淺析ERP信息系統下開展審計工作

吳紅香

【摘 要】 ERP系統是企業資源計劃 （Enterprise Resource Planning） 的簡稱，是指建立在信息技術基礎上，集信息技術與先進管理思想于一身，以系統化的管理思想，為企業員工及決策層提供決策手段的管理平臺。它對于改善企業業務流程、提高企業核心競爭力具有顯著作用。很多企業已實現了ERP系統信息在生產環節、采購管理、存貨控制、銷售管理的全過程業務覆蓋。針對審計工作而言， ERP信息系統數據的準確性、及時性、全面性，為開展大數據審計創造了條件，拓寬了審計的信息量和獲取信息的渠道，加上審計的系統思考，使審計證據更說服力，審計發現更加精準，審計效率更高。同時，在審計實踐中，我們也發現，ERP信息系統的使用給企業管理引進了新的風險。如何識別風險，為決策者提供有價值的、系統性的管理建議，成為未來審計工作的重點。

【關鍵詞】 ERP系統 審計 方法

一、ERP信息系統最大特點是高度地整合了整個企業的信息，信息的高度集成，給企業引入較高的風險：一是ERP信息系統固化的模塊與業務多樣性之間的矛盾，導致系統性的基礎數據無效或信息滯后，造成ERP信息脫離實際業務，導致決策失誤。二是企業信息泄密。據分析，企業內部員工的筆記本電腦以及其他移動存儲設備導致數據泄露，由此造成的數據安全事故高達78%;三是計算機病毒的入侵和“黑客”對系統的故意破壞;四是用戶授權不合理，造成不相容職責未分離，加大了舞弊的風險性和隱蔽性;五是員工培訓不到位，造成人為的、連續性的數據錯誤等等。上述因素都可能使審計難度加大，審計風險提高，審計人員只有通過擴大審計范圍、增加其他測試程序等措施，才能將審計風險控制在可以接受的范圍內。下面，筆者通過審計案例，分析、總結ERP信息下開展的審計工作，以供讀者參考。

二、審計案例分析

1、ERP信息系統基本情況介紹

某集團為農副產品加工企業，旗下的子公司均通過ERP信息系統收購原料，原料成本占加工成本的60%至70%，原料成本的控制成為該集團管理工作中的重中之重。該公司ERP信息系統包括原料收購合同模塊、IC卡排隊模塊、質檢模塊、原料過磅模塊、原料款結算模塊等管理集成模塊。針對原料收購價格的設置和調整這一關鍵控制環節，設置了總經理審批控制流程，及總經理、財務經理、IT部經理三級口令系統，只有總經理、財務經理、IT部經理輸入的密碼均正確無誤，系統管理員才可以設置和調整原料收購價格。

2、審計重點分析

對此，審計人員通過訪談，初步了解原料收購系統的運行維護、操作、數據備份情況及新系統的開發情況、收購信息系統的適用性，同時擴大審計范圍，走訪農戶和管理層，了解原料種植情況、收購政策、原料收購期的管理規定。根據預審收集的資料，確定了審計的重點。首先，重點審計ERP系統的安全性。對企業所使用的系統、程序及所實施的經營活動的安全性進行全面的檢查和復核，檢查經授權訪問原料收購系統的人員的原始記錄，確保只有經授權人員才能訪問。其次，審計合同信息錄入、過磅數據的采集，尤其是作廢磅單，核實作廢的磅單是否結算原料款，抽取合同樣本，核對合同記載的原料交售方、品種是否與原料收購系統的信息一致，防止由于原始資料不真實、不正確導致產生的報表信息、付款信息等連鎖反應。最后，查閱信息系統后臺記錄，審核是否存在舞弊風險及可能性。通過查閱記錄、穿行性測試、訪談等方式以確認內控制度建立及執行的有效性。

3、審計發現問題

（1）以虛擬合同、虛假過磅單，套取原料款。

審計人員審核過磅單時發現，重磅、輕磅由同一人操作，繼續追蹤至收購合同發現，合同內容不真實，交售方及收款方均為內部員工。

（2）違規修改管理系統數據，

修改ERP信息系統中的原料收購磅單的信息未經審核，或者先修改，后補審批手續。

（3）員工離開工位未及時鎖屏，存在被盜取計算機數據的風險，嚴重的會泄露公司機密。

（4）未建立異地災備中心。備份數據異地保存可增加數據安全性，未做備份數據異地保存可能導致在物理災難發生時，備份數據全部損壞使系統無法恢復。

（5）防鼠裝置過于老舊，機房內有雜物堆放;未定期獲取檢查門禁記錄。防鼠裝置過于老舊，無法有效發揮其作用，若有老鼠啃咬電線，機房的數據安全性降低將收到極大威脅;機房堆積雜物容易引起火災;未定期查看門禁記錄，發生異常出入機房難以及時察覺。

（6）未制定災難恢復計劃，可能導致災難發生時無及時的應對措施，對業務連續性產生影響。

（7）表日志未啟用，無法記錄對重要的數據參數表的修改的歷史記錄，出現問題難以追溯。

（8）賬號申請、變更流程與管理制度的不一致不利于用戶賬號和權限的管理，增加公司對用戶賬號的管控難度。

三、ERP信息系統審計的思考

企業在實施ERP系統以后，由于內部控制環境、審計對象、審計線索等發生了重大變化，傳統的紙質的文字記錄消失了，取而代之的是存有電子數據處理信息的硬盤、軟盤等，這要求審計人員僅要有扎實的審計理論和豐富的審計實踐還要學習基本的信息化管理知識，才能對ERP系統的可靠性、安全性和效率性進行評價，才能在新形勢下開展審計工作，履行審計職責;同時，要從頂層設計的角度出發，評估企業經營機制、組織架構的設置、權力的分配、責任的劃分等方面的合規性和有效性，防止系統性風險的發生。

四、總結

習近平總書記在中央審計委員會第一次會議講話中強調，“要堅持科技強審，加強審計信息化建設。” 審計署也提出，“向信息化要效率，向大數據要資源，走科技強審之路”。 創新審計理念是引領審計發展的第一動力。信息技術的發展對國家審計、內部審計和注冊會計師審計具有重要影響，隨著被審計單位在會計核算、財務管理、業務運營、行政管理等方面的信息化水平不斷提高，迫使審計自身提高信息化水平，創新技術方法;同時，被審計單位信息化水平的提高，為審計人員主動創新技術方法，開展大數據審計創造了條件。