一、ERP环境下开展管理风险审计的基本内容
1.审计目标:当前企业信息化建设的快速发展和ERP系统全面应用的背景下,审计环境已经发生重大改变,通过对ERP系统开展风险审计,揭示ERP及信息化条件下企业管理面临的新风险和新挑战,在实践中研究和总结经验,从而建立起完整的审计信息化探索、实践、总结、应用模式,推动审计信息化建设和审计创新。
2.实施策略:一是突出管理风险和效益评价, 通过审计过程收集的证据以评价新条件下经济活动的有效性和效益性;二是突出审计拓展和方法创新,从传统审计项目向信息化方面延伸,将ERP日常运行和业务流程执行情况纳入审计关注范围;三是突出理论研究和成果应用,用审计实践探索总结的经验改进管理风险审计的方式。
二、ERP带来的管理风险
(一)ERP给企业带来的变化
企业在实施ERP后主要的变化集中在:一是业务运作流程化,所有系统在一个平台下以流程的形式连接起来,导致风险也从分散到集中转变;二是业务控制由以往人工审核向电子审核的形式转变,管理内控由线下控制转变为电子式的程序控制;三是财务记账实现自动化,由事后记账转变为业务驱动、自动集成。
(二)ERP对企业管理产生的主要风险
ERP对企业内控的产生的风险分为宏观建设风险和业务管理风险两大类。
1.宏观建设风险:一是ERP系统与业务的差异风险:ERP的通用性设计与企业个性业务之间的差异造成的矛盾。二是系统人机交互和操作带来初期应用风险,主要是工作效率低下和差错率增高,从而拖累整个业务流转效率。三是新的账务处理模式带来的风险,新的核算流程和处理模式给在初期容易影响数据真实性。
2.业务管理风险:一是系统内控管理风险,新流程缺少多元化的业务控制机制;二是数据业务一致性风险,集中在业务实际与系统数据存在差异。三是系统控制能力风险,仅靠系统内设的控制机制无法满足企业管理需要。
三、ERP风险审计的实施
(一)将风险识别、分析、处理融入审计作业流程
该项目作业模式与常规风险审计项目一致,包括识别风险、分析风险、评价处理风险三个过程。
1.风险识别:主要是通过审前调查业务蓝图设计与实际运行情况的符合性,对各类可能的风险进行初步判别,掌握对系统应用产生重大影响的风险。
2.风险分析:在项目现场作业阶段,以符合性测试和模拟测试为主要手段,对系统数据与管理内控进行诊断,对各类风险进行排序和过滤,揭示对系统建设运行可能对业务运作和数据准确产生影响的风险。
3.风险评价和处理阶段:对发现的风险以审计建议的形式向有关部门提出管理建议,完善管理制度和流程并跟踪ERP系统改进完善情况;最后将风险总结成审计成果,并应用到审计信息化建设等工作上,改进审计方法和手段。
(二)主要审计方法
风险识别方法:主要应用符合性测试和模拟测试法对项目的风险进行识别和评估。符合性测试主要是对系统运行与实际管理的符合性进行测试,用于验证数据的真实性;模拟测试法主要利用模拟数据了解系统设置和系统内业务流程运作情况,用于验证系统功能与业务需求的符合性。
风险分析方法:主要适应定性分析法和定量分析法。定性分析主要是对风险产生的原因、实际运行状况和可能产生的风险进行定性,确定风险的可控程度;定量分析主要以审计经验和管理需求,对风险进行梳理,对可能影响业务正常运作和数据准确甚至导致产生舞弊的漏洞和风险,设定不同的权重加以判别。
(三)审计主要关注点
一是关注企业管理关键业务,包括人、财、物和项目等关键业务,这都是审计关注的重点领域;二是关注流程重组,新流程与企业需求的符合性、与系统运行的适应性、对数据信息的有效性都是审计关注的风险点;三是关注ERP的磨合期,从上线到稳定运行必然有一个完善优化的过程,期间受到人员操作熟练度、业务运转成熟度、内控制度完善度等因素影响而产生风险;四是关注审计对象的转变,ERP导致很多审计证据成为计算机系统的信息流和数据流,给审计工作带来新风险。
四、ERP风险审计的体会
(一)拓展风险审计的范围,探索IT审计方法
一是与常规审计项目融会贯通。实施ERP环境下的风险管理审计,与传统审计项目在程序保持一致,都是按照标准作业流程。二是充分借助计算机辅助审计软件,实现了审计思路向ERP审计方法的转变。三是提高了审计工作效率,为实现远程审计、在线审计奠定基础。
(二)不足与改进
不足之处主要包括:一是涉及多专业、多部门,审计对象较复杂,不明确。二是传统的审计线索被取代,审计内容发生变化,审计线索和证据趋于隐蔽化,从而增加审计难度。三是审计人员专业限制,较难在短期内精通ERP系统各个模块,无法涵盖全系统、全业务。
主要改进措施:开展ERP专题培训,提高审计人员应用水平;在ERP系统中建立审计人员专用角色,加强日常监控;建设审计监控平台,完善ERP环境下的计算机辅助审计工具。
五、结束语
经过实践,针对ERP系统开展风险审计,是对风险审计和IT审计的有益补充,对于新形势、新条件下的审计工作具有显著的推动和促进作用:能够适应公司发展的新形势、新环境。拓宽审计新领域,积累IT审计的新经验、新手段。
【参考文献】
[1] 陈伟,2012:计算机应用-计算机辅助审计原理及应用[M],清华大学出版社.
[2] 陈福军、孙芳、 刘俊,2006:会计信息系统实务教程:信息管理与信息系[M], 清华大学出版社.
[3] 陈明坤,2007:ERP系统整合审计[M],经济科学出版社.
1.审计目标:当前企业信息化建设的快速发展和ERP系统全面应用的背景下,审计环境已经发生重大改变,通过对ERP系统开展风险审计,揭示ERP及信息化条件下企业管理面临的新风险和新挑战,在实践中研究和总结经验,从而建立起完整的审计信息化探索、实践、总结、应用模式,推动审计信息化建设和审计创新。
2.实施策略:一是突出管理风险和效益评价, 通过审计过程收集的证据以评价新条件下经济活动的有效性和效益性;二是突出审计拓展和方法创新,从传统审计项目向信息化方面延伸,将ERP日常运行和业务流程执行情况纳入审计关注范围;三是突出理论研究和成果应用,用审计实践探索总结的经验改进管理风险审计的方式。
二、ERP带来的管理风险
(一)ERP给企业带来的变化
企业在实施ERP后主要的变化集中在:一是业务运作流程化,所有系统在一个平台下以流程的形式连接起来,导致风险也从分散到集中转变;二是业务控制由以往人工审核向电子审核的形式转变,管理内控由线下控制转变为电子式的程序控制;三是财务记账实现自动化,由事后记账转变为业务驱动、自动集成。
(二)ERP对企业管理产生的主要风险
ERP对企业内控的产生的风险分为宏观建设风险和业务管理风险两大类。
1.宏观建设风险:一是ERP系统与业务的差异风险:ERP的通用性设计与企业个性业务之间的差异造成的矛盾。二是系统人机交互和操作带来初期应用风险,主要是工作效率低下和差错率增高,从而拖累整个业务流转效率。三是新的账务处理模式带来的风险,新的核算流程和处理模式给在初期容易影响数据真实性。
2.业务管理风险:一是系统内控管理风险,新流程缺少多元化的业务控制机制;二是数据业务一致性风险,集中在业务实际与系统数据存在差异。三是系统控制能力风险,仅靠系统内设的控制机制无法满足企业管理需要。
三、ERP风险审计的实施
(一)将风险识别、分析、处理融入审计作业流程
该项目作业模式与常规风险审计项目一致,包括识别风险、分析风险、评价处理风险三个过程。
1.风险识别:主要是通过审前调查业务蓝图设计与实际运行情况的符合性,对各类可能的风险进行初步判别,掌握对系统应用产生重大影响的风险。
2.风险分析:在项目现场作业阶段,以符合性测试和模拟测试为主要手段,对系统数据与管理内控进行诊断,对各类风险进行排序和过滤,揭示对系统建设运行可能对业务运作和数据准确产生影响的风险。
3.风险评价和处理阶段:对发现的风险以审计建议的形式向有关部门提出管理建议,完善管理制度和流程并跟踪ERP系统改进完善情况;最后将风险总结成审计成果,并应用到审计信息化建设等工作上,改进审计方法和手段。
(二)主要审计方法
风险识别方法:主要应用符合性测试和模拟测试法对项目的风险进行识别和评估。符合性测试主要是对系统运行与实际管理的符合性进行测试,用于验证数据的真实性;模拟测试法主要利用模拟数据了解系统设置和系统内业务流程运作情况,用于验证系统功能与业务需求的符合性。
风险分析方法:主要适应定性分析法和定量分析法。定性分析主要是对风险产生的原因、实际运行状况和可能产生的风险进行定性,确定风险的可控程度;定量分析主要以审计经验和管理需求,对风险进行梳理,对可能影响业务正常运作和数据准确甚至导致产生舞弊的漏洞和风险,设定不同的权重加以判别。
(三)审计主要关注点
一是关注企业管理关键业务,包括人、财、物和项目等关键业务,这都是审计关注的重点领域;二是关注流程重组,新流程与企业需求的符合性、与系统运行的适应性、对数据信息的有效性都是审计关注的风险点;三是关注ERP的磨合期,从上线到稳定运行必然有一个完善优化的过程,期间受到人员操作熟练度、业务运转成熟度、内控制度完善度等因素影响而产生风险;四是关注审计对象的转变,ERP导致很多审计证据成为计算机系统的信息流和数据流,给审计工作带来新风险。
四、ERP风险审计的体会
(一)拓展风险审计的范围,探索IT审计方法
一是与常规审计项目融会贯通。实施ERP环境下的风险管理审计,与传统审计项目在程序保持一致,都是按照标准作业流程。二是充分借助计算机辅助审计软件,实现了审计思路向ERP审计方法的转变。三是提高了审计工作效率,为实现远程审计、在线审计奠定基础。
(二)不足与改进
不足之处主要包括:一是涉及多专业、多部门,审计对象较复杂,不明确。二是传统的审计线索被取代,审计内容发生变化,审计线索和证据趋于隐蔽化,从而增加审计难度。三是审计人员专业限制,较难在短期内精通ERP系统各个模块,无法涵盖全系统、全业务。
主要改进措施:开展ERP专题培训,提高审计人员应用水平;在ERP系统中建立审计人员专用角色,加强日常监控;建设审计监控平台,完善ERP环境下的计算机辅助审计工具。
五、结束语
经过实践,针对ERP系统开展风险审计,是对风险审计和IT审计的有益补充,对于新形势、新条件下的审计工作具有显著的推动和促进作用:能够适应公司发展的新形势、新环境。拓宽审计新领域,积累IT审计的新经验、新手段。
【参考文献】
[1] 陈伟,2012:计算机应用-计算机辅助审计原理及应用[M],清华大学出版社.
[2] 陈福军、孙芳、 刘俊,2006:会计信息系统实务教程:信息管理与信息系[M], 清华大学出版社.
[3] 陈明坤,2007:ERP系统整合审计[M],经济科学出版社.