摘要:随着erp系统在越来越多的企业实施应用,给企业的内部审计环境、审计线索、审计风险等也带来了一定影响,企业内审人员应参与erp实施全过程,加强企业内部控制体系、系统原始数据参数等的准确性、安全性等重点内容的审计评估,不断提高自身素质,推动审计信息化建设,才能适应erp环境下内部审计的发展需求。
关键词:erp;内部审计;审计对策
erp(即enterprise resource planning,企业资源规划)是集信息技术与先进管理思想于一身的现代企业运行模式,也是对企业资源进行有效共享与利用的信息系统,其主要目的是使企业的资源在购、存、产、销、人、财、物、信息等各个方面得到合理配置和优化管理,从而更好地应对日趋激烈的市场竞争,提高企业的经营绩效。erp系统的实施使企业会计处理及财务控制方式发生改变,也给企业的内部审计带来一定影响和挑战。
一、erp系统的主要特点
1.系统高度集成
erp系统是个完整的集成化管理信息系统,包括分销、制造、会计、质量控制、售后服务、人力资源、运输管理等子系统,其最大特点是财务信息和业务信息的集成,实行财务与业务、财务与供应链销售链的一体化管理。epr系统实现了从采购到付款、订单的获取到发票的开出等业务集成,实现了跨职能部门的业务处理,能够达到降低库存、提高资金利用率、控制产品生产成本、缩短产品生产周期、提高工作效率等目的。
2.会计工作前移
在erp环境下,很多会计数据的录入和生成工作已经前移至业务部门,在财务人员对后台配置相应会计科目后,大部分经济业务只需业务部门的人员录入原始业务数据,由授权部门进行审核、确认、计量,并登录erp系统进行业务操作,系统自动生成会计凭证,自动完成财务账薄登记和报表生成等。WWw.133229.CoMerp系统中会计的范围大大扩展,形成了自成体系的fi、co会计模块,渗透到业务流程和核算的全过程,核算方式的变化使会计工作向前延伸。
二、erp系统对企业内部审计的影响
1.企业内部控制环境发生变化
信息技术的应用使企业的内部经营管理环境和内部控制方式发生了变化。传统的会计系统内部控制是以财务系统数据核算流程监控和内部牵制为控制重点,而在erp环境下,企业所有的工作流程都按照面向客户、面向信息网络、面向软件应用的要求进行了重组,同时,erp系统数据处理与存储的高度集中化、自动化,使手工操作时明确的职责分工这一基本内部控制的作用被削弱,相当一部分内部控制点已建立于系统的应用程序中,由计算机自动执行各种检验、核对、判断、监督以及对系统各功能实用的权限控制等;企业的内部控制已转变成以整个业务流程实时控制与决策为核心,形成了管理控制与系统控制并重、人机控制相结合的全方位综合性控制,内部管理权限的严密性以及关键风险点的设置成为erp环境下内部控制的重点。
2.传统审计线索中断或消失
在手工会计核算系统中,记录经济业务的资料都反映在书面上,每笔交易都有完整的审计线索,交易的环节有文字记录,有经手人签字,审计线索清晰可见。而在会计信息系统中很多纸质信息转换成只有计算机才能识别的编码,数据的输入、输出及存储趋于磁介质化。很多单据、凭证、报表等都可在erp系统自动生成,许多业务隐性化和数字化,传统的凭证和账簿有的已消失,有的发生了重大变化,变得更隐蔽和复杂。不同于传统的刮、擦、涂、改的方法,舞弊者一旦非法通过计算机系统的“防火墙”,通过对程序的篡改,不仅可以对数据资料进行修改、复制或销毁,还可以消除行动轨迹,不会留下操作痕迹,传统的审计线索就这样中断甚至消失。这在一定程度上增加了内部审计调查取证的难度,也给传统的内部审计技术方法带来挑战。
3.内部审计风险多样化
erp数据的高度集中,容易引发新的审计风险:一是系统中许多不相容职责相对集中,如操作人员违规使用,或在数据录入过程中恶意采用虚假、修改、省略、延迟录入等手段制造虚假财务数据,且不留痕迹,会扰乱审计工作人员的视线,给审计工作带来风险。二是有些审计人员由于过分信赖erp系统自动运行处理的结果,对所发现的各项疑点没有进行必要的复查,从而降低审计工作的质量和效率。三是设备风险,由于计算机中二进制数据信息是通过数据线和物理部件来传输和工作的,因而,在数据信息的处理过程中会出现一些影响数据准确性的不安全因素。同时,用于存储数据信息的磁介质在受潮、挤压等条件下容易受损,数据可能会丢失。这些存在于数据的处理和存储过程中的问题可能给审计工作带来一定的威胁。四是网络风险,erp系统的应用离不开网络环境,网络的开放性和共享性特点将网络本身具有的风险也带到审计工作中来,如计算机病毒入侵和“黑客”对系统的故意破坏等,增加了审计风险。
三、erp环境下的内部审计对策及建议
1.企业内部审计人员必须参与erp系统实施的全过程
大多数企业在实施erp项目之前都要对企业进行业务流程重组,其根本目的就是利用erp系统的信息优势对企业的运作过程进行优化。从风险管理的角度,内部审计部门应及早参与到erp实施的全过程中,从erp系统论证、规划、准备、实施到系统运行,并进行适时监控。审计的内容可包括:erp项目的决策与规划审计,erp软、硬件选型审计,对实施人员的工作进行审计,实施合同审计,业务流程控制的审计,对项目的实施进度进行审计和对项目实施效果进行审计等。同时,由于erp系统业务模块众多,通过跟踪其实施过程,审计人员能够进一步熟悉erp系统功能与特性,也便于更好地开展erp环境下的内部审计工作。
2.加强对以下重点内容的评估与审计
(1)加强对内部控制风险的评估,完善内部控制体系。erp环境中企业原有的内部控制制度发生了许多改变,对内部控制制度的要求也更为严格,一旦制度失控,给企事业单位带来的危害将不可估量。因此,加强对内部控制风险的评估与审计是极为必要的。在erp系统中,企业内部各个模块的信息是按事先制定的控制标准和通用格式进行传递的,计算机按照这些控制标准进行控制,有效地弥补了人工环境下的缺陷,原来许多由审计人员完成的稽核工作可以由系统完成。但企业经营活动及内部控制中依然存在重大差异或缺陷的可能性。如erp系统各职能岗位职责是否分离,权限范围设置是否合理,有些控制既可以选择人工控制,也可以选择由系统来控制,这些控制是否得到始终如一的执行,控制的标准是否前后保持一致等。这些都会影响控制的效果,甚至产生重大差异。因此,必须对erp环境下的内部控制体系进行测试和评估,对内部控制风险进行正确评价,从而促进企业建立健全内部控制制度体系,也能够根据内部控制测试结果安排审计重点,对可能发生的舞弊、差错和重大违纪事项等进行迅速定位,提高内部审计工作效率和工作质量。
(2)加强对erp系统中原始数据录入的准确性、完整性的抽查。erp系统中,所用数据都是从终端业务环节开始,财务与生产、采购、销售、库存等环节紧密相连,一环扣一环,做到无缝连接。由于erp系统使用一个数据库,同一数据源,这就对原始数据准确性、完整性提出了更高的要求。审计过程中,审计人员对系统原始数据的准确性的审核,成为erp环境下内部审计工作的重要基础工作之一,从而从源头上控制错误和舞弊的发生。
(3)注重对参数设置的审计。erp系统有很多参数,如,工艺参数、业务控制参数财务集成参数、费用分摊参数,等等,这些参数既影响内部控制的效果,又影响财务数据的准确性和一致性。特别是集成财务数据,除了要从数据源头控制数据的正确性之外,还应该关注中间环节中的财务集成参数的设置,以确保集成财务数据的有效性。因此,系统的参数设置是审计的一个重点,要检查系统参数的设置是否符合企业的实际情况和行业特点,系统参数的设置是否符合一贯性、有效性,是否存在随意改变参数设置的情况。
(4)加强数据安全性审计。计算机及网络技术使会计信息最大范围地被信息使用者共同享用,但这种共同享用的基础是数据的安全。由于计算机技术及人为方面的影响,网络信息的风险将会增加,特别是信息化环境下使用的数据资料通常是电子数据,而电子数据易于被无“痕迹”修改和伪造,使审计资料的可信度下降,而审计证据在网络中传输时又容易遭到截取或替换,从而使审计证据的真实性受到了威胁。因此,必须积极开展数据安全性审计,并将其作为内部审计的重要内容以应对erp环境下的审计工作。
3.加强审计信息化建设,建立完善、高效的审计信息化系统和审计操作平台
手工审计方式已无法对日益严重的计算机舞弊、财务会计信息失真现象进行有效的检查,传统的内部审计工具也已很难适应会计数据电子化的需要。内部审计信息化建设应与会计信息系统同步发展,审计技术手段也由手工操作向电子计算机转变。因此,应尽快开发出适应审计信息化发展要求的优质审计软件,使其具有智能化、集成化、网络化、通用性和实用性的特点。理想的审计软件应该是“审计工具”、“管理软件”和“法规、制度查询系统”三种功能的完美结合。这就要求审计软件应具有直接取数的功能、财务分析的功能、测试功能、计算处理功能、稽核功能、报表及附注合并功能、自动生成部分审计底稿的功能、即时帮助功能、函证管理功能、网络访问功能和审计项目参数设置功能等工具功能,同时,还应具有包含被审计单位资料管理功能、审计项目管理功能、人事管理功能及审计档案管理功能在内的管理功能。此外,审计软件还应为审计人员提供一些诸如审计计划、审计小结、资料清单之类的常用文书的模板以及法规、制度检索和查询。在开发和编制审计软件时,软件开发人员应深入审计工作一线,对审计工作内容及法规进行分析;在软件分析设计及调试过程中应有资深的审计工作人员参与;在软件投入使用后要注重采集一线审计人员的反馈意见,并对软件不断进行优化,这样才能实现软件的上述特性。此外,还需要审计信息系统能与erp系统有效链接,实现“物流、资金流、信息流”的信息共享,便于开展实时审计,并使审计人员能够迅速掌握会计核算与其他系统信息传递的关系,获取有效的审计信息。
通过审计信息化系统和审计操作平台的建立和完善,逐步实现企业内部审计过程的转变,即从单一的事后审计转变为事后审计与事中审计、事前审计相结合,从单一的静态审计转变为静态审计与动态审计相结合,从单一的现场审计转变为现场审计与远程审计、非现场审计相结合。通过全过程的审查、监督与评价,发现薄弱环节和存在的问题,帮助企业建章立制、完善内部控制,强化经营管理,提高内部审计部门在信息化条件下实施审计监督与评价的能力。
4.完善内部审计准则、标准与规范建设
erp环境中由于审计线索、审计内容、审计数据载体以及审计技术手段等发生了一系列变化,原有的内部审计准则已不能满足信息系统审计的需要。因此,必须对现有内部审计准则、规范等重新进行定义、修改和补充,加强信息系统内部审计工作管理体制建设,统一信息系统内部审计技术标准,明确信息系统内部审计人员技能要求,建立和完善适应信息化环境的内部审计准则体系。要把内部控制尤其是组织机构和管理制度列为重点,把数据输入、处理和输出控制、计算机的操作过程及网络安全作为内部审计的重要内容,使内部审计工作在新的环境下能够顺利进行。
5.提高企业内部审计人员素质和技能,适应内部审计发展
erp系统的实施对企业内部审计人员的素质也提出了更高要求,审计人员不仅要具有丰富的会计、财务、审计知识和技能,熟悉财经法规以及其他的审计规范,还应掌握计算机应用技术、数据处理和管理技术等;不仅要懂得审计软件的操作方法,还要能根据审计过程所出现的各种问题,即时编写出各种测试、审查程序模块,具备较强的将计算机技术与审计工作结合的能力。目前,很多企业的内部审计人员多数是会计或审计专业,难以满足信息化环境下复合型内部审计人才的要求,因此,要大力加强审计队伍的建设,加大计算机审计培训力度,引进信息技术人才,让审计人员掌握如何在审计中将审计知识与计算机技术有效结合,以适应现代内部审计发展的需要。
参考文献:
[1]盛巧玲.erp财务系统内部审计问题研究[j].中国管理信息化,2007,(8).
[2]杨光.信息化环境下如何开展企业风险管理内部审计[j].财会月刊,2008,(3).
[3]臧勇,周艺.会计信息化对企业内部控制审计的影响及对策研究[j].财会通讯,2007,(4).
[4]白宇洁.浅论erp环境下的内部审计[j].治金财会,2008,(4).
[5]林双全.erp环境下内部审计人员角色的转换[j].现代审计与经济,2007,(5).