淺議ERP系統審計

胡玲玲

ERP是企業資源規劃Enterprise Resource Planning的縮寫。它是由美國Garter Group咨詢公司首先提出的，是當今國際上一個最先進的企業管理模式。ERP系統是指建立在信息技術基礎上，以系統化的管理思想，為企業決策層及員工提供決策運行手段的管理平臺。ERP系統集信息技術與先進管理思想于一身，成為現代企業的運行模式，反映時代對企業合理調配資源，最大化地創造社會財富的要求，成為企業在信息時代生存、發展的基石。它對于改善企業業務流程、提高企業核心競爭力具有顯著作用。由于ERP系統在企業的經濟活動中承載著幾乎全部的關鍵業務，因此，如何確保ERP系統按照企業運營需求能夠正常運轉，成為眾多企業非常關注的問題之一。一些企業已經把審計業務從財務延伸到了ERP，開始嘗試對ERP系統進行審計。

一、對ERP系統進行審計的必要性

（一）企業內部審計環境的變化

首先，企業管理流程的優化使內部控制發生了變化。信息技術的應用使企業的內部經營管理發生了質的變化，企業所有的工作流程都按照面向客戶、面向信息網絡、面向軟件應用的要求進行了重組，相當一部分的內部控制點已建立于系統的應用程序中，由計算機自動執行各種檢驗、核對、判斷、監督以及對系統各功能實用的權限控制等；其次，傳統的審計線索消失。在手工會計中，憑證、賬簿等審計線索主要是反映在書面上的，審計人員可利用這些書面材料從原始憑證查起，通過對報表之間、報表與賬簿之間會計數據的勾稽關系審查憑證賬簿所反映的經濟內容的合法性與業務處理的正確性。而實施ERP系統后，這些傳統的審計線索可能會部分或完全消失。

（二）企業內部的審計內容與審計重點的變化

在ERP系統中，由于會計事項由計算機按程序自動進行處理，發生在原有手工會計系統中的計算或過賬錯誤的機會相應減少了。但如果ERP系統的應用程序出錯或被人為纂改，則計算機只會按給定的程序以同樣錯誤的方式處理有關的會計事項，錯誤的結果將十分嚴重。因此，在ERP環境下，審計內容更加廣泛。審計人員既要對計算機管理信息系統的處理和控制功能進行審查，以證實其處理的合法性、正確性、完整性和安全性，又要參與ERP系統的設計和開發，以免ERP系統在企業投入使用后，再改進時付出更昂貴的代價。

（三）企業內部風險管理審計的變化

對風險管理的審查和評價是企業內部審計的基本內容之一。ERP環境下企業的風險管理審計將顯得更為重要。一方面，在ERP環境下，舞弊和失誤均由原來的手工操作變成了由機器和系統程序來完成，不留任何紙面痕跡，從而使風險更加隱蔽、層次更高、內涵更深，風險識別、評估和應對的難度更大；另一方面，企業實施ERP以后，ERP已成為企業的生命線，風險可能造成的損失將更加巨大。企業為了防范和降低風險，必須加大風險管理的審計力度。

二、對ERP系統進行審計的內容

（—）對系統業務流程的審計

ERP環境下所用數據都是從各業務環節開始，財務與生產、采購、銷售、庫存等環節緊密相連，環環相扣。如ERP系統中的銷售部分，銷售是從訂立銷售合同開始，在實際開銷售發票和提貨出庫時，系統都自動進行賬務處理，自動生成記賬憑證傳到財務部分，財務人員可以通過操作由系統進行自動審核、記賬，也可以進行人工審核。ERP系統使用一個數據庫，二者同一數據源，因此這就對原始數據準確性、完整性提出了要求。在審計中，我們進行該工作的目的除為了檢查由于工作失誤所造成的原始數據的不準確，還包括檢查是否存在由于舞弊所造成的原始數據的不真實，從而從源頭上控制錯誤和舞弊的發生。審計內容大體包括以下幾個方面：

1.業務處理的全面性：應該在系統中運行的業務是否全部通過系統運行；

2.信息錄入的及時性和準確性；

3.系統運行的可靠性：是否存在系統錯誤；流程處理是否通暢，有無缺陷或舞弊的可能，能否進行進一步的優化；系統識別、評價和應對流程風險的效果如何等。

（二）對關鍵控制點的內部審計

ERP系統是由多個模塊高度集成起來的，每一模塊都有相應的關鍵控制點，對企業的生產經營起著至關重要的作用。如銷售結算中的定價控制點，是根據發貨時間來自動劃價的，倘若公司某天調整銷售價格，而發貨時間控制不嚴，公司的效益損失也將非常巨大，而且很難發現。因此，對關鍵控制點的風險管理審計應作為審計的重點。審計時要主要關注以下問題：

1.是否對關鍵控制點進行了識別，識別是否全面；

2.是否建立了關鍵控制點的風險評價體系；

3.是否建立了關鍵控制點的預警機制和應對機制；

4.關鍵控制點的識別、評價、預警和應對機制的適應性和有效性如何；控制方法和手段是否可進一步優化；有無控制不嚴或失控的現象和可能等。

（三）對ERP系統監控的內部審計

ERP系統應用于企業的優點之一就是對業務和績效能夠進行動態監控。ERP系統的監控功能，本身就是一種控制，運用得好，可以極大地降低風險；可一旦運用得不好，流程上的控制點就會失去控制，風險也就會隨之加大。因此，我們有必要對系統監控的風險管理進行審計，審計和評價企業及其下屬單位是否利用ERP系統進行了業務和績效的動態監控、監控點及其風險如何識別和評價、監控的權威及其效果如何、發現問題的處理方式以及應對風險的效果如何、有無監控盲區或監控不利的區域、監控結果的利用情況如何等。

（四）對風險管理機制的審計

ERP系統是一個巨大的系統，必須建立嚴密的風險管理機制。對ERP系統下的審計，首先必須對風險管理機制進行審計，審查企業及其下屬單位是否建立了風險管理機制，風險識別、評價和應對機制的適應性和有效性如何，實際運行情況怎樣，是否有利于企業管理的持續改善等。在審計中，我們還應當專門對業務流程、關鍵控制點、系統監控等方面的風險管理機制進行重點審計。

（五）對系統的審計

從系統本身來說，無論是硬件還是軟件，都有產生故障的可能，預見功能的完備與否也是系統運行的風險之一，ERP系統與其它系統的連接則是影響系統運行的關鍵因素。要保證ERP系統的正常運行，降低經營風險，對ERP系統以及與其相聯接的其它信息系統的風險管理與審計也是必不可少的，這包括對系統的開發與設計、軟件的程序、系統的控制、功能的劃分、硬件的架構、備份模式及效果、故障處理方案及風險應對措施、系統風險識別與評價體系等進行審計。

（六）對系統人員的審計

任何系統都是通過人來操作和維護的，尤其是關鍵控制點和系統監控崗位上的人員以及關鍵的系統維護人員，他們掌握者整個系統的命脈。由此可見，對相關系統人員的風險管理與審計也就顯得相當重要。

1.審查和評價系統人員是否經過培訓并取得相應資格，是否有識別和應對本崗位風險的能力，在本崗位控制和風險管理的實際效果如何等；

2.審查和評價企業及其下屬單位是否建立了相應的人才風險管理機制，識別、評價以及應對人才風險的措施和效果如何；同時，我們還要在對領導干部的經濟責任審計中增加對系統控制和風險管理等方面的審計內容，對關鍵控制點和系統監控崗位上的人員以及關鍵的系統維護人員可以實行系統責任審計，以促進領導干部及相應系統人員增強ERP系統的風險意識和責任。