ERP系统与IT审计方略
在企业资源规划(Enterprise Resources Planning.ERP)实施以前,许多企业基于计算机的业务系统,基本都是围绕某一业务功能或者是职能部门运行的。ERP系统的实施在很大程度上改变了企业的业务流程,实现了从采
在企业资源规划(Enterprise Resources Planning.ERP)实施以前,许多企业基于计算机的业务系统,基本都是围绕某一业务功能或者是职能部门运行的。ERP系统的实施在很大程度上改变了企业的业务流程,实现了从采购到付款、订单的获取 到发票的开出等业务集成,实现了跨职能部门业务处理。在这种情况下,ERP系统中单一的数据库,使过去跨部门的审批流程得到简化和压缩。压缩所造成的一个结果是。用于企业内部控制的许多审计线索在ERP系统的引入后消失了,这加大了审计的难度,增加了审计风险。
目前.我国大多数的会计师事务所尚未配备对ERP软件进行审计的专门审计软件。但是ERP软件在大中型企业的迅速推广与 普及.使一大批先进企业率先进入商务和会计核算的无纸化和网络化阶段 这迫使注册会计师面对在审计手段未及时更新的 情况下完成审计任务的局面。如何运用现有的审计手段,做好ERP系统审计,本文就此做些探讨。
一、运行ERP系统的企业财务会计特点
财务会计系统(Financial Information System,FIS)作为子系统.只是整个ERP系统的一个组成部分,是企业对内对外信 息流的一个环节。FIS更侧重于财务管理功能.而不是按照会计准则和会计制度所要求的会计核算功能。与之相应的是。企 业的财务人员更多地从企业内部管理的角度去思考问题、收集数据,企业在设置系统的数据流程和勾稽对应关系时,也是 以内部管理的口径为主。
FIS与其他功能模块之间信息高度共享。可以通过Intranet(企业内部互联网)和Internet网络进行远程实时在线运行,在系 统中可以定义集团公司、公司代码、业务范围、成本控制范围、业务关联区和成本中心等组织结构元素。因此企业各项经 济活动所产生的对企业财务状况的影响几乎可以实时地得到反映。
系统的操作权限划分设置严格.有些较为敏感的财务数据的取得必须得到企业当局的高层管理人员的配合与授权。ERP系统 有一个巨大的数据库,具备强大的数据记忆、比较功能。系统数据被修改时,系统内部会留下审计轨迹。
二、运行ERP系统的审计特点
(一)对ERP系统的审计不能仅仅局限在FIS。ERP软件的其他功能模块.如销售和分销(SD)、物料管理(MM)、生产计划(PP)、人 力资源(HR)等,对于核实企业资产负债的真实性、交易过程的合规合法性,检查企业内部控制的执行情况.都有重要的参考作用。
(二)需熟悉和理解被审计单位。ERP软件中包含的管理思想要注重与企业的信息主管沟通.必要时可与企业的软件供应商沟通 ,以充分利用软件本身的统计、分析比较功能.获得丰富的分析性复核资料。
(三)现场沟通与交流能力要求高。因为ERP系统强大的数据处理功能和财务流程的无纸化、严格的权限划分以及系统本身侧重内部管理的特点.企业财务人员 的专业技能往往表现为专业知识面较窄、对电子系统依赖性强,按照会计准则解释有关财务数据的能力欠佳。这种情况下 ,对注册会计师的现场沟通与交流工作的能力要求较高。
(四)降低检查风险尤其重要。会计处理的中间过程无纸化,实现远程联网核算,使得有些原始凭证保存在财务以外的部门,有些原始凭证异地存放,有 些原始凭证没有与记账凭证一起装订。在制定审计计划时,必须对如何降低这种情况下的检查风险做出合理安排。
(五)符合性测试侧重点不同。经济交易实时录入系统并且可立即被各个功能模块包括FIS所共享。不存在汇总原始凭证。实质性测试如果按照传统标准, 将难以达到测试比例要求。如果根据符合性测试的结果结合专业判断,可以适当减少样本量。当客观条件不允许注册会计 师去全面剖析系统的内部结构时,对企业的各业务循环的主要交易多使用“穿行测试”,可以节约审计成本,并取得比较 好的符合性测试效果。
三、ERP系统审计中的注意事项
对于新客户,在前期调查阶段,要特别关注企业业务流程重组的BRP过程。通过与企业管理层和各业务主管部门的沟通、询问。了解企业的ERP项目是否真正上线成功了.试运行过程中是否出现过重大问题;处于并行阶段的.很多情况下ERP系统 和旧的账务系统之间会存在一个差额。要了解这个差额的形成原因,以及企业如何处置。
在制定审计计划时.要把测试控制风险的重点放在财务会计模块(FIS)的不涉及具体交易的会计科目之间的转账核算。以及 报表形成阶段。ERP系统庞大而复杂。数据之间关联性强,且涉及企业内部管理的方方面面,因此即使为了舞弊的需要.一般情况下企业也不会冒险去篡改涉及具体交易的基础数据以及它们相互之间的勾稽对应关系。但是为了各种利益需要,企 业管理当局有可能在设置和更改会计报表和财务报表的数据形成流程方面,以及填制或自动生成转账凭证时,利用系统的 自定义功能,通过信息主管授予财务部门更大的权限。要特别注意,是否存在完全由企业自己开发的“外挂程序”,重点 查证其合法合规性。
在外勤现场,要加强对企业资产负债的核实力度,以弥补对系统可能存在的认识不足所带来的审计风险。可以适当提高对 企业外部询证和对企业内部财产清查的风险等级,仔细分析询证和清查的结果。
要获取企业的ERP系统操作手册和科目代码表。由此可充分利用系统各模块的强大记录与统计功能,获得详细的审计信息。 对于异地录入的原始凭证。应选择有代表性的一个或几个录人终端,实施实质性测试。确定实质性测试的重要性水平时, 基于单项交易金额小而交易数量多的特点,交易金额的重要性水平要降低,但抽查的样本量要适度减少。
四、ERP系统审计中取得充分、有效证据的方法
1.获取纸质原始证据。ERP系统虽然实现了会计处理中间过程的无纸化,但企业最终会输出会计报表、有关的管理报表和 资产负债明细表。这些报表经企业签章后就形成了直接的审计证据。
2.获取或编制ERP系统的业务流程图。同时可辅之以“穿行测试”等符合性测试记录。这些就形成了内部控制评价的重要依据。
3.导出、分析数据资料。利用系统的数据导出功能,将有关的分析性复核所需的数据资料导出,形成常用的Excel等文件格式。对此进行分析、计算,可形成工作底稿。
4.谨慎保存数据。如果存货等资产明细表篇幅过长,可以考虑数据从系统导出后存放于磁性介质里。但最好将含有分类合计数和总的合计数的页面打印出来,以纸质证据保存更为谨慎。
5.做好查证记录、查证底稿。ERP系统中调阅相关数据非常便利,在记账凭证的界面上点击特定图标就可以查阅到几乎所 有的该项交易信息(企业一般称之为“凭证流”)。但应做好书面的查证记录。必要时对重要的会计凭证和相关单证打印输出形成查证底稿。
五、加强ERP系统内部控制制度审计
ERP系统的内部控制制度是控制范围大、控制程序复杂的综合性控制,是控制重点为职能部门和计算机数据处理部门的全面 控制,是人工控制和计算机自动控制相结合的多方位控制。
实施ERP系统后。企业业务流程的转变对企业内部控制的影响最大.对企业内部管理和财务方面的监控提出了新的要求.这 方面的风险特征相比过去发生了根本性的变化。一方面导致企业所处的内部风险环境发生了变化,过去手工状态下的控制 风险,由于ERP系统的引入而变得更加复杂;另一方面.ERP系统的实施需要对原有的业务流程进行优化和设计,改变了企业的组织结构。在这种情况下,就需要企业对基于ERP系统的关键业务流程的内部控制进行定审核,确认相关控制是否足降 以低由于ERP系统的使用而带来的业务风险。
在复杂的ERP系统接El和多用户访问情形下,无法彻底消除系统本身的特点导致的盲区。由于ERP系统和其他系统的数据格 式可能完全不同,为了实现数据的传递,就需要针对不同的技术平台和特点开发不同的接El,这些接口会产生新的控制方 面的问题和风险。另一方面,许多企业在实施了ERP系统后,如果访问权限开放给不应该拥有访问权限的个人或团体。它将降低那些敏感交易的安全性,极大地提高数据遭到破坏的风险。所以,需特别关注相关内部控制制度是否有效。
定期审计会计资料,检查ERP系统下会计账务处理是否正确,是否遵照《会计法》及有关法律、法规的规定,审核费用签字 是否符合公司内控制度,凭证附件是否规范完整。审查机内数据与书面资料的一致性,如查看账册内容,做到账表相符, 对不妥或错误的账表处理应及时调整。监督数据保存方式的安全、合法性,防止发生非法修改历史数据的现象。审查系统运行各个环节防止存在漏洞。
作为企业管理信息化进程中重要的一项内容,ERP系统正逐步在企业中得到广泛应用。它为企业带来巨大的管理提升和经济 效益的同时,也给审计带来了基于ERP系统自身的特点所产生的问题与风险,研究和制定ERP环境下企业的审计策略、审计 方法,是会计师事务所审计业务中不容忽视的新课题。
免责声明:本文仅代表作者个人观点,与本站无关。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
我要收藏
个赞