随着生产工具不断改进和新技术的应用，制造业的生产效率空前提高。在市场竞争中获胜的关键不再依赖于大规模快速生产和更高的产品质量，而是快速满足客户多样化需求的能力和更低的产品成本，使企业间的竞争着力点发生重大转变，供应链得以诞生并开始发挥其独有的作用。目前，供应链系统已陆续开始在我集团公司下属事业部上线，企业的风险管理理念及方法也随之发生了重大的变化，与之对应的风险管理审计也面临着新的挑战。

 

    一、 供应链系统上线后企业风险管理审计的必要性

    （一）供应链系统的风险性决定了企业必须实行风险管理

    供应链系统风险从不同角度可以分为两类：外部风险和内部风险。外部风险主要指环境风险，包括自然环境风险(如自然灾害)、社会环境风险(如恐怖事件、危机事件)和经济环境风险(如经济萧条、经济大滑坡等)。内部风险则主要包括四个方面：供应商风险、生产过程中的风险、分发和交付过程中的风险、信息相关风险。供应商风险包括供应商生产能力、供应商质量保证体系、供应商社会责任和供应商售后服务等；生产过程中的风险包括设计失败、样品不合要求、生产运转失败、质量不稳定、产品质量不达标和过多过少的库存等；分发和交付过程中的风险则主要包括运输耗损、发货期错过或延误、包装损耗、客户的退货或产品召回等；信息相关风险主要包括信息在录入、传递、使用等过程中的及时性、准确性、完整性等方面的风险。

    （二）供应链系统的特性为企业的风险管理提出了新的要求

    供应链系统与企业其他信息系统有着本质的不同， 供应链系统通过流程重组，实现了企业的管理变革；通过系统集成，实现了信息的实时共享；通过流程控制，实现了绩效的动态监控；通过系统优化，实现了管理的持续改善。另一方面，企业的生产经营业务通过统一的供应链系统进行处理后，以往肉眼可见的线索经过不同系统模块的流转，在系统中集成大量的计算机语言信息，传统的显性识别技术已无法应对；企业及员工的工作习惯、思维方式可能仍停留在单机作业或手工作业阶段，而信息载体、控制手段和管理模式等都发生了根本变化。所有这一切，都为企业的风险管理提出了新的更高要求。

    （三）供应链系统中的企业风险管理更加离不开内部审计

    对风险管理的审查和评价是企业内部审计的基本内容之一。供应链系统运行后企业的风险管理审计将显得更为重要。一方面，在供应链系统中，舞弊和失误均由原来的手工操作变成了由机器和系统程序来完成，从而使风险更加隐蔽、层次更高、内涵更深，风险识别、评估和应对的难度更大；另一方面，企业运行供应链系统以后，供应链系统已成为企业的生命线，风险可能造成的损失将更加巨大。企业为了防范和降低风险，必须加大风险管理的审计力度。

 

    二、 供应链系统中企业风险管理审计的内容与方法

    （一）供应链系统中企业风险管理审计的主要内容

    企业风险管理审计就是要对企业风险管理过程及其内容的适当性和有效性进行审查和评价，并提出改进建议。在供应链系统中，要重点考虑对以下几方面进行审计。

    1、对风险管理机制的审计。无论从系统实施，还是从系统运行来说，供应链都是一个风险巨大的系统，必须建立严密的风险管理机制。对供应链系统中企业风险管理的审计，首先必须对风险管理机制进行审计，审查企业及其下属单位是否建立了风险管理机制，风险的识别、评价和应对机制的适应性和有效性如何，实际运行情况怎样，是否有利于企业管理的持续改善等。在审计中，我们还应当专门对业务流程、关键控制点、系统监控等方面的风险管理机制进行重点审计。

    2、对业务流程的审计。供应链系统是建立在对业务流程进行优化重组的基础之上的，它打破了原有的权力分配模式，触动了一些部门或个人的利益，系统上线后能否按既定的模式运行以及运行效果如何，关系到系统运行的成败。另外，由于上线时间紧迫，实施时设定的业务流程不一定最佳；即使当时是最佳的业务流程，也会因为上线后运行环境的变化而有进一步优化的必要。只有经常对业务流程进行风险管理和审计，才能使企业业务始终运行于相对较优的流程环境之中。对业务流程的风险管理审计大体包括以下几个方面：应该在系统中运行的业务是否全部通过系统运行；信息是否及时录入系统；录入的信息是否真实、准确；系统运行是否正确，有无系统错误；流程是否顺畅，有无缺陷或舞弊的可能，能否进行进一步的优化；识别、评价和应对流程风险的效果如何等。

    3、对关键控制点的审计。供应链系统是由供应商、制造商、储运中心、批发和零售商、客户等多个系统组成的价值链条，链条中的每一环节都有相应的关键控制点，对企业的生产经营起着至关重要的作用。如供应商生产能力、供应商质量保证体系、供应商社会责任和供应商售后服务等是否阻碍整个供应链系统的良性运转；又如生产过程中的设计失败、样品不合要求、生产运转失败、质量不稳定、产品质量不达标和过多过少的库存等；而分发和交付过程中的运输耗损、发货期错过或延误、包装损耗、客户的退货或产品召回等等均是风险点，也是我们要寻找的关键控制点。因此，对关键控制点的风险管理审计应作为审计的重点。审计时要主要关注以下问题：是否对关键控制点进行了识别，识别是否全面；是否建立了关键控制点的风险评价体系；是否建立了关键控制点的预警机制和应对机制；关键控制点的识别、评价、预警和应对机制的适应性和有效性如何；控制方法和手段是否可进一步优化；有无控制不严或失控的现象和可能等。

    4、对系统监控的审计。供应链系统应用于企业的优点之一就是对业务和绩效能够进行动态监控。再好的系统，终究要人去使用，才能体现其优越。供应链系统的监控功能，本身就是一种控制，运用得好，可以极大地降低风险；可一旦运用不好，流程上的控制点就会失去控制，风险也就会随之加大。就拿上面提到的关键控制点来说，如果随时进行了动态监控，其风险将大大降低，即使偶然出现异常，也会因及时的动态监控而发现问题并采取相应的应对措施以减少损失。因此，我们有必要对系统监控的风险管理进行审计，审查和评价企业及其下属单位是否利用供应链系统进行了业务和绩效的动态监控、监控点及其风险如何识别和评价、监控的权威性及其效果如何、发现问题的处理方式以及应对风险的效果如何、有无监控盲区或监控不力的区域、监控结果的利用情况如何等。

    5、对计算机系统的审计。从系统本身来说，无论是硬件还是软件，都有产生故障的可能，软件功能的完备与否也是系统运行的风险之一，供应链系统与其他系统的连接则是影响系统运行的关键因素。要保证供应链系统的正常运行，降低经营风险，对供应链系统以及与其相联接的其他信息系统的风险管理与审计也是必不可少的，这包括对系统的开发与设计、软件的程序、系统的控制、功能的划分、硬件的架构、灾难恢复计划、备份模式及效果。

    6、对系统人员的审计。任何系统都是通过人来操作和维护的。要保证系统运行的正常，首先必须保证有与系统相适应的系统维护和操作人员，同时还要保证这些人员具有完成本岗位工作的责任心。否则，系统的运行将存在巨大风险。尤其是关键控制点和系统监控岗位上的人员以及关键的系统维护人员，他们掌握着整个系统的命脉。由此可见，对相关系统人员的风险管理与审计也就显得相当重要。首先，我们要审查和评价系统人员是否经过培训并取得相应资格，是否有识别和应对本岗位风险的能力，在本岗位控制和风险管理的实际效果如何等；其次，我们要审查和评价企业及其下属单位是否建立了相应的人才风险管理机制，识别、评价以及应对人才风险的措施和效果如何；同时，我们还要在对领导干部的经济责任审计中增加对系统控制和风险管理等方面的审计内容，对关键控制点和系统监控岗位上的人员以及关键的系统维护人员可以试行系统责任审计，以促进领导干部及相应系统人员增强供应链系统的风险意识和责任。

    （二）供应链系统中企业风险管理审计的主要方法

    风险管理审计是管理审计的主要内容之一，其具体方法很多，包括因素分析法、比较分析法、趋势分析法、定性定量分析法等。它们同样适用于供应链系统中企业的风险管理审计。下述是几种可以采用的审计方法：

    1、流程追溯法。供应链系统一般都具有流程追溯功能。即任何信息都可通过流程追溯功能，逆向追溯到信息源头，正向追溯到最终结果。审计时，我们可以充分利用该功能，通过正向或逆向的追溯方式，提高对风险的识别和评价能力；还可根据追溯结果判断审计事项的发展方向，明确相关审计事项，评价风险应对措施的适应性与有效性，并提出进一步改进的意见。

    2、循环测试法。任何业务的开展都有其相应的内、外部条件和特例，因而在供应链系统中的运行可能会产生不同的结果。另一方面，某一具体业务在单项功能中的运行结果，与在系统集成功能下运行的结果比较，可能会有不同的结论。在审计过程中，我们会经常采用测试的方法来得出审计结论。为了保证审计结论的准确、全面，不能简单地以单项功能运行的结果和某一次结果或特例得出审计结论，而应借鉴供应链系统实施时的方法，分别进行多轮单元测试和集成测试。

    3、实时审计法。供应链系统内的信息是实时共享的，原始数据只需一次输入，各模块便可根据需要实时调用，直至编制出最终报表。因此，审计人员可以根据需要实时收集自己感兴趣的资料，并通过系统将这些资料实现共享，从而进行实时审计，以弥补事后审计线索不充分的缺陷，为事前审计、事中审计创造了条件。

    4、系统辅助法。供应链系统应用后，企业生产经营信息高度集成，为全面推行计算机系统辅助审计提供了可能。审计人员借助于审计软件或供应链系统中的审计模块，通过输入必要的条件进行样本抽取，对异常项目进行调查测试，可以确定审计重点，并在一定范围内进行逐笔审计。同时，由于计算机快速、准确、信息量大的特点，使得审计范围和内容更加广泛、全面，审计证据更加充分、可靠，从而可以提高审计工作质量，减少审计风险。

    5、专家分析法。供应链系统是一个技术和管理含量很高的管理信息系统。审计人员由于专业以及时间和精力等方面的局限，不可能对供应链系统的所有管理问题和技术问题都很熟悉，在审计过程中，必须充分征求供应链系统实施和运行维护专家的意见，采用专家分析法来帮助我们得出正确的审计结论。

 

    三、 供应链系统中企业风险管理审计的客观条件

    （一）树立风险管理审计意识

    目前，由于风险管理审计的概念尚未普遍接受，内部审计人员素质有待进一步提高，因而对风险管理进行审计的意识不是很强。供应链系统上线后，使得大部分员工特别是内部审计人员有可能过分相信供应链系统的作用，认为供应链系统实现了内部控制，企业的风险大大减少，有的甚至认为供应链系统可以解决一切，却忘记了系统也是由人来操作的这一关键问题。因此，我们有必要加大这方面的宣传力度，让企业各级领导和全体审计人员清楚意识到供应链系统环境下企业的风险所在以及企业风险管理审计的重要性。

    （二）夯实风险管理审计的业务基础

    目前，企业开展的风险管理审计项目较少，对风险管理审计不是很熟悉。在此基础上，要应对供应链系统中的风险管理审计，无疑非常困难。为此，我们必须迅速改变传统的审计方法和思路，拓展和延伸审计的广度和深度，加强对企业内部控制尤其是风险管理的审计，努力夯实风险管理审计的业务基础，为供应链系统环境下企业的风险管理审计创造良好的条件。

    （三）提高审计队伍的整体素质

    要切实搞好供应链系统中的风险管理审计，必须提高审计队伍的整体素质，建立一支既懂供应链系统知识、又懂审计业务，能在供应链系统中独立开展审计业务的高素质的审计队伍。由此，我们一方面要配备一定数量的熟悉供应链系统的人员，并对这些人员进行内部审计业务的培训；另一方面要加大对审计人员供应链系统知识和计算机知识的培训力度。

    （四）实现计算机辅助审计

    在供应链系统环境下，由于数据信息量巨大且又实时共享，系统运行复杂而又速度惊人，要收集和掌握及时、准确的审计证据，运用科学的审计方法，单靠原来的手工方式已经不可能了，必须通过计算机的辅助才能实现。一方面，要充分利用供应链系统本身的功能优势来提高审计质量和效率；另一方面，要通过实施供应链系统审计模块来最大限度地发挥审计的服务、监督和评价作用。

（来源：内蒙古自治区审计厅网站）