一、基于業(yè)務(wù)流程轉(zhuǎn)變實施ERP應(yīng)用風(fēng)險審計的必要性

　　(一)ERP系統(tǒng)上線后業(yè)務(wù)流程發(fā)生根本性變化

　　ERP系統(tǒng)實施以前，許多基于計算機的業(yè)務(wù)系統(tǒng)，基本都是圍繞某一業(yè)務(wù)功能或者是職能部門運行的，比如遠光財務(wù)系統(tǒng)、遠方物流系統(tǒng)等。這些系統(tǒng)都不是基于跨部門的流程來設(shè)計的。ERP系統(tǒng)中單一的數(shù)據(jù)庫，使過去跨部門的審批流程得到簡化和壓縮。壓縮所造成的一個結(jié)果是，用于企業(yè)內(nèi)部控制的許多審計線索在ERP系統(tǒng)的引入后消失了。同時，企業(yè)過去基于文件審批的內(nèi)部控制機制，也無法適應(yīng)ERP基于流程的管理需要。

　　(二)ERP的系統(tǒng)特性對公司的風(fēng)險管理提出了新的要求

　　實施ERP系統(tǒng)后，公司所遇到的業(yè)務(wù)風(fēng)險一般來自四個方面：業(yè)務(wù)流程、應(yīng)用架構(gòu)、數(shù)據(jù)質(zhì)量和技術(shù)架構(gòu)。其中，業(yè)務(wù)流程的轉(zhuǎn)變對企業(yè)內(nèi)部控制的影響最大，對企業(yè)內(nèi)部管理和財務(wù)方面的監(jiān)控提出了新的要求，這方面的風(fēng)險特征相比過去發(fā)生了根本性的變化。

　　二、基于業(yè)務(wù)流程轉(zhuǎn)變實施ERP應(yīng)用風(fēng)險審計的主要途徑

　　基于業(yè)務(wù)流程轉(zhuǎn)變實施ERP應(yīng)用風(fēng)險審計是針對由ERP系統(tǒng)實施所帶來的新的業(yè)務(wù)控制風(fēng)險，對公司內(nèi)部控制體系做出重新評估和完善。通過充分評估ERP環(huán)境中的控制方式，一種是基于系統(tǒng)的控制，另一種是基于流程的控制。將由于“流程自動化”帶來的內(nèi)部控制可能的削弱作為風(fēng)險敞口進行重點審查。結(jié)合流程追溯法、循環(huán)測試法、實時審計法、系統(tǒng)輔助法和專家分析法五種ERP風(fēng)險審計方法，合理運用了風(fēng)險審計步驟，從風(fēng)險描述、風(fēng)險成因、風(fēng)險影響、風(fēng)險評價多個維度對ERP應(yīng)用風(fēng)險性質(zhì)、影響結(jié)果進行詳細的定性分析。

　　三、基于業(yè)務(wù)流程轉(zhuǎn)變實施ERP應(yīng)用風(fēng)險審計的具體做法

　　(一)審前準(zhǔn)備階段

　　1、制定審計目標(biāo)

　　ERP系統(tǒng)是建立在對業(yè)務(wù)流程進行優(yōu)化重組的基礎(chǔ)之上的，針對由ERP系統(tǒng)實施所帶來的新的業(yè)務(wù)控制風(fēng)險，我們需要對公司內(nèi)部控制體系做重新評估和完善。在審計目標(biāo)的確立上應(yīng)考慮：一是業(yè)務(wù)流程的轉(zhuǎn)變打破了原有的權(quán)力分配模式，觸動了一些部門或個人的利益，系統(tǒng)上線后能否按既定的模式運行以及運行效果如何？二是由于上線時間緊迫，實施時設(shè)定的業(yè)務(wù)流程是否是最佳流程？三是即使當(dāng)時是最佳的業(yè)務(wù)流程，也會因為上線后運行環(huán)境的變化而有進一步優(yōu)化的必要？

　　2、選擇審計范圍

　　ERP系統(tǒng)覆蓋生產(chǎn)、采購、設(shè)備、財務(wù)、人資等公司運營管理的各個層面。在審計范圍的選擇上如果對每個流程和控制點都進行風(fēng)險評估在資源的利用上是非常不經(jīng)濟的。因此，對ERP應(yīng)用風(fēng)險審計范圍的選擇應(yīng)采取逆向思維的方法，首先從公司整個業(yè)務(wù)風(fēng)險域中尋找具有最大風(fēng)險的業(yè)務(wù)流程，進而確定有哪些ERP模塊在支持這些業(yè)務(wù)流程。在實施過程中，通過對各模塊關(guān)鍵用戶的訪談，來確定評估范圍。

　　3、確立審計內(nèi)容

　　在ERP環(huán)境下，舞弊和錯誤均由原來的手工操作變成了由系統(tǒng)程序來完成，不留任何紙面痕跡，從而使風(fēng)險更加隱蔽、層次更高、內(nèi)涵更深，風(fēng)險識別、評估和應(yīng)對的難度更大。首先對ERP系統(tǒng)的薄弱環(huán)節(jié)進行風(fēng)險分析，進而確立基于業(yè)務(wù)流程轉(zhuǎn)變可能引發(fā)的風(fēng)險類型，得出下列結(jié)論：一是偽造數(shù)據(jù)輸入的舞弊類風(fēng)險；二是錯誤數(shù)據(jù)輸入的數(shù)據(jù)質(zhì)量風(fēng)險；三是應(yīng)用操作控制變化的系統(tǒng)用戶授權(quán)風(fēng)險；四是應(yīng)用層面的操作風(fēng)險；五是脫離ERP業(yè)務(wù)流程的非集成風(fēng)險；六是運行過程中的流程風(fēng)險。

　　(二)審計現(xiàn)場實施階段

　　1、流程追溯法

　　審計時遵循溯本求源的思路，提高對風(fēng)險的識別和評價能力，根據(jù)追溯結(jié)果判斷審計事項的發(fā)展方向，明確相關(guān)審計事項，評價風(fēng)險應(yīng)對措施的適應(yīng)性及有效性，并提出進一步改進的意見。這種方法適用于偽造數(shù)據(jù)輸入的舞弊類風(fēng)險。

　　以項目模塊中ERP環(huán)境下的虛構(gòu)項目為例，在ERP項目模塊中，根據(jù)項目管理流程，設(shè)計了相應(yīng)的操作流程，這些ERP操作環(huán)節(jié)除了項建階段涉及上級公司權(quán)限外，均要涉及公司工程管理相關(guān)部門，包括項目管理部門、物資部門、財務(wù)部門，整個流程因牽涉多個部門，會形成一定的內(nèi)部牽制機制。但如果出現(xiàn)公司管理層主導(dǎo)的集體偽造ERP數(shù)據(jù)時，從項目WBS的創(chuàng)建、物資的采購、出入庫、項目的服務(wù)確認、項目的竣工財務(wù)轉(zhuǎn)資等流程一路綠燈，配套的物資采購合同、出入庫單據(jù)、服務(wù)合同、發(fā)票、開竣工資料、工程決算資料等紙質(zhì)資料和簽字手續(xù)一應(yīng)俱全。那么在ERP中運行的整個工程項目流程只能是一條經(jīng)人為虛構(gòu)的“完美”流程。

　　2、循環(huán)測試法

　　審計時通過查找各模塊中的非集成業(yè)務(wù)風(fēng)險，通過對比某一具體業(yè)務(wù)在單項功能中的運行結(jié)果和在系統(tǒng)集成功能下的運行結(jié)果，進而從ERP內(nèi)部控制環(huán)境中尋找流程控制的風(fēng)險點。這種方法適用于脫離ERP業(yè)務(wù)流程的非集成風(fēng)險和運行過程中的流程風(fēng)險。

　　以物資模塊中線外采購為例，在ERP物資模塊中，根據(jù)物資管理流程，從采購訂單-發(fā)票校驗-材料入庫-材料出庫有特定的業(yè)務(wù)流程，而往往對于成本中一次性消耗的大宗物料非集成風(fēng)險頻數(shù)較高，這類業(yè)務(wù)經(jīng)常是繞過“線上”的ERP業(yè)務(wù)集成而直接采用“線下”的總賬憑證在財務(wù)模塊實現(xiàn)。這類業(yè)務(wù)涉及物資金額大、數(shù)量多，存在很大的二級庫管理風(fēng)險，如ERP系統(tǒng)外物資管理流程缺失的話，很容易造成物資流失。

　　3、實時審計法

　　審計人員可以根據(jù)需要實時收集自已感興趣的資料，并通過系統(tǒng)將這些資料實現(xiàn)共享，從而進行實時審計，以彌補事后審計線索不充分的缺陷，為事前、事中審計創(chuàng)造條件。這種方法適用于錯誤數(shù)據(jù)輸入的數(shù)據(jù)質(zhì)量風(fēng)險和應(yīng)用層面的操作風(fēng)險。