SAP环境下开展计算机审计的几点思考
刘峰 毛翀(审计署驻成都特派办)
【发布时间:2011年05月18日】
字号:【大】 【中】 【小】
    上世纪90年代以来,国内企业掀起了ERP系统应用的高潮,说起ERP,必须提到的是SAP系统。作为ERP管理软件的龙头,SAP在全球100多个国家有着超过7万家用户,尤其SAP R/3产品,更是全球最高端、最全面的ERP系统。应用SAP R/3,可以帮助企业实现物流、资金流、信息流的高度集成和统一,提升企业整体信息化水平,逐步实现快速反应、高效服务,针对不同客户满足个性化需求,进而带来竞争力的提高和管理的规范化。
    随着SAP的业务扩展到中国,国内很多大型企业都成了SAP的用户。ERP的应用大大推动了国内企业管理信息化进程,改变了企业传统的会计工作模式,给企业管理注入了新的活力,同时SAP系统的应用也给企业审计带来了新的挑战。SAP系统下,企业管理环境出现何种变化,如何针针对SAP系统下的企业有效地开展计算机审计,结合工作实践笔者提出几点看法。
    一、SAP系统下企业管理管理环境的重大变化
    (一)实现了财务业务一体化
    传统管理模式下,财务数据的生成和处理仅限于财务部门内部。SAP系统的实施,集团企业内部财务、销售、生产和仓储等部门有机地整合在一起。一项业务发生的当时,采购、销售等部门一线岗位人员就将信息直接输入电脑,并即时传递至财务系统。信息传递速度的加快,不但保证了财务数据更新的及时性,还可以让公司领导及时掌握公司的最新经营管理信息,即时地根据情况变化适时做出决策,加强了对业务的控制。
    (二)促进了管理数据的标准化
    实施SAP系统之前,企业内部各部门信息管理各自为政,各有各自的编码系统,人为增添了企业管理的麻烦,审计部门在实施审计时也无法取得统一的数据。SAP 系统的实施,在全企业范围内建立了统一的编码标准,SAP系统上线的各子公司和部门根据统一规划,编制全公司的财务科目、资产分类、客户及供应商编码。编码的统一,为企业信息标准化建设奠定了基础,促进了企业资金流、物流和信息流的集成,支持根据不同的决策需要采集和应用各种管理信息。管理数据的标准化,为审计数据综合性分析提供了有利条件。
    (三)促进了管理流程规范化
    SAP 系统把上线的企业整合成一个信息化的整体,生产、销售、仓储等各部门之间的联系更加紧密,经过不断磨合,部门之间协作能力不断增强。SAP系统下,内控制度已固化在计算机程序之中,人为因素减少,不同部门之间,不同岗位之间,责任界限更加明确,权利义务更加清晰,企业内部管理流程更加规范。
    二、SAP系统的运行对审计的影响
    (一)审计痕迹发生了根本性变化
    在传统财务环境下,审计人员主要对记载企业经济活动的原始凭证和附件资料检查,无论是顺查法,还是逆查法,面对的都是凭证、账簿和报表等各种文本资料等可见的文字和数字记录,审计痕迹非常清晰。SAP系统运行后,会计数据的生成、传递方式发生了变化,会计数据不仅由会计人员录入,大量的同业务相关的数据是来源于业务系统等,SAP系统再根据预定义的流程,自动完成中间会计处理,生成财务凭证、报表、总账和明细账,原有的检查痕迹改变或者消失了。如联机数据从外部系统获取的数据是直接转入的,失去了原始文字记录,原有的检查方法失效。SAP系统中采用计算机磁性介质存储的资料只有特定的软件才能读取,计算机保存的数据可能会被无痕迹修改。同时,内部系统的数据运算很多没有留下痕迹,这导致SAP环境下的审计工作需要更多地关注SAP环境下计算机程序的运行和控制情况,而不是原有纸质条件下的人工痕迹,审计痕迹发生了根本性的变化。
    (二)审计数据采集和分析困难增大
    针对国内的主流ERP软件系统,比如用友、金蝶、浪潮等,审计人员都可以应用通用接口中导出数据,并转换成成标准模式进行分析。但是,目前尚未开发出直接从SAP系统采集数据的通用软件。SAP环境下,财务信息数据结构也完全不同,单张数据表比如凭证表、科目表的格式与国内财务数据的格式差别很大。SAP系统的数据结构与国产ERP软件完全不同,审计人员原有的数据分析模式已经不再适用。
    (三)企业内部控制关键点发生变化
    传统模式下,企业的内部控制是建立在对人的控制的基础之上,所有的交易活动都会留下人的痕迹,比如有审批权限的签字审批,不相容职务的分离,应用SAP系统以后,纸质文件大量减少,企业的内部控制由计算机软件来实现,这时审计人员需要去关注和了解的是SAP系统对业务权限的分配,以及在各种业务流程中SAP系统如何实现内部控制的。同时在SAP系统上线后,往往由于基层用户以前的使用习惯,造成业务处理上有一些问题,无法在SAP系统中运行下去,业务部门往往会总结出一些临时应对的方法,形成一套游离于SAP系统之外的处理程序,将问题在系统外解决,这样的运作模式,短期看来是可行的,但实际上对整个业务流程造成了效率损失并埋下了安全性的隐患。因此审计人员还必须关注SAP系统上线后其所设置的内控制度是否得到很好的执行。
    三、SAP环境中开展计算机辅助审计的几点思考
    (一)充分了解企业组织结构和业务流程
    SAP系统的成功实施,是建立在对企业业务流程进行优化重组的基础之上的,并且覆盖了企业全业务流程和主要组织部门,包括财务、分销、物流等,企业组织机构中的各个部门均会被整合到SAP系统中,因此,精确全面理解企业组织机构是执行审计的基础。SAP系统实施后,各部门之间的业务流程被整合到一起,各个模块自动生成各自交易数据和会计分录,审计人员必须弄清数据之间关系和流程,才能为进一步进行数据分析奠定基础。审计人员应通过与企业管理层和各业务主管部门的沟通,了解企业的SAP系统各项目是否真正成功上线,在SAP系统实施过程中存在什么困难,企业是怎么应对的,企业各部门之间的业务流程是如何进行数据传输的,通过询问发现控制中的风险点,并进一步追查核实。如某些企业经营者为了完成既定销售目标,人为提高当年销售收入,可能会要求销售人员提前录入销售订单,同时在库存管理系统作销售出货,以后再在SAP物流系统或直接在财务系统中通过修改、删除来冲账。对于这种情况,审计人员可以直接在SAP系统中导出历史/当期库存查询报表,通过实地盘存的数量与SAP系统数据进行对比、分析来查看企业的账实相符性。
    (二)灵活应用SAP系统的自身功能进行审计
    在企业实施SAP环境后,由于其引入的管理模式和会计核算方法同国内传统会计核算模式有很大区别,如果我们还是按照针对国内核算软件的思维模式去审计,则会面临难以入手的困境。比如SAP系统中会计科目的设置同国内会计核算软件完全不同,SAP中只有最末级科目,没有一级、二级等上级科目的概念,所有使用的会计科目都是末级科目,在这种环境下,如果我们还是按照原有思维去审计,一定要将SAP系统中的会计科目转换为国内会计软件的分级模式,则很难实现并且效率低下,这时我们应转换思维,充分应用SAP系统中强大的查询功能,针对重点关注科目利用SAP系统强大的查询功能生成数据进行分析和处理。
    (三)因地制宜选择适当模式采集基础数据
    在针对SAP系统进行计算机审计时,数据采集是基础,而SAP系统由于数据结构的复杂和数据量的庞大,导致我们在面对SAP系统时会感觉无从下手,为此,通过几次针对SAP系统的审计工作,笔者提出SAP环境下取得数据的两种模式。
    1.从SAP系统底层取得数据
    从审计的角度讲,直接从SAP底层取得数据是最好的方法,可以保证取得的数据完整真实。但在实际审计过程中,SAP底层数据结构很复杂,并且在实施过程中,SAP系统并未且完全本土化,操作界面复杂,从操作界面很难判断出底层存储数据的表到底有哪些,审计人员直接去底层的话往往不知道从哪里取得数据,一般的SAP系统后台数据表都在千张以上,字段多达几十万,表间逻辑关系非常复杂,要全部吃透SAP底层数据结构并取得数据进行分析是很难实现的事情,同时审计效率也不高。因此,审计过程中可采取对逻辑关系相对简单的核心数据表进行转换、分析和验证,比如从底层凭证表“BSEG”中可以取得凭证记录列表。对于一些逻辑关系复杂的多个数据表存储的相关数据则采用另外的方法取得。
    2.通过SAP系统查询功能取得数据
    除了底层直接取得数据外,审计人员还可以通过SAP系统本身的查询界面取得数据,这里又分为了两种取得数据的方法。一是通过SAP系统自带的查询界面取得数据,企业在实施SAP系统的过程中,SAP系统自身就提供了一定功能的查询界面,通过这些查询界面,审计人员也可以获得相关的数据,并可以通过SAP系统提供的数据导出功能将所需数据导出后进行分析处理。如SAP系统中常用的“F.01”功能界面可查询出科目余额,查询结果同国产软件中的科目余额表类似。二是通过SAP系统的编程语言ABAP取得数据。除了SAP系统提供的原有的查询功能外,SAP还提供了功能强大的ABAP语言进行用户自定制查询界面,使用该语言,审计人员可以取得所需要的任何数据,再将查询结果数据导出进行分析。
    (四)高度关注SAP系统外部数据接口
    SAP系统实施以后,由于底层数据结构勾稽关系复杂,用户直接更改后台数据的可能性不大,但是许多单位在SAP系统上线后,会有一些部门需要开发数据接口从其他系统相互传输数据,接口程序由第三方厂商提供,这时接口就成为用户修改数据的途径,因此审计人员需要详细核实数据接口程序参数和运行情况,看看有无人为更改删除数据的情况发生。
    (五)逐步开发SAP系统的审计软件
    目前对于SAP系统,我们还没有对应的审计软件问世,对SAP的审计都需要审计人员手动导出并进行分析,导致了审计效率很低,而随着应用SAP系统的企业越来越多,要高效快速地完成对这些企业的审计,要求我们必须开发出能与SAP系统相适应的审计软件,其中最大的障碍是SAP软件没有提供标准的数据接口并且对数据结构不开放,从而导致被审计单位的数据不能快速通过接口进入审计系统。为此,可以针对SAP软件做针对性开发,组织力量研究SAP底层数据库结构和常用数据的存储,研制适合SAP运行环境的计算机审计软件,尤其是对于SAP系统中财务数据和业务数据的数据挖掘,这样才能快速高效访问被审单位的数据库,从中采集审计所需的原始数据,提高审计工作效率。(刘峰 毛翀)


    主要参考文献:
    [1]王艳等.内部审计与ERP管理探析.财会通讯•综合.2010.5
    [2]李若山.审计学.经济科学出版社.2004.2
    [3]赵录贵.计算机审计存在的问题及对策研究.改革与战略. 2005.10
    [4]张丽燕.计算机辅助审计的现状及建议.财会研究.2006.1
    [5]张明明.如何提高中国企业ERP应用的成功率.现代会计与审计.2008.4


    
【关闭】    【打印】