林熠

【摘 要】 ERP風險審計立足于企業(yè)級信息化建設竣工和ERP深入應用的大背景下，筆者將ERP和信息化環(huán)境下的管理風險作為關注點，以ERP系統(tǒng)為審計對象，揭示新風險，研究新方法，通過實踐總結了開展ERP審計的思路和經(jīng)驗，對包括電網(wǎng)企業(yè)在內(nèi)的各類企業(yè)都有重大實踐意義和推廣價值。

【關鍵詞】 ERP 審計信息化 風險審計

一、ERP環(huán)境下開展管理風險審計的基本內(nèi)容

1.審計目標：當前企業(yè)信息化建設的快速發(fā)展和ERP系統(tǒng)全面應用的背景下，審計環(huán)境已經(jīng)發(fā)生重大改變，通過對ERP系統(tǒng)開展風險審計，揭示ERP及信息化條件下企業(yè)管理面臨的新風險和新挑戰(zhàn)，在實踐中研究和總結經(jīng)驗，從而建立起完整的審計信息化探索、實踐、總結、應用模式，推動審計信息化建設和審計創(chuàng)新。

2.實施策略：一是突出管理風險和效益評價， 通過審計過程收集的證據(jù)以評價新條件下經(jīng)濟活動的有效性和效益性；二是突出審計拓展和方法創(chuàng)新，從傳統(tǒng)審計項目向信息化方面延伸，將ERP日常運行和業(yè)務流程執(zhí)行情況納入審計關注范圍；三是突出理論研究和成果應用，用審計實踐探索總結的經(jīng)驗改進管理風險審計的方式。

二、ERP帶來的管理風險

（一）ERP給企業(yè)帶來的變化

企業(yè)在實施ERP后主要的變化集中在：一是業(yè)務運作流程化，所有系統(tǒng)在一個平臺下以流程的形式連接起來，導致風險也從分散到集中轉變；二是業(yè)務控制由以往人工審核向電子審核的形式轉變，管理內(nèi)控由線下控制轉變?yōu)殡娮邮降某绦蚩刂?；三是財務記賬實現(xiàn)自動化，由事后記賬轉變?yōu)闃I(yè)務驅動、自動集成。

（二）ERP對企業(yè)管理產(chǎn)生的主要風險

ERP對企業(yè)內(nèi)控的產(chǎn)生的風險分為宏觀建設風險和業(yè)務管理風險兩大類。

1.宏觀建設風險：一是ERP系統(tǒng)與業(yè)務的差異風險：ERP的通用性設計與企業(yè)個性業(yè)務之間的差異造成的矛盾。二是系統(tǒng)人機交互和操作帶來初期應用風險，主要是工作效率低下和差錯率增高，從而拖累整個業(yè)務流轉效率。三是新的賬務處理模式帶來的風險，新的核算流程和處理模式給在初期容易影響數(shù)據(jù)真實性。

2.業(yè)務管理風險：一是系統(tǒng)內(nèi)控管理風險，新流程缺少多元化的業(yè)務控制機制；二是數(shù)據(jù)業(yè)務一致性風險，集中在業(yè)務實際與系統(tǒng)數(shù)據(jù)存在差異。三是系統(tǒng)控制能力風險，僅靠系統(tǒng)內(nèi)設的控制機制無法滿足企業(yè)管理需要。

三、ERP風險審計的實施

（一）將風險識別、分析、處理融入審計作業(yè)流程

該項目作業(yè)模式與常規(guī)風險審計項目一致，包括識別風險、分析風險、評價處理風險三個過程。

1.風險識別：主要是通過審前調(diào)查業(yè)務藍圖設計與實際運行情況的符合性，對各類可能的風險進行初步判別，掌握對系統(tǒng)應用產(chǎn)生重大影響的風險。

2.風險分析：在項目現(xiàn)場作業(yè)階段，以符合性測試和模擬測試為主要手段，對系統(tǒng)數(shù)據(jù)與管理內(nèi)控進行診斷，對各類風險進行排序和過濾，揭示對系統(tǒng)建設運行可能對業(yè)務運作和數(shù)據(jù)準確產(chǎn)生影響的風險。

3.風險評價和處理階段：對發(fā)現(xiàn)的風險以審計建議的形式向有關部門提出管理建議，完善管理制度和流程并跟蹤ERP系統(tǒng)改進完善情況；最后將風險總結成審計成果，并應用到審計信息化建設等工作上，改進審計方法和手段。

（二）主要審計方法

風險識別方法：主要應用符合性測試和模擬測試法對項目的風險進行識別和評估。符合性測試主要是對系統(tǒng)運行與實際管理的符合性進行測試，用于驗證數(shù)據(jù)的真實性；模擬測試法主要利用模擬數(shù)據(jù)了解系統(tǒng)設置和系統(tǒng)內(nèi)業(yè)務流程運作情況，用于驗證系統(tǒng)功能與業(yè)務需求的符合性。

風險分析方法：主要適應定性分析法和定量分析法。定性分析主要是對風險產(chǎn)生的原因、實際運行狀況和可能產(chǎn)生的風險進行定性，確定風險的可控程度；定量分析主要以審計經(jīng)驗和管理需求，對風險進行梳理，對可能影響業(yè)務正常運作和數(shù)據(jù)準確甚至導致產(chǎn)生舞弊的漏洞和風險，設定不同的權重加以判別。

（三）審計主要關注點

一是關注企業(yè)管理關鍵業(yè)務，包括人、財、物和項目等關鍵業(yè)務，這都是審計關注的重點領域；二是關注流程重組，新流程與企業(yè)需求的符合性、與系統(tǒng)運行的適應性、對數(shù)據(jù)信息的有效性都是審計關注的風險點；三是關注ERP的磨合期，從上線到穩(wěn)定運行必然有一個完善優(yōu)化的過程，期間受到人員操作熟練度、業(yè)務運轉成熟度、內(nèi)控制度完善度等因素影響而產(chǎn)生風險；四是關注審計對象的轉變，ERP導致很多審計證據(jù)成為計算機系統(tǒng)的信息流和數(shù)據(jù)流，給審計工作帶來新風險。

四、ERP風險審計的體會

（一）拓展風險審計的范圍，探索IT審計方法

一是與常規(guī)審計項目融會貫通。實施ERP環(huán)境下的風險管理審計，與傳統(tǒng)審計項目在程序保持一致，都是按照標準作業(yè)流程。二是充分借助計算機輔助審計軟件，實現(xiàn)了審計思路向ERP審計方法的轉變。三是提高了審計工作效率，為實現(xiàn)遠程審計、在線審計奠定基礎。

（二）不足與改進

不足之處主要包括：一是涉及多專業(yè)、多部門，審計對象較復雜，不明確。二是傳統(tǒng)的審計線索被取代，審計內(nèi)容發(fā)生變化，審計線索和證據(jù)趨于隱蔽化，從而增加審計難度。三是審計人員專業(yè)限制，較難在短期內(nèi)精通ERP系統(tǒng)各個模塊，無法涵蓋全系統(tǒng)、全業(yè)務。

主要改進措施：開展ERP專題培訓，提高審計人員應用水平；在ERP系統(tǒng)中建立審計人員專用角色，加強日常監(jiān)控；建設審計監(jiān)控平臺，完善ERP環(huán)境下的計算機輔助審計工具。

五、結束語

經(jīng)過實踐，針對ERP系統(tǒng)開展風險審計，是對風險審計和IT審計的有益補充，對于新形勢、新條件下的審計工作具有顯著的推動和促進作用：能夠適應公司發(fā)展的新形勢、新環(huán)境。拓寬審計新領域，積累IT審計的新經(jīng)驗、新手段。

【參考文獻】

[1] 陳偉，2012：計算機應用-計算機輔助審計原理及應用[M]，清華大學出版社.

[2] 陳福軍、孫芳、 劉俊，2006：會計信息系統(tǒng)實務教程：信息管理與信息系[M]， 清華大學出版社.

[3] 陳明坤，2007：ERP系統(tǒng)整合審計[M]，經(jīng)濟科學出版社.