李岩冰

(赤峰电业局 审计部，内蒙古 赤峰024000)

1 ERP业务审计系统简介

国家电网ERP业务审计系统全面覆盖财务、物资、项目、设备、人资、信息系统业务审计，该系统与成熟套装软件紧密集成，所有业务数据、文件均来源于成熟套装软件。通过该系统的建设，基本实现审计人员在高度集成的信息化环境下对财务、物资、项目、设备、人资等业务开展审计工作的需求。ERP业务审计包括：经营业务内容审计、风险点分析、风险点内控审计、内部控制审计及审计抽样工具等。

2 开展ERP业务审计的意义

ERP业务审计的开展一方面丰富了传统审计技术的手段，同时对审计各个阶段的工作内容也发生了变化，甚至对审计程序、审计方式都产生了重要影响。例如，从技术手段上看，通过各功能模块的综合查询分析，实现对财务、项目、物资、设备和人资等业务数据信息的智能穿透查询与智能分析，审计人员可方便快捷地完成大量数据的检查、分析和复核，有效提高审计工作效率，降低审计成本。

建设完成的ERP业务审计系统全面覆盖财务、物资、项目、设备、人资等业务，将极大提高计算机辅助审计的全面性，降低审计工作的技术门槛和操作难度，将审计监督和管理的关口前移，实现离线审计向在线审计、事后审计向实时审计转变。

3 ERP业务审计程序

3.1 审计计划阶段

计划阶段是整个审计过程的起点。在此阶段主要是初步调查被审计单位ERP业务审计的基本状况，明确审计任务，必要时组成审计小组，并拟定科学合理的计划。

一般包括以下主要工作：

3.1.1 调查了解被审计单位会计信息系统的基本情况，如ERP业务审计的硬件配置，ERP业务应用的范围，网络结构，系统的管理结构和职能分工等。

3.1.2 与被审计单位签订审计业务约定书，明确彼此的责任、权利和义务。

3.1.3 初步评价被审计单位的内部控制制度，以便确定符合性测试的范围和重点。

3.1.4 确定审计重要性、确定审计范围。

3.1.5 分析审计风险。

3.1.6 制定审计计划。在审计计划中除了对时间、人员、工作步骤及任务分配等方面做出安排以外，还要合理确定符合性测试、实质性测试的时间和范围，以及测试时的审计方法和测试数据。

3.2 审计实施阶段

实施阶段是审计工作的核心，也是ERP业务审计的核心。主要工作是根据准备阶段确定的范围、要点、步骤、方法，进行取证、评价，综合审计证据，借以形成审计结论，发表审计意见。

3.3 审计报告阶段

4 ERP业务审计应用及风险应对

信息化环境下的审计目标不再是单一的对财务报表发表意见，而是呈多元化趋势，既包括常规的财务报表合法性和公允性审计，又需要对信息系统的安全性和可靠性进行论证，多重的审计目标对内部审计工作提出了更高的要求。审计人员应结合新审计准则，根据企业使用的审计信息化平台采用适合的审计方法和技术，有效降低审计风险。

内部审计工作主要分为审前调查。现场实施、审计报告、后续管理四个阶段，每个阶段因为业务工作方式的不同会产生不同的审计风险，应对措施也将不尽相同。

4.1 审前调查阶段的风险应对

4.1.1 合理配备审计人员

信息化环境下的审计项目，要求具有多元化知识的审计人员，不仅要精通会计、审计，还要具备较多的计算机方面的知识与技能。如果审计人员不能熟练掌握必要的信息化、数据库及网络知识，审计过程中就不能根据数据信息迅速、准确地判断是非，就不能利用获取的数据来发现问题和线索，最终导致审计结果与事实不相符而发表不恰当审计意见，直接影响了审计质量。为此，审前应当合理配备审计人员，组成审计组，确保其在整体上具备与审计项目相适应的职业胜任能力。

4.1.2 对被审计单位信息化基本情况进行调查

在信息化环境下进行审计时，首先要取得被审单位的支持与配台，对信息系统进行充分细致的审前调查，收集、学习、理解相关政策法规资料，深入了解被审计单位内控制度的完善程度，了解审计对象信息系统的硬件与存储的配置状况，以有利于审计各阶段工作的顺利开展，降低审计风险。

4.1.3 编制详细的审计方案

根据审前调查的结果，审计组负责人应编制详细审计方案，对任务进行合理分工，明确各成员的责任。在方案中还应明确审计底稿的三级复核制度，以降低审计风险。

4.2 现场实施过程中的风险应对

4.2.1 数据真实性、完整性和准确性验证

对收集到的尤其是从信息化系统中取得的数据和资料，审计人员一定要核对其真实性、完整性和准确性，必要时还可以索取配审计单位纸质资料进行核对，尽可能判断出有无蓄意对数据进行增加、删除、篡改的操作，有无遗漏、隐瞒数据等情况，避免到审计中后期才发现数据不正确，影响审计进度；如果是业务数据，还要检查记录总数和记录中的日期是否有缺失，同时在了解被审计单位主要业务的基础上检查是否缺少某些数据表，整个业务流是否有断点等。

4.2.2 信息数据的全面分析和复核

被审计单位存在的问题能不能被发现，发现的问题是不是真实存在，很多时候都有赖于审计人员在数据分析中予以发现或证实。审计人员可以采取检查、观察、询问、重新计算、分析性复核等方法对从被审计单位取得的信息数据进行核对，以确认各项资料的真实和准确性。

4.2.3 内控制度执行情况检查

审计人员可以从多个方面调查了解被审计单位相关内部控制及其执行情况：一是控制环境，包括管理模式、组织结构、责权配置、人力资源制度等；二是风险评估，包括被审计单位确定、分析与实现内部控制目标相关的风险，以及采取的应对措施；三是控制活动，即根据风险评估结果采取的控制措施，包括不相容职务分离控制、授权审批控制、资产保护控制、预算控制、业绩分析和绩效考评控制等；四是信息与沟通，包括收集、处理、传递与内部控制相关的信息，并能有效沟通的情况；五是对控制的监督，包括对各项内部控制设计、职责及其履行情况的监督检查。

4.3 审计报告阶段的风险应对

4.3.1 严格执行审计底稿“三级”复核制度

为了保证审计工作底稿的真实、完整和可靠，应对审计工作底稿建立严格的“三级”复核制度。

4.3.2 编制审计报告

根据经过“三级”复核的审计工作底稿，以及相关业务统计数据、审计结果，分析经营、管理方面存在的不足，编写审计报告初稿，并与被审计单位进行必要的沟通，在出具审计报告中提出

4.4 后续管理阶段风险应对

切实可行的管理建议，降低审计风险。

审计人员获取的被审计单位的数据经常涉及相关工作秘密或商业秘密的，审计组应负有保管和保密义务，从被审单位采集的各类电子数据及技术资料，以及在审计过程中形成或取得的资料、数据、文件，未经批准，不得向外泄露或向其他人提供。审计结束，各种数据文档等，属归档范围的应及时整理归档，不属归档范围的应定期销毁，切实消除各种不安全隐患，避免给审计人员和被审单位带来不可弥补的损失。降低审计风险。高审计效率，降低审计风险。

随着审计信息系统的大规模网络化建设，审计人员不得不面对被审计单位越来越复杂的信息系统。从长远看，内部审计人员应是兼具多种知识的复合型人员，这些人才的获得可以通过培养现有的审计人员，补充和丰富其技术方面的知识来得到；也可以由技术人员充实管理知识后获得。新的形势对审计人员提出了更高的要求，适应挑战的人才能长久的发展下去。

［1］李金华.审计理论研究[M].中国时代经济出版社.

［2］董大胜.审计技术方法[M].中国时代经济出版社.