時間:2023-08-15 16:55:00
序論:在您撰寫業務流程風險點時,參考他人的優秀作品可以開闊視野,小編為您整理的7篇范文,希望這些建議能夠激發您的創作熱情,引導您走向新的創作高度。
一、會計結算業務操作風險狀況分析
柜面業務操作風險是指由于風險控制失效使銀行或客戶資金遭受損失的風險,是當前農村信用社辦理核算、結算、清算、現金出納等業務過程中面臨的主要操作風險之一。柜面業務操作風險既存在于現金庫房、章證管理、賬戶管理、資金匯劃、特殊交易處理等重點業務之中,也存在于柜員離柜、業務交接、賬務核對、復核授權、檢查監督等業務環節,覆蓋了柜面涉及的各項業務、各崗位、全過程。
(一)柜面業務操作風險的主要特點
一是具有存在的客觀性,不可能根除。操作風險主要是由人為失誤、主動違規、內部欺詐及外部事件所引發的,只要這些因素不能消除,柜面業務操作風險就必然存在。二是具有普遍性。柜面接觸客戶多、經辦業務多、參與員工多,每一個節點就是一個風險點,發生風險的概率很大。三是具有可控性。盡管柜面業務操作風險不可能完全避免,但可以通過采取制度設計、機制建設、加強人員管理和技防能力等措施,提高對操作風險的識別、監測能力,使之控制在可接受的幅度內。
(二)柜面業務操作風險管理面臨的形勢
2003年以來,經過持續的規范整治,農村信用社柜面業務風險防控總體形勢正朝著明顯好轉的方向發展。但與主要商業銀行相比,農村信用社的業務操作風險仍然突出,數量仍然較多,各地工作開展很不平衡,部分地區案件形勢仍然嚴峻,對柜面業務重視程度不夠、合規意識淡薄、內控管理存在缺陷、教育培訓不到位等問題仍然比較嚴重。究其深層次原因,除了體制改革不到位、傳統經營管理理念和方式束縛之外,更多的是流程模式和管理機制的問題,突出表現在以下五個方面。
1.沿襲部門銀行模式,風險難于管控。一是前中后臺未實施有效分離。目前,絕大多數農村信用社還一直沿襲著“小而全”的傳統的部門銀行模式。在這種模式下,由于各項業務無論金額及蘊藏風險大小,都由前臺人員直接處理,絕大部分業務從業務受理、賬務處理到交易完成在一個網點內部即可處理完畢,“一手清”、“打通關”的問題難以根除,一旦柜面人員出現道德風險或內外勾結作案,操作風險巨大。二是會計核算單位分散,不便于監控和管理。目前,農村信用社普遍按照營業機構設置核算單位,有多少營業網點就有多少賬務體系,由此造成總賬單位數量過于分散,分戶賬及內部賬數量巨大,難以加強監督管理。
2.機控水平低,缺乏剛性約束。由于對機控重要性認識不足,加上一些系統存在功能缺陷,技術防范作用不明顯。部分業務還停留在手工程序電子化處理階段,對于風險控制的范圍、強度、效果多依賴于操作人員的經驗,對業務風險的識別和監控缺乏技術標準和科技手段,不能對柜面業務操作風險進行實時監控和預警,不能對各類柜面業務差錯進行差異化分析和控制,致使一些關鍵性、苗頭性風險被大量的簡單、操作性差錯所掩蓋,對違規行為缺乏剛性約束,屢查屢犯、此查彼犯的問題得不到有效解決。
3.柜面業務繁多,柜員疲于應付。營業網點在進行營銷和服務的同時,還承擔著大量的柜面業務,隨著需求多元化、產品多樣化,柜面業務變得越來越復雜,表現為“處理環節多,操作規程多,業務憑證多”。由于農村信用社產品設計分散在各部門,每一部門推出的產品往往伴隨著一套新的業務憑證和核算方法,業務處理要求不盡一致,缺乏統一規范和整合,導致柜面工作強度大、業務操作標準不統一、風險控制效率低下,一般員工難以適應。甚至一些營業網點柜員長期處于超負荷、超強度的工作狀態,缺乏對操作風險的警惕性和敏感度。
4.制度不夠完善,執行不力。這其中既有部分管理者和操作人員思想認識不到位、責任意識不強、業務素質不高等因素,也可能是制度設計本身存在問題。一是柜面執行的制度來自多個條線,政出多門,缺乏統一的制度規劃,內容有時沖突,使基層在執行時不知所措;二是部分制度設計過于追求片面的風險控制,造成操作繁瑣、落地困難;三是部分制度未充分考慮基層行社的差異性,簡單地搞“一刀切”,缺乏針對性和靈活性;四是制度建設滯后于業務發展,使新業務的操作風險無法得到有效控制,新業務往往成為新的風險源。
5.缺乏有效監督,制衡缺失。從營業網點情況看,部分網點主管人員職能多重交叉,無法集中精力完成審核、授權等控制要求;部分網點主管人員專業能力不足無法對業務進行監督指導;事后監督工作還停留在手工模式下勾對憑證、表面審查的階段,監督級次過低,監督手段十分落后,不能給安全運營提供有效保障。從上級檢查監督情況看,存在著檢查監缺乏系統性、實時性不強,隨機性較大,重點不突出,流于形式等問題,造成檢查監督不到位、處理處罰力度不夠,對被查單位沒有起到威懾作用,檢查監督質量和效果不好。
隨著業務的快速發展和內外部環境的變化,復雜性、多變性因素在不斷增加,農村信用社柜面風險防控工作面臨著越來越多新的挑戰。但我們的流程模式和管理手段還停留在傳統的“部門銀行”階段,各類柜面業務操作風險和會計結算類案件的出現也絕不是偶然的。只要這種人控為主的模式不改變,就很難從根本上解決操作失范、風險失控的狀況。
二、商業銀行柜面業務風險防范的成功實踐
柜面業務風險積聚、違規行為屢禁不止、案件頻發的狀況,并非農村信用社獨有。2008年以前,工行、農行、建行、浦發等商業銀行在柜面業務風險防范方面也都有過類似的處境和遭遇。據統計,2005年~2007年間,國內商業銀行共發生各類案件2,479件,涉案金額106億元,其中超過70%的案件發生于柜面業務中。對某國有商業銀行10年來發生在各營業網點的107個案例統計分析,發現該行這些經濟案件全部都涉及柜面業務,而且柜面操作風險呈現出多樣性、復雜性和集中爆發的趨勢。
面對越來越嚴峻的柜面業務操作風險防控形勢,一些具有先進理念的商業銀行意識到,在傳統流程模式下,僅靠完善規制、強化檢查監督、培訓指導等手段,很難有效防范和化解柜面操作風險。從2006年開始,一批商業銀行開始借鑒國際國內銀行業的先進經驗,按照流程銀行模式重新構造流程控制、管理架構和文化價值體系,全面加強風險管理。以銀行業務中最復雜,涉及范圍最廣、客戶體驗最集中的柜面業務作為切入點,通過再造柜面業務流程,弱化前臺柜面功能,建立以“集中作業、集中監控、集中授權”為核心的后臺運營管理體系,由后臺中心承擔大量操作性、交易性、高風險性業務的處理,實現集中保管會計檔案、集中監控重點業務,逐步推行業務集中管理,實現網點業務處理向“小前臺、大后臺”的轉變,取得了良好的成效。
工行、建行、民生、興業、廣發、浙商、廣州農商等商業銀行通過柜面流程再造,將管理思想、制度規程根植于系統控制和操作程序中,將人控與機控有機結合,能夠加強風險控制,而且對降低運營成本、促進網點轉型、推動服務升級和實現可持續發展也具有極其重要的作用和意義。以某農商行為例,實現柜面業務流程再造以后,從賬戶開立、憑證審核、印鑒核對、資金匯劃、業務授權、對賬管理等所有重點業務環節的操作風險得到了有效控制,業務差錯大幅減少,由原來的千分之三點二降至萬分之一點二六,連續3年無會計結算類案件發生,基礎工作更加規范,內控管理明顯加強。
三、流程再造是農村信用社加強風險管控的必由之路
柜面業務操作風險蘊含于各項柜面業務、各個環節之中,依靠現有的流程模式和管理手段無法有效解決柜面操作風險的問題。只有對現有的業務流程、組織流程、管理流程以及文化理念進行徹底改造,顛覆性地改造部門銀行模式并使其脫胎換骨,才能從根本上提升風險防控能力。
(一)流程再造對于加強柜面業務風險控制的必要性
一是改變柜面業務操作風險現狀的需要。柜面業務操作失范、制約缺失、風險積聚等問題已經成為制約部分農村信用發展的突出問題。如不能得到有效控制和解決,將造成資金受損、聲譽蒙羞、發展受阻等嚴重后果。來自監管部門、社會輿論以及自身安全等多重壓力,倒逼農村信用社必須改變現有的流程模式和風控手段,強化風險控制。二是加強全面風險管理的需要。商業銀行的成功實踐表明,通過柜面業務流程再造實現業務集中處理,風險集中控制、業務布局優化,網點功能轉型,能夠有力推進組織架構、管理模式的全面優化,促進風控水平整體提升。三是適應監管要求的需要。逐步實行前后臺分離和業務運營集中,有效控制風險,是銀監會《農村銀行流程銀行建設指導意見》的具體要求,也是深化農村信用社機制建設的主要方向。四是支撐轉型發展的需要。以流程銀行建設為手段,提升風險控制能力、保障安全運營既是堅持以客戶為中心,改善客戶體驗,提高服務效率的客觀要求,也是深化改革、發展轉型、提升市場競爭力的重要基礎和前提。
(二)關于柜面業務流程再造的思路和措施
借助現代化信息技術,從客戶需求出發,綜合考慮內控、服務、效率、成本等因素,對柜面業務流程和管理模式進行重新設計和組合,實現前中后臺分離。前臺直接面向客戶,負責客戶的營銷和服務;中后臺為前臺服務,負責集中化的業務處理、風險控制和資源配置。具體而言就是將柜面業務處理模式由網點分散處理向集中處理方向改造,將傳統單點工作模式轉變為異地多人協作的模式,實現監督功能由事后向事中的轉變,在操作上重點要把握好以下三個方面。
一是逐步推行業務集中管理。采用分期分批的方式將各種非柜面業務及需要通過柜面但無需即時辦理的業務、操作風險較高的業務、可集中的業務,如大小額、農信銀支付、同城交換、開戶、銷戶、對賬、票據等業務逐步納入集中作業中心處理。業務處理不再由網點人員全部完成,而分解為網點和集中作業中心兩部分,兩者各司其職,有效配合。對于集中處理的業務,網點柜臺操作人員負責接受客戶指令、審核單證的真實性和完整性,選擇業務類型、采集業務影像信息等簡單的預處理;然后提交后臺中心進行集中作業處理,由后臺拆分流程節點,通過影像分割、“二維識別碼”等控制技術和“兩錄一?!彪p線比對等方式,完成憑證、要素的統一錄入、審核監督、集中授權、異常監控等流水式作業,達到對柜面業務重要環節、重點業務以及可疑交易的同步監控和實時預警,有效發揮集約化管理優勢和風險控制功能。
[關鍵詞]政府采購;業務流程;風險點和控制點
中圖分類號:TF623 文獻標識碼:A 文章編號:1009-914X(2014)47-0221-01
在當今公立醫院面臨國家醫療改革的不斷深入,醫院在新的形勢下必須增強適應性和競爭力,隨著政府采購內控制度的建立順應了衛生醫療新經濟環境下的內在要求,增強醫院競爭行為等方面發揮了重要的作用,如何建立健全政府采購內部控制體系,是問題的關鍵。
一 政府采購預算管理
(一) 采購預算管理業務流程節點
業務部門根據年度發展計劃和資產存量配置情況,提出采購需求。采購歸口部門審核評估論證采購需求,提出采購預算草案,報財務部門。采購歸口部門編制采購預算,財務部門審核匯總平衡各部門采購預算,形成采購預算上報數。單位采購管理委員會審定政府采購預算草案,通過后報財政和上級主管部門審批;經上級主管部門審批、財政部門審批后財政下達采購預算批復數,財會部門下達采購預算指標,單位采購歸口部門分解采購預算指標,形成年度采購計劃,業務部門按預算指標數執行采購預算。
(二) 采購預算管理風險點、控制點分析
采購預算風險點分析。預算編制不合理,政府采購、資產管理、業務各部門之間缺乏溝通協調,采購項目可行性論證不充分,預算審核不依據業務需求,不考慮資產的存量配置,存在重復購置,資金浪費風險。預算審核不科學,存在重復購置或未予購置。預算審核不嚴格,采購預算審定不認真,必然造成資金浪費。
采購預算控制點分析。建立部門之間協調機制,加強采購的可行性論證,依據報告及專家評審意見等資料認定采購的必要性。明確政府采購歸口部門責任,充分利用信息技術,保證資源分配的效率性,避免重復采購造成資金浪費。嚴格控制預算指標額度、匯總預算工作流程,嚴格執行審核、建立監管機制,明確責任, 追蹤問責。
二 政府采購計劃審批
(一) 采購計劃審批業務流程節點
業務部門根據年度工作計劃,在采購預算指標額度內,結合庫存物資和現有設備配備情況,提出采購申請。業務歸口部門審核采購申請,在合理采購申請的基礎上形成采購申請報告,依次報相關部門。財務部門審核采購計劃是否符合年度采購預算,審核后經政府采購管理委員會根據單位年度發展規劃及采購預算,審批采購報告。屬政府采購法律法規及制度規定可由單位分散采購的情況,批準單位采購歸口部門分散采購;屬應報上級主管部門審批情形的,級主管部門審批;屬政府法律法規及制度規定應由采購主管部門審批履行集中采購程序的情形,上報政府采購主管部門審批采購申請報告。上級主管部門對重大采購項目采購申請報告進行審核或審批。政府采購主管部門對屬于政府集中采購的項目,批準履行集中采購流程。政府采購主管部門對屬于分散采購的項目,批準履行分散采購流程。采購工作結束后,將采購文書整理歸檔。
(二) 采購計劃審批業務風險點、控制點分析
采購計劃審批風險點分析。采購申請審核不嚴,缺乏采購申請制度,請購未經審批或超越授權審批,可能導致采購物資過量或短缺,影響正常業務活動,造成采購超預算、資金浪費或資產閑置,采購文書缺失、損毀、被偽造變造。
采購計劃審批控制點分析。嚴格執行采購預算,審核采購數量、金額、資金來源與預算批復相對應;以年度發展目標為依據,審核采購申請是否科學、合理、符合單位整體目標。按采購法律法規和管理制度要求,制作、填制并保留好各種文書,責成專人進行管理,健全制度,明確責任。
三 集中采購業務
(一) 集中采購業務流程節點
政府采購主管部門批復采購計劃,對應屬于政府集中采購的項目,明確政府集中采購方式。政府集中采購機構接受采購任務,根據采購商品的各類、技術標準、市場供求等情況,確定公開招標、邀請招標、競爭性談判、詢價等具體采購方式。采購歸口部門代表單位與采購機構簽訂協議。核對采購參數,做好采購前準備工作,核對采購參數,提供相關資料,配合采購工作。組織籌備采購工作,信息、組織招標、詢價,邀請專家等。根據具體采購方式,組織招標、詢價、競爭性談判等活動。采購歸口部門與供應商簽訂采購合同。
(二) 集中采購風險點、控制點分析
集中采購風險點分析。采購文件不合標準,技術參數不公允,易形成單一來源或圍標等違規事項;采購參數具有排它性及泄露相關信息等違規操作,導致單位被或受到處罰。未按規定選擇采購方式,規避公開招標,出現舞弊等問題;不具備組織采購的能力,采購程序不規范;對采購、招標缺乏有效的監督,出現舞弊等違規問題。合同中存在不公平條款,不符合采購文件技術要求,損害單位利益。
集中采購控制點分析。嚴格審核采購文件,規范審核流程,技術參數依據專家論證意見。嚴格按規定選擇采購方式,按審批權限報單位決策機構批;準選取有資質信譽好的招標機構組織采購;建立采購監督制度,審計、紀檢等內部監督部門對采購進行全程監督。審計、紀檢等部門進行合同評審并建立聯簽制度。
四 分散采購業務
(一) 分散采購業務流程節點
政府采購主管部門依據有關法規,批復采購計劃,明確分散采購形式。政府采購歸口部門根據采購項目規模、性質、難度、自身組織采購的能力,報單位采購管理委員會審批或按單位采購管理委員會的授權決定是自行采購還是委托采購機構代為采購。單位采購歸口部門與委托機構就委托采購事項簽訂委托協議。業務部門核對采購參數,提供相關資料,配合采購籌備工作。單位采購歸口部門組織籌備采購事項,如制作采購文件、聯系媒體、市場調查等。政府采購歸口部門在指定媒體上采購信息。政府采購歸口部門組織實施采購活動。政府采購歸口部門在指定媒體上公布采購結果。單位財會、審計、紀檢部門對采購進行全過程監督。政府采購歸口部門代表單位與供應商簽訂采購合同。
(二) 分散采購業務風險點、控制點分析
分散采購風險點分析。委托的機構不具備資質或有其他不勝任采購任務的情形。未在指定媒體上采購信息或未按規定采購信息。未按規定選擇采購方式,規避公開招標,出現圍標、舞弊等問題;不具備相應能力或存在道德風險,采購程序不規范;對采購、招標、招標缺乏有效的監督,出現圍標舞弊等違規問題。合同簽訂中存在不公平條款,損害單位利益。
分散采購控制點分析。根據項目性質委托具備相應資質、信譽好的機構組織采購。建立信息制度,在規定范圍、規定媒體上、按規定形式采購信息。嚴格按法律法規選擇采購方式,建立授權審批制度;建立采購監督制度財務、審計、紀檢等內部監督部門對采購進行全程監督。按合同控制流程,對合同進行評審并建立聯簽制度。
五 采購驗收結算業務
(一) 采購驗收結算業務流程節點
業務部門收到供應商供貨,提出驗收申請,政府采購管理部門確定驗收方式,分散采購項目由本單位組織驗收;集中采購項目按規定由采購機構組織驗收,單位派人參與;國家規定強制檢測的采購項目應當委托專業檢測機構進行檢測驗收。政府采購歸口部門組織驗收,驗收小組據相關技術標準及合同規定,對標的物進行現場勘查驗收。上級主管部門按規定對項目組織驗收,采購機構按規定對項目組織驗收。驗收結束后,采購歸口部門、上級主管部門、政府采購機構、相關專業機構和人員就驗收情況簽署驗收報告,出具驗收意見。采購歸口部門就驗收過程中出現的質量等不合格問題,與供應商協商解決方案。財會部門根據驗收單結算通知、發票、合同等相關資料付款并進行賬務處理。
(二) 采購驗收結算業務風險點、控制點分析
關鍵詞:風險管理;流程管理
一、研究背景及理論綜述
企業的日常工作主要是以事務單元為基本要素,將其按照一定規則和原則,串聯在一起,形成企業的業務流程。但是隨著業務流程在日常工作領域的應用不斷加深,問題也接踵而來,在如何將工作效率提高,管理者多把思考重點放在業務流程上,通過業務流程的重組、優化、再造等方式解決了一部分問題。
二、風險管理與業務流程融合的方法
對于風險管理來說,企業建立了業務流程體系后,風險管理與業務流程是否可以有效融合,使其綜合二者的優勢呢,經過研究分析,答案是肯定的,而從業務流程管理層面入手去加強企業風險管理能力,使得風險管理更有抓手,那么如何開展融合工作,主要按照以下方法。
(一)首先是選擇流程,選擇重要業務流程,將其作為風險管理融合的目標,將涉及重大事項、重大人事任免、重大項目和大額資金使用等相關業務作為重要業務流程的標準。而對于風險管理,主要由于風險的本質區別,在企業內外部環境的約束下,何時何地的發生概率、影響程度、影響范圍都有所不同。因此,風險管理的業務信息要貫穿于企業所有的業務單元,結合企業的管理指標和管理重點等因素,進行綜合分析,將風險管理在業務流程中有的放矢。篩選業務流程主要遵照兩個選擇原則,按照兩個維度進行考慮:第一要明確選擇依據,篩選業務流程是否與經營考核的指標相關、是否運營風險比較高、是否管理層比較關注;第二要明確選擇的范圍,篩選核心業務流程、考核指標相關流程、當前運作的主要是端到端的業務流程。
(二)其次是風險分析,對業務流程各節點風險情況進行分析,通過業務流程,提煉出可能出現風險的節點。根據篩選出的重要業務流程,由業務流程主要負責部門組織各業務節點的崗位人員進行座談,確認崗位職責在業務流程中的應用,共同分析業務流在業務流程中各節點可能存在的風險,具體主要明確七個方面的內容:第一是確認業務流程節點是風險點還是控制點,或既是風險點也是控制點;第二是該業務節點對應的崗位,該崗位的職責是什么;第三是該業務節點的風險內容是什么,屬于什么類型的風險;第四是怎么樣去描述該節點的風險,從哪個角度去描述;第五是該節點的崗位風險控制職責是什么,有哪些崗位可以配合控制;第六是該業務節點的風險預案有哪些,在發生風險的補救措施;第七是該業務節點的控制措施有哪些,如何預防風險的發生。
(三)最后是風險融入,將風險管理的內容融入到業務流程上,以加強風險的防范、預警和提示作用。經過上述分析得出的重要業務流程和其風險節點的信息,將其完全融合,將風險與控制點在業務流程中加以標記,并關聯風險控制文檔,明確風險類型,控制措施,措施的來源等信息,對相應的業務流程進行更新。企業員工可以通過業務流程平臺或系統等查閱業務流程圖和業務流程支持文件,直觀地明晰業務流程的風險信息,以及對此風險的預防和控制措施。
三、風險管理與業務流程融合落實的問題分析
將風險管理與業務流程融合,在業務活動發生過程中,可以有效提示操作者風險預警,有助于管理層對業務流程風險的管理和控制,既推動了企業業務流程管理向更廣泛的、更深入的方向拓展,也使企業風險管理更易于落地實現。
對于實施全面風險管理的企業,如何能有效進行風險管理,其關鍵在于落實。很多企業有各式各樣的風險管理支持文件,管理層也時常強調其重要程度,然而風險卻一再發生。如何將風險管理融合業務流程的思路落實,主要可劃分為三個階段:
(一)基于企業整體控制。在融合實施過程中,企業首先要通過正式文件,宣傳貫徹融合思路,通過規章制度s束管理的可執行性,明確風險的第一責任人,從上至下,推行管理實施方案。
(二)基于崗位控制。通過公司管理層有效推行,要將重點工作的風險明確到崗、明確到人,將風險的內容落實到員工勞動合同,讓員工進入公司第一天起,就清楚自己要面對哪些風險,如何處理風險。在內部職能調整或人員變動,風險也一同轉嫁,確保每項風險工作都有人負責。
(三)基于業務流程控制。管理融合的思路,最終要落實到業務流程上培養員工風險管理意識,將企業內部制度程序化、流程化,建立基于流程的風險管理體系,形成風險管理網。
參考文獻:
[1].Crouhy Michel,Galai Dan. Risk Management. Harvard Business Review,2005,75(6):141-156.
[2].John C.Hull.風險管理與金融機構.北京[M]機械工業出版社,2010:111-113.
[3].克拉耶夫斯基(Krajewski.L.J.),里茨曼(Ritzman.L.P.)..流程與價值鏈.劉晉,向佐春譯.北京:[M]人民郵電出版社,2007:132-133.
【關鍵詞】業務流程梳理 風險識別與控制 風險管理數據庫 內部控制數據庫
一、以業務流程為起點,探討建立企業內部控制的緣由
建立健全內部控制是企業內外部需要,各類企業都積極探索建立內部控制。不同規模、環境的企業,建立內部控制的方法各有不同,本文擬從企業現有的業務流程為起點,探討如何建立控制活動類的內部控制。
業務流程是為達到特定的價值目標而由不同的人分別共同完成的一系列活動。業務流程是企業經營活動最普遍的工作流程,任何一個企業在運營,都有各種各樣的業務流程,或是成文的標準文件,或是習慣的工作方式。
因此,本文以業務流程為起點,探討建立企業內部控制,由于是以業務為出發點,因此,本文著重探討如何建立控制活動類內部控制。
二、以業務流程為起點,建立企業內部控制
我們可以通過業務流程梳理、優化并完善業務流程、編制流程制度文檔、建立風險管理及內部控制數據庫等階段來實現對內部控制的建立。具體分述如下:
(一)業務流程梳理
本文流程梳理的概念,強調作為一個階段性活動,從企業整體業務流程明晰的目的出發,對當前流程進行充分顯性化,而在顯性化基礎上發現問題并進行點優化的工作方式。
一般來說,企業的各種業務流程可以劃分為三個層級。一級流程:可根據《配套指引》的控制活動類進行梳理,包括資金活動、采購業務、資產管理、銷售業務、研究與開發、工程項目、擔保業務、業務外包、財務報告共9個方面。二級流程:在一級流程的基礎上,按照每個內部控制所包括的內容再次劃分為若干方面,例如資金活動方面可劃分為籌資活動、投資活動、資金營運三個方面。三級流程:在二級流程的基礎上,進一步劃分到具體的業務單元,例如籌資活動方面,可能涉及提出籌資方案、籌資方案論證等方面。
在業務流程梳理過程中,可以與相關職能部門負責人及職員訪談,也可以是查詢現有制度文件,也可以是通過抽查相關業務資料進行穿行測試。
(二)優化并完善業務流程
通過對業務流程梳理,我們可以通過將現在業務流程與《配套指引》、優秀企業等進行對標檢查,再根據常見內部控制活動的原理,優化現有業務流程,完善控制缺陷。
(三)編制流程文檔
根據優化完善的業務流程,繪制標準流程圖,編制流程文檔。
流程文檔是內部控制體系中的基礎文檔,也是核心文檔,流程文檔可以包含以下內容:流程名稱、流程責任部門與責任崗位、流程目標、流程適用范圍、流程相關制度、流程圖、流程描述、流程風險點及對應控制點。
1.業務流程風險點識別。流程中的風險點識別方法:以流程目標為出發點,從流程步驟走向進行風險思考,結合控制點識別出風險點。
2.風險分類。按照風險發生后的可能結果,可劃分為機會風險(可能有好的結果,也可能有壞的結果)和純粹風險(只可能造成壞的結果)。按照五大類風險可劃分為戰略風險、財務風險、市場風險、運營風險、法律風險。
3.風險等級。風險等級的劃分依靠兩個維度來判定,即風險發生可能性和風險發生影響程度。風險發生可能性分為極低、較低、中等、較高、極高五個等級;風險發生影響程度分為輕微、較低、中等、重大、災難性五個等級。關于風險發生可能性和風險發生造成影響,要根據企業所在行業及自身經營情況來判定。
我們可通過對流程風險點的以上兩個維度進行分析量化評分并取平均值,然后根據下圖判定風險等級。
設計對應控制點。流程中的控制點設計方法:假設去掉這個流程步驟,若該流程仍能完整的進行下去,則該步驟為控制點;若該流程到此卡住無法再進行下去,則該步驟不是控制點,僅為一般步驟。例如某個流程中存在幾個審核、審批步驟,去掉某一個或某幾個審核、審批步驟,該流程都能繼續進行下去,但會存在風險隱患,因此,這類審核、審批步驟就是控制點。
列出業務流程中對應該風險點的控制點,并確定該控制點是事前控制、事中控制還是事后控制。
(四)建立流程控制數據庫
1.流程層面風險管理數據庫。流程層面風險管理數據庫是后期建立全面風險管理信息系統的核心數據庫之一,與公司層面風險管理數據庫共同構成公司的全面風險管理數據庫。業務流程層面風險管理數據庫以表格的形式呈現,細分到各個流程,是從流程層面評估風險、控制風險并建立內部控制體系的基礎,也是公司全面風險管理與內部控制體系的核心之一。
業務流程層面風險管理數據庫的舉例如表1所示。
2.建立流程層面控制數據庫。流程層面控制數據庫也是后期建立風險管理信息系統的核心表單之一,它以表格的形式呈現,細分到各個流程,并通過流程編號與流程層面風險管理數據庫一一對應,是后期建立全面風險管理信息系統的基礎。
業務流程層面控制數據庫的舉例如表2所示。
三、總結
綜上所述,通過業務流程梳理、優化并完善業務流程、編制流程文檔、建立風險管理及內部控制數據庫等階段,達到建立健全控制活動類的內部控制,進而達到全面風險管理。
參考文獻
[1]財政部.關于印發《企業內部控制基本規范》的通知.財會[2008]7號.
國際金融危機后,世界經濟進入調整期,增長速度明顯放緩。我國市場下滑的同時使得各類企業的發展步履維艱,而企業也面臨著錯綜復雜的風險與難以應對的挑戰。在這樣的環境與背景下,企業必須將經營重點置于風險管理工作上,在關注外部風險的同時,更需要對內部的業務流程管理進行嚴格而科學的管控,如此才能在激烈的市場競爭中獲取一席之地,并實現企業的可持續發展?;谄髽I業務流程管理對于抵抗風險的重要性,以流程管理為視角,對企業風險管理模式的構建進行分析與討論,在當前的經濟形勢下,對于企業的生存與發展具有較強的現實意義。
關鍵詞:
流程管理;企業;風險管理模式;構建
企業業務流程管理是以吸納業務流程重組、流程再造思想與工具為支撐要素,采用綜合性的方法強化組織戰略,旨在強化業務操作的精細性與規范化的一種管理方式。對其進行合理運用可以降低企業運營成本,提高企業內外部響應速度,最終鞏固企業抵抗風險的能力。以業務流程為入手點,將風險管理有效融入流程環節中,實現與企業現有管理框架的耦合,是構建基于流程管理方式下企業風險管理模式的主要途徑,同時也是充分發揮風險管理工作有效性的必要手段。
一、流程管理概念綜述
流程管理是一種綜合性與系統性較強的管理方法。流程可以看作是一種路線圖,主要涵蓋以完成某項工作為目標,相關數據、信息、資料在不同單位、部門、人員之間傳遞的網絡。流程管理的中心是規范化的流程構造,以該流程構造為核心,將各項工作任務分配到各部門或各崗位,以績效體系為載體,對考核工作實施與落實,將目標與激勵成功傳導至企業各層次,使每位員工均明確自身崗位職責,從而推動流程的良性運轉。與此同時,將系統性的工作進行流程化處理,可以清楚而詳細地將若干作業項目和它們的關聯人員及其相互工作關系進行描述,進而實現目標的精細化管控。流程管理包括流程梳理、流程優化、流程固化三個階段。流程梳理是對企業現行完整業務內容與活動過程的摸底展現,在對企業流程體系進行規劃與調整的同時,可以為企業內部實現全面流程管理思想普及和手段落實提供不竭動力;流程優化是在流程梳理的基礎之上,具有選擇性地運用流程管理理念及信息技術工具對重點業務領域及關鍵流程進行深層次的分析與優化;流程固化則聚焦于將經過分析優化的新業務流程,借助制度、標準、信息系統等多種形式提高管理工作的規范性與顯性化。
二、構建基于流程管理的企業風險管理模式的可行性與現實意義
企業內部的一系列業務流程集成了企業的運營與發展,而所有單體業務流程中的活動或“子流程”是這些業務的支撐要素?;诖?,要想推動企業穩定而高效的運營,需要以流程為著手點,提高其運作效率?,F階段,市場競爭愈發激烈,經過不斷地迭代演變,風險管理已經成為大型企業內部管理不可或缺的組成部分,特別是在實際業務流程中融入風險管理思想與手段之后,業務流程經歷了綜合性與系統性的設計與改造,突破了以往各種“信息孤島”的狀態,從而初步構建了以流程管理為基礎的企業風險管理模式。
1.企業風險管理與流程管理的目標一致企業要想充分發揮風險管理的功能作用,使之成為企業經濟效益提升的支撐,首要任務是強化企業風險點的控制與管理,并提高其有效性。而流程管理在關注業務流程風險點的同時,還需要對流程成本、效益、質量等因素進行綜合性考慮。以此看來,企業風險管理與流程管理在管理方法與關注點方面存在一定程度的差異,然而兩者具有高度的目標一致性,且均統一于企業的戰略目標,服務于企業的可持續發展。
2.流程管理是企業風險管理實現顯性化的導向企業要想提高風險管理工作的可操作性與科學性,就必須將風險管理與流程有效地融合起來,構建以業務流程管理為基礎支撐的風險管理模式,將錯綜復雜的風險管理活動進行轉變,使其以流程輸入、輸出為導向,提高其動態化與層次性,同時以業務流程中無數個“工作流”為支撐要素,將關鍵控制點推送到業務流程中,將風險管理與業務流程有效融合,進而提高風險管理的顯性化。
3.業務流程是企業開展風險管理的基礎支撐作為一種循環流程,企業風險管理主要包括業務分析、業務流程梳理、風險識別、風險評估、提出風險控制策略、實施風險管控、管控效果反饋與改進等環節,因此其屬于一種業務流程為支撐要素,以信息系統為平臺,切實實施風險預警、監控與管理改進的閉環管理模式。其工作的開展與進行主要以企業各業務流程為依托,通過對風險點進行辨識,構建風險識別、分析、管控、改進等多環節為一體的風險管理框架,進而以業務流程為基礎的風險管控機制,實現企業各業務重要運營活動與運營單元的安全管控。由此可見,企業風險管理與業務流程管理具有極為緊密的聯系,企業開展風險管理需要以業務流程為基礎支撐。
三、流程管理視角下企業風險管理模式構建的相關措施
要想構建并實施以流程管理為基礎要素的企業風險管理模式,并提高其科學性與顯性化,就必須將企業業務流程管理框架設計作為風險管理的頭緒,采取由上而下或自下而上的互動方式梳理企業目標領域的業務流程,推動并實現每一層業務流程的目標,進而促進企業總戰略目標的實現。最終將風險管理流程框架與具體業務風險管理流程有機結合起來,并在該體系中對風險點與關鍵流程管理環節進行詳細描述,如此可以將流程管理有效的融入到企業風險管理工作中,提高風險管理工作的可行性與顯性化。
1.確立基于流程管理的企業風險管理的“三道防線”為了構建基于流程管理的企業風險管理模式框架,首要任務是確立企業風險管理的“三道防線”,為實現基于流程管理的企業風險管理顯性化創造有效的基礎條件。以大型施工企業為例,第一道防線是經營部與采購部,主要涉及工作包括招投標、預決算、材料采購、設備采購等,施工企業需要注意招投標工程項目的前期評估和預測,并強化對招投標報價風險的控制,對合同進行科學化管理,同時需要構建有效的成本管理與分析系統;而關于預決算過程,施工企業需要對工程施工的所有影響因素進行充分的考慮,對其中的風險因素進行分析,提前做好應對措施;在材料與設備采購方面,施工企業需要通過證件檢查與取樣試驗的方式,保證其使用性能與質量,避免材料與設備質量問題造成工程施工出現安全與質量問題。第二道防線是工程部與安監部。主要包括分包管理、質量控制、施工協控、設備安監、安全文明等工作,施工企業需要認清合法分包的界限,及時、規范、嚴謹地簽訂合同,并對各環節委托授權進行嚴格審查;在質量控制過程中,施工企業需要針對風險源與事故多發工序進行嚴格控制,規范施工工藝與操作行為,及時處理質量問題與安全隱患;而對施工中的機械設備進行定期的安全監督與檢查極為必要,可以有效防止機械設備故障造成的工程安全與質量問題;與此同時,強化企業全體員工的安全意識,可以從根本上降低施工風險出現的概率。第三道防線是財務部與辦公室。針對施工準備、施工過程、竣工結算等階段,對施工直接成本與間接成本進行嚴格的決算與把控,并竭力在合同審查中為施工企業爭取更多的經濟利益;辦公室需要加強行政、人事、信息等方面的管理,規范行政制度,強化企業員工的崗位責任心,防止信息泄露,充分發揮企業風險控制的輔助作用。
2.流程管理視角下企業風險管理體系設計企業需要以全部業務流程的構成情況為邏輯架構,并將其視為風險管理工作的骨架與脈絡,在基于流程管理的企業風險管理體系設計過程中,首要任務是打破傳統職能部門與組織機構的流程組織方式,對企業業務流程的頂層結構明確定義,并以分層方式對指導框架進行細化,對一層進行完善以后,才允許進行下一層指導框架的處理與構建。在基于流程管理的風險管理體系中,各單位的戰略規劃、業務流程與職責、業務流程圖及目錄梳理成果等是構成體系的基本要素與支撐,對企業各部門的主要業務職責和業務特點進行了集中反映;在該體系中,企業需要以企業的戰略規劃與規章制度作為牽引動力,為該體系的高效運轉注入源源不竭的推動力量;與此同時,企業要想構建基于流程管理的風險管理模式,還需要對國際上流程框架的案例進行充分參考與借鑒,例如ERP模型、APQC模型等,借助這些案例,企業可以對價值鏈為線索的流程組織方式理解得更充分。
3.基于流程管理的企業風險管理模式的精細化分析以體系設計的角度來看,業務流程梳理是構建基于流程管理企業風險管理模式的必要條件。如圖1所示,首先對企業各個業務流程的性質與涉及的領域進行分析與參考,從流程的始端對風險進行辨識評估和內控診斷,對業務流程框架進行確定。然后需要對該框架實施風險分析與缺陷認定,建立起風險管理與業務流程的接口,并在這個過程中對重點業務流程進行確定和明確,而后需要對風險信息與業務流程一一對應的關系進行繪制,最終編制出“風險—流程控制矩陣”。企業的部門管理者、業務復雜人或業務骨干均需要參與到業務梳理中來,形成一個負責流程梳理工作的團隊,該團隊需要任用不同的人才負責相應層次的業務梳理與描述,并擴展業務梳理的覆蓋面與范圍,保證覆蓋到所有業務活動。提高該模式的精細化需要構建詳細的流程細化模型,主要包括:規范合理的主流程模型、子流程模型、具體操作流程模型、各項模板及相關指導文件、其中各流程模型包含的責任主體及參與單位。提高基于流程管理的企業風險管理工作的精細化,有助于企業提高風險管理工作的規范性與科學化。
四、A企業構建基于業務流程的風險管理思路及措施
我國大型施工企業A企業開展了全企業范圍內的風險管理流程,在確定了業務流程框架以后,按照重點風險排序,企業將物資采購選定為重大風險進行管理控制。企業將“基于業務流程”作為控制采購風險的入手點,圍繞業務流程的關鍵控制點,對制度設計、職權行使與監管等方面的風險進行了排查與控制。第一步,該企業工作組針對物資流程,對其現狀與環節進行了摸底,明確了流程設計中的不足與缺陷,與物資采購負責與監管部門協同合作,依照《企業內部控制規范》與企業運營實際情況,對物資采購制度與流程規范進行了完善與優化,提高物資采購的可行性、合理性與科學性;第二步,依照流程節點對物資采購的風險點進行明確,例如:采購方案的制訂與選擇、與供應商的合作、招投標或比價采購、合同的簽訂、貨物的檢查與試驗、貨款的支付等;第三步,對業務流程關鍵控制點依據所涉及的崗位進行風險辨識分析,對其中可能存在的物資采購風險進行排查,例如:招投標或比價采購過程中暗箱操作、審批流程存在缺陷、材料取樣試驗不嚴格等;第四步,充分結合定性與定量分析的方法,對物資采購風險發生的可能性進行分析,依據崗位工作重要性和控制金額兩個因素對物資采購風險的影響程度進行描述與確定;第五步,制訂物資采購風險評價標準,依據物資采購風險發生的概率與影響程度,進行分值的劃分,依照從高到低的順序,將風險發生概率與影響程度依照1、2、3、4、5五個等級進行歸類;第六步,鼓勵所有崗位人員評價物資采購風險重要性,而后編制物資采購風險排序表,進而繪制如圖2所示的風險重要性水平圖譜。圖譜中,黑色區域(A)的風險等級為高危風險,A企業需要及時采取針對性措施予以防范、解決;灰色區域(B)為中等風險,A企業需要對此提高重視程度,并掌握其實時動態;白色區域(C)為低等級風險,通常情況下為企業可以接受的風險。依據物資采購風險重要性水平圖譜,A企業可以高效、高質量地完成物資采購工作的風險控制。
五、結論
構建基于流程管理的企業風險管理模式具有較強的綜合性與復雜性,該模式邏輯架構層次分明,具有較強的精細化與規范化,對于細化分析業務流程,明確業務流程中的風險環節與操作,凸顯關鍵風險控制點具有較強的可操作意義。同時可以將具體的風險因素的排查與風險控制點的管控落實到相應部門,明確崗位“權、責、利”的科學分配,最終使業務流程成為橋梁,提高風險管理工作的固化與顯性化,推動企業的可持續發展。
參考文獻
[1]王鋒.財務風險在經營活動中的定位[J].中國商貿,2015(,4):35-36.
[2]王怡文,柯柏成.美國企業高階管理階層對風險管理觀念之剖析[J].中國內部審計,2015(,1):58-60.
[3]杜放,馮家杰.我國企業風險管理的現狀、問題及對策探析[J].物流技術,2014(,23):103-105.
[4]程強,顧新.基于COSO風險管理的知識鏈知識轉化風險防范研究[J].圖書館學研究,2015(,5):45-48,34.
流程的概念很多,ISO/IEC9000將之定義為一組將輸入轉化為輸出的相互關聯或相互作用的活動。企業由流程構成,Kaplan(2001)將企業定義為是一系列相互關聯的活動或流程的集合,或是一個價值鏈。在IT環境下,流程可理解為“角色加活動”,即將流程描述為一個為實現特殊目的而合作且互相影響的角色的集合。早期人們對企業流程的理解大多局限于傳統的業務領域;當IT逐漸與業務融合,并成為企業所有經營活動的驅動引擎時,流程的范圍開始拓展,此時的IT流程與業務流程需要實現動態整合,即IT活動被看作是業務,并執行與業務相同的管理方式。因此,IT環境下的企業業務流程應該是廣義的,同時包含IT流程和業務流程。美國公眾公司會計監督委員會的第5號審計準則就指出,作為理解重大流程的一部份,審計師應理解IT如何影響公司的交易流程。
有些大的會計公司為了強調經營風險的審計方法,修改它們的審計輔助軟件,以圍繞業務流程組織審計證據,而不是按照傳統的交易循環組織證據。關注業務流程的審計軟件系統(Business-Process-Focused,BPF)通過價值鏈組織被審單位的信息;而傳統的關注交易循環的審計軟件系統(Transaction-Circle-Focused,TCF)是按照交易分類組織被審單位的信息。O''''DonnellE和JrJosephJSchultz(2003)的研究結果表明使用BPF軟件的審計人員能識別出更多的風險情形,并將風險估計在恰當的水平;而使用TCF軟件的審計人員對風險的識別和估計都較差。因此他們認為不同的信息組織形式會影響審計人員的決策判斷。造成這種結果的原因在于業務流程關注事件之間的關聯性,它通過情景引導記憶;而傳統的交易循環關注的是交易分類,它通過語義引導記憶。因此,關注業務流程可降低任務的復雜性和認知難度。隨后其他的研究人員也發現圍繞業務流程開展內部控制的評估任務更為有效。
二、IT環境下基于流程的審計風險判斷方法
為了協助審計人員運用自上而下的風險導向審計方法,國際審計和鑒證準則委員會于2005年制定了“在整個審計
過程中運用職業判斷對重大錯報風險進行更準確評估的框架和模型”。具體步驟如下:(1)了解企業及其環境(包括內部控制),識別風險,并在報表層次考慮交易性質、賬戶余額、披露;(2)將發現的風險與認定層次可能發生的錯誤與舞弊相聯系;(3)考慮風險的重要性;(4)考慮風險的發生概率。這個風險判斷思路也同樣適用于IT環境。因此借鑒自上而下的審計方法,將流程作為IT風險判斷的中間環節,改進了的IT環境下的審計風險判斷方法具體實施步驟如下:
1.了解企業及其環境(包括內部控制)。我國2006出臺的《中國注冊會計師審計準則第1211號——了解被審計單位及其環境并評估重大錯報風險》列舉了影響重大錯報風險的因素:行業狀況、監管環境以及其他外部因素,企業性質,目標和性質以及相關的經營風險,財務業績的衡量和評級,內部控制。在IT環境下,識別和評價企業層面的風險和風險控制的有效性時,需特別考慮:(1)IT利益群體的風險及對IT利益群體控制的有效性,如IT治理;(2)企業層面的IT控制,如與IT相關的控制環境、風險評估、信息與溝通、監控、教育和培訓等方面。
2.確定財務報告流程的核心要素。根據企業層面的風險評估結果識別重大賬戶、重要披露及與之相關聯的認定。
3.識別關鍵業務流程。審計人員首先要識別與上述重大賬戶、重要披露、認定相關聯的關鍵流程及流程所包括的主要交易,同時識別流程中易發生錯誤和舞弊的關鍵點(控制點)。為了判斷業務流程能否實時預防或檢測錯誤和舞弊,審計人員要識別出需要被測試的控制點,由于業務流程大多基于IT,因此要確定這些控制點哪些是依賴IT的,然后識別并證實關鍵的IT功能。
4.確定與IT功能相對應的應用系統的范圍。詳細列出與這些IT功能相關的應用系統和與之關聯的子系統,包括交易應用系統和支持性應用系統。交易應用系統在處理組織內的數據時通常提供以下功能:(1)通過借貸關系記錄交易的價值數據;(2)作為財務、經營和法規數據存放的倉庫;(3)能夠生成各種財務和管理報告,包括銷售訂單、客戶發票、供應商發票以及日記賬的處理。支持性應用系統并不參與交易的處理,但方便了業務活動的進行,如Email程序、傳真軟件、設計軟件等。
然后IT審計人員與財務審計人員合作,從列示的子系統中識別出支持授權、復雜計算、維護重要賬戶(如存貨、固定資產、貸款等)的完整性的重要應用系統。應用系統是否重要,需要考慮:交易量(交易量越多,應用系統越關鍵)、交易金額(金額越大,應用系統越關鍵)、運算的復雜性(運算越復雜,應用系統越關鍵)、數據和交易的敏感度(敏感度越大,應用系統越關鍵)。為應用系統提供IT服務,或者支持應用系統關鍵環節的IT一般流程即為需要進行IT一般控制測試的范圍。
5.識別管理和驅動這些重大應用系統的IT流程。識別所有支持這些應用系統的基礎設施,包括數據庫、服務器、操作系統、網絡,以及與之相關聯的IT流程。判斷這些IT流程的風險和相關的控制目標。識別出需要被測試的IT一般控制,進而判斷其是否符合控制目標??刂茰y試結果將影響與之相關的IT應用控制的評價、業務流程的風險評價。對這些流程和系統進行風險和控制評估后,就可以制定風險控制矩陣。
6.評價IT控制、分析業務流程風險。結合對IT一般控制的評估結果和對業務流程中IT應用控制的評估結果,就可以分析關鍵業務流程的IT風險控制情況。此時的IT控制測試和人工控制測試要結合起來予以考慮,即將二者作為一個整體的測試對象。業務流程的風險是與業務流程所關聯的一系列交易活動、賬戶群的余額、列報(包括披露)認定層次重大錯報風險相聯系的,因此,業務流程風險的評價結果構成了認定層次重大錯報風險評估的直接基礎。
7.評估電子證據證明力、設計實質性測試程序。審計人員可根據上述步驟的風險評估結果判斷某一業務流程的電子審計證據的證明力并設計與業務流程有關的賬戶群的實質性測試程序。
通過上述7個步驟,審計人員可以將IT環境下的企業風險因素與報表層次和認定層次的重大錯報風險相鏈接,同時也為電子審計證據證明力(即檢查風險的判斷)提供了依據。
參考文獻:
[1]顧曉安,基于業務循環的審計風險評估專家系統研究[J].會計研究,2006(4):23-29.
[2]O''''DonnellE,JrJosephJSchultz.TheInflueceofBusiness-Process-FocusedAuditSupportSoftwareonAnalyticalProceduresJudgements[J].Auditing:AJournalofPractice&Theory.2003,22(2):265-279.
關鍵詞:業務流程 ERP應用 風險審計
一、基于業務流程轉變實施ERP應用風險審計的必要性
(一)ERP系統上線后業務流程發生根本性變化
ERP系統實施以前,許多基于計算機的業務系統,基本都是圍繞某一業務功能或者是職能部門運行的,比如遠光財務系統、遠方物流系統等。這些系統都不是基于跨部門的流程來設計的。ERP系統中單一的數據庫,使過去跨部門的審批流程得到簡化和壓縮。壓縮所造成的一個結果是,用于企業內部控制的許多審計線索在ERP系統的引入后消失了。同時,企業過去基于文件審批的內部控制機制,也無法適應ERP基于流程的管理需要。
(二)ERP的系統特性對公司的風險管理提出了新的要求
實施ERP系統后,公司所遇到的業務風險一般來自四個方面:業務流程、應用架構、數據質量和技術架構。其中,業務流程的轉變對企業內部控制的影響最大,對企業內部管理和財務方面的監控提出了新的要求,這方面的風險特征相比過去發生了根本性的變化。
二、基于業務流程轉變實施ERP應用風險審計的主要途徑
基于業務流程轉變實施ERP應用風險審計是針對由ERP系統實施所帶來的新的業務控制風險,對公司內部控制體系做出重新評估和完善。通過充分評估ERP環境中的控制方式,一種是基于系統的控制,另一種是基于流程的控制。將由于“流程自動化”帶來的內部控制可能的削弱作為風險敞口進行重點審查。結合流程追溯法、循環測試法、實時審計法、系統輔助法和專家分析法五種ERP風險審計方法,合理運用了風險審計步驟,從風險描述、風險成因、風險影響、風險評價多個維度對ERP應用風險性質、影響結果進行詳細的定性分析。
三、基于業務流程轉變實施ERP應用風險審計的具體做法
(一)審前準備階段
1、制定審計目標
ERP系統是建立在對業務流程進行優化重組的基礎之上的,針對由ERP系統實施所帶來的新的業務控制風險,我們需要對公司內部控制體系做重新評估和完善。在審計目標的確立上應考慮:一是業務流程的轉變打破了原有的權力分配模式,觸動了一些部門或個人的利益,系統上線后能否按既定的模式運行以及運行效果如何?二是由于上線時間緊迫,實施時設定的業務流程是否是最佳流程?三是即使當時是最佳的業務流程,也會因為上線后運行環境的變化而有進一步優化的必要?
2、選擇審計范圍
ERP系統覆蓋生產、采購、設備、財務、人資等公司運營管理的各個層面。在審計范圍的選擇上如果對每個流程和控制點都進行風險評估在資源的利用上是非常不經濟的。因此,對ERP應用風險審計范圍的選擇應采取逆向思維的方法,首先從公司整個業務風險域中尋找具有最大風險的業務流程,進而確定有哪些ERP模塊在支持這些業務流程。在實施過程中,通過對各模塊關鍵用戶的訪談,來確定評估范圍。
3、確立審計內容
在ERP環境下,舞弊和錯誤均由原來的手工操作變成了由系統程序來完成,不留任何紙面痕跡,從而使風險更加隱蔽、層次更高、內涵更深,風險識別、評估和應對的難度更大。首先對ERP系統的薄弱環節進行風險分析,進而確立基于業務流程轉變可能引發的風險類型,得出下列結論:一是偽造數據輸入的舞弊類風險;二是錯誤數據輸入的數據質量風險;三是應用操作控制變化的系統用戶授權風險;四是應用層面的操作風險;五是脫離ERP業務流程的非集成風險;六是運行過程中的流程風險。
(二)審計現場實施階段
1、流程追溯法
審計時遵循溯本求源的思路,提高對風險的識別和評價能力,根據追溯結果判斷審計事項的發展方向,明確相關審計事項,評價風險應對措施的適應性及有效性,并提出進一步改進的意見。這種方法適用于偽造數據輸入的舞弊類風險。
以項目模塊中ERP環境下的虛構項目為例,在ERP項目模塊中,根據項目管理流程,設計了相應的操作流程,這些ERP操作環節除了項建階段涉及上級公司權限外,均要涉及公司工程管理相關部門,包括項目管理部門、物資部門、財務部門,整個流程因牽涉多個部門,會形成一定的內部牽制機制。但如果出現公司管理層主導的集體偽造ERP數據時,從項目WBS的創建、物資的采購、出入庫、項目的服務確認、項目的竣工財務轉資等流程一路綠燈,配套的物資采購合同、出入庫單據、服務合同、發票、開竣工資料、工程決算資料等紙質資料和簽字手續一應俱全。那么在ERP中運行的整個工程項目流程只能是一條經人為虛構的“完美”流程。
2、循環測試法
審計時通過查找各模塊中的非集成業務風險,通過對比某一具體業務在單項功能中的運行結果和在系統集成功能下的運行結果,進而從ERP內部控制環境中尋找流程控制的風險點。這種方法適用于脫離ERP業務流程的非集成風險和運行過程中的流程風險。
以物資模塊中線外采購為例,在ERP物資模塊中,根據物資管理流程,從采購訂單-發票校驗-材料入庫-材料出庫有特定的業務流程,而往往對于成本中一次性消耗的大宗物料非集成風險頻數較高,這類業務經常是繞過“線上”的ERP業務集成而直接采用“線下”的總賬憑證在財務模塊實現。這類業務涉及物資金額大、數量多,存在很大的二級庫管理風險,如ERP系統外物資管理流程缺失的話,很容易造成物資流失。
3、實時審計法
審計人員可以根據需要實時收集自已感興趣的資料,并通過系統將這些資料實現共享,從而進行實時審計,以彌補事后審計線索不充分的缺陷,為事前、事中審計創造條件。這種方法適用于錯誤數據輸入的數據質量風險和應用層面的操作風險。
參考文獻:
[1]王曉霞.企業風險審計(第二版).中國時代經濟出版
[2]皮克特.風險管理過程審計(英).東北財經大學出版
[3]李瑛玫.信息化環境下獨立審計風險研究.知識產權出版社