基于业务流程转变的ERP应用风险审计研究.docx

基于业务流程转变的应用风险审计研究一基于业务流程转变实施应用风险审计的必要性一系统上线后业务流程发生根本性变化系统实施以前许多基于计算机的业务系统基本都是围绕某一业务功能或者是职能部门运行的比如远光财务系统远方物流系统等这些系统都不是基于跨部门的流程来设计的系统中单一的数据库使过去跨部门的审批流程得到简化和压缩压缩所造成的一个结果是用于企业内部控制的许多审计线索在系统的引入后消失了同时企业过去基于文件审批的内部控制机制也无法适应基于流程的管理需要二的系统特性对公司的风险管理提出了新的要求实施系统后公司所遇到的业务风险一般来自四个方面业务流程应用架构数据质量和技术架构其中业务流程的转变对企业内部控制的影响最大对企业内部管理和财务方面的监控提出了新的要求这方面的风险特征相比过去发生了根本性的变化二基于业务流程转变实施应用风险审计的主要途径基于业务流程转变实施应用风险审计是针对由系统实施所带来的新的业务控制风险对公司内部控制体系做出重新评估和完善通过充分评估环境中的控制方式一种是基于系统的控制另一种是基于流程的控制将由于流程自动化带来的内部控制可能的削弱作为风险敞口进行重点审查结合流程追溯法循环测试法实时审计法系统辅助法和专家分析法五种风险审计方法合理运用了风险审计步骤从风险描述风险成因风险影响风险评价多个维度对应用风险性质影响结果进行详细的定性分析三基于业务流程转变实施应用风险审计的具体做法一审前准备阶段制定审计目标系统是建立在对业务流程进行优化重组的基础之上的针对由系统实施所带来的新的业务控制风险我们需要对公司内部控制体系做重新评估和完善在审计目标的确立上应考虑一是业务流程的转变打破了原有的权力分配模式触动了一些部门或个人的利益系统上线后能否按既定的模式运行以及运行效果如何二是由于上线时间紧迫实施时设定的业务流程是否是最佳流程三是即使当时是最佳的业务流程也会因为上线后运行环境的变化而有进一步优化的必要选择审计范围系统覆盖生产采购设备财务人资等公司运营管理的各个层面在审计范围的选择上如果对每个流程和控制点都进行风险评估在资源的利用上是非常不经济的因此对应用风险审计范围的选择应采取逆向思维的方法首先从公司整个业务风险域中寻找具有最大风险的业务流程进而确定有哪些模块在支持这些业务流程在实施过程中通过对各模块关键用户的访谈来确定评估范围确立审计内容在环境下舞弊和错误均由原来的手工操作变成了由系统程序来完成不留任何纸面痕迹从而使风险更加隐蔽层次更高内涵更深风险识别评估和应对的难度更大首先对系统的薄弱环节进行风险分析进而确立基于业务流程转变可能引发的风险类型得出下列结论一是伪造数据输入的舞弊类风险二是错误数据输入的数据质量风险三是应用操作控制变化的系统用户授权风险四是应用层面的操作风险五是脱离业务流程的非集成风险六是运行过程中的流程风险二审计现场实施阶段流程追溯法审计时遵循溯本求源的思路提高对风险的识别和评价能力根据追溯结果判断审计事项的发展方向明确相关审计事项评价风险应对措施的适应性及有效性并提出进一步改进的意见这种方法适用于伪造数据输入的舞弊类风险以项目模块中环境下的虚构项目为例在项目模块中根据项目管理流程设计了相应的操作流程这些操作环节除了项建阶段涉及上级公司权限外均要涉及公司工程管理相关部门包括项目管理部门物资部门财务部门整个流程因牵涉多个部门会形成一定的内部牵制机制但如果出现公司管理层主导的集体伪造数据时从项目的创建物资的采购出入库项目的服务确认项目的竣工财务转资等流程一路绿灯配套的物资采购合同出入库单据服务合同发票开竣工资料工程决算资料等纸质资料和签字手续一应俱全那么在中运行的整个工程项目流程只能是一条经人为虚构的完美流程循环测试法审计时通过查找各模块中的非集成业务风险通过对比某一具体业务在单项功能中的运行结果和在系统集成功能下的运行结果进而从内部控制环境中寻找流程控制的风险点这种方法适用于脱离业务流程的非集成风险和运行过程中的流程风险以物资模块中线外采购为例在物资模块中根据物资管理流程从采购订单发票校验材料入库材料出库有特定的业务流程而往往对于成本中一次性消耗的大宗物料非集成风险频数较高这类业务经常是绕过线上的业务集成而直接采用线下的总账凭证在财务模块实现这类业务涉及物资金额大数量多存在很大的二级库管理风险如系统外物资管理流程缺失的话很容易造成物资流失实时审计法审计人员可以根据需要实时收集自已感兴趣的资料并通过系统将这些资料实现共享从而进行实时审计以弥补事后审计线索不充分的缺陷为事前事中审计创造条件这种方法适用于错误数据输入的数据质量风险和应用层面的操作风险