ＥＲＰ系統下的審計風險防范

[摘要] ERP是指建立在信息技術基礎上，以系統化的管理思想，為企業決策層及員工提供決策運行手段的管理平臺。它是對企業物流、資金流、信息流進行一體化管理的軟件系統，其核心管理思想就是實現對“供應鏈（Supply Chain）”的管理。本文結合ERP系統下的審計風險的特點，提出了幾點防范的建議。

[關鍵詞] ERP系統 審計風險 防范

ERP系統是以計算機為核心的較為成熟的企業管理系統，實行動態監控產、供、銷的全部生產過程，具有存貨管理、生產中心、財務預測、生產能力、資源調度等方面的功能。它配合企業實現質量管理和生產資源調度管理及輔助決策，成為企業進行生產管理及決策的平臺工具。目前，國際上普遍被采用的ERP系統軟件有SAP、Baan、JDE、Oracle、PeopleSoft、QAD等。盡管國內外各ERP軟件產品在適用企業規模、軟件功能、技術架構等方面不盡相同，但它們對于ERP核心業務的功能基本相同，包括：財務會計、管理會計、銷售、采購、庫存管理、物流管理、生產計劃、設備管理。一個典型的ERP系統除了上述功能外，通常還包括項目管理、投資管理、資金管理等輔助功能。ERP系統的應用，使得企業提高了運行效率，但同時又產生了新的審計風險。

一、ERP系統下的審計風險

ERP審計與傳統會計審計相比，其主要的特有風險就在于企業的ERP系統是否能夠真實地反映企業的各項經濟業務。

1.固有風險

手工系統中，紙面上的信息易于辨認、追溯。而在ERP系統中，由于存儲介質的改變，一旦非法用戶透過計算機系統的“防護墻”，那就極易破壞和修改電子數據且不留痕跡；計算機病毒、電源故障、操作失誤、數據處理錯誤和網絡傳輸錯誤也會造成實際數據和電子賬面數據不相符，存在會計數據被濫用、篡改和丟失的可能，增加了固有的審計風險。

2.控制風險

在手工條件下，內部控制一般表現為對人的控制，強調職責分清，相互牽制，采用的手段主要是利用紙面信息，進行手工核對和檢查，責任容易明確，結果也比較直觀。但是在ERP系統中，內部控制轉變為對人和機器兩方面的控制，而且主要是對機器的控制為主。

ERP系統實現了從采購到付款、訂單的獲取到發票的開出等業務集成，實現了跨職能部門的業務處理。在這種情況下，ERP系統中單一的數據庫，使過去跨部門的審批流程得到簡化和壓縮。壓縮所造成的一個結果是，用于企業內部控制的許多審計線索在ERP系統的引入后消失了。同時，企業過去基于文件審批的內部控制機制，也無法適應ERP基于流程的管理需要。更重要的是，由于企業的業務運作更加依賴于ERP系統，這種依賴和信息系統本身特點所導致的脆弱性，形成了企業新的業務風險。例如，在ERP系統中，通過對手工流程的機器處理，比如審批處理自動化等，進一步增強了完成各種業務流程的效率。但是，在新的業務執行環境中，這些審批處理的自動化方法將改變企業內部原有的一些風險特征，這時相應的內部控制體系就需要重新評估和設計。

(1)電子數據存在使審計線索減少或消失的可能性。傳統會計處理的每一步都有文字記錄和經手人的簽名，審計線索清晰。但在ERP系統中，從原始數據的錄入到報表的自動生成，幾乎不需要人工干預，傳統的審計線索不復存在，為追查審計線索帶來了極大的困難。

(2)原始數據的錄入存在錯漏的可能性。ERP系統下，大量的記賬憑證仍靠人工錄入，如果輸入了錯誤的數據，表面上的機制憑證、賬簿、報表還是互相平衡，這就掩蓋了人工錄入的錯誤。如果漏輸了數據，更是無法察覺。

(3)有意或無意使設置權限密碼，實行職責分工的約束機制有失效的可能性。在ERP系統中，一是通過劃分操作員的責任范圍，設置權限和密碼實現人員分工，二是通過軟件設計劃分若干子系統或功能模塊設置不同的責任中心。由于權限設置的重疊或跨責任中心越權設置，使這一控制措施有可能形同虛設。

3.檢查風險

(1)會計軟件的更新換代，使歷史文件難以提取。對賬戶或交易的實質性測試往往離不開企業的歷史數據，由于軟件版本的更新、平臺的遷移，難以從往年的賬簿中提取這些歷史數據，使得審計不得不從大量的文檔中收集整理歷史數據。這不僅降低了審計效率，而且帶來了更多的檢查風險。

(2)內部控制主要依賴軟件本身，增加了難以全面檢查測試的可能性。在ERP系統中，內部控制融于軟件中，肉眼無法察覺，這就需要設計測試數據來測試軟件的控制能力。而要在有效的時間內設計出面面俱到的測試數據是不現實的，因而增加了檢查風險。

(3)反映經濟業務的真實性。

由于ERP系統中的財務(FIS)模塊與其他功能模塊之間信息高度共享，因此企業各項經濟活動所產生的對企業財務狀況的影響幾乎可以實時地得到反映。而系統中如果存在程序錯誤，則系統是不可信的，不能正確反映企業的經濟業務，使得企業資產、負債及損益的核算結果失真。如不能及時發現該類錯誤，則將帶來極大的審計風險。

二、防范ERP系統下的審計風險的對策

為了有效地降低審計風險，實行無紙化商業活動以及無紙化數據庫環境下的審計，ERP系統審計將更依賴于對電子數據信息流程的評價證據，而不是繞過計算機審計，我們可以采用以下對策：

1.關注ERP會計信息系統對檢查方法的影響

(1)檢查線索的改變。檢查線索指在業務處理中對文件更新情況的記錄。它留下的有關文件的所有操作痕跡，是審計人員把握每一項會計數據的來龍去脈，并進一步對其進行審查的有效途徑。在手工方式下，憑證、賬簿和報表等各種檢查線索，都是嚴格按照一定的標準填寫與登記的，是可見性的文字和數字記錄。審計人員可以從原始憑證開始，對會計業務進行追蹤，一直到會計報表為止(順查法);也可以從最后的會計報表開始，追根溯源，一直追溯到原始憑證(逆查法)。在ERP系統中，會計數據的存儲介質和存儲方式發生了變化，會計數據的生成方式、傳遞方式也發生了變化，原有的檢查線索改變了形式或干脆消失了。如聯機實時系統中許多數據來自外部系統的直接轉入，失去了原始的文字記錄。磁性介質中存儲的資料必須要借助于一定的計算機硬件和軟件才能讀取。磁性介質上保存的數據可能被篡改而不會留下痕跡。由于更新頻率快，有些資料還可能是暫存的，很快要被覆蓋掉。同時，很多內部的運算可能不留痕跡和線索。

(2)會計系統內部控制的改變。在ERP系統中，內部控制的重點由會計人員和會計業務部門轉移到電子數據處理部門，財會人員對交易活動的直接監督減少了，原內部控制體系難以適應這種變化。計算機數據處理的集中性、連貫性，使大部分職權分割的控制作用近于消失，數據存儲載體的改變及其共享程度的提高，又使手工會計中的賬簿控制體系失去原有的作用。在這種情況下，內部控制一方面要加強，另一方面要采用新的方式。電算化方式下，內部控制按實施環境可分為一般控制和應用控制。一般控制是普遍適用于計算機數據處理的控制，包括組織控制、操作控制、系統安全控制等。應用控制是在運用計算機進行會計數據處理過程中所實施的內部控制，包括輸入控制、處理控制及輸出控制。

(3)檢查內容的改變。在ERP系統中，因為計算機處理的一貫性和穩定性，大大減少了手工處理下的某些錯誤。但如果系統的應用程序中存在錯誤或被人非法篡改，則會引起嚴重問題。因此，除了要對內部控制及數據文件的檢查外，還要對計算機系統中的程序文件進行審查，即對系統的可靠性進行測試。另外，新的信息技術的涌現也不斷帶來新問題，針對這些新的課題，審計人員也必須研究對策。

(4)檢查技術的改變。手工情況下的檢查可進行順查、逆查或抽查，審查一般采用審閱、核對、分析、比較、調查和證實等方法。對ERP會計信息系統審計，這些方法依然有效，但是計算機輔助檢查已經必不可少。

(5)對審計人員要求的提高。面對ERP會計信息系統，審計人員僅僅依靠會計和檢查的相關知識已經無法全面了解被檢查單位情況。審計人員必須不斷學習，較為熟練地掌握一定的計算機知識和技能。

2.注重對被審計單位的了解

(1)了解企業情況。由于在ERP的引入過程中存在誤區，許多使用ERP的企業經常存在兩種情況:一是和原有的系統并行，一是全面取代舊的系統。因此在前期階段，審計人員應充分了解企業情況，通過與企業管理層和各業務主管部門的溝通、詢問，了解企業的ERP項目是否真正上線成功，運行過程中是否出現過重大問題。處于并行階段的，很多情況下ERP系統和舊的賬務系統之間會存在一個差額，要了解這個差額的形成原因，以及企業如何處置；如果是后者則了解新的系統是否正常運行，以便在不同的情況下，制定不同的審計計劃。要熟悉和理解被審計企業ERP軟件中所包含的管理思想。要注重與企業的信息主管溝通，必要時可與企業的軟件供應商溝通，以充分利用軟件本身的統計、分析比較功能，獲得豐富的分析性復核資料。

(2)了解主要業務流程。包括材料采購流程、產品制造流程、商品銷售流程等。要了解企業系統的整體框架和各個模塊的大致框架，對業務流程在ERP中的反映，即從接受訂單，到采購、收貨、驗貨、庫存管理、生產直至出貨銷售，從數據流方面有個大致印象。

3.注重對被審計單位ERP系統內部控制的審計

加強對ERP系統內部控制的審計，應考慮計算機條件下內部控制的以下特征:

(1)缺乏交易軌跡。

(2)同類交易處理的一致性。

(3)缺乏職責分工。

(4)在特定方面發生錯誤與舞弊行為的可能性較大。

(5)交易授權、執行與手工處理存在差異。

(6)其他內部控制依賴于計算機處理。

ERP系統下的內部控制包括一般控制和應用控制，在研究評價一般控制時應考慮組織與管理控制，應用系統開發和系統控制，計算機操作控制，系統軟件控制，數據和程序控制。在研究和評價應用控制時應考慮輸入控制，計算機處理與數據文件控制，輸出控制。

4.運用計算機輔助審計時應注意的控制

(1)文件備份。文件備份工作應定期進行，在審計完成后，審計資料的軟盤至少應備份兩到三份，而且應作好軟盤的保管工作。

(2)資料的保密與安全。應制定制度，規定只有經過授權的人員才可以接觸審計資料，應使用密碼或口令控制審計軟件系統的進入。

(3)保存必要的書面資料。企業在使用系統時，未必會書面保存計算機里的資料，審計人員在審計中應要求企業打印出審計所需要的文件并保存。

(4)軟件測試。審計人員在使用審計軟件前必須檢測，還需檢查測試版本同審計軟件是否兼容。如果使用不當的軟件，容易導致新的審計風險。另外如果使用企業的拷貝文件，審計人員應確定拷貝文件與原文件完全一致。

(5)檢查程序變更控制。審計人員在信賴被審計單位程序前應檢測該控制，被審計單位的計算機程序控制不是一成不變的，舊程序不斷被覆蓋，年終的程序未必能代表本年的程序控制情況。因此，需要測試被審計單位的程序控制情況。

(6)數據測試。數據測試包括“活數據”測試、“死數據”測試以及在特殊運作中使用“死數據”進行測試。審計人員應考慮數據測試的成本，包括構建模擬交易的成本、預期測試結果的成本和確定控制的成本等。

(7)計算機輔助審計與職業判斷相結合。職業判斷是審計人員進行審計決策時對各相關方面進行綜合考慮的過程，審計人員應將計算機輔助審計與職業判斷有機結合，才能有效地控制與降低審計風險。

審計人員在評估被審計單位ERP系統下的風險時，首先要識別內部控制的風險，判別其重要性。識別在系統執行業務和信息流程時可能出錯的情況，估計每一風險可能帶來的損失，估計其發生的概率。其次是鑒別系統需要控制的每一重要風險的規則，分析該控制能否防止、發現錯誤和舞弊，或在發生差錯后及時恢復，以最大程度減少損失。若不能防止出錯，至少能發現錯誤或舞弊的發生，從事故中恢復。最后是測試這些風險控制的規程與措施。

參考文獻:

[1]李若山:審計學，經濟科學出版社，2004，2

[2]劉三昌等:企業內部審計技術，中國經濟出版社，2003，1