时间:2023-08-15 16:55:00
序论:在您撰写业务流程风险点时,参考他人的优秀作品可以开阔视野,小编为您整理的7篇范文,希望这些建议能够激发您的创作热情,引导您走向新的创作高度。
一、会计结算业务操作风险状况分析
柜面业务操作风险是指由于风险控制失效使银行或客户资金遭受损失的风险,是当前农村信用社办理核算、结算、清算、现金出纳等业务过程中面临的主要操作风险之一。柜面业务操作风险既存在于现金库房、章证管理、账户管理、资金汇划、特殊交易处理等重点业务之中,也存在于柜员离柜、业务交接、账务核对、复核授权、检查监督等业务环节,覆盖了柜面涉及的各项业务、各岗位、全过程。
(一)柜面业务操作风险的主要特点
一是具有存在的客观性,不可能根除。操作风险主要是由人为失误、主动违规、内部欺诈及外部事件所引发的,只要这些因素不能消除,柜面业务操作风险就必然存在。二是具有普遍性。柜面接触客户多、经办业务多、参与员工多,每一个节点就是一个风险点,发生风险的概率很大。三是具有可控性。尽管柜面业务操作风险不可能完全避免,但可以通过采取制度设计、机制建设、加强人员管理和技防能力等措施,提高对操作风险的识别、监测能力,使之控制在可接受的幅度内。
(二)柜面业务操作风险管理面临的形势
2003年以来,经过持续的规范整治,农村信用社柜面业务风险防控总体形势正朝着明显好转的方向发展。但与主要商业银行相比,农村信用社的业务操作风险仍然突出,数量仍然较多,各地工作开展很不平衡,部分地区案件形势仍然严峻,对柜面业务重视程度不够、合规意识淡薄、内控管理存在缺陷、教育培训不到位等问题仍然比较严重。究其深层次原因,除了体制改革不到位、传统经营管理理念和方式束缚之外,更多的是流程模式和管理机制的问题,突出表现在以下五个方面。
1.沿袭部门银行模式,风险难于管控。一是前中后台未实施有效分离。目前,绝大多数农村信用社还一直沿袭着“小而全”的传统的部门银行模式。在这种模式下,由于各项业务无论金额及蕴藏风险大小,都由前台人员直接处理,绝大部分业务从业务受理、账务处理到交易完成在一个网点内部即可处理完毕,“一手清”、“打通关”的问题难以根除,一旦柜面人员出现道德风险或内外勾结作案,操作风险巨大。二是会计核算单位分散,不便于监控和管理。目前,农村信用社普遍按照营业机构设置核算单位,有多少营业网点就有多少账务体系,由此造成总账单位数量过于分散,分户账及内部账数量巨大,难以加强监督管理。
2.机控水平低,缺乏刚性约束。由于对机控重要性认识不足,加上一些系统存在功能缺陷,技术防范作用不明显。部分业务还停留在手工程序电子化处理阶段,对于风险控制的范围、强度、效果多依赖于操作人员的经验,对业务风险的识别和监控缺乏技术标准和科技手段,不能对柜面业务操作风险进行实时监控和预警,不能对各类柜面业务差错进行差异化分析和控制,致使一些关键性、苗头性风险被大量的简单、操作性差错所掩盖,对违规行为缺乏刚性约束,屡查屡犯、此查彼犯的问题得不到有效解决。
3.柜面业务繁多,柜员疲于应付。营业网点在进行营销和服务的同时,还承担着大量的柜面业务,随着需求多元化、产品多样化,柜面业务变得越来越复杂,表现为“处理环节多,操作规程多,业务凭证多”。由于农村信用社产品设计分散在各部门,每一部门推出的产品往往伴随着一套新的业务凭证和核算方法,业务处理要求不尽一致,缺乏统一规范和整合,导致柜面工作强度大、业务操作标准不统一、风险控制效率低下,一般员工难以适应。甚至一些营业网点柜员长期处于超负荷、超强度的工作状态,缺乏对操作风险的警惕性和敏感度。
4.制度不够完善,执行不力。这其中既有部分管理者和操作人员思想认识不到位、责任意识不强、业务素质不高等因素,也可能是制度设计本身存在问题。一是柜面执行的制度来自多个条线,政出多门,缺乏统一的制度规划,内容有时冲突,使基层在执行时不知所措;二是部分制度设计过于追求片面的风险控制,造成操作繁琐、落地困难;三是部分制度未充分考虑基层行社的差异性,简单地搞“一刀切”,缺乏针对性和灵活性;四是制度建设滞后于业务发展,使新业务的操作风险无法得到有效控制,新业务往往成为新的风险源。
5.缺乏有效监督,制衡缺失。从营业网点情况看,部分网点主管人员职能多重交叉,无法集中精力完成审核、授权等控制要求;部分网点主管人员专业能力不足无法对业务进行监督指导;事后监督工作还停留在手工模式下勾对凭证、表面审查的阶段,监督级次过低,监督手段十分落后,不能给安全运营提供有效保障。从上级检查监督情况看,存在着检查监缺乏系统性、实时性不强,随机性较大,重点不突出,流于形式等问题,造成检查监督不到位、处理处罚力度不够,对被查单位没有起到威慑作用,检查监督质量和效果不好。
随着业务的快速发展和内外部环境的变化,复杂性、多变性因素在不断增加,农村信用社柜面风险防控工作面临着越来越多新的挑战。但我们的流程模式和管理手段还停留在传统的“部门银行”阶段,各类柜面业务操作风险和会计结算类案件的出现也绝不是偶然的。只要这种人控为主的模式不改变,就很难从根本上解决操作失范、风险失控的状况。
二、商业银行柜面业务风险防范的成功实践
柜面业务风险积聚、违规行为屡禁不止、案件频发的状况,并非农村信用社独有。2008年以前,工行、农行、建行、浦发等商业银行在柜面业务风险防范方面也都有过类似的处境和遭遇。据统计,2005年~2007年间,国内商业银行共发生各类案件2,479件,涉案金额106亿元,其中超过70%的案件发生于柜面业务中。对某国有商业银行10年来发生在各营业网点的107个案例统计分析,发现该行这些经济案件全部都涉及柜面业务,而且柜面操作风险呈现出多样性、复杂性和集中爆发的趋势。
面对越来越严峻的柜面业务操作风险防控形势,一些具有先进理念的商业银行意识到,在传统流程模式下,仅靠完善规制、强化检查监督、培训指导等手段,很难有效防范和化解柜面操作风险。从2006年开始,一批商业银行开始借鉴国际国内银行业的先进经验,按照流程银行模式重新构造流程控制、管理架构和文化价值体系,全面加强风险管理。以银行业务中最复杂,涉及范围最广、客户体验最集中的柜面业务作为切入点,通过再造柜面业务流程,弱化前台柜面功能,建立以“集中作业、集中监控、集中授权”为核心的后台运营管理体系,由后台中心承担大量操作性、交易性、高风险性业务的处理,实现集中保管会计档案、集中监控重点业务,逐步推行业务集中管理,实现网点业务处理向“小前台、大后台”的转变,取得了良好的成效。
工行、建行、民生、兴业、广发、浙商、广州农商等商业银行通过柜面流程再造,将管理思想、制度规程根植于系统控制和操作程序中,将人控与机控有机结合,能够加强风险控制,而且对降低运营成本、促进网点转型、推动服务升级和实现可持续发展也具有极其重要的作用和意义。以某农商行为例,实现柜面业务流程再造以后,从账户开立、凭证审核、印鉴核对、资金汇划、业务授权、对账管理等所有重点业务环节的操作风险得到了有效控制,业务差错大幅减少,由原来的千分之三点二降至万分之一点二六,连续3年无会计结算类案件发生,基础工作更加规范,内控管理明显加强。
三、流程再造是农村信用社加强风险管控的必由之路
柜面业务操作风险蕴含于各项柜面业务、各个环节之中,依靠现有的流程模式和管理手段无法有效解决柜面操作风险的问题。只有对现有的业务流程、组织流程、管理流程以及文化理念进行彻底改造,颠覆性地改造部门银行模式并使其脱胎换骨,才能从根本上提升风险防控能力。
(一)流程再造对于加强柜面业务风险控制的必要性
一是改变柜面业务操作风险现状的需要。柜面业务操作失范、制约缺失、风险积聚等问题已经成为制约部分农村信用发展的突出问题。如不能得到有效控制和解决,将造成资金受损、声誉蒙羞、发展受阻等严重后果。来自监管部门、社会舆论以及自身安全等多重压力,倒逼农村信用社必须改变现有的流程模式和风控手段,强化风险控制。二是加强全面风险管理的需要。商业银行的成功实践表明,通过柜面业务流程再造实现业务集中处理,风险集中控制、业务布局优化,网点功能转型,能够有力推进组织架构、管理模式的全面优化,促进风控水平整体提升。三是适应监管要求的需要。逐步实行前后台分离和业务运营集中,有效控制风险,是银监会《农村银行流程银行建设指导意见》的具体要求,也是深化农村信用社机制建设的主要方向。四是支撑转型发展的需要。以流程银行建设为手段,提升风险控制能力、保障安全运营既是坚持以客户为中心,改善客户体验,提高服务效率的客观要求,也是深化改革、发展转型、提升市场竞争力的重要基础和前提。
(二)关于柜面业务流程再造的思路和措施
借助现代化信息技术,从客户需求出发,综合考虑内控、服务、效率、成本等因素,对柜面业务流程和管理模式进行重新设计和组合,实现前中后台分离。前台直接面向客户,负责客户的营销和服务;中后台为前台服务,负责集中化的业务处理、风险控制和资源配置。具体而言就是将柜面业务处理模式由网点分散处理向集中处理方向改造,将传统单点工作模式转变为异地多人协作的模式,实现监督功能由事后向事中的转变,在操作上重点要把握好以下三个方面。
一是逐步推行业务集中管理。采用分期分批的方式将各种非柜面业务及需要通过柜面但无需即时办理的业务、操作风险较高的业务、可集中的业务,如大小额、农信银支付、同城交换、开户、销户、对账、票据等业务逐步纳入集中作业中心处理。业务处理不再由网点人员全部完成,而分解为网点和集中作业中心两部分,两者各司其职,有效配合。对于集中处理的业务,网点柜台操作人员负责接受客户指令、审核单证的真实性和完整性,选择业务类型、采集业务影像信息等简单的预处理;然后提交后台中心进行集中作业处理,由后台拆分流程节点,通过影像分割、“二维识别码”等控制技术和“两录一校”双线比对等方式,完成凭证、要素的统一录入、审核监督、集中授权、异常监控等流水式作业,达到对柜面业务重要环节、重点业务以及可疑交易的同步监控和实时预警,有效发挥集约化管理优势和风险控制功能。
[关键词]政府采购;业务流程;风险点和控制点
中图分类号:TF623 文献标识码:A 文章编号:1009-914X(2014)47-0221-01
在当今公立医院面临国家医疗改革的不断深入,医院在新的形势下必须增强适应性和竞争力,随着政府采购内控制度的建立顺应了卫生医疗新经济环境下的内在要求,增强医院竞争行为等方面发挥了重要的作用,如何建立健全政府采购内部控制体系,是问题的关键。
一 政府采购预算管理
(一) 采购预算管理业务流程节点
业务部门根据年度发展计划和资产存量配置情况,提出采购需求。采购归口部门审核评估论证采购需求,提出采购预算草案,报财务部门。采购归口部门编制采购预算,财务部门审核汇总平衡各部门采购预算,形成采购预算上报数。单位采购管理委员会审定政府采购预算草案,通过后报财政和上级主管部门审批;经上级主管部门审批、财政部门审批后财政下达采购预算批复数,财会部门下达采购预算指标,单位采购归口部门分解采购预算指标,形成年度采购计划,业务部门按预算指标数执行采购预算。
(二) 采购预算管理风险点、控制点分析
采购预算风险点分析。预算编制不合理,政府采购、资产管理、业务各部门之间缺乏沟通协调,采购项目可行性论证不充分,预算审核不依据业务需求,不考虑资产的存量配置,存在重复购置,资金浪费风险。预算审核不科学,存在重复购置或未予购置。预算审核不严格,采购预算审定不认真,必然造成资金浪费。
采购预算控制点分析。建立部门之间协调机制,加强采购的可行性论证,依据报告及专家评审意见等资料认定采购的必要性。明确政府采购归口部门责任,充分利用信息技术,保证资源分配的效率性,避免重复采购造成资金浪费。严格控制预算指标额度、汇总预算工作流程,严格执行审核、建立监管机制,明确责任, 追踪问责。
二 政府采购计划审批
(一) 采购计划审批业务流程节点
业务部门根据年度工作计划,在采购预算指标额度内,结合库存物资和现有设备配备情况,提出采购申请。业务归口部门审核采购申请,在合理采购申请的基础上形成采购申请报告,依次报相关部门。财务部门审核采购计划是否符合年度采购预算,审核后经政府采购管理委员会根据单位年度发展规划及采购预算,审批采购报告。属政府采购法律法规及制度规定可由单位分散采购的情况,批准单位采购归口部门分散采购;属应报上级主管部门审批情形的,级主管部门审批;属政府法律法规及制度规定应由采购主管部门审批履行集中采购程序的情形,上报政府采购主管部门审批采购申请报告。上级主管部门对重大采购项目采购申请报告进行审核或审批。政府采购主管部门对属于政府集中采购的项目,批准履行集中采购流程。政府采购主管部门对属于分散采购的项目,批准履行分散采购流程。采购工作结束后,将采购文书整理归档。
(二) 采购计划审批业务风险点、控制点分析
采购计划审批风险点分析。采购申请审核不严,缺乏采购申请制度,请购未经审批或超越授权审批,可能导致采购物资过量或短缺,影响正常业务活动,造成采购超预算、资金浪费或资产闲置,采购文书缺失、损毁、被伪造变造。
采购计划审批控制点分析。严格执行采购预算,审核采购数量、金额、资金来源与预算批复相对应;以年度发展目标为依据,审核采购申请是否科学、合理、符合单位整体目标。按采购法律法规和管理制度要求,制作、填制并保留好各种文书,责成专人进行管理,健全制度,明确责任。
三 集中采购业务
(一) 集中采购业务流程节点
政府采购主管部门批复采购计划,对应属于政府集中采购的项目,明确政府集中采购方式。政府集中采购机构接受采购任务,根据采购商品的各类、技术标准、市场供求等情况,确定公开招标、邀请招标、竞争性谈判、询价等具体采购方式。采购归口部门代表单位与采购机构签订协议。核对采购参数,做好采购前准备工作,核对采购参数,提供相关资料,配合采购工作。组织筹备采购工作,信息、组织招标、询价,邀请专家等。根据具体采购方式,组织招标、询价、竞争性谈判等活动。采购归口部门与供应商签订采购合同。
(二) 集中采购风险点、控制点分析
集中采购风险点分析。采购文件不合标准,技术参数不公允,易形成单一来源或围标等违规事项;采购参数具有排它性及泄露相关信息等违规操作,导致单位被或受到处罚。未按规定选择采购方式,规避公开招标,出现舞弊等问题;不具备组织采购的能力,采购程序不规范;对采购、招标缺乏有效的监督,出现舞弊等违规问题。合同中存在不公平条款,不符合采购文件技术要求,损害单位利益。
集中采购控制点分析。严格审核采购文件,规范审核流程,技术参数依据专家论证意见。严格按规定选择采购方式,按审批权限报单位决策机构批;准选取有资质信誉好的招标机构组织采购;建立采购监督制度,审计、纪检等内部监督部门对采购进行全程监督。审计、纪检等部门进行合同评审并建立联签制度。
四 分散采购业务
(一) 分散采购业务流程节点
政府采购主管部门依据有关法规,批复采购计划,明确分散采购形式。政府采购归口部门根据采购项目规模、性质、难度、自身组织采购的能力,报单位采购管理委员会审批或按单位采购管理委员会的授权决定是自行采购还是委托采购机构代为采购。单位采购归口部门与委托机构就委托采购事项签订委托协议。业务部门核对采购参数,提供相关资料,配合采购筹备工作。单位采购归口部门组织筹备采购事项,如制作采购文件、联系媒体、市场调查等。政府采购归口部门在指定媒体上采购信息。政府采购归口部门组织实施采购活动。政府采购归口部门在指定媒体上公布采购结果。单位财会、审计、纪检部门对采购进行全过程监督。政府采购归口部门代表单位与供应商签订采购合同。
(二) 分散采购业务风险点、控制点分析
分散采购风险点分析。委托的机构不具备资质或有其他不胜任采购任务的情形。未在指定媒体上采购信息或未按规定采购信息。未按规定选择采购方式,规避公开招标,出现围标、舞弊等问题;不具备相应能力或存在道德风险,采购程序不规范;对采购、招标、招标缺乏有效的监督,出现围标舞弊等违规问题。合同签订中存在不公平条款,损害单位利益。
分散采购控制点分析。根据项目性质委托具备相应资质、信誉好的机构组织采购。建立信息制度,在规定范围、规定媒体上、按规定形式采购信息。严格按法律法规选择采购方式,建立授权审批制度;建立采购监督制度财务、审计、纪检等内部监督部门对采购进行全程监督。按合同控制流程,对合同进行评审并建立联签制度。
五 采购验收结算业务
(一) 采购验收结算业务流程节点
业务部门收到供应商供货,提出验收申请,政府采购管理部门确定验收方式,分散采购项目由本单位组织验收;集中采购项目按规定由采购机构组织验收,单位派人参与;国家规定强制检测的采购项目应当委托专业检测机构进行检测验收。政府采购归口部门组织验收,验收小组据相关技术标准及合同规定,对标的物进行现场勘查验收。上级主管部门按规定对项目组织验收,采购机构按规定对项目组织验收。验收结束后,采购归口部门、上级主管部门、政府采购机构、相关专业机构和人员就验收情况签署验收报告,出具验收意见。采购归口部门就验收过程中出现的质量等不合格问题,与供应商协商解决方案。财会部门根据验收单结算通知、发票、合同等相关资料付款并进行账务处理。
(二) 采购验收结算业务风险点、控制点分析
关键词:风险管理;流程管理
一、研究背景及理论综述
企业的日常工作主要是以事务单元为基本要素,将其按照一定规则和原则,串联在一起,形成企业的业务流程。但是随着业务流程在日常工作领域的应用不断加深,问题也接踵而来,在如何将工作效率提高,管理者多把思考重点放在业务流程上,通过业务流程的重组、优化、再造等方式解决了一部分问题。
二、风险管理与业务流程融合的方法
对于风险管理来说,企业建立了业务流程体系后,风险管理与业务流程是否可以有效融合,使其综合二者的优势呢,经过研究分析,答案是肯定的,而从业务流程管理层面入手去加强企业风险管理能力,使得风险管理更有抓手,那么如何开展融合工作,主要按照以下方法。
(一)首先是选择流程,选择重要业务流程,将其作为风险管理融合的目标,将涉及重大事项、重大人事任免、重大项目和大额资金使用等相关业务作为重要业务流程的标准。而对于风险管理,主要由于风险的本质区别,在企业内外部环境的约束下,何时何地的发生概率、影响程度、影响范围都有所不同。因此,风险管理的业务信息要贯穿于企业所有的业务单元,结合企业的管理指标和管理重点等因素,进行综合分析,将风险管理在业务流程中有的放矢。筛选业务流程主要遵照两个选择原则,按照两个维度进行考虑:第一要明确选择依据,筛选业务流程是否与经营考核的指标相关、是否运营风险比较高、是否管理层比较关注;第二要明确选择的范围,筛选核心业务流程、考核指标相关流程、当前运作的主要是端到端的业务流程。
(二)其次是风险分析,对业务流程各节点风险情况进行分析,通过业务流程,提炼出可能出现风险的节点。根据筛选出的重要业务流程,由业务流程主要负责部门组织各业务节点的岗位人员进行座谈,确认岗位职责在业务流程中的应用,共同分析业务流在业务流程中各节点可能存在的风险,具体主要明确七个方面的内容:第一是确认业务流程节点是风险点还是控制点,或既是风险点也是控制点;第二是该业务节点对应的岗位,该岗位的职责是什么;第三是该业务节点的风险内容是什么,属于什么类型的风险;第四是怎么样去描述该节点的风险,从哪个角度去描述;第五是该节点的岗位风险控制职责是什么,有哪些岗位可以配合控制;第六是该业务节点的风险预案有哪些,在发生风险的补救措施;第七是该业务节点的控制措施有哪些,如何预防风险的发生。
(三)最后是风险融入,将风险管理的内容融入到业务流程上,以加强风险的防范、预警和提示作用。经过上述分析得出的重要业务流程和其风险节点的信息,将其完全融合,将风险与控制点在业务流程中加以标记,并关联风险控制文档,明确风险类型,控制措施,措施的来源等信息,对相应的业务流程进行更新。企业员工可以通过业务流程平台或系统等查阅业务流程图和业务流程支持文件,直观地明晰业务流程的风险信息,以及对此风险的预防和控制措施。
三、风险管理与业务流程融合落实的问题分析
将风险管理与业务流程融合,在业务活动发生过程中,可以有效提示操作者风险预警,有助于管理层对业务流程风险的管理和控制,既推动了企业业务流程管理向更广泛的、更深入的方向拓展,也使企业风险管理更易于落地实现。
对于实施全面风险管理的企业,如何能有效进行风险管理,其关键在于落实。很多企业有各式各样的风险管理支持文件,管理层也时常强调其重要程度,然而风险却一再发生。如何将风险管理融合业务流程的思路落实,主要可划分为三个阶段:
(一)基于企业整体控制。在融合实施过程中,企业首先要通过正式文件,宣传贯彻融合思路,通过规章制度s束管理的可执行性,明确风险的第一责任人,从上至下,推行管理实施方案。
(二)基于岗位控制。通过公司管理层有效推行,要将重点工作的风险明确到岗、明确到人,将风险的内容落实到员工劳动合同,让员工进入公司第一天起,就清楚自己要面对哪些风险,如何处理风险。在内部职能调整或人员变动,风险也一同转嫁,确保每项风险工作都有人负责。
(三)基于业务流程控制。管理融合的思路,最终要落实到业务流程上培养员工风险管理意识,将企业内部制度程序化、流程化,建立基于流程的风险管理体系,形成风险管理网。
参考文献:
[1].Crouhy Michel,Galai Dan. Risk Management. Harvard Business Review,2005,75(6):141-156.
[2].John C.Hull.风险管理与金融机构.北京[M]机械工业出版社,2010:111-113.
[3].克拉耶夫斯基(Krajewski.L.J.),里茨曼(Ritzman.L.P.)..流程与价值链.刘晋,向佐春译.北京:[M]人民邮电出版社,2007:132-133.
【关键词】业务流程梳理 风险识别与控制 风险管理数据库 内部控制数据库
一、以业务流程为起点,探讨建立企业内部控制的缘由
建立健全内部控制是企业内外部需要,各类企业都积极探索建立内部控制。不同规模、环境的企业,建立内部控制的方法各有不同,本文拟从企业现有的业务流程为起点,探讨如何建立控制活动类的内部控制。
业务流程是为达到特定的价值目标而由不同的人分别共同完成的一系列活动。业务流程是企业经营活动最普遍的工作流程,任何一个企业在运营,都有各种各样的业务流程,或是成文的标准文件,或是习惯的工作方式。
因此,本文以业务流程为起点,探讨建立企业内部控制,由于是以业务为出发点,因此,本文着重探讨如何建立控制活动类内部控制。
二、以业务流程为起点,建立企业内部控制
我们可以通过业务流程梳理、优化并完善业务流程、编制流程制度文档、建立风险管理及内部控制数据库等阶段来实现对内部控制的建立。具体分述如下:
(一)业务流程梳理
本文流程梳理的概念,强调作为一个阶段性活动,从企业整体业务流程明晰的目的出发,对当前流程进行充分显性化,而在显性化基础上发现问题并进行点优化的工作方式。
一般来说,企业的各种业务流程可以划分为三个层级。一级流程:可根据《配套指引》的控制活动类进行梳理,包括资金活动、采购业务、资产管理、销售业务、研究与开发、工程项目、担保业务、业务外包、财务报告共9个方面。二级流程:在一级流程的基础上,按照每个内部控制所包括的内容再次划分为若干方面,例如资金活动方面可划分为筹资活动、投资活动、资金营运三个方面。三级流程:在二级流程的基础上,进一步划分到具体的业务单元,例如筹资活动方面,可能涉及提出筹资方案、筹资方案论证等方面。
在业务流程梳理过程中,可以与相关职能部门负责人及职员访谈,也可以是查询现有制度文件,也可以是通过抽查相关业务资料进行穿行测试。
(二)优化并完善业务流程
通过对业务流程梳理,我们可以通过将现在业务流程与《配套指引》、优秀企业等进行对标检查,再根据常见内部控制活动的原理,优化现有业务流程,完善控制缺陷。
(三)编制流程文档
根据优化完善的业务流程,绘制标准流程图,编制流程文档。
流程文档是内部控制体系中的基础文档,也是核心文档,流程文档可以包含以下内容:流程名称、流程责任部门与责任岗位、流程目标、流程适用范围、流程相关制度、流程图、流程描述、流程风险点及对应控制点。
1.业务流程风险点识别。流程中的风险点识别方法:以流程目标为出发点,从流程步骤走向进行风险思考,结合控制点识别出风险点。
2.风险分类。按照风险发生后的可能结果,可划分为机会风险(可能有好的结果,也可能有坏的结果)和纯粹风险(只可能造成坏的结果)。按照五大类风险可划分为战略风险、财务风险、市场风险、运营风险、法律风险。
3.风险等级。风险等级的划分依靠两个维度来判定,即风险发生可能性和风险发生影响程度。风险发生可能性分为极低、较低、中等、较高、极高五个等级;风险发生影响程度分为轻微、较低、中等、重大、灾难性五个等级。关于风险发生可能性和风险发生造成影响,要根据企业所在行业及自身经营情况来判定。
我们可通过对流程风险点的以上两个维度进行分析量化评分并取平均值,然后根据下图判定风险等级。
设计对应控制点。流程中的控制点设计方法:假设去掉这个流程步骤,若该流程仍能完整的进行下去,则该步骤为控制点;若该流程到此卡住无法再进行下去,则该步骤不是控制点,仅为一般步骤。例如某个流程中存在几个审核、审批步骤,去掉某一个或某几个审核、审批步骤,该流程都能继续进行下去,但会存在风险隐患,因此,这类审核、审批步骤就是控制点。
列出业务流程中对应该风险点的控制点,并确定该控制点是事前控制、事中控制还是事后控制。
(四)建立流程控制数据库
1.流程层面风险管理数据库。流程层面风险管理数据库是后期建立全面风险管理信息系统的核心数据库之一,与公司层面风险管理数据库共同构成公司的全面风险管理数据库。业务流程层面风险管理数据库以表格的形式呈现,细分到各个流程,是从流程层面评估风险、控制风险并建立内部控制体系的基础,也是公司全面风险管理与内部控制体系的核心之一。
业务流程层面风险管理数据库的举例如表1所示。
2.建立流程层面控制数据库。流程层面控制数据库也是后期建立风险管理信息系统的核心表单之一,它以表格的形式呈现,细分到各个流程,并通过流程编号与流程层面风险管理数据库一一对应,是后期建立全面风险管理信息系统的基础。
业务流程层面控制数据库的举例如表2所示。
三、总结
综上所述,通过业务流程梳理、优化并完善业务流程、编制流程文档、建立风险管理及内部控制数据库等阶段,达到建立健全控制活动类的内部控制,进而达到全面风险管理。
参考文献
[1]财政部.关于印发《企业内部控制基本规范》的通知.财会[2008]7号.
国际金融危机后,世界经济进入调整期,增长速度明显放缓。我国市场下滑的同时使得各类企业的发展步履维艰,而企业也面临着错综复杂的风险与难以应对的挑战。在这样的环境与背景下,企业必须将经营重点置于风险管理工作上,在关注外部风险的同时,更需要对内部的业务流程管理进行严格而科学的管控,如此才能在激烈的市场竞争中获取一席之地,并实现企业的可持续发展。基于企业业务流程管理对于抵抗风险的重要性,以流程管理为视角,对企业风险管理模式的构建进行分析与讨论,在当前的经济形势下,对于企业的生存与发展具有较强的现实意义。
关键词:
流程管理;企业;风险管理模式;构建
企业业务流程管理是以吸纳业务流程重组、流程再造思想与工具为支撑要素,采用综合性的方法强化组织战略,旨在强化业务操作的精细性与规范化的一种管理方式。对其进行合理运用可以降低企业运营成本,提高企业内外部响应速度,最终巩固企业抵抗风险的能力。以业务流程为入手点,将风险管理有效融入流程环节中,实现与企业现有管理框架的耦合,是构建基于流程管理方式下企业风险管理模式的主要途径,同时也是充分发挥风险管理工作有效性的必要手段。
一、流程管理概念综述
流程管理是一种综合性与系统性较强的管理方法。流程可以看作是一种路线图,主要涵盖以完成某项工作为目标,相关数据、信息、资料在不同单位、部门、人员之间传递的网络。流程管理的中心是规范化的流程构造,以该流程构造为核心,将各项工作任务分配到各部门或各岗位,以绩效体系为载体,对考核工作实施与落实,将目标与激励成功传导至企业各层次,使每位员工均明确自身岗位职责,从而推动流程的良性运转。与此同时,将系统性的工作进行流程化处理,可以清楚而详细地将若干作业项目和它们的关联人员及其相互工作关系进行描述,进而实现目标的精细化管控。流程管理包括流程梳理、流程优化、流程固化三个阶段。流程梳理是对企业现行完整业务内容与活动过程的摸底展现,在对企业流程体系进行规划与调整的同时,可以为企业内部实现全面流程管理思想普及和手段落实提供不竭动力;流程优化是在流程梳理的基础之上,具有选择性地运用流程管理理念及信息技术工具对重点业务领域及关键流程进行深层次的分析与优化;流程固化则聚焦于将经过分析优化的新业务流程,借助制度、标准、信息系统等多种形式提高管理工作的规范性与显性化。
二、构建基于流程管理的企业风险管理模式的可行性与现实意义
企业内部的一系列业务流程集成了企业的运营与发展,而所有单体业务流程中的活动或“子流程”是这些业务的支撑要素。基于此,要想推动企业稳定而高效的运营,需要以流程为着手点,提高其运作效率。现阶段,市场竞争愈发激烈,经过不断地迭代演变,风险管理已经成为大型企业内部管理不可或缺的组成部分,特别是在实际业务流程中融入风险管理思想与手段之后,业务流程经历了综合性与系统性的设计与改造,突破了以往各种“信息孤岛”的状态,从而初步构建了以流程管理为基础的企业风险管理模式。
1.企业风险管理与流程管理的目标一致企业要想充分发挥风险管理的功能作用,使之成为企业经济效益提升的支撑,首要任务是强化企业风险点的控制与管理,并提高其有效性。而流程管理在关注业务流程风险点的同时,还需要对流程成本、效益、质量等因素进行综合性考虑。以此看来,企业风险管理与流程管理在管理方法与关注点方面存在一定程度的差异,然而两者具有高度的目标一致性,且均统一于企业的战略目标,服务于企业的可持续发展。
2.流程管理是企业风险管理实现显性化的导向企业要想提高风险管理工作的可操作性与科学性,就必须将风险管理与流程有效地融合起来,构建以业务流程管理为基础支撑的风险管理模式,将错综复杂的风险管理活动进行转变,使其以流程输入、输出为导向,提高其动态化与层次性,同时以业务流程中无数个“工作流”为支撑要素,将关键控制点推送到业务流程中,将风险管理与业务流程有效融合,进而提高风险管理的显性化。
3.业务流程是企业开展风险管理的基础支撑作为一种循环流程,企业风险管理主要包括业务分析、业务流程梳理、风险识别、风险评估、提出风险控制策略、实施风险管控、管控效果反馈与改进等环节,因此其属于一种业务流程为支撑要素,以信息系统为平台,切实实施风险预警、监控与管理改进的闭环管理模式。其工作的开展与进行主要以企业各业务流程为依托,通过对风险点进行辨识,构建风险识别、分析、管控、改进等多环节为一体的风险管理框架,进而以业务流程为基础的风险管控机制,实现企业各业务重要运营活动与运营单元的安全管控。由此可见,企业风险管理与业务流程管理具有极为紧密的联系,企业开展风险管理需要以业务流程为基础支撑。
三、流程管理视角下企业风险管理模式构建的相关措施
要想构建并实施以流程管理为基础要素的企业风险管理模式,并提高其科学性与显性化,就必须将企业业务流程管理框架设计作为风险管理的头绪,采取由上而下或自下而上的互动方式梳理企业目标领域的业务流程,推动并实现每一层业务流程的目标,进而促进企业总战略目标的实现。最终将风险管理流程框架与具体业务风险管理流程有机结合起来,并在该体系中对风险点与关键流程管理环节进行详细描述,如此可以将流程管理有效的融入到企业风险管理工作中,提高风险管理工作的可行性与显性化。
1.确立基于流程管理的企业风险管理的“三道防线”为了构建基于流程管理的企业风险管理模式框架,首要任务是确立企业风险管理的“三道防线”,为实现基于流程管理的企业风险管理显性化创造有效的基础条件。以大型施工企业为例,第一道防线是经营部与采购部,主要涉及工作包括招投标、预决算、材料采购、设备采购等,施工企业需要注意招投标工程项目的前期评估和预测,并强化对招投标报价风险的控制,对合同进行科学化管理,同时需要构建有效的成本管理与分析系统;而关于预决算过程,施工企业需要对工程施工的所有影响因素进行充分的考虑,对其中的风险因素进行分析,提前做好应对措施;在材料与设备采购方面,施工企业需要通过证件检查与取样试验的方式,保证其使用性能与质量,避免材料与设备质量问题造成工程施工出现安全与质量问题。第二道防线是工程部与安监部。主要包括分包管理、质量控制、施工协控、设备安监、安全文明等工作,施工企业需要认清合法分包的界限,及时、规范、严谨地签订合同,并对各环节委托授权进行严格审查;在质量控制过程中,施工企业需要针对风险源与事故多发工序进行严格控制,规范施工工艺与操作行为,及时处理质量问题与安全隐患;而对施工中的机械设备进行定期的安全监督与检查极为必要,可以有效防止机械设备故障造成的工程安全与质量问题;与此同时,强化企业全体员工的安全意识,可以从根本上降低施工风险出现的概率。第三道防线是财务部与办公室。针对施工准备、施工过程、竣工结算等阶段,对施工直接成本与间接成本进行严格的决算与把控,并竭力在合同审查中为施工企业争取更多的经济利益;办公室需要加强行政、人事、信息等方面的管理,规范行政制度,强化企业员工的岗位责任心,防止信息泄露,充分发挥企业风险控制的辅助作用。
2.流程管理视角下企业风险管理体系设计企业需要以全部业务流程的构成情况为逻辑架构,并将其视为风险管理工作的骨架与脉络,在基于流程管理的企业风险管理体系设计过程中,首要任务是打破传统职能部门与组织机构的流程组织方式,对企业业务流程的顶层结构明确定义,并以分层方式对指导框架进行细化,对一层进行完善以后,才允许进行下一层指导框架的处理与构建。在基于流程管理的风险管理体系中,各单位的战略规划、业务流程与职责、业务流程图及目录梳理成果等是构成体系的基本要素与支撑,对企业各部门的主要业务职责和业务特点进行了集中反映;在该体系中,企业需要以企业的战略规划与规章制度作为牵引动力,为该体系的高效运转注入源源不竭的推动力量;与此同时,企业要想构建基于流程管理的风险管理模式,还需要对国际上流程框架的案例进行充分参考与借鉴,例如ERP模型、APQC模型等,借助这些案例,企业可以对价值链为线索的流程组织方式理解得更充分。
3.基于流程管理的企业风险管理模式的精细化分析以体系设计的角度来看,业务流程梳理是构建基于流程管理企业风险管理模式的必要条件。如图1所示,首先对企业各个业务流程的性质与涉及的领域进行分析与参考,从流程的始端对风险进行辨识评估和内控诊断,对业务流程框架进行确定。然后需要对该框架实施风险分析与缺陷认定,建立起风险管理与业务流程的接口,并在这个过程中对重点业务流程进行确定和明确,而后需要对风险信息与业务流程一一对应的关系进行绘制,最终编制出“风险—流程控制矩阵”。企业的部门管理者、业务复杂人或业务骨干均需要参与到业务梳理中来,形成一个负责流程梳理工作的团队,该团队需要任用不同的人才负责相应层次的业务梳理与描述,并扩展业务梳理的覆盖面与范围,保证覆盖到所有业务活动。提高该模式的精细化需要构建详细的流程细化模型,主要包括:规范合理的主流程模型、子流程模型、具体操作流程模型、各项模板及相关指导文件、其中各流程模型包含的责任主体及参与单位。提高基于流程管理的企业风险管理工作的精细化,有助于企业提高风险管理工作的规范性与科学化。
四、A企业构建基于业务流程的风险管理思路及措施
我国大型施工企业A企业开展了全企业范围内的风险管理流程,在确定了业务流程框架以后,按照重点风险排序,企业将物资采购选定为重大风险进行管理控制。企业将“基于业务流程”作为控制采购风险的入手点,围绕业务流程的关键控制点,对制度设计、职权行使与监管等方面的风险进行了排查与控制。第一步,该企业工作组针对物资流程,对其现状与环节进行了摸底,明确了流程设计中的不足与缺陷,与物资采购负责与监管部门协同合作,依照《企业内部控制规范》与企业运营实际情况,对物资采购制度与流程规范进行了完善与优化,提高物资采购的可行性、合理性与科学性;第二步,依照流程节点对物资采购的风险点进行明确,例如:采购方案的制订与选择、与供应商的合作、招投标或比价采购、合同的签订、货物的检查与试验、货款的支付等;第三步,对业务流程关键控制点依据所涉及的岗位进行风险辨识分析,对其中可能存在的物资采购风险进行排查,例如:招投标或比价采购过程中暗箱操作、审批流程存在缺陷、材料取样试验不严格等;第四步,充分结合定性与定量分析的方法,对物资采购风险发生的可能性进行分析,依据岗位工作重要性和控制金额两个因素对物资采购风险的影响程度进行描述与确定;第五步,制订物资采购风险评价标准,依据物资采购风险发生的概率与影响程度,进行分值的划分,依照从高到低的顺序,将风险发生概率与影响程度依照1、2、3、4、5五个等级进行归类;第六步,鼓励所有岗位人员评价物资采购风险重要性,而后编制物资采购风险排序表,进而绘制如图2所示的风险重要性水平图谱。图谱中,黑色区域(A)的风险等级为高危风险,A企业需要及时采取针对性措施予以防范、解决;灰色区域(B)为中等风险,A企业需要对此提高重视程度,并掌握其实时动态;白色区域(C)为低等级风险,通常情况下为企业可以接受的风险。依据物资采购风险重要性水平图谱,A企业可以高效、高质量地完成物资采购工作的风险控制。
五、结论
构建基于流程管理的企业风险管理模式具有较强的综合性与复杂性,该模式逻辑架构层次分明,具有较强的精细化与规范化,对于细化分析业务流程,明确业务流程中的风险环节与操作,凸显关键风险控制点具有较强的可操作意义。同时可以将具体的风险因素的排查与风险控制点的管控落实到相应部门,明确岗位“权、责、利”的科学分配,最终使业务流程成为桥梁,提高风险管理工作的固化与显性化,推动企业的可持续发展。
参考文献
[1]王锋.财务风险在经营活动中的定位[J].中国商贸,2015(,4):35-36.
[2]王怡文,柯柏成.美国企业高阶管理阶层对风险管理观念之剖析[J].中国内部审计,2015(,1):58-60.
[3]杜放,冯家杰.我国企业风险管理的现状、问题及对策探析[J].物流技术,2014(,23):103-105.
[4]程强,顾新.基于COSO风险管理的知识链知识转化风险防范研究[J].图书馆学研究,2015(,5):45-48,34.
流程的概念很多,ISO/IEC9000将之定义为一组将输入转化为输出的相互关联或相互作用的活动。企业由流程构成,Kaplan(2001)将企业定义为是一系列相互关联的活动或流程的集合,或是一个价值链。在IT环境下,流程可理解为“角色加活动”,即将流程描述为一个为实现特殊目的而合作且互相影响的角色的集合。早期人们对企业流程的理解大多局限于传统的业务领域;当IT逐渐与业务融合,并成为企业所有经营活动的驱动引擎时,流程的范围开始拓展,此时的IT流程与业务流程需要实现动态整合,即IT活动被看作是业务,并执行与业务相同的管理方式。因此,IT环境下的企业业务流程应该是广义的,同时包含IT流程和业务流程。美国公众公司会计监督委员会的第5号审计准则就指出,作为理解重大流程的一部份,审计师应理解IT如何影响公司的交易流程。
有些大的会计公司为了强调经营风险的审计方法,修改它们的审计辅助软件,以围绕业务流程组织审计证据,而不是按照传统的交易循环组织证据。关注业务流程的审计软件系统(Business-Process-Focused,BPF)通过价值链组织被审单位的信息;而传统的关注交易循环的审计软件系统(Transaction-Circle-Focused,TCF)是按照交易分类组织被审单位的信息。O''''DonnellE和JrJosephJSchultz(2003)的研究结果表明使用BPF软件的审计人员能识别出更多的风险情形,并将风险估计在恰当的水平;而使用TCF软件的审计人员对风险的识别和估计都较差。因此他们认为不同的信息组织形式会影响审计人员的决策判断。造成这种结果的原因在于业务流程关注事件之间的关联性,它通过情景引导记忆;而传统的交易循环关注的是交易分类,它通过语义引导记忆。因此,关注业务流程可降低任务的复杂性和认知难度。随后其他的研究人员也发现围绕业务流程开展内部控制的评估任务更为有效。
二、IT环境下基于流程的审计风险判断方法
为了协助审计人员运用自上而下的风险导向审计方法,国际审计和鉴证准则委员会于2005年制定了“在整个审计
过程中运用职业判断对重大错报风险进行更准确评估的框架和模型”。具体步骤如下:(1)了解企业及其环境(包括内部控制),识别风险,并在报表层次考虑交易性质、账户余额、披露;(2)将发现的风险与认定层次可能发生的错误与舞弊相联系;(3)考虑风险的重要性;(4)考虑风险的发生概率。这个风险判断思路也同样适用于IT环境。因此借鉴自上而下的审计方法,将流程作为IT风险判断的中间环节,改进了的IT环境下的审计风险判断方法具体实施步骤如下:
1.了解企业及其环境(包括内部控制)。我国2006出台的《中国注册会计师审计准则第1211号——了解被审计单位及其环境并评估重大错报风险》列举了影响重大错报风险的因素:行业状况、监管环境以及其他外部因素,企业性质,目标和性质以及相关的经营风险,财务业绩的衡量和评级,内部控制。在IT环境下,识别和评价企业层面的风险和风险控制的有效性时,需特别考虑:(1)IT利益群体的风险及对IT利益群体控制的有效性,如IT治理;(2)企业层面的IT控制,如与IT相关的控制环境、风险评估、信息与沟通、监控、教育和培训等方面。
2.确定财务报告流程的核心要素。根据企业层面的风险评估结果识别重大账户、重要披露及与之相关联的认定。
3.识别关键业务流程。审计人员首先要识别与上述重大账户、重要披露、认定相关联的关键流程及流程所包括的主要交易,同时识别流程中易发生错误和舞弊的关键点(控制点)。为了判断业务流程能否实时预防或检测错误和舞弊,审计人员要识别出需要被测试的控制点,由于业务流程大多基于IT,因此要确定这些控制点哪些是依赖IT的,然后识别并证实关键的IT功能。
4.确定与IT功能相对应的应用系统的范围。详细列出与这些IT功能相关的应用系统和与之关联的子系统,包括交易应用系统和支持性应用系统。交易应用系统在处理组织内的数据时通常提供以下功能:(1)通过借贷关系记录交易的价值数据;(2)作为财务、经营和法规数据存放的仓库;(3)能够生成各种财务和管理报告,包括销售订单、客户发票、供应商发票以及日记账的处理。支持性应用系统并不参与交易的处理,但方便了业务活动的进行,如Email程序、传真软件、设计软件等。
然后IT审计人员与财务审计人员合作,从列示的子系统中识别出支持授权、复杂计算、维护重要账户(如存货、固定资产、贷款等)的完整性的重要应用系统。应用系统是否重要,需要考虑:交易量(交易量越多,应用系统越关键)、交易金额(金额越大,应用系统越关键)、运算的复杂性(运算越复杂,应用系统越关键)、数据和交易的敏感度(敏感度越大,应用系统越关键)。为应用系统提供IT服务,或者支持应用系统关键环节的IT一般流程即为需要进行IT一般控制测试的范围。
5.识别管理和驱动这些重大应用系统的IT流程。识别所有支持这些应用系统的基础设施,包括数据库、服务器、操作系统、网络,以及与之相关联的IT流程。判断这些IT流程的风险和相关的控制目标。识别出需要被测试的IT一般控制,进而判断其是否符合控制目标。控制测试结果将影响与之相关的IT应用控制的评价、业务流程的风险评价。对这些流程和系统进行风险和控制评估后,就可以制定风险控制矩阵。
6.评价IT控制、分析业务流程风险。结合对IT一般控制的评估结果和对业务流程中IT应用控制的评估结果,就可以分析关键业务流程的IT风险控制情况。此时的IT控制测试和人工控制测试要结合起来予以考虑,即将二者作为一个整体的测试对象。业务流程的风险是与业务流程所关联的一系列交易活动、账户群的余额、列报(包括披露)认定层次重大错报风险相联系的,因此,业务流程风险的评价结果构成了认定层次重大错报风险评估的直接基础。
7.评估电子证据证明力、设计实质性测试程序。审计人员可根据上述步骤的风险评估结果判断某一业务流程的电子审计证据的证明力并设计与业务流程有关的账户群的实质性测试程序。
通过上述7个步骤,审计人员可以将IT环境下的企业风险因素与报表层次和认定层次的重大错报风险相链接,同时也为电子审计证据证明力(即检查风险的判断)提供了依据。
参考文献:
[1]顾晓安,基于业务循环的审计风险评估专家系统研究[J].会计研究,2006(4):23-29.
[2]O''''DonnellE,JrJosephJSchultz.TheInflueceofBusiness-Process-FocusedAuditSupportSoftwareonAnalyticalProceduresJudgements[J].Auditing:AJournalofPractice&Theory.2003,22(2):265-279.
关键词:业务流程 ERP应用 风险审计
一、基于业务流程转变实施ERP应用风险审计的必要性
(一)ERP系统上线后业务流程发生根本性变化
ERP系统实施以前,许多基于计算机的业务系统,基本都是围绕某一业务功能或者是职能部门运行的,比如远光财务系统、远方物流系统等。这些系统都不是基于跨部门的流程来设计的。ERP系统中单一的数据库,使过去跨部门的审批流程得到简化和压缩。压缩所造成的一个结果是,用于企业内部控制的许多审计线索在ERP系统的引入后消失了。同时,企业过去基于文件审批的内部控制机制,也无法适应ERP基于流程的管理需要。
(二)ERP的系统特性对公司的风险管理提出了新的要求
实施ERP系统后,公司所遇到的业务风险一般来自四个方面:业务流程、应用架构、数据质量和技术架构。其中,业务流程的转变对企业内部控制的影响最大,对企业内部管理和财务方面的监控提出了新的要求,这方面的风险特征相比过去发生了根本性的变化。
二、基于业务流程转变实施ERP应用风险审计的主要途径
基于业务流程转变实施ERP应用风险审计是针对由ERP系统实施所带来的新的业务控制风险,对公司内部控制体系做出重新评估和完善。通过充分评估ERP环境中的控制方式,一种是基于系统的控制,另一种是基于流程的控制。将由于“流程自动化”带来的内部控制可能的削弱作为风险敞口进行重点审查。结合流程追溯法、循环测试法、实时审计法、系统辅助法和专家分析法五种ERP风险审计方法,合理运用了风险审计步骤,从风险描述、风险成因、风险影响、风险评价多个维度对ERP应用风险性质、影响结果进行详细的定性分析。
三、基于业务流程转变实施ERP应用风险审计的具体做法
(一)审前准备阶段
1、制定审计目标
ERP系统是建立在对业务流程进行优化重组的基础之上的,针对由ERP系统实施所带来的新的业务控制风险,我们需要对公司内部控制体系做重新评估和完善。在审计目标的确立上应考虑:一是业务流程的转变打破了原有的权力分配模式,触动了一些部门或个人的利益,系统上线后能否按既定的模式运行以及运行效果如何?二是由于上线时间紧迫,实施时设定的业务流程是否是最佳流程?三是即使当时是最佳的业务流程,也会因为上线后运行环境的变化而有进一步优化的必要?
2、选择审计范围
ERP系统覆盖生产、采购、设备、财务、人资等公司运营管理的各个层面。在审计范围的选择上如果对每个流程和控制点都进行风险评估在资源的利用上是非常不经济的。因此,对ERP应用风险审计范围的选择应采取逆向思维的方法,首先从公司整个业务风险域中寻找具有最大风险的业务流程,进而确定有哪些ERP模块在支持这些业务流程。在实施过程中,通过对各模块关键用户的访谈,来确定评估范围。
3、确立审计内容
在ERP环境下,舞弊和错误均由原来的手工操作变成了由系统程序来完成,不留任何纸面痕迹,从而使风险更加隐蔽、层次更高、内涵更深,风险识别、评估和应对的难度更大。首先对ERP系统的薄弱环节进行风险分析,进而确立基于业务流程转变可能引发的风险类型,得出下列结论:一是伪造数据输入的舞弊类风险;二是错误数据输入的数据质量风险;三是应用操作控制变化的系统用户授权风险;四是应用层面的操作风险;五是脱离ERP业务流程的非集成风险;六是运行过程中的流程风险。
(二)审计现场实施阶段
1、流程追溯法
审计时遵循溯本求源的思路,提高对风险的识别和评价能力,根据追溯结果判断审计事项的发展方向,明确相关审计事项,评价风险应对措施的适应性及有效性,并提出进一步改进的意见。这种方法适用于伪造数据输入的舞弊类风险。
以项目模块中ERP环境下的虚构项目为例,在ERP项目模块中,根据项目管理流程,设计了相应的操作流程,这些ERP操作环节除了项建阶段涉及上级公司权限外,均要涉及公司工程管理相关部门,包括项目管理部门、物资部门、财务部门,整个流程因牵涉多个部门,会形成一定的内部牵制机制。但如果出现公司管理层主导的集体伪造ERP数据时,从项目WBS的创建、物资的采购、出入库、项目的服务确认、项目的竣工财务转资等流程一路绿灯,配套的物资采购合同、出入库单据、服务合同、发票、开竣工资料、工程决算资料等纸质资料和签字手续一应俱全。那么在ERP中运行的整个工程项目流程只能是一条经人为虚构的“完美”流程。
2、循环测试法
审计时通过查找各模块中的非集成业务风险,通过对比某一具体业务在单项功能中的运行结果和在系统集成功能下的运行结果,进而从ERP内部控制环境中寻找流程控制的风险点。这种方法适用于脱离ERP业务流程的非集成风险和运行过程中的流程风险。
以物资模块中线外采购为例,在ERP物资模块中,根据物资管理流程,从采购订单-发票校验-材料入库-材料出库有特定的业务流程,而往往对于成本中一次性消耗的大宗物料非集成风险频数较高,这类业务经常是绕过“线上”的ERP业务集成而直接采用“线下”的总账凭证在财务模块实现。这类业务涉及物资金额大、数量多,存在很大的二级库管理风险,如ERP系统外物资管理流程缺失的话,很容易造成物资流失。
3、实时审计法
审计人员可以根据需要实时收集自已感兴趣的资料,并通过系统将这些资料实现共享,从而进行实时审计,以弥补事后审计线索不充分的缺陷,为事前、事中审计创造条件。这种方法适用于错误数据输入的数据质量风险和应用层面的操作风险。
参考文献:
[1]王晓霞.企业风险审计(第二版).中国时代经济出版
[2]皮克特.风险管理过程审计(英).东北财经大学出版
[3]李瑛玫.信息化环境下独立审计风险研究.知识产权出版社