摘要:随着ERP系统在越来越多的企业实施应用,给企业的内部审计环境、审计线索、审计风险等也带来了一定影响,企业内审人员应参与ERP实施全过程,加强企业内部控制体系、系统原始数据参数等的准确性、安全性等重点内容的审计评估,不断提高自身素质,推动审计信息化建设,才能适应ERP环境下内部审计的发展需求。
关键词:ERP;内部审计;审计对策
ERP(即Enterprise Resource Planning,企业资源规划)是集信息技术与先进管理思想于一身的现代企业运行模式,也是对企业资源进行有效共享与利用的信息系统,其主要目的是使企业的资源在购、存、产、销、人、财、物、信息等各个方面得到合理配置和优化管理,从而更好地应对日趋激烈的市场竞争,提高企业的经营绩效。ERP系统的实施使企业会计处理及财务控制方式发生改变,也给企业的内部审计带来一定影响和挑战。
一、ERP系统的主要特点
1.系统高度集成
ERP系统是个完整的集成化管理信息系统,包括分销、制造、会计、质量控制、售后服务、人力资源、运输管理等子系统,其最大特点是财务信息和业务信息的集成,实行财务与业务、财务与供应链销售链的一体化管理。EPR系统实现了从采购到付款、订单的获取到发票的开出等业务集成,实现了跨职能部门的业务处理,能够达到降低库存、提高资金利用率、控制产品生产成本、缩短产品生产周期、提高工作效率等目的。
2.会计工作前移
在ERP环境下,很多会计数据的录入和生成工作已经前移至业务部门,在财务人员对后台配置相应会计科目后,大部分经济业务只需业务部门的人员录入原始业务数据,由授权部门进行审核、确认、计量,并登录ERP系统进行业务操作,系统自动生成会计凭证,自动完成财务账薄登记和报表生成等。ERP系统中会计的范围大大扩展,形成了自成体系的FI、CO会计模块,渗透到业务流程和核算的全过程,核算方式的变化使会计工作向前延伸。
二、ERP系统对企业内部审计的影响
1.企业内部控制环境发生变化
信息技术的应用使企业的内部经营管理环境和内部控制方式发生了变化。传统的会计系统内部控制是以财务系统数据核算流程监控和内部牵制为控制重点,而在ERP环境下,企业所有的工作流程都按照面向客户、面向信息网络、面向软件应用的要求进行了重组,同时,ERP系统数据处理与存储的高度集中化、自动化,使手工操作时明确的职责分工这一基本内部控制的作用被削弱,相当一部分内部控制点已建立于系统的应用程序中,由计算机自动执行各种检验、核对、判断、监督以及对系统各功能实用的权限控制等;企业的内部控制已转变成以整个业务流程实时控制与决策为核心,形成了管理控制与系统控制并重、人机控制相结合的全方位综合性控制,内部管理权限的严密性以及关键风险点的设置成为ERP环境下内部控制的重点。
2.传统审计线索中断或消失
在手工会计核算系统中,记录经济业务的资料都反映在书面上,每笔交易都有完整的审计线索,交易的环节有文字记录,有经手人签字,审计线索清晰可见。而在会计信息系统中很多纸质信息转换成只有计算机才能识别的编码,数据的输入、输出及存储趋于磁介质化。很多单据、凭证、报表等都可在ERP系统自动生成,许多业务隐性化和数字化,传统的凭证和账簿有的已消失,有的发生了重大变化,变得更隐蔽和复杂。不同于传统的刮、擦、涂、改的方法,舞弊者一旦非法通过计算机系统的“防火墙”,通过对程序的篡改,不仅可以对数据资料进行修改、复制或销毁,还可以消除行动轨迹,不会留下操作痕迹,传统的审计线索就这样中断甚至消失。这在一定程度上增加了内部审计调查取证的难度,也给传统的内部审计技术方法带来挑战。
3.内部审计风险多样化
ERP数据的高度集中,容易引发新的审计风险:一是系统中许多不相容职责相对集中,如操作人员违规使用,或在数据录入过程中恶意采用虚假、修改、省略、延迟录入等手段制造虚假财务数据,且不留痕迹,会扰乱审计工作人员的视线,给审计工作带来风险。二是有些审计人员由于过分信赖ERP系统自动运行处理的结果,对所发现的各项疑点没有进行必要的复查,从而降低审计工作的质量和效率。三是设备风险,由于计算机中二进制数据信息是通过数据线和物理部件来传输和工作的,因而,在数据信息的处理过程中会出现一些影响数据准确性的不安全因素。同时,用于存储数据信息的磁介质在受潮、挤压等条件下容易受损,数据可能会丢失。这些存在于数据的处理和存储过程中的问题可能给审计工作带来一定的威胁。四是网络风险,ERP系统的应用离不开网络环境,网络的开放性和共享性特点将网络本身具有的风险也带到审计工作中来,如计算机病毒入侵和“黑客”对系统的故意破坏等,增加了审计风险。
三、ERP环境下的内部审计对策及建议
1.企业内部审计人员必须参与ERP系统实施的全过程
大多数企业在实施ERP项目之前都要对企业进行业务流程重组,其根本目的就是利用ERP系统的信息优势对企业的运作过程进行优化。从风险管理的角度,内部审计部门应及早参与到ERP实施的全过程中,从ERP系统论证、规划、准备、实施到系统运行,并进行适时监控。审计的内容可包括:ERP项目的决策与规划审计,ERP软、硬件选型审计,对实施人员的工作进行审计,实施合同审计,业务流程控制的审计,对项目的实施进度进行审计和对项目实施效果进行审计等。同时,由于ERP系统业务模块众多,通过跟踪其实施过程,审计人员能够进一步熟悉ERP系统功能与特性,也便于更好地开展ERP环境下的内部审计工作。
2.加强对以下重点内容的评估与审计
(1)加强对内部控制风险的评估,完善内部控制体系。ERP环境中企业原有的内部控制制度发生了许多改变,对内部控制制度的要求也更为严格,一旦制度失控,给企事业单位带来的危害将不可估量。因此,加强对内部控制风险的评估与审计是极为必要的。在ERP系统中,企业内部各个模块的信息是按事先制定的控制标准和通用格式进行传递的,计算机按照这些控制标准进行控制,有效地弥补了人工环境下的缺陷,原来许多由审计人员完成的稽核工作可以由系统完成。但企业经营活动及内部控制中依然存在重大差异或缺陷的可能性。如ERP系统各职能岗位职责是否分离,权限范围设置是否合理,有些控制既可以选择人工控制,也可以选择由系统来控制,这些控制是否得到始终如一的执行,控制的标准是否前后保持一致等。这些都会影响控制的效果,甚至产生重大差异。因此,必须对ERP环境下的内部控制体系进行测试和评估,对内部控制风险进行正确评价,从而促进企业建立健全内部控制制度体系,也能够根据内部控制测试结果安排审计重点,对可能发生的舞弊、差错和重大违纪事项等进行迅速定位,提高内部审计工作效率和工作质量。
(2)加强对ERP系统中原始数据录入的准确性、完整性的抽查。ERP系统中,所用数据都是从终端业务环节开始,财务与生产、采购、销售、库存等环节紧密相连,一环扣一环,做到无缝连接。由于ERP系统使用一个数据库,同一数据源,这就对原始数据准确性、完整性提出了更高的要求。审计过程中,审计人员对系统原始数据的准确性的审核,成为ERP环境下内部审计工作的重要基础工作之一,从而从源头上控制错误和舞弊的发生。