是影子智能体。

团队为了提效,自己拉一个 Agent,接一个生产 API,用一个测试 token,跑着跑着就变成事实生产系统。

这时候别说治理,连看见它都难。

L2:受控试点级

这个阶段开始有治理意识了,比如:

  • • 某些流程需要人审

  • • 某些动作不能自动执行

  • • 有环境隔离

  • • 有一部分流程日志

但它的问题是控制仍然碎片化。通常是一个团队一套规则,一个平台一套策略,一个厂商一套管理方法。

结果就是单点可控,整体不可控。

L3:平台治理级

这是企业真正可以开始认真扩大 Agentic ERP 的起点,这个阶段至少要具备几件事:

  • • 有统一 Agent 台账

  • • 有统一身份命名和生命周期管理

  • • 有 Agent 分类和风险等级

  • • 有基本的授权与审批策略

  • • 有统一日志和追溯要求

  • • 有例外事件升级路径

换句话说,不是每个 Agent 都治理得很好,但至少治理已经从项目动作变成平台能力。

L4:运行控制级

很多企业以为做到 L3 就够了,实际上还不够。因为 Agent 的风险主要不是静态风险,而是运行时风险。

L4 的核心是:

  • • 运行时动态授权

  • • 行为可观测

  • • 任务链路可重建

  • • 策略能按上下文触发

  • • 异常能自动告警与降级

  • • 成本、延迟、成功率、误动作率都能度量

到了这个阶段,企业才真正从“会部署 Agent”进入“会运营 Agent”。

L5:自治运营级

这是 Agentic ERP 能大规模走向核心流程的前提,这个阶段意味着:

  • • 治理规则和经营规则已经打通

  • • Agent 的自治等级可以按流程动态配置

  • • 监督模式可以分层切换

  • • 审计、风控、法务、业务和 IT 形成统一控制面

  • • 治理不再是一个 AI 项目的附属工作,而是企业的持续运营能力

从这个角度看,很多企业今天还停留在 L1-L2,却急着谈 Autonomous Enterprise。

这就有点像地基刚打了一层,就开始讨论顶楼景观怎么做。

企业需要的是EAGF:面向Agentic ERP的企业治理框架

判断完成熟度,下一步就该进入框架设计。

本文设计了一个面向Agentic ERP的企业治理框架(Enterprise Agent Governance Framework,EAGF)。它的目标很简单:给企业提供一套能管住 Agentic ERP 的治理结构。

从企业需求与相关资料来总结,EAGF 至少要包含六层。

打开网易新闻 查看精彩图片

EAGF第一层:治理与责任层

这一层解决的是“谁负责”,必须明确几个角色:

  • • 业务 owner:定义目标与边界

  • • 系统 owner:负责运行与稳定性

  • • 风控 / 内控 owner:负责控制要求

  • • 安全 owner:负责身份、授权、攻击面

  • • 审计 owner:负责证据链和复核机制

很多企业上 Agent 最大的问题,不是没有技术负责人,而是没有治理负责人。这在 ERP 场景里很危险。

EAGF第二层:Agent注册与分类层

所有 Agent 必须登记在册,至少记录这些信息:

  • • 名称

  • • 所属部门

  • • owner

  • • 所在平台

  • • 所连系统

  • • 使用模型

  • • 使用工具

  • • 自治等级

  • • 涉及数据等级

  • • 是否可写

  • • 是否可跨域

  • • 是否可代理其他 Agent

很多治理问题其实都出在这一步没做。连 inventory 都没有,后面就是空谈。

EAGF第三层:身份与授权层

这是一切控制的核心。

微软的财务代理配置文档已经给出了非常现实的启发:Agent 必须有独立身份用户、独立许可、独立连接器角色。

这背后隐含的是一个原则:

Agent 不能继续被当成“某个开发者写的脚本”或“某个系统下的默认账户”。 它必须被当成企业里的一级非人类身份主体。

因此这一层至少要做到:

  • • 每个 Agent 独立身份

  • • 禁止共享高权限服务账号

  • • 任务级授权,而不是永久宽授权

  • • 代理调用必须保留 delegation chain

  • • 高风险动作必须有 action-level approval

如果这一层不立住,后面的审计、追责、监控都没有意义。

EAGF第四层:策略与执行边界层

这层解决的是“什么能做,做到哪一步”,要定义清楚:

  • • 哪些动作可自动执行

  • • 哪些动作必须人工确认

  • • 哪些动作只能建议不能落地

  • • 哪些数据可以读不能写

  • • 哪些系统只能在沙箱里调用

很多企业的问题,不是 Agent 太聪明,而是边界没画清楚。边界一旦模糊,Agent 的能力越强,风险半径越大。

EAGF第五层:可观测性与证据层

这一层就是 Agentic ERP 治理的证据工厂,至少要记录:

  • • 谁发起

  • • 谁授权

  • • 哪个 Agent 执行

  • • 用了哪个模型

  • • 调了哪些工具

  • • 访问了哪些数据

  • • 中间发生了哪些转交

  • • 哪些动作被人批准

  • • 最终结果是什么

注意,不只是结果日志,而是过程日志。ERP 可以没有全过程 trace 吗?在 Agent 时代,不行。

EAGF第六层:评估、审计与持续改进层

治理不能只上线前评审,还得持续看:

  • • 任务成功率

  • • 异常率

  • • 误动作率

  • • 人工接管率

  • • 权限漂移情况

  • • 代理链路长度

  • • 成本与收益对比

很多企业会发现,Agent 的问题不是一上线就暴露,而是在运行几个月后,慢慢产生权限膨胀、规则漂移和上下文污染。

所以 EAGF 必须是一个闭环,不是一次性制度。

这套六层递进的 EAGF 治理框架,为企业规模化落地 Agentic ERP 构建了权责清晰、闭环可控的安全治理底座。

企业必须画出自己的Agent风险地图

很多 Agentic ERP 项目之所以推进困难,不是因为企业不知道有风险,而是因为企业只知道“有风险”,却说不清风险到底在哪一层、会沿着什么路径扩散。

讲治理,不能只讲原则,还要讲风险地图。企业做 Agentic ERP,最怕的一件事,是把所有风险都笼统归结为“幻觉”。

Agentic ERP 的风险比普通生成式 AI 要复杂得多。本文建议企业建立一张Enterprise Agent Risk Map,至少把风险分成七类。

打开网易新闻 查看精彩图片

第一类:身份风险

关键词:

  • • 身份不可见

  • • 服务账号复用

  • • Agent owner 不清

  • • 离职后凭证未回收

这是很多问题的起点。

在 ERP 场景中,若 Agent 长期挂靠通用服务账号、没有明确的归属责任人,所有操作都无法追溯到具体管理主体;员工离职后未及时回收关联的 Agent 权限与密钥,更会成为数据泄露的隐形入口。只要 Agent 不是独立身份,治理就一定是虚的。

第二类:授权风险

关键词:

  • • privilege drift

  • • standing access

  • • over-scoped tokens

  • • broken delegation chains

很多企业一开始为了 “先跑起来”,会给 Agent 很宽的权限。

初期为了快速落地授予的全域访问权限,会随着 Agent 接入系统增多逐步发生权限漂移;永久有效的高权限令牌一旦泄露,会直接威胁财务、库存等核心业务;委托链路一旦断裂,越权操作也将彻底失去溯源依据。结果就是项目跑通了,治理死了。

第三类:数据风险

关键词:

  • • 越权访问

  • • 敏感数据拼接

  • • 跨系统数据外泄

  • • 训练与推理上下文污染

ERP 场景里的数据往往是高价值、高敏感的。

财务、工资、客户合同、库存计划、供应商条款,全都是高敏感资产。Agent 一旦跨域调用多系统数据,极易通过信息拼接还原出完整商业机密;推理过程中的上下文残留,还可能导致敏感数据在非授权场景被意外引用,放大数据泄露与合规风险。

第四类:流程风险

关键词:

  • • 绕过审批

  • • 误触发流程

  • • 异常未升级

  • • 自动化链路过长

传统系统里,流程是被显式建模的。

Agentic ERP 里,流程开始带有动态编排色彩。Agent 自主编排任务时,可能因规则理解偏差跳过关键审批节点;长链路自动化执行中,若单个环节异常未及时触发人工升级,偏差会沿着业务流程逐级放大,甚至造成账务、库存等核心数据错乱。如果边界和例外机制不清,流程风险会明显放大。

第五类:模型与推理风险

关键词:

  • • 目标误解

  • • 错误拆解

  • • 推理漂移

  • • 上下文误绑定

这类风险当然仍然存在,但它不再是全部。

面对 ERP 复杂的业务规则与数据逻辑,模型可能出现业务目标理解偏差、任务拆解逻辑错位,长上下文下的信息误绑定还会导致执行结果偏离初衷,这类问题隐蔽性强,往往到业务校验环节才会暴露。它只是七类风险之一。

第六类:多智能体协同风险

关键词:

  • • misaligned delegation

  • • agent-to-agent injection

  • • context poisoning

  • • chain amplification

这是 Agentic ERP 最容易被忽视的一类。

单体 Agent 出错,影响可能有限。

多智能体协作一旦出错,往往是串联扩散。单个 Agent 的输出偏差会作为输入传递给下游 Agent,偏差在链路中逐级放大;同时跨 Agent 交互接口还可能遭受提示注入攻击,导致整个协同链路失控,影响范围远超单 Agent 故障。一个代理的偏差,很可能被另一个代理当成事实继续执行。

第七类:审计与合规风险

关键词:

  • • 过程不可重建

  • • 证据不足

  • • 监管解释困难

  • • 人工监督缺位

在 ERP 体系里,很多系统不是不能试错,而是没法不留痕地试错。

若缺少全链路的过程日志,一旦出现业务差错或合规问题,就无法完整还原 Agent 的决策与执行路径,既难以满足财务、审计等行业监管要求,也无法清晰界定人机责任边界。

所以 Agentic ERP 最终一定要回到审计与合规可接受性上来。没有这个接受性,再聪明的 Agent,也只能停在试点。

企业在真正推动 Agentic ERP 之前,最好把这七类风险映射到自己的关键流程上,至少做三件事:

  • • 标清高风险流程

  • • 标清高风险动作

  • • 标清高风险身份与高风险数据

只有把风险从抽象名词变成流程节点,后面的授权、监督和审计才有抓手。

HITL、HOTL、HOOTL:企业必须分层设计监督模式

很多人把监督理解成“多加一个人工审批节点”,这其实还是传统流程思维。Agentic ERP 的监督,本质上是重新设计“人和自治系统如何共同完成业务动作”的协作结构。

只要谈 Agent,就绕不开 human oversight。但很多企业一提监督,就一句话:加个人工复核。

这其实没说到点上。监督不是有或没有的问题,而是分层的问题。因此,本文建议企业用三层模型去管理。

打开网易新闻 查看精彩图片

1. HITL:Human in the Loop

也就是人始终在环,适合这些场景:

  • • 高风险财务动作

  • • 法规敏感动作

  • • 对外付款

  • • 权限变更

  • • 会影响正式账务结果的动作

在这一层,Agent 可以建议、分析、预填、排序、解释,但最终动作必须经过人工确认。

王吉伟频道认为,很多企业在上财务、税务、付款、授信相关 Agent 时,起步阶段都应该从 HITL 开始。因为这些动作一旦落错,不只是效率问题,而是责任问题。

2. HOTL:Human on the Loop

也就是人盯着环,适合这些场景:

  • • 中风险运营动作

  • • 大量重复但有成熟规则的工作

  • • 需要人做例外接管的流程

在这一层,Agent 可以自动执行大部分动作,人主要看异常、看告警、看采样。

HOTL 其实最容易被低估。很多企业不是不敢自治,而是不知道怎么从 HITL 平滑过渡到更高自治。

3. HOOTL:Human out of the loop

也就是人默认不在环内,但要在制度上和系统上留有兜底介入能力。适合这些场景:

  • • 低风险、低金额、低敏感度动作

  • • 高频、标准化、可回滚动作

  • • 已经过充分验证的封闭场景

注意,HOOTL 不是“没人负责”,而是“人不逐笔介入,但必须可追责、可终止、可回退”。

这一层最容易让业务团队兴奋,也最容易让风控团队紧张。因为一旦真的走到 HOOTL,企业面对的就不是“AI 提建议”,而是“AI 直接动手”。

很多企业一开始会把所有场景都压在 HITL,结果效率提升有限。也有一些企业会冲得太快,直接奔 HOOTL,结果风控和审计根本接不住。

所以真正好的治理,不是永远保守,而是按场景、风险、金额、影响范围和可回滚性,动态选择监督模式。

这也正是 Agentic ERP 与传统自动化最大的不同:

它不是“自动”或“不自动”的二分法。 而是“自治到什么程度,由谁监督,在什么条件下升级”的连续光谱。

从企业落地的角度看,监督模式最好不要按部门拍脑袋决定,而要按五个因子联合判定:

  • • 金额影响

  • • 合规敏感度

  • • 数据敏感度

  • • 可回滚性

  • • 例外发生率

把这五个因子量化之后,HITL、HOTL、HOOTL 才会变成可以执行、可以复盘的运行策略。

对HITL系统感兴趣,可以阅读下面这篇文章。

Agentic ERP的安全,核心已经不只是模型安全,而是行动安全

如果说治理回答的是“谁该负责、边界怎么划”,那么安全回答的就是“当 Agent 真开始动手时,企业靠什么把损失半径锁住”。

过去讲 AI 安全,大家会先想到模型安全、越狱、提示注入、训练数据污染。这些当然还在。

但到了 Agentic ERP 这里,安全重点发生了明显转移。企业现在更应该先问的是:

  • • 这个 Agent 能动什么?

  • • 它能调哪些系统?

  • • 它能拿到什么权限?

  • • 它的动作是不是被策略约束?

  • • 它出错后,损失会扩散到哪里?

也就是说,Agentic ERP 的安全核心已经从“内容生成安全”转向“行动执行安全”。

打开网易新闻 查看精彩图片

行动安全至少包含以下四个关键面 第一,身份安全

所有 Agent 都必须被视为非人类身份主体。企业需为每一个 Agent 分配唯一的独立身份标识,与自然人账号体系严格隔离,并绑定明确的业务责任人,从源头落实权责对应。

没有独立身份,就没有最小权限的落地基础,更没有可追溯的责任链路,后续的授权、审计与追责都将沦为空谈。

第二,工具安全

MCP、API、数据库、邮件、文件系统、审批接口,这些都是 Agent 的行动器官。企业需要对各类工具接口做分级权限管控,对批量数据修改、付款触发、流程审批等高风险操作设置强校验规则,同时对工具调用的全量参数与返回结果做实时审计。

工具调用不受控,Agent 安全就无从谈起,越权调用与误操作极易直接引发核心业务风险。

第三,环境安全

SAP 在 Joule Studio 运行时里强调 sandboxed environment 和 guardrails,这点非常关键。

企业必须把 Agent 放在隔离、可观测、可控的沙箱环境中运行,设置输入输出的规则护栏,所有与生产系统的交互都需经过管控层转发校验,优先在测试环境验证执行逻辑,再按需同步生产环境,而不是让 Agent 直接裸连生产系统。

第四,链路安全

一个 Agent 安全,不代表一串 Agent 安全。多智能体协作链路里,任何一个节点的偏差或漏洞都可能成为风险放大器,沿任务传递路径逐级扩散。

安全设计必须面向链路,不只是面向单点,要在节点间设置权限核验与风险熔断机制,一旦某环节出现异常立即中断任务流转,避免风险沿协作链路传导放大。

企业在这里尤其要完成一个安全认知转换:过去防的是“模型说错话”,现在防的是“Agent 做错事”。

所以,Agentic ERP 安全至少还应补上几项企业级控制:

  • • 动作白名单与黑名单

  • • 高风险工具调用双确认

  • • 跨系统写操作限额

  • • 关键流程时间窗限制

  • • 异常动作自动熔断

只有把这些行动约束加进去,安全才不只是“模型安全治理”,而是真正的“企业执行安全治理”。

没有可观测性,就没有Agentic ERP治理

这一章看起来像技术章节,其实是治理章节。

在 Agentic ERP 场景下,智能体具备自主任务拆解、动态流程编排、跨系统联动执行的特性,其运行过程不再是预设好的固定程序,而是会随业务上下文动态调整的自治行为。

企业最后能不能向审计、法务和监管者解释清楚 Agentic ERP 的运行状态,靠的不是口头制度,而是可观测性留下来的完整证据链。

企业过去很熟悉 APM、SIEM、日志平台、链路追踪,这些工具足以支撑传统系统的运维监控需求。

但 Agentic ERP 需要的 observability,远不止这些。因为传统可观测性看的是系统运行状态、接口调用成功率、资源负载等技术指标,而 Agent 可观测性要穿透到智能体的决策逻辑与自治行为。

这两者不是一回事。前者能告诉你系统有没有报错,后者才能告诉你报错背后的决策路径与业务影响。

打开网易新闻 查看精彩图片

王吉伟频道认为,Agentic ERP 的 observability 至少要覆盖五个核心问题:

  1. 1. 这个 Agent 在做什么:实时追踪其当前执行的动作、所处的任务阶段

  2. 2. 它为什么这么做:还原其决策依据、目标上下文与推理逻辑

  3. 3. 它代表谁在做:明确背后的发起主体、责任归属与授权来源

  4. 4. 它调用了谁:梳理其跨系统、跨工具的完整交互链路

  5. 5. 这件事的业务结果是什么:对齐最终业务产出,而非仅看技术执行状态

如果只能看到 API 调用了、日志落了、CPU 正常、成本上涨了,这还远远不够。

企业还得看:

  • • 每条任务链的目标

  • • 中间推理与路由

  • • 工具调用顺序

  • • 代理转交关系

  • • 例外触发点

  • • 人工介入点

  • • 最终落地动作

这些维度共同拼接成一条完整的任务执行全轨迹,让每一步决策、每一次操作都可回溯、可复盘,从根源上解决 Agent 行为黑盒化的治理难题。

这就是为什么 Bain、CSA、Strata、SAP 都在同时强调 observability。因为到了 Agent 时代,可观测性不再只是运维团队的排障工具,而是贯穿权责、风控、审计全环节的治理基础设施。

这里建议,企业至少要为 Agentic ERP 建立一组专门的运营指标:

  • • 任务完成率

  • • 人工接管率

  • • 异常升级率

  • • 错误执行率

  • • 授权失败率

  • • 平均代理链长度

  • • 单任务成本

这些指标看起来像运营指标,实际上就是治理体征。任务完成率反映执行效率,人工接管率体现 Agent 能力边界,异常升级率关乎风控机制有效性,授权失败率则直接对应权限治理的健康度。

没有体系化的可观测性支撑,企业就只能 “感觉上在治理”,无法真正量化风险、落地治理闭环。

监管正在逼着企业把治理前置

很多企业会把监管理解成 “等业务做大了再补的要求”,抱着 “先落地、后合规” 的心态推进 AI 项目,这在 Agentic ERP 上非常危险。

因为一旦 Agent 深度嵌入核心业务流程,监管关注的就不再是你用了什么新技术,而是整套系统是否可解释、可追责、可控制,任何失控都可能直接触发合规与业务风险。

很多企业还觉得监管离自己很远。如果只是做个内部问答助手、文档总结工具这类通用低风险应用,也许监管要求确实没那么近。

但只要 Agent 进入 ERP,进入财务、雇佣、信用、供应链、关键业务流程,就会直接落入高风险 AI 系统的监管范畴,合规要求会立刻从 “远期规划” 变成 “落地前提”。

打开网易新闻 查看精彩图片

欧盟 AI Act 的时间线已经非常清楚,梯度落地的节奏毫无缓冲空间:

  • • 2024 年 8 月 1 日生效

  • • 2025 年 2 月 2 日部分规则适用

  • • 2025 年 8 月 2 日 GPAI 和治理规则适用

  • • 2026 年 8 月 2 日大部分义务开始适用

  • • 部分高风险系统在 2027 年和 2028 年进入更严格阶段

更重要的是,AI Act 对高风险系统的要求里,已经把 traceability、logging、documentation、human oversight、robustness、cybersecurity 这些关键词明确纳入强制义务。

这些要求并非抽象的技术指引,恰恰对应了 Agentic ERP 治理的核心环节 :全链路可追溯、过程日志留痕、技术文档备案、人工监督机制、运行稳定性与网络安全防护,每一项都直接关系到项目的合规合法性。

这意味着什么?

意味着企业今天做 Agentic ERP,就算法规还没有逐条写 “ERP Agent 应该怎样”,实际要求也已经在逐步收紧,高风险场景的合规框架已经成型,不存在 “先跑通再说” 的缓冲空间。

监管不会等企业把 Agent 玩明白以后再进场。

它只会在企业把 Agent 接进核心流程以后,追问一句:你拿什么证明这套系统是可控的?

从决策依据到操作日志,从权限边界到人工干预机制,任何一环拿不出合规证据,项目都很难走远,甚至可能面临业务暂停与合规处罚的双重风险。

从这个角度看,监管压力未必都是坏事。

它反而会逼着企业提前把该补的底座补起来,避免业务做大后再推倒重来的高昂改造成本,同时也用统一的合规标准倒逼企业夯实安全可控的智能体运行体系,让 Agentic ERP 的落地走得更稳、更远。

企业该怎么落地:从软件治理走向自主系统治理

前面讲了这么多框架、风险、监督和监管,最后还是要回到企业最关心的那句话:到底怎么落地,才不会一上来就做成大而空?

王吉伟频道的建议是,不要把 Agentic ERP 落地理解成一次“大上线”,而要把它理解成一次治理能力和自治能力同步爬坡的过程。

最后,回到最务实的问题:企业到底该怎么做?

这里,王吉伟频道给大家话了一张直观的路线图。

打开网易新闻 查看精彩图片

第一步,先做 Agent inventory,不要急着扩张

全面盘点企业内已正式部署的智能体、第三方连接器、AI 开发平台,重点排查各业务线自行搭建的 “影子智能体”,逐一登记其接入系统、数据权限与实际责任人。

连资产库存都摸不清,后续的权限管控、风险排查与治理落地就全是空中楼阁。

第二步,用 AGMM 给自己定级

对照 Agent 治理成熟度模型(AGMM)客观评估当前所处阶段,保持务实心态。

如果还处于工具零散使用、治理体系缺失的 L1-L2 阶段,就不要急着将 Agent 接入高风险财务、供应链核心闭环。优先补齐基础治理能力,再逐步拓展业务边界,避免能力与风险错配。

第三步,建立 EAGF 最小框架

先搭建治理的基础骨架,而非追求一步到位的大而全工程。

先把责任归属、注册登记、身份与授权、策略边界、可观测性、评估闭环六层核心能力立起来,形成最小可运行的治理闭环,后续再结合业务场景逐步细化规则、丰富能力。

第四步,优先选低风险高价值场景

避开总账、付款、税务申报这类直接触达核心资产的高风险场景,优先从异常排序、对账建议、催收优先级、预测辅助、文档归集、运营预警等场景切入。

这类场景以建议输出、辅助判断为主,动作可回滚、容错率高,既能快速验证业务价值,也能在实践中逐步建立人机协作信任。

第五步,把监督模式设计进去,而不是事后补

在方案设计阶段就明确每个业务场景的人机监督模式:高风险环节采用人在回路(HITL)强干预,中风险环节采用人在环上(HOTL)实时监控告警,低风险环节采用人在环外(HOOTL)事后审计。

监督模式不是上线后补充的补丁,是 Agent 系统的核心架构参数。

第六步,把安全和可观测性当成首发能力

摒弃 “先上线、后补安全” 的传统思路,不能等上线后再接 SIEM、出事后再加追踪链路。

必须从项目第一天就将独立身份、分级授权、全链路日志、行为追踪、风险告警、成本监测、一键回滚等能力同步纳入架构设计,与业务功能同步落地。

第七步,建立 Agent 审计与运营机制

不要把 Agent 当成一次性上线的软件项目,它更像企业内的数字员工。

既然是数字员工,就要有完整的全生命周期管理:有唯一身份档案,有清晰的权限边界,有持续的行为记录,有定期的绩效与风险评估,有标准化的异常处置流程,也有规范的下线退出机制。

这才是真正可持续的企业级 Agent 治理。

如果把上面七步连起来看,企业会发现一个重要变化:过去上线 ERP 能力,更像上线一个软件模块。现在上线 Agentic ERP 能力,更像是在企业里引入一类持续影响流程的新型生产力单元。

这就决定了落地方法不能只是项目管理方法,还得是运营治理方法。

结语:Agentic ERP真正难的,从来不是把Agent接进去,而是让企业接得住

写到这里,核心判断已经很清楚了。Agentic ERP 不是单点产品升级,也不是一个新概念包装,它正在推动 ERP 从数字化工具走向自治执行系统。

Agentic ERP 不是未来时,它已经开始进入现在时。厂商在推,平台在建,工具在成熟,业务部门也会不断提出更多自治需求。

从趋势上看,这条路几乎不会后退,但这并不意味着企业该盲目乐观。

相反,越是在这时候,越要冷静。

打开网易新闻 查看精彩图片

王吉伟频道认为,未来三年,企业在 Agentic ERP 上真正拉开差距的,不会是谁先买到更多 Agent,不会是谁先接更多模型,也不会是谁先做出更炫的演示。

真正拉开差距的,是谁先建立起一套面向自主系统的治理能力。

因为 Agentic ERP 的竞争,本质上不是谁更智能,而是谁更可控地智能。

从系统记录到系统行动,是 ERP 的一次质变。

但每一次质变,都要有新的治理语言、新的控制结构、新的责任机制去接住。

所以,Agentic ERP 这件事,表面上看是 AI 改造 ERP,往深里看,其实是企业在重写自己的治理体系。

王吉伟频道想再补一句,这件事真正考验的,不是谁家模型参数更大,谁家平台界面更炫,而是谁能先在组织、制度、流程、身份、安全、监督、证据这些硬骨头上动刀子。

因为这些东西不解决,Agent 接得越深,后面返工越大。

当 ERP 开始自主行动,企业的第一反应不该是兴奋,而该是先把边界、证据、责任和监督准备好。

因为真正决定 Agentic ERP 能不能跑远的,从来不是技术冲得多快,而是治理能不能跟得上。

Agentic ERP 的演进,本质是 ERP 从 “数字化工具” 到 “自治执行系统” 的质变。技术可以让智能体跑起来,但治理才能让智能体跑得稳、跑得远、跑得合规。

本文搭建的五级治理成熟度模型、六层 EAGF 治理框架、七类风险地图与三层监督模式,构成了一套完整的企业智能体治理落地体系。它不是对传统 ERP 治理的推翻,而是在原有基础上的扩容升级 ,从管理人操作,到管系统自主行动。

公众号后台回复关键词AgenticERP08,免费领取全套可编辑资料包。

本系列已连续更新 8 篇,覆盖定义、架构、厂商、产业链、落地路线图、人机治理、风控体系全维度。下一篇,我们聊聊Agentic ERP工程架构与技术实现。建议点赞 + 在看 + 星标账号,不错过整套 Agentic ERP 深度内容。

Agentic ERP系列文章回顾:

  • • 第1篇:

  • • 第2篇:

  • • 第3篇:

  • • 第4篇:

  • • 第5篇:

  • 第6篇:

  • 第7篇:

  • 第8篇(本篇):Agentic ERP 治理体系全拆解:五级成熟度 + 六层框架 + 七类风险地图

  • 第9篇(预告): Agentic ERP工程架构与技术实现

看到这里了,如果觉得不错,随手点个赞、在看、转发三连吧,也可以给个星标,你的支持就是我的动力。

全文完

王吉伟频道图书《一本书讲透Agentic AI》已出版,完整构建Agentic AI在企业应用中的全景式知识体系,内容跨越 “基础认知-技术原理-业务应用-组织战略-实操指南” 五大板块,为读者提供从认知共识、技术解构、业务对接到组织变革的端到端路线图,欢迎大家关注。

赠书福利进行中

感谢大家的长期关注与支持。欢迎小伙伴们在文末留言与转发,王吉伟频道会随机选取读者,《一本书讲透Agentic AI》包邮到家。

【 文末福利1 】:后台发消息研报2026,获取15篇 2026年 AI Agent研报 。

打开网易新闻 查看精彩图片

【文末福利2】: 后台发消息Workflow,获取 Agentic Workflow 相关25篇论文。

打开网易新闻 查看精彩图片

【文末福利3】:后 台发消息agentic,获取Agentic AI相关资源 。

打开网易新闻 查看精彩图片

【文末福利4】:后台发消息RPA Agent,获取 相关论文和研报。

打开网易新闻 查看精彩图片

1、

2、

3、

4、

5、

6、

7、

8、

8、

10、