ERP環境下企業的風險管理審計

ERP環境下企業的風險管理審計

【內容提要】本文闡述了ERP環境下企業風險管理審計的必要性，系統介紹了ERP環境下企業風險管理審計的主要內容與方法，簡要分析了ERP環境下企業風險管理審計的客觀條件，對企業應用ERP系統后的風險管理審計具有一定的指導意義。 　　【關鍵詞】風險管理 審計 ERP　　隨著人類步入信息化社會，企業生存和發展的環境發生了重大改變，以管理思想和管理方法為核心的企業資源計劃系統（簡稱ERP系統）已成為企業提升管理水平和競爭實力的有力武器，企業的風險管理發生了根本性的變化，與之對應的風險管理審計也面臨著前所未有的挑戰�！�　一、ERP環境下企業風險管理審計的必要性　�。ㄒ唬〦RP系統的高風險性決定了企業必須實行風險管理　　據統計，全球實施ERP的成功率不過20%.他們中，有的在實施時即告失敗，有的在實施成功后因發育不良而夭折。盡管如此，還是有不少企業懷著美麗的夢想，踏上ERP實施的艱辛之旅。經過一番奮力拼搏，那些在實施中最后的幸存者，將仍然面臨較實施前更大的風險。系統的運行，將隨時可能出現這樣或那樣的問題，有時甚至可能使整個系統在瞬時間崩潰。是否有一個運行有效的風險管理機制將決定企業是否能在最初的ERP投資中真正獲益�！　。ǘ�）ERP的系統特性為企業的風險管理提出了新的要求　　ERP系統與企業其他信息系統有著本質的不同，她通過流程重組，實現了企業的管理變革；通過系統集成，實現了信息的實時共享；通過流程控制，實現了績效的動態監控；通過系統優化，實現了管理的持續改善。另一方面，企業的生產經營業務通過統一的ERP系統平臺進行處理后，以往肉眼可見的線索都被掩蓋起來，企業及員工的工作習慣、思維方式、信息載體、控制手段和管理模式等都發生了根本變化。所有這一切，都為企業的風險管理提出了新的更高要求。　�。ㄈ�）ERP環境下的企業風險管理更加離不開內部審計　　對風險管理的審查和評價是企業內部審計的基本內容之一。ERP環境下企業的風險管理審計將顯得更為重要。一方面，在ERP環境下，舞弊和失誤均由原來的手工操作變成了由機器和系統程序來完成，不留任何紙面痕跡，從而使風險更加隱蔽、層次更高、內涵更深，風險識別、評估和應對的難度更大；另一方面，企業實施ERP以后，ERP已成為企業的生命線，風險可能造成的損失將更加巨大。據美國斯坦福研究所的調查，美國計算機舞弊犯罪最高的一次就達到50億美元。企業為了防范和降低風險，必須加大風險管理的審計力度�！�　二、ERP環境下企業風險管理審計的內容與方法　　（一）ERP環境下企業風險管理審計的主要內容　　企業風險管理審計就是要對企業風險管理過程及其內容的適當性和有效性進行審查和評價，并提出改進建議。在ERP環境下，要重點考慮對以下幾方面進行審計�！　�1、對風險管理機制的審計。無論從系統實施，還是從系統運行來說，ERP都是一個風險巨大的系統，必須建立嚴密的風險管理機制。對ERP環境下企業風險管理的審計，首先必須對風險管理機制進行審計，審查企業及其下屬單位是否建立了風險管理機制，風險的識別、評價和應對機制的適應性和有效性如何，實際運行情況怎樣，是否有利于企業管理的持續改善等。在審計中，我們還應當專門對業務流程、關鍵控制點、系統監控等方面的風險管理機制進行重點審計。　　2、對業務流程的審計。ERP系統是建立在對業務流程進行優化重組的基礎之上的，它打破了原有的權力分配模式，觸動了一些部門或個人的利益，系統上線后能否按既定的模式運行以及運行效果如何，關系到系統運行的成敗。另外，由于上線時間緊迫，實施時設定的業務流程不一定最佳；即使當時是最佳的業務流程，也會因為上線后運行環境的變化而有進一步優化的必要。只有經常對業務流程進行風險管理和審計，才能使企業業務始終運行于相對較優的流程環境之中。對業務流程的風險管理審計大體包括以下幾個方面：應該在系統中運行的業務是否全部通過系統運行；信息是否及時錄入系統；錄入的信息是否真實、準確；系統運行是否正確，有無系統錯誤；流程是否通暢，有無缺陷或舞弊的可能，能否進行進一步的優化；識別、評價和應對流程風險的效果如何等�！　�3、對關鍵控制點的審計。ERP系統是由采購、倉儲、生產、銷售、財務、設備管理、人力資源等多個模塊高度集成起來的，每一模塊都有相應的關鍵控制點，對企業的生產經營起著至關重要的作用。如銷售模塊中的信用控制點，是根據用戶的信用程度控制發貨的關鍵點，如控制不嚴，有可能使公司財產遭受巨大損失；銷售結算中的定價控制點，是根據發貨時間來自動劃價的，倘若公司某天調整銷售價格，而發貨時間控制不嚴，公司的效益損失也將非常巨大，而且很難發現。因此，對關鍵控制點的風險管理審計應作為審計的重點。審計時要主要關注以下問題：是否對關鍵控制點進行了識別，識別是否全面；是否建立了關鍵控制點的風險評價體系；是否建立了關鍵控制點的預警機制和應對機制；關鍵控制點的識別、評價、預警和應對機制的適應性和有效性如何；控制方法和手段是否可進一步優化；有無控制不嚴或失控的現象和可能等。　　4、對系統監控的審計。ERP系統應用于企業的優點之一就是對業務和績效能夠進行動態監控。再好的系統，終究要人去使用，才能體現其優越。ERP系統的監控功能，本身就是一種控制，運用得好，可以極大地降低風險；可一旦運用不好，流程上的控制點就會失去控制，風險也就會隨之加大。就拿上面提到的關鍵控制點來說，如果隨時進行了動態監控，其風險將大大降低，即使偶然出現異常，也會因及時的動態監控而發現問題并采取相應的應對措施以減少損失。因此，我們有必要對系統監控的風險管理進行審計，審查和評價企業及其下屬單位是否利用ERP系統進行了業務和績效的動態監控、監控點及其風險如何識別和評價、監控的權威性及其效果如何、發現問題的處理方式以及應對風險的效果如何、有無監控盲區或監控不力的區域、監控結果的利用情況如何等。　　5、對信息系統的審計。從系統本身來說，無論是硬件還是軟件，都有產生故障的可能，軟件功能的完備與否也是系統運行的風險之一，ERP系統與其他系統的連接則是影響系統運行的關鍵因素。要保證ERP系統的正常運行，降低經營風險，對ERP系統以及與其相聯接的其他信息系統的風險管理與審計也是必不可少的，這包括對系統的開發與設計、軟件的程序、系統的控制、功能的劃分、硬件的架構、備份模式及效果、故障處理方案及風險應對措施、系統風險識別與評價體系等進行審計。 　　6、對系統人員的審計。任何系統都是通過人來操作和維護的。要保證系統運行的正常，首先必須保證有與系統相適應的系統維護和操作人員，同時還要保證這些人員具有完成本崗位工作的責任心。否則，系統的運行將存在巨大風險。尤其是關鍵控制點和系統監控崗位上的人員以及關鍵的系統維護人員，他們掌握著整個系統的命脈。由此可見，對相關系統人員的風險管理與審計也就顯得相當重要。首先，我們要審查和評價系統人員是否經過培訓并取得相應資格，是否有識別和應對本崗位風險的能力，在本崗位控制和風險管理的實際效果如何等；其次，我們要審查和評價企業及其下屬單位是否建立了相應的人才風險管理機制，識別、評價以及應對人才風險的措施和效果如何；同時，我們還要在對領導干部的經濟責任審計中增加對系統控制和風險管理等方面的審計內容，對關鍵控制點和系統監控崗位上的人員以及關鍵的系統維護人員可以試行系統責任審計，以促進領導干部及相應系統人員增強ERP系統的風險意識和責任�！　。ǘ�）ERP環境下企業風險管理審計的主要方法　　風險管理審計是管理審計的主要內容之一，其具體方法很多，包括因素分析法、比較分析法、趨勢分析法、定性定量分析法等。它們同樣適用于ERP環境下企業的風險管理審計。在這里，筆者著重談談在ERP環境下富有特色的幾種審計方法。　　1、流程追溯法。ERP系統一般都具有流程追溯功能，如SAP系統。即任何信息都可通過流程追溯功能，逆向追溯到信息源頭，正向追溯到最終結果。審計時，我們可以充分利用該功能，通過正向或逆向的追溯方式，提高對風險的識別和評價能力；還可根據追溯結果判斷審計事項的發展方向，明確相關審計事項，評價風險應對措施的適應性與有效性，并提出進一步改進的意見。　　2、循環測試法。任何業務的開展都有其相應的內、外部條件和特例，因而在ERP系統中的運行可能會產生不同的結果。另一方面，某一具體業務在單項功能中的運行結果，與在系統集成功能下運行的結果比較，可能會有不同的結論。在審計過程中，我們會經常采用測試的方法來得出審計結論。為了保證審計結論的準確、全面，不能簡單地以單項功能運行的結果和某一次結果或特例得出審計結論，而應借鑒ERP系統實施時的方法，分別進行多輪單元測試和集成測試�！　�3、實時審計法。ERP系統內的信息是實時共享的，原始數據只需一次輸入，各模塊便可根據需要實時調用，直至編制出最終報表。因此，審計人員可以根據需要實時收集自己感興趣的資料，并通過系統將這些資料實現共享，從而進行實時審計，以彌補事后審計線索不充分的缺陷，為事前審計、事中審計創造了條件�！　�4、系統輔助法。ERP系統應用后，企業生產經營信息高度集成，為全面推行計算機系統輔助審計提供了可能。審計人員借助于審計軟件或ERP系統中的審計模塊，通過輸入必要的條件進行樣本抽取，對異常項目進行調查測試，可以確定審計重點，并在一定范圍內進行逐筆審計。同時，由于計算機快速、準確、信息量大的特點，使得審計范圍和內容更加廣泛、全面，審計證據更加充分、可靠，從而可以提高審計工作質量，減少審計風險�！　�5、專家分析法。ERP系統是一個技術和管理含量很高的管理信息系統。審計人員由于專業以及時間和精力等方面的局限，不可能對ERP系統的所有管理問題和技術問題都很熟悉，在審計過程中，必須充分征求ERP實施和運行維護專家的意見，采用專家分析法來幫助我們得出正確的審計結論�！�　三、ERP環境下企業風險管理審計的客觀條件　�。ㄒ唬�樹立風險管理審計意識　　盡管我國已先后掀起了三次“審計風暴”，但在許多企業中，內部審計的意識還不是太強，更談不上對風險管理進行審計。尤其是一些實施和應用了ERP的企業，過分相信ERP系統的作用，認為ERP實現了內部控制，企業的風險大大減少，有的甚至認為ERP可以解決一切，卻忘記了系統也是由人來操作的這一關鍵問題。因此，我們有必要加大這方面的宣貫力度，讓企業各級領導和全體審計人員清楚意識到ERP環境下企業的風險所在以及企業風險管理審計的重要性。　�。ǘ�）夯實風險管理審計的業務基礎　　目前，我國大部分企業還未真正開展過風險管理審計，有的甚至對風險管理審計還相當陌生。在此基礎上，要應對ERP環境下的風險管理審計，無疑非常困難。為此，我們必須迅速改變傳統的審計方法和思路，拓展和延伸審計的廣度和深度，加強對企業內部控制尤其是風險管理的審計，努力夯實風險管理審計的業務基礎，為ERP環境下企業的風險管理審計創造良好的條件�！　。ㄈ�）提高審計隊伍的整體素質　　要切實搞好ERP環境下的風險管理審計，必須提高審計隊伍的整體素質，建立一支既懂ERP系統知識、又懂審計業務，能在ERP環境下獨立開展審計業務的高素質的審計隊伍。由此，我們一方面要配備一定數量的熟悉ERP系統的人員，并對這些人員進行內部審計業務的培訓；另一方面要加大對審計人員ERP系統知識和計算機知識的培訓力度�！　。ㄋ模�實現計算機輔助審計　　在ERP環境下，由于數據信息量巨大（有人稱之為海量數據）且又實時共享，系統運行復雜而又速度驚人，要收集和掌握及時、準確的審計證據，運用科學的審計方法，單靠原來的手工方式已經不可能了，必須通過計算機的輔助才能實現。一方面，要充分利用ERP系統本身的功能優勢來提高審計質量和效率；另一方面，要通過實施ERP審計模塊來最大限度地發揮審計的服務、監督和評價作用。

【ERP環境下企業的風險管理審計】相關文章：

新環境下的企業風險管理與風險導向內部審計03-22

網絡環境下審計風險及其防范03-22

現代企業風險管理審計框架03-24

計算機環境下的審計風險及控制03-20

內部審計在企業風險管理中的作用初探03-20

計算機環境下審計風險的特征與對策研究03-18

審計視角下的企業成本管理研究03-24

我國企業實施ERP的外部環境及其風險分析03-20

風險管理審計準則03-08