ERP系統下審計風險及其防控策略

毛玲玥

摘要：科技與經濟發展推動世界經濟一體化同時，帶來審計項目改變，諸多企業不規范財務操作對審計行業帶來新的挑戰。ERP是為企業決策層提供決策運行手段的管理平臺，對企業物流進行一體化管理的軟件系統。企業廣泛應用ERP系統增大了審計難度，ERP改變企業各方面同時，也引起審計風控變化。ERP系統下審計環境變化成為值得研究的課題。本文結合ERP系統下審計風險特點，提出審計風險防控策略。

關鍵詞：ERP系統 審計風險 風險防控

經濟不斷發展凸顯出企業審計監管的重要作用，經濟發展與國際接軌中帶來審計項目不斷改變，企業要想立足市場穩定發展，必須意識到信息化建設對審計工作的影響，及時根據政策業務實施、調整收集信息、調整審計關注重點。ERP系統是以計算機為核心的企業管理系統，配合企業實現質量管理，成為企業進行生產管理的平臺工具，國內外ERP軟件產品適用企業規模，技術架構等方面不同，對ERP核心業務功能基本相同，包括財務會計，庫存管理，生產計劃等，典型的ERP系統包括項目管理等輔助功能。ERP系統應用產生了新的審計風險。企業借助ERP管理系統有效集合了財務，銷售等環節，但ERP系統對審計部門工作產生了很大影響，對審計工作提出了新的要求[1]。

一、ERP環境下對企業內部審計的影響

ERP是90年代美國IT公司提出的供應鏈管理思想，結合信息技術預測企業管理信息系統發展趨勢，ERP系統是將采購、產銷、調運、庫存管理等各項業務功能合理集成應用的管理軟件，建立了同一的信息平臺，實現縱橫貫通解決業務系統，通過管理供應鏈資源，事前計劃對供應鏈有效管理，實施ERP系統是大中型企業加強管理的慣例，是促進信息技術提升的有效手段。

ERP系統應用對企業內審帶來了很大的影響，主要包括審計線索多變復雜，審計內容重點發生變化，審計風險增加。審計線索是審計工作的基礎，收集跟蹤審計線索是審計工作的實質，傳統審計活動中會計人員根據會計賬簿編制會計報表，每個環節有經手負責人簽字蓋章。審計人員可利用資料追查原始業務，檢查財務活動是否合法規范、業務流程是否合理有效、授權審核是否做到風險可控。運用ERP系統管理下，系統特點使審計線索復雜多變。會計人員不需制作傳統的原始憑證，數據采集通過系統進行，企業不會將原始數據打印，會計處理由計算機完成。會計信息記錄在磁性介質，閱讀信息需獲得權限。開發商為迎合客戶會提供特殊功能，如反結賬等，導致審計人員無法根據會計信息修改痕跡追查線索取證。ERP系統應用對審計業務流程帶來了風險，需要加強對業務流程風險控制。

ERP系統下企業各部門依據數據庫提供信息，信息采集錄入后子系統共享使用，信息錄入中出現錯誤會對后續使用產生連鎖反應，審計人員關注內容主要包括經濟業務是否合法真實，審計重心向事前防范轉移。ERP集中性使計算機舞弊風險增大，各企業ERP系統專用數據庫擁有強大記憶功能，業務人員進行操作會留下痕跡。原始數據出現采集錄入錯誤，數據處理中未進行必要稽核，導致錯誤向其他環節蔓延。系統存在不穩定性，采集數據遭到外部攻擊會造成數據安全問題，增加內審固有風險。

二、ERP系統應用下企業的審計風險

ERP系統下企業審計風險包括固有風險，控制與檢查風險。ERP系統中非法用戶透過計算機系統防護墻會破壞修改電子數據，計算機病毒，操作失誤等造成實際數據與電子賬面數據不符，存在會計數據濫用的可能。

手工條件下內控表現為對人的控制，采用手段主要利用紙面信息，責任容易明確，在ERP系統中內控轉變為對人和機器的控制。ERP系統實現從采購到付款等業務集成，ERP系統中單一數據庫使跨部門審批流程得到簡化。用于企業內控許多審計線索在ERP系統引入后消失。企業審批內控機制無法適應ERP流程管理需要。信息系統脆弱性特點導致形成新的業務風險。如通過對手工流程機器處理，增強完成業務流程的效率。審批自動化改變企業原有風險特征，內控體系需要重新評估[3]。

電子數據存在使審計線索減少，傳統會計處理有文字記錄，審計線索清晰，ERP系統中數據錄入到報表自動生成無須人工干預，為追查審計線索帶來了困難。原始數據錄入存在錯漏風險，ERP系統下記賬依靠人工錄入，表面機制憑證相互平衡，漏輸數據無法察覺。設置權限密碼，實行職責分工約束機制可能失效，通過軟件設計設置不同責任中心，由于權限設置重疊使控制措施可能無法發揮作用。

內控主要依賴軟件，需要設計測試數據測試軟件控制能力，在有效時間內設計完善的測試功能無法實現，增加了檢查風險。由于財務模塊與其他模塊信息高度共享，無法反映經濟活動對企業財務狀況影響，系統中存在程序錯誤不能反映企業經濟財務，使得企業資產失真。

三、EPR系統下企業審計風險防控問題

信息化審計風險的影響。審計風險往往難以正確衡量，風險爆發會對企業產生嚴重危害，要求管理人員迅速識別審計風險，目前審計風險管理成為獨立的管理活動，在企業風控中融入風險管理理念，可以迅速識別風險，目前企業雖然建立制度用于審計風控，但對審計風險管理意識薄弱。

審計人員信息化方面素質不足帶來的風險。審計風險是審計機構在審計中由于不確定性偏離客觀事實，審計評估、審計結論出現偏差，審計師審計后虛假意見帶來風險。由于無法規避審計風險，企業需充分考慮審計人員的主觀意愿對審計風險造成的影響。要想有效控制規避審計風險，需要企業審計人員遵循制定的規章流程進行審計程序。由于企業未考慮審計人員專業素養等，帶來相應的審計風險。如審計人員專業素養達不到工作需求，會存在錯誤結論，增加審計風險發生率。

審計程序不能與時俱進帶來的風險。當今時代社會不斷進步。審計風險受到專業人士的注意。企業應根據自身環境從審計業務承接完成，對所有過程進行審計風評。目前企業復核工作安排存在問題，兼職人員審計項目大多未達到規定審計項目上限。多通過與項目質量專管員溝通，僅對判斷執行審計業務需重點關注高風險領域討論審計方案，由于復核審資料提交時間預先規定，審計壓力過大，復核合伙人難以保證審核審慎度。企業對業務事后檢查未貫徹，規定一類業務項目依序抽查，但對數量較多的其他類業務采取隨機抽查方式檢查，增大業務審計風險。

企業信息化方面內部控制不夠完善帶來的風險。當前企業主要采用制度規范審計業務流程操作策略對審計風險控制，僅在審計制度上提出要求。審計風控方法存在缺陷，企業僅考慮審計風控，未管理相應審計風險，表明企業控制中未較多關注審計風險，希望可以控制審計風險。企業審計態度易受審計風險影響。企業需要控制審計風險是從積極角度出發，充分考慮審計風險影響因素，只有通過制度規范審計業務流程操作對審計風險有效控制，才能使審計風控方案能及時更換。我國已有制度規范未對企業抗風險能力進行徹底考評，如審計風險未得到了解，企業不能合理的控制。

四、企業審計風控問題分析

我國審計法律體系框架是憲法，國家審計準則、內審與獨立審計準則為補充公司法，相關法律與企業會計準則為審計法律基礎。收集審計證據方面往往忽略審計準則，會計準則。審計標準有待完善，使得審計師實際操作中缺乏證據參考。

信息化審計依據和經驗不完善。當前人力物力資源方面受到限制，使得許多管理部門不會調查相應報告，通過抽查企業進行監管。政府審核抽查通常在企業審核后開展，一些被審計公司，企業突然破產出現大量財務負面消息后發現。外部監管環境對企業制約包括對審計行業監督，對企業所在市場經濟調控扮演角色產生重要影響，會計師行業監管不足會引起較高審計風險，注會師協會，注會師及財務部對我國企業進行監管，無法充分發揮注會師協會的監督職能，不能對其需求全面考慮。根據現行法律，企業受財政部，證券監管委員會監管，相關機構相互推諉，由于缺乏監管部門明確分工，難以協調企業監督，各部門口徑不同，發布指導方針出現相互矛盾現象。

審計人員素質較低。審計師缺乏專業能力是審計風險增加的主要原因，審計是具有專業限制的行業，需要從業者擁有充分的專業素養，審計師需具備夯實的審計，需具備足夠的實踐經驗，卓越的綜合分析能力。但現有審計人員素質體現出諸多問題。與社會普通工資水平相比，注會師收入水平相對較高，但獲得收入與付出勞動程度不成比例，具有豐富實踐經驗的注會師愿意在大型企業，使得小型企業難以留住人才，導致小型企業難以提高整體素質。如何提高企業員工素質成為新的問題，員工素質不均會影響企業審計質量，導致執業審計師專業能力下降。

審計程序規范不夠。審計程序設計是要獲得相應審計證據，虛假的審計證據直接造成審計出錯，片面的審計證據使得審計結果不可靠，審計中有疑問的案例，不在審計中保持專業謹慎，可能增加審計風險。注會師審計中使用不當審計方法會產生審計風險，審計程序執行對審計風險控制非常重要，注會師需具有很高的專業素養，使其執行任務中盡心盡力，審計中保持專業判斷，合理使用審計程序取得可靠審計證據。

審計客體存在風險因素。企業業務發展壓力由于外部業務環境增加，目前市場經濟不夠完善，審計要求業務能力更具有創新性，由于市場競爭激烈，某些管理層會鉆會計政策空子進行財務作家，企業內部財務欺騙行為審計師難以發現。審計企業遇到不能遵守會計職業法規的審計人會帶來巨大的審計風險。內控是保證單位內部安全性，通過公司內部制度構建實現業務目標，確保業務政策實施。確保正確性是其目標，如果被審計單位財務信息無誤，表現出重大錯誤會具有很小的風險。有效性在被審計單位內控中，可以實現財務報表無重大錯誤。內控最主要內容是高效率基礎上，保證不同部門相互制約。審計單位內控失敗，注會師收到財務報表不具有較高準確性，會導致企業審計風險提高。

五、ERP系統下企業審計風險防控策略

為降低審計風險，實行數據庫環境下審計，ERP系統審計依賴于對電子數據信息流程評價證據，首先要關注ERP會計信息系統對檢查方法的影響。檢查線索是審計人員把握會計數據產生使用，對其進行審查的有效途徑。

（一）識別內控風險

審計人員評估ERP系統下被審計單位風險，首先，應識別內控的風險，識別系統執行業務時可能出錯情況，評估風險帶來的損失。其次，鑒別系統需要控制風險規則，在發生差錯后及時恢復。如不能防止出錯應發現錯誤發生，最后測試風控的措施。

ERP系統中會計數據存儲介質發生變化，改變原有檢查線索形式，如許多數據來自外部系統轉入，磁性介質中存儲資料需借助計算機軟硬件讀取，磁性介質保存數據會被篡改不留痕跡。有些資料可能暫存，很多內部運算可能不留痕跡。ERP系統中內控重點由會計人員轉移到電子數據處理部門，財會人員對交易活動監督減少，計算機數據處理集中性，使職權分割控制作用消失。手工會計中賬簿控制體系失去作用。電算化方式下，內控按實施環境分為一般與應用控制，應用控制是運用計算機進行會計數據處理中實施內控。

（二）采取相關信息化建設內控政策和措施

ERP系統中因計算機處理穩定性，減少手工處理留下錯誤，如系統應用程序存在錯誤會引起嚴重問題。除對內控檢查外，應對計算機系統中程序文件審查。新信息技術涌現帶來新的問題，審計人員必須研究對策。手工情況下檢查可進行順逆查，ERP會計系統審計中計算機輔助檢查必不可少。僅靠會計相關知識無法了解被檢查單位情況，必須不斷學習掌握計算機知識技能。

（三）轉變審計理念

要增強內審與ERR的融合。ERP系統下，審計人員應轉變內審理念，通過ERP系統與內審信息化軟件結合，實現內審數據與財務數據同步。審計人員轉變內審方式，使審計監督成為常態。提前設定預警指標對業務數據進行全天實時監控，發現問題及時發出預警，條件允許下可通過ERP平臺實現全流程網絡在線審計，降低審計成本。可通過網絡方式參與審計項目，審計工作不受地域限制，提高內審人員的工作效率。

（四）審計方法借助計算機輔助實施

注意運用計算機輔助審計的控制。包括檔備份，保存必要的書面資料，檢查程序變更控制等。制定制度規定經授權人員可接觸審計資料。企業使用系統中可能不會書面保存計算機資料。審計人員需檢查測試版本同審計軟件是否兼容，使用企業拷貝檔應確保與原文件一致。數據測試包括死活數據測試，應考慮數據測試成本，包括預期測試結果成本等。職業判斷是審計人員進行審計決策對各方面綜合考慮的過程，有效控制審計風險。

（五）內審軟件的應用

ERP環境下審計風險防范需要加強審計信息化建設，完善相關制度，加大審計風險防范，提高內審人員素質。我國由于內審軟件落后于會計軟件發展，ERP系統下實現企業業務流程集成，企業可與軟件企業開發適應ERP系統優質內審軟件，實現審計底稿部分自動生成等功能，具備審計檔案管理等功能，審計軟件要與ERP系統對接，實現事后審計向事前審計轉變，提高內審效率。建立完善適應ERP的內審體系，重點關注ERP系統下業務流程設置合理性，將原始數據錄入、數據處理及網絡安全作為內審重要內容，審計關鍵控制點有效控制才能降低審計風險。

經濟發展與國際接軌中帶來審計項目不斷改變，ERP系統應用下，企業審計工作面臨更大的風險，由于企業不規范財務操作，為審計行業帶來很大挑戰。企業要想立足市場穩定發展，必須時刻關注行業中的動態信息，主動制定針對審計風險的防控措施，降低風險發生概率，減少風險損壞控制對策。本文首先分析了ERP系統應用對企業審計工作的影響，闡述ERP系統下企業審計面臨的風險，基于對企業審計風險防控問題進行分析，探討ERP系統環境下企業審計風險防控對策措施，為企業審計風險應對提供參考建議。

參考文獻：

[1]王紀萍.ERP系統審計風險研究[J].現代商業，2018（2）：176-177.

[2]柳芳.基于ERP系統固有風險的IT審計對策[J].中國內部審計，2013（12）：67-69.

[3]沈欽.淺談外貿公司ERP系統與內部審計風險控制的協調[J].現代商業，2013（21）：200-201.

作者單位：浙江浙能富興燃料有限公司