【内容提要】本文阐述了ERP环境下企业风险管理审计的必要性,系统介绍了ERP环境下企业风险管理审计的主要内容与方法,简要分析了ERP环境下企业风险管理审计的客观条件,对企业应用ERP系统后的风险管理审计具有一定的指导意义。
随着人类步入信息化社会,企业生存和发展的环境发生了重大改变,以管理思想和管理方法为核心的企业资源计划系统(简称ERP系统)已成为企业提升管理水平和竞争实力的有力武器,企业的风险管理发生了根本性的变化,与之对应的风险管理审计也面临着前所未有的挑战。
据统计,全球实施ERP的成功率不过20%.他们中,有的在实施时即告失败,有的在实施成功后因发育不良而夭折。尽管如此,还是有不少企业怀着美丽的梦想,踏上ERP实施的艰辛之旅。经过一番奋力拼搏,那些在实施中最后的幸存者,将仍然面临较实施前更大的风险。系统的运行,将随时可能出现这样或那样的问题,有时甚至可能使整个系统在瞬时间崩溃。是否有一个运行有效的风险管理机制将决定企业是否能在最初的ERP投资中真正获益。
ERP系统与企业其他信息系统有着本质的不同,她通过流程重组,实现了企业的管理变革;通过系统集成,实现了信息的实时共享;通过流程控制,实现了绩效的动态监控;通过系统优化,实现了管理的持续改善。另一方面,企业的生产经营业务通过统一的ERP系统平台进行处理后,以往肉眼可见的线索都被掩盖起来,企业及员工的工作习惯、思维方式、信息载体、控制手段和管理模式等都发生了根本变化。所有这一切,都为企业的风险管理提出了新的更高要求。
对风险管理的审查和评价是企业内部审计的基本内容之一。ERP环境下企业的风险管理审计将显得更为重要。一方面,在ERP环境下,舞弊和失误均由原来的手工操作变成了由机器和系统程序来完成,不留任何纸面痕迹,从而使风险更加隐蔽、层次更高、内涵更深,风险识别、评估和应对的难度更大;另一方面,企业实施ERP以后,ERP已成为企业的生命线,风险可能造成的损失将更加巨大。据美国斯坦福研究所的调查,美国计算机舞弊犯罪最高的一次就达到50亿美元。企业为了防范和降低风险,必须加大风险管理的审计力度。
企业风险管理审计就是要对企业风险管理过程及其内容的适当性和有效性进行审查和评价,并提出改进建议。在ERP环境下,要重点考虑对以下几方面进行审计。
1、对风险管理机制的审计。无论从系统实施,还是从系统运行来说,ERP都是一个风险巨大的系统,必须建立严密的风险管理机制。对ERP环境下企业风险管理的审计,首先必须对风险管理机制进行审计,审查企业及其下属单位是否建立了风险管理机制,风险的识别、评价和应对机制的适应性和有效性如何,实际运行情况怎样,是否有利于企业管理的持续改善等。在审计中,我们还应当专门对业务流程、关键控制点、系统监控等方面的风险管理机制进行重点审计。
2、对业务流程的审计。ERP系统是建立在对业务流程进行优化重组的基础之上的,它打破了原有的权力分配模式,触动了一些部门或个人的利益,系统上线后能否按既定的模式运行以及运行效果如何,关系到系统运行的成败。另外,由于上线时间紧迫,实施时设定的业务流程不一定最佳;即使当时是最佳的业务流程,也会因为上线后运行环境的变化而有进一步优化的必要。只有经常对业务流程进行风险管理和审计,才能使企业业务始终运行于相对较优的流程环境之中。对业务流程的风险管理审计大体包括以下几个方面:应该在系统中运行的业务是否全部通过系统运行;信息是否及时录入系统;录入的信息是否真实、准确;系统运行是否正确,有无系统错误;流程是否通畅,有无缺陷或舞弊的可能,能否进行进一步的优化;识别、评价和应对流程风险的效果如何等。
3、对关键控制点的审计。ERP系统是由采购、仓储、生产、销售、财务、设备管理、人力资源等多个模块高度集成起来的,每一模块都有相应的关键控制点,对企业的生产经营起着至关重要的作用。如销售模块中的信用控制点,是根据用户的信用程度控制发货的关键点,如控制不严,有可能使公司财产遭受巨大损失;销售结算中的定价控制点,是根据发货时间来自动划价的,倘若公司某天调整销售价格,而发货时间控制不严,公司的效益损失也将非常巨大,而且很难发现。因此,对关键控制点的风险管理审计应作为审计的重点。审计时要主要关注以下问题:是否对关键控制点进行了识别,识别是否全面;是否建立了关键控制点的风险评价体系;是否建立了关键控制点的预警机制和应对机制;关键控制点的识别、评价、预警和应对机制的适应性和有效性如何;控制方法和手段是否可进一步优化;有无控制不严或失控的现象和可能等。
4、对系统监控的审计。ERP系统应用于企业的优点之一就是对业务和绩效能够进行动态监控。再好的系统,终究要人去使用,才能体现其优越。ERP系统的监控功能,本身就是一种控制,运用得好,可以极大地降低风险;可一旦运用不好,流程上的控制点就会失去控制,风险也就会随之加大。就拿上面提到的关键控制点来说,如果随时进行了动态监控,其风险将大大降低,即使偶然出现异常,也会因及时的动态监控而发现问题并采取相应的应对措施以减少损失。因此,我们有必要对系统监控的风险管理进行审计,审查和评价企业及其下属单位是否利用ERP系统进行了业务和绩效的动态监控、监控点及其风险如何识别和评价、监控的权威性及其效果如何、发现问题的处理方式以及应对风险的效果如何、有无监控盲区或监控不力的区域、监控结果的利用情况如何等。
5、对信息系统的审计。从系统本身来说,无论是硬件还是软件,都有产生故障的可能,软件功能的完备与否也是系统运行的风险之一,ERP系统与其他系统的连接则是影响系统运行的关键因素。要保证ERP系统的正常运行,降低经营风险,对ERP系统以及与其相联接的其他信息系统的风险管理与审计也是必不可少的,这包括对系统的开发与设计、软件的程序、系统的控制、功能的划分、硬件的架构、备份模式及效果、故障处理方案及风险应对措施、系统风险识别与评价体系等进行审计。