基于业务流程转变的ERP应用风险审计研究
一、基于业务流程转变实施ERP应用风险审计的必要性
(一)ERP系统上线后业务流程发生根本性变化
ERP系统实施以前,许多基于计算机的业务系统,基本都是围绕某一业务功能或者是职能部门运行的,比如远光财务系统、远方物流系统等。这些系统都不是基于跨部门的流程来设计的。ERP系统中单一的数据库,使过去跨部门的审批流程得到简化和压缩。压缩所造成的一个结果是,用于企业内部控制的许多审计线索在ERP系统的引入后消失了。同时,企业过去基于文件审批的内部控制机制,也无法适应ERP基于流程的管理需要。
(二)ERP的系统特性对公司的风险管理提出了新的要求
实施ERP系统后,公司所遇到的业务风险一般来自四个方面:业务流程、应用架构、数据质量和技术架构。其中,业务流程的转变对企业内部控制的影响最大,对企业内部管理和财务方面的监控提出了新的要求,这方面的风险特征相比过去发生了根本性的变化。
二、基于业务流程转变实施ERP应用风险审计的主要途径
基于业务流程转变实施ERP应用风险审计是针对由ERP系统实施所带来的新的业务控制风险,对公司内部控制体系做出重新评估和完善。通过充分评估ERP环境中的控制方式,一种是基于系统的控制,另一种是基于流程的控制。将由于“流程自动化”带来的内部控制可能的削弱作为风险敞口进行重点审查。结合流程追溯法、循环测试法、实时审计法、系统辅助法和专家分析法五种ERP风险审计方法,合理运用了风险审计步骤,从风险描述、风险成因、风险影响、风险评价多个维度对ERP应用风险性质、影响结果进行详细的定性分析。
三、基于业务流程转变实施ERP应用风险审计的具体做法
(一)审前准备阶段
1、制定审计目标
ERP系统是建立在对业务流程进行优化重组的基础之上的,针对由ERP系统实施所带来的新的业务控制风险,我们需要对公司内部控制体系做重新评估和完善。在审计目标的确立上应考虑:一是业务流程的转变打破了原有的权力分配模式,触动了一些部门或个人的利益,系统上线后能否按既定的模式运行以及运行效果如何?二是由于上线时间紧迫,实施时设定的业务流程是否是最佳流程?三是即使当时是最佳的业务流程,也会因为上线后运行环境的变化而有进一步优化的必要?
2、选择审计范围
ERP系统覆盖生产、采购、设备、财务、人资等公司运营管理的各个层面。在审计范围的选择上如果对每个流程和控制点都进行风险评估在资源的利用上是非常不经济的。因此,对ERP应用风险审计范围的选择应采取逆向思维的'方法,首先从公司整个业务风险域中寻找具有最大风险的业务流程,进而确定有哪些ERP模块在支持这些业务流程。在实施过程中,通过对各模块关键用户的访谈,来确定评估范围。
3、确立审计内容
在ERP环境下,舞弊和错误均由原来的手工操作变成了由系统程序来完成,不留任何纸面痕迹,从而使风险更加隐蔽、层次更高、内涵更深,风险识别、评估和应对的难度更大。首先对ERP系统的薄弱环节进行风险分析,进而确立基于业务流程转变可能引发的风险类型,得出下列结论:一是伪造数据输入的舞弊类风险;二是错误数据输入的数据质量风险;三是应用操作控制变化的系统用户授权风险;四是应用层面的操作风险;五是脱离ERP业务流程的非集成风险;六是运行过程中的流程风险。
(二)审计现场实施阶段
1、流程追溯法
审计时遵循溯本求源的思路,提高对风险的识别和评价能力,根据追溯结果判断审计事项的发展方向,明确相关审计事项,评价风险应对措施的适应性及有效性,并提出进一步改进的意见。这种方法适用于伪造数据输入的舞弊类风险。
以项目模块中ERP环境下的虚构项目为例,在ERP项目模块中,根据项目管理流程,设计了相应的操作流程,这些ERP操作环节除了项建阶段涉及上级公司权限外,均要涉及公司工程管理相关部门,包括项目管理部门、物资部门、财务部门,整个流程因牵涉多个部门,会形成一定的内部牵制机制。但如果出现公司管理层主导的集体伪造ERP数据时,从项目WBS的创建、物资的采购、出入库、项目的服务确认、项目的竣工财务转资等流程一路绿灯,配套的物资采购合同、出入库单据、服务合同、发票、开竣工资料、工程决算资料等纸质资料和签字手续一应俱全。那么在ERP中运行的整个工程项目流程只能是一条经人为虚构的“完美”流程。
2、循环测试法
审计时通过查找各模块中的非集成业务风险,通过对比某一具体业务在单项功能中的运行结果和在系统集成功能下的运行结果,进而从ERP内部控制环境中寻找流程控制的风险点。这种方法适用于脱离ERP业务流程的非集成风险和运行过程中的流程风险。
以物资模块中线外采购为例,在ERP物资模块中,根据物资管理流程,从采购订单-发票校验-材料入库-材料出库有特定的业务流程,而往往对于成本中一次性消耗的大宗物料非集成风险频数较高,这类业务经常是绕过“线上”的ERP业务集成而直接采用“线下”的总账凭证在财务模块实现。这类业务涉及物资金额大、数量多,存在很大的二级库管理风险,如ERP系统外物资管理流程缺失的话,很容易造成物资流失。
3、实时审计法
审计人员可以根据需要实时收集自已感兴趣的资料,并通过系统将这些资料实现共享,从而进行实时审计,以弥补事后审计线索不充分的缺陷,为事前、事中审计创造条件。这种方法适用于错误数据输入的数据质量风险和应用层面的操作风险。
【基于业务流程转变的ERP应用风险审计研究】相关文章: