ERP环境下企业的风险管理审计(1)

【关键词】风险管理 审计 ERP

随着人类步入信息化社会，企业生存和发展的环境发生了重大改变，以管理思想和管理方法为核心的企业资源计划系统（简称ERP系统）已成为企业提升管理水平和竞争实力的有力武器，企业的风险管理发生了根本性的变化，与之对应的风险管理审计也面临着前所未有的挑战。

一、ERP环境下企业风险管理审计的必要性

（一）ERP系统的高风险性决定了企业必须实行风险管理

据统计，全球实施ERP的成功率不过20%.他们中，有的在实施时即告失败，有的在实施成功后因发育不良而夭折。尽管如此，还是有不少企业怀着美丽的梦想，踏上ERP实施的艰辛之旅。经过一番奋力拼搏，那些在实施中最后的幸存者，将仍然面临较实施前更大的风险。系统的运行，将随时可能出现这样或那样的问题，有时甚至可能使整个系统在瞬时间崩溃。是否有一个运行有效的风险管理机制将决定企业是否能在最初的ERP投资中真正获益。

（二）ERP的系统特性为企业的风险管理提出了新的要求

ERP系统与企业其他信息系统有着本质的不同，她通过流程重组，实现了企业的管理变革；通过系统集成，实现了信息的实时共享；通过流程控制，实现了绩效的动态监控；通过系统优化，实现了管理的持续改善。另一方面，企业的生产经营业务通过统一的ERP系统平台进行处理后，以往肉眼可见的线索都被掩盖起来，企业及员工的工作习惯、思维方式、信息载体、控制手段和管理模式等都发生了根本变化。所有这一切，都为企业的风险管理提出了新的更高要求。

（三）ERP环境下的企业风险管理更加离不开内部审计

对风险管理的审查和评价是企业内部审计的基本内容之一。ERP环境下企业的风险管理审计将显得更为重要。一方面，在ERP环境下，舞弊和失误均由原来的手工操作变成了由机器和系统程序来完成，不留任何纸面痕迹，从而使风险更加隐蔽、层次更高、内涵更深，风险识别、评估和应对的难度更大；另一方面，企业实施ERP以后，ERP已成为企业的生命线，风险可能造成的损失将更加巨大。据美国斯坦福研究所的调查，美国计算机舞弊犯罪最高的一次就达到50亿美元。企业为了防范和降低风险，必须加大风险管理的审计力度。

二、ERP环境下企业风险管理审计的内容与方法

（一）ERP环境下企业风险管理审计的主要内容

企业风险管理审计就是要对企业风险管理过程及其内容的适当性和有效性进行审查和评价，并提出改进建议。在ERP环境下，要重点考虑对以下几方面进行审计。

1、对风险管理机制的审计。无论从系统实施，还是从系统运行来说，ERP都是一个风险巨大的系统，必须建立严密的风险管理机制。对ERP环境下企业风险管理的审计，首先必须对风险管理机制进行审计，审查企业及其下属单位是否建立了风险管理机制，风险的识别、评价和应对机制的适应性和有效性如何，实际运行情况怎样，是否有利于企业管理的持续改善等。在审计中，我们还应当专门对业务流程、关键控制点、系统监控等方面的风险管理机制进行重点审计。

2、对业务流程的审计。ERP系统是建立在对业务流程进行优化重组的基础之上的，它打破了原有的权力分配模式，触动了一些部门或个人的利益，系统上线后能否按既定的模式运行以及运行效果如何，关系到系统运行的成败。另外，由于上线时间紧迫，实施时设定的业务流程不一定最佳；即使当时是最佳的业务流程，也会因为上线后运行环境的变化而有进一步优化的必要。只有经常对业务流程进行风险管理和审计，才能使企业业务始终运行于相对较优的流程环境之中。对业务流程的风险管理审计大体包括以下几个方面：应该在系统中运行的业务是否全部通过系统运行；信息是否及时录入系统；录入的信息是否真实、准确；系统运行是否正确，有无系统错误；流程是否通畅，有无缺陷或舞弊的可能，能否进行进一步的优化；识别、评价和应对流程风险的效果如何等。

3、对关键控制点的审计。ERP系统是由采购、仓储、生产、销售、财务、设备管理、人力资源等多个模块高度集成起来的，每一模块都有相应的关键控制点，对企业的生产经营起着至关重要的作用。如销售模块中的信用控制点，是根据用户的信用程度控制发货的关键点，如控制不严，有可能使公司财产遭受巨大损失；销售结算中的定价控制点，是根据发货时间来自动划价的，倘若公司某天调整销售价格，而发货时间控制不严，公司的效益损失也将非常巨大，而且很难发现。因此，对关键控制点的风险管理审计应作为审计的重点。审计时要主要关注以下问题：是否对关键控制点进行了识别，识别是否全面；是否建立了关键控制点的风险评价体系；是否建立了关键控制点的预警机制和应对机制；关键控制点的识别、评价、预警和应对机制的适应性和有效性如何；控制方法和手段是否可进一步优化；有无控制不严或失控的现象和可能等。

4、对系统监控的审计。ERP系统应用于企业的优点之一就是对业务和绩效能够进行动态监控。再好的系统，终究要人去使用，才能体现其优越。ERP系统的监控功能，本身就是一种控制，运用得好，可以极大地降低风险；可一旦运用不好，流程上的控制点就会失去控制，风险也就会随之加大。就拿上面提到的关键控制点来说，如果随时进行了动态监控，其风险将大大降低，即使偶然出现异常，也会因及时的动态监控而发现问题并采取相应的应对措施以减少损失。因此，我们有必要对系统监控的风险管理进行审计，审查和评价企业及其下属单位是否利用ERP系统进行了业务和绩效的动态监控、监控点及其风险如何识别和评价、监控的权威性及其效果如何、发现问题的处理方式以及应对风险的效果如何、有无监控盲区或监控不力的区域、监控结果的利用情况如何等。

5、对信息系统的审计。从系统本身来说，无论是硬件还是软件，都有产生故障的可能，软件功能的完备与否也是系统运行的风险之一，ERP系统与其他系统的连接则是影响系统运行的关键因素。要保证ERP系统的正常运行，降低经营风险，对ERP系统以及与其相联接的其他信息系统的风险管理与审计也是必不可少的，这包括对系统的开发与设计、软件的程序、系统的控制、功能的划分、硬件的架构、备份模式及效果、故障处理方案及风险应对措施、系统风险识别与评价体系等进行审计。

6、对系统人员的审计。任何系统都是通过人来操作和维护的。要保证系统运行的正常，首先必须保证有与系统相适应的系统维护和操作人员，同时还要保证这些人员具有完成本岗位工作的责任心。否则，系统的运行将存在巨大风险。尤其是关键控制点和系统监控岗位上的人员以及关键的系统维护人员，他们掌握着整个系统的命脉。由此可见，对相关系统人员的风险管理与审计也就显得相当重要。首先，我们要审查和评价系统人员是否经过培训并取得相应资格，是否有识别和应对本岗位风险的能力，在本岗位控制和风险管理的实际效果如何等；其次，我们要审查和评价企业及其下属单位是否建立了相应的人才风险管理机制，识别、评价以及应对人才风险的措施和效果如何；同时，我们还要在对领导干部的经济责任审计中增加对系统控制和风险管理等方面的审计内容，对关键控制点和系统监控岗位上的人员以及关键的系统维护人员可以试行系统责任审计，以促进领导干部及相应系统人员增强ERP系统的风险意识和责任。

（二）ERP环境下企业风险管理审计的主要方法

风险管理审计是管理审计的主要内容之一，其具体方法很多，包括因素分析法、比较分析法、趋势分析法、定性定量分析法等。它们同样适用于ERP环境下企业的风险管理审计。在这里，笔者着重谈谈在ERP环境下富有特色的几种审计方法。

1、流程追溯法。ERP系统一般都具有流程追溯功能，如SAP系统。即任何信息都可通过流程追溯功能，逆向追溯到信息源头，正向追溯到最终结果。审计时，我们可以充分利用该功能，通过正向或逆向的追溯方式，提高对风险的识别和评价能力；还可根据追溯结果判断审计事项的发展方向，明确相关审计事项，评价风险应对措施的适应性与有效性，并提出进一步改进的意见。

2、循环测试法。任何业务的开展都有其相应的内、外部条件和特例，因而在ERP系统中的运行可能会产生不同的结果。另一方面，某一具体业务在单项功能中的运行结果，与在系统集成功能下运行的结果比较，可能会有不同的结论。在审计过程中，我们会经常采用测试的方法来得出审计结论。为了保证审计结论的准确、全面，不能简单地以单项功能运行的结果和某一次结果或特例得出审计结论，而应借鉴ERP系统实施时的方法，分别进行多轮单元测试和集成测试。

3、实时审计法。ERP系统内的信息是实时共享的，原始数据只需一次输入，各模块便可根据需要实时调用，直至编制出最终报表。因此，审计人员可以根据需要实时收集自己感兴趣的资料，并通过系统将这些资料实现共享，从而进行实时审计，以弥补事后审计线索不充分的缺陷，为事前审计、事中审计创造了条件。

4、系统辅助法。ERP系统应用后，企业生产经营信息高度集成，为全面推行计算机系统辅助审计提供了可能。审计人员借助于审计软件或ERP系统中的审计模块，通过输入必要的条件进行样本抽取，对异常项目进行调查测试，可以确定审计重点，并在一定范围内进行逐笔审计。同时，由于计算机快速、准确、信息量大的特点，使得审计范围和内容更加广泛、全面，审计证据更加充分、可靠，从而可以提高审计工作质量，减少审计风险。

5、专家分析法。ERP系统是一个技术和管理含量很高的管理信息系统。审计人员由于专业以及时间和精力等方面的局限，不可能对ERP系统的所有管理问题和技术问题都很熟悉，在审计过程中，必须充分征求ERP实施和运行维护专家的意见，采用专家分析法来帮助我们得出正确的审计结论。

三、ERP环境下企业风险管理审计的客观条件

（一）树立风险管理审计意识

尽管我国已先后掀起了三次“审计风暴”，但在许多企业中，内部审计的意识还不是太强，更谈不上对风险管理进行审计。尤其是一些实施和应用了ERP的企业，过分相信ERP系统的作用，认为ERP实现了内部控制，企业的风险大大减少，有的甚至认为ERP可以解决一切，却忘记了系统也是由人来操作的这一关键问题。因此，我们有必要加大这方面的宣贯力度，让企业各级领导和全体审计人员清楚意识到ERP环境下企业的风险所在以及企业风险管理审计的重要性。

（二）夯实风险管理审计的业务基础

目前，我国大部分企业还未真正开展过风险管理审计，有的甚至对风险管理审计还相当陌生。在此基础上，要应对ERP环境下的风险管理审计，无疑非常困难。为此，我们必须迅速改变传统的审计方法和思路，拓展和延伸审计的广度和深度，加强对企业内部控制尤其是风险管理的审计，努力夯实风险管理审计的业务基础，为ERP环境下企业的风险管理审计创造良好的条件。

（三）提高审计队伍的整体素质

要切实搞好ERP环境下的风险管理审计，必须提高审计队伍的整体素质，建立一支既懂ERP系统知识、又懂审计业务，能在ERP环境下独立开展审计业务的高素质的审计队伍。由此，我们一方面要配备一定数量的熟悉ERP系统的人员，并对这些人员进行内部审计业务的培训；另一方面要加大对审计人员ERP系统知识和计算机知识的培训力度。

（四）实现计算机辅助审计

在ERP环境下，由于数据信息量巨大（有人称之为海量数据）且又实时共享，系统运行复杂而又速度惊人，要收集和掌握及时、准确的审计证据，运用科学的审计方法，单靠原来的手工方式已经不可能了，必须通过计算机的辅助才能实现。一方面，要充分利用ERP系统本身的功能优势来提高审计质量和效率；另一方面，要通过实施ERP审计模块来最大限度地发挥审计的服务、监督和评价作用。