基于业务流程转变的ERP应用风险审计研究.pdf

一、基于业务流程转变实施 ERP 应用风险审计的必要性 (一 )ERP 系统上线后业务流程发生根本性变化 ERP 系统实施以前，许多基于计算机的业务系统，基本都是围绕某一业务功能或者是 职能部门运行的， 比如远光财务系统、 远方物流系统等。 这些系统都不是基于跨部门的流程 来设计的。 ERP 系统中单一的数据库，使过去跨部门的审批流程得到简化和压缩。压缩所 造成的一个结果是， 用于企业内部控制的许多审计线索在 ERP 系统的引入后消失了。 同时， 企业过去基于文件审批的内部控制机制，也无法适应 ERP 基于流程的管理需要。 (二 )ERP 的系统特性对公司的风险管理提出了新的要求 实施 ERP 系统后，公司所遇到的业务风险一般来自四个方面：业务流程、应用架构、 数据质量和技术架构。 其中， 业务流程的转变对企业内部控制的影响最大， 对企业内部管理 和财务方面的监控提出了新的要求，这方面的风险特征相比过去发生了根本性的变化。 二、基于业务流程转变实施 ERP 应用风险审计的主要途径 基于业务流程转变实施 ERP 应用风险审计是针对由 ERP 系统实施所带来的新的业务控 制风险， 对公司内部控制体系做出重新评估和完善。 通过充分评估 ERP 环境中的控制方式， 一种是基于系统的控制， 另一种是基于流程的控制。将由于“流程自动化”带来的内部控制 可能的削弱作为风险敞口进行重点审查。 结合流程追溯法、循环测试法、实时审计法、 系统 辅助法和专家分析法五种 ERP 风险审计方法，合理运用了风险审计步骤，从风险描述、风 险成因、风险影响、风险评价多个维度对 ERP 应用风险性质、影响结果进行详细的定性分 析。 三、基于业务流程转变实施 ERP 应用风险审计的具体做法 (一 )审前准备阶段 1、制定审计目标 ERP 系统是建立在对业务流程进行优化重组的基础之上的，针对由 ERP 系统实施所带 来的新的业务控制风险， 我们需要对公司内部控制体系做重新评估和完善。 在审计目标的确 立上应考虑： 一是业务流程的转变打破了原有的权力分配模式， 触动了一些部门或个人的利 益，系统上线后能否按既定的模式运行以及运行效果如何 ?二是由于上线时间紧迫，实施时 设定的业务流程是否是最佳流程 ?三是即使当时是最佳的业务流程，也会因为上线后运行环 境的变化而有进一步优化的必要 ? 2、选择审计范围 ERP 系统覆盖生产、采购、设备、财务、人资等公司运营管理的各个层面。在审计范 围的选择上如果对每个流程和控制点都进行风险评估在资源的利用上是非常不经济的。因 此，对 ERP 应用风险审计范围的选择应采取逆向思维的方法，首先从公司整个业务风险域 中寻找具有最大风险的业务流程，进而确定有哪些 ERP 模块在支持这些业务流程。在实施 过程中，通过对各模块关键用户的访谈，来确定评估范围。 3、确立审计内容 在 ERP 环境下，舞弊和错误均由原来的手工操作变成了由系统程序来完成，不留任何 纸面痕迹， 从而使风险更加隐蔽、 层次更高、 内涵更深， 风险识别、 评估和应对的难度更大。 首先对 ERP 系统的薄弱环节进行风险分析，进而确立基于业务流程转变可能引发的风险类 型，得出下列结论：一是伪造数据输入的舞弊类风险 ;二是错误数据输入的数据质量风险 ;三 是应用操作控制变化的系统用户授权风险 ;四是应用层面的操作风险 ;五是脱离