論ERP系統的審計風險
曹 武 李小峰
ERP系統是以網絡為核心的企業管理系統,實行動態監控生產過程,具有存貨管理、生產中心、財務預測、生產能力、資源調度等方面的功能。它配合企業實現質量管理和生產資源調度管理及輔助決策,成為企業進行生產管理及決策的平臺工具,使得企業提高了運行效率,當然如何確保ERP系統按照經營需求正常運轉,成為眾多企業非常關注的問題之一。
一、ERP系統審計面臨的“瓶頸”
ERP系統上線以后,由于內部控制、審計內容、審計線索、審計技術等方面的變化,對審計人員能力水平的要求更高。不懂得計算機技術的審計人員,會因方式方法的改變而無從下手,會因為不懂得ERP系統的特點和風險而不能審查和評價其內部控制,更無法對ERP系統本身的可靠性、安全性和效率性進行評價。
(一)對審計理念的沖擊。首先是審計人員必須相信單位的ERP系統的基礎數據,否則審計沒有任何基礎資料可言。ERP系統下的財務部門的工作,也都是在建立在系統數據的基礎上。他們在分析著ERP系統里的數據,然后得出賬齡情況、存貨情況、利潤情況,繼而給管理層提供財務政策、付款建議、存貨管理及減值計提建議。如果審計沒有對ERP的信任基礎,那么審計將是極為龐大和基本無法完成的工作。
(二)給審計方法帶來的挑戰。主要是實質性測試程序存在差異,即能實行的主要是余額測試和抽樣審計。ERP系統現行的審計方法是將審計的重點都放在資產負債表的余額測試和損益表的抽查上,包括盤點、函證等資產負債表余額測試程序。這種審計方法正是與國外ERP系統下財務控制理念是完全一致的。而國內審計的方法主要體現的是過程審計的理念,對資產負債表借貸方關注比較重視,這種審計方法在借鑒國外的ERP系統下可能難以實施,因為企業財務根本不關注這些這些數據,故在ERP系統里很難直接提供的。
(三)要求審計人員素質更高。由于審計面對的范圍發生了變化,在傳統的財務軟件控制法下,企業所有的業務數據和重要資料都會反饋到財務系統,故大部分時候審計人員都是跟財務部門打交道,與業務部門直接交涉不是特別頻繁。但是在ERP系統下,財務部能提供給你的可能僅僅是電腦數據,要實施任何測試程序,都要與業務部門直接溝通,需要的資料也必須到業務部門征詢。這對于審計人員的專業素養和知識面要求都有了新的要求,以前與財務部打交道,用的都是雙方理解的財務語言,現在則需要我們更加懂得如何去和企業各業務部門溝通。
二、ERP系統審計風險分析
(一)審計資源不足的風險。ERP是多功能模塊的全流程系統,復雜的ERP系統要求審計人員必須具有較高的專業知識和計算機網絡技術。但是,對于大型的ERP系統,幾乎沒有人能夠對整個系統的功能和每個模塊的特點具有全面的認識和理解。由于經濟活動的實時錄入,除財務模塊之外的其他功能模塊均有可能產生大量原始憑證,再加上無紙化辦公的要求,使得審計證據的搜集難度加大。
(二)系統程序的風險。ERP數據的高度集中,容易引發新的風險:一是系統中許多不相容職責相對集中,加大了舞弊的風險;二是系統對錯誤的處理具有重復性和連續性;三是數據傳輸和存儲故障或軟件的不完善,有使數據出現異常錯誤的可能性;四是計算機病毒的入侵和“黑客”對系統的故意破壞,以及計算機物理性能的脆弱性等都可能導致審計風險的增加。
(三)控制主體變更的風險。在傳統審計中,內部控制一般表現為對人的控制,強調職責分工,相互牽制,采用的手段主要是利用紙面信息,進行手工核對和檢查,責任容易明確,結果也比較直觀。而在ERP系統中,內部控制轉變為對人和機器兩方面的控制,以對程序的控制為主體。企業的業務運作更加依賴于ERP系統,這種依賴性和信息系統本身特點具有一定的脆弱性,形成了企業新的控制風險。
(四)系統信息不實的風險。由于ERP系統中的財務模塊與其他功能模塊之間信息高度共享,因此企業各項經濟活動所產生的對企業財務狀況的影響幾乎可以實時地得到反映。如果系統中存在程序錯誤,便不能正確反映企業的經濟業務信息,使得企業資產、負債及損益的核算結果失真。審計人員若不能及時發現該類錯誤信息,則將帶來極大的審計風險。
三、審計風險的防范對策
(一)利用ERP系統自帶工具,擴大審計的范圍。ERP系統本身的運行實際上就是工作流程的運行。為了滿足企業在經營管理上的需求,ERP軟件本身提供強大的數據分析功能,審計人員可以在審計中充分利用這種功能,將大大提高工作效率,減少工作量。另外,ERP系統中記錄了大量詳盡的原始數據、標準報表及報表編輯分析工具,審計人員可以直接利用這些進行數據查詢和分析,突破財務,將審計拓展到其他功能模塊,對于核實企業經營的真實性、交易過程的合規性及內控檢查能發揮非常重要的作用。
(二)創新審計方法,加強在線授權與審批程序的測試與評估。充分利用現代計算機信息和網絡知識,采用計算機輔助審計技術。可利用數據分類復核技術、數據查詢技術、數據分析技術審查數據庫等。將審計方式由靜態審計轉向靜態與動態審計相結合;審計方法也應由原來傳統的審計方法轉變為盡可能使用計算機審計,通過系統對數據進行分析,確定數據處理的可靠性和系統程序的正確性。
(三)充分利用網絡技術,嵌入計算機輔助審計。利用數據分類復核技術、數據查詢技術、數據分析技術審查數據庫等。將審計方式由靜態審計轉向靜態與動態審計相結合;由現場審計轉向現場與遠程審計相結合等;審計方法也應由原來傳統的審計方法轉變為盡可能使用計算機審計,通過系統對數據進行分析,確定數據處理的可靠性和系統程序的正確性。
(四)核對賬面與實物資產。某些企業為了提高當年度銷售收入,可能會要求系統操作人員提前錄入訂單或虛構銷售出貨。審計人員應提高警惕,對于庫存管理模塊,應予以特別關注。審計人員可以直接在系統中導出歷史和當期庫存查詢,導出之前,要查看企業的銷售是否全部過賬、審核,如發現未過賬情況,要查明其原因,分析企業是未來得及發貨還是為應付審計的需要,對實際未出貨而已打單作為銷售的部分采取反過賬(未過賬則不影響庫存)。審計人員根據需要對查詢報表進行篩選或數據透視后,可以對存貨進行抽盤。通過實地盤存的數量與ERP系統數據進行對比、分析來查看企業的賬實相符性。同時,為了彌補審計人員對ERP系統認識不足帶來的審計風險,可以適當提高外部函證比例,將詢證數與系統數、財務報表數據進行比較、分析,以提高審計效率和降低風險。
