内部审计参与ERP管理探讨
ERP(Enterprise Resource Planning)即企业资源计划系统,是在先进的企业管理思想的基础上,应用信息技术实现对整个企业资源的一体化管理,是一种可以提供跨地区、跨部门、甚至跨公司整合实时信息的企业管理信息系统。其基本思想是把企业的业务流程看作是一个紧密联系的供应链,并将企业内部划分为几个协同作业的子系统。通过对企业内部供应链上所有的环节进行有效管理,实现物流、资金流、信息流的有效集成,从而提高企业的管理效率和经营水平,最终提升企业的核心竞争力。它的管理理念、管理思想和管理方法在企业的应用,改变了企业的经营环境、管理模式和会计模式,使企业审计工作发生了重大变化,为此企业实施ERP需要内部审计部门的积极参与。内部审计携手ERP共同发展是企业提高经济效益,提升竞争力的重大挑战。
一、ERP管理对内部审计工作的影响
ERP系统实施后,改变了企业的经营管理模式和业务流程,因而必然带来审计工作的变化。实施ERP系统对企业内部审计工作的影响主要体现在以下几个方面:
(一)企业内部审计环境发生了变化
首先,企业管理流程的优化使内部控制发生了变化。信息技术的应用使企业的内部经营管理发生了质的变化,企业所有的工作流程都按照面向客户、面向信息网络、面向软件应用的要求进行了重组,相当一部分的内部控制点已建立于系统的应用程序中,由计算机自动执行各种检验、核对、判断、监督以及对系统各功能实用的权限控制等;其次,传统的审计线索消失。在手工会计中,凭证、账簿等审计线索主要是反映在书面上的,审计人员可利用这些书面材料从原始凭证查起,通过对报表之间、报表与账簿之间会计数据的勾稽关系审查凭证账簿所反映的经济内容的合法性与业务处理的正确性。而实施ERP系统后,这些传统的审计线索可能会部分或完全消失,取而代之的是存有电子数据处理信息的硬盘、软盘等。
(二)企业内部审计内容与审计重点发生了变化
首先,针对ERP系统的安全审计越来越重要。安全审计是对企业所使用的系统、程序及所实施的经营活动的安全性进行的一种正规检查和复核。在ERP系统中,由于会计事项由计算机按程序自动进行处理,发生在原有手工会计系统中的计算或过账错误的机会相应减少了。但如果ERP系统的应用程序出错或被人为纂改,则计算机只会按给定的程序以同样错误的方式处理有关的会计事项,错误的结果将十分严重。因此,在ERP环境下,审计内容更加广泛。其次,在ERP系统环境下企业各部门所依据的是同一数据库提供的信息,信息录入的某一环节出现错误,将会产生连锁反应。所以原始资料成为审计的重点。其内容包括经济业务本身的合法性和真实性、原始凭证录入工作的准确性。因此审计工作应由事后评价向事前防范转变,合规审计向风险审计转变。
(三)企业内部审计技术发生了变化
在手工会计条件下,对会计资料的审计一般采用审阅、核对、分析、比较和函证等方法。这些审查工作都是由人工执行的。在ERP系统环境下,由于大量的证据都存储在肉眼看不到的存储介质上,对这些证据,审计人员只能利用计算机技术进行取证。计算机辅助审计技术是必不可少、效率更高的审计技术。审计人员要对计算机管理系统的处理和控制功能进行审查。此项审计常要利用计算机辅助审计。此外,在ERP环境下,由于缺乏纸性的审计线索,审计人员不得不使用计算机跟踪电磁性的审计线索。离开了计算机,审计人员根本无账可查。利用计算机可以更快速、更有效地对电磁化的经济信息进行抽样、检查、核对、分析、比较和计算,能有效地提高审计效率、扩大审查范围、提高审计质量。
(四)企业内部审计人员素质要求发生了变化
实施ERP系统后,庞大的信息实现了高度集成与共享,加之ERP环境比传统会计系统更为复杂,审计对象也更广泛,内部审计只依靠原有的知识和技能无法胜任对ERP系统环境的审计工作。因此,内审人员除了要具有过硬的业务素质外,还应能理清ERP各个子系统数据的来龙去脉,掌握ERP系统的使用平台和网络环境,熟悉数据库技术,才能很好地理解企业的经营管理活动与系统的各项功能设置,才能全面地把握审计的总体情况并对内部控制进行有效的评价。
二、内部审计参与ERP管理的意义
实施ERP系统对企业内部审计工作的意义主要体现在以下几个方面:
(一)有效防范ERP系统带来的风险
ERP的实施能给企业带来信息和管理上的优势,但处理不好也可能给企业带来各种负面效应。如果内部审计部门能积极地参与到ERP实施的整个过程,既有利于项目的成功实施,也有利于内部审计工作的开展和深化。一般而言,ERP的实施会在很短的时间内变动工作程序、组织机构和应用技术,这样会给企业带来一定的风险,而擅长于风险方面管理的内部审计部门参与实施正好可以弥补这方面的缺陷。
(二)有助于决策者对ERP系统的相关决策
由于内部审计部门更了解企业经营状况,他们在风险和控制方面的专长可帮助决策者决定ERP系统是否合理以及哪个软件更合适,可以了解本企业ERP系统运行的特点和缺陷。从而帮助决策者及时发现问题,降低风险。如内部审计部门可以帮助询问有关风险方面的问题,关于或有事项、可供利用的资源、成本、新软件对经营过程的适合之处、内部审计的地位和控制等,而这些在ERP项目计划阶段都显得很重要。ERP系统中一般包括了许多内部设置的控制措施,但这些措施的实施都要发生成本,内部审计人员的适当参与可以考虑到每一项控制可达到什么样的目的,能否实现控制风险的目标。
(三)有助于设计未来的审计计划和程序
ERP系统的实施会影响内部审计部门将来的工作,如果内部审计部门积极地参与到实施的整个过程,就有助于设计未来的审计计划和程序。在系统初建时期留下充分的审计线索,便于以后追溯复验各项交易,内审人员可以借助计算机系统高速准确的特点及相关审计软件的专业优势,提高内部审计工作的及时性、隐蔽性和准确性。
(四)有助于各职能部门和各管理层受托责任的有效履行
随着现代企业治理结构的完善和内部管理的加强,内部受托责任将逐渐明确并呈现出多级化的趋势。在这种情况下,独立于职能部门之外的内部审计业务向非财务领域拓展,有助于各职能部门和各管理层次受托责任的有效履行,从而保持稳定的企业收益,达到企业整体受托责任的经营目标。
三、内部审计参与ERP管理的方式
要想更好的实施ERP系统,必须建立合法、有效、安全的企业计算机网络信息系统,要建立这样的信息管理系统,就需要内部审计极地参与到ERP的开发和实施过程中来。本文认为,内部审计工作可以在以下几个方面参与ERP的实施。
(一)对ERP系统的开发进行事前、事中的监督和审计
内部审计人员应以内部控制专家的身份参与ERP系统开发过程中的各项活动,在系统开发的各个阶段,专职审计人员要主动介入,着重审查:(1)系统的可行性;(2)系统经营业务和财会处理功能的正确性和合法性;(3)系统程序控制与管理功能的合理性与有效性;(4)系统的可审性(留下充分的审计线索);(5)系统测试的全面性和恰当性;(6)系统文档资料的完整性;(7)系统的可扩展性。通过事前与事中审计,尽早发现系统的问题,及时提出改进的建议,把好系统质量第一关;为审计人员今后对系统的处理和审计打下基础。
同时,内部审计人员还应及早参与到计算机系统的实施过程。审计人员可在系统分析阶段根据ERP环境下审计的特点,对此系统提出审计方面的需求:(1)在系统中建立监控程序(又叫嵌入审计程序),建立审计跟踪文件,以便计算机能对一些敏感和重要环节实行实时监控,把异常的情况自动记入审计文件,以便审计人员审查。(2)在系统中建立审计子系统,提供审计程序、审计工具和审计档案库,以便审计人员进行网上审计。随着ERP管理的实施,此项审计越来越重要。
(二)对计算机信息系统的功能与控制审计
在ERP环境下,手工条件下的账账核对、账证核对、账表核对等重要的审计工作在ERP环境下将失去意义。因为在计算机信息系统中,原始凭证、记账凭证、各种账簿、会计报表等只是系统中的同一个数据库,同一数据的共享是它的重要特征。这些会计信息的正确与否首先确定于计算机信息系统功能的正确性,因此有必要对系统的功能进行审计。对系统功能的审计目标包括:(1)审查验证系统对各项业务处理的合法性、正确性和可追索性。(2)审查系统程序控制功能的恰当性和有效性。因为系统的应用程序有被篡改而不留痕迹的特点,所以即使系统开发时进行过审计,但仍有必要对投入使用后的系统功能进行再审。审计人员可以用测试数据法、整体检测法、嵌入审计程序法等方法对系统功能进行审查。在ERP环境下,系统提供信息的可靠性除决定系统的功能外,还决定于系统的操作和内部控制。没有健全的内部控制,系统的程序和数据都可能随时被人篡改。ERP的应用,改进了企业的管理模式,但同时也增大了内部控制的风险,因此,审计人员应当以经营质量审计和风险审计为导向,密切关注企业内控制度中可能存在的控制漏洞,防止并及时发现和纠正各种欺诈、舞弊行为,保护企业财产完整。在ERP环境下,企业的内部控制包括程序化的控制和要求员工执行的管理制度。程序化的控制编写在系统应用程序中,可在系统功能审计中审查。无论网络化程度有多高,系统还得由人操作。为确保系统的安全可靠和系统输出信息的真实正确,必须对现有的企业管理制度进行完善。
(三)加强对原始数据的实质性审计
企业经营部门、财务部门对原始数据的录人关系到整个ERP系统数据库所反映信息的及时性、真实性和完整性。尽管先进的ERP系统管理模式的作用不言而喻,但再先进、再健全的系统如果离开人也就无法运行,如仓库验收人库材料时,运输部门与仓库计量人员串通一气,截留部分材料私自出售,并以虚假数据填制材料入库验收单。遇到此类情形,非实质性审计就不能及时发现漏洞,假如一味依赖于计算机系统而忽视实质性审计,计算机系统人为的舞弊就很难发现,审计也就失去其意义。为了控制这种人为地舞弊,确保信息的质量,作为熟悉企业内情和具有专业技能的内部审计人员应主动调整工作思路,责无旁贷地参与到事前决策中来,对尚未实施的经济事项进行事前审计,对其他部门实施的具体管理行为进行有效的事中控制,减少管理过程中弊端的发生,减少不必要的损失,主动地为管理层决策服务。
(四)创新计算机审计技术,大力开展联网审计
网络经营与网络财会为开展联网审计提供了前所未有的机遇。传统的审计模式一般都是事后审计。ERP系统的应用及企业信息使用者对实时信息的迫切需求,使得企业能够将财务报告发布时间缩至“零”天,真正体现高效性和及时性的实时在线连续审计应运而生。它可以实现审计工作的网络化、数字化、智能化,能够实现动态、远程的实时审计,帮助审计部门进行动态预审和预控,从而能及时发现问题、解决问题,达到控制审计风险的目的。利用审计软件可以进行远程取证、数据挖掘分析、结果判断、更多地关注电子实时系统内部控制活动的有效性。在取得在线审计的管理权限后,对网络环境下的ERP系统实施动态、实时的信息采集,对数据库信息进行模拟实验和数据挖掘分析,寻找业务之间的内在经济规律,并通过在线穿行测试了解交易流程,借助软件系统的嵌入审计程序对系统数据处理的一些敏感环节进行实时动态的监控,并就有关项目和相关客户数据库发出电子询证函,经对方确认后实现数据库之间的自动比较,根据审查结果编制电子工作底稿,缩短审计结论、审计报告的生成周期,实现了审计信息的实时追踪,这样可以快速、准确地发现问题,有效堵住漏洞,从源头上防范事故隐患。
(五)提高对审计人员的要求
要切实做好ERP环境下内部审计,必须提高内部审计队伍的整体素质,审计人员不能停留在已有的知识和经验上而固步自封、裹足不前。审计人员要注重知识的更新和知识面的扩展。内部审计人员必须是既懂ERP系统知识、又懂内部审计业务,能在ERP环境下独立开展内部审计业务的高素质的复合型人才。审计人员不仅要有会计、审计、经济、管理、法律等方面的知识,而且要掌握计算机、网络、信息系统、Intemet和电子商务等多方面的现代知识技能。审计人员要了解网络经营与网络财会的特点和风险,掌握应有的控制及其审计方法,同时还要主动参与开发或协助开发各种审计软件。随着电算化会计信息系统开发技术的不断提高和会计软件的改版升级,审计人员必须在:[作中及时学习新知识、掌握新技能、研究新问题、创造新方法,不断提高分析信息和利用信息的能力。由于ERP系统的高度集成和信息资源共享以及财会信息所具有的综合性,进一步提高内部审计人员分析与利用财务信息的能力,对于提升财务信息系统的决策支持能力具有重要意义。