ERP環境下企業的風險管理審計

【內容提要】本文闡述了ERP環境下企業風險管理審計的必要性，系統介紹了ERP環境下企業風險管理審計的主要內容與方法，簡要分析了ERP環境下企業風險管理審計的客觀條件，對企業應用ERP系統後的風險管理審計具有一定的指導意義。 　　【關鍵詞】風險管理 審計 ERP　　隨着人類步入資訊化社會，企業生存和發展的環境發生了重大改變，以管理思想和管理方法爲核心的企業資源計劃系統（簡稱ERP系統）已成爲企業提升管理水平和競爭實力的有力武器，企業的風險管理髮生了根本性的變化，與之對應的風險管理審計也面臨着前所未有的挑戰。　　一、ERP環境下企業風險管理審計的必要性　　（一）ERP系統的高風險性決定了企業必須實行風險管理　　據統計，全球實施ERP的成功率不過20%.他們中，有的在實施時即告失敗，有的在實施成功後因發育不良而夭折。儘管如此，還是有不少企業懷着美麗的夢想，踏上ERP實施的艱辛之旅。經過一番奮力拼搏，那些在實施中最後的倖存者，將仍然面臨較實施前更大的風險。系統的執行，將隨時可能出現這樣或那樣的問題，有時甚至可能使整個系統在瞬時間崩潰。是否有一個執行有效的風險管理機制將決定企業是否能在最初的ERP投資中真正獲益。　　（二）ERP的系統特性爲企業的風險管理提出了新的要求　　ERP系統與企業其他資訊系統有着本質的不同，她透過流程重組，實現了企業的管理變革；透過系統集成，實現了資訊的實時共享；透過流程控制，實現了績效的動態監控；透過系統優化，實現了管理的持續改善。另一方面，企業的生產經營業務透過統一的ERP系統平臺進行處理後，以往肉眼可見的線索都被掩蓋起來，企業及員工的工作習慣、思維方式、資訊載體、控制手段和管理模式等都發生了根本變化。所有這一切，都爲企業的風險管理提出了新的更高要求。　　（三）ERP環境下的企業風險管理更加離不開內部審計　　對風險管理的審查和評價是企業內部審計的基本內容之一。ERP環境下企業的風險管理審計將顯得更爲重要。一方面，在ERP環境下，舞弊和失誤均由原來的手工操作變成了由機器和系統程序來完成，不留任何紙面痕跡，從而使風險更加隱蔽、層次更高、內涵更深，風險識別、評估和應對的難度更大；另一方面，企業實施ERP以後，ERP已成爲企業的生命線，風險可能造成的損失將更加巨大。據美國斯坦福研究所的調查，美國計算機舞弊犯罪最高的一次就達到50億美元。企業爲了防範和降低風險，必須加大風險管理的審計力度。　　二、ERP環境下企業風險管理審計的內容與方法　　（一）ERP環境下企業風險管理審計的主要內容　　企業風險管理審計就是要對企業風險管理過程及其內容的適當性和有效性進行審查和評價，並提出改進建議。在ERP環境下，要重點考慮對以下幾方面進行審計。　　1、對風險管理機制的審計。無論從系統實施，還是從系統執行來說，ERP都是一個風險巨大的系統，必須建立嚴密的風險管理機制。對ERP環境下企業風險管理的審計，首先必須對風險管理機制進行審計，審查企業及其下屬單位是否建立了風險管理機制，風險的識別、評價和應對機制的適應性和有效性如何，實際執行情況怎樣，是否有利於企業管理的持續改善等。在審計中，我們還應當專門對業務流程、關鍵控制點、系統監控等方面的風險管理機制進行重點審計。　　2、對業務流程的審計。ERP系統是建立在對業務流程進行優化重組的基礎之上的，它打破了原有的權力分配模式，觸動了一些部門或個人的利益，系統上線後能否按既定的模式執行以及執行效果如何，關係到系統執行的成敗。另外，由於上線時間緊迫，實施時設定的業務流程不一定最佳；即使當時是最佳的業務流程，也會因爲上線後執行環境的變化而有進一步優化的必要。只有經常對業務流程進行風險管理和審計，才能使企業業務始終執行於相對較優的流程環境之中。對業務流程的風險管理審計大體包括以下幾個方面：應該在系統中執行的業務是否全部透過系統執行；資訊是否及時錄入系統；錄入的資訊是否真實、準確；系統執行是否正確，有無系統錯誤；流程是否通暢，有無缺陷或舞弊的可能，能否進行進一步的優化；識別、評價和應對流程風險的效果如何等。　　3、對關鍵控制點的審計。ERP系統是由採購、倉儲、生產、銷售、財務、設備管理、人力資源等多個模組高度集成起來的，每一模組都有相應的關鍵控制點，對企業的生產經營起着至關重要的作用。如銷售模組中的信用控制點，是根據用戶的信用程度控制發貨的關鍵點，如控制不嚴，有可能使公司財產遭受巨大損失；銷售結算中的定價控制點，是根據發貨時間來自動劃價的，倘若公司某天調整銷售價格，而發貨時間控制不嚴，公司的效益損失也將非常巨大，而且很難發現。因此，對關鍵控制點的風險管理審計應作爲審計的重點。審計時要主要關注以下問題：是否對關鍵控制點進行了識別，識別是否全面；是否建立了關鍵控制點的風險評價體系；是否建立了關鍵控制點的預警機制和應對機制；關鍵控制點的識別、評價、預警和應對機制的適應性和有效性如何；控制方法和手段是否可進一步優化；有無控制不嚴或失控的現象和可能等。　　4、對系統監控的審計。ERP系統應用於企業的優點之一就是對業務和績效能夠進行動態監控。再好的系統，終究要人去使用，才能體現其優越。ERP系統的監控功能，本身就是一種控制，運用得好，可以極大地降低風險；可一旦運用不好，流程上的控制點就會失去控制，風險也就會隨之加大。就拿上面提到的關鍵控制點來說，如果隨時進行了動態監控，其風險將大大降低，即使偶然出現異常，也會因及時的動態監控而發現問題並採取相應的應對措施以減少損失。因此，我們有必要對系統監控的風險管理進行審計，審查和評價企業及其下屬單位是否利用ERP系統進行了業務和績效的動態監控、監控點及其風險如何識別和評價、監控的權威性及其效果如何、發現問題的處理方式以及應對風險的效果如何、有無監控盲區或監控不力的區域、監控結果的利用情況如何等。　　5、對資訊系統的審計。從系統本身來說，無論是硬件還是軟件，都有產生故障的可能，軟件功能的完備與否也是系統執行的風險之一，ERP系統與其他系統的連接則是影響系統執行的關鍵因素。要保證ERP系統的正常執行，降低經營風險，對ERP系統以及與其相聯接的.其他資訊系統的風險管理與審計也是必不可少的，這包括對系統的開發與設計、軟件的程序、系統的控制、功能的劃分、硬件的架構、備份模式及效果、故障處理方案及風險應對措施、系統風險識別與評價體系等進行審計。 　　6、對系統人員的審計。任何系統都是透過人來操作和維護的。要保證系統執行的正常，首先必須保證有與系統相適應的系統維護和操作人員，同時還要保證這些人員具有完成本崗位工作的責任心。否則，系統的執行將存在巨大風險。尤其是關鍵控制點和系統監控崗位上的人員以及關鍵的系統維護人員，他們掌握着整個系統的命脈。由此可見，對相關係統人員的風險管理與審計也就顯得相當重要。首先，我們要審查和評價系統人員是否經過培訓並取得相應資格，是否有識別和應對本崗位風險的能力，在本崗位控制和風險管理的實際效果如何等；其次，我們要審查和評價企業及其下屬單位是否建立了相應的人才風險管理機制，識別、評價以及應對人才風險的措施和效果如何；同時，我們還要在對領導幹部的經濟責任審計中增加對系統控制和風險管理等方面的審計內容，對關鍵控制點和系統監控崗位上的人員以及關鍵的系統維護人員可以試行系統責任審計，以促進領導幹部及相應系統人員增強ERP系統的風險意識和責任。　　（二）ERP環境下企業風險管理審計的主要方法　　風險管理審計是管理審計的主要內容之一，其具體方法很多，包括因素分析法、比較分析法、趨勢分析法、定性定量分析法等。它們同樣適用於ERP環境下企業的風險管理審計。在這裏，筆者着重談談在ERP環境下富有特色的幾種審計方法。　　1、流程追溯法。ERP系統一般都具有流程追溯功能，如SAP系統。即任何資訊都可透過流程追溯功能，逆向追溯到資訊源頭，正向追溯到最終結果。審計時，我們可以充分利用該功能，透過正向或逆向的追溯方式，提高對風險的識別和評價能力；還可根據追溯結果判斷審計事項的發展方向，明確相關審計事項，評價風險應對措施的適應性與有效性，並提出進一步改進的意見。　　2、循環測試法。任何業務的開展都有其相應的內、外部條件和特例，因而在ERP系統中的執行可能會產生不同的結果。另一方面，某一具體業務在單項功能中的執行結果，與在系統集成功能下執行的結果比較，可能會有不同的結論。在審計過程中，我們會經常採用測試的方法來得出審計結論。爲了保證審計結論的準確、全面，不能簡單地以單項功能執行的結果和某一次結果或特例得出審計結論，而應借鑑ERP系統實施時的方法，分別進行多輪單元測試和集成測試。　　3、實時審計法。ERP系統內的資訊是實時共享的，原始數據只需一次輸入，各模組便可根據需要實時調用，直至編制出最終報表。因此，審計人員可以根據需要實時收集自己感興趣的資料，並透過系統將這些資料實現共享，從而進行實時審計，以彌補事後審計線索不充分的缺陷，爲事前審計、事中審計創造了條件。　　4、系統輔助法。ERP系統應用後，企業生產經營資訊高度集成，爲全面推行計算機系統輔助審計提供了可能。審計人員藉助於審計軟件或ERP系統中的審計模組，透過輸入必要的條件進行樣本抽取，對異常項目進行調查測試，可以確定審計重點，並在一定範圍內進行逐筆審計。同時，由於計算機快速、準確、資訊量大的特點，使得審計範圍和內容更加廣泛、全面，審計證據更加充分、可靠，從而可以提高審計工作質量，減少審計風險。　　5、專家分析法。ERP系統是一個技術和管理含量很高的管理資訊系統。審計人員由於專業以及時間和精力等方面的侷限，不可能對ERP系統的所有管理問題和技術問題都很熟悉，在審計過程中，必須充分徵求ERP實施和執行維護專家的意見，採用專家分析法來幫助我們得出正確的審計結論。