胡玲玲

ERP是企业资源规划Enterprise Resource Planning的缩写。它是由美国Garter Group咨询公司首先提出的，是当今国际上一个最先进的企业管理模式。ERP系统是指建立在信息技术基础上，以系统化的管理思想，为企业决策层及员工提供决策运行手段的管理平台。ERP系统集信息技术与先进管理思想于一身，成为现代企业的运行模式，反映时代对企业合理调配资源，最大化地创造社会财富的要求，成为企业在信息时代生存、发展的基石。它对于改善企业业务流程、提高企业核心竞争力具有显著作用。由于ERP系统在企业的经济活动中承载着几乎全部的关键业务，因此，如何确保ERP系统按照企业运营需求能够正常运转，成为众多企业非常关注的问题之一。一些企业已经把审计业务从财务延伸到了ERP，开始尝试对ERP系统进行审计。

一、对ERP系统进行审计的必要性

（一）企业内部审计环境的变化

首先，企业管理流程的优化使内部控制发生了变化。信息技术的应用使企业的内部经营管理发生了质的变化，企业所有的工作流程都按照面向客户、面向信息网络、面向软件应用的要求进行了重组，相当一部分的内部控制点已建立于系统的应用程序中，由计算机自动执行各种检验、核对、判断、监督以及对系统各功能实用的权限控制等；其次，传统的审计线索消失。在手工会计中，凭证、账簿等审计线索主要是反映在书面上的，审计人员可利用这些书面材料从原始凭证查起，通过对报表之间、报表与账簿之间会计数据的勾稽关系审查凭证账簿所反映的经济内容的合法性与业务处理的正确性。而实施ERP系统后，这些传统的审计线索可能会部分或完全消失。

（二）企业内部的审计内容与审计重点的变化

在ERP系统中，由于会计事项由计算机按程序自动进行处理，发生在原有手工会计系统中的计算或过账错误的机会相应减少了。但如果ERP系统的应用程序出错或被人为纂改，则计算机只会按给定的程序以同样错误的方式处理有关的会计事项，错误的结果将十分严重。因此，在ERP环境下，审计内容更加广泛。审计人员既要对计算机管理信息系统的处理和控制功能进行审查，以证实其处理的合法性、正确性、完整性和安全性，又要参与ERP系统的设计和开发，以免ERP系统在企业投入使用后，再改进时付出更昂贵的代价。

（三）企业内部风险管理审计的变化

对风险管理的审查和评价是企业内部审计的基本内容之一。ERP环境下企业的风险管理审计将显得更为重要。一方面，在ERP环境下，舞弊和失误均由原来的手工操作变成了由机器和系统程序来完成，不留任何纸面痕迹，从而使风险更加隐蔽、层次更高、内涵更深，风险识别、评估和应对的难度更大；另一方面，企业实施ERP以后，ERP已成为企业的生命线，风险可能造成的损失将更加巨大。企业为了防范和降低风险，必须加大风险管理的审计力度。

二、对ERP系统进行审计的内容

（—）对系统业务流程的审计

ERP环境下所用数据都是从各业务环节开始，财务与生产、采购、销售、库存等环节紧密相连，环环相扣。如ERP系统中的销售部分，销售是从订立销售合同开始，在实际开销售发票和提货出库时，系统都自动进行账务处理，自动生成记账凭证传到财务部分，财务人员可以通过操作由系统进行自动审核、记账，也可以进行人工审核。ERP系统使用一个数据库，二者同一数据源，因此这就对原始数据准确性、完整性提出了要求。在审计中，我们进行该工作的目的除为了检查由于工作失误所造成的原始数据的不准确，还包括检查是否存在由于舞弊所造成的原始数据的不真实，从而从源头上控制错误和舞弊的发生。审计内容大体包括以下几个方面：

1.业务处理的全面性：应该在系统中运行的业务是否全部通过系统运行；

2.信息录入的及时性和准确性；

3.系统运行的可靠性：是否存在系统错误；流程处理是否通畅，有无缺陷或舞弊的可能，能否进行进一步的优化；系统识别、评价和应对流程风险的效果如何等。

（二）对关键控制点的内部审计

ERP系统是由多个模块高度集成起来的，每一模块都有相应的关键控制点，对企业的生产经营起着至关重要的作用。如销售结算中的定价控制点，是根据发货时间来自动划价的，倘若公司某天调整销售价格，而发货时间控制不严，公司的效益损失也将非常巨大，而且很难发现。因此，对关键控制点的风险管理审计应作为审计的重点。审计时要主要关注以下问题：

1.是否对关键控制点进行了识别，识别是否全面；

2.是否建立了关键控制点的风险评价体系；

3.是否建立了关键控制点的预警机制和应对机制；

4.关键控制点的识别、评价、预警和应对机制的适应性和有效性如何；控制方法和手段是否可进一步优化；有无控制不严或失控的现象和可能等。

（三）对ERP系统监控的内部审计

ERP系统应用于企业的优点之一就是对业务和绩效能够进行动态监控。ERP系统的监控功能，本身就是一种控制，运用得好，可以极大地降低风险；可一旦运用得不好，流程上的控制点就会失去控制，风险也就会随之加大。因此，我们有必要对系统监控的风险管理进行审计，审计和评价企业及其下属单位是否利用ERP系统进行了业务和绩效的动态监控、监控点及其风险如何识别和评价、监控的权威及其效果如何、发现问题的处理方式以及应对风险的效果如何、有无监控盲区或监控不利的区域、监控结果的利用情况如何等。

（四）对风险管理机制的审计

ERP系统是一个巨大的系统，必须建立严密的风险管理机制。对ERP系统下的审计，首先必须对风险管理机制进行审计，审查企业及其下属单位是否建立了风险管理机制，风险识别、评价和应对机制的适应性和有效性如何，实际运行情况怎样，是否有利于企业管理的持续改善等。在审计中，我们还应当专门对业务流程、关键控制点、系统监控等方面的风险管理机制进行重点审计。

（五）对系统的审计

从系统本身来说，无论是硬件还是软件，都有产生故障的可能，预见功能的完备与否也是系统运行的风险之一，ERP系统与其它系统的连接则是影响系统运行的关键因素。要保证ERP系统的正常运行，降低经营风险，对ERP系统以及与其相联接的其它信息系统的风险管理与审计也是必不可少的，这包括对系统的开发与设计、软件的程序、系统的控制、功能的划分、硬件的架构、备份模式及效果、故障处理方案及风险应对措施、系统风险识别与评价体系等进行审计。

（六）对系统人员的审计

任何系统都是通过人来操作和维护的，尤其是关键控制点和系统监控岗位上的人员以及关键的系统维护人员，他们掌握者整个系统的命脉。由此可见，对相关系统人员的风险管理与审计也就显得相当重要。

1.审查和评价系统人员是否经过培训并取得相应资格，是否有识别和应对本岗位风险的能力，在本岗位控制和风险管理的实际效果如何等；

2.审查和评价企业及其下属单位是否建立了相应的人才风险管理机制，识别、评价以及应对人才风险的措施和效果如何；同时，我们还要在对领导干部的经济责任审计中增加对系统控制和风险管理等方面的审计内容，对关键控制点和系统监控岗位上的人员以及关键的系统维护人员可以实行系统责任审计，以促进领导干部及相应系统人员增强ERP系统的风险意识和责任。