對(duì)ERP環(huán)境下企業(yè)內(nèi)部控制審計(jì)探討

摘 要：ERP目前作為企業(yè)日常運(yùn)營(yíng)的管理工具，其模塊涉及到物資、財(cái)務(wù)、采購(gòu)、銷售、薪酬等多方面。在ERP環(huán)境下，企業(yè)內(nèi)部控制手段發(fā)生了根本性轉(zhuǎn)變，信息化在管理中起到了舉足輕重的作用，企業(yè)內(nèi)部控制審計(jì)出現(xiàn)了新的風(fēng)險(xiǎn)，針對(duì)這些風(fēng)險(xiǎn)進(jìn)行評(píng)估分級(jí)，從而采取相應(yīng)的對(duì)策，本文將逐步展開分析和探討。

關(guān)鍵詞：ERP；內(nèi)部控制審計(jì)對(duì)策

一、ERP對(duì)企業(yè)內(nèi)部控制審計(jì)的影響

（一）影響內(nèi)部控制審計(jì)標(biāo)準(zhǔn)

企業(yè)已有適合自身發(fā)展的審計(jì)準(zhǔn)則和標(biāo)準(zhǔn)，但在ERP環(huán)境下，企業(yè)運(yùn)行架構(gòu)、組織環(huán)境、內(nèi)部控制等發(fā)生了很大的變化，新審計(jì)準(zhǔn)則和標(biāo)準(zhǔn)的建立是必然趨勢(shì)。

（二）影響內(nèi)部控制審計(jì)線索

以往，企業(yè)的業(yè)務(wù)流程的有對(duì)應(yīng)的紙質(zhì)記錄，從這些記錄中能發(fā)現(xiàn)審計(jì)線索，現(xiàn)在通過電腦環(huán)境處理業(yè)務(wù)，發(fā)現(xiàn)線索很困難，審計(jì)人員只能根據(jù)錄入電腦的原始憑證和輸出資料查找審計(jì)線索，難度較大。

（三）影響內(nèi)部控制審計(jì)內(nèi)容和對(duì)象

與傳統(tǒng)環(huán)境相比，審計(jì)人員不僅需要審計(jì)手工資料，還需要審計(jì)軟硬件、國(guó)際互聯(lián)網(wǎng)絡(luò)、局域網(wǎng)絡(luò)、業(yè)務(wù)數(shù)據(jù)處理的所開發(fā)的程序等，擴(kuò)大了審計(jì)內(nèi)容和審計(jì)對(duì)象，增加了審計(jì)復(fù)雜度。

（四）影響內(nèi)部控制審計(jì)方式方法

過去審計(jì)人員基本上都是手工操作，在ERP環(huán)境下企業(yè)都是通過電腦軟件處理數(shù)據(jù)和業(yè)務(wù)，在新的審計(jì)環(huán)境下需要新的方法。

（五）影響內(nèi)部控制審計(jì)人員

新環(huán)境下要求審計(jì)人員是既精通財(cái)會(huì)審計(jì)又熟悉ERP系統(tǒng)應(yīng)用的復(fù)合型人才。

二、ERP給內(nèi)部控制帶來的風(fēng)險(xiǎn)

（一）環(huán)境控制風(fēng)險(xiǎn)

企業(yè)內(nèi)部計(jì)算機(jī)信息系統(tǒng)安全政策不具備也會(huì)使企業(yè)面臨重大風(fēng)險(xiǎn)。

（二）風(fēng)險(xiǎn)評(píng)估范圍加大

ERP環(huán)境下，信息部門集中處理所有數(shù)據(jù)。如果沒有相應(yīng)的監(jiān)管，處理人員可以輕松地查看、刪除、拷貝、改寫數(shù)據(jù)；第二，原始數(shù)據(jù)進(jìn)入電腦系統(tǒng)后，程序自動(dòng)處理，全部責(zé)任高度集中于電子數(shù)據(jù)處理系統(tǒng)；第三，黑客入侵計(jì)算機(jī)造成數(shù)據(jù)信息丟失、病毒攻擊、磁介質(zhì)載體檔案缺乏有效保密措施等都會(huì)影響到企業(yè)的正常運(yùn)行。

（三）計(jì)算機(jī)帶來的風(fēng)險(xiǎn)

1.硬件風(fēng)險(xiǎn)

由于不可抗因素（斷電、火災(zāi)等）或人為因素（操作失誤等）出現(xiàn)系統(tǒng)故障的存在，直接影響到電腦硬件及網(wǎng)絡(luò)，致使數(shù)據(jù)丟失或者計(jì)算機(jī)癱瘓，且計(jì)算機(jī)本身系統(tǒng)一體化、信息自動(dòng)化特點(diǎn)，內(nèi)控處于失控狀態(tài)，無法控制。

2.軟件風(fēng)險(xiǎn)

ERP功能較多，實(shí)際應(yīng)用時(shí)，設(shè)計(jì)缺陷（功能供需契合度、軟件穩(wěn)定性以及對(duì)中文界面和數(shù)據(jù)支持程度）不可避免，致使企業(yè)內(nèi)部控制存在潛在風(fēng)險(xiǎn)，這將直接影響ERP正常運(yùn)行。

3.集中存儲(chǔ)帶來的風(fēng)險(xiǎn)

ERP系統(tǒng)集中存儲(chǔ)方式，導(dǎo)致內(nèi)控相當(dāng)多的審計(jì)線索消失，再加上信息系統(tǒng)本身的不穩(wěn)定性，使得內(nèi)控難度增加。再者，集中存儲(chǔ)方式易于復(fù)制拷貝，正副本無法區(qū)分，可能分不清責(zé)任、難辨真假，使得會(huì)計(jì)信息缺乏法律效力。

（四）業(yè)務(wù)流程帶來的風(fēng)險(xiǎn)

ERP環(huán)境下，發(fā)生了根本性變化的業(yè)務(wù)流程才是企業(yè)內(nèi)部控制最大的風(fēng)險(xiǎn)。如：從采購(gòu)到付款、訂單的獲取到發(fā)票報(bào)銷等物資、財(cái)務(wù)、計(jì)劃等幾個(gè)部門的業(yè)務(wù)流程，在RRP環(huán)境下形成了單一、集中的數(shù)據(jù)庫，極大地簡(jiǎn)化了跨部門審批流程，使得手工環(huán)境下的內(nèi)控線索消失，再加上傳統(tǒng)環(huán)境下的內(nèi)控體系已經(jīng)遠(yuǎn)遠(yuǎn)不適應(yīng)基于流程管理需要的ERP系統(tǒng)。

（五）人員道德風(fēng)險(xiǎn)

一是企業(yè)內(nèi)部人員對(duì)會(huì)計(jì)信息的非授權(quán)查看、修改、泄密等風(fēng)險(xiǎn)；二是企業(yè)外部人員，尤其是黑客等對(duì)數(shù)據(jù)的非法入侵等風(fēng)險(xiǎn)。這兩種風(fēng)險(xiǎn)對(duì)于會(huì)計(jì)信息開放共享程度較高的ERP模式來講，開放程度越深，安全隱患就越高，直接威脅到企業(yè)的信息安全，加大了企業(yè)內(nèi)部控制的風(fēng)險(xiǎn)，增加了內(nèi)控的難度。另外，電子文檔自動(dòng)錄入會(huì)計(jì)憑證的方式弱化了憑證之間的證明性和制衡性，使得內(nèi)部控制難度越來越大。

三、ERP環(huán)境下企業(yè)內(nèi)部控制審計(jì)對(duì)策及建議

（一）更新審計(jì)觀念，樹立審計(jì)新思路

1.將靜態(tài)審計(jì)方式轉(zhuǎn)變?yōu)閯?dòng)態(tài)審計(jì)方式

首先，計(jì)算機(jī)軟硬件環(huán)境的影響，ERP不能隨時(shí)開啟和停止，再者ERP業(yè)務(wù)流程需要實(shí)時(shí)處理，致使ERP系統(tǒng)無法做到為了完成審計(jì)任務(wù)脫機(jī)運(yùn)行測(cè)試，只能把靜態(tài)審計(jì)方式轉(zhuǎn)變?yōu)閯?dòng)態(tài)審計(jì)方式。

2.將傳統(tǒng)輸出方式轉(zhuǎn)變?yōu)樵诰€審計(jì)方式

傳統(tǒng)的審計(jì)方式是將審計(jì)所需資料打印整理分析，翻閱憑證，而審計(jì)人員利用實(shí)時(shí)在線處理的ERP系統(tǒng)即可時(shí)時(shí)查找相關(guān)業(yè)務(wù)流程處理情況，運(yùn)用在線審計(jì)方式，既可提高審計(jì)質(zhì)量又有利于提高審計(jì)效率。

3.將傳統(tǒng)間斷方式轉(zhuǎn)變?yōu)檫B續(xù)審計(jì)方式

ERP系統(tǒng)分析模式可以給審計(jì)人員提供其需要的業(yè)務(wù)流程處理情況和會(huì)計(jì)數(shù)據(jù)，避免了傳統(tǒng)環(huán)境下需要跟企業(yè)相關(guān)人員索要資料時(shí)的溝通不暢，使得審計(jì)人員將傳統(tǒng)間斷方式轉(zhuǎn)變?yōu)檫B續(xù)審計(jì)方式，既可提高審計(jì)質(zhì)量又有利于提高審計(jì)效率。

（二）風(fēng)險(xiǎn)管理基礎(chǔ)工作繼續(xù)加強(qiáng)

1.正確識(shí)別和評(píng)估風(fēng)險(xiǎn)

ERP環(huán)境下，企業(yè)數(shù)據(jù)收集整理發(fā)生了變化，減少了文書復(fù)核的工作量，致使在內(nèi)控薄弱的環(huán)節(jié)里錯(cuò)誤的信息在造成重大影響前很難被發(fā)現(xiàn)。因此，正確識(shí)別和評(píng)估ERP系統(tǒng)控制的薄弱環(huán)節(jié)至關(guān)重要。

2.強(qiáng)化風(fēng)險(xiǎn)防范意識(shí)

判斷企業(yè)內(nèi)部控制系統(tǒng)是否有效有兩點(diǎn)，一是評(píng)價(jià)內(nèi)控有效執(zhí)行保護(hù)企業(yè)資產(chǎn)完整性的程度；二是評(píng)價(jià)內(nèi)控確保電算化會(huì)計(jì)信息可靠性和正確性的程度。

3.控制審計(jì)報(bào)告以及后續(xù)環(huán)節(jié)的風(fēng)險(xiǎn)

提高審計(jì)報(bào)告質(zhì)量的關(guān)鍵是要對(duì)審計(jì)發(fā)現(xiàn)進(jìn)行深入的加工，問題定性準(zhǔn)確；二是審計(jì)結(jié)論客觀準(zhǔn)確、證據(jù)確鑿；三是提出的審計(jì)意見具有可操作性；四是審計(jì)報(bào)告立意要高。

（三）系統(tǒng)數(shù)據(jù)分析工具的應(yīng)用

ERP系統(tǒng)數(shù)據(jù)分析功能的充分應(yīng)用將很大程度上減少審計(jì)人員的工作總量，提升審計(jì)效率。另外，直接利用ERP系統(tǒng)中豐富的企業(yè)原始數(shù)據(jù)記載、相應(yīng)的數(shù)據(jù)編輯分析工具及標(biāo)準(zhǔn)報(bào)表，審計(jì)人員可以實(shí)時(shí)挖掘數(shù)據(jù)整理工分析。

（四）加強(qiáng)審計(jì)軟件的開發(fā)，為審計(jì)信息化提供平臺(tái)

審計(jì)軟件需要跟ERP無縫對(duì)接，能夠?qū)RP中的數(shù)據(jù)進(jìn)行實(shí)時(shí)統(tǒng)計(jì)和分析；其次能夠有取數(shù)、測(cè)試功能，并且自定義到處所需報(bào)表；另外，具備自定義設(shè)置審計(jì)參數(shù)的審計(jì)底稿自動(dòng)生成功能；最后，具備管理檔案、人事的功能以及隨時(shí)更新的審計(jì)法律法規(guī)查詢系統(tǒng)。

（五）采用新的審計(jì)方式

1.審計(jì)系統(tǒng)業(yè)務(wù)流程

（1）ERP前期準(zhǔn)備工作的了解

內(nèi)控人員應(yīng)了解如下問題：一是如何處理ERP上線前的歷史遺留問題；二是ERP運(yùn)行初期存在的典型問題；三是是否存在與原財(cái)務(wù)系統(tǒng)同時(shí)運(yùn)行的情況；四是ERP數(shù)據(jù)與原財(cái)務(wù)系統(tǒng)數(shù)據(jù)是否存在差異，產(chǎn)生差異的原因、如何處理差異等。

（2）ERP運(yùn)行狀況的了解

ERP運(yùn)行情況、系統(tǒng)是否兼容、是否存在設(shè)計(jì)缺陷或運(yùn)行缺陷、是否有人為操縱、數(shù)據(jù)是否真實(shí)準(zhǔn)確等這些信息都是內(nèi)控人員應(yīng)該了解的。

（3）系統(tǒng)主要業(yè)務(wù)流程及其特點(diǎn)的了解

ERP各模塊的框架，尤其是人事管理、財(cái)務(wù)核算、物資采購(gòu)、工程管理等特點(diǎn)；ERP數(shù)據(jù)流程是否能真實(shí)反映企業(yè)各項(xiàng)業(yè)務(wù)；ERP數(shù)據(jù)控制情況等都是內(nèi)控人員應(yīng)該了解的。

2.審計(jì)系統(tǒng)關(guān)鍵控制點(diǎn)

通過對(duì)關(guān)鍵控制點(diǎn)的審計(jì)檢測(cè)，判斷其控制是否有效；是否建立了關(guān)鍵控制點(diǎn)的預(yù)警機(jī)制；在業(yè)務(wù)流程處理過程中是否存在控制的薄弱環(huán)節(jié)；進(jìn)一步優(yōu)化關(guān)鍵控制點(diǎn)的管控措施和方法。

3.審計(jì)系統(tǒng)的實(shí)時(shí)監(jiān)控情況

如果企業(yè)是通過ERP系統(tǒng)來監(jiān)測(cè)內(nèi)部控制情況，那么內(nèi)控審計(jì)時(shí)，審計(jì)人員應(yīng)根據(jù)相應(yīng)的參數(shù)設(shè)置情況和通知來判斷ERP系統(tǒng)的有效程度以及對(duì)企業(yè)的管理需要契合程度等；監(jiān)控時(shí)，審查系統(tǒng)是否存在監(jiān)控盲區(qū)、監(jiān)控是否有效；風(fēng)險(xiǎn)的預(yù)警機(jī)制運(yùn)行情況等，這些都是審計(jì)人員在內(nèi)控審計(jì)時(shí)候需要重點(diǎn)關(guān)注的。

4.防范內(nèi)部控制審計(jì)風(fēng)險(xiǎn)

（1）了解被審計(jì)單位情況

通過現(xiàn)場(chǎng)查勘、訪談等方式了解被審計(jì)單位情況以及關(guān)鍵業(yè)務(wù)流程（如采購(gòu)流程、合同管理流程、貨物運(yùn)輸流程、收入等）、ERP上線運(yùn)行情況、ERP軟件分析統(tǒng)計(jì)功能運(yùn)用情況、軟件是否滿足用戶的需要、現(xiàn)有的軟件功能對(duì)企業(yè)幫助程度、以及同行發(fā)展情況，企業(yè)的上級(jí)主管部門如何監(jiān)管、受到何種法律法規(guī)約束等。

（2）計(jì)算機(jī)審計(jì)技術(shù)的開發(fā)

第一，被審單位應(yīng)承諾錄入系統(tǒng)數(shù)據(jù)的真實(shí)性和完整性，這是計(jì)算機(jī)審計(jì)技術(shù)開發(fā)的前提；第二，計(jì)算機(jī)審計(jì)軟件能不斷適應(yīng)更新?lián)Q代的ERP系統(tǒng)；第三，采用適合被審計(jì)單位ERP系統(tǒng)的審計(jì)技術(shù)；第四，如果被審計(jì)單位采用ERP實(shí)時(shí)處理業(yè)務(wù)流程時(shí)，需要采用計(jì)算機(jī)審計(jì)方法進(jìn)行審計(jì)，而被審計(jì)單位ERP系統(tǒng)進(jìn)行數(shù)據(jù)維護(hù)時(shí)，則需采用手工審計(jì)方式；第五，如果被審計(jì)單位要求保密性和安全性的情況下，采用審計(jì)軟件需要進(jìn)行加密從而確認(rèn)審計(jì)用戶身份，同時(shí)保留審計(jì)過程痕跡以保證事后追認(rèn)的目的，另一方面也要防止數(shù)據(jù)的非授權(quán)備份，以防止數(shù)據(jù)外泄；第六，根據(jù)被審計(jì)單位情況，合理選擇審計(jì)方式。為了預(yù)防企業(yè)ERP數(shù)據(jù)被惡意修改，可以采用突擊審計(jì)方式或就地審計(jì)方式（事先不通知計(jì)算機(jī)程序人員），進(jìn)行相應(yīng)的測(cè)試，通過審查ERP系統(tǒng)中實(shí)時(shí)運(yùn)行的數(shù)據(jù)的副本來確保審查的程序和數(shù)據(jù)的正確性和完整性。

（3）相關(guān)法規(guī)的完善

新形勢(shì)下，只有在國(guó)家立法和行業(yè)準(zhǔn)則健全的基礎(chǔ)上，審計(jì)風(fēng)險(xiǎn)才能不斷降低，審計(jì)主體和被審計(jì)單位的行為才能得到有效的規(guī)范。

（六）審計(jì)隊(duì)伍新模式的建立

審計(jì)人員積極參與ERP系統(tǒng)相關(guān)建設(shè)，使其有機(jī)會(huì)掌握核心知識(shí)，進(jìn)而能夠培養(yǎng)出關(guān)鍵人才；定期組織員工培訓(xùn)，尤其是ERP系統(tǒng)各模塊的普及利用。

（七）利用ERP優(yōu)勢(shì)完善內(nèi)控體系

1.內(nèi)部控制目標(biāo)的確定

ERP環(huán)境下，內(nèi)部控制的目標(biāo)大概如下：一是企業(yè)關(guān)鍵業(yè)務(wù)流程的確定；二是評(píng)估整個(gè)業(yè)務(wù)流程和控制的設(shè)計(jì)，能否滿足和支持最終業(yè)務(wù)目標(biāo)；三是評(píng)估崗位是否職責(zé)分離，核心業(yè)務(wù)是否具有加密訪問措施；四是控制方式合理與否等。

2.內(nèi)部控制范圍的確定

ERP系統(tǒng)功能強(qiáng)大，覆蓋層面廣，包括人力資源、物資、財(cái)務(wù)、生產(chǎn)、采購(gòu)等各個(gè)環(huán)節(jié)。內(nèi)控范圍的確定主要是利用風(fēng)險(xiǎn)評(píng)估手段查找支持最大風(fēng)險(xiǎn)業(yè)務(wù)流程的ERP模塊，涉及收入、支出等控制流程運(yùn)行順利與否。

3.內(nèi)部控制方案的確定

ERP環(huán)境下，內(nèi)部控制方案主要有基于系統(tǒng)控制和基于流程控制兩種，通常需要結(jié)合使用。由于ERP系統(tǒng)的控制基本上靠軟件完成，限制和核查運(yùn)行的合法性主要是通過數(shù)據(jù)的有效性、合理性來進(jìn)行控制，那么ERP系統(tǒng)參數(shù)設(shè)置至關(guān)重要，直接決定了該系統(tǒng)的控制級(jí)別，如字符驗(yàn)證、用戶訪問等；在運(yùn)行過程中，二次開發(fā)在某種程度上會(huì)削弱系統(tǒng)已設(shè)參數(shù)，從而產(chǎn)生新的風(fēng)險(xiǎn)點(diǎn)，這種情況下就需要靠流程控制。

4.事前事中事后控制的完善

事前控制的完善主要集中在組織管理控制和全面預(yù)算控制兩方面。組織管理控制主要是根據(jù)組織結(jié)構(gòu)和崗位職責(zé)，在ERP系統(tǒng)中設(shè)置相應(yīng)的操作權(quán)限，確保各項(xiàng)操作權(quán)限都是被授權(quán)執(zhí)行，同時(shí)根據(jù)不相容崗位分離原則對(duì)崗位進(jìn)行設(shè)置，從訪問權(quán)限、操作權(quán)限、查詢權(quán)限上進(jìn)行相互制衡，防止舞弊行為發(fā)生；全面預(yù)算控制主要是整體目標(biāo)分解，具體目標(biāo)的落實(shí)執(zhí)行，標(biāo)準(zhǔn)的嚴(yán)格控制。

事中控制的完善主要是業(yè)務(wù)操作控制和財(cái)務(wù)系統(tǒng)的控制。這兩種控制主要都是通過規(guī)范工作流程，并設(shè)置在系統(tǒng)中來規(guī)范操作步驟來避免數(shù)據(jù)被篡改，保證報(bào)表的真實(shí)性和完整性。

事后控制的完善主要是通過核對(duì)數(shù)據(jù)、評(píng)估風(fēng)險(xiǎn)、指標(biāo)完成情況、制度執(zhí)行情況、內(nèi)部審計(jì)職能的強(qiáng)化等幾個(gè)方面來保證數(shù)據(jù)的正確性和客觀性，有利于企業(yè)及時(shí)調(diào)整偏差，發(fā)現(xiàn)問題立即整改。

參考文獻(xiàn)：

[1]李淑琴.《ERP應(yīng)用的風(fēng)險(xiǎn)與內(nèi)部控制》[J]中國(guó)石油企業(yè)，2005，（09）.

[3]封蕾.《IEFIP環(huán)境下的內(nèi)部審計(jì)》[J]《現(xiàn)代商業(yè)》，2011.（08）.

作者簡(jiǎn)介：

張?zhí)m，中國(guó)神華神朔鐵路分公司。