对ERP系统下审计工作的思考.doc

对ERP系统下审计工作的思考ERP系统是建立在计算机信息技术基础上、以系统化的管理思想、对企业产供销的全部生产过程进行动态监控的管理系统，具有存货管理、生产中心、财务预测、资源调度等方面的功能，成为企业进行生产管理及决策的平台工具。ERP系统主要包括财务会计、管理会计、采购、销售、库存管理、物流管理、生产计划、设备管理等核心业务功能，此外还有项目管理、投资管理、资金管理等辅助功能。它是对企业物流、资金流、信息流进行一体化管理的软件系统，其核心管理思想就是实现对“供应链（Supply Chain）”的管理。一、ERP系统下审计工作的特点（一）审计内容和范围增加ERP环境下由于所有信息全部实现了电子传输，交易过程及交易信息反映的直观性大打折扣，数据的关联性更强。审计人员不应仅局限于财务会计系统，而要延伸到其他模块，追溯到原始数据的输入及各模块关键环节的控制情况。由于系统的介入，数据的准确性不仅受主观因素的影响，又与计算机自身（如黑客侵入，病毒危害等）有关，ERP系统运行的稳定性、安全性纳入了审计的范围，必须对ERP系统功能进行测评。另外，ERP系统实现了整个供应链的统一，企业的财务收支及其有关的经营管理活动不仅涉及企业的内部资源，还涉及企业的外部资源。（二）审计轨迹无纸化在传统会计处理中，每笔交易都有完整的审计轨迹，交易的每一环节都有文字记录，都有经手人签字，审计线索十分清楚。审计人员可以从原始凭证开始，到记账凭证，再到各类账簿，一直到报表为止，对交易事项进行追踪；也可以从对报表的分析开始，一直追溯到原始凭证。纸制文档提供了大量可靠的授权与执行权的审计证据，而ERP系统下纸质的文字记录不断减少，转为全面依赖电子系统，从原始数据的录入到报表的自动生成，几乎不需要人工干预，肉眼可见的传统审计线索在这里中断、消失了，这就增加了审计调查取证的难度。同时，ERP系统可以根据确认的经济业务自动生成凭证，这些集成的凭证按照计算机程序指令进行。如果软件编码、程序正确，其财务数据应该更加准确。但是由于人为的介入，如对上述信息、程序的修改、删除，也可能不会留下任何痕迹，企业作弊的动机也更大，另外，ERP系统本身设置的可修改性、多功能性（如反过账、反审核、反结账）在为企业财务提供方便的同时，也存在一定的隐患，加大了审计的难度，降低了审计线索的追溯性。（三）控制测试更加重要在ERP系统下，审计人员面对的是一个无纸化的审计轨迹，并且依赖于系统输出的财务报告。为了对财务报告发表审计意见，审计人员必须着重收集足够的审计证据。在传统的报表审计中，审计人员一般针对某个时点的财务数据进行大量的实质性测试，而对于ERP系统来说，则需要在持续经营的基础上对公司运营进行评价，对ERP环境下的各业务流程进行控制测试。系统内部控制的测试要比手工条件下重要得多。（四）审计程序有所调整ERP系统改变了审计的环境、审计的内容，审计的程序也应作相应变化，ERP环境下审计的程序如下：首先是对被审计单位网络财务系统硬件环境的审查、对被审单位网络财务系统的运行情况审查、对具体业务的审查，其次是汇总整理，编制审计报告。在ERP系统环境下，由于大量的证据都在存储介质上，对这些证据，审计人员只能利用计算机技术进行取证。由于系统的持续运行，使得审计人员很难让其在某一特定时间停下来接受大规模的测试，但ERP系统下的审计对系统进行测试是必可不少的程序，而且要在系统运行的同时采用在线实时的审计方式。（五）对审计人员的要求更高实施ERP系统以后，由于内部控制、审计内容、审计线索、审计技术等方面的变化，提高了对审计人员能力水平的要求。不懂得计算机技术的审计人员，会因为审计线索的改变而无法跟踪审计，会因为不懂得ERP系统的特点和风险而不能审查和评价其内部控制，更无法对ERP系统本身的可靠性、安全性和效率性进行评价。因此，审计人员不仅要有丰富的会计、审计理论和实务方面的知识，而且还要掌握计算机信息技术。二、ERP系统下审计工作的风险ERP系统下的审计与传统审计相比，其主要风险就在于企业的ERP系统是否能够真实地反映企业的各项经济业务。ERP系统下审计工作的风险主要表现在以下三个方面：（一）固有风险手工条件下，纸面上的信息易于辨认、追溯。而在ERP系统中，由于存储介质的改变，一旦非法用户透过计算机系统的“防护墙”，那就极易破坏和修改电子数据且不留痕迹；此外，计算机病毒、电源故障、操作失误、数据处理错误和网络传输错误也会造成实际数据和电子账面数据不相符，存在会计数据被滥用、篡改和丢失的可能，增加了审计的固有风险。（二）控制风险在手工条件下，内部控制一般表现为对人的控制，强调职责分工，相互牵制，采用的手段主要是利用纸面信息，进行手工核对和检查，责任容易明确，结果也比较直观。但是在ERP系统中，内部控制转变为对人和机器两方面的控制，以对机器的控制为主。ERP系统实现了从采购到付款、订单的获取到发票的开出等业务集成，实现了跨职能部门的业务处理，使过去跨部门的审批流程得到简化和压缩。压缩所造成的一个结果是，用于企业内部控制的许多审计线索在ERP系统的引入后消失了。同时，企业过去基于文件审批的内部控制机制，也无法适应ERP系统基于流程的管理需要。更重要的是，由于企业的业务运作更加依赖于ERP系统，这种依赖性和信息系统本身特点所形成的脆弱性，形成了企业新的控制风险。（三）检查风险由于ERP系统中的财务模块与其他功能模块之间信息高度共享，因此企业各项经济活动所产生的对企业财务状况的影响几乎可以实时地得到反映。如果系统中存在程序错误，便不能正确反映企业的经济业务，使得企业资产、负债及损益的核算结果失真。审计人员若不能及时发现该类错误，则将带来极大的审计风险。三、ERP系统下对审计工作的要求（一）转变审计理念在没有找到相关确切证据之前，审计人员必须相信被审计单位ERP系统的数据，否则审计没有任何基础可言。ERP系统下企业各部门的工作，也是在建立在系统数据的基础上。他们分析ERP系统里的数据，然后得出账龄情况、货龄情况、产品毛利情况，继而给管理层提供信用政策、付款建议、存货管理及减值计提建议、产品定价、淘汰或创新产品的建议。如果没有对ERP系统的信任基础，那么审计工作基本无法完成。（二）提高沟通能力在传统审计中，企业所有的业务数据和重要资料都会反馈到财务部，故大部分时候审计人员都是跟财务部门在打交道，与业务部门直接交涉不是特别频繁。但是在ERP系统下，财务部能提供的可能仅仅是电脑数据，要实施任何测试程序，都需要与业务部门直接沟通，相关资料也必须到业务部门索要，而与被审计单位不同人员之间建立良好的沟通和协作是高质量完成审计工作的保证。这对于审计人员的专业素养和知识面要求都有了新的要求。（三）改进审计方法以前的审计更多体现的是过程审计的理念，对资产负债表借贷方发生额关注比较重视，这种审计方法在ERP系统下可能难以实施。在ERP系统下，财务部门的管理范围，主要集中在资产负债表余额的管理上，而不是发生额的管理。因为发生额是由业务部门来控制的，如采购部门、仓储部门、生产部门、销售部门等，这些部门的每一个动作就对应产生一笔会计分录。在ERP系统下，应该把审计的重点放在资产负债表的余额测试和损益表项目的抽查测试上，即余额测试和抽样审计，包括：盘点、函证和截止、计价等资产负债表余额测试程序，以及抽查、截止等损益表抽样程序。这种审计方法与国外ERP系统下财务的余额控制理念也是一致的。具体思路如下：1.注重对被审计单位的了解 （1）了解企业主要业务流程审计人员要了解企业主要的业务流程，包括材料采购流程、产品制造流程、商品销售流程等，对业务流程在ERP系统中的反映，即从接受订单，到采购、收货、验货、库存管理、生产直至出货销售，在数据流方面有一个总体全面的印象。（2）了解企业ERP系统基本情况在ERP系统的引入过程中通常存在两个阶段:一是和原有的系统并行，一是全面取代旧的系统。审计人员应通过与企业管理层和各业务主管部门的沟通、询问，了解企业的ERP项目是否真正上线成功，运行过程中是否出现过重大问题。处于并行阶段的，很多情况下ERP系统和旧的账务系统之间会存在一个差额，要了解这个差额的形成原因，以及企业如何处置。要熟悉和理解被审计企业ERP软件中所包含的管理思想，注重与企业的系统管理人员沟通，必要时可与企业的软件供应商沟通，以充分利用软件本身的统计、分析比较功能，获得丰富的分析性复核资料。2.把握好风险测试的重点在制定审计计划时，要把测试控制风险的重点放在财务会计模块的不涉及具体交易的会计科目之间的转账核算和报表形成阶段。由于ERP系统庞大而复杂，数据之间关联性强，且涉及到企业内部管理的方方面面，一般情况下企业也不会冒险去篡改涉及具体交易的基础数据，以及它们相互之间的勾稽对应关系。但是为了自身利益需要，企业管理当局有可能在设置和更改会计报表数据形成流程方面，以及填制或自动生成转账凭证时，利用系统的自定义功能，通过系统主管授予财务部门更大的权限。大中型企业的ERP系统一般都进行过二次开发，在计划控制测试时应对二次开发新增的功能内容予以重视。在ERP环境下，应该对企业成本分摊循环、工艺参数设置、折旧计提等系统设置的一贯性进行检查。对于集成数据部分，除了要从源头、结果把握外，我们还应关注中间环节中的参数设置的改变。通过检查，可以发现企业是否存在随意调整成本的分摊循环比例、工艺参数的设置比例、会计折旧计提方法、计提比例等现象。3.重视实物资产检查核实某些企业为了提高当年度销售收入，可能会要求系统操作人员提前录入订单或虚构销售出货。审计人员应提高警惕，对于库存管理模块,应予以特别关注。审计人员可以直接在系统中导出历史和当期库存查询,导出之前,要查看企业的销售是否全部过账、审核,如发现未过账情况,要查明其原因,分析企业是未来得及发货还是为应付审计的需要，对实际未出货而已打单作为销售的部分采取反过账(未过账则不影响库存)。审计人员根据需要对查询报表进行筛选或数据透视后，可以对存货进行抽盘。通过实地盘存的数量与ERP系统数据进行对比、分析来查看企业的账实相符性。同时，为了弥补审计人员对ERP系统认识不足带来的审计风险，可以适当提高外部函证比例，将询证数与系统数、财务报表数据进行比较、分析，以提高审计效率和降低风险。4.扩大审计的范围对ERP系统的审计不能仅仅局限在财务会计模块。ERP系统的其他功能模块，如销售和分销、物料管理、生产计划、人力资源等，对于核实企业资产负债的真实性、交易过程的合规合法性，检查企业内部控制的执行情况，能发挥非常重要的作用。5.加强在线授权与审批程序的测试与评估ERP系统上线后，企业的业务授权与审批程序都发生了很大的变化，审计人员必须到审计现场了解和测试被审计单位ERP系统的系统权限设置及各业务模块的审批程序，以测试和评估其执行状况。审计人员可以依据被审计单位ERP系统流程设计图和相关规定来设计调查方法，以便检查审批程序是否严格按照制度规定执行。四、ERP环境下的审计实例（一）计划阶段1.主要业务流程介绍月初生产技术部门根据下达的生产任务创建生产订单（生产计划），生产订单分线分品种确定，即一条生产线一个品种每月创建一个生产订单，生产订单主要内容包括：物料名称、生产量、原辅料消耗定额、公用工程消耗定额、直接人工成本定额、制造费用定额等。操作员每天按照车间上报的生产量及时调整已创建的生产订单中的计划数，月末根据相关数据调整生产订单中的以下实际数据：即根据车间原辅料实际盘点数倒算本月该订单原辅料实际消耗量；录入该订单公用工程实际消耗量；根据车间实际入库量剔除期初期末在制量计算出实际生产量。2.分析存在的内控薄弱环节通过对业务流程的分析，审计认为该部分存在如下风险：一是操作员按月未原辅料盘点数倒推本月实际消耗量，对生产过程中的毁损、灭失、偷盗、人为调节消耗等风险难以实施控制。二是操作员根据本月入库量剔除期初期未在制量计算出本月生产量，未能正确反映出实际生产量，对生产下线后至验收入库过程中存在的毁损、灭失、偷盗、转移、人为调节产量等风险难以实施控制。3.确定审计重点根据上述分析确定审计重点为：生产量的真实性、生产消耗的准确性、成本数据的可靠性。4.初步评估ERP系统控制审计人员在对某单位的产品销售情况进行审计前调查中发现ERP系统中可以实现销售价格和销售数量的自动控制，但通过穿行测试发现该事业部未将该部分的控制纳入ERP系统的自动控制范围，而是继续通过传统的人工控制来实现，因此，审计人员就要适时调整审计工作重点，将对销售价格和销售数量的执行情况作为审计的重点考虑。5.熟练掌握ERP中相关的查询功能，只有掌握了查询功能，我们才能找到所需的相关资料和信息。6.导出所需的业务资料，进行分析、比较。7.编制切实可行的审计工作方案，进行合理的人员分工。例如，按照所涉及的模块进行分工，每个小组成员负责一个模块的工作，从分析业务流程、确定该模块的审计重点到收集、整理、分析相关资料，据此开展审计工作。（二）实施阶段1.抽样核对原始数据的准确性审计人员选择对生产量进行核对，将生产车间记录的生产量、打包量的原始单据与ERP系统中生产订单的相关数据进行了核对。选择核对生产量，主要基于以下两点考虑：一是生产量是入库量、销售量、单位成本的基础；二是生产量的核对工作是根据业务流程分析出的审计重点。接下来就是确定审计抽查范围，审计人员的主要思路是生产的不稳定期间容易出现多计少计生产量以达到