從用友ERP視角看系統信息技術對審計的影響和對策

施之果

摘要：我國會計電算化發展至今已進入了ERP系統階段，在提高工作效率，整合企業信息資源之外，對審計對象、審計標準、審計技術及審計人員方面都產生了巨大的影響，當代審計如何在信息化的環境下降低審計風險，達到審計目標，是當務之急。

關鍵詞：會計電算化 審計技術 影響 對策

會計電算化是計算機技術和現代會計相結合的產物。會計電算化是將以電子計算機為主的電子信息技術在會計業務處理工作中的應用，利用電子計算機可以完成記賬、算賬、保障，還可以完成對會計信息的分析、預測和決策。而ERP系統將是我國電算化發展的趨勢，ERP系統將不同模塊間的數據傳遞形成了一個供應鏈，供應鏈上各個環節的信息高度集成，實時反映企業的運營狀況，為管理決策提供及時準確的信息。它不僅反映貨幣計量信息，而且反映非貨幣信息；不僅強調信息的可靠性，而且強調信息的相關性和及時性；體現了先進的財務會計、管理會計、成本會計思想，能夠滿足信息使用者多樣化的信息需求。

ERP系統的應用與普及使會計工作的工作流程、儲存介質、內部控制、存取方式上發生了巨大的變化，提高了會計數據處理的準確性和會計信息提供的及時性，一方面把財務人員從繁冗沉重的工作中解放出來，另一方面對財務人員在財務分析、預算決算、決策上提出了更高的要求。會計電算化在對會計工作進行改革的同時，也對審計工作造成了極大的影響。

一、ERP系統對審計的影響

（一）ERP系統對審計風險的影響。審計風險=控制風險*固有風險*檢查風險，ERP系統環境下，傳統的會計崗位職責被打破，層層審批的委托授權制度也在某種程度下被取代，財務數據的安全不僅受到內部控制制度及執行的影響，而且極易受到外部環境的威脅。以數據庫為基礎的實時審計發展使審計風險中包含的固有風險、控制風險、檢查風險日益復雜化。由于會計數據處理的電算化，在計算機輔助系統的自動控制下，控制風險雖然在某種程度上得到減小，但由于自動化控制的固有局限，控制風險只有在簡單、重復的交易與事項處理中才能略有減小；而檢查風險在信息化環境下已高速增長，會計資料的輸入與存儲在局域網，會計被非法修改和竊取的可能性增加了，會計信息被他人非法拷貝和篡改、會計數據在傳輸過程中被競爭對手截取和惡意修改等使得會計數據的安全、完整性控制難以保證；同時，計算機軟件本身也存在問題，每個公司的核算都有自己的特點，但是使用的都是市場上出售的通用型軟件，通過初始化將其改變成為適合本公司使用的軟件。軟件本身就存在著或多或少的漏洞，即便是用友這樣技術純熟的大公司也只能通過升級填補漏洞，這樣就給了懂得信息技術的黑客有乘之機。另外在ERP系統條件，會計資料是存儲在磁性介質上的，修改起來不留痕跡，造成舞弊行為較難發現，從而增加了審計人員的檢查風險。

（二）會計電算化對審計范圍的影響。與傳統的手工賬務系統相比，電算化條件下信息處理的方式和流程發生了變化，是會計工作機制發生了質的變化。兩種條件下，會計信息處理工作流程如下：

傳統手工帳流程：原始憑證——財務審核——制單——分工分別登記日記賬明細賬——試算平衡——編制報表

會計信息化流程：原始憑證——授權審批——財務審核——制單——機內對賬審核——報表輸出

從以上工作流程可以看出，手工會計條件下，其內部控制實通過人員分工控制和賬簿控制來實現的。首先依據不相容崗位分離這一原則，設立各種會計崗位，制定各級財務審批制度，不同人員限制在特定的工作區域以內，各級主管依制度實行嚴密監察。其次，企業通過賬實核對，賬賬核對，分別記錄，互為驗證來保證記賬的正確性。最后，手工條件下審計證據非常容易得到，審計人員可以憑紙質證據追溯到任何出錯的會計核算環節，具體到某個人的責任。

在ERP系統中，會計信息的處理和存貯高度集中于計算機，授權的約束弱化，人員之間的牽制力下降。在ERP系統中，記賬憑證試算平衡后直接生成明細賬和總賬，賬和憑證的區別不過是數據排列方式的改變而已，也就是說不存在帳證不符的問題，賬實核對、賬賬核對已經名存實亡。

現代審計是以評價內部控制度為基礎的抽樣審計，即審計人員把對被審單位內部控制的審查和評價作為制定審計方案和決定抽查范圍的依據。企業內部控制制度越不健全，執行的有效性越弱，審計人員就需要擴大審計范圍，抽取等多審計證據，會計信息化對傳統審計在審計范圍上有了更高的要求。

二、在ERP系統進行審計的對策

由于會計電算化對傳統的會計理論和實務產生了重大影響，也必然對傳統的審計產生了很大的影響，傳統的手工審計已不能適應電算化的要求，即會計電算化給審計提出了許多新問題、新要求。因此，開展對會計電算化系統的審計并提出有效的對策是新形勢下的首要任務。

（一）測試內部控制制度以防范控制風險。控制風險為原始憑證的形成和授權、數據輸入、程序與數據庫的修改、輸出信息的使用和分配等出現錯誤或人為侵害的可能性。以內部控制制度為基礎的審計觀認為：只有內部控制制度可信時，審計風險才能確認為較低水平，才能減少實質性測試的內容和程序，否則就宜采取替代的測試方法，進一步擴大測試的范圍。

因此，在對電算化會計系統進行審計時首先要對內部控制進行符合性測試，對會計電算化系統內部控制制度的審核和評價應從程序控制和制度控制兩方面的測試與評價進行。隨著信息技術的發展，以及ERP研發公司的規范，ERP系統因為漏洞所造成的程序控制失效越來越少，本文著重于探討從制度上測試和評價其有效性，具體從原始憑證的形成和授權、數據輸入、程序與數據庫的修改、輸出信息的使用和分配方面來考察。

1.從輸出信息的使用和分配來看，考察被審計單位是否建立了用戶控制系統，防止非法用戶接觸會計檔案。會計檔案的存檔、借閱、存儲是否有合理的制度，如：存檔的手續必須有會計主管和系統管理員的簽章才能存檔；只有得到會計主管書面批準的會計人員才能查閱會計資料，并且磁介質類會計資料存儲物只能借閱，不得借出；利用磁性介質保存的會計資料需要定期檢查，定期復制，防止消磁丟失。2.從程序與數據庫的修改來看，考察被審計單位是否建立了操作日志管理制度。建立了加密操作日志管理的系統中，任何程序與數據庫的修改都能留下軌跡，為審計人員留下審計證據。以用友ERP系統為例，為了便于財務人員開展工作，該系統支持反結賬、撤銷記賬、憑證作廢功能，但這些功能都有可能增加偽造財務記錄、財務證據的風險，加密操作日志可以監控記錄該操作，可被抽檢證明被審計單位內部控制的有效性。3.從數據輸入來看，ERP系統有輸入無效，輸出無效的特征，在內部控制測試中數據輸入的有效測試時關鍵的一步。防止已輸入計算機的原始數據和記賬憑證等會計數據未經審核直接登記機內賬簿，審計人員可以隨機抽取一筆業務，在北極單位的ERP系統中試做，觀察是否需要錄入、審核、出納簽字、記賬等不相容崗，這些崗位是否設置相應密碼，密碼是否不同，密碼是否為不同崗位人員所共知，誰有設置修改密碼的權限來測試數據輸入的有效性。

（二）完善電算化審計標準與準則。雖然計算機審計并不改變審計的目標和原則，但是由于在ERP系統下審計線索、審計證據、審計對象、審計技術方法發生了重大變化，使審計準則出現了一定程度的斷層或空白，需要建立相應的審計準則和審計標準。建議吸收西方發達國家網絡會計下的審計經驗，在審計標準上重視對被審計單位的內部控制制度及其有效性的測試，提高對ERP系統的程序控制有效性和可靠性的重要性水平，提高ERP系統下的制度控制的重要性水平。

（三）培養復合型審計人員的同時善用專家工作。傳統手工審計下，從事審計工作的多為掌握豐富會計知識和審計方法的專業人員，但ERP信息技術對審計人員的知識體系提出了新的標準：不僅要求審計人員具備合理存疑精神，熟練掌握運用審計準則和會計準則，對關鍵業務環節可能出現的舞弊了然于心，熟練運用實質性程序查錯揭弊。還要求審計人員對ERP各子模塊的工作流程以及子模塊與總賬模塊之間的數據交互有清晰地了解，能運用基本的計算機技術調出查看日志，能配合利用數據工程師的工作。同時，審計人員畢竟是審計領域的專業人員，培養成網絡安全工程師是不現實的也是不經濟的，因此應當擴充審計隊伍，善用系統工程師、數據庫工程師等專家人員的工作，由這類專家來甄別電子審計證據的真偽，數據庫是否遭到刪改等專業難題。endprint