ERP作为当今国际上一种先进的企业管理模式,它通过把企业的物流、资金流、信息流统一起来进行管理,以求最大限度地利用企业现有资源,实现企业经济效益的最大化,从而,在很大程度上改变了公司控制和企业管理的方法,这种改变对企业管理和内部审计工作提出了新的挑战,传统的内部审计方法已经不能适应这种要求,有必要建立一套新的内部审计方法和体系。 一、ERP系统应用后企业管理方式的变化 ERP系统的数据集成性和实时性等特点导致企业管理方式发生了很大变化,主要体现在以下几个方面: (一)改变了公司的业务流程。公司所有的业务流程都按照面向客户、面向信息网络、面向软件应用的要求进行了重组,相当一部分的内部控制点已建立于系统的应用程序中,由计算机自动执行各种检验、核对、判断、监督以及对系统各功能使用的权限控制等。 (二)改变了审计线索。在手工会计中,凭证、账簿等审计线索主要是反映在书面上,在ERP系统中,会计信息以电子表格的形式保存,传统的审计线索可能会部分或全部消失,审计人员无法通过这些书面记录加以审计,舞弊和失误均由原来的手工操作变成了机器和系统程序操作,不留纸质的记录。 (三)ERP系统成为管理的双刃剑。ERP系统可以根据确认的经济业务自动生成凭证,但人为的介入,如对上述程序的修改,也可能不会留下任何痕迹,另外,ERP系统本身设置的可修改性、多功能性(如反过账、反审核、反结账等)为企业财务提供方便的同时,也存在一定的隐患,加大了审计的难度。 (四)在ERP系统环境中,缩短了信息审核时间。在对企业经营造成重大影响之前,很难发现错误或舞弊行为。 (五)审核、控制的程序和途径发生了变化。ERP应用前,内部控制主要通过相关人员的职责分离互相牵制,由人工完成各种检验、核对、判断等工作。应用ERP后,相当一部分内部控制建立于系统的应用程序中,由系统自动执行各种检验、核对、判断、监控等,其交易授权和职责划分发生了变化。 二、ERP系统应用对内部审计工作的影响 (一)ERP系统应用给内部审计工作带来的新机遇 1.有利于获取更加广泛的审计信息。在ERP环境下,审计工作具有数据集成、信息实时、信息量大的特点。信息广泛、及时以及数据集成的特性,使审计范围、审计对象较传统审计有很大扩展,更容易获取各种需要的审计数据。同时信息的实时在线监控,能够有效实现审计监督关口的前移。 2.为内部审计转型提供了新的有利条件。风险型审计以风险为出发点,以风险为落脚点,风险审计全过程都需要信息支撑,ERP平台为风险审计提供了整合的信息,有助于快速评估风险、快速确定风险点,为内部审计工作向风险型、绩效型审计转变提供了平台和条件。 3.为内部审计成果的增值应用提供了新的手段。信息高度集成有助于进行广度、深度审计分析,特别是对风险活动进行对比分析、因素分析、趋势分析,以及对多个审计项目成果进行综合分析,便于更加深入分析发现的问题,提高审计成果的有用性和增值能力。 (二)ERP系统的应用给内部审计工作带来的新挑战 1.ERP环境下,传统的审计链条不复存在,需要重新建立。如在传统会计记录中,审计内容包括会计凭证、会计账簿、会计报表等会计资料,每一笔交易都有一个完整的审计链条,审计人员根据这些资料来检查会计信息是否正确、会计处理方法和会计政策是否一致。但在ERP环境下,账务处理只需录入原始数据,中间会计处理过程全部由计算机系统自动完成,直至生成明细账、总账和财务报表,传统的审计线索中断甚至消失,需要重新确立审计思路。 2.ERP环境下,业务的关联性更强,审计内容更复杂。由于企业实行了ERP,各项业务数据处理由程序自动完成,某些在传统方式下需要人工签字审核的环节被程序代替,一旦这些应用程序被人非法篡改,嵌入非法程序,由于计算机只会按照既定程序处理,很可能造成巨大损失,因此,各项业务的关联性更强,审计内容更为复杂。 3.ERP环境下,内部控制系统变得关联度更高,控制更复杂。在传统手工会计中,内部控制的测试是看得见、摸得着的。而在实施了ERP系统后,绝大部分的控制措施都将以程序的方式自动的建立在相关系统之中,而系统的内控功能是否恰当有效,数据关联关系是否合理正确,将直接影响到系统输出数据的真实和准确,内部控制系统变得关联度更高,控制更复杂。 4.ERP环境下进行业务数据取证难度更大。在实施了ERP系统后,要求做到数据的实时处理,并及时的反馈给相关管理人员,为保证企业正常运转,必须让系统一直处于运行状态,一旦中断,必将影响企业生产经营活动。审计人员要在被审计单位信息系统持续运行的同时,进行业务数据取证,完成审计任务,其难度可想而知。 5.传统的审计方法不能适应ERP环境的要求。ERP系统上线后,经营活动与信息流相伴而生,经营活动的风险点与过去手工处理的方式发生了很多变化,因此风险评估范围、风险评估对象也相应会发生变化,加之很多风险隐藏在ERP系统之中,必须借助信息技术读取其中的重点环节、重要控制才能够进行评估。 在信息集成的环境里,业务活动数据相互传递依赖于计算机实现,信息系统本身设计的科学性、完整性和安全性审计成为必要,对信息系统进行审计必然需要与传统业务审计不同的方法,如审查系统的应急计划和灾难恢复等。