24周年

財(cái)稅實(shí)務(wù) 高薪就業(yè) 學(xué)歷教育
APP下載
APP下載新用戶掃碼下載
立享專屬優(yōu)惠

安卓版本:8.7.50 蘋果版本:8.7.50

開發(fā)者:北京正保會(huì)計(jì)科技有限公司

應(yīng)用涉及權(quán)限:查看權(quán)限>

APP隱私政策:查看政策>

HD版本上線:點(diǎn)擊下載>

ERP系統(tǒng)下的審計(jì)風(fēng)險(xiǎn)防范

來源: 不詳 編輯: 2009/05/11 10:46:05  字體:

  [摘要]   ERP是指建立在信息技術(shù)基礎(chǔ)上,以系統(tǒng)化的管理思想,為企業(yè)決策層及員工提供決策運(yùn)行手段的管理平臺(tái)。它是對(duì)企業(yè)物流、資金流、信息流進(jìn)行一體化管理的軟件系統(tǒng),其核心管理思想就是實(shí)現(xiàn)對(duì)“供應(yīng)鏈(Supply Chain)”的管理。本文結(jié)合ERP系統(tǒng)下的審計(jì)風(fēng)險(xiǎn)的特點(diǎn),提出了幾點(diǎn)防范的建議。

  [關(guān)鍵詞]   ERP系統(tǒng) 審計(jì)風(fēng)險(xiǎn) 防范

  ERP系統(tǒng)是以計(jì)算機(jī)為核心的較為成熟的企業(yè)管理系統(tǒng),實(shí)行動(dòng)態(tài)監(jiān)控產(chǎn)、供、銷的全部生產(chǎn)過程,具有存貨管理、生產(chǎn)中心、財(cái)務(wù)預(yù)測、生產(chǎn)能力、資源調(diào)度等方面的功能。它配合企業(yè)實(shí)現(xiàn)質(zhì)量管理和生產(chǎn)資源調(diào)度管理及輔助決策,成為企業(yè)進(jìn)行生產(chǎn)管理及決策的平臺(tái)工具。目前,國際上普遍被采用的ERP系統(tǒng)軟件有SAP、Baan、JDE、Oracle、PeopleSoft、QAD等。盡管國內(nèi)外各ERP軟件產(chǎn)品在適用企業(yè)規(guī)模、軟件功能、技術(shù)架構(gòu)等方面不盡相同,但它們對(duì)于ERP核心業(yè)務(wù)的功能基本相同,包括:財(cái)務(wù)會(huì)計(jì)、管理會(huì)計(jì)、銷售、采購、庫存管理、物流管理、生產(chǎn)計(jì)劃、設(shè)備管理。一個(gè)典型的ERP系統(tǒng)除了上述功能外,通常還包括項(xiàng)目管理、投資管理、資金管理等輔助功能。ERP系統(tǒng)的應(yīng)用,使得企業(yè)提高了運(yùn)行效率,但同時(shí)又產(chǎn)生了新的審計(jì)風(fēng)險(xiǎn)。

  一、ERP系統(tǒng)下的審計(jì)風(fēng)險(xiǎn)

  ERP審計(jì)與傳統(tǒng)會(huì)計(jì)審計(jì)相比,其主要的特有風(fēng)險(xiǎn)就在于企業(yè)的ERP系統(tǒng)是否能夠真實(shí)地反映企業(yè)的各項(xiàng)經(jīng)濟(jì)業(yè)務(wù)。

  1.固有風(fēng)險(xiǎn)

  手工系統(tǒng)中,紙面上的信息易于辨認(rèn)、追溯。而在ERP系統(tǒng)中,由于存儲(chǔ)介質(zhì)的改變,一旦非法用戶透過計(jì)算機(jī)系統(tǒng)的“防護(hù)墻”,那就極易破壞和修改電子數(shù)據(jù)且不留痕跡;計(jì)算機(jī)病毒、電源故障、操作失誤、數(shù)據(jù)處理錯(cuò)誤和網(wǎng)絡(luò)傳輸錯(cuò)誤也會(huì)造成實(shí)際數(shù)據(jù)和電子賬面數(shù)據(jù)不相符,存在會(huì)計(jì)數(shù)據(jù)被濫用、篡改和丟失的可能,增加了固有的審計(jì)風(fēng)險(xiǎn)。

  2.控制風(fēng)險(xiǎn)

  在手工條件下,內(nèi)部控制一般表現(xiàn)為對(duì)人的控制,強(qiáng)調(diào)職責(zé)分清,相互牽制,采用的手段主要是利用紙面信息,進(jìn)行手工核對(duì)和檢查,責(zé)任容易明確,結(jié)果也比較直觀。但是在ERP系統(tǒng)中,內(nèi)部控制轉(zhuǎn)變?yōu)閷?duì)人和機(jī)器兩方面的控制,而且主要是對(duì)機(jī)器的控制為主。

  ERP系統(tǒng)實(shí)現(xiàn)了從采購到付款、訂單的獲取到發(fā)票的開出等業(yè)務(wù)集成,實(shí)現(xiàn)了跨職能部門的業(yè)務(wù)處理。在這種情況下,ERP系統(tǒng)中單一的數(shù)據(jù)庫,使過去跨部門的審批流程得到簡化和壓縮。壓縮所造成的一個(gè)結(jié)果是,用于企業(yè)內(nèi)部控制的許多審計(jì)線索在ERP系統(tǒng)的引入后消失了。同時(shí),企業(yè)過去基于文件審批的內(nèi)部控制機(jī)制,也無法適應(yīng)ERP基于流程的管理需要。更重要的是,由于企業(yè)的業(yè)務(wù)運(yùn)作更加依賴于ERP系統(tǒng),這種依賴和信息系統(tǒng)本身特點(diǎn)所導(dǎo)致的脆弱性,形成了企業(yè)新的業(yè)務(wù)風(fēng)險(xiǎn)。例如,在ERP系統(tǒng)中,通過對(duì)手工流程的機(jī)器處理,比如審批處理自動(dòng)化等,進(jìn)一步增強(qiáng)了完成各種業(yè)務(wù)流程的效率。但是,在新的業(yè)務(wù)執(zhí)行環(huán)境中,這些審批處理的自動(dòng)化方法將改變企業(yè)內(nèi)部原有的一些風(fēng)險(xiǎn)特征,這時(shí)相應(yīng)的內(nèi)部控制體系就需要重新評(píng)估和設(shè)計(jì)。

  (1)電子數(shù)據(jù)存在使審計(jì)線索減少或消失的可能性。傳統(tǒng)會(huì)計(jì)處理的每一步都有文字記錄和經(jīng)手人的簽名,審計(jì)線索清晰。但在ERP系統(tǒng)中,從原始數(shù)據(jù)的錄入到報(bào)表的自動(dòng)生成,幾乎不需要人工干預(yù),傳統(tǒng)的審計(jì)線索不復(fù)存在,為追查審計(jì)線索帶來了極大的困難。

  (2)原始數(shù)據(jù)的錄入存在錯(cuò)漏的可能性。ERP系統(tǒng)下,大量的記賬憑證仍靠人工錄入,如果輸入了錯(cuò)誤的數(shù)據(jù),表面上的機(jī)制憑證、賬簿、報(bào)表還是互相平衡,這就掩蓋了人工錄入的錯(cuò)誤。如果漏輸了數(shù)據(jù),更是無法察覺。

  (3)有意或無意使設(shè)置權(quán)限密碼,實(shí)行職責(zé)分工的約束機(jī)制有失效的可能性。在ERP系統(tǒng)中,一是通過劃分操作員的責(zé)任范圍,設(shè)置權(quán)限和密碼實(shí)現(xiàn)人員分工,二是通過軟件設(shè)計(jì)劃分若干子系統(tǒng)或功能模塊設(shè)置不同的責(zé)任中心。由于權(quán)限設(shè)置的重疊或跨責(zé)任中心越權(quán)設(shè)置,使這一控制措施有可能形同虛設(shè)。

  3.檢查風(fēng)險(xiǎn)

  (1)會(huì)計(jì)軟件的更新?lián)Q代,使歷史文件難以提取。對(duì)賬戶或交易的實(shí)質(zhì)性測試往往離不開企業(yè)的歷史數(shù)據(jù),由于軟件版本的更新、平臺(tái)的遷移,難以從往年的賬簿中提取這些歷史數(shù)據(jù),使得審計(jì)不得不從大量的文檔中收集整理歷史數(shù)據(jù)。這不僅降低了審計(jì)效率,而且?guī)砹烁嗟臋z查風(fēng)險(xiǎn)。

  (2)內(nèi)部控制主要依賴軟件本身,增加了難以全面檢查測試的可能性。在ERP系統(tǒng)中,內(nèi)部控制融于軟件中,肉眼無法察覺,這就需要設(shè)計(jì)測試數(shù)據(jù)來測試軟件的控制能力。而要在有效的時(shí)間內(nèi)設(shè)計(jì)出面面俱到的測試數(shù)據(jù)是不現(xiàn)實(shí)的,因而增加了檢查風(fēng)險(xiǎn)。

  (3)反映經(jīng)濟(jì)業(yè)務(wù)的真實(shí)性。

  由于ERP系統(tǒng)中的財(cái)務(wù)(FIS)模塊與其他功能模塊之間信息高度共享,因此企業(yè)各項(xiàng)經(jīng)濟(jì)活動(dòng)所產(chǎn)生的對(duì)企業(yè)財(cái)務(wù)狀況的影響幾乎可以實(shí)時(shí)地得到反映。而系統(tǒng)中如果存在程序錯(cuò)誤,則系統(tǒng)是不可信的,不能正確反映企業(yè)的經(jīng)濟(jì)業(yè)務(wù),使得企業(yè)資產(chǎn)、負(fù)債及損益的核算結(jié)果失真。如不能及時(shí)發(fā)現(xiàn)該類錯(cuò)誤,則將帶來極大的審計(jì)風(fēng)險(xiǎn)。

  二、防范ERP系統(tǒng)下的審計(jì)風(fēng)險(xiǎn)的對(duì)策

  為了有效地降低審計(jì)風(fēng)險(xiǎn),實(shí)行無紙化商業(yè)活動(dòng)以及無紙化數(shù)據(jù)庫環(huán)境下的審計(jì),ERP系統(tǒng)審計(jì)將更依賴于對(duì)電子數(shù)據(jù)信息流程的評(píng)價(jià)證據(jù),而不是繞過計(jì)算機(jī)審計(jì),我們可以采用以下對(duì)策:

  1.關(guān)注ERP會(huì)計(jì)信息系統(tǒng)對(duì)檢查方法的影響

  (1)檢查線索的改變。檢查線索指在業(yè)務(wù)處理中對(duì)文件更新情況的記錄。它留下的有關(guān)文件的所有操作痕跡,是審計(jì)人員把握每一項(xiàng)會(huì)計(jì)數(shù)據(jù)的來龍去脈,并進(jìn)一步對(duì)其進(jìn)行審查的有效途徑。在手工方式下,憑證、賬簿和報(bào)表等各種檢查線索,都是嚴(yán)格按照一定的標(biāo)準(zhǔn)填寫與登記的,是可見性的文字和數(shù)字記錄。審計(jì)人員可以從原始憑證開始,對(duì)會(huì)計(jì)業(yè)務(wù)進(jìn)行追蹤,一直到會(huì)計(jì)報(bào)表為止(順查法);也可以從最后的會(huì)計(jì)報(bào)表開始,追根溯源,一直追溯到原始憑證(逆查法)。在ERP系統(tǒng)中,會(huì)計(jì)數(shù)據(jù)的存儲(chǔ)介質(zhì)和存儲(chǔ)方式發(fā)生了變化,會(huì)計(jì)數(shù)據(jù)的生成方式、傳遞方式也發(fā)生了變化,原有的檢查線索改變了形式或干脆消失了。如聯(lián)機(jī)實(shí)時(shí)系統(tǒng)中許多數(shù)據(jù)來自外部系統(tǒng)的直接轉(zhuǎn)入,失去了原始的文字記錄。磁性介質(zhì)中存儲(chǔ)的資料必須要借助于一定的計(jì)算機(jī)硬件和軟件才能讀取。磁性介質(zhì)上保存的數(shù)據(jù)可能被篡改而不會(huì)留下痕跡。由于更新頻率快,有些資料還可能是暫存的,很快要被覆蓋掉。同時(shí),很多內(nèi)部的運(yùn)算可能不留痕跡和線索。

  (2)會(huì)計(jì)系統(tǒng)內(nèi)部控制的改變。在ERP系統(tǒng)中,內(nèi)部控制的重點(diǎn)由會(huì)計(jì)人員和會(huì)計(jì)業(yè)務(wù)部門轉(zhuǎn)移到電子數(shù)據(jù)處理部門,財(cái)會(huì)人員對(duì)交易活動(dòng)的直接監(jiān)督減少了,原內(nèi)部控制體系難以適應(yīng)這種變化。計(jì)算機(jī)數(shù)據(jù)處理的集中性、連貫性,使大部分職權(quán)分割的控制作用近于消失,數(shù)據(jù)存儲(chǔ)載體的改變及其共享程度的提高,又使手工會(huì)計(jì)中的賬簿控制體系失去原有的作用。在這種情況下,內(nèi)部控制一方面要加強(qiáng),另一方面要采用新的方式。電算化方式下,內(nèi)部控制按實(shí)施環(huán)境可分為一般控制和應(yīng)用控制。一般控制是普遍適用于計(jì)算機(jī)數(shù)據(jù)處理的控制,包括組織控制、操作控制、系統(tǒng)安全控制等。應(yīng)用控制是在運(yùn)用計(jì)算機(jī)進(jìn)行會(huì)計(jì)數(shù)據(jù)處理過程中所實(shí)施的內(nèi)部控制,包括輸入控制、處理控制及輸出控制。

  (3)檢查內(nèi)容的改變。在ERP系統(tǒng)中,因?yàn)橛?jì)算機(jī)處理的一貫性和穩(wěn)定性,大大減少了手工處理下的某些錯(cuò)誤。但如果系統(tǒng)的應(yīng)用程序中存在錯(cuò)誤或被人非法篡改,則會(huì)引起嚴(yán)重問題。因此,除了要對(duì)內(nèi)部控制及數(shù)據(jù)文件的檢查外,還要對(duì)計(jì)算機(jī)系統(tǒng)中的程序文件進(jìn)行審查,即對(duì)系統(tǒng)的可靠性進(jìn)行測試。另外,新的信息技術(shù)的涌現(xiàn)也不斷帶來新問題,針對(duì)這些新的課題,審計(jì)人員也必須研究對(duì)策。

  (4)檢查技術(shù)的改變。

  手工情況下的檢查可進(jìn)行順查、逆查或抽查,審查一般采用審閱、核對(duì)、分析、比較、調(diào)查和證實(shí)等方法。對(duì)ERP會(huì)計(jì)信息系統(tǒng)審計(jì),這些方法依然有效,但是計(jì)算機(jī)輔助檢查已經(jīng)必不可少。

  (5)對(duì)審計(jì)人員要求的提高。面對(duì)ERP會(huì)計(jì)信息系統(tǒng),審計(jì)人員僅僅依靠會(huì)計(jì)和檢查的相關(guān)知識(shí)已經(jīng)無法全面了解被檢查單位情況。審計(jì)人員必須不斷學(xué)習(xí),較為熟練地掌握一定的計(jì)算機(jī)知識(shí)和技能。

  2.注重對(duì)被審計(jì)單位的了解

  (1)了解企業(yè)情況。由于在ERP的引入過程中存在誤區(qū),許多使用ERP的企業(yè)經(jīng)常存在兩種情況:一是和原有的系統(tǒng)并行,一是全面取代舊的系統(tǒng)。因此在前期階段,審計(jì)人員應(yīng)充分了解企業(yè)情況,通過與企業(yè)管理層和各業(yè)務(wù)主管部門的溝通、詢問,了解企業(yè)的ERP項(xiàng)目是否真正上線成功,運(yùn)行過程中是否出現(xiàn)過重大問題。處于并行階段的,很多情況下ERP系統(tǒng)和舊的賬務(wù)系統(tǒng)之間會(huì)存在一個(gè)差額,要了解這個(gè)差額的形成原因,以及企業(yè)如何處置;如果是后者則了解新的系統(tǒng)是否正常運(yùn)行,以便在不同的情況下,制定不同的審計(jì)計(jì)劃。要熟悉和理解被審計(jì)企業(yè)ERP軟件中所包含的管理思想。要注重與企業(yè)的信息主管溝通,必要時(shí)可與企業(yè)的軟件供應(yīng)商溝通,以充分利用軟件本身的統(tǒng)計(jì)、分析比較功能,獲得豐富的分析性復(fù)核資料。

  (2)了解主要業(yè)務(wù)流程。包括材料采購流程、產(chǎn)品制造流程、商品銷售流程等。要了解企業(yè)系統(tǒng)的整體框架和各個(gè)模塊的大致框架,對(duì)業(yè)務(wù)流程在ERP中的反映,即從接受訂單,到采購、收貨、驗(yàn)貨、庫存管理、生產(chǎn)直至出貨銷售,從數(shù)據(jù)流方面有個(gè)大致印象。

  3.注重對(duì)被審計(jì)單位ERP系統(tǒng)內(nèi)部控制的審計(jì)

  加強(qiáng)對(duì)ERP系統(tǒng)內(nèi)部控制的審計(jì),應(yīng)考慮計(jì)算機(jī)條件下內(nèi)部控制的以下特征:

  (1)缺乏交易軌跡。

  (2)同類交易處理的一致性。

  (3)缺乏職責(zé)分工。

  (4)在特定方面發(fā)生錯(cuò)誤與舞弊行為的可能性較大。

  (5)交易授權(quán)、執(zhí)行與手工處理存在差異。

  (6)其他內(nèi)部控制依賴于計(jì)算機(jī)處理。

  ERP系統(tǒng)下的內(nèi)部控制包括一般控制和應(yīng)用控制,在研究評(píng)價(jià)一般控制時(shí)應(yīng)考慮組織與管理控制,應(yīng)用系統(tǒng)開發(fā)和系統(tǒng)控制,計(jì)算機(jī)操作控制,系統(tǒng)軟件控制,數(shù)據(jù)和程序控制。在研究和評(píng)價(jià)應(yīng)用控制時(shí)應(yīng)考慮輸入控制,計(jì)算機(jī)處理與數(shù)據(jù)文件控制,輸出控制。

  4.運(yùn)用計(jì)算機(jī)輔助審計(jì)時(shí)應(yīng)注意的控制

  (1)文件備份。文件備份工作應(yīng)定期進(jìn)行,在審計(jì)完成后,審計(jì)資料的軟盤至少應(yīng)備份兩到三份,而且應(yīng)作好軟盤的保管工作。

  (2)資料的保密與安全。應(yīng)制定制度,規(guī)定只有經(jīng)過授權(quán)的人員才可以接觸審計(jì)資料,應(yīng)使用密碼或口令控制審計(jì)軟件系統(tǒng)的進(jìn)入。

  (3)保存必要的書面資料。企業(yè)在使用系統(tǒng)時(shí),未必會(huì)書面保存計(jì)算機(jī)里的資料,審計(jì)人員在審計(jì)中應(yīng)要求企業(yè)打印出審計(jì)所需要的文件并保存。

  (4)軟件測試。審計(jì)人員在使用審計(jì)軟件前必須檢測,還需檢查測試版本同審計(jì)軟件是否兼容。如果使用不當(dāng)?shù)能浖菀讓?dǎo)致新的審計(jì)風(fēng)險(xiǎn)。另外如果使用企業(yè)的拷貝文件,審計(jì)人員應(yīng)確定拷貝文件與原文件完全一致。

  (5)檢查程序變更控制。審計(jì)人員在信賴被審計(jì)單位程序前應(yīng)檢測該控制,被審計(jì)單位的計(jì)算機(jī)程序控制不是一成不變的,舊程序不斷被覆蓋,年終的程序未必能代表本年的程序控制情況。因此,需要測試被審計(jì)單位的程序控制情況。

  (6)數(shù)據(jù)測試。數(shù)據(jù)測試包括“活數(shù)據(jù)”測試、“死數(shù)據(jù)”測試以及在特殊運(yùn)作中使用“死數(shù)據(jù)”進(jìn)行測試。審計(jì)人員應(yīng)考慮數(shù)據(jù)測試的成本,包括構(gòu)建模擬交易的成本、預(yù)期測試結(jié)果的成本和確定控制的成本等。

  (7)計(jì)算機(jī)輔助審計(jì)與職業(yè)判斷相結(jié)合。職業(yè)判斷是審計(jì)人員進(jìn)行審計(jì)決策時(shí)對(duì)各相關(guān)方面進(jìn)行綜合考慮的過程,審計(jì)人員應(yīng)將計(jì)算機(jī)輔助審計(jì)與職業(yè)判斷有機(jī)結(jié)合,才能有效地控制與降低審計(jì)風(fēng)險(xiǎn)。

  審計(jì)人員在評(píng)估被審計(jì)單位ERP系統(tǒng)下的風(fēng)險(xiǎn)時(shí),首先要識(shí)別內(nèi)部控制的風(fēng)險(xiǎn),判別其重要性。識(shí)別在系統(tǒng)執(zhí)行業(yè)務(wù)和信息流程時(shí)可能出錯(cuò)的情況,估計(jì)每一風(fēng)險(xiǎn)可能帶來的損失,估計(jì)其發(fā)生的概率。其次是鑒別系統(tǒng)需要控制的每一重要風(fēng)險(xiǎn)的規(guī)則,分析該控制能否防止、發(fā)現(xiàn)錯(cuò)誤和舞弊,或在發(fā)生差錯(cuò)后及時(shí)恢復(fù),以最大程度減少損失。若不能防止出錯(cuò),至少能發(fā)現(xiàn)錯(cuò)誤或舞弊的發(fā)生,從事故中恢復(fù)。最后是測試這些風(fēng)險(xiǎn)控制的規(guī)程與措施。

  參考文獻(xiàn):

  [1]李若山:審計(jì)學(xué),經(jīng)濟(jì)科學(xué)出版社,2004,2

  [2]劉三昌等:企業(yè)內(nèi)部審計(jì)技術(shù),中國經(jīng)濟(jì)出版社,2003,1

責(zé)任編輯:冠
回到頂部
折疊
網(wǎng)站地圖

Copyright © 2000 - yinshua168.com.cn All Rights Reserved. 北京正保會(huì)計(jì)科技有限公司 版權(quán)所有

京B2-20200959 京ICP備20012371號(hào)-7 出版物經(jīng)營許可證 京公網(wǎng)安備 11010802044457號(hào)