ERP系统下审计风险及其防控策略

来源:用户上传      作者:毛玲玥

　　摘要：科技与经济发展推动世界经济一体化同时，带来审计项目改变，诸多企业不规范财务操作对审计行业带来新的挑战。ERP是为企业决策层提供决策运行手段的管理平台，对企业物流进行一体化管理的软件系统。企业广泛应用ERP系统增大了审计难度，ERP改变企业各方面同时，也引起审计风控变化。ERP系统下审计环境变化成为值得研究的课题。本文结合ERP系统下审计风险特点，提出审计风险防控策略。
　　关键词：ERP系统 审计风险 风险防控
　　经济不断发展凸显出企业审计监管的重要作用，经济发展与国际接轨中带来审计项目不断改变，企业要想立足市场稳定发展，必须意识到信息化建设对审计工作的影响，及时根据政策业务实施、调整收集信息、调整审计关注重点。ERP系统是以计算机为核心的企业管理系统，配合企业实现质量管理，成为企业进行生产管理的平台工具，国内外ERP软件产品适用企业规模，技术架构等方面不同，对ERP核心业务功能基本相同，包括财务会计，库存管理，生产计划等，典型的ERP系统包括项目管理等辅助功能。ERP系统应用产生了新的审计风险。企业借助ERP管理系统有效集合了财务，销售等环节，但ERP系统对审计部门工作产生了很大影响，对审计工作提出了新的要求[1]。
　　一、ERP环境下对企业内部审计的影响
　　ERP是90年代美国IT公司提出的供应链管理思想，结合信息技术预测企业管理信息系统发展趋势，ERP系统是将采购、产销、调运、库存管理等各项业务功能合理集成应用的管理软件，建立了同一的信息平台，实现纵横贯通解决业务系统，通过管理供应链资源，事前计划对供应链有效管理，实施ERP系统是大中型企业加强管理的惯例，是促进信息技术提升的有效手段。
　　ERP系统应用对企业内审带来了很大的影响，主要包括审计线索多变复杂，审计内容重点发生变化，审计风险增加。审计线索是审计工作的基础，收集跟踪审计线索是审计工作的实质，传统审计活动中会计人员根据会计账簿编制会计报表，每个环节有经手负责人签字盖章。审计人员可利用资料追查原始业务，检查财务活动是否合法规范、业务流程是否合理有效、授权审核是否做到风险可控。运用ERP系统管理下，系统特点使审计线索复杂多变。会计人员不需制作传统的原始凭证，数据采集通过系统进行，企业不会将原始数据打印，会计处理由计算机完成。会计信息记录在磁性介质，阅读信息需获得权限。开发商为迎合客户会提供特殊功能，如反结账等，导致审计人员无法根据会计信息修改痕迹追查线索取证。ERP系统应用对审计业务流程带来了风险，需要加强对业务流程风险控制。
　　ERP系统下企业各部门依据数据库提供信息，信息采集录入后子系统共享使用，信息录入中出现错误会对后续使用产生连锁反应，审计人员关注内容主要包括经济业务是否合法真实，审计重心向事前防范转移。ERP集中性使计算机舞弊风险增大，各企业ERP系统专用数据库拥有强大记忆功能，业务人员进行操作会留下痕迹。原始数据出现采集录入错误，数据处理中未进行必要稽核，导致错误向其他环节蔓延。系统存在不稳定性，采集数据遭到外部攻击会造成数据安全问题，增加内审固有风险。
　　二、ERP系统应用下企业的审计风险
　　ERP系统下企业审计风险包括固有风险，控制与检查风险。ERP系统中非法用户透过计算机系统防护墙会破坏修改电子数据，计算机病毒，操作失误等造成实际数据与电子账面数据不符，存在会计数据滥用的可能。
　　手工条件下内控表现为对人的控制，采用手段主要利用紙面信息，责任容易明确，在ERP系统中内控转变为对人和机器的控制。ERP系统实现从采购到付款等业务集成，ERP系统中单一数据库使跨部门审批流程得到简化。用于企业内控许多审计线索在ERP系统引入后消失。企业审批内控机制无法适应ERP流程管理需要。信息系统脆弱性特点导致形成新的业务风险。如通过对手工流程机器处理，增强完成业务流程的效率。审批自动化改变企业原有风险特征，内控体系需要重新评估[3]。
　　电子数据存在使审计线索减少，传统会计处理有文字记录，审计线索清晰，ERP系统中数据录入到报表自动生成无须人工干预，为追查审计线索带来了困难。原始数据录入存在错漏风险，ERP系统下记账依靠人工录入，表面机制凭证相互平衡，漏输数据无法察觉。设置权限密码，实行职责分工约束机制可能失效，通过软件设计设置不同责任中心，由于权限设置重叠使控制措施可能无法发挥作用。
　　内控主要依赖软件，需要设计测试数据测试软件控制能力，在有效时间内设计完善的测试功能无法实现，增加了检查风险。由于财务模块与其他模块信息高度共享，无法反映经济活动对企业财务状况影响，系统中存在程序错误不能反映企业经济财务，使得企业资产失真。
　　三、EPR系统下企业审计风险防控问题
　　信息化审计风险的影响。审计风险往往难以正确衡量，风险爆发会对企业产生严重危害，要求管理人员迅速识别审计风险，目前审计风险管理成为独立的管理活动，在企业风控中融入风险管理理念，可以迅速识别风险，目前企业虽然建立制度用于审计风控，但对审计风险管理意识薄弱。
　　审计人员信息化方面素质不足带来的风险。审计风险是审计机构在审计中由于不确定性偏离客观事实，审计评估、审计结论出现偏差，审计师审计后虚假意见带来风险。由于无法规避审计风险，企业需充分考虑审计人员的主观意愿对审计风险造成的影响。要想有效控制规避审计风险，需要企业审计人员遵循制定的规章流程进行审计程序。由于企业未考虑审计人员专业素养等，带来相应的审计风险。如审计人员专业素养达不到工作需求，会存在错误结论，增加审计风险发生率。
　　审计程序不能与时俱进带来的风险。当今时代社会不断进步。审计风险受到专业人士的注意。企业应根据自身环境从审计业务承接完成，对所有过程进行审计风评。目前企业复核工作安排存在问题，兼职人员审计项目大多未达到规定审计项目上限。多通过与项目质量专管员沟通，仅对判断执行审计业务需重点关注高风险领域讨论审计方案，由于复核审资料提交时间预先规定，审计压力过大，复核合伙人难以保证审核审慎度。企业对业务事后检查未贯彻，规定一类业务项目依序抽查，但对数量较多的其他类业务采取随机抽查方式检查，增大业务审计风险。 　　企业信息化方面内部控制不够完善带来的风险。当前企业主要采用制度规范审计业务流程操作策略对审计风险控制，仅在审计制度上提出要求。审计风控方法存在缺陷，企业仅考虑审计风控，未管理相应审计风险，表明企业控制中未较多关注审计风险，希望可以控制审计风险。企业审计态度易受审计风险影响。企业需要控制审计风险是从积极角度出发，充分考虑审计风险影响因素，只有通过制度规范审计业务流程操作对审计风险有效控制，才能使审计风控方案能及时更换。我国已有制度规范未对企业抗风险能力进行彻底考评，如审计风险未得到了解，企业不能合理的控制。
　　四、企业审计风控问题分析
　　我国审计法律体系框架是宪法，国家审计准则、内审与独立审计准则为补充公司法，相关法律与企业会计准则为审计法律基础。收集审计证据方面往往忽略审计准则，会计准则。审计标准有待完善，使得审计师实际操作中缺乏证据参考。
　　信息化审计依据和经验不完善。当前人力物力资源方面受到限制，使得许多管理部门不会调查相应报告，通过抽查企业进行监管。政府审核抽查通常在企业审核后开展，一些被审计公司，企业突然破产出现大量财务负面消息后发现。外部监管环境对企业制约包括对审计行业监督，对企业所在市场经济调控扮演角色产生重要影响，会计师行业监管不足会引起较高审计风险，注会师协会，注会师及财务部对我国企业进行监管，无法充分发挥注会师协会的监督职能，不能对其需求全面考虑。根据现行法律，企业受财政部，证券监管委员会监管，相关机构相互推诿，由于缺乏监管部门明确分工，难以协调企业监督，各部门口径不同，发布指导方针出现相互矛盾现象。
　　审计人员素质较低。审计师缺乏专业能力是审计风险增加的主要原因，审计是具有专业限制的行业，需要从业者拥有充分的专业素养，审计师需具备夯实的审计，需具备足够的实践经验，卓越的综合分析能力。但现有审计人员素质体现出诸多问题。与社会普通工资水平相比，注会师收入水平相对较高，但获得收入与付出劳动程度不成比例，具有丰富实践经验的注会师愿意在大型企业，使得小型企业难以留住人才，导致小型企业难以提高整体素质。如何提高企业员工素质成为新的问题，员工素质不均会影响企业审计质量，导致执业审计师专业能力下降。
　　审计程序规范不够。审计程序设计是要获得相应审计证据，虚假的审计证据直接造成审计出错，片面的审计证据使得审计结果不可靠，审计中有疑问的案例，不在审计中保持专业谨慎，可能增加审计风险。注会师审计中使用不当审计方法会产生审计风险，审计程序执行对审计风险控制非常重要，注会师需具有很高的专业素养，使其执行任务中尽心尽力，审计中保持专业判断，合理使用审计程序取得可靠审计证据。
　　审计客体存在风险因素。企业业务发展压力由于外部业务环境增加，目前市场经济不够完善，审计要求业务能力更具有创新性，由于市场竞争激烈，某些管理层会钻会计政策空子进行财务作家，企业内部财务欺骗行为审计师难以发现。审计企业遇到不能遵守会计职业法规的审计人会带来巨大的审计风险。内控是保证单位内部安全性，通过公司内部制度构建实现业务目标，确保业务政策实施。确保正确性是其目标，如果被审计单位财务信息无误，表现出重大错误会具有很小的风险。有效性在被审计单位内控中，可以实现财务报表无重大错误。内控最主要内容是高效率基础上，保证不同部门相互制约。审计单位内控失败，注会师收到财务报表不具有较高准确性，会导致企业审计风险提高。
　　五、ERP系统下企业审计风险防控策略
　　为降低审计风险，实行数据库环境下审计，ERP系统审计依赖于对电子数据信息流程评价证据，首先要关注ERP会计信息系统对检查方法的影响。检查线索是审计人员把握会计数据产生使用，对其进行审查的有效途径。
　　（一）识别内控风险
　　审计人员评估ERP系统下被审计单位风险，首先，应识别内控的风险，识别系统执行业务时可能出错情况，评估风险带来的损失。其次，鉴别系统需要控制风险规则，在发生差错后及时恢复。如不能防止出错应发现错误发生，最后测试风控的措施。
　　ERP系统中会计数据存储介质发生变化，改变原有检查线索形式，如许多数据来自外部系统转入，磁性介质中存储资料需借助计算机软硬件读取，磁性介质保存数据会被篡改不留痕迹。有些资料可能暂存，很多内部运算可能不留痕迹。ERP系统中内控重点由会计人员转移到电子数据处理部门，财会人员对交易活动监督减少，计算机数据处理集中性，使職权分割控制作用消失。手工会计中账簿控制体系失去作用。电算化方式下，内控按实施环境分为一般与应用控制，应用控制是运用计算机进行会计数据处理中实施内控。
　　（二）采取相关信息化建设内控政策和措施
　　ERP系统中因计算机处理稳定性，减少手工处理留下错误，如系统应用程序存在错误会引起严重问题。除对内控检查外，应对计算机系统中程序文件审查。新信息技术涌现带来新的问题，审计人员必须研究对策。手工情况下检查可进行顺逆查，ERP会计系统审计中计算机辅助检查必不可少。仅靠会计相关知识无法了解被检查单位情况，必须不断学习掌握计算机知识技能。
　　（三）转变审计理念
　　要增强内审与ERR的融合。ERP系统下，审计人员应转变内审理念，通过ERP系统与内审信息化软件结合，实现内审数据与财务数据同步。审计人员转变内审方式，使审计监督成为常态。提前设定预警指标对业务数据进行全天实时监控，发现问题及时发出预警，条件允许下可通过ERP平台实现全流程网络在线审计，降低审计成本。可通过网络方式参与审计项目，审计工作不受地域限制，提高内审人员的工作效率。
　　（四）审计方法借助计算机辅助实施
　　注意运用计算机辅助审计的控制。包括档备份，保存必要的书面资料，检查程序变更控制等。制定制度规定经授权人员可接触审计资料。企业使用系统中可能不会书面保存计算机资料。审计人员需检查测试版本同审计软件是否兼容，使用企业拷贝档应确保与原文件一致。数据测试包括死活数据测试，应考虑数据测试成本，包括预期测试结果成本等。职业判断是审计人员进行审计决策对各方面综合考虑的过程，有效控制审计风险。
　　（五）内审软件的应用
　　ERP环境下审计风险防范需要加强审计信息化建设，完善相关制度，加大审计风险防范，提高内审人员素质。我国由于内审软件落后于会计软件发展，ERP系统下实现企业业务流程集成，企业可与软件企业开发适应ERP系统优质内审软件，实现审计底稿部分自动生成等功能，具备审计档案管理等功能，审计软件要与ERP系统对接，实现事后审计向事前审计转变，提高内审效率。建立完善适应ERP的内审体系，重点关注ERP系统下业务流程设置合理性，将原始数据录入、数据处理及网络安全作为内审重要内容，审计关键控制点有效控制才能降低审计风险。
　　经济发展与国际接轨中带来审计项目不断改变，ERP系统应用下，企业审计工作面临更大的风险，由于企业不规范财务操作，为审计行业带来很大挑战。企业要想立足市场稳定发展，必须时刻关注行业中的动态信息，主动制定针对审计风险的防控措施，降低风险发生概率，减少风险损坏控制对策。本文首先分析了ERP系统应用对企业审计工作的影响，阐述ERP系统下企业审计面临的风险，基于对企业审计风险防控问题进行分析，探讨ERP系统环境下企业审计风险防控对策措施，为企业审计风险应对提供参考建议。
　　参考文献：
　　[1]王纪萍.ERP系统审计风险研究[J].现代商业，2018（2）：176-177.
　　[2]柳芳.基于ERP系统固有风险的IT审计对策[J].中国内部审计，2013（12）：67-69.
　　[3]沈钦.浅谈外贸公司ERP系统与内部审计风险控制的协调[J].现代商业，2013（21）：200-201.
　　作者单位：浙江浙能富兴燃料有限公司
转载注明来源:https://www.xzbu.com/3/view-15368256.htm