[关键词]内部审计;供应链;方法
所谓供应链。就是围绕核心企业,通过对信息流、物流、资金流的控制,从采购原材料开始,制成中间产品以及最终产品,最后由销售网络把产品送到消费者手中,将供应商、制造商、分销商、零售商直到最终用户连成一个整体的功能网链结构。供应链管理现已受到我国企业界和理论界的高度重视。供应链审计是供应链管理的重要组成部分,但目前对实务界来说,供应链审计是一个新的领域,探讨供应链内部审计,可以推动审计理论和方法尤其是内部审计的突破和发展。
一、供应链内部审计的必要性
供应链审计对加强采购与供应管理,降低采购成本,提升企业核心竞争力具有十分重要的意义。对供应链进行内部审计的必要性主要体现为以下几点:
(一)供应链内部审计是绩效审计的延伸
绩效审计就是专门的审计机构和人员采用现代技术方法,客观、系统地对政府部门及企事业单位的项目、活动和功能就其实现经济性、效率性和效果性的程度进行独立的评价,提出改进意见,改善公共责任,为有关方面决策提供信息的一种审计活动。从这一表述可以看出,经济性、效率性和效果性是绩效审计的三个要素。供应链内部审计就是依照供应链管理的基本原则和标准。检查与企业供应链相关的经济活动和其他管理活动的合理性,发现现有供应链存在的非增值作业活动、为消除非增值作业活动提出相关的建议。寻找提高供应链现有作业活动效率的途径,提出正确的计划和措施,提高企业供应链的整体效率和效益等,供应链内部审计目标就是检查评价被审计单位上述经济性、效率性、效果性的实现程度,发现问题,提出改进建议。随着企业间产品竞争的加剧,企业间业务往来的增多和依赖程度的增强将内部审计的范围向供应链延伸是内部审计发展的趋势。
(二)通过对外部单位延伸审计,对企业内部管理提出建议
通过对经销商延伸审计的实施,可以及时发现经销商执行商务政策中的问题,促使经销商严格执行商务政策,从而对维护厂家与消费者的利益起到积极作用。对供应商和客户进行延伸审计的目的除确保合同权利外,更重要的是通过审计发现企业内部管理中存在的缺失漏洞,找出本企业制定的商务政策需完善的地方并提出改进建议,完善企业的内部控制及管理制度,更好地为企业价值增值服务。内部审计人员可以通过咨询、建议、书面报告或者其他形式向合适的管理人员或运营人员传递这些非常重要的信息。
(三)供应链内部审计具有为企业增加价值并提高企业运作效率的作用
内部审计是一种独立、客观的保证工作与咨询活动,它的目的是为机构增加价值并提高机构的运作效率。内部审计可以充分利用各部门人员的知识、技能和专业胜任能力对有关信息进行评估,这样比对孤立的信息进行评估能提供更可靠、更相关的信息,也会增进与各部门之间的联系与合作,从而产生更加有效的组织治理,部门和部门之间的顺畅沟通可以避免低效率和重复。供应链管理是利用网络技术和信息技术。重新组织和安排业务流程,追求物流、信息流和资金流等方面的集成化。通过供应链的内部审计可以保证物流、信息流以及资金流的畅通。因此,可以通过供应链审计来达到挖掘企业内部潜力,提高经济效益的目的。
二、供应链内部审计的内容
供应链管理通过优化从设计和采购一直到定价和装运的供需链,来促进经营成本的降低、顾客服务的改进、盈利能力的提高和增长的加快。具体而言,供应链管理追求效率和整个系统的费用有效性,使系统总成本最低,这个成本包括运输及配送成本和原材料、在制品及产成品的存货成本。基于这样的目的,信息流、物流、资金流贯穿于整条供应链。因此,内部审计从信息流、物流、资金流着手进行审计。
(一)供应链信息流的内部审计
供应链管理需要建立一个供应链网络系统,共享各个结点的信息。进而分析、计划和平衡整条供应链的活动。使供应链在逻辑上成为一个个体,以最高的效率和最低的成本,为顾客提供令他们满意的产品和服务。信息的共享对于供应链的有效管理至关重要。内部审计要检查供应链的信息流能不能很好地共享,如果信息共享程度较低,会出现“牛鞭效应”,即下游需求发生变动时,将会导致上游需求的更大变动,于是随着往供应链上游前进,需求变动的程度也增大,因此供应链上各个结点都为此付出增加不必要库存的代价。而如果信息充分共享时,供应链上各个结点都能获得最终顾客的需求信息,使得这种需求变动放大的情况不再殃及供应链的优化管理。而且通过充分共享信息和供应商在设计过程紧密联系,可以提高产品质量并缩短产品上市时间。检查供应链管理信息系统,该系统收集每一个产品从生产到交付的信息。向所有参与方提供全部的可见信息,包括最终顾客的需求信息和各个结点的成本信息和能力信息;检查各个结点是否以单点联系的方式访问系统内的任何数据;单点联系的方式可以集成整个供应链的信息,进行供应链的分析、计划和平衡。内部审计需要测试信息流是否畅通、是否及时、是否会滞留或信息流是否完整。除此之外,在内审时应检查供应链信息是否有唯一的存储,相关的数据唯一存储,能保证信息的一致。对于供应链,如果信息流的问题得不到很好的解决,就会很大程度上损害供应链管理的目标。
(二)供应链资金流的内部审计
资金运动具有最大的综合性,它可以把企业生产经营过程全面系统地反映出来。在内部审计应该考虑所选择的战略合作伙伴可能会给企业带来的财务风险,及其资金方面能否满足供应链的要求。内部审计要关注资金流是否通畅,供应链中的资金流动主要是针对供应链中货款的结算。货款拖欠意味着收款企业的应得利益不能实现,各个企业拖欠必然会引起供应链信任危机。针对资金的使用效果,内部审计应检查供应链中资金的使用,主要检查资金使用的合法性和使用效果。针对资金的安全性。内部审计应该查阅并监控战略合作伙伴的筹资、投资以及利润分配活动,应考虑相关的投资决策是否会引起财务风险,是否会影响供应链的整体运作。
(三)供应链物流的内部审计
供应链将多个企业连接成一个有共同利益的结合体。物流是其中很重要的方面。内部审计要检查物流的时间,检查供应链中各环节是否能实现即时销售、即时生产和即时供应。检查供应链的库存。检查供应链整体的合作和协调,了解供应链各个环节的库存数量,检查物流提供是否能减少各个环节上的库存数量,检查物流的效率,物流所带来的成本是否合理,物流程序是否能根据需要作出适时放映。检查物流能否与信息流、资金流相匹配等等。
三、供应链内部审计的程序和方法
内部审计要适应新环境的特点和要求,开发新的审计程序。供应链的发展必然导致审计的重点由原来审计线索的审核与查找。逐步实现实时审计,供应链的审计将集中在相关数据库的审计,内部审计人员主要精力将集中于采集、保存和确保数据库的程序上。对供应链上的虚拟主体的审查,由于企业与供应商、经销商是建立在合同上的关系,并非企业内部的一个部门,因此内部审计的延伸可能会受到关系方的抵制,台法性受到质疑。因此与审计内部业务相比会受到更大的阻力,这就需要采取更为灵活的手段来确保审计实施。
传统的内部审计主要是财务审计,其范围主要涉及企业内部的销售与收款、采购与付款、生产管理、筹资与投资、人事与薪资等六大循环。但供应链审计属于延伸审计,它与外部市场联系更加紧密,大量审计资料无法直接从账面上反映,而且作为关系方,其内部财务资料一般也不愿意毫无保留地提供给审计人员。因此延伸审计的方法更为广泛,包括对消费者进行电话访谈、网络调查,与经销商等进行面谈,委托专门的监测机构对广告投放、电台播出等进行监测等。
供应链管理信息系统将给内部审计程序和方法带来巨大挑战。笔者认为主要有两点:其一,查询数据困难。原来内部审计人员主要关注内部财务收支审计,如何从供应链信息管理系统中如ERP或SAP等系统中查询和信息流、现金流、物流等相关的数据信息,将是内部审计面临的首要问题;其二,供应链管理信息系统涉及很多的权限,内部审计人员对供应链管理信息系统的相关权限无法知晓。难以判断系统漏洞和权限漏洞。
关键词:内部审计;增值功能;开发利用
中图分类号:F830,33
文献标识码:A
文章编号:1006-3544(2007)06-0025-01
一、应肯定商业银行内部审计的增值功能
商业银行内部审计是否有增值功能,即能否对提高银行的经济效益发挥作用,对此在国外的认识是比较明确的。如,国际内部审计师协会(IIA)颁布的《内部市计实务标准》指出:“内部审计是一种独立、客观的保证工作和咨询活动,它的目的是为机构增加价值并提高机构的运作效率”,明确提出了内部审计的增值功能。另如,2004年10月,美国反对虚假财务报告委员会的发起组织委员会在其《企业风险管理框架》中提到,内部审计可以通过审查内部控制系统和风险管理过程以及为建立和完善内部控制系统和风险分散战略提供建议,从而为组织增值。但在我国,对内部审计的增值功能一直没有给予足够的重视,甚至有人否定其增值功能的存在。如安达信、安永、毕马威等咨询机构认为,内部审计是商业银行的一个成本中心,不能为其增加价值。尽管银行内部审计活动并不直接参与银行的经营活动和管理活动,具有相对独立性,但是它对银行经营管理的监督、保证和咨询功能,对提高银行的经济效益是不可缺少和十分重要的。因此,必须充分认识和肯定商业银行内部审计的增值功能,并积极利发利用,以推动我国商业银行内部审计的发展。
二、商业银行内部审计增值功能的开发利用
(一)在商业银行公司治理中提供增值服务
1、评价治理环境。好的治理环境为商业银行的公司治理提供了文化、结构和政策基础,直接关系到治理的效率。内部审计通过评价总体治理结构和政策、评价治理道德、评价市计委员会的活动、评价风险管理结构与政策、评价内部审计的组织与结构等措施,以达到优化公司治理环境的目的。
2、评价治理过程。治理过程是支持治理环境的具体活动,内部审计参与公司治理的具体措施是:评价舞弊控制和沟通过程、评价薪酬政策及其相关过程、评价财务治理过程、评价与战略规划和决策相关的治理活动、评价治理业绩的计量。
3、评价治理程序。治理程序是关系到治理过程效率的至关重要的步骤和实践,它是利用评价内外部治理报告程序、评价提升和追踪治理问题的程序、评价治理的改变和学习程序、评价支持治理的软件和技术等手段来达到优化治理程序的目的。
(二)在商业银行风险管理中提供增值服务
国外最新研究认为,内部审计在风险管理中的作用是商业银行内部审计增值功能的新内容。在商业银行的风险管理中,内部审计可通过提供鉴证和咨询服务来增加组织的价值,主要体现在两个方面:一方面,内部审计师可通过评价风险管理过程、评价关键风险的报告、检查关键风险的管理等措施,就公司风险管理活动的效率向董事会提供客观的建议,促使关键的经营风险得到恰当的管理,确保企业的内部控制系统得以有效运行;另一方面,内部审计师可以通过为风险的鉴别和评价提供便利、指导制定应对的风险管理措施、协调企业风险管理活动、强化对风险的报告、维持和开发适合银行的企业风险管理框架、协调制定有待董事会批准的风险管理战略措施等,更好地为风险管理提供咨询服务。
比如,在美国花旗银行、美洲银行、纽约银行和国际城市银行,其内部审计对风险管理的审查主要集中在战略风险、网络风险、政治风险、信用风险、市场风险、操作风险、道德风险、法律风险等方面。近年来,美国通用汽车公司也以“参与风险管理,提供独立评价和建议”为内部审计重新定位,并写进了公司内部审计章程。
我国商业银行内部审计部门可以借鉴国外经验,将其参与风险管理明确写人内部审计章程,以有利于在风险管理过程中提供独立的评价和建议,有效发挥内部审计对于风险的控制作用,提高风险管理的效率和效果。但是,为确保内部审计的独立性和客观性不受损害,内部审计师要注意不能设置风险偏好和对风险管理过程施加影响,不能代为决定风险应对措施,也不能按管理者的意图执行风险应对措施和承担风险管理的责任。
(三)在商业银行遵循管理方面提供增值服务
所谓遵循管理,指的是在各部门及雇员遵守法律法规、银行发展战略以及内部规章制度方面的管理。合规性、遵循性审计是内部审计的传统职能,在这里无需赘述,需要强调的是内部审计在保证商业银行按所设定的目标经营,确保遵守银行内部的政策和程序,忠实于对利益相关者的承诺等方面具有效率评价和持续监测作用。
我们必须认识到,内部审计在公司治理、风险管理和遵循管理中提供的增值服务,具有内在的统一性。风险管理的实施要以遵从和遵守为基础,良好的遵从、遵守可帮助风险管理的实施;公司治理围绕着风险管理和遵从、遵守而展开。把这三者进行有效的整合将为商业银行内部审计充分发挥增值功能、实现增值目标提供更大的空间。而内部审计通过深入参与商业银行的公司治理、风险管理和遵循管理,可以达到促进完善商业银行的内部控制和风险管理,持续支持和保障组织整体价值提高的目标,也在这个过程中完成了内部审计自身价值的提升。
三、我国商业银行内部审计实现增值服务的基础工作
对于我国商业银行,关于内部审计增值功能的认识和开发仍然不够,因而也未能充分发挥出商业银行内部审计的巨大潜在价值,需要重新定位内部审计与公司治理、风险管理和遵循管理三者的关系,切实保证内审工作成为银行整体价值提升的持续支持和保障。在现阶段,可从以下三个方面来努力:
1、树立学习型内部审计工作观念。为了与本行发展战略保持一致,真正使内审工作参与到公司治理、风险管理与遵循管理环节中来,树立全新的以增加组织整体价值为目标的审计价值取向,内部审计人员需要不断学习,树立学习型内部审计工作观念。这种学习不仅是单纯的业务技能的学习,而且包括审计理念、思维方式的锻炼与学习。商业银行的风险由于其自身内外部环境的特殊性而充满了不确定性因素,所谓风险管理就是人们对不确定性因素的认识和掌控,是对风险管理人员思维模式的测试和挑战。内部审计人员想要成为风险管理和内部控制方面的专家,就需要具有创造性的思维模式,需要不断学习来弥补自身的不足,而且这种学习应是随着银行管理活动的发展而不断发展的。目前国内专家学者对于商业银行内部审计增值功能的研究还极不成熟,尤其缺乏实证研究,迫切需要商业银行内市从业人员运用实证研究的方法,对内部审计增值功能的研究做到理论联系实际,使理论研究对我国商业银行内部审计的建设起到指导作用,将相关研究向纵深方向拓展。建立学习型的内审机构,树立学习型的内审工作观念,对于推动理论研究、指导现实工作具有不可忽视的重要意义。
一、引言
审计作为一种独立性的经济监督活动,是国家经济运行的免疫系统。随着信息技术的发展,组织的运行越来越依赖于信息技术。信息化环境下信息技术不但成为审计的对象,同时也成为审计的工具。为了适应我国审计信息化建设的需要,审计署已经成功开展了“金审工程”一期和二期的建设工作。同时,为了更好地实现审计工作“从单一的事后审计变为事后审计与事中审计相结合,从单一的静态审计变为静态审计与动态审计相结合,从单一的现场审计变为现场审计与远程审计相结合”这三个转变,国家审计署还成功开展了相关课题研究,探索了适合我国国情的联网审计实施方案。云计算技术的出现为今后开展联网审计提供了机遇,因此,研究云计算环境下的联网审计具有重要意义。本文结合云计算技术的研究与应用现状,研究云计算环境下的联网审计实现方法。
二、研究云计算环境下联网审计的必要性
(一)联网审计的特点
联网审计是指审计机关与被审计单位进行网络互连后,在对被审计单位财政财务管理相关信息系统进行测评和高效率的数据采集与分析的基础上,对被审计单位财政财务收支的真实、合法、效益进行实时、远程检查监督的行为,是一种“全新的审计理念与审计模式”(王刚,2005)。联网审计的原理如图1所示(国家863计划审计署课题组,2006;王智玉,2010)。从图1可以看出,联网审计在技术实现上主要分成四个部分:
1.数据采集:主要是完成对被审计单位电子数据的采集。目前,联网审计数据采集的实现是通过在被审计单位数据库服务器端放置一台称之为“数据采集前置机”的服务器,通过安装在“数据采集前置机”中的审计数据采集软件完成联网审计的数据采集工作。
2.数据传输:把采集来的电子数据通过网络传输到审计单位,以供审计分析使用。
3.数据存储:对于采集到的电子数据采取一定的方式进行存储。
4.数据分析处理:主要是对采集来的电子数据进行分析处理,发现审计线索。
基于以上分析,我国正在研究与实施的联网审计也可以看成是面向数据的联网审计,其原理可以看成是一个基于对采集来的审计数据进行分析,获取审计证据的过程。概括来说,我国的联网审计主要有以下特点:
1.联网审计环境下,审计数据被采集过来集中存储,数据量大,需要可扩展的数据存储设施。
2.某一行业的数据集中,为数据的比较分析提供了基础,数据信息全面,隐藏的或未知的信息较多,采集来的大量数据为审计数据分析提供了基础。为了能做到事中审计,或者是实时审计,需要强大、高效的数据处理设施。
3.在联网审计的各个环节,影响数据真实性和完整性的因素很多,为了能得到正确、可靠的审计证据,必须保证被采集来的数据是真实的和完整的,以减少审计风险。
(二)云计算的原理及特点
云计算是基于互联网的相关服务的增加、使用和交付模式,通常涉及通过互联网来提供动态、易扩展、且经常是虚拟化的资源。云计算包括的三个层次的服务模式如下:软件服务(SoftwareasaService,SaaS):为很多用户提供应用软件服务,用户不需要日常的IT操作人员。平台服务(PlatformasaService,PaaS):为很多用户提供运行应用软件的环境,用户需要维护自己的应用软件。设施服务(InfrastructureasaService,IaaS):为很多用户提供运行应用软件的环境,用户需要有自己的技术人员,如系统管理员、数据库人员、开发人员等。
概括来说,使用云计算主要具有以下优点(Armbrust等,2010):
1.可提供动态变化的计算环境。云计算平台能够按需对服务进行配置和管理,可以支持多种不同类型不同需求的应用;云平台能够根据需要分配资源,具有可伸缩性,对业务具有灵活性。
2.数据存储能力强大。云计算平台可提供海量存储环境,能够按需进行数据存取,支持海量数据管理和存储业务。
3.减少成本。使用云计算能够极大地提高硬件利用率,并能够在极短时间内升级到巨大容量,而不需要用户自己频繁地投资构建新的基础设施、培训新员工,不需要频繁地升级软件,从而减少成本。
4.具有强大、高效的数据处理能力。云计算在处理用户需要的信息计算处理时可将庞大的计算处理程序拆分成无数个子程序,然后将这些子程序交给由多部服务器组成的庞大系统进行搜索及计算分析,最后直接将处理结果回传给用户,这一过程可在极短时间内完成,因此具有强大、高效的数据处理能力。
5.能够提供专业、高效和相对安全的数据存储。好的云计算供应商能够提供专业、高效和相对安全的数据存储,用户运用云计算技术将数据存储在云平台中,相对于自己管理数据存储,能在一定程度上消除因各种安全问题导致数据丢失的顾虑。
然而,由于云计算环境下,所有软硬件以及电子数据都依托于云计算供应商,用户对这些软硬件以及数据失去控制。因此,不论什么样的云计算模式,都具有可控制性差的缺点,本文第四部分将分析应用云计算技术存在的风险。
(三)云计算技术的发展为开展联网审计提供了机遇
云计算技术的发展为开展联网审计提供了机遇,主要表现为以下四个方面:
1.云计算技术在一定程度上可以降低联网审计的实施与运行成本
针对目前联网审计的实施方法,联网审计的成本可分成一次性成本和经常性成本两部分(陈伟和尹平,2007;尹平和陈伟,2008)。一次性成本是指联网审计系统开发和执行的初始投资,主要包括:硬件成本、软件成本、人员培训费用、场地成本;经常性成本是指在联网审计系统整个生命周期内反复出现的运行和维护成本,主要包括:人员成本、硬件维护成本、软件维护成本、耗材成本、风险控制费用、其它费用等。现有的信息技术手段造成目前的联网审计模式实施与运行成本较高,这影响了我国联网审计的进一步发展。一般来说,采用云计算技术则没有任何基建投资,没有硬件购置成本、没有需要管理的软件许可证或升级、不需要雇佣新的员工或咨询人员,也不用承担机房空间、电力以及人力等成本。因此,采用云计算技术实现联网审计在一定程度上可以降低联网审计的实施与运行成本。
2.计算技术的应用使得研究云计算环境下的联网审计成为必然
近年来,云计算的概念已经普遍被人们接受,越来越多的信息系统将运行在云计算平台上,在我国“十二五”规划中云计算技术是重点发展的新一代信息技术。将来会有更多的被审计单位开始采用云计算平台运行自己的应用系统,这使得云计算平台成为审计单位的审计对象,因此,研究云计算环境下的联网审计将成为我国开展联网审计的一个重要部分。
3.政府信息化建设为开展云计算环境下的联网审计提供了机遇
近年来,各地政府投入了大量的资金用于信息化建设,有些政府已经建设了自己的云平台,在我国“十二五”规划中云计算技术是重点发展的新一代信息技术,这为开展云计算环境下的联网审计提供了机遇。
4.用云计算技术能更好地满足联网审计环境下海量数据分析的需要
为了更好地满足联网审计环境下海量数据分析的需要,应该充分利用新的信息技术提高审计效率,而云计算的出现为解决这一问题提供了机遇。
(四)云计算环境下联网审计方面的研究不多
云计算成为目前学术界研究的热点问题,一些国际重要学术会议,如2011IEEEInternationalConferenceonSystems,Man,andCybernetics等,还专门设立了关于云计算研究的专题。Armbrust等(2010)对云计算的研究情况进行了综述,国内学术界关于云计算方面的研究多集中在云技术本身的研究,如黄汝维等人(2011)针对云计算中的隐私保护问题,提出了支持隐私保护的云计算模型,并设计了一种支持隐私保护的基于矩阵和向量运算的可计算加密方案;李强等(2011)针对云计算基础设施中大规模虚拟机的放置问题,提出了云计算中虚拟机放置的自适应管理框架,提出了带应用服务级目标约束的虚拟机放置多目标优化遗传算法,用于制定框架中的虚拟机放置策略。国内外关于云计算在审计领域的研究与应用较少,Ernst和Young(2009)和Luann(2009)分析了云计算给审计带来的风险。尽管国内外已有较多的关于持续审计和联网审计方面的研究(Rezaee等,2002;Debreceny,2005;Du和Roohani,2006;Chou等,2007;国家863计划审计署课题组,2006;王智玉,2010;陈伟等,2008,2011;RutgersAccountingWeb,2012),但国内外尚缺少关于云计算环境下联网审计方面的研究。
三、云计算环境下的联网审计实现方法
基于目前我国联网审计的实现原理,本节从被审计单位使用云平台、审计单位使用云平台、审计单位和被审计单位都使用云平台这三种情况出发,研究云计算环境下适合我国联网审计特点的联网审计实现方法。审计单位在应用云计算技术时,至于采用SaaS、PaaS还是IaaS,将由审计单位根据自己的实际情况和需要来决定。
(一)被审计单位使用云平台
在这种情况下,由于被审计单位在云平台上运行自己的应用系统,存储自己的电子数据,审计单位在对被审计单位实施联网审计时,将被迫开展云计算环境下的联网审计。在这种情况下审计单位可采用的两种可行的联网审计实现方法如下。
1.审计部门可以借助被审计单位使用的云平台安装审计数据采集软件,完成联网审计的数据采集工作,然后把采集到的被审计数据传输到审计单位的数据存储系统中去,供审计人员分析处理,从而发现审计线索,获得审计证据。其原理如图2所示。审计单位也可以在自己的数据库服务器端安装运行数据采集软件,通过网络远程采集被审计单位云平台中的电子数据。
2.在条件许可的情况下,审计单位也可以借助被审计单位使用的云平台,运行审计数据分析软件,根据审计单位的审计请求,直接利用云平台强大的计算能力完成对被审计单位的审计数据分析,发现审计线索,获得审计证据,并把审计证据返回给审计端,从而完成联网审计的审计工作。其原理如图3所示。
(二)审计单位使用云平台
目前一些地方已建成用于电子政务的云计算平台,这为审计单位应用云计算技术提供了机遇。在这种情况下,审计单位利用云平台提供的平台服务和设施服务,把从被审计单位采集来的电子数据存储在云平台中,然后可以借助云平台提供的软件服务对采集来的电子数据进行分析取证。其原理如图4和图5所示。
(三)审计单位和被审计单位都采用云平台
在这种情况下,审计单位和被审计单位都采用云平成自己的工作。审计单位和被审计单位可能采用同一个云平台供应商,也可能采用不同的云平台供应商。其原理如图6和图7所示。
四、云计算环境下实施联网审计存在的风险
云计算环境下的联网审计可以充分利用云计算的优势,但在实际的应用中,应充分认识云计算给联网审计带来的风险,本节从基于云平台整体控制与应用控制的视角、基于云平台选择的视角、基于云平台服务的视角这三个方面出发,分析云计算环境下实施联网审计存在的风险。
(一)基于云平台整体控制与应用控制的视角
云计算环境下,审计单位和被审计单位所有软硬件以及电子数据都依托于云计算供应商,审计单位和被审计单位对这些软硬件以及数据失去控制。因此,云平台的整体控制与应用控制是风险控制的关键。基于云平台的整体控制与应用控制的视角,存在的主要风险包括:
1.灾难恢复与业务持续
云计算环境下,云计算供应商的灾难恢复与业务持续策略对联网审计有着重要的影响,主要表现为:云计算供应商如何考虑灾难恢复计划(DisasterRecoveryPlan)与业务持续计划(BusinessContinuityPlan)?审计单位和被审计单位的数据是否有备份?当发生灾难事故时,审计单位和被审计单位如何访问自己的备份数据?数据恢复的时间有多长?
2.数据安全问题
云计算环境下,审计单位和被审计单位的数据存储、传输和处理都由云供应商管理。所使用信息系统的物理控制和逻辑控制取决于云计算供应商,审计单位和被审计单位缺少对数据的物理控制。另外,审计单位和被审计单位对云计算供应商的工作人员情况缺少了解,有时候云计算供应商内部恶意或者是善意的工作人员可能会滥用权力访问审计单位和被审计单位的数据及应用系统。这会产生以下风险:在云计算供应方,谁可以访问你的数据?云计算供应商对自己的工作人员采取了哪些控制措施?云计算供应商如何管理自己的工作人员?云计算供应商是否具有职责分离控制措施?
3.数据隔离问题
云计算环境下,多个用户之间共享计算环境,缺少隔离,特别是公用云,一个应用系统可能会影响其他应用系统。云计算供应商如何保证审计单位和被审计单位的数据不被其他用户看到?数据如何加密?密钥如何管理?
4.数据完整性问题
云计算环境下,特别是公共云时,所有软硬件以及数据都依托于云计算供应商,有可能缺少防范数据修改的控制措施,不正确的访问控制或弱加密会导致各种数据风险,不能有效检测数据的修改。另外,云计算供应商采取的不正确的加密方法也会造成对审计单位和被审计单位数据的破坏,这都会影响审计单位和被审计单位数据的完整性。
5.监管规范问题
审计单位和被审计单位所采用的云计算平台是否有政府监管?是否符合相应的监管规范?是否有第三方审计或认正?被审计单位应用云平台是否会影响执行SOX(Sarbanes-OxleyAct)等。
(二)基于云平台选择的视角
目前,云计算供应商的数目繁多,许多传统的服务供应商也更名为云计算供应商。因此,审计单位和被审计单位在采用云计算开展联网审计时如何选择合适的云平台非常重要,审计单位和被审计单位应该根据自己的服务需求,尝试多个云供应商的基础设施,测试应用程序,选择最佳云供应商。关于云平台的选择,存在的主要风险分析如下:
1.经营状况
云计算供应商持续发展能力不确定。审计单位和被审计单位选择云计算供应商时应该考虑:云计算供应商的经营状况如何?如果云计算供应商破产,可能会造成数据的丢失,因此,如果云计算供应商破产,审计单位和被审计单位如何收回自己的数据?
2.服务水平协议(SLA)
服务水平协议(SLA)是一种衡量云供应商服务平台舒适度的方法。审计单位采用云计算技术开展联网审计时,要确保自己的服务水平协议(SLA)有一些保护条款。万一出现服务中断,云供应商能提供优厚的回报补偿。
3.性能
由于地理位置和云平台架构的不同,云供应商供应的应用程序性能结果也不同,因此,审计单位在选择云供应商时应该考虑云平台的地理位置和实际架构。
4.安全与保障
在选择云供应商时有没有考虑这些云供应商采取什么保障措施来保护客户的数据。
5.数据的存储与归属
云计算环境下,所有软硬件以及数据都依托于云计算供应商,审计单位和被审计单位不清楚自己的数据会被存储在什么地方,甚至都不知道数据位于哪个国家,也许会被存储在国外。因此,审计单位和被审计单位采用云计算开展联网审计时有没有考虑:自己的数据是如何被保护的?这些数据的存放地点在哪里?数据的归属问题?如果审计单位或被审计单位需要更换云计算供应商时,自己的数据是否可以转移到另一家云计算供应商。因此,审计单位和被审计单位采用云计算开展联网审计时,如果缺少数据存储与归属方面的考虑,将会给将来的联网审计运行造成潜在风险。
(三)基于云平台服务的视角
关于云平台的服务,存在的主要风险主要有:
1.服务支持
审计单位和被审计单位在使用云平台时,有没有考虑遇到了问题应该如何联系云供应商?联系哪些人?
2.服务可靠性
审计单位和被审计单位使用的云平台网络连接是否可靠?数据传输是否可靠?当网络出现故障时,云计算服务会出现中断,这会影响服务的可靠性。特别是对于一些规模小的审计单位和被审计单位在使用云平台时,由于采用较慢的因特网接口,相比于使用自己内部的软件平台,使用云计算平台速度会较慢。另外,审计单位和被审计单位对云计算供应商的灾难恢复过程依赖性强。
3.云平台的友好性
云平台的友好性是指审计单位和被审计单位选择的云平台的操作界面容易使用,人机交互性好,审计单位和被审计单位在使用云平台时,有没有考虑:云平台界面操作起来是否方便?云平台操作是否容易学习?云平台是否能防止审计单位和被审计单位用户的输入错误?审计单位和被审计单位用户的输入错误是否会对联网审计系统造成破坏?
[关键词]采购舞弊;审计策略;内部控制
[DOI]10.13939/ki.zgsc.2015.44.103
企业物资采购过程中出现舞弊行为是内部控制体系构建中的重要环节,同时也是审计人员对物流内部控制审计的重点。物资采购过程中常常会出现各种机会给采购人员或经办人员舞弊的机会。在合同条款、招投标组织、零星采购以及产品附件或赠品等情况下,采购人员或经办人员都有可能采取各种方式进行舞弊。
1 采购舞弊方式及审计实施
1.1 合同条款舞弊与审计
采购签订合同的条款项目应该包括物资名称、数量、品质、运输条款、产品质量保证条款等一系列相关信息。但是有的采购合同条款中仅仅标明了所要订购的产品、单价、金额,对于产品的其他信息一无所知,有的采购合同条款中只标明了供货商,产品的生产厂家也没有。在实际的市场交易过程中同一样产品不同规格、型号之间的价格存在着巨大差别。同一产品不同生产厂商其价格也存在巨大差异。一些采购人员往往利用合同中的漏洞来偷龙转凤,使用高价格来购更低等级的产品,以赚取中间差价。对合同条款舞弊的审计应该做到对合同条款、供应商发票等一系列单据进行严格的审计,在审计过程中对产品模糊表述的信息来进行核实。例如,生产厂家、产品规格、产品型号等都需要一一核对。
1.2 招投标舞弊与审计
使用招投标方式来进行产品的采购曾经被誉为避免采购舞弊最有效的方式之一,其能够有效提升采购活动的透明度,杜绝采购人员的舞弊行为。然而招投标方式采购是否能够真正实现避免采购舞弊与其组织形式、监督机制有着面对关系。限制有竞争实力的供应商参与投标、相关评标工作人员无法在评价过程中正常使用权利,监督管理人员无法实现监督的作用均为招投标采购过程中开展舞弊的手段。因此,在进行招投标采购设计过程中要密切注意组织环节的有效性以及监督管理职能是否能够正常发挥。对招投标活动的相关情况需要仔细查看研究,核对招投标的资料与采购物资合同内容是否匹配。并且就招投标采购与非招投标采购之间的区别进行分析,力求证明招投标采购的有效性。
1.3 零星采购舞弊与审计
零星采购即为所购买的物品不属于集中采购目录,属于需求特殊的产品。并且产品的单价不高、用量单一,没有必要通过集中采购来降低价格。采购人员在进行零星采购的过程中虚报产品价格,或者提供等级更低的产品从中获取利益。对零星采购舞弊的审计可以从监督采购流程,核实产品的价格、质量等。定期开展市场询价工作。对于已购买的零星材料进行市场摸底调研。建立完善的采购信息系统,对于新入库的零星材料与往期价格进行对比,核实价格波动是否处于合理范围内。
1.4 产品附件与赠品舞弊与审计
在实际产品采购过程中供应商将跟随产品的售出赠予一些产品附件,所赠予的附件可以是实物、服务或其他赠品。例如,在采购回声仪的时候供应商会附加笔记本电脑赠送。购买计算机时供应商会附加鼠标、键盘赠送。购买大型仪器会有商超优惠券赠送等。大多数单位对采购产品中的附件与赠品不会在合同条款中显示,实物验收人员在验收后也并不会进行登记。因此,有的采购人员或经手人员将供应商所赠予的产品据为己有。对该舞弊方式进行审计首先需要判断企业的内部控制体系是否存在利用附件或赠品开展舞弊的漏洞。如果存在漏洞就要及时获得供应商是否存在附件或赠品赠送的信息,并且查验附件与赠品是否验收入库。同时,检查所采购的产品是否为已购产品的附件或赠品。
2 采购人员预防采购舞弊风险
2.1 组织牵制法
组织牵制法是预防采购舞弊的重要途径之一。目前该方式已经被财务会计领域广泛使用。针对采购工作来说,组织牵制法同样也可以起到有效的作用。组织牵制法可以被融合在六个关键的采购步骤当中。首先,在开发供应商的过程中为了降低供应商开发的舞弊情况,可以筛选组织建立合格供应商名单,然后从中选取合适的供应商。在这一环节中要对采购部分人员的职责进行严密的规定,选择哪一个企业产品进行采购主要是由开发供应链的工程师来决定。负责开发供应链的工程师将对所有录入在合格供应商中的商家开展全面的质量审核。另外,为了避免质量工程师舞弊,最后选择供应商的权力落到由各个部门建立形成的采购管理队伍。组织牵制法能够在采购环节中规定各个步骤深入,通过分散权责、部门牵制、多重决策等方式来降低舞弊风险。
2.2 利益冲突回避
利益冲突回避是企业内部控制管理的重要措施之一。其对于降低采购舞弊风险也有着十分重要的作用。企业内部控制管理部门与行政管理部门应该定期对企业所设置的敏感岗位的员工利益进行调查,敏感岗位人员包括采购部业务人员、设备工程师、过磅称重人员、会计人员、计算机录入人员等。企业在招聘上述岗位的时候要对人力资源的拟招聘人员开展利益冲突调查。
2.3 访问供应商
访问供应商制度是预防采购舞弊风险的重要策略之一。企业要制定内部控制人员和内部审计人员定期访问供应商的规定。在企业正常运行管理中不仅仅要求高层领导要做到不定期访问供应商外,内部控制审计部门人员也应该对相关的供应商开展访问调查。在通过访问供应商的过程中内部控制人员能够直接获知供应商与被审计工作人员之间的关系以及供应商对其看法。如果供应商举报被审计人员并且调查情况属实,那么该被审计工作人员将被立即调离岗位并且予以处分。内部控制与内部审计人员直接访问供应商能够从特殊渠道对本企业的员工企业震慑的作用,以降低采购舞弊的风险。
3 结 论
采购舞弊是采购部门的敏感话题,也是企业需要高度关注的重点工作,在合同条款、招投标组织、零星采购以及产品附件或赠品等情况下,采购人员或经办人员都有可能采取各种方式进行舞弊。很多企业在审计采购舞弊的过程中使用了各种方式,但是收效不佳。其主要原因就是在于其没有彻底对企业的实际情况进行针对性的分析。要杜绝采购舞弊的根本方式就是完善企业内部控制管理制度,在制度上做到无懈可击。针对企业运营的实际情况来选择有效地预防舞弊与审计的方式,从而杜绝采购舞弊行为的出现。
参考文献:
[1]余英.美国政府采购舞弊及其控制与防范――兼谈对中国的几点启示[J].国外财经,2000(4):22-28.
[2]麻蔚冰.采购―付款业务中的舞弊风险预防(下)[J].首席财务官,2007(8):82-85.
[3]陈志霞.材料采购环节的风险防范――基于齐齐哈尔药厂的案例分析.[J].新西部(下),2008(3):48,51.
一、电子商务系统审计的必然性和必要性
在商业活动实现网络化之前,采购是面对面或通过纸质文件进行的,有迹可查,即使是电子交易,其设备结构是专用的,一般只限于已知用户使用,任何外部用户必须是已知的、身份明确的、可追踪的;系统通常是主机结构方式,相对易于监督、控制和审计。与传统商业相比,万维网客户/服务器系统的特点是高度分散,资源共享、服务分散、顾客透明度高等,而电子商务的运作速度更快、业务循环周期更短、风险更大、更高程度地依赖于技术。电子商务系统的技术基础和市场的快速变化意味着传统的衡量方法已不再适用于企业的某些资产,财务报告不能充分提供企业的状况和价值方面的信息,特别是网络企业的无形资产,如商誉、客户忠诚度和满意程度等这些产生长期价值的关键资产。核实确认这类资产价值的困难在于缺乏足够的历史数据、合适的参照标准、先进的实践经验以及对网络的各种威胁和概率的准确估算。企业管理层以及公众都需要寻找能够用以表述网络企业的可信度、安全性及其他资产价值的方法,需要一些新的核查和审计方法,更有效地评价无形资产,如知识、品牌等。因此,电子商务系统审计就成为历史的必然。由于,电子商务的可靠性、适用性、安全性和性能等方面受到的威胁或存在的风险,都可能会影响其生存和发展。风险因素包括:商业信息的泄露、智能财产的不当使用、对版权的侵犯、对商标的侵犯、网络谣言和对信誉的损害等。因此,进行必要和客观的审计,才会使董事会、审计委员会、高级管理层对电子商务系统的安全运作和效益满意和放心。
二、网络风险和风险管理
网络风险如同自然灾害一样不可预见。风险管理的关键在于风险评估,风险评估就是要分析和衡量风险事件发生的概率及后果,引起风险的因素及其关联因素,出现风险的关键点采取什么方法能够减缓风险,风险出现造成后果如何,以及评价管理层是否履行了应有的职业审慎进行防范和控制。同时在评估中还要为各项因素设计评价比率,计算各种风险的影响后果,根据影响和后果排序,对高风险因素作进一步的分析。
通过风险评估,可以认识到潜在风险(威胁)及其影响,以便对高风险领域作一些防范、检测、控制、减缓和恢复的工作计划和安排。这些计划和安排应涵盖对各项控制成本,主要是指接受、避免、转移、监测成本的分析以及各项工作的先后次序。
三、电子商务系统审计中网站的合法性证明
网络终端用户都会关注网站是否来自一个真实的、可靠的机构,提供的信息是否准确真实,机构背景是否正当合法,个人信息的隐私权是否得到保护等。所谓隐私权是指对个人的数据/信息的搜集必须合法、公平,必须用于某一特定、公开的目的,必须取得该个人的同意并受到保护,本人必须有权进入系统进行修改或删除,信息的越域流动和将来的使用、披露必须予以安全保证和限制等。
解决这些网站合法性问题的途径之一就是由一公证机构提供可靠的证明,以使网络终端用户能对网站提供的电子商务放心。如Verisign, TRUSTe,BBB Online ,Web Trust ,SysTurst等都是具有良好的信誉并且提供证明-查证服务的专业组织机构。网络终端用户可以通过查询这些公证机构的记录,获得确认被访问网站的名称、有效状态、服务器标识等信息。
四、内部审计和电子商务系统审计
美国注册会计师协会对“核实查证”的定义是“提高决策者所需要信息的质量或内容的独立性专业服务。”其审计原则是保证系统的可用性、安全性、真实完整性和持续性,建议对系统安全性和真实完整性方面存在的控制点进行检查、评价和测试。并尽量在今后采用合适的审计标准对信息技术进行审计。不同于以年度为基础的传统外部审计,电子商务的实时性要求审计人员应对其进行连续不断的评估,按特定的审核标准对已发生的交易进行追踪,而系统内设置的自动登录记录可作为相应的审计轨迹,在系统内部实施对事件监督和控制。
尽管当前许多人认为核实查证通常与外部审计人员相关,内部审计人员则在公司内部出具审计报告。然而,国际内部审计师协会对电子商务系统审计的要求则是:审计控制目标主要是审计财务报告制度、经营的效益和效率、合规性和保护财产安全等方面。审计模式应该建立在系统的可用性、容量、功能、保护和可靠性的基础上。例如,内部审计对网络企业控制水平的独立评价,使得客户了解到企业提供的数据将不会被有意或无意地滥用。再如,企业目标是建立电子商务以降低成本、提高市场占有率,那么电子商务风险是随着网络交易的增加而增加,以至于不能确保交易的安全性或分辨用户的可靠性,因此,所需要的控制就是对用户的真实性进行确认以及对通讯信息进行加密。
电子商务系统审计的成功与否在于审计人员是否掌握相关的技术知识,了解商业风险及风险管理策略,是否有现成的策略随时应付出现的风险。因此,作为一个成功内部审计人员应了解企业的业务,以服务为宗旨并努力增值,积极提高专业技能,关注系统的效率和效益,建立对电脑领域发展的职业敏感性。
一、电子商务系统审计的必然性和必要性
在商业活动实现网络化之前,采购是面对面或通过纸质文件进行的,有迹可查,即使是电子交易,其设备结构是专用的,一般只限于已知用户使用,任何外部用户必须是已知的、身份明确的、可追踪的;系统通常是主机结构方式,相对易于监督、控制和审计。与传统商业相比,万维网客户/服务器系统的特点是高度分散,资源共享、服务分散、顾客透明度高等,而电子商务的运作速度更快、业务循环周期更短、风险更大、更高程度地依赖于技术。电子商务系统的技术基础和市场的快速变化意味着传统的衡量方法已不再适用于企业的某些资产,财务报告不能充分提供企业的状况和价值方面的信息,特别是网络企业的无形资产,如商誉、客户忠诚度和满意程度等这些产生长期价值的关键资产。核实确认这类资产价值的困难在于缺乏足够的历史数据、合适的参照标准、先进的实践经验以及对网络的各种威胁和概率的准确估算。企业管理层以及公众都需要寻找能够用以表述网络企业的可信度、安全性及其他资产价值的方法,需要一些新的核查和审计方法,更有效地评价无形资产,如知识、品牌等。因此,电子商务系统审计就成为历史的必然。由于,电子商务的可靠性、适用性、安全性和性能等方面受到的威胁或存在的风险,都可能会影响其生存和发展。风险因素包括:商业信息的泄露、智能财产的不当使用、对版权的侵犯、对商标的侵犯、网络谣言和对信誉的损害等。因此,进行必要和客观的审计,才会使董事会、审计委员会、高级管理层对电子商务系统的安全运作和效益满意和放心。
二、网络风险和风险管理
网络风险如同自然灾害一样不可预见。风险管理的关键在于风险评估,风险评估就是要分析和衡量风险事件发生的概率及后果,引起风险的因素及其关联因素,出现风险的关键点采取什么方法能够减缓风险,风险出现造成后果如何,以及评价管理层是否履行了应有的职业审慎进行防范和控制。同时在评估中还要为各项因素设计评价比率,计算各种风险的影响后果,根据影响和后果排序,对高风险因素作进一步的分析。
通过风险评估,可以认识到潜在风险(威胁)及其影响,以便对高风险领域作一些防范、检测、控制、减缓和恢复的工作计划和安排。这些计划和安排应涵盖对各项控制成本,主要是指接受、避免、转移、监测成本的分析以及各项工作的先后次序。
三、电子商务系统审计中网站的合法性证明
网络终端用户都会关注网站是否来自一个真实的、可靠的机构,提供的信息是否准确真实,机构背景是否正当合法,个人信息的隐私权是否得到保护等。所谓隐私权是指对个人的数据/信息的搜集必须合法、公平,必须用于某一特定、公开的目的,必须取得该个人的同意并受到保护,本人必须有权进入系统进行修改或删除,信息的越域流动和将来的使用、披露必须予以安全保证和限制等。
解决这些网站合法性问题的途径之一就是由一公证机构提供可靠的证明,以使网络终端用户能对网站提供的电子商务放心。如Verisign, TRUSTe,BBB Online ,Web Trust ,SysTurst等都是具有良好的信誉并且提供证明-查证服务的专业组织机构。网络终端用户可以通过查询这些公证机构的记录,获得确认被访问网站的名称、有效状态、服务器标识等信息。
四、内部审计和电子商务系统审计
美国注册会计师协会对“核实查证”的定义是“提高决策者所需要信息的质量或内容的独立性专业服务。”其审计原则是保证系统的可用性、安全性、真实完整性和持续性,建议对系统安全性和真实完整性方面存在的控制点进行检查、评价和测试。并尽量在今后采用合适的审计标准对信息技术进行审计。不同于以年度为基础的传统外部审计,电子商务的实时性要求审计人员应对其进行连续不断的评估,按特定的审核标准对已发生的交易进行追踪,而系统内设置的自动登录记录可作为相应的审计轨迹,在系统内部实施对事件监督和控制。
尽管当前许多人认为核实查证通常与外部审计人员相关,内部审计人员则在公司内部出具审计报告。然而,国际内部审计师协会对电子商务系统审计的要求则是:审计控制目标主要是审计财务报告制度、经营的效益和效率、合规性和保护财产安全等方面。审计模式应该建立在系统的可用性、容量、功能、保护和可靠性的基础上。例如,内部审计对网络企业控制水平的独立评价,使得客户了解到企业提供的数据将不会被有意或无意地滥用。再如,企业目标是建立电子商务以降低成本、提高市场占有率,那么电子商务风险是随着网络交易的增加而增加,以至于不能确保交易的安全性或分辨用户的可靠性,因此,所需要的控制就是对用户的真实性进行确认以及对通讯信息进行加密。
电子商务系统审计的成功与否在于审计人员是否掌握相关的技术知识,了解商业风险及风险管理策略,是否有现成的策略随时应付出现的风险。因此,作为一个成功内部审计人员应了解企业的业务,以服务为宗旨并努力增值,积极提高专业技能,关注系统的效率和效益,建立对电脑领域发展的职业敏感性。
[关键词]制造企业;MRO;ABC管理法;采购流程
(1)对于那些已经设立安全库存并且已经具有采购信息的MRO物料应由专门的计划人员在MRP系统里做好需求计划,采购人员按照需求计划向指定供应商下订单,其中物料的价格是与供应商协商后在某一个时段的协议价格,在每次采购时无须临时询价和谈价。
(2)对于无采购信息的新物料,使用部门在系统中向采购部提出MRO物料采购需求,需求必须包括品名、型号、技术要求和需求时间等信息,采购部根据上述采购信息向供应商进行询价、比价、议价。新物料的询价应首先考虑现有合格供应商,如现有的供应商无法提供所需要的MRO物料,则需要开发新的供应商,新供应商的来源可以通过网络、专业杂志期刊,或源自公司内部技术部门的推荐,也可以是参加各种专业的展览会获得的供应商信息。
相应的MRO物料供应商开发流程如下:
第一,首先由采购部、MRO物料使用部门和技术质量等相关部门成立评估小组并制作新供应商开发计划,计划包括开发零件的名称,每个部门的职责,开发新供应商每一个环节的完成时间节点等信息。
第二,制订了供应商开发计划以后,采购部向供应商索取营业执照,税务登记证,组织机构代码证,质量管理体系证书,证书等相关文件,并了解主要供应商员工和技术参数,厂房面积,生产特点,主要生产和检测设备,生产能力,主要客户,主要产品和产品执行标准等相关信息,并对上述供应商提供资料的真整理实性进行核查。然后,将真实信息汇总入“供应商基本调查表”归档。C类MRO物料因价值较低,其供应商可直接列入潜在合格供应商名单;A、B类产品则需组织技术开发部、质量部等有资质的人员成立评估小组,确定日期来进行现场审核。现场审核内容包括质量体系管理能力,实物质量,财务状况,新产品开发能力,工艺状况,交付及售后服务能力等审核项目,审核由评估小组共同完成。
第三,审核完成后,评估小组形成审核报告交采购部。对于审核中的不合格项发放整改通知书,要求供应商限期整改,整改合格的供应商可以列入潜在供应商名单,整改后仍不合格的供应商则取消其资格。
第四,评审小组根据审核的结果选定试样供应商,并向供应商索取样品。对于那些价值较高的物料与供应商签订产品试制协议或者保密协议,并安排打样,进行产品试样和工艺符合性的确定,其后是小批量的生产试用。通过产品认可的供应商列入合格供应商名单。
第五,采购部建立合格供应商档案,主要包括基本情况调查表、供应商产品明细和价格、质量协议、保密协议、供货协议、价格协议、营业执照、税务登记证、组织机构代码证、质量管理体系证书、证书等信息。
在新供应商开发完成以后,采购部门就可以根据一般的采购流程进行物料的订购了。通常来说,在现有合格供应商不能满足需求时应选择开发新供应商。但是如果现有的合格供应商发生质量问题并且限期整改未通过,或者是现有合格供应商无法满足降价或者服务要求时同样也需要开发新供应商。
伴随着互联网技术和信息技术的迅猛发展,全球经济运转方式和流通方式产生了巨大变化,企业的采购模式也从传统的不透明模式逐渐向着电子商务模式不断发展。本文结合电子商务理念,以采购业务需求为基础,阐述了电子采购系统的实现方案。
【关键词】电子采购 企业 B/S体系结构 设计与实现
1 引言
伴随着互联网技术和信息技术的迅猛发展,全球经济运转方式和流通方式产生了巨大变化,企业的采购模式也从传统的不透明模式逐渐向着电子商务模式不断发展。就我国企业而言,电子商务已经被越来越多的企业所运用,并且以其反应迅速、协同方便的特点也逐渐被企业所认可。下面我们尝试对电子采购系统的实现方法做以探讨和论述。
2 需求分析
通常,企业的采购管理流程都要经过供应商准入、采购实施、合同执行、合作评价等四个阶段,供应商准入阶段对供应商进行初始核查,确定潜在的合作对象,合同实施阶段汇总采购需求,并开展相关招标采购工作,确定最终合作厂家,合同执行阶段按合同条款及时发货验货,合作评价阶段对供应商合作情况进行全方位评估,确定供应商等级,筛除不合格供应商。这四个阶段形成对供应商的闭环管理,每实施一次采购流程都会对供应商名录进行一次优化,使得采购工作质量呈现螺旋式上升,从而实现采购效益和效率的持续优化。
供应商准入阶段:分析潜在合作供应商,并对供应商进行初步调查,分析厂家实力,将合格供应商列入准入供应商名录。
采购实施阶段:包括采购申请、招投标、采购评审、合同审批等环节。其中采购申请环节由公司内各部门提交采购需求,通过审核的需求提交到采购实施部门,实施部门汇总需求,并根据情况确定采购方式,之后开展相关招投标工作,确定合作对象后,需要将相关评标结果总结上报。最后中标通知书,确定合同条款,开展各项签约工作。
合同执行阶段:供应商发货,公司收货人员收货,并对货物进行验收。
合作评价阶段:在合作过程中,对供应商进行全方位评估,既有合作过程中的实时客观评价,也有合作后的主观评价,从而得出供应商的准确评分,确定供应商的合作等级,便于以后采购工作的持续改进。
3 系统实现方案
基于以上需求分析,我们设计了一套电子采购系统,包括供应商门户系统和采购管理平台两个子系统,具体又可以划分为供应商管理、采购申请、电子招投标、采购评审、合同审批、合同履行监控、供应商评估等几个子模块。系统采取B/S架构,网络结构大致如图1所示。
其中供应商门户系统服务器提供供应商门户网站服务,是供应商与企业之间进行沟通的桥梁;采购管理平台服务器提供企业内部的采购管理网站服务,是一个规范采购工作的强有力工具,各服务器可以进行横向扩展。
3.1 供应商管理
系统具备供应商管理功能。系统建立供应商档案库,在供应商门户网站提供调查问卷,搜集供应商企业信息、产品等信息,审核通过后进入供应商名录,这些信息也是供应商的身份信息,将贯穿与系统的各个功能模块。
3.2 采购申请
系统具备采购申请功能。采购申请是采购实施工作的起始流程,从这里开始,将会为采购事务分配唯一的采购事务ID,其后紧跟的招投标、采购评审、合同审批、合同履行监控等流程,和采购申请一起通过采购事务ID关联为一个大的采购事务,通过该事务ID可以查询到整个采购事务的处理状况,例如处理到哪个阶段,进展如何。
系统提供采购方式确定功能。采购申请流程结束后会流转到采购部门确定采购方式,例如比选、招投标等采购方式,考虑到这些操作和采购申请流程的关系比较紧密,可与采购申请流程合并为一个流程执行。
系统从采购申请开始将涉及到大量的电子审批流程,为了提升审批流程的可维护性,审批模块可以应用工作流引擎。工作流引擎可提供流程逻辑的定义方法,以及根据流程逻辑来调度业务对象的功能。这能使我们避免在代码中硬编码,因为硬编码难于理解和复用,并且非常容易受到需求变化的影响,维护起来极其困难。
工作流引擎负责在各环节中传递流程信息,并在信息到达某个环节后,给相关责任人分配任务(比如“审批”任务)。工作流引擎的应用步骤:
3.2.1 定义流程
应用流程定义语言定义流程规则,得到流程定义(ProcessDefinition)文件(例如,把媒体审批流程定义出来)
3.2.2 部署流程
将流程定义文件部署到工作流引擎服务器中,引擎会分析定义文件并记录到数据库中。
3.2.3 执行流程
根据流程定义的规则,针对具体业务对象进行调度。例如:张三创建了一个媒体审批流程,现在就把这个审批单对象交给引擎来进行调度(在各审批人之间进行调度)。引擎将会启动一个流程实例(ProcessInstance)来调度每个具体的业务对象。
3.2.4 电子招投标
系统提供电子招投标功能。招标管理人员可以针对采购需求信息发起电子招投标流程,通过系统将招标文件发放到供应商门户系统中,供应商在线购买标书,编制好标书后在门户系统上传标书及报价,开标后,评标人员在系统中即可查看各家标书情况,方便开展各项评标工作。
3.2.5 采购评审
系统提供采购评审功能。系统提供采购评审电子流程,采购主管可以针对招标信息发起采购评审流程,填写评审单,提交评审总结资料,并按照指定流程提交到各位评审人员以及领导处进行审批,审批结束后可以开始合同审批流程。
3.2.6 合同审批
系统提供合同审批功能。系统提供合同审批电子流程,采购主管可以针对采购评审单发起采购评审流程,填写合同审批单,提交电子合同,并按照指定流程提交到各位评审人员以及领导处进行审批,审批结束后即会进入合同履行流程。
3.2.7 合同履行监控
系统提供合同履行监控功能。系统针对合同类型提供不同的合同监控流程,对货物到货情况、验货情况进行实时记录,例如实物类合同,将交由收货人填写到货时间、到货质量、货物包装情况,而对于服务类合同,则需要填写施工准备情况、施工现场情况、组织协调情况等等,为了方便评分统计,将这些信息组织成选择题方式,按比例分配分值。每当提交完成一份收货单或验收单,系统即会自动统计评分作为客观评分记录入供应商档案库中。
3.2.8 供应商评估
系统提供供应商评估功能。系统提供供应商360°评分功能,采购人员、财务人员、收验货人员、实施人员、使用维护人员等会对合作供应商进行评价,从而得出主观评价。汇总供应商的客观评分以及主观评分可以得出供应商的总评分,基于此对供应商进行评级,从而控制供应商的准入资格。
4 结束语
无论是在电子采购技术的成熟度上,还是在企业采购管理模式的改造方面,电子采购在企业中的应用都是一个全新的课题。它不仅仅完成采购行为,而且利用信息和网络技术对采购流程的各个环节进行管理,有效的整合企业资源,帮助供求双方降低成本,提高了企业的核心竞争力。
作者简介
王天柱(1980-),男,河北省阜平县人。大学本科学历。现供职于中移全通系统集成有限公司。研究方向为互联网技术。
