淺議ERP系統(tǒng)審計(jì)

胡玲玲

ERP是企業(yè)資源規(guī)劃Enterprise Resource Planning的縮寫。它是由美國(guó)Garter Group咨詢公司首先提出的，是當(dāng)今國(guó)際上一個(gè)最先進(jìn)的企業(yè)管理模式。ERP系統(tǒng)是指建立在信息技術(shù)基礎(chǔ)上，以系統(tǒng)化的管理思想，為企業(yè)決策層及員工提供決策運(yùn)行手段的管理平臺(tái)。ERP系統(tǒng)集信息技術(shù)與先進(jìn)管理思想于一身，成為現(xiàn)代企業(yè)的運(yùn)行模式，反映時(shí)代對(duì)企業(yè)合理調(diào)配資源，最大化地創(chuàng)造社會(huì)財(cái)富的要求，成為企業(yè)在信息時(shí)代生存、發(fā)展的基石。它對(duì)于改善企業(yè)業(yè)務(wù)流程、提高企業(yè)核心競(jìng)爭(zhēng)力具有顯著作用。由于ERP系統(tǒng)在企業(yè)的經(jīng)濟(jì)活動(dòng)中承載著幾乎全部的關(guān)鍵業(yè)務(wù)，因此，如何確保ERP系統(tǒng)按照企業(yè)運(yùn)營(yíng)需求能夠正常運(yùn)轉(zhuǎn)，成為眾多企業(yè)非常關(guān)注的問題之一。一些企業(yè)已經(jīng)把審計(jì)業(yè)務(wù)從財(cái)務(wù)延伸到了ERP，開始嘗試對(duì)ERP系統(tǒng)進(jìn)行審計(jì)。

一、對(duì)ERP系統(tǒng)進(jìn)行審計(jì)的必要性

（一）企業(yè)內(nèi)部審計(jì)環(huán)境的變化

首先，企業(yè)管理流程的優(yōu)化使內(nèi)部控制發(fā)生了變化。信息技術(shù)的應(yīng)用使企業(yè)的內(nèi)部經(jīng)營(yíng)管理發(fā)生了質(zhì)的變化，企業(yè)所有的工作流程都按照面向客戶、面向信息網(wǎng)絡(luò)、面向軟件應(yīng)用的要求進(jìn)行了重組，相當(dāng)一部分的內(nèi)部控制點(diǎn)已建立于系統(tǒng)的應(yīng)用程序中，由計(jì)算機(jī)自動(dòng)執(zhí)行各種檢驗(yàn)、核對(duì)、判斷、監(jiān)督以及對(duì)系統(tǒng)各功能實(shí)用的權(quán)限控制等；其次，傳統(tǒng)的審計(jì)線索消失。在手工會(huì)計(jì)中，憑證、賬簿等審計(jì)線索主要是反映在書面上的，審計(jì)人員可利用這些書面材料從原始憑證查起，通過對(duì)報(bào)表之間、報(bào)表與賬簿之間會(huì)計(jì)數(shù)據(jù)的勾稽關(guān)系審查憑證賬簿所反映的經(jīng)濟(jì)內(nèi)容的合法性與業(yè)務(wù)處理的正確性。而實(shí)施ERP系統(tǒng)后，這些傳統(tǒng)的審計(jì)線索可能會(huì)部分或完全消失。

（二）企業(yè)內(nèi)部的審計(jì)內(nèi)容與審計(jì)重點(diǎn)的變化

在ERP系統(tǒng)中，由于會(huì)計(jì)事項(xiàng)由計(jì)算機(jī)按程序自動(dòng)進(jìn)行處理，發(fā)生在原有手工會(huì)計(jì)系統(tǒng)中的計(jì)算或過賬錯(cuò)誤的機(jī)會(huì)相應(yīng)減少了。但如果ERP系統(tǒng)的應(yīng)用程序出錯(cuò)或被人為纂改，則計(jì)算機(jī)只會(huì)按給定的程序以同樣錯(cuò)誤的方式處理有關(guān)的會(huì)計(jì)事項(xiàng)，錯(cuò)誤的結(jié)果將十分嚴(yán)重。因此，在ERP環(huán)境下，審計(jì)內(nèi)容更加廣泛。審計(jì)人員既要對(duì)計(jì)算機(jī)管理信息系統(tǒng)的處理和控制功能進(jìn)行審查，以證實(shí)其處理的合法性、正確性、完整性和安全性，又要參與ERP系統(tǒng)的設(shè)計(jì)和開發(fā)，以免ERP系統(tǒng)在企業(yè)投入使用后，再改進(jìn)時(shí)付出更昂貴的代價(jià)。

（三）企業(yè)內(nèi)部風(fēng)險(xiǎn)管理審計(jì)的變化

對(duì)風(fēng)險(xiǎn)管理的審查和評(píng)價(jià)是企業(yè)內(nèi)部審計(jì)的基本內(nèi)容之一。ERP環(huán)境下企業(yè)的風(fēng)險(xiǎn)管理審計(jì)將顯得更為重要。一方面，在ERP環(huán)境下，舞弊和失誤均由原來的手工操作變成了由機(jī)器和系統(tǒng)程序來完成，不留任何紙面痕跡，從而使風(fēng)險(xiǎn)更加隱蔽、層次更高、內(nèi)涵更深，風(fēng)險(xiǎn)識(shí)別、評(píng)估和應(yīng)對(duì)的難度更大；另一方面，企業(yè)實(shí)施ERP以后，ERP已成為企業(yè)的生命線，風(fēng)險(xiǎn)可能造成的損失將更加巨大。企業(yè)為了防范和降低風(fēng)險(xiǎn)，必須加大風(fēng)險(xiǎn)管理的審計(jì)力度。

二、對(duì)ERP系統(tǒng)進(jìn)行審計(jì)的內(nèi)容

（—）對(duì)系統(tǒng)業(yè)務(wù)流程的審計(jì)

ERP環(huán)境下所用數(shù)據(jù)都是從各業(yè)務(wù)環(huán)節(jié)開始，財(cái)務(wù)與生產(chǎn)、采購(gòu)、銷售、庫(kù)存等環(huán)節(jié)緊密相連，環(huán)環(huán)相扣。如ERP系統(tǒng)中的銷售部分，銷售是從訂立銷售合同開始，在實(shí)際開銷售發(fā)票和提貨出庫(kù)時(shí)，系統(tǒng)都自動(dòng)進(jìn)行賬務(wù)處理，自動(dòng)生成記賬憑證傳到財(cái)務(wù)部分，財(cái)務(wù)人員可以通過操作由系統(tǒng)進(jìn)行自動(dòng)審核、記賬，也可以進(jìn)行人工審核。ERP系統(tǒng)使用一個(gè)數(shù)據(jù)庫(kù)，二者同一數(shù)據(jù)源，因此這就對(duì)原始數(shù)據(jù)準(zhǔn)確性、完整性提出了要求。在審計(jì)中，我們進(jìn)行該工作的目的除為了檢查由于工作失誤所造成的原始數(shù)據(jù)的不準(zhǔn)確，還包括檢查是否存在由于舞弊所造成的原始數(shù)據(jù)的不真實(shí)，從而從源頭上控制錯(cuò)誤和舞弊的發(fā)生。審計(jì)內(nèi)容大體包括以下幾個(gè)方面：

1.業(yè)務(wù)處理的全面性：應(yīng)該在系統(tǒng)中運(yùn)行的業(yè)務(wù)是否全部通過系統(tǒng)運(yùn)行；

2.信息錄入的及時(shí)性和準(zhǔn)確性；

3.系統(tǒng)運(yùn)行的可靠性：是否存在系統(tǒng)錯(cuò)誤；流程處理是否通暢，有無缺陷或舞弊的可能，能否進(jìn)行進(jìn)一步的優(yōu)化；系統(tǒng)識(shí)別、評(píng)價(jià)和應(yīng)對(duì)流程風(fēng)險(xiǎn)的效果如何等。

（二）對(duì)關(guān)鍵控制點(diǎn)的內(nèi)部審計(jì)

ERP系統(tǒng)是由多個(gè)模塊高度集成起來的，每一模塊都有相應(yīng)的關(guān)鍵控制點(diǎn)，對(duì)企業(yè)的生產(chǎn)經(jīng)營(yíng)起著至關(guān)重要的作用。如銷售結(jié)算中的定價(jià)控制點(diǎn)，是根據(jù)發(fā)貨時(shí)間來自動(dòng)劃價(jià)的，倘若公司某天調(diào)整銷售價(jià)格，而發(fā)貨時(shí)間控制不嚴(yán)，公司的效益損失也將非常巨大，而且很難發(fā)現(xiàn)。因此，對(duì)關(guān)鍵控制點(diǎn)的風(fēng)險(xiǎn)管理審計(jì)應(yīng)作為審計(jì)的重點(diǎn)。審計(jì)時(shí)要主要關(guān)注以下問題：

1.是否對(duì)關(guān)鍵控制點(diǎn)進(jìn)行了識(shí)別，識(shí)別是否全面；

2.是否建立了關(guān)鍵控制點(diǎn)的風(fēng)險(xiǎn)評(píng)價(jià)體系；

3.是否建立了關(guān)鍵控制點(diǎn)的預(yù)警機(jī)制和應(yīng)對(duì)機(jī)制；

4.關(guān)鍵控制點(diǎn)的識(shí)別、評(píng)價(jià)、預(yù)警和應(yīng)對(duì)機(jī)制的適應(yīng)性和有效性如何；控制方法和手段是否可進(jìn)一步優(yōu)化；有無控制不嚴(yán)或失控的現(xiàn)象和可能等。

（三）對(duì)ERP系統(tǒng)監(jiān)控的內(nèi)部審計(jì)

ERP系統(tǒng)應(yīng)用于企業(yè)的優(yōu)點(diǎn)之一就是對(duì)業(yè)務(wù)和績(jī)效能夠進(jìn)行動(dòng)態(tài)監(jiān)控。ERP系統(tǒng)的監(jiān)控功能，本身就是一種控制，運(yùn)用得好，可以極大地降低風(fēng)險(xiǎn)；可一旦運(yùn)用得不好，流程上的控制點(diǎn)就會(huì)失去控制，風(fēng)險(xiǎn)也就會(huì)隨之加大。因此，我們有必要對(duì)系統(tǒng)監(jiān)控的風(fēng)險(xiǎn)管理進(jìn)行審計(jì)，審計(jì)和評(píng)價(jià)企業(yè)及其下屬單位是否利用ERP系統(tǒng)進(jìn)行了業(yè)務(wù)和績(jī)效的動(dòng)態(tài)監(jiān)控、監(jiān)控點(diǎn)及其風(fēng)險(xiǎn)如何識(shí)別和評(píng)價(jià)、監(jiān)控的權(quán)威及其效果如何、發(fā)現(xiàn)問題的處理方式以及應(yīng)對(duì)風(fēng)險(xiǎn)的效果如何、有無監(jiān)控盲區(qū)或監(jiān)控不利的區(qū)域、監(jiān)控結(jié)果的利用情況如何等。

（四）對(duì)風(fēng)險(xiǎn)管理機(jī)制的審計(jì)

ERP系統(tǒng)是一個(gè)巨大的系統(tǒng)，必須建立嚴(yán)密的風(fēng)險(xiǎn)管理機(jī)制。對(duì)ERP系統(tǒng)下的審計(jì)，首先必須對(duì)風(fēng)險(xiǎn)管理機(jī)制進(jìn)行審計(jì)，審查企業(yè)及其下屬單位是否建立了風(fēng)險(xiǎn)管理機(jī)制，風(fēng)險(xiǎn)識(shí)別、評(píng)價(jià)和應(yīng)對(duì)機(jī)制的適應(yīng)性和有效性如何，實(shí)際運(yùn)行情況怎樣，是否有利于企業(yè)管理的持續(xù)改善等。在審計(jì)中，我們還應(yīng)當(dāng)專門對(duì)業(yè)務(wù)流程、關(guān)鍵控制點(diǎn)、系統(tǒng)監(jiān)控等方面的風(fēng)險(xiǎn)管理機(jī)制進(jìn)行重點(diǎn)審計(jì)。

（五）對(duì)系統(tǒng)的審計(jì)

從系統(tǒng)本身來說，無論是硬件還是軟件，都有產(chǎn)生故障的可能，預(yù)見功能的完備與否也是系統(tǒng)運(yùn)行的風(fēng)險(xiǎn)之一，ERP系統(tǒng)與其它系統(tǒng)的連接則是影響系統(tǒng)運(yùn)行的關(guān)鍵因素。要保證ERP系統(tǒng)的正常運(yùn)行，降低經(jīng)營(yíng)風(fēng)險(xiǎn)，對(duì)ERP系統(tǒng)以及與其相聯(lián)接的其它信息系統(tǒng)的風(fēng)險(xiǎn)管理與審計(jì)也是必不可少的，這包括對(duì)系統(tǒng)的開發(fā)與設(shè)計(jì)、軟件的程序、系統(tǒng)的控制、功能的劃分、硬件的架構(gòu)、備份模式及效果、故障處理方案及風(fēng)險(xiǎn)應(yīng)對(duì)措施、系統(tǒng)風(fēng)險(xiǎn)識(shí)別與評(píng)價(jià)體系等進(jìn)行審計(jì)。

（六）對(duì)系統(tǒng)人員的審計(jì)

任何系統(tǒng)都是通過人來操作和維護(hù)的，尤其是關(guān)鍵控制點(diǎn)和系統(tǒng)監(jiān)控崗位上的人員以及關(guān)鍵的系統(tǒng)維護(hù)人員，他們掌握者整個(gè)系統(tǒng)的命脈。由此可見，對(duì)相關(guān)系統(tǒng)人員的風(fēng)險(xiǎn)管理與審計(jì)也就顯得相當(dāng)重要。

1.審查和評(píng)價(jià)系統(tǒng)人員是否經(jīng)過培訓(xùn)并取得相應(yīng)資格，是否有識(shí)別和應(yīng)對(duì)本崗位風(fēng)險(xiǎn)的能力，在本崗位控制和風(fēng)險(xiǎn)管理的實(shí)際效果如何等；

2.審查和評(píng)價(jià)企業(yè)及其下屬單位是否建立了相應(yīng)的人才風(fēng)險(xiǎn)管理機(jī)制，識(shí)別、評(píng)價(jià)以及應(yīng)對(duì)人才風(fēng)險(xiǎn)的措施和效果如何；同時(shí)，我們還要在對(duì)領(lǐng)導(dǎo)干部的經(jīng)濟(jì)責(zé)任審計(jì)中增加對(duì)系統(tǒng)控制和風(fēng)險(xiǎn)管理等方面的審計(jì)內(nèi)容，對(duì)關(guān)鍵控制點(diǎn)和系統(tǒng)監(jiān)控崗位上的人員以及關(guān)鍵的系統(tǒng)維護(hù)人員可以實(shí)行系統(tǒng)責(zé)任審計(jì)，以促進(jìn)領(lǐng)導(dǎo)干部及相應(yīng)系統(tǒng)人員增強(qiáng)ERP系統(tǒng)的風(fēng)險(xiǎn)意識(shí)和責(zé)任。