信息化条件下(ERP)审计研究.doc

信息化条件下(ERP)审计研究XXXX公司内容摘要： 目前被审企业信息化水平日益提高,尤其是企业资源整合力度的加强,在信息化上体现为由原来单纯的FIS(财务信息系统)提升为有机整合在一起的ERP系统。这就迫使审计人员必须尽快地深入了解和研究ERP系统审计的特点和方法,进一步提高审计水平。基于这个目的,本文主要针对内部审计,就当前审计业务中所面临的ERP系统之系统审计策略进行探讨。 关键词：ERP（企业资源计划） 审计 内部审计 挑战 对策 功能 风险管理 ERP实施 。 在信息技术向人们工作、生活的每一个角落发起全面冲击的大潮中，ERP(企业资源计划)这种先进而有效的管理信息系统应运而生，信息技术不仅改变着人们的行为方式，同时也改变人们的思维方式。审计这个以鉴证财务信息的真实、公允为核心的行业不可避免地受到信息技术飞速发展所带来的冲击与挑战。ERP思想是一种十分先进的企业管理思想，以ERP为基本模式所开发的各种ERP应用软件己普遍被许多企业所运用,而且推动了企业的发展和管理效率的提高。ERP软件的成功实施能给企业带来信息和管理上的优势，然而若有不慎也可能带来各种负面效应。对此，若是能很好地发挥内部审计的功能，将能极大地促进ERP的实施，尤其是在风险管理方面。一、 ERP的定义及内部审计的必要性 ERP 是英文 Enterprise Resource Planning 的简写，意思是企业资源规划。它实际上是一个软件系统，其作用是将企业内部增值链上的各个功能部门的运作过程系统化与优化，并将它们集成为一体，使整个企业的运作能够有机地组合在一起，充分地实现部门间的协调与合作，减少摩擦。通过对企业所有资源的整体规划与调度，实现资源的优化组合与分配。ERP在对企业各个部门的运作的集成时必须将企业的经营理念与思想，发展战略与实现手段设计到系统中去，并通过对ERP系统的实施而得以实现。内部审计部门在风险和控制方面的专长可帮助决策者决定ERP是否合理以及哪个软件更合适。内部审计师应询问项目经理要实施的计划，通过对计划的充分审计可达到三个目的：首先，它可以促进有关负责人员在某个特定时间来准备一个更详细的计划;其次，它可以使内部审计师直接改善ERP实施中的质量;另外，内部审计师的报告也可以给更高管理层提供一个工具来了解实施计划中的优点和缺陷，这一报告也可以给管理层在实施ERP过程中提供一个基石，使实施小组各负其责，而不是在事后再寻找原因。二、ERP系统给审计带来的挑战（一）审计环境、线索的改变 在ERP管理平台下，企业的经营管理模式由过去的手工操作变成了自动化网络操作，内部审计环境随之也发生了巨大变化，在手工会计系统中审计线索十分清晰，网络化经营审计线索电磁化，这些磁性介质上的信息不再是肉眼所能识别的，即使被删改也不会留下痕迹。如果系统设计时考虑不周，审计时发现的问题也很难追索其来源。即使系统留有充分的审计线索，但发现和理顺这些线索的方式、方法等，与传统的审计模式有着质的区别。 审计人员首先必须了解和适应审计环境的变化，彻底改变过去的审计模式，找出一条与之相适应的企业内审思路。（二）审计理念的冲击就是你必须相信客户的ERP系统的基础数据，否则审计没有任何基础可言。ERP系统下的财务部门的工作，也都是在建立在系统数据的基础上。他们在分析着ERP系统里的数据，然后得出账龄情况、货龄情况、产品毛利情况，继而给管理层提供收帐政策、付款建议、存货管理及减值计提建议、以及产品定价、淘汰或创新产品的建议。如果我们的审计没有对ERP的信任基础，那么我们的工作将是极为庞大和基本无法完成的。 （三）审计方法带来的挑战实质性测试程序主要能实行程序主要是余额测试和抽样审计。资产负债表的余额测试和损益表项目的抽查测试上，包括：盘点、函证和截止、计价等资产负债表余额测试程序，以及抽查、截止等损益表抽样程序。这种审计方法正是与国外财务在ERP系统下财务的余额控制理念是完全一致的。而国内的审计方法主要体现的是过程审计的理念，对资产负债表借贷方发生额关注比较重视，这种审计方法在ERP系统下可能难以实施，因为企业财务根本不关注这些这些数据，故在ERP系统里很难直接提供的（当然不排除通过编程方法可以得到）。 （四）对审计人员素质带来的挑战由于审计面对的范围发生了变化，在传统的财务软件控制法下，企业所有的业务数据和重要资料都会反馈到财务部，故大部分时候我们的审计人员都是跟财务部门在打交道，与业务部门直接交涉不是特别频繁。但是在大ERP系统下，财务部能提供给你的可能仅仅是电脑数据，要实施任何测试程序，都要与业务部门直接沟通，需要的资料也必须到业务部门索要。这对于审计人员的专业素养和知识面要求都有了新的要求，以前与财务部打交道，用的都是双方理解的财务语言，现在则需要我们更加懂得如何去与企业各业务部门沟通。三、ERP系统下的审计对策（一）为了解决对ERP系统数据的信任基础问题，我们必须在审计中对企业的ERP系统进行深入、全面的了解和测试，这与一般的内控测试不同。内控测试有问题，可以减少信任，而ERP系统如何测试有漏洞，可能就是审计基础发生了问题，可能会影响业务承接或报告意见。 （二）为了解决审计方法上的转变带来的不适，内部审计单位有必要让客户或自己请一些懂数据库编程的人员，将ERP里生成的原始数据转化为我们熟悉的会计系统报表，如传统明细帐、进销存报表、科目余额表变动表和其他我们需要的分析报表等，据我了解，TCL的SAP系统在这些转换表格方面做的不错，这样可以事半功倍，节省很多时间。 （三）最后就是审计人员自身不断的学习，包括沟通能力、知识面，特别值得一提的是英语水平，一般使用ERP的企业大都是大型制造企业，其客户多为海外客户，其涉及的销售合同、对账单等都是全英文，且这些企业业务系统一般也都是英文版。要想做好审计，这些能力都是不可或缺的硬条件。四、ERP审计关注的几个方面大体来讲，主要包括业务流程、关键控制点、系统监控和风险管理这四个方面。当然，这其中的每个方面都包含很多内容。对业务流程的风险管理审计大体包括以下几个方面：应该在系统中运行的业务是否全部通过系统运行;信息是否及时录入系统;录入的信息是否真实、准确;系统运行是否正确，有无系统错误;流程是否通畅，有无缺陷或舞弊的可能，能否进行进一步的优化;识别、评价和应对流程风险的效果等。对关键控制点的内部审计主要关注以下问题：是否对关键控制点进行了识别，识别是否全面;是否建立了关键控制点的风险评价体系;是否建立了关键控制点的预警机制和应对机制;关键控制点的识别、评价、预警和应对机制的适应性和有效性如何;控制方法和手段是否可进一步优化;有无控制不严或失控的现象和可能等。我们有必要对系统监控的风险管理进行内部审计，审查和评价企业及其下属单位是否利用ERP系统进行了业务和绩效的动态监控、监控点及其风险如何识别和评价、监控的权威性及其效果如何、发现问题的处理方式以及应对风险的效果如何、有无监控盲区或监控不力的区域和监控结果的利用情况如何等。对风险管理的内部审计。企业实施ERP以后， ERP已成为企业的生命线，风险可能造成的损失将更加巨大。企业为了防范和降低风险，必须加大风险管理的内部审计力度。四、审计工作中应注意的事项（一）全部信息系统的审计范围，任何系统都是用来收集加工处理数据信息的，这些信息的准确完整和及时与否都决定着用户的决策定制和应用效果。信息的质量决定系统的效果，所以我认为完全有必要对于全部的信息系统进行审计。（二）对于新客户 ，通过与企业管理层和各业务主管部门的沟通、询问，了解企业的ERP项目是否真正上线成功了，运行过程中是否出现过重大问题；处于并行阶段的，很多情况下ERP系统和旧的账务系统之间会存在一个差额，要了解这个差额的形成原因，以及企业如何处置。（三）在制定审计计划时，要把测试控制风险的重点放在财务会计模块（FI）的不涉及具体交易的会计科目之间的转账核算和报表形成阶段。ERP系统庞大而复杂，数据之间关联性强，且涉及到企业内部管理的方方面面，因此即使为了舞弊的需要，一般情况下企业也不会冒险去篡改涉及具体交易的基础数据以及它们相互之间的钩稽对应关系。但是为了各种利益需要，企业管理当局有可能在设置和更改会计报表和财务报表的数据形成流程方面，以及填制或自动生成转账凭证时，利用系统的自定义功能，通过信息主管授予财务部门更大的权限。要特别注意，是否存在完全由企业自己开发的“外挂程序”，重点查证其合法合规性。（四）在外勤现场。要加强对企业资产负债的核实力度，以弥补对系统可能存在的认识不足所带来的审计风险。可以适当提高对企业外部询证和对企业内部财产清查的风险等级，仔细分析询证和清查的结果。 （五）要获取企业的ERP系统操作手册和科目代码表。由此可充分利用系统各模块的强大记录与统计功能，获得详细的审计信息。 （六）对于异地录入的原始凭证，应选择有代表性的一个或几个录入终端，实施实质性测试。 （七）确定实质性测试的重要性水平时，基于单项交易金额小而交易数量多的特点，交易金额的重要性水平要降低，但抽查的样本量要适度减少。五、取得充分、有效的证据（一）获取纸质原始证据。ERP系统虽然实现了会计处理中间过程的无纸化，但企业最终会输出会计报表、有关的管理报表和资产负债明细表。这些报表经企业签章后就形成了直接的审计证据。（二）获取或编制ERP系统的业务流程图。同时可辅之以“穿行测试”等符合性测试记录。这些就形成了内部控制评价的重要依据。（三）利用系统的数据导出功能，将有关的分析性复核所需的数据资料导出，形成常用的Excel等文件格式。对此进行分析、计算，可形成工作底稿。（四）如果存货等资产明细表篇幅过长，可以考虑数据从系统导出后存放于磁性介质里。但最好将含有分类合计数和总的合计数的页面打印出来，以纸质证据保存更为谨慎。（五）系统中调阅相关数据非常便利，在记账凭证的界面上点击特定图标就可以查阅到几乎所有的该项交易信息（企业一般称之为“凭证流”）。但应做好书面的查证记录，必要时对重要的会计凭证和相关单证打印输出，形成查证底稿。 六、内部审计在ERP实施过程中的功能（一）尽管实施ERP是管理层的责任，内部审计也应主动地参与到这一过程中。不要以为系统人员和外部顾客能完全处理好这一过程，也不要认为ERP技术太专业化，要认识到内部审计具有ERP实施过程十分必要的功能，尤其是在风险管理方面。一般而言，ERP的实施会在很短的时间内变动程序、组织结构和技术，这样会带来风险，从而需要风险管理战略，内部审计正善于此领域。 （二）实施ERP并不只是另一个系统项目，大多数ERP的实施不是系统型项目而是经营转型（即会极大地影响经营方式，使经营方式变化）的项目，需要明确区分纯系统型项目的实施和ERP中战略经营转型项目的实施。若不加以区分，会导致失误。因此，内部审计师应参与ERP的计划会议，参加以操作系统和使用者相互影响为内容的讨论，找出什么是推动ERP实施的决策等，然后提前发现问题。 （三）现有优势基础上增长重要技能。内部审计师可通过广泛了解与ERP实施有关的问题来获得主要经营、风险、控制等知识，如可阅读专业出版物和因特网上的文章以及和有ERP经验的内部审计师进行交流等。ERP项目十分复杂，需要懂得各方面的知识和技能，如项目管理，与培训、业绩评价和交流有关的综合文化，对技术或应用的理解，系统开发技能，资源计划框架等。同时，在ERP实施中，对重要技能的掌握应倾向于经营的功能方面而非技术方面，比如增长关于经营领域中的供给链，顾客管理，供货商关系，电子商务等知识。 （四）不要以为系统人员和顾问已经充分考虑了风险、控制和审计责任。有的公司的内部人员和外部顾问的技术都很娴熟，但缺乏关于公司经营环境的经验和对风险、控制问题的基本了解。他们总是考虑技术问题“我们如何清除此障碍？”而不是思考“要完成此，什么方法最佳？”，“如果我们进行变动，有什么风险？”等，此时，如果内部审计部门充分参与进来，情况便会不同。ERP中包括了许多内设的控制措施，但每一项都是要发生成本的，因此，内部审计师应仔细考虑每一项控制可达成什么样的目的，以实现控制风险的目的。 （五）始终掌握充分信息。内部审计应积极参与ERP的实施，到少应了解实施的进程和管理层所做的重要决策，如关于转换日程，企业经营过程的基本变化，转换计划等。这些决策会影响审计师将来的工作，在设计未来审计计划和程序时应充分考虑。 （六）亲自着手工作但要保持客观。当管理层遇上麻烦而示助于内部审计时，内部审计师应避免作决策（尽管他们此时实际掌握着整个进程），应保持独立、客观、公正，并积极亲自动手参与第一线的工作。如果内部审计师不把自身置于决策者的地位就可避免客观隆的矛盾。同时对ERP实施的各阶段进行审计并做出报告以帮助高层管理层评价和分清实施人员的责任。 （七）不要过于相信言过其实的宣传。当今的ERP系统代表着大公司最先进的信息系统，虽然有很多的优势但同样可能产生许多问题。他们往往不像使用者所想的那样灵活，各模块的结合不一定很好，而且尚不能很好地促进电子商务。另外，即使采用了先进的新系统，传统的控制如责任划分，内部检查等并未过时，或许更重要。同时，ERP往往比想象得更昂贵，不可低估对硬件的处理和储存能力的要求和限制及对人员的要求等。此时，内部审计应提醒组织不要为天花乱坠的宣传所迷惑。（八）特别关注来