吴红香

【摘 要】 ERP系统是企业资源计划 （Enterprise Resource Planning） 的简称，是指建立在信息技术基础上，集信息技术与先进管理思想于一身，以系统化的管理思想，为企业员工及决策层提供决策手段的管理平台。它对于改善企业业务流程、提高企业核心竞争力具有显著作用。很多企业已实现了ERP系统信息在生产环节、采购管理、存货控制、销售管理的全过程业务覆盖。针对审计工作而言， ERP信息系统数据的准确性、及时性、全面性，为开展大数据审计创造了条件，拓宽了审计的信息量和获取信息的渠道，加上审计的系统思考，使审计证据更说服力，审计发现更加精准，审计效率更高。同时，在审计实践中，我们也发现，ERP信息系统的使用给企业管理引进了新的风险。如何识别风险，为决策者提供有价值的、系统性的管理建议，成为未来审计工作的重点。

【关键词】 ERP系统 审计 方法

一、ERP信息系统最大特点是高度地整合了整个企业的信息，信息的高度集成，给企业引入较高的风险：一是ERP信息系统固化的模块与业务多样性之间的矛盾，导致系统性的基础数据无效或信息滞后，造成ERP信息脱离实际业务，导致决策失误。二是企业信息泄密。据分析，企业内部员工的笔记本电脑以及其他移动存储设备导致数据泄露，由此造成的数据安全事故高达78%;三是计算机病毒的入侵和“黑客”对系统的故意破坏;四是用户授权不合理，造成不相容职责未分离，加大了舞弊的风险性和隐蔽性;五是员工培训不到位，造成人为的、连续性的数据错误等等。上述因素都可能使审计难度加大，审计风险提高，审计人员只有通过扩大审计范围、增加其他测试程序等措施，才能将审计风险控制在可以接受的范围内。下面，笔者通过审计案例，分析、总结ERP信息下开展的审计工作，以供读者参考。

二、审计案例分析

1、ERP信息系统基本情况介绍

某集团为农副产品加工企业，旗下的子公司均通过ERP信息系统收购原料，原料成本占加工成本的60%至70%，原料成本的控制成为该集团管理工作中的重中之重。该公司ERP信息系统包括原料收购合同模块、IC卡排队模块、质检模块、原料过磅模块、原料款结算模块等管理集成模块。针对原料收购价格的设置和调整这一关键控制环节，设置了总经理审批控制流程，及总经理、财务经理、IT部经理三级口令系统，只有总经理、财务经理、IT部经理输入的密码均正确无误，系统管理员才可以设置和调整原料收购价格。

2、审计重点分析

对此，审计人员通过访谈，初步了解原料收购系统的运行维护、操作、数据备份情况及新系统的开发情况、收购信息系统的适用性，同时扩大审计范围，走访农户和管理层，了解原料种植情况、收购政策、原料收购期的管理规定。根据预审收集的资料，确定了审计的重点。首先，重点审计ERP系统的安全性。对企业所使用的系统、程序及所实施的经营活动的安全性进行全面的检查和复核，检查经授权访问原料收购系统的人员的原始记录，确保只有经授权人员才能访问。其次，审计合同信息录入、过磅数据的采集，尤其是作废磅单，核实作废的磅单是否结算原料款，抽取合同样本，核对合同记载的原料交售方、品种是否与原料收购系统的信息一致，防止由于原始资料不真实、不正确导致产生的报表信息、付款信息等连锁反应。最后，查阅信息系统后台记录，审核是否存在舞弊风险及可能性。通过查阅记录、穿行性测试、访谈等方式以确认内控制度建立及执行的有效性。

3、审计发现问题

（1）以虚拟合同、虚假过磅单，套取原料款。

审计人员审核过磅单时发现，重磅、轻磅由同一人操作，继续追踪至收购合同发现，合同内容不真实，交售方及收款方均为内部员工。

（2）违规修改管理系统数据，

修改ERP信息系统中的原料收购磅单的信息未经审核，或者先修改，后补审批手续。

（3）员工离开工位未及时锁屏，存在被盗取计算机数据的风险，严重的会泄露公司机密。

（4）未建立异地灾备中心。备份数据异地保存可增加数据安全性，未做备份数据异地保存可能导致在物理灾难发生时，备份数据全部损坏使系统无法恢复。

（5）防鼠装置过于老旧，机房内有杂物堆放;未定期获取检查门禁记录。防鼠装置过于老旧，无法有效发挥其作用，若有老鼠啃咬电线，机房的数据安全性降低将收到极大威胁;机房堆积杂物容易引起火灾;未定期查看门禁记录，发生异常出入机房难以及时察觉。

（6）未制定灾难恢复计划，可能导致灾难发生时无及时的应对措施，对业务连续性产生影响。

（7）表日志未启用，无法记录对重要的数据参数表的修改的历史记录，出现问题难以追溯。

（8）账号申请、变更流程与管理制度的不一致不利于用户账号和权限的管理，增加公司对用户账号的管控难度。

三、ERP信息系统审计的思考

企业在实施ERP系统以后，由于内部控制环境、审计对象、審计线索等发生了重大变化，传统的纸质的文字记录消失了，取而代之的是存有电子数据处理信息的硬盘、软盘等，这要求审计人员仅要有扎实的审计理论和丰富的审计实践还要学习基本的信息化管理知识，才能对ERP系统的可靠性、安全性和效率性进行评价，才能在新形势下开展审计工作，履行审计职责;同时，要从顶层设计的角度出发，评估企业经营机制、组织架构的设置、权力的分配、责任的划分等方面的合规性和有效性，防止系统性风险的发生。

四、总结

习近平总书记在中央审计委员会第一次会议讲话中强调，“要坚持科技强审，加强审计信息化建设。” 审计署也提出，“向信息化要效率，向大数据要资源，走科技强审之路”。 创新审计理念是引领审计发展的第一动力。信息技术的发展对国家审计、内部审计和注册会计师审计具有重要影响，随着被审计单位在会计核算、财务管理、业务运营、行政管理等方面的信息化水平不断提高，迫使审计自身提高信息化水平，创新技术方法;同时，被审计单位信息化水平的提高，为审计人员主动创新技术方法，开展大数据审计创造了条件。