胡玲玲

ERP是企業(yè)資源規(guī)劃Enterprise Resource Planning的縮寫。它是由美國Garter Group咨詢公司首先提出的，是當今國際上一個最先進的企業(yè)管理模式。ERP系統(tǒng)是指建立在信息技術(shù)基礎(chǔ)上，以系統(tǒng)化的管理思想，為企業(yè)決策層及員工提供決策運行手段的管理平臺。ERP系統(tǒng)集信息技術(shù)與先進管理思想于一身，成為現(xiàn)代企業(yè)的運行模式，反映時代對企業(yè)合理調(diào)配資源，最大化地創(chuàng)造社會財富的要求，成為企業(yè)在信息時代生存、發(fā)展的基石。它對于改善企業(yè)業(yè)務(wù)流程、提高企業(yè)核心競爭力具有顯著作用。由于ERP系統(tǒng)在企業(yè)的經(jīng)濟活動中承載著幾乎全部的關(guān)鍵業(yè)務(wù)，因此，如何確保ERP系統(tǒng)按照企業(yè)運營需求能夠正常運轉(zhuǎn)，成為眾多企業(yè)非常關(guān)注的問題之一。一些企業(yè)已經(jīng)把審計業(yè)務(wù)從財務(wù)延伸到了ERP，開始嘗試對ERP系統(tǒng)進行審計。

一、對ERP系統(tǒng)進行審計的必要性

（一）企業(yè)內(nèi)部審計環(huán)境的變化

首先，企業(yè)管理流程的優(yōu)化使內(nèi)部控制發(fā)生了變化。信息技術(shù)的應(yīng)用使企業(yè)的內(nèi)部經(jīng)營管理發(fā)生了質(zhì)的變化，企業(yè)所有的工作流程都按照面向客戶、面向信息網(wǎng)絡(luò)、面向軟件應(yīng)用的要求進行了重組，相當一部分的內(nèi)部控制點已建立于系統(tǒng)的應(yīng)用程序中，由計算機自動執(zhí)行各種檢驗、核對、判斷、監(jiān)督以及對系統(tǒng)各功能實用的權(quán)限控制等；其次，傳統(tǒng)的審計線索消失。在手工會計中，憑證、賬簿等審計線索主要是反映在書面上的，審計人員可利用這些書面材料從原始憑證查起，通過對報表之間、報表與賬簿之間會計數(shù)據(jù)的勾稽關(guān)系審查憑證賬簿所反映的經(jīng)濟內(nèi)容的合法性與業(yè)務(wù)處理的正確性。而實施ERP系統(tǒng)后，這些傳統(tǒng)的審計線索可能會部分或完全消失。

（二）企業(yè)內(nèi)部的審計內(nèi)容與審計重點的變化

在ERP系統(tǒng)中，由于會計事項由計算機按程序自動進行處理，發(fā)生在原有手工會計系統(tǒng)中的計算或過賬錯誤的機會相應(yīng)減少了。但如果ERP系統(tǒng)的應(yīng)用程序出錯或被人為纂改，則計算機只會按給定的程序以同樣錯誤的方式處理有關(guān)的會計事項，錯誤的結(jié)果將十分嚴重。因此，在ERP環(huán)境下，審計內(nèi)容更加廣泛。審計人員既要對計算機管理信息系統(tǒng)的處理和控制功能進行審查，以證實其處理的合法性、正確性、完整性和安全性，又要參與ERP系統(tǒng)的設(shè)計和開發(fā)，以免ERP系統(tǒng)在企業(yè)投入使用后，再改進時付出更昂貴的代價。

（三）企業(yè)內(nèi)部風險管理審計的變化

對風險管理的審查和評價是企業(yè)內(nèi)部審計的基本內(nèi)容之一。ERP環(huán)境下企業(yè)的風險管理審計將顯得更為重要。一方面，在ERP環(huán)境下，舞弊和失誤均由原來的手工操作變成了由機器和系統(tǒng)程序來完成，不留任何紙面痕跡，從而使風險更加隱蔽、層次更高、內(nèi)涵更深，風險識別、評估和應(yīng)對的難度更大；另一方面，企業(yè)實施ERP以后，ERP已成為企業(yè)的生命線，風險可能造成的損失將更加巨大。企業(yè)為了防范和降低風險，必須加大風險管理的審計力度。

二、對ERP系統(tǒng)進行審計的內(nèi)容

（—）對系統(tǒng)業(yè)務(wù)流程的審計

ERP環(huán)境下所用數(shù)據(jù)都是從各業(yè)務(wù)環(huán)節(jié)開始，財務(wù)與生產(chǎn)、采購、銷售、庫存等環(huán)節(jié)緊密相連，環(huán)環(huán)相扣。如ERP系統(tǒng)中的銷售部分，銷售是從訂立銷售合同開始，在實際開銷售發(fā)票和提貨出庫時，系統(tǒng)都自動進行賬務(wù)處理，自動生成記賬憑證傳到財務(wù)部分，財務(wù)人員可以通過操作由系統(tǒng)進行自動審核、記賬，也可以進行人工審核。ERP系統(tǒng)使用一個數(shù)據(jù)庫，二者同一數(shù)據(jù)源，因此這就對原始數(shù)據(jù)準確性、完整性提出了要求。在審計中，我們進行該工作的目的除為了檢查由于工作失誤所造成的原始數(shù)據(jù)的不準確，還包括檢查是否存在由于舞弊所造成的原始數(shù)據(jù)的不真實，從而從源頭上控制錯誤和舞弊的發(fā)生。審計內(nèi)容大體包括以下幾個方面：

1.業(yè)務(wù)處理的全面性：應(yīng)該在系統(tǒng)中運行的業(yè)務(wù)是否全部通過系統(tǒng)運行；

2.信息錄入的及時性和準確性；

3.系統(tǒng)運行的可靠性：是否存在系統(tǒng)錯誤；流程處理是否通暢，有無缺陷或舞弊的可能，能否進行進一步的優(yōu)化；系統(tǒng)識別、評價和應(yīng)對流程風險的效果如何等。

（二）對關(guān)鍵控制點的內(nèi)部審計

ERP系統(tǒng)是由多個模塊高度集成起來的，每一模塊都有相應(yīng)的關(guān)鍵控制點，對企業(yè)的生產(chǎn)經(jīng)營起著至關(guān)重要的作用。如銷售結(jié)算中的定價控制點，是根據(jù)發(fā)貨時間來自動劃價的，倘若公司某天調(diào)整銷售價格，而發(fā)貨時間控制不嚴，公司的效益損失也將非常巨大，而且很難發(fā)現(xiàn)。因此，對關(guān)鍵控制點的風險管理審計應(yīng)作為審計的重點。審計時要主要關(guān)注以下問題：

1.是否對關(guān)鍵控制點進行了識別，識別是否全面；

2.是否建立了關(guān)鍵控制點的風險評價體系；

3.是否建立了關(guān)鍵控制點的預(yù)警機制和應(yīng)對機制；

4.關(guān)鍵控制點的識別、評價、預(yù)警和應(yīng)對機制的適應(yīng)性和有效性如何；控制方法和手段是否可進一步優(yōu)化；有無控制不嚴或失控的現(xiàn)象和可能等。

（三）對ERP系統(tǒng)監(jiān)控的內(nèi)部審計

ERP系統(tǒng)應(yīng)用于企業(yè)的優(yōu)點之一就是對業(yè)務(wù)和績效能夠進行動態(tài)監(jiān)控。ERP系統(tǒng)的監(jiān)控功能，本身就是一種控制，運用得好，可以極大地降低風險；可一旦運用得不好，流程上的控制點就會失去控制，風險也就會隨之加大。因此，我們有必要對系統(tǒng)監(jiān)控的風險管理進行審計，審計和評價企業(yè)及其下屬單位是否利用ERP系統(tǒng)進行了業(yè)務(wù)和績效的動態(tài)監(jiān)控、監(jiān)控點及其風險如何識別和評價、監(jiān)控的權(quán)威及其效果如何、發(fā)現(xiàn)問題的處理方式以及應(yīng)對風險的效果如何、有無監(jiān)控盲區(qū)或監(jiān)控不利的區(qū)域、監(jiān)控結(jié)果的利用情況如何等。

（四）對風險管理機制的審計

ERP系統(tǒng)是一個巨大的系統(tǒng)，必須建立嚴密的風險管理機制。對ERP系統(tǒng)下的審計，首先必須對風險管理機制進行審計，審查企業(yè)及其下屬單位是否建立了風險管理機制，風險識別、評價和應(yīng)對機制的適應(yīng)性和有效性如何，實際運行情況怎樣，是否有利于企業(yè)管理的持續(xù)改善等。在審計中，我們還應(yīng)當專門對業(yè)務(wù)流程、關(guān)鍵控制點、系統(tǒng)監(jiān)控等方面的風險管理機制進行重點審計。

（五）對系統(tǒng)的審計

從系統(tǒng)本身來說，無論是硬件還是軟件，都有產(chǎn)生故障的可能，預(yù)見功能的完備與否也是系統(tǒng)運行的風險之一，ERP系統(tǒng)與其它系統(tǒng)的連接則是影響系統(tǒng)運行的關(guān)鍵因素。要保證ERP系統(tǒng)的正常運行，降低經(jīng)營風險，對ERP系統(tǒng)以及與其相聯(lián)接的其它信息系統(tǒng)的風險管理與審計也是必不可少的，這包括對系統(tǒng)的開發(fā)與設(shè)計、軟件的程序、系統(tǒng)的控制、功能的劃分、硬件的架構(gòu)、備份模式及效果、故障處理方案及風險應(yīng)對措施、系統(tǒng)風險識別與評價體系等進行審計。

（六）對系統(tǒng)人員的審計

任何系統(tǒng)都是通過人來操作和維護的，尤其是關(guān)鍵控制點和系統(tǒng)監(jiān)控崗位上的人員以及關(guān)鍵的系統(tǒng)維護人員，他們掌握者整個系統(tǒng)的命脈。由此可見，對相關(guān)系統(tǒng)人員的風險管理與審計也就顯得相當重要。

1.審查和評價系統(tǒng)人員是否經(jīng)過培訓并取得相應(yīng)資格，是否有識別和應(yīng)對本崗位風險的能力，在本崗位控制和風險管理的實際效果如何等；

2.審查和評價企業(yè)及其下屬單位是否建立了相應(yīng)的人才風險管理機制，識別、評價以及應(yīng)對人才風險的措施和效果如何；同時，我們還要在對領(lǐng)導干部的經(jīng)濟責任審計中增加對系統(tǒng)控制和風險管理等方面的審計內(nèi)容，對關(guān)鍵控制點和系統(tǒng)監(jiān)控崗位上的人員以及關(guān)鍵的系統(tǒng)維護人員可以實行系統(tǒng)責任審計，以促進領(lǐng)導干部及相應(yīng)系統(tǒng)人員增強ERP系統(tǒng)的風險意識和責任。