對ERP系統(tǒng)下審計風險成因與防范措施的探討

摘 要：ERP系統(tǒng)改變了傳統(tǒng)審計環(huán)境，引起了審計理論和實務(wù)的變化，對評估與控制ERP系統(tǒng)下的審計風險帶來了困難。本文旨在通過分析ERP系統(tǒng)環(huán)境下審計風險的成因，識別ERP系統(tǒng)環(huán)境下影響審計風險要素的具體內(nèi)容，達到降低ERP系統(tǒng)環(huán)境下注冊會計師審計風險的目的。

關(guān)鍵詞：審計風險；ERP系統(tǒng)形成原因；防范措施

中圖分類號：F239.1 文獻標識碼：A 文章編號：1006-4117（2011）12-0059-02

一、ERP系統(tǒng)概述

ERP（Enterprise Resource Planning）是指建立在信息技術(shù)基礎(chǔ)上，以系統(tǒng)化的管理思想，為企業(yè)決策層及員工提供決策運行手段的管理平臺。它是針對物質(zhì)資源管理、人力資源管理、財務(wù)資源管理、信息資源管理集成一體化的企業(yè)管理軟件。其借用一種新的管理模式來改造原企業(yè)舊的管理模式，是先進的、行之有效的管理思想和方法。ERP的核心內(nèi)容與特點包括：（一）是企業(yè)內(nèi)部管理所需的業(yè)務(wù)應(yīng)用系統(tǒng)，主要包括財務(wù)、物流、人力資源等核心模塊。（二）優(yōu)化了公司內(nèi)部業(yè)務(wù)流程和管理過程。（三）是一個在全公司范圍內(nèi)應(yīng)用的、高度集成的系統(tǒng)。作為一種現(xiàn)代管理軟件，ERP系統(tǒng)的應(yīng)用提高了企業(yè)的運行效率，但同時，也帶來了新的審計風險。

二、ERP系統(tǒng)下審計風險成因分析

（一）固有風險。固有風險是在不考慮被審計單位相關(guān)的內(nèi)部控制政策或程序的情況下，其會計報表上某項認定產(chǎn)生重大錯報的可能性。由于大部分企業(yè)的會計數(shù)據(jù)處理系統(tǒng)都集成在ERP系統(tǒng)中，因此注冊會計師在評估ERP系統(tǒng)下的固有風險時應(yīng)主要考慮來自信息技術(shù)的風險。這種風險主要包括計算機硬件、計算機軟件、數(shù)據(jù)輸入、數(shù)據(jù)存取與備份、企業(yè)內(nèi)部人為因素、信息傳遞、病毒與黑客等。

（二）控制風險。ERP系統(tǒng)的實施伴隨著企業(yè)的業(yè)務(wù)重組，從而導致內(nèi)部控制發(fā)生了巨大的變化。在這種情況下，傳統(tǒng)的手工環(huán)境下的控制風險分析是不能解決會計師面臨的問題的，這就要求注冊會計師必須結(jié)合ERP系統(tǒng)環(huán)境下企業(yè)內(nèi)部控制的變化進行分析。

1、采購與付款循環(huán)存在的控制風險。ERP系統(tǒng)環(huán)境下企業(yè)采購與付款業(yè)務(wù)的流程大致為：匯集請購單→選擇供應(yīng)商→簽訂訂購合同→驗貨→入庫→發(fā)票校驗→付款。

（1）匯集請購單環(huán)節(jié)存在的控制風險。在這一環(huán)節(jié)中控制風險主要表現(xiàn)為請購不合理。針對于這些物資的采購，考慮市場的不確定性等因素，不能完全依賴ERP系統(tǒng)的采購計劃，而是應(yīng)該結(jié)合企業(yè)的實際情況，在高層領(lǐng)導和財務(wù)人員的共同參與下制定采購計劃。

（2）選擇供應(yīng)商環(huán)節(jié)存在的控制風險。在選擇供應(yīng)商環(huán)節(jié)，控制風險最大，舞弊的機會也最多。在ERP內(nèi)，需要專人對供應(yīng)商的主要信息，例如銀行賬號、信譽情況、評估等進行維護。如果在本環(huán)節(jié)中對評估程序應(yīng)用不當或者對資料收集處理不準確，都會產(chǎn)生不恰當選擇供應(yīng)商的風險。

（3）簽訂訂購合同環(huán)節(jié)存在的控制風險。在合同簽訂環(huán)節(jié)，除了考慮企業(yè)的材料需要以外，還應(yīng)考慮企業(yè)的財務(wù)狀況和用款計劃，因此在簽訂采購合同時需要財務(wù)人員進行監(jiān)督。如果采購部門在簽訂采購合同時不考慮企業(yè)的財務(wù)預算，很可能導致企業(yè)發(fā)生財務(wù)危機。此外，在將采購信息錄入ERP系統(tǒng)時，可能會出現(xiàn)信息遺漏或者信息不一致等風險。

（4）驗貨、入庫環(huán)節(jié)存在的控制風險。本環(huán)節(jié)存在的控制風險主要表現(xiàn)為對入庫信息進行反饋上。采購單在驗收入庫后會在ERP系統(tǒng)內(nèi)進行自動檢查，如果差異超過容許界限將會被拒收。因此，企業(yè)應(yīng)該注意信息的及時反饋。當相關(guān)信息得不到有效反饋時，采購中心無法在系統(tǒng)內(nèi)進行入庫單與請購單的匹配，由此會對下期采購機會產(chǎn)生影響。

（5）付款環(huán)節(jié)存在的控制風險。付款環(huán)節(jié)的主要流程為：經(jīng)辦人員填寫請款單，到財務(wù)部門進行審批，隨后出納通過銀行系統(tǒng)開具轉(zhuǎn)賬支票進行付款。在此過程中，需要確保ERP系統(tǒng)的賬號數(shù)據(jù)與銀行票據(jù)系統(tǒng)數(shù)據(jù)一致。如果存在審批手續(xù)不全或者賬戶信息錯誤等將會產(chǎn)生付款環(huán)節(jié)的控制風險。

2、銷售與收款循環(huán)存在的控制風險。ERP系統(tǒng)環(huán)境下企業(yè)銷售與收款業(yè)務(wù)的流程大致為：接受顧客訂單→合同審核→訂單錄入→賒銷信用審批與庫存檢查→倉庫供貨→開具虛擬銷售發(fā)票→發(fā)票申報和金稅發(fā)票生成→虛擬發(fā)票過賬→辦理和記錄收款→辦理和記錄銷售退回、銷售折扣與折讓→注銷壞賬→提取壞賬準備→清賬。在這些具體環(huán)節(jié)中，存在著以下控制風險。

（1）接受顧客訂單環(huán)節(jié)存在的控制風險。接受顧客訂單風險主要包括：進入系統(tǒng)時未經(jīng)授權(quán)人員批準；接受了不符合企業(yè)授權(quán)標準的訂單；企業(yè)接受了自身生產(chǎn)能力無法滿足的訂單。

（2）合同審核環(huán)節(jié)存在的控制風險。主要包括合同審核人超越權(quán)限對職權(quán)范圍以外的合同進行審批以及將未經(jīng)審核的合同錄入系統(tǒng)。

（3）賒銷信用審批與庫存檢查環(huán)節(jié)存在的控制風險。在ERP環(huán)境下，賒銷信用批準是由系統(tǒng)自動完成的。此種情況下，可能會出現(xiàn)由于賒銷政策設(shè)置不合理、系統(tǒng)設(shè)置被篡改或程序出錯而引起企業(yè)的銷售不理想或銷售款無法回籠的風險。

（4）辦理和記錄收款環(huán)節(jié)存在的控制風險。這一環(huán)節(jié)主要包括貨幣資金的管理和記錄、應(yīng)收賬款記錄更新等活動。本環(huán)節(jié)中，可能存在現(xiàn)金未能及時存入銀行，現(xiàn)金被挪用等，會導致應(yīng)收賬款記錄不準確，進而對客戶的信用等級產(chǎn)生影響。

（5）辦理和記錄銷售退回、銷售折扣與折讓環(huán)節(jié)存在的控制風險。本環(huán)節(jié)控制風險主要包括：未對退回商品進行審批，退回商品未能及時入庫，未對退回商品進行記錄；因銷售折扣與折讓沒有經(jīng)過授權(quán)人員的審批、財務(wù)記錄不完整而發(fā)生的舞弊。

（6）提取壞賬準備環(huán)節(jié)存在的控制風險。系統(tǒng)的初始設(shè)置可能會被非法更改，造成系統(tǒng)自動提取的壞賬準備發(fā)生錯誤。

（7）清賬環(huán)節(jié)存在的控制風險。不及時清帳會對客戶的信用額度產(chǎn)生影響，并進而影響到企業(yè)的銷售；未經(jīng)授權(quán)人員非法進入系統(tǒng)進行操作等。

3、檢查風險。在ERP系統(tǒng)下，存在的檢查風險主要包括：（1）提取歷史文件時，難以適應(yīng)軟件的更新?lián)Q代。（2）內(nèi)部控制對軟件本身的依賴，使得審計師難以進行全面的風險檢查測試。（3）對經(jīng)濟業(yè)務(wù)的反應(yīng)不夠真實。

三、控制ERP系統(tǒng)下審計風險的對策探討

（一）針對ERP會計信息系統(tǒng)，適當改變審計方法

1、對于會計系統(tǒng)內(nèi)部控制的改變。在ERP系統(tǒng)中，內(nèi)部控制的重點不再是會計人員和會計業(yè)務(wù)部門，而是轉(zhuǎn)移到了電子數(shù)據(jù)處理部門。在進行電算化內(nèi)部控制時，我們可以把重點放在一般控制和應(yīng)用控制上。一般控制主要針對計算機數(shù)據(jù)處理，例如組織控制、操作控制、系統(tǒng)安全控制等。應(yīng)用控制會更多地在計算機會計數(shù)據(jù)處理過程中發(fā)揮作用，包括對輸入、處理、輸出等的控制。

2、對于檢查內(nèi)容的改變。計算機處理的數(shù)據(jù)相比手工處理更穩(wěn)定些，減少了手工處理可能出現(xiàn)的錯誤。但計算機處理的數(shù)據(jù)面臨著應(yīng)用程序錯誤、信息被非法篡改等嚴重問題。因此，加強對計算機系統(tǒng)的軟件測試與安全檢查就變得越發(fā)重要了。

3、對審計人員的素質(zhì)要求提高。由于相關(guān)數(shù)據(jù)被記錄在計算機中，這就要求審計人員不僅需要掌握會計和審計的知識，還必須不斷學習，以提高自己的計算機知識和技能。

（二）加強對被審計單位的了解

1、關(guān)注ERP系統(tǒng)在企業(yè)的使用情況。企業(yè)在由傳統(tǒng)管理方法向ERP系統(tǒng)轉(zhuǎn)變的過程中，存在著轉(zhuǎn)換程度不同的情況。有些企業(yè)將原有系統(tǒng)與ERP系統(tǒng)并行使用，有些企業(yè)則用ERP系統(tǒng)全面取代原有系統(tǒng)。在并行使用兩種系統(tǒng)的企業(yè)里，我們應(yīng)對兩種管理系統(tǒng)所產(chǎn)生的數(shù)據(jù)差額進行分析，了解其形成原因并提出處置方法。對于全面使用ERP系統(tǒng)的企業(yè)，則需了解新的系統(tǒng)運行是否正常，并通過與企業(yè)相關(guān)部門和軟件供應(yīng)商的溝通了解和熟悉被審計企業(yè)的ERP軟件，力求充分利用軟件本身幫助審計師獲得豐富的審計材料。

2、加強對主要業(yè)務(wù)流程的了解，包括材料采購、付款、產(chǎn)品制造、商品銷售、收款等。ERP系統(tǒng)下企業(yè)的主要業(yè)務(wù)有固定的環(huán)節(jié)，因此我們需要對每個環(huán)節(jié)的運行方式、注意事項等有一定的理解，這有利于我們在審查中發(fā)現(xiàn)潛在的風險。

（三）利用計算機輔助審計時應(yīng)注意的問題

1、對所使用存檔文件做好備份。在審計過程中，應(yīng)對相關(guān)存檔文件做2~3份備份，以防文件丟失等。同時，還應(yīng)對備份文件做好保密工作，避免不相關(guān)人員接觸、進入、更改這些資料。

2、審計人員在使用審計軟件前必須檢測。如果使用不當?shù)能浖菀讓е滦碌膶徲嬶L險。在使用企業(yè)的拷貝文件時，應(yīng)確認所使用的拷貝文件與原文件完全一致。

3、保存必要的書面材料。在使用計算機中的電子文件時，還應(yīng)把資料打印成書面形式并保存。

4、做到計算機輔助審計與審計師職業(yè)判斷相結(jié)合。職業(yè)判斷是審計人員進行審計決策時對相關(guān)各方面進行綜合考慮的過程，將計算機輔助審計與職業(yè)判斷有機的結(jié)合起來有助于控制與降低審計風險。

作者單位：首都經(jīng)濟貿(mào)易大學會計學院

參考文獻：

[1]陳漢文.審計理論[M].北京:機械工業(yè)出版社，2009.