ERP环境下企业内部审计中的问题和难点的研究
一、ERP的实施对企业内部审计环境的影响
进入信息化社会,知识经济迅速发展,科技进步日新月异,经济全球化趋势日益增强,企业的生存环境变得越来越复杂、越来越充满不确定性。企业作为经济社会的微观主体,迎来了难得的发展机遇,但同时也面临空前严峻的挑战。只有树立全新的管理理念,运用灵活的管理手段,打造新型的管理模式,企业才能够增强自身竞争力,立于不败之地。
在企业实施管理变革的基础上,ERP将企业内外一切能够利用的资源集成与优化,对供应链上的所有环节实施有效的管理,使企业在激烈的市场竞争中全方位地发挥能量,从而取得最佳经济效益。另外,又有计算机和先进的信息技术对其加以支持,使企业的各项管理工作能够不断适应信息化的要求,在企业与客户,企业与供应商,企业与合作伙伴之间建立了系统的紧密的联系,从而扩展了企业的管理范围,使企业能够在更大的空间,乃至全球范围内内实现经营运作。
(一)企业管理流程的变化影响审计环境。
实现ERP前,企业的业务流程是按部门分工来设计,并且长期以来已习惯于按专业职能处理信息。结果各个部门各自为政,各部门的信息互相割裂,不仅重复劳动,而且决策者不能及时获取准确的信息。ERP正是为了改变这种局面应运而生的。它将组织中的各个功能模块有机地集成起来,共同运作,实现了财务信息和业务信息的集成与共享。只要有经济业务发生,它的所有相关信息,均可以由在该业务发生地的经手人员一次采集完成,包括财务的和非财务的,并一次性录入系统。这些信息在系统中供企业的所有部门共同使用,各部门根据自己的需要选择相应的信息即可。ERP改变了传统的面向职能的管理,即各项业务的处理不再按照部门划分,而是按照流程的运作来进行管理。再者,ERP系统消除了数据冗余,节省了人力,实现了数据的高度集成和统一,提高了管理效率。
信息技术的应用使企业内部的经营管理发生了质的变化,企业所有的工作流程,都按照面向客户、面向信息网络、面向软件应用的要求进行调整[]。例如,销售流程的改变非常具有代表性。过去,产品销售的流程是:客户传真订货单,商务代表凭客户订货单开出销售单,财务再收款、开发票,最后才是客户提货。这样的运作给管理带来了一些问题,即在开票时销售成本已经进行结转,同时财务上冲减了库存数量,但有的客户会拖上一段时间再来提货,或者某些销售人员为客户留货,这部分的实际库存数量可能并未减少,造成了财务帐与实物帐不符。而实施ERP后,在财务收款的环节之后,系统打出备货单,仓库备货,客户提货,系统再生成发票。此时再做一系列账务处理,就不会有之前的情况发生了。
企业的管理流程优化以后,企业内部审计重点测试的环节也发生了变动,即新增加了一些需要重点测试的环节,也减少了一些实施ERP前需要重点测试的环节。在销售流程中,比如,应收账款是否按时并准确地结算,这一项在ERP实施之前是需要重点测试的,但是在ERP系统应用后就不再是测试的重点了。再比如,系统的价格控制功能是否完善,这一项在ERP实施之前不是测试的重点内容,但是现在必须对其进行重点测试。
(二)企业组织结构的变化影响审计环境。
ERP是一种新型的企业管理方式,它有着先进的管理思想,也是一种先进的技术手段。新东西的出现,总要伴随着旧事物的改变或灭亡。所以,ERP系统要想在企业中充分发挥其管理作用,必须有能适应其生存的肥沃土壤。这也就意味着企业必须变革其旧的或者是不合理的组织结构和业务流程。
目前我国企业的组织结构大多为金字塔式的组织结构,机构臃肿,因人设岗、人员繁多,不仅增加了成本开支,更是严重影响了办事的效率,阻碍了组织的发展。面对市场环境的瞬息万变,企业必须能够做出快速的应变和迅速的决策,以保持企业的竞争优势。而管理层次众多的层级结构所缺少的,恰恰是一种对变化的快速感应能力和适应性。因此,组织结构的扁平化无疑增强了组织快速反应的能力,也成为组织结构的发展趋势。
扁平化的组织结构与金字塔式组织结构相比不仅缩短了管理层次,而且根据企业的需求设置岗位和选择人员,节省了成本开支,提高了企业的工作效率。另外,我们也可以建立更富有弹性的流动型组织,组织的成员可以来自不同的部门,也可能是企业外部的专家、顾问,这样,企业管理就可以超越企业本身固有的框架。而ERP系统正是要求企业改变原来的组织结构,建立富有弹性的扁平化组织结构的一种管理理念和管理信息系统。实施ERP的企业能对市场做出迅速敏捷的反应,以适应不断变化的顾客需求和市场机遇,从而加强企业的竞争优势。
(三)企业业务流程的变化影响审计环境。
企业要实施ERP计划,首先要进行业务流程重组。如果仅是对原有的业务流程实行信息化管理,就违背了ERP的宗旨。因为ERP首先是一种管理模式,其次才是技术手段,ERP的精髓在于管理技术和计算机技术的结合[]。目前,我国大多数企业业务流程不合理的地方太多,经常是因人设岗,人浮于事,扯皮现象不断发生,各部门间信息不对称,经常发生重复劳动现象,严重浪费企业的资源,阻碍企业的发展。业务流程重组的核心,就是重新认识并打破构成企业经营基础的过时的规则和基本假设。它确立了以业务过程为中心的思想,主要是指针对竞争环境和顾客需要的变化,要求我们理顺和优化业务流程,强调流程中每一个环节上的活动尽可能实现最大化增值,尽可能减少无效的或不增值的活动,并从整体流程全局最优的目标设计和优化流程中的各项活动,消除本位主义和利益分散主义。ERP的应用为业务流程的变革提供了先进的技术和工具,使人们有能力打破传统的管理规则,创造出新的工作方式,给企业带来活力。因此,我国企业要想合理调配资源,优化管理流程,应该使用好ERP这个管理软件,更新管理理念,采用先进的信息技术,实现企业价值的最大化。
ERP实施后,企业的管理流程、组织结构、业务流程均发生了巨大变化,给企业的内部审计带来了不小的挑战。企业的内部审计线索、内部审计重点、内部审计技术、内部审计内容等等,均随之发生了相应的变化。审计环境更加复杂,审计工作更加困难。
二、ERP环境下企业内部审计工作中出现的问题
(一)企业内部审计内容的范围扩大。
内部审计内容即内部审计的客体或对象,也就是企业的经济活动。企业实施ERP系统后,企业全部业务活动的所有数据,都是由完成业务过程的各部门完成采集和处理,并由系统自动生成相关业务的会计凭证。但此时就极易出现系统舞弊和操作人员舞弊的问题。业务部门的数据录入出错或故意输入舞弊的假数据,都会造成整个会计系统的信息失真,从而使审计人员的审计范围扩大到整个企业经营业务的全过程。在ERP环境下,会计事项由计算机按程序自动进行处理,手工处理的环节相应减少,计算机系统的操作处理程序和安全控制功能在很大程度上决定了ERP系统能否有效、合规、安全可靠地处理所有的会计事项。如果ERP系统的应用程序出错或被人非法篡改,则计算机只会重复地按错误的程序进行有关的会计事项处理。因此,审计人员需要增加对ERP信息系统的处理和控制功能进行审查,以证实其处理的合法性、正确性、完整性和安全性。另外,ERP系统作为一个计算机网络系统,ERP信息系统的安全问题也成为企业审计面临的新问题。
(二)企业传统内部控制的有效性削弱。
内部审计的主要目的在于协助企业的管理层调查、评价企业的内部控制制度,揭露组织潜在的风险,并适时提供改进建议,以确保企业的持续发展。一个经济实体所提供的会计信息和其他经济信息的真实、完整与否,与该实体是否存在规范的内部控制制度且是否得到有效执行,有着相当程度的因果关系。因此,内部控制的存在与否,对企业内部审计有着重大影响。
企业应用ERP之前,其内部控制措施主要是通过工作人员间适当的职责分离实现互相牵制,由人工完成各种检验、核对和判断等实施的。企业在引入ERP系统后,ERP系统对企业业务流程和组织结构进行了优化重组,减少或合并了传统流程中重复、不增值的环节,这又必然使基于原手工业务流程中一些有利于控制的环节消失或失效。ERP系统中的程序化控制取代了人工控制,相当一部分内部控制建立于系统的应用程序中,由系统自动执行各种检验、核对、判断、监控等,企业的内部控制方式发生了变化。ERP系统的应用改变了传统的交易授权和职责分工体系,使手工系统中的某些职责分离、互相牵制的控制失效。在ERP系统的计算机网络环境下,数据的采集、存储、传递、处理等方面都发生了很大变化,复杂的网络环境使企业的应用风险大幅增加。比如,数据信息存储在电磁介质中,容易被非法篡改;系统的不稳定性有可能导致数据丢失;操作人员故意破坏数据,或者非法越权修改数据和处理会计事项;程序化的数据处理过程不能观测,舞弊事件时有发生且不留有痕迹等等。程序化的内部控制体系的有效性,在很大程度上依赖于计算机系统的程序,如果系统程序本身就存在差错,控制就会失效而且不易被发现,纰漏就会重复发生。可见,信息技术的运用,增加了企业内部控制的难度与复杂性。因此,数据的安全性控制成为需要重点考虑的因素。
(三)企业内部审计风险多样化。
企业应用ERP系统后,企业的组织结构、内部控制方式和数据处理方式等都发生了很大变化。
内部控制风险。ERP系统作为高度集成化系统,使得企业的组织结构扁平化,内部控制的层次减少,系统中许多不相容职务相对集中,加大了相关人员利用职务之便进行违规操作的风险。另外,若建立在系统程序中的各种控制机制,比如,系统、权限、参数等的设置存在失误,错误会不断重复发生。
系统舞弊风险。由于ERP系统中很多业务数据的处理工作都是由系统按照程序自动完成,如果系统中的各种程序化控制,如系统设置、参数设置等存在缺陷或控制不当,会增加错误重复发生和人为舞弊的风险。尤其是在内部控制制度不健全或存在缺陷的企业中,错误发生的可能性更大,而且不可控性更强。
数据安全风险。由于计算机信息系统本身存在不稳定性,存储于电磁介质中的数据信息容易遭到毁损或丢失,使得对重要数据信息的保存、监控难度加大。尤其是在信息高度共享的情况下,错误的发生可能会导致整个企业的严重失误。
网络安全风险。ERP系统处在一个开放和共享的网络环境中,黑客侵入系统、计算机中病毒等等都会通过网络对系统造成严重的安全威胁,窃取或者是毁坏数据,破坏系统中信息的安全性。这是计算机网络固有的脆弱性,给企业的内部审计人员提出了极大的难题,也使审计工作的风险大大增加。
这些信息系统与生俱来的风险,即计算机信息系统的安全性导致的信息风险与日俱增。企业内部审计向风险导向型审计转变,信息系统的风险控制成为企业内部审计的审计重点。虽然ERP的实施给企业内部审计带来了更多的风险,但是,如果企业能够充分地发挥内部审计的监督与服务的功能,必将极大地促进ERP的实施,信息系统带来的风险也必将被控制在合理的范围内。
(四)企业内部审计线索的获取难度加大。
审计线索对审计来说是极为重要的。在手工会计中,审计线索包括会计凭证、账簿、报表等会计资料。这些资料都反映在书面上,审计人员利用这些资料就能够从原始凭证开始,通过记帐凭证、帐簿追踪到会计报表,或者对报表之间、报表与帐簿之间的会计数据的勾稽关系进行审查,通过这些可见的审计线索检查证、帐、表数据所反映的经济业务的合法性,通过每个会计人员手写笔迹的不同,确定每一责任人完成业务的正确性。一旦这些资料被篡改,就会留下痕迹,很容易被发现。总之,在手工会计系统中,审计人员所需的审计线索,都可以通过这些书面记录加以审计。
企业应用ERP系统后,企业的业务流程得到了优化重组,实现了跨职能部门的业务处理,使得过去基于跨部门的审批流程得到简化和压缩,然而,压缩所造成的结果使用于企业内部控制的许多审计线索在ERP系统引入后消失了。ERP系统的授权控制机制取代了过去基于文件审批的内部控制机制,程序化审核方式代替了基于传统纸介质的签字盖章,审计线索变得模糊不清,其审计证据的可靠性受到直接影响。在ERP系统中,各种原始数据经系统确认后,由计算机自动进行处理,直至生成会计凭证、账簿和报表,传统的可视审计线索中断甚至消失,即使系统留有相关的审计线索,其产生与存储方式也与传统的审计线索有了很大变化。另外,在ERP环境下,由于数据存储、传输的电子化,使得任何对数据的修改、删除或销毁都不会留下痕迹。此时企业的内部审计人员面对的是一个无纸化的审计环境,审计线索完全依赖于计算机系统,使得审计人员获取相关线索的难度加大。
(五)企业传统的内部审计技术面临挑战。
在企业实施ERP之前,对会计资料的审计一般由审计人员采用审阅、核对、分析、比较和函证等方法来完成,所有的审查工作都是由人工来执行的。企业实施ERP系统后,企业的各项业务数据处理工作由计算机程序自动完成,数据的处理过程无形化,数据的存储介质电磁化,并且数据的生成和传递都在网络中进行,造成了审计线索的“不可见性”,传统的追溯审计方法已经不能适应新环境下的审计任务,需要采用新的审计技术与方法对数据处理过程进行追踪审计。在ERP系统环境下,企业的很多经营业务数据都以电磁化的形式存储在ERP系统的数据库中,要对存储在系统中的电子化数据进行审计,审计人员必须借助于计算机辅助技术才能完成相关数据的采集和分析。另外,在应用ERP系统的企业中,企业各业务流程的信息全部集成到一个系统中,形成了海量数据,舞弊和失误痕迹很容易淹没在其中,且变得更加隐蔽,要从这些海量数据中寻找审计证据,传统审计技术方法显然无法完成审计任务,必须借助于计算机辅助审计技术和方法。
(六)企业内部审计人员的素质和技能有待提高。
在ERP环境下,企业内部审计的审计环境、审计重点、审计内容、审计技术等,均发生了显著的变化。如果企业没有能够及时地对其审计人员进行相应的培训工作,审计人员仅仅依靠原有的知识和技能,是无法胜任ERP环境下的审计工作的,审计工作的风险和难度就会大大增加。ERP环境下审计工作需要的,是一批既掌握现代审计理论与实务,又了解管理知识、计算机技术的复合型知识结构的专业人才。尽管目前我国内部审计人员的素质比过去有了较大提高,但还不能适应信息化的需要。实际情况是,企业内部审计人员大部分都是财经类的专业人员,他们不具备ERP环境下的审计工作所需要计算机知识以及操作技能,少部分的计算机专员又不具备财会和审计方面的知识。符合ERP环境下审计工作的高素质的复合型人才十分匮乏,严重制约了企业内部审计工作的开展。这就对企业内部审计人员的素质提出了更高水平的要求。
首先是思维意识方面的革新。审计人员要积极转变审计观念,勇于接受新的知识、新的思想,不能将审计目标仅仅局限在查错纠弊上。内部审计中发现的很多错弊大多都是由于系统和管理上出现了问题。而信息系统审计的任务就是帮助企业建立一个具有良好的控制机制的系统,使企业能够及时发现问题并且防止问题的发生。只有全面树立系统基础审计或风险基础审计的观念,才能理解信息系统审计的重要意义。
其次是技能方面的提升。由于ERP的系统环境十分复杂,内部审计人员就需要懂得各个方面的知识和技能。比如,审计人员要不断加强对专业理论知识的学习,更新自己的知识体系,掌握丰富的财会、审计方面的知识和技能;审计人员要强化自己对计算机、信息系统等方面的知识的学习,熟练掌握一定的必需的网络技术和计算机审计技术,提高自己应用信息技术的水平;审计人员要加强对ERP系统的学习,加深对ERP系统的了解,并熟知ERP系统内部控制的审计的标准,能够熟练地操作ERP系统的各个模块,熟悉并掌握对计算机审计软件的应用等。
三、ERP环境下企业内部审计问题的解决对策
(一)企业内部审计人员应充分了解ERP的实施流程。
ERP环境下的审计工作,其审计环境和审计重点发生了重大的变化,内部审计的目标不仅仅是查错纠弊,而是帮助企业的管理层建立起一个具有规范合理的有效的控制机制的信息系统,为管理服务。所以,在实施ERP的企业中,内部审计人员不仅要对企业的经营管理活动以及其内部控制机制给出客观、公正的评价,还要全程参与到企业的内部控制机制的建立和健全的过程中去。企业的内部审计人员只有充分了解企业所应用的ERP系统的所有相关情况,才能够确保审计工作在各个阶段的顺利进行。
根据ERP系统的应用特点,审计人员应着重了解以下内容:ERP系统应用环境下企业的组织结构、管理和控制制度,ERP系统所涉及的业务范围,ERP系统的整体框架、各模块之间的关系以及系统与外界的接口,ERP系统的主要功能及业务数据处理流程,ERP系统运行过程中出现的问题,ERP软件功能提升、软件升级情况等,从而把ERP系统的有关情况摸清。审计人员可采用召开座谈会、与有关管理层和业务部门沟通、查阅相关文档资料和调查表以及亲自上机操作等方法进行调查了解。通过对ERP软件相关情况的充分了解,内部审计人员对审计的总体对象有了一定的把握,对企业内部控制环节、控制点变化有了透彻的理解,因此对如何建立与完善内部控制也有了深刻的理解。内部审计人员与相关管理人员一起根据管理层提出的具体的管理需求,分析软件的功能设置,判断软件的功能能否满足管理的需求,以及满足的程度如何,并将分析结果反馈给管理层。
(二)完善ERP环境下企业内部控制体系。
在ERP系统中,企业内部各个模块的信息是按事先制定的控制标准和通用格式进行传递的,计算机按照这些控制标准进行控制,原来许多由审计人员完成的稽核工作现在都由系统来完成。但企业的内部控制机制中仍然存在产生重大差异或缺陷的可能性,如ERP系统各职能岗位职责是否分离,权限范围设置是否合理,有些控制既可以选择人工控制,也可以选择由系统来控制,这些控制是否得到始终如一的执行,控制的标准是否前后保持一致等。这些都会影响控制的效果,甚至产生重大差异。因此,企业内部审计人员必须对ERP环境下的内部控制体系进行测试和评估,对内部控制风险进行正确评价,找出其中的薄弱环节,安排审计重点,从而促进企业建立健全内部控制制度体系,对可能发生的舞弊、差错和重大违纪事项等进行迅速定位,提高内部审计工作效率和工作质量。
(三) 抓住ERP环境下企业内部审计的重点环节。
ERP的应用实现了企业业务处理的集成化、内部控制的程序化核数据存储的电子化。综合考虑ERP环境下企业内部审计的特点和风险因素,审计人员应该重点对以下环节进行审计。
1.职责分工与权限设置的审计
在ERP环境下,对ERP系统的操作使用是通过职责分工和权限分配来进行的。如果岗位职责不能有效分离,权限设置不合理或越权设置,可能会导致未经授权的业务或舞弊。因此,职责分工和权限设置应是ERP环境下审计的重点。审计人员对ERP环境下的职责分离和权限控制进行符合性测试,可通过查阅企业有关岗位设置和职责分工的相关文档,如管理制度、岗位职责条例、系统操作手册等,审查岗位设置的合理性、职责分工的恰当性,并重点对ERP系统各模块中的功能权限与数据权限之间存在冲突岗位的人员分离情况进行审核。对ERP系统的权限设置进行审查,审计人员应通过现场运行被审计单位ERP系统的“系统权限设置”功能模块,审查系统权限设置是否满足最小化授权控制原则,测试和评估其执行情况。在ERP系统中,有关系统操作使用情况会自动记录在系统日志文件中,审计人员通过检查日志文件记录,可进一步审查职责分离和权限设置的实际执行情况,检查ERP系统实际运行中是否存在职责分离冲突或越权操作现象,例如,负责处理供货商付款的职员就不应当具有管理维护供货商文档的权限。
企业内部审计人员可以查阅企业的诸如管理制度、岗位职责条例、系统操作手册等这些和岗位设置与职责分工有关的资料,重点审查是否将ERP系统中涉及功能权限和数据权限的不相容职务有效分离,以此来评价ERP系统中对岗位的设置是否合理、对职责的分工是否恰当。ERP系统中对权限的设置应该符合最小化授权的原则,如果不是工作上必须要了解情况的人员,就不能给予其访问权限。审计人员可以对系统中权限设置的模块亲自操作,从而更有效地审查系统中职责分离与权限设置的真实的情况。另外,企业内部审计人员可以查看ERP系统中的日志文件,其中会记录有系统的所有操作使用的情况。可进一步审查职责分离和权限设置的实际执行情况。
2.原始数据的审计在ERP环境下,大量的原始数据是由业务发生地的部门输入ERP系统的,实现数据信息的高度共享。但这种共享是必须以数据的安全为前提的。不正确的或不实的原始数据直接影响整个ERP系统反映信息的真实性和完整性。因此,对原始数据的准确性和完整性进行审计是ERP审计的重要环节。审计人员首先应采用查询ERP系统的操作手册、与有关人员交谈、实地观察等方法了解ERP系统中全部的终端以及终端的数据入口,审查各终端是否对输入的原始数据采取了防止出错或者其他的保护措施,是否制定了输入管理规则,而这些措施和规则又能否保证输入的原始数据的正确性和完整性。对于纸质的交易数据,审计人员可以追溯录入的原始数据的来源,对其抽样核对。对于无纸化交易数据,审计人员可使用电子邮件向银行、供应商、客户等进行函证,取得有关数据文件作为审计证据。
3.系统参数设置的审计
ERP系统中的参数设置是非常关键的。系统中的参数能够把录入的原始数据转化为各种财务分析数据,对保证企业的内部控制机制的有效执行和数据信息的准确性与一致性至关重要。因此,系统的参数设置是审计的一个重点。审计人员不仅要从数据信息的源头来保证数据的正确性,还必须关注系统中各种参数的设置,保证数据在中间环节的一致性。系统中参数的设置必须符合企业自身情况以及该行业的特点,在系统运行过程中还要保持一贯和有效,不得随意更改。所以,审计人员要加强对系统中参数设置的审计。
4.加强企业内部审计信息化建设
手工审计方式已无法对日益严重的计算机舞弊、财务会计信息失真现象进行有效的检查,传统的内部审计工具也已很难适应会计数据电子化的需要。内部审计信息化建设应该与会计信息系统同步发展,审计技术手段也由手工操作向电子计算机转变。因此,企业应尽快开发出适应审计信息化发展要求的优质的审计软件。
合格的审计软件应该具备直接取数的功能、财务分析的功能、测试功能、计算处理功能、稽核功能、自动生成部分审计底稿的功能等,同时审计软件还应为审计人员提供一些诸如审计计划、审计小结、资料清单之类的常用文书的模板以及法规、制度检索和查询的功能。在开发和编制审计软件时,软件开发人员应深入审计工作一线,对审计工作的内容及法规进行分析;在软件分析设计及调试过程中应有资深的审计工作人员参与;在软件投入使用后要注重采集一线审计人员的反馈意见,并对软件不断进行优化,这样才能实现软件的上述特性。通过审计信息化系统和审计操作平台的建立和完善,逐步实现企业内部审计过程的转变,即从单一的事后审计转变为事后审计与事中审计、事前审计相结合。通过全过程的审查、监督与评价,发现薄弱环节和存在的问题,帮助企业建章立制、完善内部控制,强化经营管理,提高内部审计部门在信息化条件下实施审计监督与评价的能力。
5.提高ERP环境下审计人员的素质和技能
ERP系统的实施对企业内部审计人员的素质提出了更高的要求。ERP系统审计需要的是,能够集现代审计理论与实务、管理知识和计算机技能等知识结构于一身的复合型人才。ERP系统环境十分复杂,内部审计人员要懂得各方面的知识和技能。首先,审计人员要不断更新自己对专业知识的学习,要具备过硬的业务能力,即拥有丰富的财会、审计方面的知识和技能。其次,审计人员要强化自己对计算机、信息系统等方面知识的学习,掌握一定的网络技术和计算机审计技术,提高对信息技术的应用水平。最后,审计人员要加强对ERP系统的学习,了解ERP系统内部控制审计标准,能够熟练操作ERP系统的各个模块,熟悉并掌握计算机审计软件的应用,等等。因此,企业要大力加强高素质的审计队伍的建设,加大计算机审计培训的力度,引进信息技术人才,让审计人员掌握如何在审计中将审计知识与计算机技术有效结合,以适应现代内部审计发展的需要。
下一篇:ERP环境下如何开展物资采购审计