从用友ERP视角看系统信息技术对审计的影响和对策
2017-10-19施之果
施之果
摘要:我国会计电算化发展至今已进入了ERP系统阶段,在提高工作效率,整合企业信息资源之外,对审计对象、审计标准、审计技术及审计人员方面都产生了巨大的影响,当代审计如何在信息化的环境下降低审计风险,达到审计目标,是当务之急。
关键词:会计电算化 审计技术 影响 对策
会计电算化是计算机技术和现代会计相结合的产物。会计电算化是将以电子计算机为主的电子信息技术在会计业务处理工作中的应用,利用电子计算机可以完成记账、算账、保障,还可以完成对会计信息的分析、预测和决策。而ERP系统将是我国电算化发展的趋势,ERP系统将不同模块间的数据传递形成了一个供应链,供应链上各个环节的信息高度集成,实时反映企业的运营状况,为管理决策提供及时准确的信息。它不仅反映货币计量信息,而且反映非货币信息;不仅强调信息的可靠性,而且强调信息的相关性和及时性;体现了先进的财务会计、管理会计、成本会计思想,能够满足信息使用者多样化的信息需求。
ERP系统的应用与普及使会计工作的工作流程、储存介质、内部控制、存取方式上发生了巨大的变化,提高了会计数据处理的准确性和会计信息提供的及时性,一方面把财务人员从繁冗沉重的工作中解放出来,另一方面对财务人员在财务分析、预算决算、决策上提出了更高的要求。会计电算化在对会计工作进行改革的同时,也对审计工作造成了极大的影响。
一、ERP系统对审计的影响
(一)ERP系统对审计风险的影响。审计风险=控制风险*固有风险*检查风险,ERP系统环境下,传统的会计岗位职责被打破,层层审批的委托授权制度也在某种程度下被取代,财务数据的安全不仅受到内部控制制度及执行的影响,而且极易受到外部环境的威胁。以数据库为基础的实时审计发展使审计风险中包含的固有风险、控制风险、检查风险日益复杂化。由于会计数据处理的电算化,在计算机辅助系统的自动控制下,控制风险虽然在某种程度上得到减小,但由于自动化控制的固有局限,控制风险只有在简单、重复的交易与事项处理中才能略有减小;而检查风险在信息化环境下已高速增长,会计资料的输入与存储在局域网,会计被非法修改和窃取的可能性增加了,会计信息被他人非法拷贝和篡改、会计数据在传输过程中被竞争对手截取和恶意修改等使得会计数据的安全、完整性控制难以保证;同时,计算机软件本身也存在问题,每个公司的核算都有自己的特点,但是使用的都是市场上出售的通用型软件,通过初始化将其改变成为适合本公司使用的软件。软件本身就存在着或多或少的漏洞,即便是用友这样技术纯熟的大公司也只能通过升级填补漏洞,这样就给了懂得信息技术的黑客有乘之机。另外在ERP系统条件,会计资料是存储在磁性介质上的,修改起来不留痕迹,造成舞弊行为较难发现,从而增加了审计人员的检查风险。
(二)会计电算化对审计范围的影响。与传统的手工账务系统相比,电算化条件下信息处理的方式和流程发生了变化,是会计工作机制发生了质的变化。两种条件下,会计信息处理工作流程如下:
传统手工帐流程:原始凭证——财务审核——制单——分工分别登记日记账明细账——试算平衡——编制报表
会计信息化流程:原始凭证——授权审批——财务审核——制单——机内对账审核——报表输出
从以上工作流程可以看出,手工会计条件下,其內部控制实通过人员分工控制和账簿控制来实现的。首先依据不相容岗位分离这一原则,设立各种会计岗位,制定各级财务审批制度,不同人员限制在特定的工作区域以内,各级主管依制度实行严密监察。其次,企业通过账实核对,账账核对,分别记录,互为验证来保证记账的正确性。最后,手工条件下审计证据非常容易得到,审计人员可以凭纸质证据追溯到任何出错的会计核算环节,具体到某个人的责任。
在ERP系统中,会计信息的处理和存贮高度集中于计算机,授权的约束弱化,人员之间的牵制力下降。在ERP系统中,记账凭证试算平衡后直接生成明细账和总账,账和凭证的区别不过是数据排列方式的改变而已,也就是说不存在帐证不符的问题,账实核对、账账核对已经名存实亡。
现代审计是以评价内部控制度为基础的抽样审计,即审计人员把对被审单位内部控制的审查和评价作为制定审计方案和决定抽查范围的依据。企业内部控制制度越不健全,执行的有效性越弱,审计人员就需要扩大审计范围,抽取等多审计证据,会计信息化对传统审计在审计范围上有了更高的要求。
二、在ERP系统进行审计的对策
由于会计电算化对传统的会计理论和实务产生了重大影响,也必然对传统的审计产生了很大的影响,传统的手工审计已不能适应电算化的要求,即会计电算化给审计提出了许多新问题、新要求。因此,开展对会计电算化系统的审计并提出有效的对策是新形势下的首要任务。
(一)测试内部控制制度以防范控制风险。控制风险为原始凭证的形成和授权、数据输入、程序与数据库的修改、输出信息的使用和分配等出现错误或人为侵害的可能性。以内部控制制度为基础的审计观认为:只有内部控制制度可信时,审计风险才能确认为较低水平,才能减少实质性测试的内容和程序,否则就宜采取替代的测试方法,进一步扩大测试的范围。
因此,在对电算化会计系统进行审计时首先要对内部控制进行符合性测试,对会计电算化系统内部控制制度的审核和评价应从程序控制和制度控制两方面的测试与评价进行。随着信息技术的发展,以及ERP研发公司的规范,ERP系统因为漏洞所造成的程序控制失效越来越少,本文着重于探讨从制度上测试和评价其有效性,具体从原始凭证的形成和授权、数据输入、程序与数据库的修改、输出信息的使用和分配方面来考察。
1.从输出信息的使用和分配来看,考察被审计单位是否建立了用户控制系统,防止非法用户接触会计档案。会计档案的存档、借阅、存储是否有合理的制度,如:存档的手续必须有会计主管和系统管理员的签章才能存档;只有得到会计主管书面批准的会计人员才能查阅会计资料,并且磁介质类会计资料存储物只能借阅,不得借出;利用磁性介质保存的会计资料需要定期检查,定期复制,防止消磁丢失。2.从程序与数据库的修改来看,考察被审计单位是否建立了操作日志管理制度。建立了加密操作日志管理的系统中,任何程序与数据库的修改都能留下轨迹,为审计人员留下审计证据。以用友ERP系统为例,为了便于财务人员开展工作,该系统支持反结账、撤销记账、凭证作废功能,但这些功能都有可能增加伪造财务记录、财务证据的风险,加密操作日志可以监控记录该操作,可被抽检证明被审计单位内部控制的有效性。3.从数据输入来看,ERP系统有输入无效,输出无效的特征,在内部控制测试中数据输入的有效测试时关键的一步。防止已输入计算机的原始数据和记账凭证等会计数据未经审核直接登记机内账簿,审计人员可以随机抽取一笔业务,在北极单位的ERP系统中试做,观察是否需要录入、审核、出纳签字、记账等不相容岗,这些岗位是否设置相应密码,密码是否不同,密码是否为不同岗位人员所共知,谁有设置修改密码的权限来测试数据输入的有效性。
(二)完善电算化审计标准与准则。虽然计算机审计并不改变审计的目标和原则,但是由于在ERP系统下审计线索、审计证据、审计对象、审计技术方法发生了重大变化,使审计准则出现了一定程度的断层或空白,需要建立相应的审计准则和审计标准。建议吸收西方发达国家网络会计下的审计经验,在审计标准上重视对被审计单位的内部控制制度及其有效性的测试,提高对ERP系统的程序控制有效性和可靠性的重要性水平,提高ERP系统下的制度控制的重要性水平。
(三)培养复合型审计人员的同时善用专家工作。传统手工审计下,从事审计工作的多为掌握丰富会计知识和审计方法的专业人员,但ERP信息技术对审计人员的知识体系提出了新的标准:不仅要求审计人员具备合理存疑精神,熟练掌握运用审计准则和会计准则,对关键业务环节可能出现的舞弊了然于心,熟练运用实质性程序查错揭弊。还要求审计人员对ERP各子模块的工作流程以及子模块与总账模块之间的数据交互有清晰地了解,能运用基本的计算机技术调出查看日志,能配合利用数据工程师的工作。同时,审计人员毕竟是审计领域的专业人员,培养成网络安全工程师是不现实的也是不经济的,因此应当扩充审计队伍,善用系统工程师、数据库工程师等专家人员的工作,由这类专家来甄别电子审计证据的真伪,数据库是否遭到删改等专业难题。endprint