ERP系统是以网络为核心的企业管理系统,实行动态监控生产过程,具有存货管理、生产中心、财务预测、生产能力、资源调度等方面的功能。它配合企业实现质量管理和生产资源调度管理及辅助决策,成为企业进行生产管理及决策的平台工具,使得企业提高了运行效率,当然如何确保ERP系统按照经营需求正常运转,成为众多企业非常关注的问题之一。
一、ERP系统审计面临的“瓶颈”
ERP系统上线以后,由于内部控制、审计内容、审计线索、审计技术等方面的变化,对审计人员能力水平的要求更高。不懂得计算机技术的审计人员,会因方式方法的改变而无从下手,会因为不懂得ERP系统的特点和风险而不能审查和评价其内部控制,更无法对ERP系统本身的可靠性、安全性和效率性进行评价。
(一)对审计理念的冲击。首先是审计人员必须相信单位的ERP系统的基础数据,否则审计没有任何基础资料可言。ERP系统下的财务部门的工作,也都是在建立在系统数据的基础上。他们在分析着ERP系统里的数据,然后得出账龄情况、存货情况、利润情况,继而给管理层提供财务政策、付款建议、存货管理及减值计提建议。如果审计没有对ERP的信任基础,那么审计将是极为庞大和基本无法完成的工作。
(二)给审计方法带来的挑战。主要是实质性测试程序存在差异,即能实行的主要是余额测试和抽样审计。ERP系统现行的审计方法是将审计的重点都放在资产负债表的余额测试和损益表的抽查上,包括盘点、函证等资产负债表余额测试程序。这种审计方法正是与国外ERP系统下财务控制理念是完全一致的。而国内审计的方法主要体现的是过程审计的理念,对资产负债表借贷方关注比较重视,这种审计方法在借鉴国外的ERP系统下可能难以实施,因为企业财务根本不关注这些这些数据,故在ERP系统里很难直接提供的。
(三)要求审计人员素质更高。由于审计面对的范围发生了变化,在传统的财务软件控制法下,企业所有的业务数据和重要资料都会反馈到财务系统,故大部分时候审计人员都是跟财务部门打交道,与业务部门直接交涉不是特别频繁。但是在ERP系统下,财务部能提供给你的可能仅仅是电脑数据,要实施任何测试程序,都要与业务部门直接沟通,需要的资料也必须到业务部门征询。这对于审计人员的专业素养和知识面要求都有了新的要求,以前与财务部打交道,用的都是双方理解的财务语言,现在则需要我们更加懂得如何去和企业各业务部门沟通。
二、ERP系统审计风险分析
(一)审计资源不足的风险。ERP是多功能模块的全流程系统,复杂的ERP系统要求审计人员必须具有较高的专业知识和计算机网络技术。但是,对于大型的ERP系统,几乎没有人能够对整个系统的功能和每个模块的特点具有全面的认识和理解。由于经济活动的实时录入,除财务模块之外的其他功能模块均有可能产生大量原始凭证,再加上无纸化办公的要求,使得审计证据的搜集难度加大。
(二)系统程序的风险。ERP数据的高度集中,容易引发新的风险:一是系统中许多不相容职责相对集中,加大了舞弊的风险;二是系统对错误的处理具有重复性和连续性;三是数据传输和存储故障或软件的不完善,有使数据出现异常错误的可能性;四是计算机病毒的入侵和“黑客”对系统的故意破坏,以及计算机物理性能的脆弱性等都可能导致审计风险的增加。
(三)控制主体变更的风险。在传统审计中,内部控制一般表现为对人的控制,强调职责分工,相互牵制,采用的手段主要是利用纸面信息,进行手工核对和检查,责任容易明确,结果也比较直观。而在ERP系统中,内部控制转变为对人和机器两方面的控制,以对程序的控制为主体。企业的业务运作更加依赖于ERP系统,这种依赖性和信息系统本身特点具有一定的脆弱性,形成了企业新的控制风险。
(四)系统信息不实的风险。由于ERP系统中的财务模块与其他功能模块之间信息高度共享,因此企业各项经济活动所产生的对企业财务状况的影响几乎可以实时地得到反映。如果系统中存在程序错误,便不能正确反映企业的经济业务信息,使得企业资产、负债及损益的核算结果失真。审计人员若不能及时发现该类错误信息,则将带来极大的审计风险。
三、审计风险的防范对策
(一)利用ERP系统自带工具,扩大审计的范围。ERP系统本身的运行实际上就是工作流程的运行。为了满足企业在经营管理上的需求,ERP软件本身提供强大的数据分析功能,审计人员可以在审计中充分利用这种功能,将大大提高工作效率,减少工作量。另外,ERP系统中记录了大量详尽的原始数据、标准报表及报表编辑分析工具,审计人员可以直接利用这些进行数据查询和分析,突破财务,将审计拓展到其他功能模块,对于核实企业经营的真实性、交易过程的合规性及内控检查能发挥非常重要的作用。
(二)创新审计方法,加强在线授权与审批程序的测试与评估。充分利用现代计算机信息和网络知识,采用计算机辅助审计技术。可利用数据分类复核技术、数据查询技术、数据分析技术审查数据库等。将审计方式由静态审计转向静态与动态审计相结合;审计方法也应由原来传统的审计方法转变为尽可能使用计算机审计,通过系统对数据进行分析,确定数据处理的可靠性和系统程序的正确性。
(三)充分利用网络技术,嵌入计算机辅助审计。利用数据分类复核技术、数据查询技术、数据分析技术审查数据库等。将审计方式由静态审计转向静态与动态审计相结合;由现场审计转向现场与远程审计相结合等;审计方法也应由原来传统的审计方法转变为尽可能使用计算机审计,通过系统对数据进行分析,确定数据处理的可靠性和系统程序的正确性。
(四)核对账面与实物资产。某些企业为了提高当年度销售收入,可能会要求系统操作人员提前录入订单或虚构销售出货。审计人员应提高警惕,对于库存管理模块,应予以特别关注。审计人员可以直接在系统中导出历史和当期库存查询,导出之前,要查看企业的销售是否全部过账、审核,如发现未过账情况,要查明其原因,分析企业是未来得及发货还是为应付审计的需要,对实际未出货而已打单作为销售的部分采取反过账(未过账则不影响库存)。审计人员根据需要对查询报表进行筛选或数据透视后,可以对存货进行抽盘。通过实地盘存的数量与ERP系统数据进行对比、分析来查看企业的账实相符性。同时,为了弥补审计人员对ERP系统认识不足带来的审计风险,可以适当提高外部函证比例,将询证数与系统数、财务报表数据进行比较、分析,以提高审计效率和降低风险。