ERP对内部审计的挑战.doc

ERP对内部审计的挑战 目录一、ERP系统下内部审计的背景2二、ERP系统下进行内部审计的困境3三、ERP系统对企业内部审计工作的影响4四、内部审计工作的转变5五、消除ERP环境下内部审计工作认识上的误区6六、ERP环境下内部审计工作的方法6七、总结7内容摘要：ERP系统的实施改变了企业的经营管理方式 ,也带来了企业内部审计工作的转变。本文主要论述了 ERP实施后对企业内部审计工作带来的影响 ,以及与此相适应的在审计观念、审计方法、审计重点等方面的转变。 关键词：企业信息化；ERP系统；内部审计；内部控制;；ERP是企业资源规划Enterprise Resource Planning的缩写。企业资源规划是在先进的企业管理思想的基础上，应用信息技术实现对整个企业资源的一体化管理。它是一种可以提供跨部门、跨地区、甚至跨公司整合实时信息的企业管理信息系统。它在企业资源最优化配置的前提下，整合企业内部主要或所有的经营活动，以达到经济、高效经营目标，实现物流、资金流和信息流的统一。ERP系统实施后，改变了企业的经营管理模式和业务流程，因而必然带来内部审计工作的变化。ERP系统耗资巨大，承载着企业几乎全部的关键业务，因此，如何确保ERP系统按照运营需求正常运转，成为众多企业非常关注的问题之一。一些企业把内部审计从财务延伸到了ERP，开始尝试对ERP系统进行内部审计。对ERP系统进行必要的内部审计，已经被越来越多的企业所采纳。随着计算机技术的发展，电子商务和ERP系统的广泛应用给传统内部审计方法带来极大挑战。企业所有的人、财、物及生产经营业务等，都被纳入一个庞大的系统里面。注册会计师在审计一个庞大企业系统时，往往感到难以驾驭。这时，仅能看懂财务报表是不够的，如果无法了解和评价产生财务报表的系统是否安全和可靠，就很难出具真实、公允的审计报告。另外，在计算机应用越来越广泛的情况下，审计的风险控制措施也发生了很大变化。传统审计的风险控制，比如总帐和分帐要分离。但在计算机条件下，新的风险控制措施大不一样，比如计算机密码口令、病毒保护、数据备份、意外间断的处理恢复等等。计算机技术给传统内部审计方法带来了空前挑战：一是内部控制环节的变化，许多传统的控制手段已经失去意义，评价和改进内部控制必须以信息系统的运转为基础；二是管理的风险增加，由于企业经营越来越依赖于信息系统，除了传统意义上的经营风险、控制风险和财务风险之外，企业信息系统安全性导致的信息风险日益增长；三是对复合型高级人才的需求骤增，要求管理者、审计师和咨询人员必须精通管理和专业的同时还要熟悉信息系统和网络技术。一、ERP系统下内部审计的背景 ERP系统已经深深的影响到各种企业的运行，会计电算化、管理信息系统（MIS）、企业信息系统（EIS）、企业资源规划（ERP）、客户关系管理（CRM）、电子商务（EC）、虚拟企业等概念冲击企业的管理层和领导层，毋庸置疑，信息化建设使得企业的内部也发生了许多变化：1、最基本也是最关键的是ERP系统环境改变了数据和信息的获取方式，提高信息处理的速度。传统方式下，数据的获取靠的是企业员工肉眼观察、手工绘制计算等。在ERP系统条件下，可以利用传感设备全自动地获取所需的数据或信息。由于计算机的介入，减少了手工操作容易出现错误的频率以及检察错误时做的大量的重复工作。虽然信息处理效率的提高有利于企业实施更复杂更有效的控制措施和控制方法，提高内部控制的效果和效率。但是借助高速的信息处理能力，企业员工或管理者造假的能力也能得到提高，例如：利用报表编制程序快速编制多份虚假财务报表等等。这也就给审计工作增加了难度。2、信息的传输介质变成了计算机网络，使企业的业务流程的自动化程度提高，减少了许多中间环节花费的冗长的时间。对于集团企业的特点就是以往的信息往来，如报表报送等花费较长的时间而且必须有人带回总部，现在只需在网络传输，无论哪个分公司只要进入Internet，有什么信息都可以准时地送达。往常总部向下属公司传达一般的信息现在只要几分钟就解决了。但是企业的管理人员素质参差不齐，尤其是关键岗位没有得到实际的重视，因此是否能够真正做到人机对话是要解决的关键环节。3、信息存储介质由纸变为磁盘或光盘。磁介质或光介质具有存储密度大、擦写不留痕迹的特点，对内部控制的影响是双方面的。存储密度大使得企业可以集中保存数据和信息资源，便于对其加以保护，但一旦毁损或被盗将使企业遭受更大的损失。擦写不留痕迹使得数据被篡改的可能性增大，需要加强内部控制。4、企业高管层进行决策时获得的信息量更大、获得信息的速度更快，同时也更难辨别真伪。企业领导足不出户，就能够在电脑屏幕前对遍布全国甚至世界的分子公司和项目有所了解，甚至利用鼠标就能进行交易、调动资金、指挥员工。同时也对企业的内部控制提出了更高的要求。5、人对人的工作大部分转为人对机的工作，也就更需要依靠员工对已有信息的高度理解力和与计算机的沟通能力。在信息化环境下，人们可能越来越多地通过计算机网络进行联系和沟通，人与人之间的直接接触将有所减少。而且网络世界具有无形性和匿名性的特征，这从而也影响控制环境。二、ERP系统下进行内部审计的困境虽然ERP系统为企业的内部控制提供了更迅达、更便捷的方式方法，同时为内部审计工作提供了更全面、更直接的数据平台。但是，并不意味着审计工作更简单、不被需要了，内部审计工作，尤其是大中型企业的内部审计工作仍面临着在新形势下的困境。1、 员工素质参差不齐仍是内部控制及内部审计在信息化环境下工作的主要障碍之一。首先，缺乏经验的员工无法保证原始数据的准确性和完整性，这无疑是给内部审计又增加了一项审核录入数据是否真实可靠的工作。在许多企业改制过程中，采取内退、转岗等各种渠道来解决机构臃肿等问题，但同时也为内部控制及内部审计工作带来许多问题。比如说，在简单的电子表格处理中仍然是先用计算器算好了数据填写在表格中，电子表格中的数据之间竟然没有任何的勾稽关系，这样在审计时还要重新核对每一笔数据，更关键是它直接影响到审计人员的心理，会对所有的数据产生怀疑，也只有通过增大审计样本工作量的方式来避免审计的风险。而ERP环境下所用数据都是从各业务环节开始，财务与生产、采购、销售、库存等环节紧密相连，一环扣一环，真正做到了无缝连接。如ERP系统中的材料采购部分，从采购合同的情况，入库的数量价格、库存情况以及实际开采购发票和提货出库时，系统都自动进行账务处理，自动生成记账凭证传到财务部分，财务人员可以通过操作由系统进行自动审核、记账，也可以进行人工审核。ERP系统使用一个数据库，二者同一数据源，因此如果在材料管理这一个环节出了问题，导致数据的准确性、完整性不能保证，那么ERP系统“进去的是垃圾，出来的肯定也是垃圾”。从而导致内部审计工作不仅无法借助ERP简化审计程序，反而增大了审计的工作量，因为审计无法随意更改软件的数据来调整出正确地结果，还是重新转化出来重新设置公式进行计算。其次，是审计人员自身的专业素质无法满足信息化环境下审计工作的需求。企业内部控制的环节就多而杂，也就使得内部审计工作更具有挑战性。内部审计人员除了某一专业知识外，必须对本企业内相关专业有一定的了解，否则，当一位审计人员面对计算机时，便无法从某一些其他专业的信息发现隐患，杜绝风险。还有，是管理层的领悟能力。在某种程度上，计算机只是按照程式进行信息处理，其输出的结果需要被管理者来使用，那么计算机处理的结论是否正确、全面、符合要求就要依靠管理者的主观判断了。就算所有的结论都满足了要求，使用这些数据的管理者是否意识到这些数据的内涵和意义，如何暴露出数据表征下的实质性症结，都和管理者的知识深度、广度和理解力是分不开的。例如，资金紧张表象下原因真实反映在应收账款过大、盲目投资以及经营状况恶化等内在问题，需经营部进一步分析对症下药，因材料假出库或虚计在产品完工程度，虚列成本费用造成的利润不实。2、 缺乏对ERP系统下内部控制工作的长期规划。而对于内部控制来说，不可能短期见效，尤其是在企业的员工综合素质水平偏低的情况下。企业领导人因无法马上见到内部控制的成效，也就不了了之，根本没有把内部控制工作的信息化建设作为一项建设在做，没有内部控制工作的信息化建设，内部审计工作的信息化环境也就无从谈起。3、 资金与技术的投入不足使内部审计工作缺乏ERP系统的保障。在ERP系统下的审计工作不是孤立的，它借助的正是其他业务系统的即得资料，没有其他业务的计算机系统支持，再好的审计软件都无法运行。也就是说内部审计的信息化环境必须是整个企业的、各业务系统的软件开发，然后是内部审计软件的开发。ERP系统将投入巨大的资金和技术力量，内部审计工作的业绩是潜在的、长期的，而企业不愿意投入大量资金和技术力量去做也许在任期间都无法见到明显成效的开发。三、ERP系统对企业内部审计工作的影响1、 企业内部审计环境发生了变化。首先，企业管理流程的优化使内部控制发生了变化。信息技术的应用使企业的内部经营管理发生了质的变化，企业所有的工作流程都按照面向客户、面向信息网络、面向软件应用的要求进行了重组，相当一部分的内部控制点已建立于系统的应用程序中，由计算机自动执行各种检验、核对、判断、监督以及对系统各功能实用的权限控制等；其次，传统的审计线索消失。在手工会计中，凭证、账簿等审计线索主要是反映在书面上的，审计人员可利用这些书面材料从原始凭证查起，通过对报表之间、报表与账簿之间会计数据的勾稽关系审查凭证账簿所反映的经济内容的合法性与业务处理的正确性。而实施ERP系统后，这些传统的审计线索可能会部分或完全消失。2、 企业内部的审计内容与审计重点发生了变化。在ERP系统中，由于会计事项由计算机按程序自动进行处理，发生在原有手工会计系统中的计算或过账错误的机会相应减少了。但如果ERP系统的应用程序出错或被人为纂改，则计算机只会按给定的程序以同样错误的方式处理有关的会计事项，错误的结果将十分严重。因此，在ERP环境下，审计内容更加广泛。审计人员既要对计算机管理信息系统的处理和控制功能进行审查，以证实其处理的合法性、正确性、完整性和安全性，又要参与ERP系统的设计和开发，以免ERP系统在企业投入使用后，再改进时付出更昂贵的代价。实施ERP后企业的内部审计重点应当转移到风险管理领域。3、 对企业内部审计人员的素质要求发生了变化。实施ERP系统后，庞大的信息实现了高度集成与共享，加之ERP环境比传统会计系统更为复杂，审计对象也更广泛，内部审计只依靠原有的知识和技能无法胜任对ERP系统环境的审计工作。因此，内部审计人员除了要具有过硬的业务素质外，还应能理清ERP各个子系统数据的来龙去脉，掌握ERP系统的使用平台和网络环境，熟悉数据库技术，才能很好地理解企业的经营管理活动与系统的各项功能设置，才能全面地把握审计的总体情况并对内部控制进行有效的评价。四、内部审计工作的转变ERP系统需要全面集成企业产供销各个环节的资源信息，从而为企业提供决策、计划、控制与经营业绩评估的全方位和系统化管理平台。审计人员开展审计项目时不能再照搬以前的经验，不能单纯围绕会计凭证与会计账簿查找问题，而应对ERP系统中整个业务流程进行分析，结合企业管理制度、控制执行情况，进一步转换审计方法，运用数学分析的方式找出审计证据，并通过审计系统应用软件进行全面再现审计，从而开创内部审计工作的新局面。1、 围绕具体的审计目的开展工作。在ERP环境下，审计目的由传统的以财务审计为主的审计模式向综合管理审计转变，加大对财务数据分析力度，为整个组织的协调、可持续发展提供智力支持，审计目的逐渐多元化。在ERP环境下，传统审计所包含的查错防弊目的仍然存在，但更加侧重于审查ERP系统本身产生差错的根源以进一步完善系统，并分析对企业经营目标产生的影响。同时，企业的供应链“纵向到底，横向到边”，高度的数据集成要求审计人员必须紧紧围绕审计目的开展工作。2、 通过访谈、调查问卷等形式熟悉被审计单位ERP系统的运行情况。ERP系统运行环境下，审计总体目标主要包括：维护企业财产安全；增加企业经济效益；提高执行部门工作效率、效果。审计人员虽然对ERP系统的开工报告、运行报告进行详细了解，但对于系统的运行程度不甚了解，无法确定在那个运行环节存在风险、且风险对业务的影响程度多大都无法确定。为此，审计人员首先要对系统设计者、系统操作者、系统维护者进行访谈或者以调查问卷的形式了解ERP运行情况。通过这种方式，可以了解系统原始数据来源于信息系统的联系，了解系统应用的满意程度以及系统运行情况。3、 全面掌握被审计单位内部控制运行情况及相关制度落实情况。开展审计业务时，由于审计线索模糊，审计人员必须明确ERP系统运行主要依靠什么进行控制，且结合访谈、调查问卷获悉的内容，分析控制是否能够达到降低或减少风险的作用，以确保系统能够有效运行。ERP系统运行后，审计证据具有隐蔽性和动态性，通过熟悉制度，进一步明确系统运行过程中，是否对某些隐性数据或者动态数据进行约定，限制操作人员操作权限，以及控制实施过程中需要关注的环节。4、 注重对保证ERP系统稳定运行的数据资料进行查验。ERP系统采用高端的信息技术，对整个“供应链”的信息进行数据集成，但ERP系统本身是否能够达到运行标准，是否能够及时合成物流、资金流以及信息流的信息，这就要对系统本身的有效性进行审计。为此，审计人员的主要任务之一就是查阅ERP系统运行前期调研报告，开工报告，业务流程图、重要业务的流程说明以及试运行阶段的工作记录，确保信息系统能够达到采集数据、合成信息以及数据分析的“任务”，保证系统在设计阶段不存在误差。5、 加强对ERP系统中原始数据录入的准确性、完整性的抽查。ERP系统中，所用数据都是从终端业务环节开始，财务与生产、采购、销售、库存等环节紧密相连，一环扣一环，做到无缝连接。由于ERP系统使用一个数据库，同一数据源，这就对原始数据准确性、完整性提出了更高的要求。审计过程中,审计人员对系统原始数据的准确性的审核，成为ERP环境下审计工作的重要基础工作之一，从而从源头上控制错误和舞弊的发生。6、 准确地运用计算或分析性复核等方式确认审计证据。审计证据是确保审计成果的重要物实。ERP系统运行后，审计证据匮乏，审计成果缺少有效的证明材料，为此，审计人员只能通过大量的数据计算分析得出较为适宜的审计证据，从而保证审计成果。通过系统中的数据材料或者系统输出的数据，与上期、计划、上年同期，同业平均水平进行比较，进行抽查验证。同时，数据分析不能单一停留在某一环节，因为ERP系统的高度集成将使整个系统数据依靠同一个数据源，如果某一环节出现错误那将导致整个系统出现错误，所以必须同时通过物流、资金流、信息流的数据进行分析，通过大量的数字勾稽关系以及业务逻辑关系进行确认，才可能得出结论。另外，审计记录也是开展审计工作的重要保证。7、 积极探索审计信息系统与ERP系统的连接。基于信息化的审计环境，审计人员除了改变手工环境下的审计方法以外，还需要积极探索审计信息系统与ERP系统的有效链接，实现“物流、资金流、信息流”的信息共享，便于开展实时审计。通过审计信息系统与ERP系统的有效链接，审计人员能够迅速掌握会计核算与其他系统信息传递的关系，获取有效的审计信息，辨别经济业务的真伪，发现管理活动中的薄弱点，提高审计工作的正确性与准确性。五、消除ERP环境下内部审计工作认识上的误区误区一，上了ERP后内部审计工作职能的削弱。有人认为，上了ERP后内部审计部门没事干了，原先很多审计工作可以通过ERP的业务流程的整合，ERP的稽核功能解决，内部审计工作职能就相应削弱。我们认为，在新的环境下对内部审计人员来说，一方面要加强ERP知识和电子商务等专业知识的学习和培训，提高综合素质，另一方面要积极开展ERP系统审计的研究工作，将审计工作重点逐步进行转移，从某种意义上讲，而是审计职能的加强，审计的职能从查错防弊逐步向如何加强企业管理、强化企业内部控制、新环境下的风险分析与控制等方向转变。误区二，按照传统审计思路开展审计工作。有人认为：ERP环境下，只需将所需的数据从ERP系统中导出，然后按照旧的工作思路和方法进行核对，不加分析，不加判断，继续按照旧环境下容易出现的错误及舞弊为起点进行审计，其结果可能是既浪费时间又没有成效。因为许多核对工作ERP系统已经能自动完成，或者说通过添加一些程序能较快地完成，能大量地减少我们的核对工作。对此，我们应改变工作思路和方法，积极开展新环境下内部审计工作的新方向、新思路研究，开展ERP信息系统审计工作的研究，才能使内部审计工作进一步发展和提高。六、ERP环境下内部审计工作的方法1、 溯本求源。ERP系统具有追溯功能，即任何信息都可通过流程追溯功能，逆向追溯到信息源头，正向追溯到最终结果。审计时，我们可以充分利用该功能，溯本求源，提高对风险的识别和评价能力；还可根据追溯结果判断审计事项的发展方向，明确相关审计事项，评价风险应对措施的适应性与有效性，并提出进一步改进的意见。2、 当机立断。即实时性，ERP系统内的信息是实时共享的，原始数据只需一次输人，各模块便可根据需要实时调用，直至编制出最终报表。因此，审计人员可以根据需要实时收集自己感兴趣的资料，并通过系统将这些资料实现共享，从而进行实时审计，以弥