ERP环境下的审计问题探讨,本文主要内容关键词为:环境论文,ERP论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。
随着企业信息化进程的深入,ERP系统作为信息技术与先进管理理念相结合的产物,在企业管理中得到了广泛应用。ERP系统在企业的应用打破了传统的职能分割,实现了企业内外部整个供需链上所有资源的统一管理和信息共享,导致了企业原有的财务管理和核算方式、企业业务流程及内部控制机制发生了深刻变化。这些变化必然给审计人员的审计工作带来影响,也对审计工作提出了更高的要求,审计人员面临ERP应用带来的新挑战。
一、ERP的特征
ERP(Enterprise Resource Planning,企业资源规划)是建立在先进的管理思想的基础上,以计算机信息技术和网络为技术基础,将企业的业务流程看作是一个紧密联系的供应链,实现对供应链上整个企业资源进行一体化管理和信息共享的信息系统。ERP的特点主要体现在以下几个方面。
(一)系统高度集成
ERP系统通过统一的中央数据库平台,实现了财务信息和业务信息的集成和信息共享,实现了财务与业务、财务与供销链的一体化管理。企业只需向ERP系统输入一次数据便可更新所有相关信息,保证了物流与资金流的同步记录和数据的一致性。企业可以根据财务资金现状追溯资金的来龙去脉,并进一步追溯所发生的相关业务活动。
(二)业务流程优化重组
ERP系统建立在对企业业务流程的优化和重组基础之上,打破了原来职能部门的条块分割,实现了从采购到付款循环、销售到收款循环、车间作业管理到产品研发管理、设备管理、质量管理、人力资源管理,以及从企业内部管理到外部供应商、客户等诸多方面跨职能部门的业务处理,实现了企业资源的统一管理和共享。
(三)会计工作前移
在ERP环境下,很多会计数据的录入和生成工作已经前移至业务部门。大量的原始业务数据在业务发生地直接由业务部门人员录入系统,并根据系统的设置自动生成会计凭证,自动完成财务账簿登记和报表生成等。因而,ERP系统中会计的范围大大扩展,渗透到业务流程和核算的全过程,这种核算方式的变化使会计工作向前延伸。
二、ERP的应用给审计工作带来的影响
企业应用ERP后,审计的经济监督职能并没有改变,但ERP系统的信息技术特征和流程化管理的思想,使审计人员面临更复杂的审计环境,从而给审计人员的审计工作带来巨大影响,审计工作变得更加复杂。
(一)对审计范围和重点的影响
企业实施ERP系统后,企业全部业务活动的所有数据,都是由完成业务过程的各部门完成采集和处理,并由系统自动生成相关业务的会计凭证。业务部门的数据录入出错或故意输入舞弊的假数据,都会造成整个会计系统的信息失真,从而使审计人员的审计范围应扩大到整个企业经营业务的全过程。在ERP环境下,会计事项由计算机按程序自动进行处理,手工处理的环节相应减少,但如果ERP系统的应用程序出错或被人非法篡改,则计算机只会重复的按错误的程序进行有关的会计事项处理,因此,审计人员需要增加对ERP信息系统的处理和控制功能进行审查,以证实其处理的合法性、正确性、完整性和安全性。另外,ERP系统作为一个计算机网络系统,ERP信息系统的安全问题也成为企业审计面临的新问题。
(二)对内部控制的影响
企业在引入ERP系统后,ERP系统对企业业务流程和组织结构进行的优化重组,减少或合并了传统流程中重复、不增值的环节,这必然使基于原手工业务流程中一些有利于控制的环节消失。ERP系统中的程序化控制取代了人工控制,相当一部分内部控制建立于系统的应用程序中,由系统自动执行各种检验、核对、判断、监控等,企业的内部控制方式发生了变化。ERP系统的应用改变了传统的交易授权和职责分工体系,会使手工系统中的某些职责分离、互相牵制的控制失效。在ERP系统的计算机网络环境下,数据的采集、存储、传递、处理等方面都发生很大变化,有可能造成数据的丢失或人为破坏,造成越过权限进行数据的修改而不留痕迹,计算机舞弊更加隐蔽,这些变化使得数据的安全性控制成为需要重点考虑的因素。
(三)对审计风险的影响
企业应用ERP系统后,企业的组织结构、内部控制方式和数据处理方式等都发生了变化。(1)ERP系统作为高度集成化系统,使得组织结构扁平化,系统中许多不相容职责相对集中,加大了相关人员利用职务之便进行违规和舞弊的风险;(2)ERP系统中的各种程序化控制,如系统设置、参数设置、流程控制和权限设置等存在缺陷或控制不当,会增加错误重复发生和人为舞弊的风险;(3)ERP系统中会计和业务数据的处理由程序自动进行,系统的程序和数据都可能被篡改而不留痕迹,使得对重要数据信息的保存、监控难度加大;(4)ERP的实施依赖于计算机和网络技术,而计算机固有的脆弱性以及网络的开放性,都会使ERP系统面临严重的安全威胁。以上这些方面,无疑加大了审计人员的审计风险。
(四)对审计线索的影响
企业应用ERP系统后,实现了跨职能部门的业务处理,使得过去基于跨部门的审批流程得到简化和压缩,然而,压缩所造成的结果是用于企业内部控制的许多审计线索在ERP系统的引入后消失了。企业引入ERP系统后,ERP系统的授权控制机制取代了过去基于文件审批的内部控制机制,程序化审核方式代替了基于传统纸介质的签字盖章,审计线索变得模糊不清,其审计证据的可靠性受到直接影响。在ERP系统中,各种原始数据经系统确认后,由计算机自动进行处理,直至生成会计凭证、账簿和报表,传统的可视审计线索中断甚至消失,即使系统留有相关的审计线索,其产生与存储方式也与传统的审计线索有了很大变化。另外,在ERP环境下,由于数据存储、传输的电子化,使得任何对数据的修改、删除或销毁都不会留下痕迹,也使得审计人员获取相关线索的难度加大。
(五)对审计技术方法的影响
企业实施ERP系统后,企业的各项业务数据处理工作由计算机程序自动完成,造成了审计线索的“不可见性”,传统的追溯审计方法已经不能适应ERP系统要求,需要采用新的审计技术与方法对数据处理过程进行追踪审计。在ERP系统环境下,企业的很多经营业务数据都以电磁化的形式存储在ERP系统的数据库中,要对存储在系统中的电子化数据进行审计,审计人员必须借助于计算机辅助技术才能完成相关数据的采集和分析。在应用ERP系统的企业中,企业各业务流程的信息全部集成到一个系统中,形成了海量数据,舞弊和失误痕迹很容易淹没在其中,且变得更加隐蔽,要从这些海量数据中寻找审计证据,传统审计技术方法显然无法完成审计任务,必须借助于计算机辅助审计技术与方法。
三、ERP环境下的审计问题探讨
面对ERP环境下的审计,并没有改变审计工作的基本步骤,但由于ERP系统给审计带来的影响,使得审计人员审计工作的内容、重点和技术方法等与传统审计相比有了很大不同,因此,以下就ERP环境下的若干审计问题进行相关探讨。
(一)做好ERP环境下的审计调查
ERP在企业中的应用,改变了企业运作模式、管理控制方式和工作环境,审计人员应充分考虑被审计单位应用ERP系统所带来的影响,重点做好ERP环境下的审计调查工作。
1.充分了解被审计单位ERP系统的有关情况
面对ERP环境下的审计,审计人员必须调查了解被审计单位应用ERP系统的有关情况,以确保后续阶段审计工作的顺利开展。根据ERP系统的应用特点,审计人员应着重了解以下内容:ERP系统应用环境下企业的组织结构、管理和控制制度,ERP系统所涉及的业务范围,ERP系统的整体框架、各模块之间的关系以及系统与外界的接口,ERP系统的主要功能及业务数据处理流程,ERP系统运行过程中出现的问题,ERP软件功能提升、软件升级情况等。审计人员可采用召开座谈会、与有关管理层和业务部门沟通、查阅相关文档资料和调查表以及亲自上机操作等方法进行调查了解。比如,可通过查阅有关ERP系统上线资料、系统设置变更档案、系统运行维护日志,以了解ERP系统的运行情况和存在的问题;再比如,可通过调查表了解ERP系统的业务数据处理流程,如销售与收款业务数据流程、产品制造数据流程、货币资金业务数据流程等。如果审计人员能够获取ERP系统的访问权限,亲自查看和执行操作,则对了解和熟悉系统及各模块功能将更有效。通过上述情况的了解,以便摸清ERP系统的有关实际情况,从而为整个审计工作的顺利进行提供前提条件。
2.做好ERP环境下内部控制调查与风险评估
企业ERP系统的实施,实现了业务流程的优化重组,对企业内部管理和财务方面的监控提出了新的要求,这也使得审计人员在进行内部控制调查与风险评估时不能再照搬以往的经验,需要重新分析ERP环境下的内部控制,并进行控制测试,寻找薄弱环节,重新确定审计切入点。在调查中,审计人员要注重对控制环境的调查,包括组织结构、内部控制制度、人员素质、财务与业务信息的传递等;需要了解ERP环境下内部控制总体框架,特别是ERP系统的控制,包括自动处理控制、人工处理控制、数据接口控制、报表控制、职责分离控制和权限控制;审计人员应通过获取被审计单位ERP系统的操作权限,重点审查和评估ERP系统的系统配置(含接口程序)、参数设置、核算规则、主数据、权限设置及业务流程控制等方面;应将控制测试风险的重点放在对ERP系统功能、通用模板贯彻执行情况等方面,并通过使用自动扫描工具、穿行测试等方法获取ERP系统环境下内部控制设置是否合理和有效的证据,判断ERP系统的处理和控制功能是否正确有效。审计人员通过对ERP系统环境下的内部控制识别、风险评估以及优先级排序,以便合理安排审计计划,确定审计重点。
(二)把握ERP环境下审计实施的重点
ERP系统的应用实现了企业业务处理的集成化、内部控制的程序化和数据存储的电子化,审计人员应综合考虑ERP环境下的审计特点以及风险因素,从降低ERP环境下审计的重大错报风险出发,将ERP环境下审计实施阶段符合性测试和实质性测试的重点放在以下几个环节。
1.职责分工与权限设置的审计
在ERP环境下,对ERP系统的操作使用是通过职责分工与权限分配进行的,如果岗位职责不能有效分离,权限设置不合理或越权设置,可能会导致未经授权的业务或舞弊。因此,职责分工与权限设置应是ERP环境下审计的重点。审计人员对ERP环境下的职责分离和权限控制进行符合性测试,可通过查阅企业有关岗位设置和职责分工的相关文档,如管理制度、岗位职责条例、系统操作手册等,审查岗位设置的合理性、职责分工的恰当性,并重点对ERP系统各模块中的功能权限与数据权限之间存在冲突岗位的人员分离情况进行审核。对ERP系统的权限设置进行审查,审计人员应通过现场运行被审计单位ERP系统的“系统权限设置”功能模块,审查系统权限设置是否满足最小化授权控制原则,测试和评估其执行情况。在ERP系统中,有关系统操作使用情况会自动记录在系统日志文件中,审计人员通过检查日志文件记录,可进一步审查职责分离和权限设置的实际执行情况,检查ERP系统实际运行中是否存在职责分离冲突或越权操作现象,例如,负责处理供货商付款的职员就不应当具有管理维护供货商文档的权限。
2.业务处理过程的审计
企业实施ERP系统后,业务处理实现了程序化自动处理,人工处理环节大大减少。业务处理控制的有效性,业务数据处理的准确性、完整性,是ERP系统环境下审计的重点内容之一。审计人员对ERP系统业务处理过程的审计包括业务处理控制的符合性测试和业务数据处理的实质性测试。(1)业务处理控制的符合性测试。业务处理控制是ERP系统中最关键的控制,包括自动化程序控制和人工控制。自动处理控制又分为两种:一是固化于程序代码内的控制,如凭证记账时的借贷平衡校验等;二是通过系统配置实现的控制,如自动核销控制、三单匹配等。人工处理控制是指ERP系统处理流程中需要人工干预的控制,如审批、人工复核等。在业务处理控制的审计中,审计人员可利用审计软件等工具对企业业务处理的主要交易进行“穿行测试”,以检查验证处理控制的有效性,发现控制风险点。还可以依据被审计单位ERP系统的流程图来设计一套审计测试数据,将其输入系统以检查处理控制是否真正执行,并将审计测试数据和测试结果作为处理控制有效性的依据。(2)业务数据处理的实质性测试。对业务数据处理的测试,应包括审查业务数据处理的正确性、业务数据处理时间的恰当性。审计人员应主要针对原始业务数据输入系统后是否被正确、及时处理,是否存在涉及有意舞弊的数据处理程序等进行审查。审计人员可借助于ERP本身的查询、统计和分析比较功能,获取分析性复核资料,以评估数据处理的正确性;还可借助于审计软件对采集的相关数据进行分析,加强对ERP系统中数据完整性和关联性的审查,审查无人为调整数据的可能。对于重要业务数据,审计人员可使用ERP系统的追溯功能直接开展实质性测试。此外,审计人员应加强对企业资产负债的核实力度,通过将实地盘存的数量与ERP系统的数据进行对比、分析来核对企业的账实相符性。
3.财务模块设置的审计
由于ERP系统的数据关联性较强,涉及企业内部管理的各方面,舞弊者一般不会冒险修改涉及具体交易的基础数据以及它们之间的勾稽关系,而更有可能更改形成会计报表数据的转账设置、报表设置等的财务模块设置。因此,审计人员应重点关注对财务模块设置的审计。审计人员在了解ERP系统财务模块的系统设置时,可以通过查阅被审计单位的ERP上线资料的有关财务模块设置,结合亲自上机操作查看了解系统设置,并将两者进行对比分析进行符合性测试,分析测试结果的差异情况,评估其对账表数据的影响,最终作出有效性和正确性评价。审计人员还可以利用被审计单位尚未处理或即将处理的实际业务数据,直接进行现场会计账表数据的处理,并将处理结果与正确结果进行对比分析,通过实质性测试检查财务模块设置控制的有效性和正确性。此外,审计人员还可以采用平行模拟法、受控处理或者再处理法等对财务模块设置进行审计测试。
4.原始数据输入的审计
在ERP系统环境下,很多原始数据是由会计部门以外的业务部门输入ERP系统的,这造成了数据来源的多元化,从而给输入数据的完整性、正确性带来影响。不正确的或不实的原始数据直接影响整个ERP系统反映信息的真实性和完整性。如:仓库验收入库材料时,运输部门与仓库人员可能串通一气,截留部分材料私自出售,并以虚假数据填制材料入库验收单。因此,对原始数据输入的审计是ERP审计的重要环节。针对原始数据输入的审计,审计人员首先应采用查阅ERP系统操作手册、与有关人员交谈、实地观察等方法了解被审计单位ERP系统中全部的终端以及终端的数据入口,审查各终端对输入的原始数据采取何种措施保证其正确性,比如输入管理规则、防错与保护措施等,以对ERP系统原始数据输入的正确性进行评价。其次,审计人员还需选择重要的或代表性的数据输入终端,实施实质性测试。对原始数据输入的审计,还可采用追溯法,从账表开始追溯原始数据的来源,抽样核对原始数据的准确性。对于无纸化交易数据,审计人员可使用电子邮件向银行、供应商、客户等进行函证,取得有关数据文件作为审计证据。
四、结束语
企业应用ERP系统后,给审计工作带来了复杂性,增加了审计人员的审计风险。审计人员必须考虑ERP系统环境下审计的新特点,分析影响审计质量的主要因素,把握ERP环境下审计的主要内容,采用合适的审计程序和方法,有针对性地开展审计。
标签:内部控制论文; erp论文; 审计软件论文; 审计计划论文; 财务系统论文; 审计质量论文; 控制环境论文; 会计与审计论文; 管理控制论文; 相关性分析论文; 业务管理论文; 自动化控制论文; 审计方法论文; 审计流程论文; 管理审计论文; 企业erp论文;