ＥＲＰ系统下的审计风险防范.doc

系统下的审计风险防范摘要 ERP是指建立在信息技术基础上，以系统化的管理思想，为企业决策层及员工提供决策运行手段的管理平台。它是对企业物流、资金流、信息流进行一体化管理的软件系统，其核心管理思想就是实现对“供应链（Supply Chain）”的管理。本文结合ERP系统下的审计风险的特点，提出了几点防范的建议。 关键词 ERP系统 审计风险 防范 ERP系统是以计算机为核心的较为成熟的企业管理系统，实行动态监控产、供、销的全部生产过程，具有存货管理、生产中心、财务预测、生产能力、资源调度等方面的功能。它配合企业实现质量管理和生产资源调度管理及辅助决策，成为企业进行生产管理及决策的平台工具。目前，国际上普遍被采用的ERP系统软件有SAP、Baan、JDE、Oracle、PeopleSoft、QAD等。尽管国内外各ERP软件产品在适用企业规模、软件功能、技术架构等方面不尽相同，但它们对于ERP核心业务的功能基本相同，包括：财务会计、管理会计、销售、采购、库存管理、物流管理、生产计划、设备管理。一个典型的ERP系统除了上述功能外，通常还包括项目管理、投资管理、资金管理等辅助功能。ERP系统的应用，使得企业提高了运行效率，但同时又产生了新的审计风险。 一、ERP系统下的审计风险 ERP审计与传统会计审计相比，其主要的特有风险就在于企业的ERP系统是否能够真实地反映企业的各项经济业务。 1.固有风险 手工系统中，纸面上的信息易于辨认、追溯。而在ERP系统中，由于存储介质的改变，一旦非法用户透过计算机系统的“防护墙”，那就极易破坏和修改电子数据且不留痕迹；计算机病毒、电源故障、操作失误、数据处理错误和网络传输错误也会造成实际数据和电子账面数据不相符，存在会计数据被滥用、篡改和丢失的可能，增加了固有的审计风险。 2.控制风险 在手工条件下，内部控制一般表现为对人的控制，强调职责分清，相互牵制，采用的手段主要是利用纸面信息，进行手工核对和检查，责任容易明确，结果也比较直观。但是在ERP系统中，内部控制转变为对人和机器两方面的控制，而且主要是对机器的控制为主。 ERP系统实现了从采购到付款、订单的获取到发票的开出等业务集成，实现了跨职能部门的业务处理。在这种情况下，ERP系统中单一的数据库，使过去跨部门的审批流程得到简化和压缩。压缩所造成的一个结果是，用于企业内部控制的许多审计线索在ERP系统的引入后消失了。同时，企业过去基于文件审批的内部控制机制，也无法适应ERP基于流程的管理需要。更重要的是，由于企业的业务运作更加依赖于ERP系统，这种依赖和信息系统本身特点所导致的脆弱性，形成了企业新的业务风险。例如，在ERP系统中，通过对手工流程的机器处理，比如审批处理自动化等，进一步增强了完成各种业务流程的效率。但是，在新的业务执行环境中，这些审批处理的自动化方法将改变企业内部原有的一些风险特征，这时相应的内部控制体系就需要重新评估和设计。 (1)电子数据存在使审计线索减少或消失的可能性。传统会计处理的每一步都有文字记录和经手人的签名，审计线索清晰。但在ERP系统中，从原始数据的录入到报表的自动生成，几乎不需要人工干预，传统的审计线索不复存在，为追查审计线索带来了极大的困难。 (2)原始数据的录入存在错漏的可能性。ERP系统下，大量的记账凭证仍靠人工录入，如果输入了错误的数据，表面上的机制凭证、账簿、报表还是互相平衡，这就掩盖了人工录入的错误。如果漏输了数据，更是无法察觉。 (3)有意或无意使设置权限密码，实行职责分工的约束机制有失效的可能性。在ERP系统中，一是通过划分操作员的责任范围，设置权限和密码实现人员分工，二是通过软件设计划分若干子系统或功能模块设置不同的责任中心。由于权限设置的重叠或跨责任中心越权设置，使这一控制措施有可能形同虚设。 3.检查风险 (1)会计软件的更新换代，使历史文件难以提取。对账户或交易的实质性测试往往离不开企业的历史数据，由于软件版本的更新、平台的迁移，难以从往年的账簿中提取这些历史数据，使得审计不得不从大量的文档中收集整理历史数据。这不仅降低了审计效率，而且带来了更多的检查风险。 (2)内部控制主要依赖软件本身，增加了难以全面检查测试的可能性。在ERP系统中，内部控制融于软件中，肉眼无法察觉，这就需要设计测试数据来测试软件的控制能力。而要在有效的时间内设计出面面俱到的测试数据是不现实的，因而增加了检查风险。 (3)反映经济业务的真实性。 由于ERP系统中的财务(FIS)模块与其他功能模块之间信息高度共享，因此企业各项经济活动所产生的对企业财务状况的影响几乎可以实时地得到反映。而系统中如果存在程序错误，则系统是不可信的，不能正确反映企业的经济业务，使得企业资产、负债及损益的核算结果失真。如不能及时发现该类错误，则将带来极大的审计风险。 二、防范ERP系统下的审计风险的对策 为了有效地降低审计风险，实行无纸化商业活动以及无纸化数据库环境下的审计,ERP系统审计将更依赖于对电子数据信息流程的评价证据,而不是绕过计算机审计，我们可以采用以下对策： 1.关注ERP会计信息系统对检查方法的影响 (1)检查线索的改变。检查线索指在业务处理中对文件更新情况的记录。它留下的有关文件的所有操作痕迹，是审计人员把握每一项会计数据的来龙去脉,并进一步对其进行审查的有效途径。在手工方式下,凭证、账簿和报表等各种检查线索，都是严格按照一定的标准填写与登记的,是可见性的文字和数字记录。审计人员可以从原始凭证开始，对会计业务进行追踪,一直到会计报表为止(顺查法);也可以从最后的会计报表开始,追根溯源,一直追溯到原始凭证(逆查法)。在ERP系统中，会计数据的存储介质和存储方式发生了变化，会计数据的生成方式、传递方式也发生了变化，原有的检查线索改变了形式或干脆消失了。如联机实时系统中许多数据来自外部系统的直接转入，失去了原始的文字记录。磁性介质中存储的资料必须要借助于一定的计算机硬件和软件才能读取。磁性介质上保存的数据可能被篡改而不会留下痕迹。由于更新频率快，有些资料还可能是暂存的，很快要被覆盖掉。同时，很多内部的运算可能不留痕迹和线索。 (2)会计系统内部控制的改变。在ERP系统中，内部控制的重点由会计人员和会计业务部门转移到电子数据处理部门，财会人员对交易活动的直接监督减少了，原内部控制体系难以适应这种变化。计算机数据处理的集中性、连贯性，使大部分职权分割的控制作用近于消失，数据存储载体的改变及其共享程度的提高，又使手工会计中的账簿控制体系失去原有的作用。在这种情况下，内部控制一方面要加强，另一方面要采用新的方式。电算化方式下，内部控制按实施环境可分为一般控制和应用控制。一般控制是普遍适用于计算机数据处理的控制，包括组织控制、操作控制、系统安全控制等。应用控制是在运用计算机进行会计数据处理过程中所实施的内部控制，包括输入控制、处理控制及输出控制。 (3)检查内容的改变。在ERP系统中，因为计算机处理的一贯性和稳定性，大大减少了手工处理下的某些错误。但如果系统的应用程序中存在错误或被人非法篡改，则会引起严重问题。因此，除了要对内部控制及数据文件的检查外，还要对计算机系统中的程序文件进行审查，即对系统的可靠性进行测试。另外，新的信息技术的涌现也不断带来新问题，针对这些新的课题，审计人员也必须研究对策。(4)检查技术的改变。手工情况下的检查可进行顺查、逆查或抽查,审查一般采用审阅、核对、分析、比较、调查和证实等方法。对ERP会计信息系统审计,这些方法依然有效，但是计算机辅助检查已经必不可少。 (5)对审计人员要求的提高。面对ERP会计信息系统，审计人员仅仅依靠会计和检查的相关知识已经无法全面了解被检查单位情况。审计人员必须不断学习，较为熟练地掌握一定的计算机知识和技能。 2.注重对被审计单位的了解 (1)了解企业情况。由于在ERP的引入过程中存在误区，许多使用ERP的企业经常存在两种情况:一是和原有的系统并行，一是全面取代旧的系统。因此在前期阶段，审计人员应充分了解企业情况，通过与企业管理层和各业务主管部门的沟通、询问，了解企业的ERP项目是否真正上线成功，运行过程中是否出现过重大问题。处于并行阶段的，很多情况下ERP系统和旧的账务系统之间会存在一个差额，要了解这个差额的形成原因，以及企业如何处置；如果是后者则了解新的系统是否正常运行，以便在不同的情况下，制定不同的审计计划。要熟悉和理解被审计企业ERP软件中所包含的管理思想。要注重与企业的信息主管沟通，必要时可与企业的软件供应商沟通，以充分利用软件本身的统计、分析比较功能，获得丰富的分析性复核资料。 (2)了解主要业务流程。包括材料采购流程、产品制造流程、商品销售流程等。要了解企业系统的整体框架和各个模块的大致框架，对业务流程在ERP中的反映，即从接受订单，到采购、收货、验货、库存管理、生产直至出货销售，从数据流方面有个大致印象。 3.注重对被审计单位ERP系统内部控制的审计 加强对ERP系统内部控制的审计，应考虑计算机条件下内部控制的以下特征: (1)缺乏交易轨迹。 (2)同类交易处理的一致性。 (3)缺乏职责分工。 (4)在特定方面发生错误与舞弊行为的可能性较大。 (5)交易授权、执行与手工处理存在差异。 (6)其他内部控制依赖于计算机处理。 ERP系统下的内部控制包括一般控制和应用控制，在研究评价一般控制时应考虑组织与管理控制,应用系统开发和系统控制,计算机操作控制,系统软件控制,数据和程序控制。在研究和评价应用控制时应考虑输入控制,计算机处理与数据文件控制,输出控制。 4.运用计算机辅助审计时应注意的控制 (1)文件备份。文件备份工作应定期进行，在审计完成后，审计资料的软盘至少应备份两到三份,而且应作好软盘的保管工作。 (2)资料的保密与安全。应制定制度，规定只有经过授权的人员才可以接触审计资料，应使用密码或口令控制审计软件系统的进入。 (3)保存必要的书面资料。企业在使用系统时，未必会书面保存计算机里的资料，审计人员在审计中应要求企业打印出审计所需要的文件并保存。 (4)软件测试。审计人员在使用审计软件前必须检测，还需检查测试版本同审计软件是否兼容。如果使用不当的软件，容易导致新的审计风险。另外如果使用企业的拷贝文件，审计人员应确定拷贝文件与原文件完全一致。 (5)检查程序变更控制。审计人员在信赖被审计单位程序前应检测该控制，被审计单位的计算机程序控制不是一成不变的，旧程序不断被覆盖，年终的程序未必能代表本年的程序控制情况。因此，需要测试被审计单位的程序控制情况。 (6)数据测试。数据测试包括“活数据”测试、“死数据”测试以及在特殊运作中使用“死数据”进行测试。审计人员应考虑数据测试的成本，包括构建模拟交易的成本、预期测试结果的成本和确定控制的成本等。 (7)计算机辅助审计与职业判断相结合。职业判断是审计人员进行审计决策时对各相关方面进行综合考虑的过程，审计人员应将计算机辅助审计与职业判断有机结合，才能有效地控制与降低审计风险。 审计人员在评估被审计单位ERP系统