對ERP環境下企業內部控制審計探討

摘 要：ERP目前作為企業日常運營的管理工具，其模塊涉及到物資、財務、采購、銷售、薪酬等多方面。在ERP環境下，企業內部控制手段發生了根本性轉變，信息化在管理中起到了舉足輕重的作用，企業內部控制審計出現了新的風險，針對這些風險進行評估分級，從而采取相應的對策，本文將逐步展開分析和探討。

關鍵詞：ERP；內部控制審計對策

一、ERP對企業內部控制審計的影響

（一）影響內部控制審計標準

企業已有適合自身發展的審計準則和標準，但在ERP環境下，企業運行架構、組織環境、內部控制等發生了很大的變化，新審計準則和標準的建立是必然趨勢。

（二）影響內部控制審計線索

以往，企業的業務流程的有對應的紙質記錄，從這些記錄中能發現審計線索，現在通過電腦環境處理業務，發現線索很困難，審計人員只能根據錄入電腦的原始憑證和輸出資料查找審計線索，難度較大。

（三）影響內部控制審計內容和對象

與傳統環境相比，審計人員不僅需要審計手工資料，還需要審計軟硬件、國際互聯網絡、局域網絡、業務數據處理的所開發的程序等，擴大了審計內容和審計對象，增加了審計復雜度。

（四）影響內部控制審計方式方法

過去審計人員基本上都是手工操作，在ERP環境下企業都是通過電腦軟件處理數據和業務，在新的審計環境下需要新的方法。

（五）影響內部控制審計人員

新環境下要求審計人員是既精通財會審計又熟悉ERP系統應用的復合型人才。

二、ERP給內部控制帶來的風險

（一）環境控制風險

企業內部計算機信息系統安全政策不具備也會使企業面臨重大風險。

（二）風險評估范圍加大

ERP環境下，信息部門集中處理所有數據。如果沒有相應的監管，處理人員可以輕松地查看、刪除、拷貝、改寫數據；第二，原始數據進入電腦系統后，程序自動處理，全部責任高度集中于電子數據處理系統；第三，黑客入侵計算機造成數據信息丟失、病毒攻擊、磁介質載體檔案缺乏有效保密措施等都會影響到企業的正常運行。

（三）計算機帶來的風險

1.硬件風險

由于不可抗因素（斷電、火災等）或人為因素（操作失誤等）出現系統故障的存在，直接影響到電腦硬件及網絡，致使數據丟失或者計算機癱瘓，且計算機本身系統一體化、信息自動化特點，內控處于失控狀態，無法控制。

2.軟件風險

ERP功能較多，實際應用時，設計缺陷（功能供需契合度、軟件穩定性以及對中文界面和數據支持程度）不可避免，致使企業內部控制存在潛在風險，這將直接影響ERP正常運行。

3.集中存儲帶來的風險

ERP系統集中存儲方式，導致內控相當多的審計線索消失，再加上信息系統本身的不穩定性，使得內控難度增加。再者，集中存儲方式易于復制拷貝，正副本無法區分，可能分不清責任、難辨真假，使得會計信息缺乏法律效力。

（四）業務流程帶來的風險

ERP環境下，發生了根本性變化的業務流程才是企業內部控制最大的風險。如：從采購到付款、訂單的獲取到發票報銷等物資、財務、計劃等幾個部門的業務流程，在RRP環境下形成了單一、集中的數據庫，極大地簡化了跨部門審批流程，使得手工環境下的內控線索消失，再加上傳統環境下的內控體系已經遠遠不適應基于流程管理需要的ERP系統。

（五）人員道德風險

一是企業內部人員對會計信息的非授權查看、修改、泄密等風險；二是企業外部人員，尤其是黑客等對數據的非法入侵等風險。這兩種風險對于會計信息開放共享程度較高的ERP模式來講，開放程度越深，安全隱患就越高，直接威脅到企業的信息安全，加大了企業內部控制的風險，增加了內控的難度。另外，電子文檔自動錄入會計憑證的方式弱化了憑證之間的證明性和制衡性，使得內部控制難度越來越大。

三、ERP環境下企業內部控制審計對策及建議

（一）更新審計觀念，樹立審計新思路

1.將靜態審計方式轉變為動態審計方式

首先，計算機軟硬件環境的影響，ERP不能隨時開啟和停止，再者ERP業務流程需要實時處理，致使ERP系統無法做到為了完成審計任務脫機運行測試，只能把靜態審計方式轉變為動態審計方式。

2.將傳統輸出方式轉變為在線審計方式

傳統的審計方式是將審計所需資料打印整理分析，翻閱憑證，而審計人員利用實時在線處理的ERP系統即可時時查找相關業務流程處理情況，運用在線審計方式，既可提高審計質量又有利于提高審計效率。

3.將傳統間斷方式轉變為連續審計方式

ERP系統分析模式可以給審計人員提供其需要的業務流程處理情況和會計數據，避免了傳統環境下需要跟企業相關人員索要資料時的溝通不暢，使得審計人員將傳統間斷方式轉變為連續審計方式，既可提高審計質量又有利于提高審計效率。

（二）風險管理基礎工作繼續加強

1.正確識別和評估風險

ERP環境下，企業數據收集整理發生了變化，減少了文書復核的工作量，致使在內控薄弱的環節里錯誤的信息在造成重大影響前很難被發現。因此，正確識別和評估ERP系統控制的薄弱環節至關重要。

2.強化風險防范意識

判斷企業內部控制系統是否有效有兩點，一是評價內控有效執行保護企業資產完整性的程度；二是評價內控確保電算化會計信息可靠性和正確性的程度。

3.控制審計報告以及后續環節的風險

提高審計報告質量的關鍵是要對審計發現進行深入的加工，問題定性準確；二是審計結論客觀準確、證據確鑿；三是提出的審計意見具有可操作性；四是審計報告立意要高。

（三）系統數據分析工具的應用

ERP系統數據分析功能的充分應用將很大程度上減少審計人員的工作總量，提升審計效率。另外，直接利用ERP系統中豐富的企業原始數據記載、相應的數據編輯分析工具及標準報表，審計人員可以實時挖掘數據整理工分析。

（四）加強審計軟件的開發，為審計信息化提供平臺

審計軟件需要跟ERP無縫對接，能夠對ERP中的數據進行實時統計和分析；其次能夠有取數、測試功能，并且自定義到處所需報表；另外，具備自定義設置審計參數的審計底稿自動生成功能；最后，具備管理檔案、人事的功能以及隨時更新的審計法律法規查詢系統。

（五）采用新的審計方式

1.審計系統業務流程

（1）ERP前期準備工作的了解

內控人員應了解如下問題：一是如何處理ERP上線前的歷史遺留問題；二是ERP運行初期存在的典型問題；三是是否存在與原財務系統同時運行的情況；四是ERP數據與原財務系統數據是否存在差異，產生差異的原因、如何處理差異等。

（2）ERP運行狀況的了解

ERP運行情況、系統是否兼容、是否存在設計缺陷或運行缺陷、是否有人為操縱、數據是否真實準確等這些信息都是內控人員應該了解的。

（3）系統主要業務流程及其特點的了解

ERP各模塊的框架，尤其是人事管理、財務核算、物資采購、工程管理等特點；ERP數據流程是否能真實反映企業各項業務；ERP數據控制情況等都是內控人員應該了解的。

2.審計系統關鍵控制點

通過對關鍵控制點的審計檢測，判斷其控制是否有效；是否建立了關鍵控制點的預警機制；在業務流程處理過程中是否存在控制的薄弱環節；進一步優化關鍵控制點的管控措施和方法。

3.審計系統的實時監控情況

如果企業是通過ERP系統來監測內部控制情況，那么內控審計時，審計人員應根據相應的參數設置情況和通知來判斷ERP系統的有效程度以及對企業的管理需要契合程度等；監控時，審查系統是否存在監控盲區、監控是否有效；風險的預警機制運行情況等，這些都是審計人員在內控審計時候需要重點關注的。

4.防范內部控制審計風險

（1）了解被審計單位情況

通過現場查勘、訪談等方式了解被審計單位情況以及關鍵業務流程（如采購流程、合同管理流程、貨物運輸流程、收入等）、ERP上線運行情況、ERP軟件分析統計功能運用情況、軟件是否滿足用戶的需要、現有的軟件功能對企業幫助程度、以及同行發展情況，企業的上級主管部門如何監管、受到何種法律法規約束等。

（2）計算機審計技術的開發

第一，被審單位應承諾錄入系統數據的真實性和完整性，這是計算機審計技術開發的前提；第二，計算機審計軟件能不斷適應更新換代的ERP系統；第三，采用適合被審計單位ERP系統的審計技術；第四，如果被審計單位采用ERP實時處理業務流程時，需要采用計算機審計方法進行審計，而被審計單位ERP系統進行數據維護時，則需采用手工審計方式；第五，如果被審計單位要求保密性和安全性的情況下，采用審計軟件需要進行加密從而確認審計用戶身份，同時保留審計過程痕跡以保證事后追認的目的，另一方面也要防止數據的非授權備份，以防止數據外泄；第六，根據被審計單位情況，合理選擇審計方式。為了預防企業ERP數據被惡意修改，可以采用突擊審計方式或就地審計方式（事先不通知計算機程序人員），進行相應的測試，通過審查ERP系統中實時運行的數據的副本來確保審查的程序和數據的正確性和完整性。

（3）相關法規的完善

新形勢下，只有在國家立法和行業準則健全的基礎上，審計風險才能不斷降低，審計主體和被審計單位的行為才能得到有效的規范。

（六）審計隊伍新模式的建立

審計人員積極參與ERP系統相關建設，使其有機會掌握核心知識，進而能夠培養出關鍵人才；定期組織員工培訓，尤其是ERP系統各模塊的普及利用。

（七）利用ERP優勢完善內控體系

1.內部控制目標的確定

ERP環境下，內部控制的目標大概如下：一是企業關鍵業務流程的確定；二是評估整個業務流程和控制的設計，能否滿足和支持最終業務目標；三是評估崗位是否職責分離，核心業務是否具有加密訪問措施；四是控制方式合理與否等。

2.內部控制范圍的確定

ERP系統功能強大，覆蓋層面廣，包括人力資源、物資、財務、生產、采購等各個環節。內控范圍的確定主要是利用風險評估手段查找支持最大風險業務流程的ERP模塊，涉及收入、支出等控制流程運行順利與否。

3.內部控制方案的確定

ERP環境下，內部控制方案主要有基于系統控制和基于流程控制兩種，通常需要結合使用。由于ERP系統的控制基本上靠軟件完成，限制和核查運行的合法性主要是通過數據的有效性、合理性來進行控制，那么ERP系統參數設置至關重要，直接決定了該系統的控制級別，如字符驗證、用戶訪問等；在運行過程中，二次開發在某種程度上會削弱系統已設參數，從而產生新的風險點，這種情況下就需要靠流程控制。

4.事前事中事后控制的完善

事前控制的完善主要集中在組織管理控制和全面預算控制兩方面。組織管理控制主要是根據組織結構和崗位職責，在ERP系統中設置相應的操作權限，確保各項操作權限都是被授權執行，同時根據不相容崗位分離原則對崗位進行設置，從訪問權限、操作權限、查詢權限上進行相互制衡，防止舞弊行為發生；全面預算控制主要是整體目標分解，具體目標的落實執行，標準的嚴格控制。

事中控制的完善主要是業務操作控制和財務系統的控制。這兩種控制主要都是通過規范工作流程，并設置在系統中來規范操作步驟來避免數據被篡改，保證報表的真實性和完整性。

事后控制的完善主要是通過核對數據、評估風險、指標完成情況、制度執行情況、內部審計職能的強化等幾個方面來保證數據的正確性和客觀性，有利于企業及時調整偏差，發現問題立即整改。

參考文獻：

[1]李淑琴.《ERP應用的風險與內部控制》[J]中國石油企業，2005，（09）.

[3]封蕾.《IEFIP環境下的內部審計》[J]《現代商業》，2011.（08）.

作者簡介：

張蘭，中國神華神朔鐵路分公司。