- 相關(guān)推薦
ERP環(huán)境下企業(yè)的風險管理審計
【內(nèi)容提要】本文闡述了ERP環(huán)境下企業(yè)風險管理審計的必要性,系統(tǒng)介紹了ERP環(huán)境下企業(yè)風險管理審計的主要內(nèi)容與方法,簡要分析了ERP環(huán)境下企業(yè)風險管理審計的客觀條件,對企業(yè)應用ERP系統(tǒng)后的風險管理審計具有一定的指導意義。 【關(guān)鍵詞】風險管理 審計 ERP 隨著人類步入信息化社會,企業(yè)生存和發(fā)展的環(huán)境發(fā)生了重大改變,以管理思想和管理方法為核心的企業(yè)資源計劃系統(tǒng)(簡稱ERP系統(tǒng))已成為企業(yè)提升管理水平和競爭實力的有力武器,企業(yè)的風險管理發(fā)生了根本性的變化,與之對應的風險管理審計也面臨著前所未有的挑戰(zhàn)! 一、ERP環(huán)境下企業(yè)風險管理審計的必要性 (一)ERP系統(tǒng)的高風險性決定了企業(yè)必須實行風險管理 據(jù)統(tǒng)計,全球?qū)嵤〦RP的成功率不過20%.他們中,有的在實施時即告失敗,有的在實施成功后因發(fā)育不良而夭折。盡管如此,還是有不少企業(yè)懷著美麗的夢想,踏上ERP實施的艱辛之旅。經(jīng)過一番奮力拼搏,那些在實施中最后的幸存者,將仍然面臨較實施前更大的風險。系統(tǒng)的運行,將隨時可能出現(xiàn)這樣或那樣的問題,有時甚至可能使整個系統(tǒng)在瞬時間崩潰。是否有一個運行有效的風險管理機制將決定企業(yè)是否能在最初的ERP投資中真正獲益! 。ǘ〦RP的系統(tǒng)特性為企業(yè)的風險管理提出了新的要求 ERP系統(tǒng)與企業(yè)其他信息系統(tǒng)有著本質(zhì)的不同,她通過流程重組,實現(xiàn)了企業(yè)的管理變革;通過系統(tǒng)集成,實現(xiàn)了信息的實時共享;通過流程控制,實現(xiàn)了績效的動態(tài)監(jiān)控;通過系統(tǒng)優(yōu)化,實現(xiàn)了管理的持續(xù)改善。另一方面,企業(yè)的生產(chǎn)經(jīng)營業(yè)務通過統(tǒng)一的ERP系統(tǒng)平臺進行處理后,以往肉眼可見的線索都被掩蓋起來,企業(yè)及員工的工作習慣、思維方式、信息載體、控制手段和管理模式等都發(fā)生了根本變化。所有這一切,都為企業(yè)的風險管理提出了新的更高要求。 。ㄈ〦RP環(huán)境下的企業(yè)風險管理更加離不開內(nèi)部審計 對風險管理的審查和評價是企業(yè)內(nèi)部審計的基本內(nèi)容之一。ERP環(huán)境下企業(yè)的風險管理審計將顯得更為重要。一方面,在ERP環(huán)境下,舞弊和失誤均由原來的手工操作變成了由機器和系統(tǒng)程序來完成,不留任何紙面痕跡,從而使風險更加隱蔽、層次更高、內(nèi)涵更深,風險識別、評估和應對的難度更大;另一方面,企業(yè)實施ERP以后,ERP已成為企業(yè)的生命線,風險可能造成的損失將更加巨大。據(jù)美國斯坦福研究所的調(diào)查,美國計算機舞弊犯罪最高的一次就達到50億美元。企業(yè)為了防范和降低風險,必須加大風險管理的審計力度! 二、ERP環(huán)境下企業(yè)風險管理審計的內(nèi)容與方法 。ㄒ唬〦RP環(huán)境下企業(yè)風險管理審計的主要內(nèi)容 企業(yè)風險管理審計就是要對企業(yè)風險管理過程及其內(nèi)容的適當性和有效性進行審查和評價,并提出改進建議。在ERP環(huán)境下,要重點考慮對以下幾方面進行審計! 1、對風險管理機制的審計。無論從系統(tǒng)實施,還是從系統(tǒng)運行來說,ERP都是一個風險巨大的系統(tǒng),必須建立嚴密的風險管理機制。對ERP環(huán)境下企業(yè)風險管理的審計,首先必須對風險管理機制進行審計,審查企業(yè)及其下屬單位是否建立了風險管理機制,風險的識別、評價和應對機制的適應性和有效性如何,實際運行情況怎樣,是否有利于企業(yè)管理的持續(xù)改善等。在審計中,我們還應當專門對業(yè)務流程、關(guān)鍵控制點、系統(tǒng)監(jiān)控等方面的風險管理機制進行重點審計。 2、對業(yè)務流程的審計。ERP系統(tǒng)是建立在對業(yè)務流程進行優(yōu)化重組的基礎(chǔ)之上的,它打破了原有的權(quán)力分配模式,觸動了一些部門或個人的利益,系統(tǒng)上線后能否按既定的模式運行以及運行效果如何,關(guān)系到系統(tǒng)運行的成敗。另外,由于上線時間緊迫,實施時設(shè)定的業(yè)務流程不一定最佳;即使當時是最佳的業(yè)務流程,也會因為上線后運行環(huán)境的變化而有進一步優(yōu)化的必要。只有經(jīng)常對業(yè)務流程進行風險管理和審計,才能使企業(yè)業(yè)務始終運行于相對較優(yōu)的流程環(huán)境之中。對業(yè)務流程的風險管理審計大體包括以下幾個方面:應該在系統(tǒng)中運行的業(yè)務是否全部通過系統(tǒng)運行;信息是否及時錄入系統(tǒng);錄入的信息是否真實、準確;系統(tǒng)運行是否正確,有無系統(tǒng)錯誤;流程是否通暢,有無缺陷或舞弊的可能,能否進行進一步的優(yōu)化;識別、評價和應對流程風險的效果如何等! 3、對關(guān)鍵控制點的審計。ERP系統(tǒng)是由采購、倉儲、生產(chǎn)、銷售、財務、設(shè)備管理、人力資源等多個模塊高度集成起來的,每一模塊都有相應的關(guān)鍵控制點,對企業(yè)的生產(chǎn)經(jīng)營起著至關(guān)重要的作用。如銷售模塊中的信用控制點,是根據(jù)用戶的信用程度控制發(fā)貨的關(guān)鍵點,如控制不嚴,有可能使公司財產(chǎn)遭受巨大損失;銷售結(jié)算中的定價控制點,是根據(jù)發(fā)貨時間來自動劃價的,倘若公司某天調(diào)整銷售價格,而發(fā)貨時間控制不嚴,公司的效益損失也將非常巨大,而且很難發(fā)現(xiàn)。因此,對關(guān)鍵控制點的風險管理審計應作為審計的重點。審計時要主要關(guān)注以下問題:是否對關(guān)鍵控制點進行了識別,識別是否全面;是否建立了關(guān)鍵控制點的風險評價體系;是否建立了關(guān)鍵控制點的預警機制和應對機制;關(guān)鍵控制點的識別、評價、預警和應對機制的適應性和有效性如何;控制方法和手段是否可進一步優(yōu)化;有無控制不嚴或失控的現(xiàn)象和可能等! 4、對系統(tǒng)監(jiān)控的審計。ERP系統(tǒng)應用于企業(yè)的優(yōu)點之一就是對業(yè)務和績效能夠進行動態(tài)監(jiān)控。再好的系統(tǒng),終究要人去使用,才能體現(xiàn)其優(yōu)越。ERP系統(tǒng)的監(jiān)控功能,本身就是一種控制,運用得好,可以極大地降低風險;可一旦運用不好,流程上的控制點就會失去控制,風險也就會隨之加大。就拿上面提到的關(guān)鍵控制點來說,如果隨時進行了動態(tài)監(jiān)控,其風險將大大降低,即使偶然出現(xiàn)異常,也會因及時的動態(tài)監(jiān)控而發(fā)現(xiàn)問題并采取相應的應對措施以減少損失。因此,我們有必要對系統(tǒng)監(jiān)控的風險管理進行審計,審查和評價企業(yè)及其下屬單位是否利用ERP系統(tǒng)進行了業(yè)務和績效的動態(tài)監(jiān)控、監(jiān)控點及其風險如何識別和評價、監(jiān)控的權(quán)威性及其效果如何、發(fā)現(xiàn)問題的處理方式以及應對風險的效果如何、有無監(jiān)控盲區(qū)或監(jiān)控不力的區(qū)域、監(jiān)控結(jié)果的利用情況如何等! 5、對信息系統(tǒng)的審計。從系統(tǒng)本身來說,無論是硬件還是軟件,都有產(chǎn)生故障的可能,軟件功能的完備與否也是系統(tǒng)運行的風險之一,ERP系統(tǒng)與其他系統(tǒng)的連接則是影響系統(tǒng)運行的關(guān)鍵因素。要保證ERP系統(tǒng)的正常運行,降低經(jīng)營風險,對ERP系統(tǒng)以及與其相聯(lián)接的其他信息系統(tǒng)的風險管理與審計也是必不可少的,這包括對系統(tǒng)的開發(fā)與設(shè)計、軟件的程序、系統(tǒng)的控制、功能的劃分、硬件的架構(gòu)、備份模式及效果、故障處理方案及風險應對措施、系統(tǒng)風險識別與評價體系等進行審計。 6、對系統(tǒng)人員的審計。任何系統(tǒng)都是通過人來操作和維護的。要保證系統(tǒng)運行的正常,首先必須保證有與系統(tǒng)相適應的系統(tǒng)維護和操作人員,同時還要保證這些人員具有完成本崗位工作的責任心。否則,系統(tǒng)的運行將存在巨大風險。尤其是關(guān)鍵控制點和系統(tǒng)監(jiān)控崗位上的人員以及關(guān)鍵的系統(tǒng)維護人員,他們掌握著整個系統(tǒng)的命脈。由此可見,對相關(guān)系統(tǒng)人員的風險管理與審計也就顯得相當重要。首先,我們要審查和評價系統(tǒng)人員是否經(jīng)過培訓并取得相應資格,是否有識別和應對本崗位風險的能力,在本崗位控制和風險管理的實際效果如何等;其次,我們要審查和評價企業(yè)及其下屬單位是否建立了相應的人才風險管理機制,識別、評價以及應對人才風險的措施和效果如何;同時,我們還要在對領(lǐng)導干部的經(jīng)濟責任審計中增加對系統(tǒng)控制和風險管理等方面的審計內(nèi)容,對關(guān)鍵控制點和系統(tǒng)監(jiān)控崗位上的人員以及關(guān)鍵的系統(tǒng)維護人員可以試行系統(tǒng)責任審計,以促進領(lǐng)導干部及相應系統(tǒng)人員增強ERP系統(tǒng)的風險意識和責任。 。ǘ〦RP環(huán)境下企業(yè)風險管理審計的主要方法 風險管理審計是管理審計的主要內(nèi)容之一,其具體方法很多,包括因素分析法、比較分析法、趨勢分析法、定性定量分析法等。它們同樣適用于ERP環(huán)境下企業(yè)的風險管理審計。在這里,筆者著重談談在ERP環(huán)境下富有特色的幾種審計方法! 1、流程追溯法。ERP系統(tǒng)一般都具有流程追溯功能,如SAP系統(tǒng)。即任何信息都可通過流程追溯功能,逆向追溯到信息源頭,正向追溯到最終結(jié)果。審計時,我們可以充分利用該功能,通過正向或逆向的追溯方式,提高對風險的識別和評價能力;還可根據(jù)追溯結(jié)果判斷審計事項的發(fā)展方向,明確相關(guān)審計事項,評價風險應對措施的適應性與有效性,并提出進一步改進的意見! 2、循環(huán)測試法。任何業(yè)務的開展都有其相應的內(nèi)、外部條件和特例,因而在ERP系統(tǒng)中的運行可能會產(chǎn)生不同的結(jié)果。另一方面,某一具體業(yè)務在單項功能中的運行結(jié)果,與在系統(tǒng)集成功能下運行的結(jié)果比較,可能會有不同的結(jié)論。在審計過程中,我們會經(jīng)常采用測試的方法來得出審計結(jié)論。為了保證審計結(jié)論的準確、全面,不能簡單地以單項功能運行的結(jié)果和某一次結(jié)果或特例得出審計結(jié)論,而應借鑒ERP系統(tǒng)實施時的方法,分別進行多輪單元測試和集成測試! 3、實時審計法。ERP系統(tǒng)內(nèi)的信息是實時共享的,原始數(shù)據(jù)只需一次輸入,各模塊便可根據(jù)需要實時調(diào)用,直至編制出最終報表。因此,審計人員可以根據(jù)需要實時收集自己感興趣的資料,并通過系統(tǒng)將這些資料實現(xiàn)共享,從而進行實時審計,以彌補事后審計線索不充分的缺陷,為事前審計、事中審計創(chuàng)造了條件。 4、系統(tǒng)輔助法。ERP系統(tǒng)應用后,企業(yè)生產(chǎn)經(jīng)營信息高度集成,為全面推行計算機系統(tǒng)輔助審計提供了可能。審計人員借助于審計軟件或ERP系統(tǒng)中的審計模塊,通過輸入必要的條件進行樣本抽取,對異常項目進行調(diào)查測試,可以確定審計重點,并在一定范圍內(nèi)進行逐筆審計。同時,由于計算機快速、準確、信息量大的特點,使得審計范圍和內(nèi)容更加廣泛、全面,審計證據(jù)更加充分、可靠,從而可以提高審計工作質(zhì)量,減少審計風險! 5、專家分析法。ERP系統(tǒng)是一個技術(shù)和管理含量很高的管理信息系統(tǒng)。審計人員由于專業(yè)以及時間和精力等方面的局限,不可能對ERP系統(tǒng)的所有管理問題和技術(shù)問題都很熟悉,在審計過程中,必須充分征求ERP實施和運行維護專家的意見,采用專家分析法來幫助我們得出正確的審計結(jié)論! 三、ERP環(huán)境下企業(yè)風險管理審計的客觀條件 (一)樹立風險管理審計意識 盡管我國已先后掀起了三次“審計風暴”,但在許多企業(yè)中,內(nèi)部審計的意識還不是太強,更談不上對風險管理進行審計。尤其是一些實施和應用了ERP的企業(yè),過分相信ERP系統(tǒng)的作用,認為ERP實現(xiàn)了內(nèi)部控制,企業(yè)的風險大大減少,有的甚至認為ERP可以解決一切,卻忘記了系統(tǒng)也是由人來操作的這一關(guān)鍵問題。因此,我們有必要加大這方面的宣貫力度,讓企業(yè)各級領(lǐng)導和全體審計人員清楚意識到ERP環(huán)境下企業(yè)的風險所在以及企業(yè)風險管理審計的重要性! 。ǘ夯實風險管理審計的業(yè)務基礎(chǔ) 目前,我國大部分企業(yè)還未真正開展過風險管理審計,有的甚至對風險管理審計還相當陌生。在此基礎(chǔ)上,要應對ERP環(huán)境下的風險管理審計,無疑非常困難。為此,我們必須迅速改變傳統(tǒng)的審計方法和思路,拓展和延伸審計的廣度和深度,加強對企業(yè)內(nèi)部控制尤其是風險管理的審計,努力夯實風險管理審計的業(yè)務基礎(chǔ),為ERP環(huán)境下企業(yè)的風險管理審計創(chuàng)造良好的條件! 。ㄈ┨岣邔徲嬯犖榈恼w素質(zhì) 要切實搞好ERP環(huán)境下的風險管理審計,必須提高審計隊伍的整體素質(zhì),建立一支既懂ERP系統(tǒng)知識、又懂審計業(yè)務,能在ERP環(huán)境下獨立開展審計業(yè)務的高素質(zhì)的審計隊伍。由此,我們一方面要配備一定數(shù)量的熟悉ERP系統(tǒng)的人員,并對這些人員進行內(nèi)部審計業(yè)務的培訓;另一方面要加大對審計人員ERP系統(tǒng)知識和計算機知識的培訓力度! 。ㄋ模⿲崿F(xiàn)計算機輔助審計 在ERP環(huán)境下,由于數(shù)據(jù)信息量巨大(有人稱之為海量數(shù)據(jù))且又實時共享,系統(tǒng)運行復雜而又速度驚人,要收集和掌握及時、準確的審計證據(jù),運用科學的審計方法,單靠原來的手工方式已經(jīng)不可能了,必須通過計算機的輔助才能實現(xiàn)。一方面,要充分利用ERP系統(tǒng)本身的功能優(yōu)勢來提高審計質(zhì)量和效率;另一方面,要通過實施ERP審計模塊來最大限度地發(fā)揮審計的服務、監(jiān)督和評價作用。【ERP環(huán)境下企業(yè)的風險管理審計】相關(guān)文章:
新環(huán)境下的企業(yè)風險管理與風險導向內(nèi)部審計03-22
網(wǎng)絡環(huán)境下審計風險及其防范03-22
計算機環(huán)境下的審計風險及控制03-20
內(nèi)部審計在企業(yè)風險管理中的作用初探03-20
審計視角下的企業(yè)成本管理研究03-24
我國企業(yè)實施ERP的外部環(huán)境及其風險分析03-20
風險管理審計準則03-08