趙文華

一、引言

一個(gè)企業(yè)應(yīng)用ERP(enterprise resource planning)系統(tǒng)，無(wú)疑可以給會(huì)計(jì)工作帶來(lái)很多簡(jiǎn)化，但也給內(nèi)部控制帶來(lái)了新的考驗(yàn)。我國(guó)越來(lái)越多的現(xiàn)代企業(yè)都在運(yùn)用ERP系統(tǒng)對(duì)企業(yè)進(jìn)行管理，既提高了管理效率，也為改善企業(yè)內(nèi)部控制的現(xiàn)狀提供了絕好的工具。但由于審計(jì)人員缺乏對(duì)信息系統(tǒng)的全面認(rèn)識(shí)和理解，以及ERP系統(tǒng)本身帶來(lái)的風(fēng)險(xiǎn)，思索企業(yè)中引入ERP系統(tǒng)帶來(lái)的審計(jì)風(fēng)險(xiǎn)，既可以對(duì)審計(jì)人員提出新的思考點(diǎn)，也有益于內(nèi)部控制建設(shè)的完善和規(guī)范。

二、ERP環(huán)境給審計(jì)和內(nèi)部控制帶來(lái)的風(fēng)險(xiǎn)

（一）ERP的引入對(duì)審計(jì)風(fēng)險(xiǎn)的影響

1.ERP系統(tǒng)對(duì)審計(jì)工作的影響

ERP環(huán)境下對(duì)企業(yè)進(jìn)行審計(jì)時(shí),對(duì)被審計(jì)單位數(shù)據(jù)的調(diào)取和查閱非常方便快捷,可以提高審計(jì)證據(jù)的獨(dú)立性,提高分析處理的有效性，增強(qiáng)時(shí)效性。但也有弊端，最突出的體現(xiàn)為成本效益原則。ERP環(huán)境下的企業(yè)一般規(guī)模宏大、業(yè)務(wù)復(fù)雜、內(nèi)控監(jiān)控點(diǎn)細(xì)密,使審計(jì)工作量大；審計(jì)人員在開展審計(jì)時(shí)，需要更多的人力和資源成本，了解被審計(jì)單位的ERP系統(tǒng)，審計(jì)成本上升，計(jì)算機(jī)審計(jì)需要更多的信息技術(shù)咨詢，審計(jì)質(zhì)量也難以保證。我國(guó)ERP環(huán)境下的審計(jì)觀念的不成熟，對(duì)審計(jì)中大量的職業(yè)判斷帶來(lái)了新的考驗(yàn)。

2.ERP系統(tǒng)下審計(jì)風(fēng)險(xiǎn)的新特點(diǎn)

審計(jì)風(fēng)險(xiǎn)由于ERP的引入，出現(xiàn)了新的特點(diǎn)，以下通過(guò)審計(jì)的三大風(fēng)險(xiǎn)加以說(shuō)明：⑴固有風(fēng)險(xiǎn)和表現(xiàn)：固有風(fēng)險(xiǎn)是指假定不存在相關(guān)的內(nèi)部控制時(shí)，賬戶或交易產(chǎn)生的漏報(bào)、錯(cuò)報(bào)風(fēng)險(xiǎn)。在ERP系統(tǒng)中，一旦用戶非法侵入計(jì)算機(jī)系統(tǒng)的防火墻，就會(huì)給數(shù)據(jù)的安全帶來(lái)巨大的威脅；而且操作失誤、計(jì)算機(jī)故障、程序設(shè)計(jì)出錯(cuò)等，極容易引起手工賬數(shù)據(jù)與電子數(shù)據(jù)不一致，增加了固有審計(jì)風(fēng)險(xiǎn)的可能性。⑵控制風(fēng)險(xiǎn)和表現(xiàn)：控制風(fēng)險(xiǎn)是指固有風(fēng)險(xiǎn)未能被內(nèi)部控制防止、發(fā)現(xiàn)或糾正的風(fēng)險(xiǎn)。在ERP系統(tǒng)下，實(shí)際工作中為了節(jié)約成本，導(dǎo)致了有意或無(wú)意使設(shè)置權(quán)限密碼、實(shí)現(xiàn)職責(zé)分工的約束機(jī)制失效。另外，軟件本身的技術(shù)控制的不完善，對(duì)數(shù)據(jù)的一致性和共享性的集中，在實(shí)際中會(huì)增加新的控制風(fēng)險(xiǎn)。⑶檢查風(fēng)險(xiǎn)和表現(xiàn)：檢查風(fēng)險(xiǎn)是指賬戶或交易產(chǎn)生的漏報(bào)、錯(cuò)報(bào)，未被實(shí)質(zhì)性測(cè)試發(fā)現(xiàn)的風(fēng)險(xiǎn)。這一點(diǎn)增加的風(fēng)險(xiǎn)表現(xiàn)最為明顯。內(nèi)部控制的電腦化，使得原來(lái)可以觀察的內(nèi)部控制測(cè)試變得不那么顯然，審計(jì)人員對(duì)企業(yè)用計(jì)算機(jī)實(shí)現(xiàn)造假的手法難以識(shí)別，加大了審計(jì)的風(fēng)險(xiǎn)。

（二）對(duì)內(nèi)部控制設(shè)計(jì)帶來(lái)的影響

1.對(duì)軟件流程再造的控制風(fēng)險(xiǎn)

企業(yè)購(gòu)入的ERP系統(tǒng)，一般是通用的類型,在實(shí)際應(yīng)用時(shí),軟件無(wú)法準(zhǔn)確契合地適應(yīng)個(gè)性化的企業(yè)組織結(jié)構(gòu)、業(yè)務(wù)流程的要求。在對(duì)軟件與企業(yè)需求進(jìn)行融合時(shí)，內(nèi)部控制設(shè)計(jì)也會(huì)出現(xiàn)更大的控制風(fēng)險(xiǎn)。此外,ERP系統(tǒng)帶來(lái)的業(yè)務(wù)流程簡(jiǎn)化，會(huì)造成很多審批環(huán)節(jié)的缺失,隱含一定的內(nèi)部控制制度不完善的風(fēng)險(xiǎn)。

2.軟件是否提供了足夠的控制技術(shù)

實(shí)際中開發(fā)的企業(yè)常常把大部分精力都放在了ERP應(yīng)用軟件的開發(fā)與實(shí)施上,而沒有考慮足夠的技術(shù)控制控件的開發(fā)和安裝。從而導(dǎo)致應(yīng)用ERP系統(tǒng)的單位缺乏足夠的控制技術(shù),如果非法利用計(jì)算機(jī)程序來(lái)破壞數(shù)據(jù)，對(duì)企業(yè)是巨大的損失。有效的控制技術(shù)能保證程序的正常運(yùn)行;同時(shí)保證文件正確安裝以及系統(tǒng)正確操作,能避免、檢查和糾正操作環(huán)境中的問題。

三、ERP系統(tǒng)下完善內(nèi)控建設(shè)與降低審計(jì)風(fēng)險(xiǎn)的措施

（一）對(duì)內(nèi)控建設(shè)的建議

1.系統(tǒng)安全管理的內(nèi)部控制

ERP系統(tǒng)的安全管理環(huán)節(jié)存在的主要風(fēng)險(xiǎn)點(diǎn)，包括自然原因或人為惡意操作可能造成的對(duì)信息系統(tǒng)硬件和軟件的損害及由此導(dǎo)致的信息外泄等。除去一些必備常識(shí)如數(shù)據(jù)應(yīng)及時(shí)備份等，建議如下：⑴人員的訪問控制。企業(yè)應(yīng)當(dāng)合理設(shè)置權(quán)限,員工不能擅自對(duì)ERP系統(tǒng)進(jìn)行修改,更換配置,對(duì)某些重要數(shù)據(jù)的訪問也應(yīng)當(dāng)受到嚴(yán)格的限制。⑵建立賬號(hào)審批制度。對(duì)計(jì)算機(jī)部門以及各業(yè)務(wù)單元使用ERP系統(tǒng)的人員,建立賬號(hào)審批制度,對(duì)于新入員工或者離職員工的賬號(hào)以及系統(tǒng)權(quán)限,應(yīng)當(dāng)及時(shí)修改或注銷,確保企業(yè)信息系統(tǒng)的信息安全。

2.對(duì)崗位職責(zé)的內(nèi)部控制

⑴明確人員之間的責(zé)任劃分。首先，組織系統(tǒng)內(nèi)部的權(quán)限設(shè)置未必明確，若存在重疊或空白會(huì)影響團(tuán)隊(duì)的合作。在企業(yè)實(shí)際的經(jīng)營(yíng)過(guò)程中,可能出現(xiàn)一些意外的事項(xiàng)。當(dāng)這些事項(xiàng)出現(xiàn)時(shí),應(yīng)能做到問題的及時(shí)溝通與協(xié)商解決。這需要管理層要對(duì)ERP系統(tǒng)可能會(huì)給企業(yè)帶來(lái)的風(fēng)險(xiǎn)予以重視以及內(nèi)部審計(jì)人員的配合。⑵建立崗位的授權(quán)審批。管理層仍可采用原信息技術(shù)部門的人員來(lái)完成各人的授權(quán)分工與權(quán)限設(shè)置。要注意將IT部門負(fù)責(zé)授權(quán)的人員與各個(gè)業(yè)務(wù)操作部門分離開，防止其利用后門程序中飽私囊。⑶監(jiān)督性審核和獨(dú)立性審核。審計(jì)人員可以通過(guò)現(xiàn)場(chǎng)觀察和詢問，來(lái)審核監(jiān)督性和獨(dú)立性，在一定程度上防范因缺乏必要的職責(zé)分離所造成的管理層舞弊問題。

（二）降低審計(jì)風(fēng)險(xiǎn)的對(duì)策

1.降低審計(jì)固有風(fēng)險(xiǎn)的對(duì)策

固有風(fēng)險(xiǎn)依賴于系統(tǒng)的安全管理和運(yùn)行。強(qiáng)化對(duì)系統(tǒng)的安全運(yùn)行和維護(hù)，完善軟件功能，完善數(shù)據(jù)錄入技術(shù)，降低審計(jì)固有風(fēng)險(xiǎn)。如對(duì)財(cái)務(wù)數(shù)據(jù)進(jìn)行加密，防止非法的篡改；審計(jì)人員及時(shí)備份，降低減少或消失審計(jì)線索的可能性。

2.降低控制風(fēng)險(xiǎn)的對(duì)策

控制措施包括制度控制和程序控制。審計(jì)人員可以觀察被審計(jì)單位的約束機(jī)制是否失效。程序控制如是否實(shí)現(xiàn)了：分配設(shè)置責(zé)任區(qū)和操作權(quán)限和口令，經(jīng)過(guò)授權(quán)的個(gè)人用戶應(yīng)定期修改自己的密碼，嚴(yán)格控制跨責(zé)任區(qū)設(shè)置操作權(quán)限。制度控制如IT部門負(fù)責(zé)授權(quán)的人員與各個(gè)業(yè)務(wù)操作部門是否分離開等。

3.降低檢查風(fēng)險(xiǎn)的對(duì)策

企業(yè)人員應(yīng)主動(dòng)與審計(jì)人員溝通，減少審計(jì)人員因?yàn)椴涣私庠撓到y(tǒng)而產(chǎn)生誤解；審計(jì)人員對(duì)ERP系統(tǒng)下的審計(jì)環(huán)境，要采取更為有效審計(jì)程序和審計(jì)方法。⑴審計(jì)程序應(yīng)該具有針對(duì)性和科學(xué)性。⑵提高審計(jì)人員的計(jì)算機(jī)水平。

四、結(jié)語(yǔ)

ERP系統(tǒng)在提高會(huì)計(jì)信息質(zhì)量、提高運(yùn)行效率、方便信息溝通等方面發(fā)揮了重要作用。但是其在內(nèi)部控制上也不是萬(wàn)能的。ERP環(huán)境下的內(nèi)部控制建設(shè)并不夠完善，審計(jì)人員在對(duì)企業(yè)進(jìn)行審計(jì)時(shí)也面臨了更大的審計(jì)風(fēng)險(xiǎn)。本文淺析了ERP環(huán)境下企業(yè)內(nèi)部控制可以在制度上進(jìn)行完善的兩個(gè)方面，通過(guò)采取措施在一定程度上降低審計(jì)風(fēng)險(xiǎn)，提高企業(yè)內(nèi)部控制的質(zhì)量。ERP環(huán)境下內(nèi)部控制制度設(shè)計(jì)的規(guī)范與發(fā)展是大勢(shì)所趨，希望本文可以拋磚引玉。

[1]孫民.會(huì)計(jì)電算化環(huán)境下的審計(jì)風(fēng)險(xiǎn)與對(duì)策.財(cái)會(huì)研究，2012,9.