浅谈ERP环境下企业审计技术方法创新
鲁韬(审计署驻哈尔滨特派办)
企业资源计划(Enterprise Resource Planning,简写ERP)是由美国著名的计算机技术咨询和评估集团Garter Group公司提出的一整套企业管理系统体系标准,是在信息技术基础上,应用系统化的管理思想,有效地组织和计划企业资源,保证信息的集成性、实时性和统一性,达到“物流、信息流及资金流”三流合一,为企业提供决策手段的信息管理系统。近年来,随着国有大中型企业相继实施集成了主要经济业务流程的ERP,客观上要求审计人员了解ERP,探索在ERP环境下的审计技术方法,为适应ERP环境下的企业审计做好准备。
一、ERP环境下企业审计面临的挑战
(一)审计查阅取证难度加大。
ERP系统强调业务集成,多数记账凭证由业务活动自动生成,记账凭证不再是传统的借贷平衡格式,而是类似银行的单撇记账,在手工查账的情况下,了解一笔简单的经济业务常常也需要翻阅几册凭证,影响了审计效率,给锁定审计重点带来困难。另外,ERP打破了企业原有的财务活动以财务部门为中心的管理方式,财务活动前移至各个业务部门,财务部门对一些业务活动不再能给予更多的细节上的解释,需要审计人员对具体业务更深入的了解。
(二)传统的数据分析方法适用性减弱。
ERP系统的后台数据庞大,数据表多,表间勾稽关系复杂。对于一些大型ERP系统,只有极少数运维人员较清楚系统的详细设计,这给审计人员确定数据采集重点,重建账表带来了难度。同时,由于ERP系统强调了信息集成,体现的财务数据主要是来源于各个业务系统的集成财务数据,数据具有同一来源的特征,这使审计人员原来应用的财务数据与业务数据对比等方法失去了意义。
(三)产生新的审计风险。
ERP系统高度集成的特点,决定了在ERP环境下产生了不同于传统会计信息系统的新的审计风险。其特有的风险主要有:
1.业务流程控制风险
ERP系统对错误的处理具有重复性和连续性。某一环节数据输入或程序处理的错误,会使错误按照系统设计的流程流转到下一环节,导致以后环节数据的不真实。如果这种错误是由ERP系统本身程序设计错误产生的,会在每一笔相关业务处理中出现,并且不易察觉,加大了审计风险。
2.职责集中风险
在ERP系统中操作权限分配可能会出现不相容职责相对集中的情况,引发操作风险。
3.计算机系统本身的脆弱性
计算机系统会因病毒、黑客侵入、或者硬件损坏等原因造成系统宕机、数据丢失,影响企业经济业务的运行,产生系统风险。
二、ERP环境下企业审计技术方法创新的几点想法
随着ERP系统在国有企业的普及和成熟应用,国有企业的经济管理活动会越来越紧密的依赖ERP系统,审计人员无法绕过ERP去开展审计,需要创新审计技术方法,积极应对ERP环境对企业审计提出的挑战。
(一)充分利用ERP系统自带的功能。
大多数ERP系统为了满足企业在经营管理上的需求,提供了强大的数据分析功能和报表编辑分析工具,审计人员可以通过学习熟悉常用ERP系统自带分析工具的操作,灵活地对ERP系统数据进行查询和分析。如比较广泛应用的SAP系统就提供了图形化报表分析工具Query,支持表联接、分组和聚合等较复杂的查询计算。另外,ERP系统具有追溯功能,即任何信息都可通过流程追溯功能,逆向追溯到信息源头,正向追溯到最终结果,为审计人员跟踪具体业务流转轨迹提供了方便。
(二)探索ERP环境下的数据式审计。
国有大中型企业实施ERP是一个浩大的工程,在相当长的一段时间内会保持所应用ERP系统的稳定性,不会像应用财务软件那样频繁更换,所以探索ERP环境下的数据式审计,使之规范化、智能化对于规范审计工作、提高审计效率具有重要意义。
虽然ERP系统数据具有同源性的特点使一些常用的系统间数据对比等审计方法不再适用,但其数据具有的集中性也为审计人员提供了一次性全面采集分析企业集团数据的可能。针对ERP系统表多、表间关系复杂,审计人员在短时间内很难确定采集和分析重点的情况,审计机关应探索在现有的软件平台《现场审计实施系统》中集成ERP环境下财务系统电子账簿采集转换接口及模版,使审计人员能够轻松地获取第一手账簿资料,利用《现场审计实施系统》的数据分析功能,灵活的进行数据分析。同时,积极开发针对ERP系统的计算机审计方法,提高账簿查阅及数据分析的效率,促进ERP环境下计算机审计的规范化、智能化。另外,随着对ERP系统数据采集分析方法的积累和成熟应用,还可以逐步探索对ERP系统数据的联网在线实时审计。
(三)引入信息系统审计方法。
对企业经营业务审计需要对企业经营管理情况做出全面评价。ERP与企业的经营管理是不可分割的整体,企业的经营管理通过ERP系统实现。因此,适当引入控制参数审计、接口审计等信息系统审计方法,对ERP系统自身控制情况进行审计,是ERP环境下企业审计的必要选择。
1.控制参数审计
ERP系统设置了工艺参数、业务控制参数、财务集成参数、费用分摊系数等大量的参数,使其能够将经营业务环节输入的数据转化为财务数据以及分析数据。控制参数设置是否合理既影响内部控制的效果,又影响财务数据的准确性和一致性。因此,需要依据相关规定,对这些控制参数的设置是否合理进行验证。
2.接口审计
ERP系统再造企业业务流程的过程中,有的企业保留了某些原有业务系统,设计了向ERP系统传递数据的接口。数据接口传递数据是否完整和准确直接影响ERP系统中流转的数据的完整性和正确性,进而影响输出结果的可靠性。ERP系统接口审计既可以直接对接口的设置进行审查,也可以将两个系统的相关数据进行对比,审查是否存在差异,并查找差异产生的原因,确认数据接口环节是否保证了数据传递的完整和正确。
3.访问权限审计
在ERP系统中,企业工作人员根据职责分工被赋予不同的角色,应用不同的功能,不相容职责分离的控制仍然存在。但是如果ERP系统用户访问权限管理不到位,登录系统的用户名和口令形成虚设,就会产生用户超权限应用系统功能的情况,从而带来操作的风险。对用户访问权限审计一般采用现场察看法、查询数据库中人员授权表法。
4.基础设施安全审计
ERP系统的安全稳定运转及系统内信息保护事关企业经营管理的正常进行。因此对ERP系统的基础设施安全性审计也应纳入审计人员的视角。对ERP系统基础设施安全审计应注意检查机房环境设施是否附合相关规范,部署ERP系统的服务器配置是否满足系统运行要求,数据库是否及时备份,以及内部网络是否采取了防黑客侵入、防病毒等措施。对基础设置安全审计可以采用调查表法、现场察看法。(鲁韬)
一、ERP环境下企业审计面临的挑战
(一)审计查阅取证难度加大。
ERP系统强调业务集成,多数记账凭证由业务活动自动生成,记账凭证不再是传统的借贷平衡格式,而是类似银行的单撇记账,在手工查账的情况下,了解一笔简单的经济业务常常也需要翻阅几册凭证,影响了审计效率,给锁定审计重点带来困难。另外,ERP打破了企业原有的财务活动以财务部门为中心的管理方式,财务活动前移至各个业务部门,财务部门对一些业务活动不再能给予更多的细节上的解释,需要审计人员对具体业务更深入的了解。
(二)传统的数据分析方法适用性减弱。
ERP系统的后台数据庞大,数据表多,表间勾稽关系复杂。对于一些大型ERP系统,只有极少数运维人员较清楚系统的详细设计,这给审计人员确定数据采集重点,重建账表带来了难度。同时,由于ERP系统强调了信息集成,体现的财务数据主要是来源于各个业务系统的集成财务数据,数据具有同一来源的特征,这使审计人员原来应用的财务数据与业务数据对比等方法失去了意义。
(三)产生新的审计风险。
ERP系统高度集成的特点,决定了在ERP环境下产生了不同于传统会计信息系统的新的审计风险。其特有的风险主要有:
1.业务流程控制风险
ERP系统对错误的处理具有重复性和连续性。某一环节数据输入或程序处理的错误,会使错误按照系统设计的流程流转到下一环节,导致以后环节数据的不真实。如果这种错误是由ERP系统本身程序设计错误产生的,会在每一笔相关业务处理中出现,并且不易察觉,加大了审计风险。
2.职责集中风险
在ERP系统中操作权限分配可能会出现不相容职责相对集中的情况,引发操作风险。
3.计算机系统本身的脆弱性
计算机系统会因病毒、黑客侵入、或者硬件损坏等原因造成系统宕机、数据丢失,影响企业经济业务的运行,产生系统风险。
二、ERP环境下企业审计技术方法创新的几点想法
随着ERP系统在国有企业的普及和成熟应用,国有企业的经济管理活动会越来越紧密的依赖ERP系统,审计人员无法绕过ERP去开展审计,需要创新审计技术方法,积极应对ERP环境对企业审计提出的挑战。
(一)充分利用ERP系统自带的功能。
大多数ERP系统为了满足企业在经营管理上的需求,提供了强大的数据分析功能和报表编辑分析工具,审计人员可以通过学习熟悉常用ERP系统自带分析工具的操作,灵活地对ERP系统数据进行查询和分析。如比较广泛应用的SAP系统就提供了图形化报表分析工具Query,支持表联接、分组和聚合等较复杂的查询计算。另外,ERP系统具有追溯功能,即任何信息都可通过流程追溯功能,逆向追溯到信息源头,正向追溯到最终结果,为审计人员跟踪具体业务流转轨迹提供了方便。
(二)探索ERP环境下的数据式审计。
国有大中型企业实施ERP是一个浩大的工程,在相当长的一段时间内会保持所应用ERP系统的稳定性,不会像应用财务软件那样频繁更换,所以探索ERP环境下的数据式审计,使之规范化、智能化对于规范审计工作、提高审计效率具有重要意义。
虽然ERP系统数据具有同源性的特点使一些常用的系统间数据对比等审计方法不再适用,但其数据具有的集中性也为审计人员提供了一次性全面采集分析企业集团数据的可能。针对ERP系统表多、表间关系复杂,审计人员在短时间内很难确定采集和分析重点的情况,审计机关应探索在现有的软件平台《现场审计实施系统》中集成ERP环境下财务系统电子账簿采集转换接口及模版,使审计人员能够轻松地获取第一手账簿资料,利用《现场审计实施系统》的数据分析功能,灵活的进行数据分析。同时,积极开发针对ERP系统的计算机审计方法,提高账簿查阅及数据分析的效率,促进ERP环境下计算机审计的规范化、智能化。另外,随着对ERP系统数据采集分析方法的积累和成熟应用,还可以逐步探索对ERP系统数据的联网在线实时审计。
(三)引入信息系统审计方法。
对企业经营业务审计需要对企业经营管理情况做出全面评价。ERP与企业的经营管理是不可分割的整体,企业的经营管理通过ERP系统实现。因此,适当引入控制参数审计、接口审计等信息系统审计方法,对ERP系统自身控制情况进行审计,是ERP环境下企业审计的必要选择。
1.控制参数审计
ERP系统设置了工艺参数、业务控制参数、财务集成参数、费用分摊系数等大量的参数,使其能够将经营业务环节输入的数据转化为财务数据以及分析数据。控制参数设置是否合理既影响内部控制的效果,又影响财务数据的准确性和一致性。因此,需要依据相关规定,对这些控制参数的设置是否合理进行验证。
2.接口审计
ERP系统再造企业业务流程的过程中,有的企业保留了某些原有业务系统,设计了向ERP系统传递数据的接口。数据接口传递数据是否完整和准确直接影响ERP系统中流转的数据的完整性和正确性,进而影响输出结果的可靠性。ERP系统接口审计既可以直接对接口的设置进行审查,也可以将两个系统的相关数据进行对比,审查是否存在差异,并查找差异产生的原因,确认数据接口环节是否保证了数据传递的完整和正确。
3.访问权限审计
在ERP系统中,企业工作人员根据职责分工被赋予不同的角色,应用不同的功能,不相容职责分离的控制仍然存在。但是如果ERP系统用户访问权限管理不到位,登录系统的用户名和口令形成虚设,就会产生用户超权限应用系统功能的情况,从而带来操作的风险。对用户访问权限审计一般采用现场察看法、查询数据库中人员授权表法。
4.基础设施安全审计
ERP系统的安全稳定运转及系统内信息保护事关企业经营管理的正常进行。因此对ERP系统的基础设施安全性审计也应纳入审计人员的视角。对ERP系统基础设施安全审计应注意检查机房环境设施是否附合相关规范,部署ERP系统的服务器配置是否满足系统运行要求,数据库是否及时备份,以及内部网络是否采取了防黑客侵入、防病毒等措施。对基础设置安全审计可以采用调查表法、现场察看法。(鲁韬)
| 【关闭】 【打印】 |
