據(jù)統(tǒng)計,全球實施ERP的成功率不過20%。他們中,有的在實施時即告失敗,有的在實施成功后因發(fā)育不良而夭折。盡管如此,還是有不少企業(yè)懷著美麗的夢想,踏上ERP實施的艱辛之旅。經過一番奮力拼搏,那些在實施中最后的幸存者,將仍然面臨較實施前更大的風險。是否有一個運行有效的風險治理機制將決定企業(yè)是否能在最初的ERP投資中真正獲益。
1、對風險治理機制的審計。企業(yè)在ERP環(huán)境下的風險治理審計,必須首先考慮對風險治理機制的審計,即審查企業(yè)及其下屬單位是否建立了風險治理機制,風險的識別、評價和應對機制的適應性和有效性如何,實際運行情況怎樣,是否有利于企業(yè)治理的持續(xù)改善等。
2、對業(yè)務流程的審計。ERP系統(tǒng)是建立在對業(yè)務流程進行優(yōu)化重組的基礎之上的,只有經常對業(yè)務流程進行風險治理和審計,才能使企業(yè)業(yè)務始終運行于相對較優(yōu)的流程環(huán)境之中。對業(yè)務流程的風險治理審計大體包括以下幾個方面:應該在系統(tǒng)中運行的業(yè)務是否全部通過系統(tǒng)運行;信息是否及時錄進系統(tǒng);錄進的信息是否真實、正確;系統(tǒng)運行是否正確,有無系統(tǒng)錯誤;流程是否通暢,有無缺陷或舞弊的可能,能否進行進一步的優(yōu)化;識別、評價和應對流程風險的效果如何等。
3、對關鍵控制點的審計。ERP系統(tǒng)是由采購、倉儲、生產、銷售、財務、設備治理、人力資源等多個模塊高度集成起來的,每一模塊都有相應的關鍵控制點,對企業(yè)的生產經營起著至關重要的作用。企業(yè)應該加強對關鍵控制點的風險治理審計,關注以下題目:是否對關鍵控制點進行了識別,識別是否全面;是否建立了關鍵控制點的風險評價體系;是否建立了關鍵控制點的預警機制和應對機制;關鍵控制點的識別、評價、預警和應對機制的適應性和有效性如何;控制方法和手段是否可進一步優(yōu)化;有無控制不嚴或失控的現(xiàn)象和可能等。
4、對系統(tǒng)監(jiān)控的審計。ERP系統(tǒng)應用于企業(yè)的優(yōu)點之一就是對業(yè)務和績效能夠進行動態(tài)監(jiān)控。系統(tǒng)監(jiān)控功能運用得好,可以極大地降低企業(yè)風險;可一旦運用不好,流程上的控制點就會失往控制,風險也就會隨之加大。因此,我們有必要對系統(tǒng)監(jiān)控的風險治理進行審計,審查和評價企業(yè)及其下屬單位是否利用ERP系統(tǒng)進行了業(yè)務和績效的動態(tài)監(jiān)控、監(jiān)控點及其風險如何識別和評價、監(jiān)控的權威性及其效果如何、發(fā)現(xiàn)題目的處理方式以及應對風險的效果如何、有無監(jiān)控盲區(qū)或監(jiān)控不力的區(qū)域、監(jiān)控結果的利用情況如何等。