ERP环境下企业的风险管理审计

1、ERP 环境下企业的风险管理审计审计事务部梁伦腾摘要本文阐述了 ERP 环境下企业风险管理审计的必要性, 系统介绍了 ER.P 环境下企业风险 管理审计的主要内容与方法,简要分析了 ERP 环境下企业风险管理审计的客观条件,对企业 应用ERP 系统后的风险管理审计具有一定的指导意义。随着人类步人信息化社会,企业生存和发展的环境发生了重大改变,以管理思想和管理方法为核心的企业资源计划系统 (简称ERP 系统 已成为企业提升管理水平和竞争实力的有力武器,企业的风险管理发生了根本性的变化,与之对应的风险管理审计也面临着前所未有的挑战。通过系统优化,实现了管理的持续改善。另一方面,企业的生产经营业务通

2、过统一的ERP 系统平台进行处理后,以往肉眼可见的线索都被掩盖起来,企业及员工的工作习惯、思维方式、信息载体、控制手段和管理模式等都发生了根本变化。所有这一切,都为企业的风险管理提出了新的更高的要求。1 ERP 环境下企业风险管理审计的必 1. 3 ERP 环境下的企业风险管理更要加强要性内部审计ERP 系统的高风险性决定了企业必须实行风险管理据统计,全球实施 ERP 的成功率不过20%。尽管如此,还是有不少企业怀着美丽的梦想,踏上 ERP 实施的艰辛之旅。经过一番奋力拼搏,那些在实施中最后的幸存者,将仍然面临较实施前更大的风险。系统的运行,将随时可能出现这样或那样的问题,有时甚至可能使整个系

3、统在瞬间崩溃。是否有一个运行有效的风险管理机制将决定企业是否能在最初的 ERP 投资中真正获益。1. 2 ERP 的系统特性为企业的风险管理提出新的要求ERP 系统与企业其他信息系统有着本质的不同,它通过流程重组,实现了企业的管理变革 ; 通过系统集成,实现了信息的实时共享 ; 通过流程控制,实现了绩效的动态监控 ;·58·对风险管理的审查和评价是企业内部审计的基本内容之一。 ERP 环境下企业的风险管理审计将显得更为重要。一方面,在ERP 环境下,舞弊和失误均由原来的手工操作变成了由机器和系统程序来完成,不留任何纸面痕迹,从而使风险更加隐蔽、层次更高、内涵更深,风险识别、

4、评估和应对的难度更大 ; 另一方面,企业实施 ERP 以后, ERP 已成为企业的生命线,风险可能造成的损失将更加巨大。据美国斯坦福研究所的调查,美国计算机舞弊犯罪最高的一次就达到 50亿美元。企业为了防范和降低风险,必须加大风险管理的审计力度。2 ERP 环境下企业风险管理审计的内容与方法2. 1 ERP 环境下企业风险管理审计的主要内容企业风险管理审计就是要对企业风险管理过程及其内容的适当性和有效性进行审查 和评价,并提出改进建议。在 ERP 环境下,要重点考虑对以下几方面进行审计。a. 对风险管理机制的审计。无论从系统实施,还是从系统运行来说, ERP 都是一个风险巨大的系统,必须建立严

5、密的风险管理机制。对 ERP 环境下企业风险管理的审计,首先必须对风险管理机制进行审计,审查企业及其下属单位是否建立了风险管理机制,风险的识别、评价和应对机制的适应性和有效性如何,实际运行情况怎样,是否有利于企业管理的持续改善等。在审计中,我们还应当专门对业务流程、关键控制点、系统监控等方面的风险管理机制进行重点审计。b. 对业务流程的审计。 ERP 系统是建立在对业务流程进行优化重组的基础之上的,它打破了原有的权力分配模式,触动了一些部门或个人的利益,系统上线后能否按既定的模式运行以及运行效果如何,关系到系统运行的成败。另外,由于上线时间紧迫,实施时设定的业务流程不一定最佳 ; 即使当时是最

6、佳的业务流程,也会因为上线后运行环境的变化而有进一步优化的必要。只有经常对业务流程进行风险管理和审计,才能使企业业务始终运行于相对较优的流程环境之中。对业务流程的风险管理审计大体包括以下几个方面 :应该在系统中运行的业务是否全部通过系统运行 ; 信息是否及时录人系统 ;录人的信息是否真实、准确 ; 系统运行是否正确,有无系统错误 ; 流程是否通畅,有无缺陷 或舞弊的可能,能否进行进一步的优化 ; 识别、评价和应对流程风险的效果如何等。c. 对关键控制点的审计。 ERP 系统是由 采购、仓储、生产、销售、财务、设备管理、人力 资源等多个模块高度集成起来的,每一模块都 有相应的关键控制点,对企业的

7、生产经营起着 至关重要的作用。如销售模块中的信用控制 点,是根据用户的信用程度控制发货的关键 点,如控制不严,有可能使公司财产遭受巨大 损失 ; 销售结算中的定价控制点,是根据发货 时间来自动划价的,倘若公司某天调整销售价 格,而发货时间控制不严,公司的效益损失也 将非常巨大,而且很难发现。因此,对关键控 制点的风险管理审计应作为审计的重点。审 计时主要要关注以下问题 :是否对关键控制点 进行了识别,识别是否全面 ; 是否建立了关键 控制点的风险评价体系 ; 是否建立了关键控制 点的预警机制和应对机制 ; 关键控制点的识别、评价、预警和应对机制的适应性和有效性 如何 ; 控制方法和手段是否可进

8、一步优化 ; 有无控制不严或失控的现象和可能等。d. 对系统监控的审计。 EftP 系统应用于企业的优点之一就是对业务和绩效能够进 行动态监控。再好的系统,终究要人去使用, 才能体现其优越。 ERP 系统的监控功能,本 身就是一种控制,运用得好,可以极大地降低 风险 ; 可一旦运用不好,流程上的控制点就会 失去控制,风险也就会随之加大。就拿上面 提到的关键控制点来说,如果随时进行了动 态监控,其风险将大大降低,即使偶然出现异 常,也会因及时的动态监控而发现问题并采 取相应的应对措施以减少损失。因此,我们 有必要对系统监控的风险管理进行审计,审 查和评价企业及其下属单位是否利用 ERP系统进行了

9、业务和绩效的动态监控、监控点 及其风险如何识别和评价、监控的权威性及 其效果如何、发现问题的处理方式以及应对 风险的效果如何、有无监控盲区或监控不力 的区域、监控结果的利用情况如何等。e. 对信息系统的审计。从系统本身来说,无论是硬件还是软件,都有产生故障的可 能,软件功能的完备与否也是系统运行的风 险之一, ERP 系统与其他系统的连接则是影响系统运行的关键因素。要保证 ERP 系统的正常运行,降低经营风险,对 ERP 系统以及与其相联接的其他信息系统的风险管理与审计也是必不可少的,这包括对系统的开发与设计、软件的程序、系统的控制、功能的划分、硬件的架构、备份模式及效果、故障处理 方案及风险

10、应对措施、系统风险识别与评价体系等进行审计。f. 对系统人员的审计。任何系统都是通过人来操作和维护的。要保证系统运行的正常,首先必须保证有与系统相适应的系统维护和操作人员,同时还要保证这些人员具有完成本岗位工作的责任心。否则,系统的运行将存在巨大风险。尤其是关键控制点和系统监控岗位上的人员以及关键的系统维护人员,他们掌握着整个系统的命脉。由此可见,对相关系统人员的风险管理与审计也就显得相当重要。首先,我们要审查和评价系统人员是否经过培训并取得相应资格,是否有识别和应对本岗位风险的能力,在本岗位控制和风险管理的实际效果如何等 ; 其次,我们要审查和评价企业及其下属单位是否建立了相应的人才风险管理

11、机制,识别、评价以及应对人才风险的措施和效果如何 ; 同时,我们还要在对领导干部的经济责任审计中增加对系统控制和风险管理等方面的审计内容,对关键控制点和系统监控岗位上的人员以及关键的系统维护人员可以试行系统责任审计,以促进领导干部及相应系统人员增强 ERP系统的风险意识和责任。2. 2 ERP 环境下企业风险管理审计的主要方法风险管理审计是管理审计的主要内容之一,其具体方法很多,包括因素分析法、比较分析法、趋势分析法、定性定量分析法等。它们同样适用于 ERP 环境下企业的风险管理审计。在这里,笔者着重谈谈在 ERP 环境下富有特色的几种审计方法。a. 流程追溯法。 ERP 系统一般都具有流程追

12、溯功能,如 SAP 系统。即任何信息都可通过流程追溯功能,逆向追溯到信息源头,正向追溯到最终结果。审计时,我们可以充分利用该功能,通过正向或逆向的追溯方式,提高对风险的识别和评价能力 ; 还可根据追·60·溯结果判断审计事项的发展方向,明确相关审计事项,评价风险应对措施的适应性与有效性,并提出进一步改进的意见。b. 循环测试法。任何业务的开展都有其相应的内、外部条件和特例,因而在 ERP系统中的运行可能会产生不同的结果。另一方面,某一具体业务在单项功能中的运行结果,与在系统集成功能下运行的结果比较,可能会有不同的结论。在审计过程中,我们会经常采用测试的方法来得出审计结论。为

13、了保证审计结构的准确、全面,不能简单地以单项功能运行的结果和某一次结果或特例得出审计结论,而应借鉴 ERP 系统实施时的方法,分别进行多轮单元测试和集成测试。c. 实时审计法。 ERP 系统内的信息是实时共享的,原始数据只需一次输人,各模块便可根据需要实时调用,直至编制出最终报表。因此,审计人员可以根据需要实时收集自己感兴趣的资料,并通过系统将这些资料实现共享,从而进行实时审计,以弥补事后审计线索不充分的缺陷,为事前审计、事中审计创造了条件。d ,系统辅助法。 ERP 系统应用后,企业生产经营信息高度集成,为全面推行计算机系统辅助审计提供了可能。审计人员借助于审计软件或 ERP 系统中的审计模

14、块,通过输人必要的条件进行样本抽取,对异常项目进行调查测试,可以确定审计重点,并在一定范围内进行逐笔审计。同时,由于计算机快速、准确、信息量大的特点,使得审计范围和内容更加广泛、全面,审计证据更加充分、可靠,从而可以提高审计工作质量,减少审计风险。e. 专家分析法。 ERP 系统是一个技术和管理含量很高的管理信息系统。审计人员由于专业以及时间和精力等方面的局限,不可能对 ERP 系统的所有管理问题和技术问题都很熟悉,在审计过程中,必须充分征求ERP 实施和运行维护专家的意见,采用专家分析法来帮助我们得出正确的审计结论。 3 ERP 环境下企业风险管理审计的客 观条件管理审计的业务基础,为 ER

15、P 环境下企业的风险管理审计创造良好的条件。3. 3提高审计队伍的整体素质3. 1树立风险管理审计意识尽管我国已先后掀起了三次“审计风 暴” ，但在许多企业中，内部审计的意识还不是 太强，更谈不上对风险管理进行审计。尤其是 一些实施和应用了 ERP 的企业，过分相信 ERP 系统的作用，认为 ERP 实现了内部控制， 企业的风险大大减少，有的甚至认为 ERP 可 以解决一切，却忘记了系统也是由人来操作的 这一关键问题。因此，我们有必要加大这方面 的宣传力度，让企业各级领导和全体审计人员 清楚意识到 ERP 环境下企业的风险所在以及 企业风险管理审计的重要性。 要切实搞好 ERP 环境下的风险管

16、理审 计，必须提高审计队伍的整体素质，建立一支 既懂 ERP 系统知识、又懂审计业务，能在 ERP 环境下独立开展审计业务的高素质的 审计队伍。由此，我们一方面要配备一定数 量的熟悉 ERP 系统的人员，并对这些人员进 行内部审计业务的培训;另一方面要加大对 审计人员 ERP 系统知识和计算机知识的培 训力度。 3. 4 实现计算机辅助审计 3. 2 夯实风险管理审计的业务基础 目前，我国大部分企业还未真正开展过 风险管理审计，有的甚至对风险管理审计还 相当陌生。在此基础上，要应对 ERP 环境下 的风险管理审计，无疑非常困难。为此，我们 必须迅速改变传统的审计方法和思路，拓展 和延伸审计的广

17、度和深度，加强对企业内部 控制尤其是风险管理的审计，努力夯实风险 在 ERP 环境下，由于数据信息量巨大 (有人称之为海量数据且又实时共享，系统 运行复杂而又速度惊人，要收集和掌握及时、 准确的审计证据，运用科学的审计方法，单靠 原来的手工方式已经不可能了，必须通过计 算机的辅助才能实现。一方面，要充分利用 ERP 系统本身的功能优势来提高审计质量 和效率;另一方面，要通过实施 ERP 审计模 块来最大限度地发挥审计的服务、监督和评 价作用。 多流槽 BRCU 无料钟炉顶设备开始在高炉上推广应用 由达涅利康力斯和 TOTEM 公司共同推 出的新型多流槽无料钟炉顶设备已开始在高 炉上推广应用。该设备已在俄罗斯西西伯利 亚钢铁公司 3000 时高炉和 2000 时高炉上 工作 12 年，在印度京德勒 800 澎高炉和印度 比莱钢厂 1033 扩高炉工作了 6 年，至今运行 良好。多流槽 BRCU 无料钟炉顶具有设备结 构简