1、ERP 信息系统内部审计初探【摘要】本文介绍了 ERP 系统功能和主要特点,分析了 ERP 信息系统对内部审计工作造成的影响,提出了 ERP 系统环境下内部审计应对措施。 【关键词】ERP 信息系统,内部审计,影响,措施 一、ERP 信息系统简介 ERP 全称是 Enterprise Resource Planning,即企业资源计划系统,是美国 Gartner Group 公司于 1990 年提出的,其确切定义是:MRP(企业制造资源计划)下一代的制造业系统和资源计划软件。ERP是一种主要面向制造行业进行物质资源、资金资源和信息资源集成一体化管理的企业信息管理系统,针对物资资源管理(物流)
2、、人力资源管理(人流) 、财务资源管理(财流) 、信息资源管理(信息流)集成一体化的企业管理软件。ERP 系统包括以下主要功能:供应链管理、销售与市场、分销、客户服务、财务管理、制造管理、库存管理、工厂与设备维护、工作流服务和企业信息系统等。 二、ERP 信息系统审计与传统审计的比较 ERP 信息系统审计是传统审计的一部分,两者之间有紧密的联系,也存在一定的区别。两者区别主要表现在:首先,信息系统的审计对象不同于传统审计的财务领域,而是信息系统,包括基础设施、软硬件管理、信息安全、网络管理及通讯等。其次,信息系统审计提出了更多的审计方法与审计程序,比如对某软件进行审计时,要采用技术含量相当高的
3、测试,对网络安全审计时要采用穿透性测试。再次,信息系统审计不光是事后审计,主要关注系统的运行现状,在某种情况下,直接参与项目的开发或变更过程,以保证足够的控制得以顺利实施。最后,信息系统审计的咨询价值显得更高,信息化的风险很高,审计人员可凭借其专门知识和实践经验,在企业信息化过程中,帮助企业建立健全内部控制制度,进行系统诊断,根据企业需求,确定信息化的目标和内容,选择合适的信息系统。 三、ERP 信息系统对内部审计工作造成的影响 (一)ERP 信息系统对审计活动的影响。 1.对审计对象及审计范围的影响。ERP 信息系统下,企业和供应商、客户之间的联系日益紧密,借助现代化信息技术,企业内部各部门
4、之间、企业供应商及客户相互之间的资金流、物流以及信息流等实现了有机融合,为企业经营管理过程中所面临的问题提供了有效的分析工具,为相关决策提供了及时、可靠的信息。从这一角度分析,企业有必要将具有独立性、向企业提供产品或服务、和企业之间存在经济利益关系的第三方也纳入到审计工作范畴中来思考, 这就意味着,ERP 信息系统也是企业开展内部审计工作所针对的对象, 以企业对质量的预期要求为主要依据, 来对企业所生产的产品或提供的服务等结合信息系统予以规范监督。2.对审计内容及重点的影响。受 ERP 信息系统的影响,内部审计工作的内容及重点会发生调整。第一,针对 ERP 信息系统开展安全审计的重要性程度要求
5、提升,实施安全审计的重点会是企业所采用的程序、系统以及经营活动等的安全性;第二,ERP 系统实施以后,企业不同部门所使用的信息均来自于同一个数据库,一旦在录入信息的过程中出现失误,便会导致连锁反应,因此,应当重点针对经济业务的真实性、合法性以及信息录入工作的准确性的原始资料实施审计。 3.对审计工作线索的影响。开展内部审计工作的过程就是对审计证据实施收集、鉴定以及运用审计结果的过程,审计人员主要依据审计线索,对经济业务及收集的审计证据进行审查核实。ERP 信息系统与传统的业务活动开展方式有所不同,其程序自动完成企业物流、信息流和资金流相关等归集,没有传统方式下的过程凭证及账簿记录, 从而在一定
6、程度上增加了审计调查取证的难度。 (二)ERP 信息系统对审计环境、审计人员和审计风险的影响。 1.对审计环境的影响。ERP 信息系统借助电子商务技术、远程通信技术以及网络技术等一系列现代化信息技术,对企业的物流、资金流以及信息流予以了有效整合, 实现了业务流程信息化、信息处理及时化、自动化等。因此,企业需要重新设计业务处理信息流程,对于效应低甚至为零的环节予以剔除,对企业组织结构进行相应调整,这些将会从审计规范、标准、执行及结果等方面,对企业内部审计工作的开展产生直接或间接的影响。 2.对审计风险的影响。ERP 信息系统最突出的特色之处就是数据的集中性。数据的集中性程度越高,引发风险的可能性
7、就越大。一般在实践中比较常见的有舞弊、机密数据外泄或遭窃取、系统重复性或连续性处理同一错误、数据保存或传输故障等导致数据异常错误。企业在面临较高的固有风险及控制风险的前提下,为将审计检查风险控制在可接受范围之内,审计人员就必须进一步扩大审计范围,添加审计测试程序,实现对检查风险的有效控制。 3.对审计人员的影响。不懂 ERP 的审计人员,会因为审计线索的改变而无法跟踪审计,会因为不懂得 ERP 的特点和风险而不能审查和评价其内部控制,更无法对 ERP 系统本身的可靠性、安全性和效率性进行评价。因此,内部审计人员要熟练掌握计算机技术,对企业内部控制及 ERP 系统的安全性及可靠性进行审查和评价。
8、 四、ERP 系统环境下内部审计应对措施 在 ERP 系统环境下进行内部审计体系设计时,要将风险控制管理作为审计的重点,全面覆盖财务审计、物资采购审计、库存管理审计、生产管理审计、人力资源管理审计、信息系统审计及内控管理审计等主要业务领域。 (一)扩大审计工作的对象和范围。ERP 系统环境下的审计在某种意义上说是“大审计” ,它不仅包括对审计所处的信息系统安全性和可靠性进行测试,而且还包括经济组织发生的各类业务的真实性和合法性的鉴证。保证 ERP 系统的正常运行,既要重视 ERP 系统本身的软硬件审计,也要重视对与之相联系的其他信息系统的审计。包括对系统的开发与设计、软件的程序、系统的控制、备
9、份模式及效果、故障处理方案等进行审计。在日常审计中,要加强对原始数据录入的准确性、完整性的检查、非集成数据记录的准确性审核、非直接生成报表的核对,查阅相关修改记录并进行追查等。 ERP 系统打破了传统的业务流程设计,对相关部门重新进行了权利分配,对业务流程进行优化重组。ERP 系统通常分为采购管理、库存管理、生产管理、销售管理、设备管理等模块,每一模块都有相应的关键控制点,对企业的生产经营起着至关重要的作用。加强对关键控制点的审计,就是 ERP 系统审计的重点,如采购模块中的货物验收控制点,是根据合同或采购订单控制验货的关键点,若把关不严,有可能使公司财产遭受巨大损失。 (二)审计过程实现三个“转变” 。ERP 系统环境下,审计过程要实现三个“转变” ,即从单一的事后审计转变为事后审计与事中审计相结合,从单一的静态审计转变为静态审计与动态审计相结合,从单一的现场审计转变为现场审计与远程审计相结合。信息化审计环境拓宽了审计视野,从而可以更好地完善监督管理,增强管控能力,提升执行力度,为推进公司持续发展提供有力(下转 12 页)