對ERP系統下審計風險成因與防范措施的探討

摘 要：ERP系統改變了傳統審計環境，引起了審計理論和實務的變化，對評估與控制ERP系統下的審計風險帶來了困難。本文旨在通過分析ERP系統環境下審計風險的成因，識別ERP系統環境下影響審計風險要素的具體內容，達到降低ERP系統環境下注冊會計師審計風險的目的。

關鍵詞：審計風險；ERP系統形成原因；防范措施

中圖分類號：F239.1 文獻標識碼：A 文章編號：1006-4117（2011）12-0059-02

一、ERP系統概述

ERP（Enterprise Resource Planning）是指建立在信息技術基礎上，以系統化的管理思想，為企業決策層及員工提供決策運行手段的管理平臺。它是針對物質資源管理、人力資源管理、財務資源管理、信息資源管理集成一體化的企業管理軟件。其借用一種新的管理模式來改造原企業舊的管理模式，是先進的、行之有效的管理思想和方法。ERP的核心內容與特點包括：（一）是企業內部管理所需的業務應用系統，主要包括財務、物流、人力資源等核心模塊。（二）優化了公司內部業務流程和管理過程。（三）是一個在全公司范圍內應用的、高度集成的系統。作為一種現代管理軟件，ERP系統的應用提高了企業的運行效率，但同時，也帶來了新的審計風險。

二、ERP系統下審計風險成因分析

（一）固有風險。固有風險是在不考慮被審計單位相關的內部控制政策或程序的情況下，其會計報表上某項認定產生重大錯報的可能性。由于大部分企業的會計數據處理系統都集成在ERP系統中，因此注冊會計師在評估ERP系統下的固有風險時應主要考慮來自信息技術的風險。這種風險主要包括計算機硬件、計算機軟件、數據輸入、數據存取與備份、企業內部人為因素、信息傳遞、病毒與黑客等。

（二）控制風險。ERP系統的實施伴隨著企業的業務重組，從而導致內部控制發生了巨大的變化。在這種情況下，傳統的手工環境下的控制風險分析是不能解決會計師面臨的問題的，這就要求注冊會計師必須結合ERP系統環境下企業內部控制的變化進行分析。

1、采購與付款循環存在的控制風險。ERP系統環境下企業采購與付款業務的流程大致為：匯集請購單→選擇供應商→簽訂訂購合同→驗貨→入庫→發票校驗→付款。

（1）匯集請購單環節存在的控制風險。在這一環節中控制風險主要表現為請購不合理。針對于這些物資的采購，考慮市場的不確定性等因素，不能完全依賴ERP系統的采購計劃，而是應該結合企業的實際情況，在高層領導和財務人員的共同參與下制定采購計劃。

（2）選擇供應商環節存在的控制風險。在選擇供應商環節，控制風險最大，舞弊的機會也最多。在ERP內，需要專人對供應商的主要信息，例如銀行賬號、信譽情況、評估等進行維護。如果在本環節中對評估程序應用不當或者對資料收集處理不準確，都會產生不恰當選擇供應商的風險。

（3）簽訂訂購合同環節存在的控制風險。在合同簽訂環節，除了考慮企業的材料需要以外，還應考慮企業的財務狀況和用款計劃，因此在簽訂采購合同時需要財務人員進行監督。如果采購部門在簽訂采購合同時不考慮企業的財務預算，很可能導致企業發生財務危機。此外，在將采購信息錄入ERP系統時，可能會出現信息遺漏或者信息不一致等風險。

（4）驗貨、入庫環節存在的控制風險。本環節存在的控制風險主要表現為對入庫信息進行反饋上。采購單在驗收入庫后會在ERP系統內進行自動檢查，如果差異超過容許界限將會被拒收。因此，企業應該注意信息的及時反饋。當相關信息得不到有效反饋時，采購中心無法在系統內進行入庫單與請購單的匹配，由此會對下期采購機會產生影響。

（5）付款環節存在的控制風險。付款環節的主要流程為：經辦人員填寫請款單，到財務部門進行審批，隨后出納通過銀行系統開具轉賬支票進行付款。在此過程中，需要確保ERP系統的賬號數據與銀行票據系統數據一致。如果存在審批手續不全或者賬戶信息錯誤等將會產生付款環節的控制風險。

2、銷售與收款循環存在的控制風險。ERP系統環境下企業銷售與收款業務的流程大致為：接受顧客訂單→合同審核→訂單錄入→賒銷信用審批與庫存檢查→倉庫供貨→開具虛擬銷售發票→發票申報和金稅發票生成→虛擬發票過賬→辦理和記錄收款→辦理和記錄銷售退回、銷售折扣與折讓→注銷壞賬→提取壞賬準備→清賬。在這些具體環節中，存在著以下控制風險。

（1）接受顧客訂單環節存在的控制風險。接受顧客訂單風險主要包括：進入系統時未經授權人員批準；接受了不符合企業授權標準的訂單；企業接受了自身生產能力無法滿足的訂單。

（2）合同審核環節存在的控制風險。主要包括合同審核人超越權限對職權范圍以外的合同進行審批以及將未經審核的合同錄入系統。

（3）賒銷信用審批與庫存檢查環節存在的控制風險。在ERP環境下，賒銷信用批準是由系統自動完成的。此種情況下，可能會出現由于賒銷政策設置不合理、系統設置被篡改或程序出錯而引起企業的銷售不理想或銷售款無法回籠的風險。

（4）辦理和記錄收款環節存在的控制風險。這一環節主要包括貨幣資金的管理和記錄、應收賬款記錄更新等活動。本環節中，可能存在現金未能及時存入銀行，現金被挪用等，會導致應收賬款記錄不準確，進而對客戶的信用等級產生影響。

（5）辦理和記錄銷售退回、銷售折扣與折讓環節存在的控制風險。本環節控制風險主要包括：未對退回商品進行審批，退回商品未能及時入庫，未對退回商品進行記錄；因銷售折扣與折讓沒有經過授權人員的審批、財務記錄不完整而發生的舞弊。

（6）提取壞賬準備環節存在的控制風險。系統的初始設置可能會被非法更改，造成系統自動提取的壞賬準備發生錯誤。

（7）清賬環節存在的控制風險。不及時清帳會對客戶的信用額度產生影響，并進而影響到企業的銷售；未經授權人員非法進入系統進行操作等。

3、檢查風險。在ERP系統下，存在的檢查風險主要包括：（1）提取歷史文件時，難以適應軟件的更新換代。（2）內部控制對軟件本身的依賴，使得審計師難以進行全面的風險檢查測試。（3）對經濟業務的反應不夠真實。

三、控制ERP系統下審計風險的對策探討

（一）針對ERP會計信息系統，適當改變審計方法

1、對于會計系統內部控制的改變。在ERP系統中，內部控制的重點不再是會計人員和會計業務部門，而是轉移到了電子數據處理部門。在進行電算化內部控制時，我們可以把重點放在一般控制和應用控制上。一般控制主要針對計算機數據處理，例如組織控制、操作控制、系統安全控制等。應用控制會更多地在計算機會計數據處理過程中發揮作用，包括對輸入、處理、輸出等的控制。

2、對于檢查內容的改變。計算機處理的數據相比手工處理更穩定些，減少了手工處理可能出現的錯誤。但計算機處理的數據面臨著應用程序錯誤、信息被非法篡改等嚴重問題。因此，加強對計算機系統的軟件測試與安全檢查就變得越發重要了。

3、對審計人員的素質要求提高。由于相關數據被記錄在計算機中，這就要求審計人員不僅需要掌握會計和審計的知識，還必須不斷學習，以提高自己的計算機知識和技能。

（二）加強對被審計單位的了解

1、關注ERP系統在企業的使用情況。企業在由傳統管理方法向ERP系統轉變的過程中，存在著轉換程度不同的情況。有些企業將原有系統與ERP系統并行使用，有些企業則用ERP系統全面取代原有系統。在并行使用兩種系統的企業里，我們應對兩種管理系統所產生的數據差額進行分析，了解其形成原因并提出處置方法。對于全面使用ERP系統的企業，則需了解新的系統運行是否正常，并通過與企業相關部門和軟件供應商的溝通了解和熟悉被審計企業的ERP軟件，力求充分利用軟件本身幫助審計師獲得豐富的審計材料。

2、加強對主要業務流程的了解，包括材料采購、付款、產品制造、商品銷售、收款等。ERP系統下企業的主要業務有固定的環節，因此我們需要對每個環節的運行方式、注意事項等有一定的理解，這有利于我們在審查中發現潛在的風險。

（三）利用計算機輔助審計時應注意的問題

1、對所使用存檔文件做好備份。在審計過程中，應對相關存檔文件做2~3份備份，以防文件丟失等。同時，還應對備份文件做好保密工作，避免不相關人員接觸、進入、更改這些資料。

2、審計人員在使用審計軟件前必須檢測。如果使用不當的軟件，容易導致新的審計風險。在使用企業的拷貝文件時，應確認所使用的拷貝文件與原文件完全一致。

3、保存必要的書面材料。在使用計算機中的電子文件時，還應把資料打印成書面形式并保存。

4、做到計算機輔助審計與審計師職業判斷相結合。職業判斷是審計人員進行審計決策時對相關各方面進行綜合考慮的過程，將計算機輔助審計與職業判斷有機的結合起來有助于控制與降低審計風險。

作者單位：首都經濟貿易大學會計學院

參考文獻：

[1]陳漢文.審計理論[M].北京:機械工業出版社，2009.