掃碼下載APP
及時接收最新考試資訊及
備考信息
【內(nèi)容提要】本文闡述了ERP環(huán)境下企業(yè)風險管理審計的必要性,系統(tǒng)介紹了ERP環(huán)境下企業(yè)風險管理審計的主要內(nèi)容與方法,簡要分析了ERP環(huán)境下企業(yè)風險管理審計的客觀條件,對企業(yè)應用ERP系統(tǒng)后的風險管理審計具有一定的指導意義。
【關鍵詞】風險管理 審計 ERP
隨著人類步入信息化社會,企業(yè)生存和發(fā)展的環(huán)境發(fā)生了重大改變,以管理思想和管理方法為核心的企業(yè)資源計劃系統(tǒng)(簡稱ERP系統(tǒng))已成為企業(yè)提升管理水平和競爭實力的有力武器,企業(yè)的風險管理發(fā)生了根本性的變化,與之對應的風險管理審計也面臨著前所未有的挑戰(zhàn)。
一、ERP環(huán)境下企業(yè)風險管理審計的必要性
?。ㄒ唬〦RP系統(tǒng)的高風險性決定了企業(yè)必須實行風險管理
據(jù)統(tǒng)計,全球?qū)嵤〦RP的成功率不過20%.他們中,有的在實施時即告失敗,有的在實施成功后因發(fā)育不良而夭折。盡管如此,還是有不少企業(yè)懷著美麗的夢想,踏上ERP實施的艱辛之旅。經(jīng)過一番奮力拼搏,那些在實施中最后的幸存者,將仍然面臨較實施前更大的風險。系統(tǒng)的運行,將隨時可能出現(xiàn)這樣或那樣的問題,有時甚至可能使整個系統(tǒng)在瞬時間崩潰。是否有一個運行有效的風險管理機制將決定企業(yè)是否能在最初的ERP投資中真正獲益。
(二)ERP的系統(tǒng)特性為企業(yè)的風險管理提出了新的要求
ERP系統(tǒng)與企業(yè)其他信息系統(tǒng)有著本質(zhì)的不同,她通過流程重組,實現(xiàn)了企業(yè)的管理變革;通過系統(tǒng)集成,實現(xiàn)了信息的實時共享;通過流程控制,實現(xiàn)了績效的動態(tài)監(jiān)控;通過系統(tǒng)優(yōu)化,實現(xiàn)了管理的持續(xù)改善。另一方面,企業(yè)的生產(chǎn)經(jīng)營業(yè)務通過統(tǒng)一的ERP系統(tǒng)平臺進行處理后,以往肉眼可見的線索都被掩蓋起來,企業(yè)及員工的工作習慣、思維方式、信息載體、控制手段和管理模式等都發(fā)生了根本變化。所有這一切,都為企業(yè)的風險管理提出了新的更高要求。
?。ㄈ〦RP環(huán)境下的企業(yè)風險管理更加離不開內(nèi)部審計
對風險管理的審查和評價是企業(yè)內(nèi)部審計的基本內(nèi)容之一。ERP環(huán)境下企業(yè)的風險管理審計將顯得更為重要。一方面,在ERP環(huán)境下,舞弊和失誤均由原來的手工操作變成了由機器和系統(tǒng)程序來完成,不留任何紙面痕跡,從而使風險更加隱蔽、層次更高、內(nèi)涵更深,風險識別、評估和應對的難度更大;另一方面,企業(yè)實施ERP以后,ERP已成為企業(yè)的生命線,風險可能造成的損失將更加巨大。據(jù)美國斯坦福研究所的調(diào)查,美國計算機舞弊犯罪最高的一次就達到50億美元。企業(yè)為了防范和降低風險,必須加大風險管理的審計力度。
二、ERP環(huán)境下企業(yè)風險管理審計的內(nèi)容與方法
?。ㄒ唬〦RP環(huán)境下企業(yè)風險管理審計的主要內(nèi)容
企業(yè)風險管理審計就是要對企業(yè)風險管理過程及其內(nèi)容的適當性和有效性進行審查和評價,并提出改進建議。在ERP環(huán)境下,要重點考慮對以下幾方面進行審計。
1、對風險管理機制的審計。無論從系統(tǒng)實施,還是從系統(tǒng)運行來說,ERP都是一個風險巨大的系統(tǒng),必須建立嚴密的風險管理機制。對ERP環(huán)境下企業(yè)風險管理的審計,首先必須對風險管理機制進行審計,審查企業(yè)及其下屬單位是否建立了風險管理機制,風險的識別、評價和應對機制的適應性和有效性如何,實際運行情況怎樣,是否有利于企業(yè)管理的持續(xù)改善等。在審計中,我們還應當專門對業(yè)務流程、關鍵控制點、系統(tǒng)監(jiān)控等方面的風險管理機制進行重點審計。
2、對業(yè)務流程的審計。ERP系統(tǒng)是建立在對業(yè)務流程進行優(yōu)化重組的基礎之上的,它打破了原有的權力分配模式,觸動了一些部門或個人的利益,系統(tǒng)上線后能否按既定的模式運行以及運行效果如何,關系到系統(tǒng)運行的成敗。另外,由于上線時間緊迫,實施時設定的業(yè)務流程不一定最佳;即使當時是最佳的業(yè)務流程,也會因為上線后運行環(huán)境的變化而有進一步優(yōu)化的必要。只有經(jīng)常對業(yè)務流程進行風險管理和審計,才能使企業(yè)業(yè)務始終運行于相對較優(yōu)的流程環(huán)境之中。對業(yè)務流程的風險管理審計大體包括以下幾個方面:應該在系統(tǒng)中運行的業(yè)務是否全部通過系統(tǒng)運行;信息是否及時錄入系統(tǒng);錄入的信息是否真實、準確;系統(tǒng)運行是否正確,有無系統(tǒng)錯誤;流程是否通暢,有無缺陷或舞弊的可能,能否進行進一步的優(yōu)化;識別、評價和應對流程風險的效果如何等。
3、對關鍵控制點的審計。ERP系統(tǒng)是由采購、倉儲、生產(chǎn)、銷售、財務、設備管理、人力資源等多個模塊高度集成起來的,每一模塊都有相應的關鍵控制點,對企業(yè)的生產(chǎn)經(jīng)營起著至關重要的作用。如銷售模塊中的信用控制點,是根據(jù)用戶的信用程度控制發(fā)貨的關鍵點,如控制不嚴,有可能使公司財產(chǎn)遭受巨大損失;銷售結算中的定價控制點,是根據(jù)發(fā)貨時間來自動劃價的,倘若公司某天調(diào)整銷售價格,而發(fā)貨時間控制不嚴,公司的效益損失也將非常巨大,而且很難發(fā)現(xiàn)。因此,對關鍵控制點的風險管理審計應作為審計的重點。審計時要主要關注以下問題:是否對關鍵控制點進行了識別,識別是否全面;是否建立了關鍵控制點的風險評價體系;是否建立了關鍵控制點的預警機制和應對機制;關鍵控制點的識別、評價、預警和應對機制的適應性和有效性如何;控制方法和手段是否可進一步優(yōu)化;有無控制不嚴或失控的現(xiàn)象和可能等。
4、對系統(tǒng)監(jiān)控的審計。ERP系統(tǒng)應用于企業(yè)的優(yōu)點之一就是對業(yè)務和績效能夠進行動態(tài)監(jiān)控。再好的系統(tǒng),終究要人去使用,才能體現(xiàn)其優(yōu)越。ERP系統(tǒng)的監(jiān)控功能,本身就是一種控制,運用得好,可以極大地降低風險;可一旦運用不好,流程上的控制點就會失去控制,風險也就會隨之加大。就拿上面提到的關鍵控制點來說,如果隨時進行了動態(tài)監(jiān)控,其風險將大大降低,即使偶然出現(xiàn)異常,也會因及時的動態(tài)監(jiān)控而發(fā)現(xiàn)問題并采取相應的應對措施以減少損失。因此,我們有必要對系統(tǒng)監(jiān)控的風險管理進行審計,審查和評價企業(yè)及其下屬單位是否利用ERP系統(tǒng)進行了業(yè)務和績效的動態(tài)監(jiān)控、監(jiān)控點及其風險如何識別和評價、監(jiān)控的權威性及其效果如何、發(fā)現(xiàn)問題的處理方式以及應對風險的效果如何、有無監(jiān)控盲區(qū)或監(jiān)控不力的區(qū)域、監(jiān)控結果的利用情況如何等。
5、對信息系統(tǒng)的審計。從系統(tǒng)本身來說,無論是硬件還是軟件,都有產(chǎn)生故障的可能,軟件功能的完備與否也是系統(tǒng)運行的風險之一,ERP系統(tǒng)與其他系統(tǒng)的連接則是影響系統(tǒng)運行的關鍵因素。要保證ERP系統(tǒng)的正常運行,降低經(jīng)營風險,對ERP系統(tǒng)以及與其相聯(lián)接的其他信息系統(tǒng)的風險管理與審計也是必不可少的,這包括對系統(tǒng)的開發(fā)與設計、軟件的程序、系統(tǒng)的控制、功能的劃分、硬件的架構、備份模式及效果、故障處理方案及風險應對措施、系統(tǒng)風險識別與評價體系等進行審計。
6、對系統(tǒng)人員的審計。任何系統(tǒng)都是通過人來操作和維護的。要保證系統(tǒng)運行的正常,首先必須保證有與系統(tǒng)相適應的系統(tǒng)維護和操作人員,同時還要保證這些人員具有完成本崗位工作的責任心。否則,系統(tǒng)的運行將存在巨大風險。尤其是關鍵控制點和系統(tǒng)監(jiān)控崗位上的人員以及關鍵的系統(tǒng)維護人員,他們掌握著整個系統(tǒng)的命脈。由此可見,對相關系統(tǒng)人員的風險管理與審計也就顯得相當重要。首先,我們要審查和評價系統(tǒng)人員是否經(jīng)過培訓并取得相應資格,是否有識別和應對本崗位風險的能力,在本崗位控制和風險管理的實際效果如何等;其次,我們要審查和評價企業(yè)及其下屬單位是否建立了相應的人才風險管理機制,識別、評價以及應對人才風險的措施和效果如何;同時,我們還要在對領導干部的經(jīng)濟責任審計中增加對系統(tǒng)控制和風險管理等方面的審計內(nèi)容,對關鍵控制點和系統(tǒng)監(jiān)控崗位上的人員以及關鍵的系統(tǒng)維護人員可以試行系統(tǒng)責任審計,以促進領導干部及相應系統(tǒng)人員增強ERP系統(tǒng)的風險意識和責任。
?。ǘ〦RP環(huán)境下企業(yè)風險管理審計的主要方法
風險管理審計是管理審計的主要內(nèi)容之一,其具體方法很多,包括因素分析法、比較分析法、趨勢分析法、定性定量分析法等。它們同樣適用于ERP環(huán)境下企業(yè)的風險管理審計。在這里,筆者著重談談在ERP環(huán)境下富有特色的幾種審計方法。
1、流程追溯法。ERP系統(tǒng)一般都具有流程追溯功能,如SAP系統(tǒng)。即任何信息都可通過流程追溯功能,逆向追溯到信息源頭,正向追溯到最終結果。審計時,我們可以充分利用該功能,通過正向或逆向的追溯方式,提高對風險的識別和評價能力;還可根據(jù)追溯結果判斷審計事項的發(fā)展方向,明確相關審計事項,評價風險應對措施的適應性與有效性,并提出進一步改進的意見。
2、循環(huán)測試法。任何業(yè)務的開展都有其相應的內(nèi)、外部條件和特例,因而在ERP系統(tǒng)中的運行可能會產(chǎn)生不同的結果。另一方面,某一具體業(yè)務在單項功能中的運行結果,與在系統(tǒng)集成功能下運行的結果比較,可能會有不同的結論。在審計過程中,我們會經(jīng)常采用測試的方法來得出審計結論。為了保證審計結論的準確、全面,不能簡單地以單項功能運行的結果和某一次結果或特例得出審計結論,而應借鑒ERP系統(tǒng)實施時的方法,分別進行多輪單元測試和集成測試。
3、實時審計法。ERP系統(tǒng)內(nèi)的信息是實時共享的,原始數(shù)據(jù)只需一次輸入,各模塊便可根據(jù)需要實時調(diào)用,直至編制出最終報表。因此,審計人員可以根據(jù)需要實時收集自己感興趣的資料,并通過系統(tǒng)將這些資料實現(xiàn)共享,從而進行實時審計,以彌補事后審計線索不充分的缺陷,為事前審計、事中審計創(chuàng)造了條件。
4、系統(tǒng)輔助法。ERP系統(tǒng)應用后,企業(yè)生產(chǎn)經(jīng)營信息高度集成,為全面推行計算機系統(tǒng)輔助審計提供了可能。審計人員借助于審計軟件或ERP系統(tǒng)中的審計模塊,通過輸入必要的條件進行樣本抽取,對異常項目進行調(diào)查測試,可以確定審計重點,并在一定范圍內(nèi)進行逐筆審計。同時,由于計算機快速、準確、信息量大的特點,使得審計范圍和內(nèi)容更加廣泛、全面,審計證據(jù)更加充分、可靠,從而可以提高審計工作質(zhì)量,減少審計風險。
5、專家分析法。ERP系統(tǒng)是一個技術和管理含量很高的管理信息系統(tǒng)。審計人員由于專業(yè)以及時間和精力等方面的局限,不可能對ERP系統(tǒng)的所有管理問題和技術問題都很熟悉,在審計過程中,必須充分征求ERP實施和運行維護專家的意見,采用專家分析法來幫助我們得出正確的審計結論。
三、ERP環(huán)境下企業(yè)風險管理審計的客觀條件
(一)樹立風險管理審計意識
盡管我國已先后掀起了三次“審計風暴”,但在許多企業(yè)中,內(nèi)部審計的意識還不是太強,更談不上對風險管理進行審計。尤其是一些實施和應用了ERP的企業(yè),過分相信ERP系統(tǒng)的作用,認為ERP實現(xiàn)了內(nèi)部控制,企業(yè)的風險大大減少,有的甚至認為ERP可以解決一切,卻忘記了系統(tǒng)也是由人來操作的這一關鍵問題。因此,我們有必要加大這方面的宣貫力度,讓企業(yè)各級領導和全體審計人員清楚意識到ERP環(huán)境下企業(yè)的風險所在以及企業(yè)風險管理審計的重要性。
?。ǘ┖粚嶏L險管理審計的業(yè)務基礎
目前,我國大部分企業(yè)還未真正開展過風險管理審計,有的甚至對風險管理審計還相當陌生。在此基礎上,要應對ERP環(huán)境下的風險管理審計,無疑非常困難。為此,我們必須迅速改變傳統(tǒng)的審計方法和思路,拓展和延伸審計的廣度和深度,加強對企業(yè)內(nèi)部控制尤其是風險管理的審計,努力夯實風險管理審計的業(yè)務基礎,為ERP環(huán)境下企業(yè)的風險管理審計創(chuàng)造良好的條件。
?。ㄈ┨岣邔徲嬯犖榈恼w素質(zhì)
要切實搞好ERP環(huán)境下的風險管理審計,必須提高審計隊伍的整體素質(zhì),建立一支既懂ERP系統(tǒng)知識、又懂審計業(yè)務,能在ERP環(huán)境下獨立開展審計業(yè)務的高素質(zhì)的審計隊伍。由此,我們一方面要配備一定數(shù)量的熟悉ERP系統(tǒng)的人員,并對這些人員進行內(nèi)部審計業(yè)務的培訓;另一方面要加大對審計人員ERP系統(tǒng)知識和計算機知識的培訓力度。
(四)實現(xiàn)計算機輔助審計
在ERP環(huán)境下,由于數(shù)據(jù)信息量巨大(有人稱之為海量數(shù)據(jù))且又實時共享,系統(tǒng)運行復雜而又速度驚人,要收集和掌握及時、準確的審計證據(jù),運用科學的審計方法,單靠原來的手工方式已經(jīng)不可能了,必須通過計算機的輔助才能實現(xiàn)。一方面,要充分利用ERP系統(tǒng)本身的功能優(yōu)勢來提高審計質(zhì)量和效率;另一方面,要通過實施ERP審計模塊來最大限度地發(fā)揮審計的服務、監(jiān)督和評價作用。
上一篇:計算機審計存在的問題及其完善
下一篇:美國學者財務舞弊最新研究成果點評
Copyright © 2000 - m.jnjuyue.cn All Rights Reserved. 北京正保會計科技有限公司 版權所有
京B2-20200959 京ICP備20012371號-7 出版物經(jīng)營許可證 京公網(wǎng)安備 11010802044457號