掃碼下載APP
及時接收最新考試資訊及
備考信息
ERP(即Enterprise Resource Planning,企業(yè)資源規(guī)劃),是20世紀90年代初發(fā)展起來的一個全新的企業(yè)管理系統(tǒng),體現(xiàn)了現(xiàn)代企業(yè)先進的管理理念和管理方法,它建立在信息技術高度發(fā)達的基礎上,是以系統(tǒng)化的管理思想為企業(yè)決策者和員工提供決策運行管理平臺。企業(yè)由于實施ERP系統(tǒng)導致其管理流程發(fā)生巨變,從而使得內部控制的環(huán)境與之前大不相同,內部控制的重點由對人的控制為主轉變?yōu)閷θ?、計算機和互聯(lián)網(wǎng)的控制,風險控制點也隨之發(fā)生改變。為此,我們只有樹立數(shù)據(jù)審計理念,從ERP系統(tǒng)控制入手分析企業(yè)內控風險,全面開展系統(tǒng)數(shù)據(jù)分析審計,才能真正提高審計工作效率,實現(xiàn)審計工作目標。
所謂系統(tǒng)數(shù)據(jù)審計方法,即在ERP環(huán)境下,從企業(yè)系統(tǒng)控制入手分析內控風險的薄弱環(huán)節(jié),篩選對應的系統(tǒng)數(shù)據(jù)表,進行數(shù)據(jù)的多視角、多方式結合分析的一種審計思路。
一、以系統(tǒng)控制為把握內控薄弱環(huán)節(jié)
ERP系統(tǒng)的應用使企業(yè)的內部經(jīng)營管理環(huán)境和內部控制方式發(fā)生了變化。相當一部分內部控制點已建立于系統(tǒng)的應用程序中,由系統(tǒng)自動執(zhí)行各種檢驗、核對、判斷、監(jiān)督以及各種功能權限的控制;企業(yè)形成了管理控制與系統(tǒng)控制并重、人機控制相結合的全方位綜合性控制,內部管理權限的嚴密性以及關鍵風險點的設置成為ERP環(huán)境下內部控制的重點。因此,審計人員應更加關注系統(tǒng)的內部控制。
(一)管理制度分析。
制度管理是企業(yè)ERP系統(tǒng)安全運行、合理高效利用和數(shù)據(jù)真實完整的重要前提。了解被審計單位ERP系統(tǒng)相關的管理制度,可以幫助審計人員從總體上了解ERP系統(tǒng)的管理運行情況,初步分析ERP系統(tǒng)可能存在的風險控制點。管理制度分析的包括以下主要內容。
1.管理制度的完整性。即管理制度是否足夠保證ERP系統(tǒng)運行正常,包括三方面:一是對系統(tǒng)管理員和崗位操作員進行管理的人員類管理制度;二是對硬件設網(wǎng)絡設施、應用系統(tǒng)進行管理的技術類管理制度;三是對ERP的業(yè)務操作進行管理的流程類管理制度,重點是基礎數(shù)據(jù)和關鍵數(shù)據(jù)的錄入和審核制度。
2.管理制度的科學性。每項制度的各項規(guī)定是否明確、是否具有可操作性,制度之間的相關規(guī)定是否統(tǒng)一。
3.管理制度的有效性。每項制度是否得到有效執(zhí)行。
(二)系統(tǒng)權限分析。
了解系統(tǒng)權限主要從ERP系統(tǒng)權限設計與ERP企業(yè)的組織架構、ERP系統(tǒng)角色與權限、ERP系統(tǒng)用戶與角色對應、崗位的職責控制這幾個層層遞進的方面來進行。ERP系統(tǒng)一般由財務管理、供應鏈、人力資源等多個模塊高度集成,每一模塊都有相應的關鍵控制點,關注被審計單位ERP系統(tǒng)權限配置,分析是否存在某個或某些成員同時履行不相容的職責和操作權限。系統(tǒng)權限分析包括以下主要內容。
1.ERP系統(tǒng)權限設計與ERP企業(yè)的組織架構。
ERP權限用于系統(tǒng)檢查用戶操作權限。在ERP系統(tǒng)用戶進行某項工作操作時,系統(tǒng)需要執(zhí)行相應事務碼對應的功能,該事務碼是系統(tǒng)用于檢查ERP權限的標識。ERP權限設計是企業(yè)整體權限實施的核心,是企業(yè)內部控制的基礎。
2.ERP系統(tǒng)各模塊的角色劃分及其權限,重點關注敏感角色的權限配置情況。
3.獲取ERP系統(tǒng)用戶與角色的對應關系表和用戶授權結果表,重點關注擁有多重角色的用戶和超級用戶。
多重角色用戶在ERP系統(tǒng)中擁有一個以上的角色。通常情況下,崗位相當于角色,一個用戶處于某一崗位,就擁有相應角色。但是大型企業(yè)通常員工較多,導致ERP系統(tǒng)中的角色體系十分龐雜,有些企業(yè)通常在ERP中建立一套通用角色、復合角色和單一角色所構成的角色體系來對用戶進行授權,這樣就會導致某個用戶擁有多個角色。擁有多重角色的用戶的系統(tǒng)權限可能被逐漸放大甚至有失控的危險。
一般ERP產(chǎn)品會在系統(tǒng)內置入特定的超級用戶,“超級用戶”擁有操作軟件所有功能的所有權限,是最高管理賬戶。超級用戶有可能直接篡改業(yè)務數(shù)據(jù),造成被審計單位數(shù)據(jù)不真實。審計人員需要摸清企業(yè)是否應用了超級用戶,有哪些人是超級用戶,超級用戶的權限內容,是否有對應的日志記錄可使其被監(jiān)督。
4.明確系統(tǒng)用戶的權限是否設有期限。
5.獲取企業(yè)ERP系統(tǒng)的崗位職責分配表,重點關注企業(yè)對關鍵崗位的職責控制,以及其控制是如何通過ERP系統(tǒng)的權限、角色、用戶的設置來實現(xiàn)的。
(三)系統(tǒng)運行分析。
ERP系統(tǒng)運行分析包括運行環(huán)境和運維方式兩個方面。運行環(huán)境是ERP系統(tǒng)運行的載體,ERP運行環(huán)境的安全性、穩(wěn)定性是ERP系統(tǒng)數(shù)據(jù)信息可靠性的有效保障。運維方式反映了企業(yè)的經(jīng)營規(guī)模、安全目標和管理體系的匹配程度,也是分析審計風險的一個參考依據(jù)。系統(tǒng)運行分析包括以下主要內容。
1.ERP運行環(huán)境的構成,主要包括應用軟件環(huán)境、數(shù)據(jù)庫環(huán)境、硬件環(huán)境、網(wǎng)絡環(huán)境、安全環(huán)境等,其中重點是數(shù)據(jù)庫環(huán)境。
2.ERP系統(tǒng)的部署方式,主要了解ERP系統(tǒng)是集中部署還是分布式部署,是由一套軟件系統(tǒng)構成還是多套ERP系統(tǒng)軟件構成。
3.ERP系統(tǒng)日常運維方式。集團企業(yè)ERP系統(tǒng)運維方式通常有兩種方式,一種是企業(yè)自行組織開發(fā)或與ERP廠商聯(lián)合開發(fā)的ERP系統(tǒng),被審計單位自己負責ERP系統(tǒng)的運維。另一種是企業(yè)使用標準化的ERP產(chǎn)品,由ERP廠商或第三方負責運維。
4.ERP系統(tǒng)運行中的重大問題和突發(fā)事件,解決情況和造成的影響。
(四)系統(tǒng)實施分析。
系統(tǒng)實施是指企業(yè)從啟動ERP系統(tǒng)建設項目開始,經(jīng)過規(guī)劃業(yè)務藍圖、確定系統(tǒng)需求、設計開發(fā)與測試、安排系統(tǒng)部署等環(huán)節(jié),直至ERP系統(tǒng)上線的全過程發(fā)生的事務。該建設過程與ERP生產(chǎn)廠商開發(fā)ERP產(chǎn)品的過程相區(qū)別,是ERP系統(tǒng)在企業(yè)內的建設過程。對于某些直接購買ERP產(chǎn)品而未重新進行二次開發(fā)的企業(yè)來說,該過程可能不存在確定系統(tǒng)需求、設計開發(fā)與測試等環(huán)節(jié)。
審計人員可以通過編制發(fā)放調查表的方式了解被審計單位建設的主要信息系統(tǒng)的靜態(tài)基本情況,該調查表要素包括系統(tǒng)名稱、系統(tǒng)類別、應用范圍、所有者、系統(tǒng)狀況、主要用途、開發(fā)商或集成商、體系架構、硬件環(huán)境、數(shù)據(jù)庫管理系統(tǒng)、數(shù)據(jù)年生產(chǎn)量及主要業(yè)務年交易量、評審驗收情況、文檔資料情況(需求說明書、概要設計說明書、測試分析報告、用戶操作手冊、軟件維護手冊、數(shù)據(jù)庫表結構等)。在此基礎上調查了解以下主要內容。
1.被審計單位ERP項目需求階段的業(yè)務藍圖、需求分析報告和用戶需求規(guī)格說明書。
業(yè)務藍圖是ERP界通用的一種企業(yè)建模方式。業(yè)務藍圖通過對公司業(yè)務現(xiàn)狀進行的需求調研分析,梳理出企業(yè)未來的物流、資金流和信息流的業(yè)務模型;業(yè)務藍圖用一種企業(yè)客戶易于理解的方式來描述復雜的過程,是一種直觀明了的描述方法。他使用少量的符號,以集合的方式進行組織,定義了某人在特定的時間、采用特定的方法去做特定的事情。在業(yè)務藍圖基礎之上可以建立起ERP系統(tǒng)業(yè)務的規(guī)劃、上線方案等,從而建立起企業(yè)整體應用的ERP系統(tǒng)框架。
2.被審計單位ERP項目設計階段的系統(tǒng)概要設計文檔和數(shù)據(jù)庫概要設計文檔。特別是系統(tǒng)應用架構和數(shù)據(jù)庫表結構。如果被審計單位是自己開發(fā)的ERP系統(tǒng)或與ERP廠商合作開發(fā)的系統(tǒng),可直接獲取ERP系統(tǒng)的數(shù)據(jù)字典等數(shù)據(jù)結構性文檔。
3.被審計單位ERP項目實施各階段的系統(tǒng)授權手冊、基礎數(shù)據(jù)設置清單、標準參數(shù)配置文檔、基礎數(shù)據(jù)設置報告、用戶操作手冊、軟件維護手冊、項目實施階段報告、系統(tǒng)實施階段里程碑文件等文檔。
4.企業(yè)資產(chǎn)重組引起ERP系統(tǒng)結構變化情況。
5.獲取業(yè)務模塊基礎靜態(tài)表和動態(tài)表。
(五)業(yè)務流程分析。
ERP系統(tǒng)的業(yè)務流程基于ERP企業(yè)的業(yè)務流程,貫穿企業(yè)各種業(yè)務的各種管理對象,形成物流、資金流、信息流的變化過程,是ERP系統(tǒng)的核心內容,也是進行審計數(shù)據(jù)分析的核心內容。審計人員可以通過書面或者口頭詢問、召開調查會議、發(fā)放調查表(問卷)、查閱文件、實地察看、利用以往審計的資料與經(jīng)驗以及學習對被審計企業(yè)有重大影響的法規(guī)等方法,調查了解以下主要內容。
1.獲取ERP系統(tǒng)整體業(yè)務流程的規(guī)劃設計文檔,了解ERP系統(tǒng)整體業(yè)務流程和各子系統(tǒng)間業(yè)務數(shù)據(jù)的關系,明確企業(yè)的業(yè)務流程和各子系統(tǒng)之間的數(shù)據(jù)控制和關聯(lián)性。
ERP系統(tǒng)業(yè)務流程規(guī)劃設計遵循職責完整原則、職責分離原則、目標驅動原則、跨職能扁平化原則、流程運作效率原則等多項原則。
ERP整體業(yè)務流程和各子系統(tǒng)間業(yè)務數(shù)據(jù)的關系:ERP系統(tǒng)業(yè)務流程處理的對象實質是數(shù)據(jù),可以將ERP系統(tǒng)數(shù)據(jù)分為基礎性數(shù)據(jù)和事務性數(shù)據(jù);ERP 系統(tǒng)的各個子系統(tǒng)之間根據(jù)企業(yè)內部生產(chǎn)經(jīng)營的業(yè)務流程關系,利用數(shù)據(jù)接口進行與流程相對應的數(shù)據(jù)共享與處理。如了解到物流系統(tǒng)基礎數(shù)據(jù)中的供應商同時也進入財務管理系統(tǒng),是應付賬款的核算單元,在審計中可以在物流系統(tǒng)中抽取供應商明細表核對應付賬款中往來情況。
2.獲取ERP系統(tǒng)核心業(yè)務流程的業(yè)務流程圖和數(shù)據(jù)流圖。
業(yè)務流程圖是一種描述系統(tǒng)內各單位、人員之間業(yè)務關系、作業(yè)順序和管理信息流向的圖表。
數(shù)據(jù)流圖(Data Flow Diagram,DFD)是從數(shù)據(jù)流轉和加工分析角度,以圖形的方式來表達系統(tǒng)的邏輯功能要求、數(shù)據(jù)在系統(tǒng)內的數(shù)據(jù)流向和邏輯變換過程,是結構化系統(tǒng)分析方法的主要表達工具。
業(yè)務流程圖和數(shù)據(jù)流圖之間的關系:業(yè)務流程圖是物理模型,數(shù)據(jù)流圖是系統(tǒng)的邏輯模型,數(shù)據(jù)流圖是提供給軟件研發(fā)人員理解業(yè)務流程需求處理的圖示。
3.核心業(yè)務流程與法律、法規(guī)和制度的符合程度。
4.了解和分析核心業(yè)務流程涉及哪些數(shù)據(jù)表及關鍵、關聯(lián)字段。
二、以系統(tǒng)數(shù)據(jù)為主做好數(shù)據(jù)分析準備
根據(jù)審計人員調查了解的情況,判斷數(shù)據(jù)獲取和數(shù)據(jù)分析的可能性和依據(jù),搭建數(shù)據(jù)化審計的現(xiàn)場環(huán)境,為數(shù)據(jù)獲取和數(shù)據(jù)分析做好充分準備。
(一)系統(tǒng)數(shù)據(jù)獲取依據(jù)。
可由審計組聘請的專家或計算機專業(yè)技術人員在做好下列工作準備的前提下,為獲取系統(tǒng)數(shù)據(jù)提供依據(jù)。
1.分析管理制度對系統(tǒng)數(shù)據(jù)保管、備份、運維及相關硬件設施的保護等情況,從制度層面確定系統(tǒng)數(shù)據(jù)獲取的可能性。
2.明確ERP系統(tǒng)是集中部署還是分布部署,從而選擇數(shù)據(jù)的獲取方式。企業(yè)如果部署了多套ERP系統(tǒng),其相應的ERP數(shù)據(jù)環(huán)境就變得復雜,系統(tǒng)數(shù)據(jù)獲取的難度也隨之變大。
3.了解ERP系統(tǒng)的數(shù)據(jù)庫環(huán)境,分析數(shù)據(jù)庫設計是否嚴謹。如果被審計單位的ERP系統(tǒng)是標準的ERP產(chǎn)品,則被審計單位的數(shù)據(jù)庫環(huán)境也就相對簡單。反之如果被審計單位的ERP系統(tǒng)是非標準ERP產(chǎn)品或是異構的ERP系統(tǒng),則被審計單位的數(shù)據(jù)庫環(huán)境也會變更加復雜。
4.了解ERP系統(tǒng)運行的年限和已啟用的模塊,分析實施各階段里程碑文件,明確ERP系統(tǒng)實施的關鍵時間點、啟用模塊時間表、上線單位時間表等,從而劃定需獲取數(shù)據(jù)的時間和業(yè)務范圍。
(二)系統(tǒng)數(shù)據(jù)分析準備。
審計組數(shù)據(jù)分析人員應全面熟悉下列內容,為數(shù)據(jù)分析做好準備。
1.了解數(shù)據(jù)庫的表結構,為數(shù)據(jù)分析做好準備。
2.了解被審計單位ERP系統(tǒng)業(yè)務數(shù)據(jù)之間的關系,可以幫助審計人員驗證各個業(yè)務系統(tǒng)數(shù)據(jù)的完整性、準確性和真實性。
3.分析數(shù)據(jù)完整性約束,包括數(shù)據(jù)有效性、取值域檢查、實體完整性、引用完整性、取值合法性、商業(yè)規(guī)則、一致性等約束。
(三)搭建數(shù)據(jù)審計環(huán)境。
ERP環(huán)境下的審計現(xiàn)場,應搭建用于ERP運行和適于審計人員研究系統(tǒng)、了解控制、獲取數(shù)據(jù)的審計環(huán)境,該環(huán)境包括硬件設備與網(wǎng)絡環(huán)境、軟件環(huán)境及安全性要求等內容。根據(jù)上述數(shù)據(jù)獲取依據(jù),審計組可以選擇直接訪問被審計單位ERP環(huán)境、搭建被審計單位ERP模擬環(huán)境和搭建審計專用服務器數(shù)據(jù)庫環(huán)境三種方式開展數(shù)據(jù)審計。
直接訪問被審計單位ERP環(huán)境的優(yōu)點是數(shù)據(jù)真實可信,缺點是由于直連被審計單位真實的ERP環(huán)境存在諸多權限上的限制(如只讀限制),數(shù)據(jù)分析的靈活性較差;搭建被審計單位ERP模擬環(huán)境的優(yōu)點是便于模擬被審計單位使用ERP系統(tǒng)的配置情況,易發(fā)生內控風險的節(jié)點,缺點同樣是數(shù)據(jù)分析的靈活性較差;搭建審計專用服務器數(shù)據(jù)庫環(huán)境的優(yōu)點是數(shù)據(jù)分析靈活,但缺點是缺乏全面、可信的系統(tǒng)數(shù)據(jù)。
審計現(xiàn)場環(huán)境搭建可以由審計人員提出需求,請被審計單位熟悉ERP配置管理的工作人員予以實施,最后由審計組計算機審計人員根據(jù)需要進行完善。
三、以數(shù)據(jù)分析為主制定審計應對措施
ERP環(huán)境下的內部控制系統(tǒng)是由人工控制和系統(tǒng)自動控制共同實現(xiàn),通過ERP系統(tǒng)實施控制活動是典型的自動控制,但不是內部控制活動的全部內容。因此,人工處理所帶來的風險,加上ERP系統(tǒng)環(huán)境本身的風險,共同構成了ERP環(huán)境下的風險。按照內部控制的不同環(huán)節(jié)可分為數(shù)據(jù)錄入、數(shù)據(jù)篡改、業(yè)務差錯和業(yè)務違規(guī)等4大類風險,每類風險在系統(tǒng)數(shù)據(jù)上的表現(xiàn)形式和導致的問題結果都各不相同。審計組應按不同風險表現(xiàn)形式分析存在重要問題的可能性,確定審計事項,制定系統(tǒng)數(shù)據(jù)分析的主要審計步驟和方法。
(一)數(shù)據(jù)錄入風險。
1.制度缺陷或未執(zhí)行導致系統(tǒng)數(shù)據(jù)表字段錄入內容錯誤或記錄時間滯后。
舉例分析:將未經(jīng)批準的業(yè)務錄入系統(tǒng),或已經(jīng)發(fā)生的業(yè)務未及時錄入系統(tǒng),如少計、多計收入或支出。
審計步驟和方法:篩選制度缺陷或制度未執(zhí)行所影響的系統(tǒng)數(shù)據(jù),通過數(shù)據(jù)的趨勢變化分析或審計抽樣的方法核實數(shù)據(jù)與實際業(yè)務的差異,分析原因和后果。
2.數(shù)據(jù)庫設計未滿足數(shù)據(jù)的完整性約束導致系統(tǒng)數(shù)據(jù)表字段錄入內容錯誤或缺失。
舉例分析:數(shù)據(jù)錄入不完整,業(yè)務要素記載不全,如應收賬款或應付賬款未按客戶單位進行明細核算。
審計步驟和方法:篩選錄入不完整的系統(tǒng)數(shù)據(jù),分析業(yè)務要素記載不全的原因和由此導致的后果,發(fā)現(xiàn)隱藏其中的違法違規(guī)行為。
3.外掛小軟件導致系統(tǒng)數(shù)據(jù)表字段錄入內容錯誤或輸出信息內容錄入錯誤。
舉例分析:通過輸入、輸出小軟件隨意修改輸入、輸出信息,如隨意修改發(fā)票收款人信息。
審計步驟和方法:獲取小軟件處理的所有數(shù)據(jù),與系統(tǒng)數(shù)據(jù)進行關聯(lián)分析,分析兩者差異的原因和由此導致的后果,通過延伸審計相關單位,發(fā)現(xiàn)隱藏其中的違法違規(guī)行為。
4.業(yè)務模塊動態(tài)基礎數(shù)據(jù)初始錄入不正確,導致系統(tǒng)數(shù)據(jù)表字段內容錄入錯誤。
舉例分析:企業(yè)系統(tǒng)上線前在完成動態(tài)數(shù)據(jù)清理工作時,將有效資產(chǎn)轉到帳外,如企業(yè)將固定資產(chǎn)、對外投資或債券通過系統(tǒng)上線轉入賬外。
審計步驟和方法:獲取財務、物資等業(yè)務模塊動態(tài)基礎數(shù)據(jù)表,與系統(tǒng)上線前的相關賬冊、報表核對,分析兩者差異的原因和由此導致的后果,查找賬外資產(chǎn)去向。
(二)數(shù)據(jù)篡改或丟失風險。
1.超級用戶(或系統(tǒng)操作員)的權限配置不合理,導致系統(tǒng)數(shù)據(jù)表記錄條數(shù)不全。
舉例分析:為了某種目的通過超級用戶(或系統(tǒng)操作員)刪除某項業(yè)務記錄,如刪除購銷業(yè)務流水和會計憑證等,使業(yè)務記錄缺失。
審計步驟和方法:篩選相關用戶操作的系統(tǒng)數(shù)據(jù),查找缺失的流水號,分析記錄缺失的原因和由此導致的后果。
2.篡改業(yè)務數(shù)據(jù),導致系統(tǒng)數(shù)據(jù)表字段內容錯誤。
舉例分析:為了某種目的通過超級用戶(或系統(tǒng)操作員)修改某項業(yè)務記錄,如會計憑證反映的經(jīng)濟事項或金額與實際不符。
審計步驟和方法:篩選相關用戶操作的系統(tǒng)數(shù)據(jù),通過數(shù)據(jù)關聯(lián)分析或審計抽樣的方法,找出差異并分析原因和由此導致的后果。
3.篡改計算規(guī)則方面的業(yè)務模塊靜態(tài)基礎數(shù)據(jù),可能導致數(shù)據(jù)表計算結果錯誤。
舉例分析:篡改各種減值準備的提取比例導致數(shù)據(jù)表計算結果錯誤,如減值準備計提方法及比例、應收款項計提減值準備的方法及金額,費用提取的比例或范圍等錯誤。
審計步驟和方法:獲取靜態(tài)基礎數(shù)據(jù),通過復算的方法查找數(shù)據(jù)差錯的具體金額。
4.突發(fā)事件,沒有得到有效解決,導致系統(tǒng)數(shù)據(jù)表內容大量丟失。
舉例分析:因企業(yè)服務器遭受人為惡意攻擊或非法侵入導致數(shù)據(jù)庫故障,如果其備份周期較長,往往只能恢復到最近一次有效備份時點的數(shù)據(jù),該時點之后的數(shù)據(jù)表內容則大量丟失。
審計步驟和方法:查看突發(fā)事件記錄檔案,了解突發(fā)事件時點和解決情況,查詢相關數(shù)據(jù)表的時間記錄字段確定丟失內容造成的損失,對丟失內容涉及的重大業(yè)務事項逐一檢查,防止國有資產(chǎn)損失。
(三)業(yè)務差錯風險。
1.用戶使用的熟悉程度較低,導致系統(tǒng)數(shù)據(jù)表字段內容錯誤。
舉例分析:經(jīng)濟業(yè)務記錄經(jīng)常出現(xiàn)與實際內容相反的問題,如將會計憑證的借貸金額記反。
審計步驟和方法:對新上線業(yè)務進行審計抽樣,找出差錯并分析原因和由此導致的后果。
2.系統(tǒng)流程存在斷點,導致系統(tǒng)數(shù)據(jù)表字段內容錯誤、記錄時間滯后。
舉例分析:大量已發(fā)生業(yè)務未及時入賬,甚至存在挪用資金的問題,如財會人員挪用資金炒股。
審計步驟和方法:篩選系統(tǒng)流程存在斷點的關鍵數(shù)據(jù)表,將上下游數(shù)據(jù)進行關聯(lián)分析,找出差異并分析原因和由此導致的后果。
3.模塊之間未能有效集成,導致系統(tǒng)數(shù)據(jù)表字段內容錯誤。
舉例分析:不同部門對同一業(yè)務記錄不一致,如收款人名稱在不同模塊間不一致。
審計步驟和方法:篩選不同模塊之間的關鍵數(shù)據(jù)表,將上下游數(shù)據(jù)進行關聯(lián)分析,找出差異并分析原因和由此導致的后果。
4.各子系統(tǒng)之間關聯(lián)性差,導致相關子系統(tǒng)數(shù)據(jù)表記錄時間和內容不一致。
舉例分析:集團公司內部上下游公司相關業(yè)務發(fā)生后的記錄存在較大時間差異,如一方采購業(yè)務入賬,一方還未做銷售入賬。
審計步驟和方法:篩選子公司之間或母子公司之間關聯(lián)交易數(shù)據(jù),進行對比分析,找出差異并分析原因和由此導致的后果。
(四)業(yè)務違規(guī)風險。
1.多重角色的用戶權限被放大,導致系統(tǒng)數(shù)據(jù)表記錄內容違規(guī)。
舉例分析:虛構業(yè)務套取企業(yè)資金或挪用單位財物,如以虛假資產(chǎn)處置減少實物資產(chǎn)價值。
審計步驟和方法:篩選相關用戶操作的系統(tǒng)數(shù)據(jù),逐一檢查相關業(yè)務的合法性和合規(guī)性,并分析原因和由此導致的后果。
2.篡改供應商、分銷商和客戶等業(yè)務模塊靜態(tài)基礎數(shù)據(jù),導致系統(tǒng)數(shù)據(jù)表記錄內容違規(guī)。
舉例分析:修改不符合企業(yè)管理規(guī)定供應商或分銷商的關鍵數(shù)據(jù),如國有公司、企業(yè)的董事、經(jīng)理利用職務便利,自己經(jīng)營或為他人經(jīng)營與所任職公司、企業(yè)同類的營業(yè),獲取非法利益。
審計步驟和方法:獲取基礎數(shù)據(jù)表,篩選供應商、分銷商和客戶基礎信息,通過與國家審計數(shù)據(jù)平臺或社會公共信息平臺的企業(yè)基礎信息關聯(lián)分析,并延伸調查相關個人信息,逐一審計不合規(guī)業(yè)務,并分析原因和由此導致的后果。
3.系統(tǒng)核心業(yè)務流程違反法律、法規(guī)和制度的相關規(guī)定,導致系統(tǒng)數(shù)據(jù)表記錄內容違規(guī)。
舉例分析:系統(tǒng)業(yè)務流程本身沒有控制可以控制的違規(guī)業(yè)務,如企業(yè)超限額對外投資或擔保。
審計步驟和方法:獲取違規(guī)業(yè)務流程對應的數(shù)據(jù)表,通過與法定業(yè)務流程涉及的條件或要求對比,逐一審計不合規(guī)業(yè)務,并分析原因和由此導致的后果。
ERP環(huán)境下,系統(tǒng)處理是否合規(guī)、合法、安全可靠,與系統(tǒng)的處理和控制功能有直接關系。ERP系統(tǒng)的這些特點及其固有的風險,決定了審計人員要花費較多的時間和精力來了解和審查ERP系統(tǒng)的功能,以證實系統(tǒng)處理的合法性、正確性和完整性,以及系統(tǒng)數(shù)據(jù)的準確性、及時性和可靠性;同時,確定風險控制的薄弱環(huán)節(jié)和由此產(chǎn)生的系統(tǒng)數(shù)據(jù),再進行數(shù)據(jù)的多視角、多方式結合分析,避免審計的盲目性和無序性,提高審計工作的質量和效率,降低審計風險,這就是本文需要研究解決的問題。
Copyright © 2000 - yinshua168.com.cn All Rights Reserved. 北京正保會計科技有限公司 版權所有
京B2-20200959 京ICP備20012371號-7 出版物經(jīng)營許可證 京公網(wǎng)安備 11010802044457號