1、ERP 环境下数据审计思路与方法初探一、ERP 给审计带来的挑战和机遇世界五百强企业纷纷采用 ERP(企业资源计划,Enterprise Resource Planning)作为自己的管理系统。国有大中型企业也普遍实施了 ERP。ERP 是指建立在信息技术基础上,以系统化的管理思想,为企业决策层及员工提供决策运行手段的管理平台。ERP 对现代企业的影响是广泛而深远的。ERP 以供应链管理为基础,将企业的物流、资金流和信息流融为一体,改变了企业的组织结构和管理模式。ERP 高度的集成性和共享性使得企业管理的信息更加全面、准确和完整,信息沟通更加有效,为决策分析提供了理想的平台。ERP 中严密的控
2、制环节和大量的信息系统控制有效改进了传统的内部控制,给传统的内部控制注入了新的活力。ERP 对审计工作的挑战是全方位的。首先,传统的审计人员不了解 ERP 的先进管理理念及其集成化的实现方式,以传统的审计思路和视角去看待 ERP,往往理解不了 ERP 的系统结构、功能和数据,甚至会出现 ERP 环境下“打不开账,进不了门”的情况。其次,由于 ERP 的集成化和一体化,财务信息与业务信息高度集成并保持一致,传统的将财务数据与业务数据进行比对分析的审计思路难以奏效。第三,ERP 信息处理的自动化使得大量的传统内部控制点集成到信息系统中,传统的内部控制手段被预先制定并嵌入系统的应用程序或可配置的控制
3、数据所取代。ERP 的健全性使得审计人员开展工作时不得不更加关注风险与控制,审计人员必须适应 ERP 环境下的审计思路,必须使用 ERP 环境下的审计方法。内部控制的测试与评价也面临新的挑战。第四,ERP 结构复杂、体系庞大,使得数据采集与分析的难度显著增加。然而,ERP 在给审计带来挑战的同时也带来了机遇。一方面,ERP 使得审计工作面临一个统一的、集成的数据库,信息全面而富有联系,信息之间可以方便追溯。这些都为审计数据分析提供了极好的平台。另一方面,ERP 具有强大的查询和报表功能,有的还内嵌了审计模块,这些都使得审计人员可以利用 ERP 系统开展审计和分析,大大节省了时间,提高了效率。此
4、外,ERP 非常强调内部控制,这有利于审计人员在工作中更加关注控制点的分析与测评,在内控分析测评的基础上开展审计,审计工作更加规范,思路更加清晰明确。ERP 信息的实时性、全面性使得数据分析可以更加全面深入。二、ERP 环境下的审计思路和方法面对这些挑战和机遇,审计人员需要更新理念,掌握新的技术方法,探索新的实施策略,牢固树立 ERP 环境下的审计思维模式。针对 ERP 对审计工作带来的全方位挑战,在实际工作中,应该特别注意利用 ERP 的特点开展审计。以下从五个方面阐述 ERP 环境下的审计思路和方法。1.ERP 的数据获取在 ERP 环境下,主要有 3 种手段获取被审计单位的 ERP 数据
5、。(1)使用符合国家标准的数据接口可以导出总账、固定资产、应收、应付和薪酬等会计数据。如果被审计单位使用的是支持国家标准接口的 ERP 产品,该方法可以极大提高从被审计单位获取 ERP数据的效率,应作为获取 ERP 数据的第一选择。(2)从数据库直接获取数据。通过对被审计单位 ERP 数据库的直接访问,可以非常全面地获取业务和会计数据。对于一些数据量较小、数据结构简单的应用,可以使用一些简单的小工具完成数据的查询和导出。但由于被审计单位的 ERP 数据库设计往往非常复杂,因此对审计人员的技能要求较高,不但需要熟练掌握数据库技术,还需要对被审计单位所使用的 ERP 及其底层的数据库设计有较深的了
6、解。对于大量甚至海量的数据需求,特别是对大型 ERP 软件的访问,可以考虑优先使用专业的数据抽取、转换和装载工具。(3)从应用功能获取数据。通过 ERP 的查询功能查询的账表,软件一般都提供了数据的导出功能。通过本方法可以获取 ERP 提供的各类标准报表。其优点是可以充分利用 ERP 已有工具的功能,直接形成结果。从 ERP 的报表获取数据虽然便利,但获取速度慢,工作量大,可以获取的数据也有限制,还要求审计人员对各种 ERP 软件有较深入了解。2.分析“断点”寻找突破口所谓“断点”,是指本应连续的事物发生了中断,本应集成的系统没有集成,本应存在的控制产生了缺失。ERP 本身设计为一个高度集成化
7、的信息系统,通过不同的功能模块集成了企业的所有供需过程,对企业运作的供应链结构实施了全面的管理。ERP 的控制参数就像企业运行过程中的“控制面板”,通过面板上不同的参数组合与配置,实现了 ERP 内部的绝大多数信息系统控制。在正常的情况下,一般不会出现所谓的“断点”。然而以下几种情况将会导致系统的断点。(1)ERP 的实施经常是分阶段、分模块进行的。由于未能实施某个 ERP 产品的全部模块,将导致模块之间的信息流动出现断点,即所谓的模块不集成带来的系统断点,可能导致相关子系统数据表记录时间和内容不一致。(2)企业也有可能部署或整合多套来自不同厂商的 ERP 产品,还有可能将 ERP 与其他的信
8、息系统集成起来。当 ERP 与核心业务流程未能有效集成,系统流程就存在断点,需要人工操作,可能导致系统数据表字段内容错误、记录时间滞后。(3)ERP 实施过程或运行过程中,由于某些控制参数配置不当,或者未有效启用,将导致某一控制缺失,产生大量的系统性纰漏。这种控制缺失称为控制上的断点,是另外一种类型的断点。断点的存在给 ERP 环境下的审计工作带来新的思路。通过关注和查找这些断点,往往能给审计工作找到突破口,起到事半功倍的效果。3.关注信息系统控制及控制数据ERP 环境下,计算机系统根据输入数据、控制数据及处理逻辑自动执行业务处理,使得业务处理高度自动化,企业的运营管理高度依赖信息系统。企业的
9、内部控制方式由此发生了显著变化,内部控制与 ERP 的信息系统控制紧密结合,内部控制风险很大程度上取决于 ERP 系统控制的风险。这些重要特征集中体现在:很多内部控制点的控制标准、控制方法已预先制定并嵌入在系统中,这些嵌入系统的控制标准和控制方法一般采用程序代码或各式各样的参数、配置数据等控制数据的形式实现。相对程序代码固化控制而言,控制数据具有灵活方便的优点,可以满足不同用户的需求,也是商品化的 ERP 广泛采用的控制实现方式。因此,控制数据在 ERP 中起到了决定性的作用,这些控制数据直接关系着系统控制是否有效、可靠,系统业务处理逻辑是否正确。控制数据分为反映业务处理逻辑的控制数据和反映内
10、控制度的控制数据。对控制数据的检查成为对 ERP 关键控制点检查分析的重要手段,通过对它们的分析可以迅速发现数据分析的突破口。在找到关键控制点之后,就需要对相关控制数据进行检查来判断控制是否有效。不仅要关注控制数据的当前状态,还应分析控制数据的变动情况,关注是否存在更改参数规避内部控制的情况。只有这样,才能全面、客观、准确地对系统内部控制进行分析和评价。4.寻找数据的源头数据进入 ERP 系统的方式一般有两种:手工录入方式与通过接口自动采集的方式。不管采用哪种方式,都应该关注数据的源头。对于手工录入方式,数据一次性录入之后,在各模块之间共享和流动,原始数据采集和录入环节对数据质量至关重要。一旦
11、原始信息录入的环节出现错误,将会产生连锁反应,后续环节的数据都将出现错误,而且由于系统业务处理的自动化,系统各环节的单据、凭证、账簿、报表是互相平衡的,有可能掩盖了人工录入的错误,使得错误无法察觉。因此,对手工录入数据的分析是在源头上发现问题的重要手段。对于通过接口自动采集的方式,外围系统数据是影响 ERP 数据可靠性的重要因素。大多数企业的 ERP 环境中集成了很多外围系统,这些外围系统一般都与 ERP 核心模块进行数据交换。它们的数据是ERP 数据的重要来源,对 ERP 数据的真实性、可靠性、完整性具有重要意义。它们与手工输入数据具有类似的性质,但特点又不相同。一是数据的准确性依赖于外围系
12、统;二是它们与 ERP 之间的数据接口往往是控制数据质量的关键环节,但经常也是薄弱环节。利用这些外围系统数据进行对比分析是 ERP 数据分析的重要手段。5.利用关联性充分追溯集成与融合是 ERP 突出的特点和优势。ERP 各模块紧密集成,业务流程环环相扣,数据高度融合、共享,数据之间都有着紧密的关联,业务信息与财务信息也高度融合,除财务信息外还包括详细的原始业务信息。因此,反映业务活动的数据之间都有着紧密的关联。对 ERP 的数据分析可以直接追溯到具体业务环节,最大限度的还原每一笔业务的细节信息,从不同角度展现各种数据之间立体化的关联关系。例如,销售模块中存在以下数据关联:订单、发货单、发票环
13、环相扣,相互之间可以追溯;销售过程中发货、开票、付款等业务活动产生的单据和对应的财务模块中的凭证也有对应关系,可以相互追溯;销售订单、财务凭证可以直接关联到供应商、物料等主数据。在 ERP 环境下需要充分利用数据之间的逻辑关系进行关联分析。通过对关联数据进行分析,可以检查数据处理是否符合业务逻辑、内控制度和相关法律法规,校验系统内数据的钩稽关系,发现系统控制存在的问题。 以上只是对 ERP 环境下数据审计的思路进行了初步的探讨和归纳。具体的分析思路还需要审计人员在对 ERP 环境下的企业运营管理、系统内部控制和数据处理有了较深入的了解之后,结合审计职业判断和经验不断发掘、充实和完善。(万建国 审计署南京办)参考文献1中华人民共和国审计署国家审计准则,20112石爱中,孙俭初释数据式审计模式审计研究,2005(4)3国家 863 计划审计署课题组计算机审计数据采集与处理技术研究报告北京:清华大学出版社,2006