浅析ERP环境下企业内部控制设计的规范—基于降低审计风险的视角
2015-07-16赵文华
赵文华
一、引言
一个企业应用ERP(enterprise resource planning)系统,无疑可以给会计工作带来很多简化,但也给内部控制带来了新的考验。我国越来越多的现代企业都在运用ERP系统对企业进行管理,既提高了管理效率,也为改善企业内部控制的现状提供了绝好的工具。但由于审计人员缺乏对信息系统的全面认识和理解,以及ERP系统本身带来的风险,思索企业中引入ERP系统带来的审计风险,既可以对审计人员提出新的思考点,也有益于内部控制建设的完善和规范。
二、ERP环境给审计和内部控制带来的风险
(一)ERP的引入对审计风险的影响
1.ERP系统对审计工作的影响
ERP环境下对企业进行审计时,对被审计单位数据的调取和查阅非常方便快捷,可以提高审计证据的独立性,提高分析处理的有效性,增强时效性。但也有弊端,最突出的体现为成本效益原则。ERP环境下的企业一般规模宏大、业务复杂、内控监控点细密,使审计工作量大;审计人员在开展审计时,需要更多的人力和资源成本,了解被审计单位的ERP系统,审计成本上升,计算机审计需要更多的信息技术咨询,审计质量也难以保证。我国ERP环境下的审计观念的不成熟,对审计中大量的职业判断带来了新的考验。
2.ERP系统下审计风险的新特点
审计风险由于ERP的引入,出现了新的特点,以下通过审计的三大风险加以说明:⑴固有风险和表现:固有风险是指假定不存在相关的内部控制时,账户或交易产生的漏报、错报风险。在ERP系统中,一旦用户非法侵入计算机系统的防火墙,就会给数据的安全带来巨大的威胁;而且操作失误、计算机故障、程序设计出错等,极容易引起手工账数据与电子数据不一致,增加了固有审计风险的可能性。⑵控制风险和表现:控制风险是指固有风险未能被内部控制防止、发现或纠正的风险。在ERP系统下,实际工作中为了节约成本,导致了有意或无意使设置权限密码、实现职责分工的约束机制失效。另外,软件本身的技术控制的不完善,对数据的一致性和共享性的集中,在实际中会增加新的控制风险。⑶检查风险和表现:检查风险是指账户或交易产生的漏报、错报,未被实质性测试发现的风险。这一点增加的风险表现最为明显。内部控制的电脑化,使得原来可以观察的内部控制测试变得不那么显然,审计人员对企业用计算机实现造假的手法难以识别,加大了审计的风险。
(二)对内部控制设计带来的影响
1.对软件流程再造的控制风险
企业购入的ERP系统,一般是通用的类型,在实际应用时,软件无法准确契合地适应个性化的企业组织结构、业务流程的要求。在对软件与企业需求进行融合时,内部控制设计也会出现更大的控制风险。此外,ERP系统带来的业务流程简化,会造成很多审批环节的缺失,隐含一定的内部控制制度不完善的风险。
2.软件是否提供了足够的控制技术
实际中开发的企业常常把大部分精力都放在了ERP应用软件的开发与实施上,而没有考虑足够的技术控制控件的开发和安装。从而导致应用ERP系统的单位缺乏足够的控制技术,如果非法利用计算机程序来破坏数据,对企业是巨大的损失。有效的控制技术能保证程序的正常运行;同时保证文件正确安装以及系统正确操作,能避免、检查和纠正操作环境中的问题。
三、ERP系统下完善内控建设与降低审计风险的措施
(一)对内控建设的建议
1.系统安全管理的内部控制
ERP系统的安全管理环节存在的主要风险点,包括自然原因或人为恶意操作可能造成的对信息系统硬件和软件的损害及由此导致的信息外泄等。除去一些必备常识如数据应及时备份等,建议如下:⑴人员的访问控制。企业应当合理设置权限,员工不能擅自对ERP系统进行修改,更换配置,对某些重要数据的访问也应当受到严格的限制。⑵建立账号审批制度。对计算机部门以及各业务单元使用ERP系统的人员,建立账号审批制度,对于新入员工或者离职员工的账号以及系统权限,应当及时修改或注销,确保企业信息系统的信息安全。
2.对岗位职责的内部控制
⑴明确人员之间的责任划分。首先,组织系统内部的权限设置未必明确,若存在重叠或空白会影响团队的合作。在企业实际的经营过程中,可能出现一些意外的事项。当这些事项出现时,应能做到问题的及时沟通与协商解决。这需要管理层要对ERP系统可能会给企业带来的风险予以重视以及内部审计人员的配合。⑵建立岗位的授权审批。管理层仍可采用原信息技术部门的人员来完成各人的授权分工与权限设置。要注意将IT部门负责授权的人员与各个业务操作部门分离开,防止其利用后门程序中饱私囊。⑶监督性审核和独立性审核。审计人员可以通过现场观察和询问,来审核监督性和独立性,在一定程度上防范因缺乏必要的职责分离所造成的管理层舞弊问题。
(二)降低审计风险的对策
1.降低审计固有风险的对策
固有风险依赖于系统的安全管理和运行。强化对系统的安全运行和维护,完善软件功能,完善数据录入技术,降低审计固有风险。如对财务数据进行加密,防止非法的篡改;审计人员及时备份,降低减少或消失审计线索的可能性。
2.降低控制风险的对策
控制措施包括制度控制和程序控制。审计人员可以观察被审计单位的约束机制是否失效。程序控制如是否实现了:分配设置责任区和操作权限和口令,经过授权的个人用户应定期修改自己的密码,严格控制跨责任区设置操作权限。制度控制如IT部门负责授权的人员与各个业务操作部门是否分离开等。
3.降低检查风险的对策
企业人员应主动与审计人员沟通,减少审计人员因为不了解该系统而产生误解;审计人员对ERP系统下的审计环境,要采取更为有效审计程序和审计方法。⑴审计程序应该具有针对性和科学性。⑵提高审计人员的计算机水平。
四、结语
ERP系统在提高会计信息质量、提高运行效率、方便信息沟通等方面发挥了重要作用。但是其在内部控制上也不是万能的。ERP环境下的内部控制建设并不够完善,审计人员在对企业进行审计时也面临了更大的审计风险。本文浅析了ERP环境下企业内部控制可以在制度上进行完善的两个方面,通过采取措施在一定程度上降低审计风险,提高企业内部控制的质量。ERP环境下内部控制制度设计的规范与发展是大势所趋,希望本文可以抛砖引玉。
[1]孙民.会计电算化环境下的审计风险与对策.财会研究,2012,9.