【www.zhangdahai.com--毕业论文】
摘 要:企业在实施ERP系统后,由于流程优化而导致内部控制体系发生改变,这将致使企业在ERP的实施后面临新业务风险,本文首先初步分析了这些业务风险以及相应的风险管理措施,随后对ERP环境下如何对企业的风险管理进行审计进行了介绍,同时简要分析了ERP环境下如何提高企业风险管理审计的方法。希望本文能为公司内审人员在ERP环境下探索如何加强公司的风险管理审计提供参考。
关键词:内控信息化 风险管理 内部审计
1.ERP系统背景介绍
ERP通过将企业的各方面资源进行科学地计划、管理和控制,为企业加强财务管理、提高资金运营水平、建立高效率供应链、减少库存、提高生产效率、降低成本、提高客户服务水平等方面提供一种管理手段。ERP系统能够系统、实时地提供与各项业务相关的数据,包括以前难以及时获取的数据,向领导和管理层提供企业经营状况信息,反映企业的盈利水平和各项业务活动情况。所有业务处理和活动通过统一的数据库进行及时更新,以改善用户存取、提高业务信息质量、减少数据校验和重复加工处理。
2.ERP实施形成业务风险与其内部控制
2.1ERP实施形成新业务风险
ERP系统实现了从采购到付款、订单的获取到发票的开出等业务集成,实现了跨职能部门业务处理。在这种情况下,ERP系统中单一的数据库,使过去跨部门的审批流程得到简化和压缩。压缩所造成的一个结果是,用于企业内部控制的许多审计线索在ERP系统的引入后消失了。同时,企业过去基于文件审批的内部控制机制,也无法适应ERP基于流程的管理需要。更重要的是,由于企业的业务运作更加依赖于ERP系统,这种依赖和信息系统本身特点所导致的脆弱性,形成了企业新的业务风险。
2.2ERP环境下风险管理
2.2.1制定内部控制目标
※ 利用风险评估手段重新确定企业中关键的业务流程;
※ 对整个流程和控制的设计进行评估,确定这些控制是否很好地满足和支持最终业务目标的实现;
※ 对岗位职责分离的评估,确保在整个流程中存在正确的稽核点和平衡点,对敏感业务交易给出足够的访问限制;
※ 评估控制方式是否合理,比如基于手工流程的控制和基于系统的自动控制是否搭配合理。
2.2.2确定评估范围
ERP系统的控制评估必须基于风险管理的原则,通过风险评估寻找对主要业务运作中影响最大的领域。可以通过访谈等,确定评估范围。
2.2.3评估控制方案
基于ERP系统的控制,是由软件来完成的,通过控制数据的有效性和合理性来限制和核查动作的合法性。ERP系统的参数设置将决定这个领域的控制级别。这些控制包括用户访问、字段验证、工作流和许多其他用于确保数据处理一致性的控制。例如,系统会自动拒绝生成一张与前一次序号相同的发票。这样就自动降低了差错发生的可能性和应付帐款处理的混乱。值得注意的是,在ERP系统实施过程中,某些二次开发工作会削弱在系统中已经设置好的控制,从而产生新的风险因子。针对产生新的风险因子,必须要用手工控制来弥补。
3.ERP环境下企业风险管理审计的主要内容
企业风险管理审计就是要对企业风险管理过程及其内容的适当性和有效性进行审查和评价,并提出改进建议。在ERP环境下,要重点考虑对以下几方面进行审计。
3.1对风险管理机制的审计。
对ERP环境下企业风险管理的审计,首先必须对风险管理机制进行审计,审查企业及其下属单位是否建立了风险管理机制,风险的识别、评价和应对机制的适应性和有效性如何,实际运行情况怎样,是否有利于企业管理的持续改善等。在审计中,我们还应当专门对业务流程、关键控制点、系统监控等方面的风险管理机制进行重点审计。
3.2对业务流程的审计。
对业务流程的风险管理审计大体包括以下几个方面:应该在系统中运行的业务是否全部通过系统运行;信息是否及时录入系统;录入的信息是否真实、准确;系统运行是否正确,有无系统错误;流程是否通畅,有无缺陷或舞弊的可能,能否进行进一步的优化;识别、评价和应对流程风险的效果如何等。
3.3对关键控制点的审计。
ERP系统是由采购、仓储、生产、销售、财务、设备管理、人力资源等多个模块高度集成起来的,每一模块都有相应的关键控制点,对企业的生产经营起着至关重要的作用。因此,对关键控制点的风险管理审计应作为审计的重点。审计时要主要关注以下问题:是否对关键控制点进行了识别,识别是否全面;是否建立了关键控制点的风险评价体系;是否建立了关键控制点的预警机制和应对机制;关键控制点的识别、评价、预警和应对机制的适应性和有效性如何;控制方法和手段是否可进一步优化;有无控制不严或失控的现象和可能等。
3.4对系统监控的审计。
对系统监控的风险管理进行审计,审查和评价企业及其下属单位是否利用ERP系统进行了业务和绩效的动态监控、监控点及其风险如何识别和评价、监控的权威性及其效果如何、发现问题的处理方式以及应对风险的效果如何、有无监控盲区或监控不力的区域、监控结果的利用情况如何等。
3.5对信息系统的审计。
从系统本身来说,无论是硬件还是软件,都有产生故障的可能,软件功能的完备与否也是系统运行的风险之一,ERP系统与其他系统的连接则是影响系统运行的关键因素。要保证ERP系统的正常运行,降低经营风险,对ERP系统以及与其相联接的其他信息系统的风险管理与审计也是必不可少的,这包括对系统的开发与设计、软件的程序、系统的控制、功能的划分、硬件的架构、备份模式及效果、故障处理方案及风险应对措施、系统风险识别与评价体系等进行审计。
4. ERP环境下企业风险管理审计的主要对策
在ERP环境下,审计人员应该适应环境的变化,根据ERP环境的特点和要求,利用先进的信息技术手段,开拓思路,积极探讨审计对策。
4.1充分利用系统数据集成的优势
ERP系统实现了从采购到付款、订单的获取到发票的开出等业务集成,实现了跨职能部门的业务处理。在这种系统数据高度集成的条件下,效益审计的审计线索来源单一、清晰明了,杜绝了多个数据源数据不一致的现象,审计人员不需要再从多个系统获取数据,而是仅由一个系统就能得到所有数据。
4.2加强对内部控制风险的评估,完善内部控制体系
企业经营活动及内部控制中依然存在重大差异或缺陷的可能性。如ERP系统各职能岗位职责是否分离,权限范围设置是否合理,有些控制既可以选择人工控制,也可以选择由系统来控制,这些控制是否得到始终如一的执行,控制的标准是否前后保持一致。这些都会影响控制的效果,甚至产生重大差异。因此,必须对ERP环境下的内部控制体系进行测试和评估,对内部控制风险进行正确评价,进一步完善内部控制体系。
4.3注重对参数设置的审计
ERP系统有很多参数,这些参数既影响内部控制的效果,又影响财务数据的准确性和一致性,特别是集成财务数据,除了要从数据源头控制数据的正确性之外,还应该关注中间环节中的财务集成参数的设置,以确保集成财务数据的有效性。因此,系统的参数设置是审计的一个重点,要检查系统参数的设置是否符合企业的实际情况和行业特点,系统参数的设置是否符合一贯性、有效性,是否存在随意改变参数设置的情况。
4.4提高审计人员对ERP系统的应用能力
ERP系统功能强大,业务模块众多,必须熟悉ERP系统,才能更好地开展效益审计。这就需要审计人员加强对ERP系统的学习,最好是从ERP系统实施开始就有审计人员参与项目,实践证明,参与ERP项目实施的人员往往是对ERP系统掌握程度最高的一批人。并且,学习不能仅仅局限于财务模块,还要熟悉其他模块的内容,如物料管理、销售分销、人力资源、系统管理等。只有这样,在ERP环境下,审计人员才能更大限度地开展效益审计。
5.结论
综上所述,随着ERP系统的实施,企业的经营管理模式和业务流程以及相应的内部控制发生了重大改变,这促使了内部审计的工作发生了本质的变革。因此,内部审计人员应主动参与ERP系统的实施与应用等进程,熟悉ERP系统各个模块的功能与应用,充分利用ERP系统各模块的集成性以及系统对流程和业务的动态监控功能,对优化后的流程进行内部控制风险评估,加强完善内部控制体系,以促进公司ERP的有效应用,提高公司的全面风险管理能力。
参考文献:
[1] 杨律青;《基于SAP的ERP项目风险管理》;数字石油和化工; 2007年1期;95-98
[2] 梁伦腾;《ERP环境下企业的风险管理审计》;涟钢科技与管理;2005(4);58
[3] 刘汝元,边金良;《浅谈ERP项目的风险管理》;中国科技信息;2007年09期;162-163
[4] 朱湘忆;《论企业风险管理与内部审计》;经济师;2005-4;152-153
[5] 余坚,郑跃斌;《信息系统开发过程风险管理的实施模型》;计算机工程与应用;2002年12期;110-112
