一、基於業務流程轉變實施ERP應用風險審計的必要性
(一)ERP系統上線後業務流程發生根本性變化
ERP系統實施以前,許多基於計算機的業務系統,基本都是圍繞某一業務功能或者是職能部門執行的,比如遠光財務系統、遠方物流系統等。這些系統都不是基於跨部門的流程來設計的。ERP系統中單一的數據庫,使過去跨部門的審批流程得到簡化和壓縮。壓縮所造成的一個結果是,用於企業內部控制的許多審計線索在ERP系統的引入後消失了。同時,企業過去基於檔案審批的內部控制機制,也無法適應ERP基於流程的管理需要。
(二)ERP的系統特性對公司的風險管理提出了新的要求
實施ERP系統後,公司所遇到的業務風險一般來自四個方面:業務流程、應用架構、數據質量和技術架構。其中,業務流程的轉變對企業內部控制的影響最大,對企業內部管理和財務方面的監控提出了新的要求,這方面的風險特徵相比過去發生了根本性的變化。
二、基於業務流程轉變實施ERP應用風險審計的主要途徑
基於業務流程轉變實施ERP應用風險審計是針對由ERP系統實施所帶來的新的業務控制風險,對公司內部控制體系做出重新評估和完善。透過充分評估ERP環境中的控制方式,一種是基於系統的控制,另一種是基於流程的控制。將由於“流程自動化”帶來的內部控制可能的削弱作爲風險敞口進行重點審查。結合流程追溯法、循環測試法、實時審計法、系統輔助法和專家分析法五種ERP風險審計方法,合理運用了風險審計步驟,從風險描述、風險成因、風險影響、風險評價多個維度對ERP應用風險性質、影響結果進行詳細的定性分析。
三、基於業務流程轉變實施ERP應用風險審計的具體做法
(一)審前準備階段
1、制定審計目標
ERP系統是建立在對業務流程進行優化重組的基礎之上的,針對由ERP系統實施所帶來的新的業務控制風險,我們需要對公司內部控制體系做重新評估和完善。在審計目標的確立上應考慮:一是業務流程的轉變打破了原有的權力分配模式,觸動了一些部門或個人的利益,系統上線後能否按既定的模式執行以及執行效果如何?二是由於上線時間緊迫,實施時設定的業務流程是否是最佳流程?三是即使當時是最佳的業務流程,也會因爲上線後執行環境的變化而有進一步優化的必要?
2、選擇審計範圍
ERP系統覆蓋生產、採購、設備、財務、人資等公司運營管理的各個層面。在審計範圍的選擇上如果對每個流程和控制點都進行風險評估在資源的利用上是非常不經濟的。因此,對ERP應用風險審計範圍的選擇應採取逆向思維的'方法,首先從公司整個業務風險域中尋找具有最大風險的業務流程,進而確定有哪些ERP模組在支援這些業務流程。在實施過程中,透過對各模組關鍵用戶的訪談,來確定評估範圍。
3、確立審計內容
在ERP環境下,舞弊和錯誤均由原來的手工操作變成了由系統程序來完成,不留任何紙面痕跡,從而使風險更加隱蔽、層次更高、內涵更深,風險識別、評估和應對的難度更大。首先對ERP系統的薄弱環節進行風險分析,進而確立基於業務流程轉變可能引發的風險類型,得出下列結論:一是僞造數據輸入的舞弊類風險;二是錯誤數據輸入的數據質量風險;三是應用操作控制變化的系統用戶授權風險;四是應用層面的操作風險;五是脫離ERP業務流程的非集成風險;六是執行過程中的流程風險。
(二)審計現場實施階段
1、流程追溯法
審計時遵循溯本求源的思路,提高對風險的識別和評價能力,根據追溯結果判斷審計事項的發展方向,明確相關審計事項,評價風險應對措施的適應性及有效性,並提出進一步改進的意見。這種方法適用於僞造數據輸入的舞弊類風險。
以項目模組中ERP環境下的虛構項目爲例,在ERP項目模組中,根據項目管理流程,設計了相應的操作流程,這些ERP操作環節除了項建階段涉及上級公司權限外,均要涉及公司工程管理相關部門,包括項目管理部門、物資部門、財務部門,整個流程因牽涉多個部門,會形成一定的內部牽制機制。但如果出現公司管理層主導的集體僞造ERP數據時,從項目WBS的創建、物資的採購、出入庫、項目的服務確認、項目的竣工財務轉資等流程一路綠燈,配套的物資採購合同、出入庫單據、服務合同、發票、開竣工資料、工程決算資料等紙質資料和簽字手續一應俱全。那麼在ERP中執行的整個工程項目流程只能是一條經人爲虛構的“完美”流程。
2、循環測試法
審計時透過查找各模組中的非集成業務風險,透過對比某一具體業務在單項功能中的執行結果和在系統集成功能下的執行結果,進而從ERP內部控制環境中尋找流程控制的風險點。這種方法適用於脫離ERP業務流程的非集成風險和執行過程中的流程風險。
以物資模組中線外採購爲例,在ERP物資模組中,根據物資管理流程,從採購訂單-發票校驗-材料入庫-材料出庫有特定的業務流程,而往往對於成本中一次性消耗的大宗物料非集成風險頻數較高,這類業務經常是繞過“線上”的ERP業務集成而直接採用“線下”的總賬憑證在財務模組實現。這類業務涉及物資金額大、數量多,存在很大的二級庫管理風險,如ERP系統外物資管理流程缺失的話,很容易造成物資流失。
3、實時審計法
審計人員可以根據需要實時收集自已感興趣的資料,並透過系統將這些資料實現共享,從而進行實時審計,以彌補事後審計線索不充分的缺陷,爲事前、事中審計創造條件。這種方法適用於錯誤數據輸入的數據質量風險和應用層面的操作風險。