淺析ERP環(huán)境下企業(yè)內(nèi)部控制設(shè)計的規(guī)范—基于降低審計風(fēng)險的視角

趙文華

一、引言

一個企業(yè)應(yīng)用ERP(enterprise resource planning)系統(tǒng)，無疑可以給會計工作帶來很多簡化，但也給內(nèi)部控制帶來了新的考驗。我國越來越多的現(xiàn)代企業(yè)都在運用ERP系統(tǒng)對企業(yè)進行管理，既提高了管理效率，也為改善企業(yè)內(nèi)部控制的現(xiàn)狀提供了絕好的工具。但由于審計人員缺乏對信息系統(tǒng)的全面認(rèn)識和理解，以及ERP系統(tǒng)本身帶來的風(fēng)險，思索企業(yè)中引入ERP系統(tǒng)帶來的審計風(fēng)險，既可以對審計人員提出新的思考點，也有益于內(nèi)部控制建設(shè)的完善和規(guī)范。

二、ERP環(huán)境給審計和內(nèi)部控制帶來的風(fēng)險

（一）ERP的引入對審計風(fēng)險的影響

1.ERP系統(tǒng)對審計工作的影響

ERP環(huán)境下對企業(yè)進行審計時,對被審計單位數(shù)據(jù)的調(diào)取和查閱非常方便快捷,可以提高審計證據(jù)的獨立性,提高分析處理的有效性，增強時效性。但也有弊端，最突出的體現(xiàn)為成本效益原則。ERP環(huán)境下的企業(yè)一般規(guī)模宏大、業(yè)務(wù)復(fù)雜、內(nèi)控監(jiān)控點細密,使審計工作量大；審計人員在開展審計時，需要更多的人力和資源成本，了解被審計單位的ERP系統(tǒng)，審計成本上升，計算機審計需要更多的信息技術(shù)咨詢，審計質(zhì)量也難以保證。我國ERP環(huán)境下的審計觀念的不成熟，對審計中大量的職業(yè)判斷帶來了新的考驗。

2.ERP系統(tǒng)下審計風(fēng)險的新特點

審計風(fēng)險由于ERP的引入，出現(xiàn)了新的特點，以下通過審計的三大風(fēng)險加以說明：⑴固有風(fēng)險和表現(xiàn)：固有風(fēng)險是指假定不存在相關(guān)的內(nèi)部控制時，賬戶或交易產(chǎn)生的漏報、錯報風(fēng)險。在ERP系統(tǒng)中，一旦用戶非法侵入計算機系統(tǒng)的防火墻，就會給數(shù)據(jù)的安全帶來巨大的威脅；而且操作失誤、計算機故障、程序設(shè)計出錯等，極容易引起手工賬數(shù)據(jù)與電子數(shù)據(jù)不一致，增加了固有審計風(fēng)險的可能性。⑵控制風(fēng)險和表現(xiàn)：控制風(fēng)險是指固有風(fēng)險未能被內(nèi)部控制防止、發(fā)現(xiàn)或糾正的風(fēng)險。在ERP系統(tǒng)下，實際工作中為了節(jié)約成本，導(dǎo)致了有意或無意使設(shè)置權(quán)限密碼、實現(xiàn)職責(zé)分工的約束機制失效。另外，軟件本身的技術(shù)控制的不完善，對數(shù)據(jù)的一致性和共享性的集中，在實際中會增加新的控制風(fēng)險。⑶檢查風(fēng)險和表現(xiàn)：檢查風(fēng)險是指賬戶或交易產(chǎn)生的漏報、錯報，未被實質(zhì)性測試發(fā)現(xiàn)的風(fēng)險。這一點增加的風(fēng)險表現(xiàn)最為明顯。內(nèi)部控制的電腦化，使得原來可以觀察的內(nèi)部控制測試變得不那么顯然，審計人員對企業(yè)用計算機實現(xiàn)造假的手法難以識別，加大了審計的風(fēng)險。

（二）對內(nèi)部控制設(shè)計帶來的影響

1.對軟件流程再造的控制風(fēng)險

企業(yè)購入的ERP系統(tǒng)，一般是通用的類型,在實際應(yīng)用時,軟件無法準(zhǔn)確契合地適應(yīng)個性化的企業(yè)組織結(jié)構(gòu)、業(yè)務(wù)流程的要求。在對軟件與企業(yè)需求進行融合時，內(nèi)部控制設(shè)計也會出現(xiàn)更大的控制風(fēng)險。此外,ERP系統(tǒng)帶來的業(yè)務(wù)流程簡化，會造成很多審批環(huán)節(jié)的缺失,隱含一定的內(nèi)部控制制度不完善的風(fēng)險。

2.軟件是否提供了足夠的控制技術(shù)

實際中開發(fā)的企業(yè)常常把大部分精力都放在了ERP應(yīng)用軟件的開發(fā)與實施上,而沒有考慮足夠的技術(shù)控制控件的開發(fā)和安裝。從而導(dǎo)致應(yīng)用ERP系統(tǒng)的單位缺乏足夠的控制技術(shù),如果非法利用計算機程序來破壞數(shù)據(jù)，對企業(yè)是巨大的損失。有效的控制技術(shù)能保證程序的正常運行;同時保證文件正確安裝以及系統(tǒng)正確操作,能避免、檢查和糾正操作環(huán)境中的問題。

三、ERP系統(tǒng)下完善內(nèi)控建設(shè)與降低審計風(fēng)險的措施

（一）對內(nèi)控建設(shè)的建議

1.系統(tǒng)安全管理的內(nèi)部控制

ERP系統(tǒng)的安全管理環(huán)節(jié)存在的主要風(fēng)險點，包括自然原因或人為惡意操作可能造成的對信息系統(tǒng)硬件和軟件的損害及由此導(dǎo)致的信息外泄等。除去一些必備常識如數(shù)據(jù)應(yīng)及時備份等，建議如下：⑴人員的訪問控制。企業(yè)應(yīng)當(dāng)合理設(shè)置權(quán)限,員工不能擅自對ERP系統(tǒng)進行修改,更換配置,對某些重要數(shù)據(jù)的訪問也應(yīng)當(dāng)受到嚴(yán)格的限制。⑵建立賬號審批制度。對計算機部門以及各業(yè)務(wù)單元使用ERP系統(tǒng)的人員,建立賬號審批制度,對于新入員工或者離職員工的賬號以及系統(tǒng)權(quán)限,應(yīng)當(dāng)及時修改或注銷,確保企業(yè)信息系統(tǒng)的信息安全。

2.對崗位職責(zé)的內(nèi)部控制

⑴明確人員之間的責(zé)任劃分。首先，組織系統(tǒng)內(nèi)部的權(quán)限設(shè)置未必明確，若存在重疊或空白會影響團隊的合作。在企業(yè)實際的經(jīng)營過程中,可能出現(xiàn)一些意外的事項。當(dāng)這些事項出現(xiàn)時,應(yīng)能做到問題的及時溝通與協(xié)商解決。這需要管理層要對ERP系統(tǒng)可能會給企業(yè)帶來的風(fēng)險予以重視以及內(nèi)部審計人員的配合。⑵建立崗位的授權(quán)審批。管理層仍可采用原信息技術(shù)部門的人員來完成各人的授權(quán)分工與權(quán)限設(shè)置。要注意將IT部門負責(zé)授權(quán)的人員與各個業(yè)務(wù)操作部門分離開，防止其利用后門程序中飽私囊。⑶監(jiān)督性審核和獨立性審核。審計人員可以通過現(xiàn)場觀察和詢問，來審核監(jiān)督性和獨立性，在一定程度上防范因缺乏必要的職責(zé)分離所造成的管理層舞弊問題。

（二）降低審計風(fēng)險的對策

1.降低審計固有風(fēng)險的對策

固有風(fēng)險依賴于系統(tǒng)的安全管理和運行。強化對系統(tǒng)的安全運行和維護，完善軟件功能，完善數(shù)據(jù)錄入技術(shù)，降低審計固有風(fēng)險。如對財務(wù)數(shù)據(jù)進行加密，防止非法的篡改；審計人員及時備份，降低減少或消失審計線索的可能性。

2.降低控制風(fēng)險的對策

控制措施包括制度控制和程序控制。審計人員可以觀察被審計單位的約束機制是否失效。程序控制如是否實現(xiàn)了：分配設(shè)置責(zé)任區(qū)和操作權(quán)限和口令，經(jīng)過授權(quán)的個人用戶應(yīng)定期修改自己的密碼，嚴(yán)格控制跨責(zé)任區(qū)設(shè)置操作權(quán)限。制度控制如IT部門負責(zé)授權(quán)的人員與各個業(yè)務(wù)操作部門是否分離開等。

3.降低檢查風(fēng)險的對策

企業(yè)人員應(yīng)主動與審計人員溝通，減少審計人員因為不了解該系統(tǒng)而產(chǎn)生誤解；審計人員對ERP系統(tǒng)下的審計環(huán)境，要采取更為有效審計程序和審計方法。⑴審計程序應(yīng)該具有針對性和科學(xué)性。⑵提高審計人員的計算機水平。

四、結(jié)語

ERP系統(tǒng)在提高會計信息質(zhì)量、提高運行效率、方便信息溝通等方面發(fā)揮了重要作用。但是其在內(nèi)部控制上也不是萬能的。ERP環(huán)境下的內(nèi)部控制建設(shè)并不夠完善，審計人員在對企業(yè)進行審計時也面臨了更大的審計風(fēng)險。本文淺析了ERP環(huán)境下企業(yè)內(nèi)部控制可以在制度上進行完善的兩個方面，通過采取措施在一定程度上降低審計風(fēng)險，提高企業(yè)內(nèi)部控制的質(zhì)量。ERP環(huán)境下內(nèi)部控制制度設(shè)計的規(guī)范與發(fā)展是大勢所趨，希望本文可以拋磚引玉。

[1]孫民.會計電算化環(huán)境下的審計風(fēng)險與對策.財會研究，2012,9.