三、基于业务流程转变实施ERP应用风险审计的具体做法

　　(一)审前准备阶段

　　1、制定审计目标

　　ERP系统是建立在对业务流程进行优化重组的基础之上的，针对由ERP系统实施所带来的新的业务控制风险，我们需要对公司内部控制体系做重新评估和完善。在审计目标的确立上应考虑：一是业务流程的转变打破了原有的权力分配模式，触动了一些部门或个人的利益，系统上线后能否按既定的模式运行以及运行效果如何？二是由于上线时间紧迫，实施时设定的业务流程是否是最佳流程？三是即使当时是最佳的业务流程，也会因为上线后运行环境的变化而有进一步优化的必要？

　　2、选择审计范围

　　ERP系统覆盖生产、采购、设备、财务、人资等公司运营管理的各个层面。在审计范围的选择上如果对每个流程和控制点都进行风险评估在资源的利用上是非常不经济的。因此，对ERP应用风险审计范围的选择应采取逆向思维的方法，首先从公司整个业务风险域中寻找具有最大风险的业务流程，进而确定有哪些ERP模块在支持这些业务流程。在实施过程中，通过对各模块关键用户的访谈，来确定评估范围。

　　3、确立审计内容

　　在ERP环境下，舞弊和错误均由原来的手工操作变成了由系统程序来完成，不留任何纸面痕迹，从而使风险更加隐蔽、层次更高、内涵更深，风险识别、评估和应对的难度更大。首先对ERP系统的薄弱环节进行风险分析，进而确立基于业务流程转变可能引发的风险类型，得出下列结论：一是伪造数据输入的舞弊类风险；二是错误数据输入的数据质量风险；三是应用操作控制变化的系统用户授权风险；四是应用层面的操作风险；五是脱离ERP业务流程的非集成风险；六是运行过程中的流程风险。