淺析ERP環境下企業內部控制設計的規范—基于降低審計風險的視角

趙文華

一、引言

一個企業應用ERP(enterprise resource planning)系統，無疑可以給會計工作帶來很多簡化，但也給內部控制帶來了新的考驗。我國越來越多的現代企業都在運用ERP系統對企業進行管理，既提高了管理效率，也為改善企業內部控制的現狀提供了絕好的工具。但由于審計人員缺乏對信息系統的全面認識和理解，以及ERP系統本身帶來的風險，思索企業中引入ERP系統帶來的審計風險，既可以對審計人員提出新的思考點，也有益于內部控制建設的完善和規范。

二、ERP環境給審計和內部控制帶來的風險

（一）ERP的引入對審計風險的影響

1.ERP系統對審計工作的影響

ERP環境下對企業進行審計時,對被審計單位數據的調取和查閱非常方便快捷,可以提高審計證據的獨立性,提高分析處理的有效性，增強時效性。但也有弊端，最突出的體現為成本效益原則。ERP環境下的企業一般規模宏大、業務復雜、內控監控點細密,使審計工作量大；審計人員在開展審計時，需要更多的人力和資源成本，了解被審計單位的ERP系統，審計成本上升，計算機審計需要更多的信息技術咨詢，審計質量也難以保證。我國ERP環境下的審計觀念的不成熟，對審計中大量的職業判斷帶來了新的考驗。

2.ERP系統下審計風險的新特點

審計風險由于ERP的引入，出現了新的特點，以下通過審計的三大風險加以說明：⑴固有風險和表現：固有風險是指假定不存在相關的內部控制時，賬戶或交易產生的漏報、錯報風險。在ERP系統中，一旦用戶非法侵入計算機系統的防火墻，就會給數據的安全帶來巨大的威脅；而且操作失誤、計算機故障、程序設計出錯等，極容易引起手工賬數據與電子數據不一致，增加了固有審計風險的可能性。⑵控制風險和表現：控制風險是指固有風險未能被內部控制防止、發現或糾正的風險。在ERP系統下，實際工作中為了節約成本，導致了有意或無意使設置權限密碼、實現職責分工的約束機制失效。另外，軟件本身的技術控制的不完善，對數據的一致性和共享性的集中，在實際中會增加新的控制風險。⑶檢查風險和表現：檢查風險是指賬戶或交易產生的漏報、錯報，未被實質性測試發現的風險。這一點增加的風險表現最為明顯。內部控制的電腦化，使得原來可以觀察的內部控制測試變得不那么顯然，審計人員對企業用計算機實現造假的手法難以識別，加大了審計的風險。

（二）對內部控制設計帶來的影響

1.對軟件流程再造的控制風險

企業購入的ERP系統，一般是通用的類型,在實際應用時,軟件無法準確契合地適應個性化的企業組織結構、業務流程的要求。在對軟件與企業需求進行融合時，內部控制設計也會出現更大的控制風險。此外,ERP系統帶來的業務流程簡化，會造成很多審批環節的缺失,隱含一定的內部控制制度不完善的風險。

2.軟件是否提供了足夠的控制技術

實際中開發的企業常常把大部分精力都放在了ERP應用軟件的開發與實施上,而沒有考慮足夠的技術控制控件的開發和安裝。從而導致應用ERP系統的單位缺乏足夠的控制技術,如果非法利用計算機程序來破壞數據，對企業是巨大的損失。有效的控制技術能保證程序的正常運行;同時保證文件正確安裝以及系統正確操作,能避免、檢查和糾正操作環境中的問題。

三、ERP系統下完善內控建設與降低審計風險的措施

（一）對內控建設的建議

1.系統安全管理的內部控制

ERP系統的安全管理環節存在的主要風險點，包括自然原因或人為惡意操作可能造成的對信息系統硬件和軟件的損害及由此導致的信息外泄等。除去一些必備常識如數據應及時備份等，建議如下：⑴人員的訪問控制。企業應當合理設置權限,員工不能擅自對ERP系統進行修改,更換配置,對某些重要數據的訪問也應當受到嚴格的限制。⑵建立賬號審批制度。對計算機部門以及各業務單元使用ERP系統的人員,建立賬號審批制度,對于新入員工或者離職員工的賬號以及系統權限,應當及時修改或注銷,確保企業信息系統的信息安全。

2.對崗位職責的內部控制

⑴明確人員之間的責任劃分。首先，組織系統內部的權限設置未必明確，若存在重疊或空白會影響團隊的合作。在企業實際的經營過程中,可能出現一些意外的事項。當這些事項出現時,應能做到問題的及時溝通與協商解決。這需要管理層要對ERP系統可能會給企業帶來的風險予以重視以及內部審計人員的配合。⑵建立崗位的授權審批。管理層仍可采用原信息技術部門的人員來完成各人的授權分工與權限設置。要注意將IT部門負責授權的人員與各個業務操作部門分離開，防止其利用后門程序中飽私囊。⑶監督性審核和獨立性審核。審計人員可以通過現場觀察和詢問，來審核監督性和獨立性，在一定程度上防范因缺乏必要的職責分離所造成的管理層舞弊問題。

（二）降低審計風險的對策

1.降低審計固有風險的對策

固有風險依賴于系統的安全管理和運行。強化對系統的安全運行和維護，完善軟件功能，完善數據錄入技術，降低審計固有風險。如對財務數據進行加密，防止非法的篡改；審計人員及時備份，降低減少或消失審計線索的可能性。

2.降低控制風險的對策

控制措施包括制度控制和程序控制。審計人員可以觀察被審計單位的約束機制是否失效。程序控制如是否實現了：分配設置責任區和操作權限和口令，經過授權的個人用戶應定期修改自己的密碼，嚴格控制跨責任區設置操作權限。制度控制如IT部門負責授權的人員與各個業務操作部門是否分離開等。

3.降低檢查風險的對策

企業人員應主動與審計人員溝通，減少審計人員因為不了解該系統而產生誤解；審計人員對ERP系統下的審計環境，要采取更為有效審計程序和審計方法。⑴審計程序應該具有針對性和科學性。⑵提高審計人員的計算機水平。

四、結語

ERP系統在提高會計信息質量、提高運行效率、方便信息溝通等方面發揮了重要作用。但是其在內部控制上也不是萬能的。ERP環境下的內部控制建設并不夠完善，審計人員在對企業進行審計時也面臨了更大的審計風險。本文淺析了ERP環境下企業內部控制可以在制度上進行完善的兩個方面，通過采取措施在一定程度上降低審計風險，提高企業內部控制的質量。ERP環境下內部控制制度設計的規范與發展是大勢所趨，希望本文可以拋磚引玉。

[1]孫民.會計電算化環境下的審計風險與對策.財會研究，2012,9.