ｅｒｐ系统下的审计风险防范.doc

ＥＲＰ系统下的审计风险防范 　　[摘要] ERP是指建立在信息技术基础上，以系统化的管理思想，为企业决策层及员工提供决策运行手段的管理平台。它是对企业物流、资金流、信息流进行一体化管理的软件系统，其核心管理思想就是实现对“供应链（Supply Chain）”的管理。本文结合ERP系统下的审计风险的特点，提出了几点防范的建议。 　　[关键词] ERP系统 审计风险 防范 　　 　　ERP系统是以计算机为核心的较为成熟的企业管理系统，实行动态监控产、供、销的全部生产过程，具有存货管理、生产中心、财务预测、生产能力、资源调度等方面的功能。它配合企业实现质量管理和生产资源调度管理及辅助决策，成为企业进行生产管理及决策的平台工具。目前，国际上普遍被采用的ERP系统软件有SAP、Baan、JDE、Oracle、PeopleSoft、QAD等。尽管国内外各ERP软件产品在适用企业规模、软件功能、技术架构等方面不尽相同，但它们对于ERP核心业务的功能基本相同，包括：财务会计、管理会计、销售、采购、库存管理、物流管理、生产计划、设备管理。一个典型的ERP系统除了上述功能外，通常还包括项目管理、投资管理、资金管理等辅助功能。ERP系统的应用，使得企业提高了运行效率，但同时又产生了新的审计风险。 　　一、ERP系统下的审计风险 　　ERP审计与传统会计审计相比，其主要的特有风险就在于企业的ERP系统是否能够真实地反映企业的各项经济业务。 　　1.固有风险 　　手工系统中，纸面上的信息易于辨认、追溯。而在ERP系统中，由于存储介质的改变，一旦非法用户透过计算机系统的“防护墙”，那就极易破坏和修改电子数据且不留痕迹；计算机病毒、电源故障、操作失误、数据处理错误和网络传输错误也会造成实际数据和电子账面数据不相符，存在会计数据被滥用、篡改和丢失的可能，增加了固有的审计风险。 　　2.控制风险 　　在手工条件下，内部控制一般表现为对人的控制，强调职责分清，相互牵制，采用的手段主要是利用纸面信息，进行手工核对和检查，责任容易明确，结果也比较直观。但是在ERP系统中，内部控制转变为对人和机器两方面的控制，而且主要是对机器的控制为主。 　　ERP系统实现了从采购到付款、订单的获取到发票的开出等业务集成，实现了跨职能部门的业务处理。在这种情况下，ERP系统中单一的数据库，使过去跨部门的审批流程得到简化和压缩。压缩所造成的一个结果是，用于企业内部控制的许多审计线索在ERP系统的引入后消失了。同时，企业过去基于文件审批的内部控制机制，也无法适应ERP基于流程的管理需要。更重要的是，由于企业的业务运作更加依赖于ERP系统，这种依赖和信息系统本身特点所导致的脆弱性，形成了企业新的业务风险。例如，在ERP系统中，通过对手工流程的机器处理，比如审批处理自动化等，进一步增强了完成各种业务流程的效率。但是，在新的业务执行环境中，这些审批处理的自动化方法将改变企业内部原有的一些风险特征，这时相应的内部控制体系就需要重新评估和设计。 　　(1)电子数据存在使审计线索减少或消失的可能性。传统会计处理的每一步都有文字记录和经手人的签名，审计线索清晰。但在ERP系统中，从原始数据的录入到报表的自动生成，几乎不需要人工干预，传统的审计线索不复存在，为追查审计线索带来了极大的困难。 　　(2)原始数据的录入存在错漏的可能性。ERP系统下，大量的记账凭证仍靠人工录入，如果输入了错误的数据，表面上的机制凭证、账簿、报表还是互相平衡，这就掩盖了人工录入的错误。如果漏输了数据，更是无法察觉。 　　(3)有意或无意使设置权限密码，实行职责分工的约束机制有失效的可能性。在ERP系统中，一是通过划分操作员的责任范围，设置权限和密码实现人员分工，二是通过软件设计划分若干子系统或功能模块设置不同的责任中心。由于权限设置的重叠或跨责任中心越权设置，使这一控制措施有可能形同虚设。 　　3.检查风险 　　(1)会计软件的更新换代，使历史文件难以提取。对账户或交易的实质性测试往往离不开企业的历史数据，由于软件版本的更新、平台的迁移，难以从往年的账簿中提取这些历史数据，使得审计不得不从大量的文档中收集整理历史数据。这不仅降低了审计效率，而且带来了更多的检查风险。 　　(2)内部控制主要依赖软件本身，增加了难以全面检查测试的可能性。在ERP系统中，内部控制融于软件中，肉眼无法察觉，这就需要设计测试数据来测试软件的控制能力。而要在有效的时间内设计出面面俱到的测试数据是不现实的，因而增加了检查风险。 　　(3)反映经济业务的真实性。 　　由于ERP系统中的财务(FIS)模块与其他功能模块之间信息高度共享，因此企业各项经济活动所产生的对企业财务状况