梁建锐
中国石化借助ERP网络化的管理平台,把内控职责和岗位授权e化在ERP系统中,形成了规范的“线上”内控体系,对生产、销售等经营业务实施了精细化管理,实现了物流、资金流、信息流的三流合一,同时给内部审计带来很大挑战。
一是对内部审计环境的影响。信息技术的应用使中国石化的内部经营管理发生了质的变化,企业所有的工作流程都按照面向客户、面向信息网络、面向软件应用的要求进行了重组,一部分内部控制点已建立于系统的应用程序中,由计算机自动执行各种检验、核对、判断、监督以及对系统各功能实用的权限控制等。ERP环境下的审计线索不能满足传统审计的需要。在手工会计中,会计凭证、会计账簿、会计报表等审计线索主要是反映在书面上的,每笔业务都有一个完整的审计线索。审计人员可利用这些书面材料从原始凭证查起,通过对报表之间、报表与账簿之间会计数据的钩稽关系,审查凭证账簿所反映的经济内容的合法性与业务处理的正确性。而在ERP环境下,会计人员只需录入原始数据,中间会计处理由计算机按程序自动完成,就能自动生成财务报表、总账、明细账,传统的审计线索中断消失,取而代之的是存有电子数据处理信息的硬盘、软盘等,审计中即使发现可疑现象,对其进行审计也比较困难。
二是对内部审计内容与审计重点的影响。针对ERP系统的计算机审计越来越重要,尤其是对计算机的安全审计。在ERP系统中,由于会计事项由计算机按程序自动进行处理,发生在原有手工会计系统中的计算或过账错误的机会相应减少了。但如果ERP系统的应用程序出错或被人为篡改,则计算机只会按指定的程序以同样错误的方式处理有关的会计事项,增加了嵌入非法程序的风险,由此造成国有资产不明流失等严重问题,后果将十分严重。因此,在ERP环境下,审计内容更加广泛,无形中加大了审计的工作难度。ERP系统环境下企业各部门所依据的是同一数据库提供的信息,信息录入的某一环节出现错误,将会产生连锁反应。所以原始资料成为审计的重点。审计工作应由事后评价向事前防范转变,合规审计向风险审计转变。实施ERP后,审计对象和审计线索发生了变化,应在原有的审计标准和准则基础上建立与ERP环境相适应的新的审计标准和准则。
三是对内部审计技术和审计人员素质要求的影响。在手工会计条件下,对会计资料的审计一般采用审阅、核对、分析、比较和函证等方法。这些审查工作都是由人工执行的。在ERP系统环境下,由于大量的证据都存储在肉眼看不到的存储介质上,对这些证据,审计人员只能利用计算机技术进行取证。因此,内审人员除了要具有过硬的业务素质外,还应能理清ERP各个子系统数据的来龙去脉,掌握ERP系统的使用平台和网络环境,熟悉数据库技术,这样才能全面地把握审计的总体情况并对内部控制进行有效的评价。
四是对内部控制审计的影响。手工会计中,内部控制的测试是看得见、摸得着的。而实施ERP后,大部分控制措施都是以程序的形式建立在有关系统中,系统的内控功能是否恰当有效,会直接影响系统输出数据的真实和准确。
五是对内部审计取证的影响。在中国石化总部层次,报表是真正传统意义上完整的会计报表,是一级核算。二级及二级以下单位作为利润中心或成本中心,在ERP系统中相当于车间,其会计报表是不完整的。ERP系统会计报表取数来源复杂,通过系统接口将相关数据导出后,一部分直接形成会计报表,另一部分需进一步填列才能完成。总部是管理单位,二级单位是真正意义上的经营单位,审计必须以二级单位为基础。审计人员通过会计报表了解被审计单位的资产、负债、所有者权益等总体情况以及根据报表数据进一步分析被审计单位的经营状况颇为不易。ERP系统大量业务由系统集成处理,系统自动产生电子凭证(集成凭证),种类繁多、数量庞大,给审计数据的调阅和审计证据的采集带来了更大的难度。
ERP系统带来了新的审计风险。以财务报表审计为例,其风险主要表现在以下方面:
一是电子数据可能被篡改和丢失,存在固有风险。采用电算化,财务人员和审计人员往往会假定提供的数据是准确的,这可能存在很大的审计风险。手工系统中,纸质的信息易于辨认、追溯,而在计算机系统中,由于存储介质的改变,财务数据可能由于断电、软件版本升级等原因而导致不正确,也可能被审计单位出于某种目的破坏和修改财务数据库,且不留蛛丝马迹,从而影响审计结果。另外像计算机病毒、电源故障、操作失误、程序处理错误和网络传输故障也会造成实际数据与电子账面数据不相符,增加了固有风险的可能性。
二是系统内部控制的变化,导致控制风险增加。在手工条件下,内部控制一般表现为对人的控制,主要是利用纸质信息进行手工核对和检查,责任容易明确,结果也比较直观。在ERP环境下,内部控制转变为对人和机器的双重控制,以对计算机控制为主,审计人员主要从程序控制和制度控制两方面来测试与评价。若被审计单位内控制度不健全,或监控不严,计算机数据和程序的修改完全可以不留痕迹地进行,加大了审计控制风险。
三是审计线索更易于减少或消失,增大检查风险。检查风险取决于审计程序设计的合理性和执行的有效性。手工系统中,会计人员对各项经济业务的会计记录都是以纸质形式存放,审计人员可以通过这些书面记录加以审计,审计线索清晰。在ERP环境下,会计人员对各项经济业务的记录由纸面信息变成了只有计算机才能识别的代码,对审计人员而言,磁质代码无异于在审计对象面前增加了一道无形的墙,看不见,摸不着,传统的审计追踪审查已不适用,审计的切入点更多是依靠自己的经验和判断,客观依据的不足,导致审计检查风险增大。目前对于ERP系统,企业审计人员普遍都不太熟悉,缺乏对整个系统及各个模块系统、全面的认识,运用ERP进行查询操作时往往不知道从哪里取数,严重影响了审计效率。审计人员一般只能通过ERP系统提供的查询功能取数据,在某种程度上增加了审计风险。
企业内部审计要适应和应对ERP的新环境,降低审计风险,提高审计效率,主要应从以下方面入手:
一是做好审计风险的控制和评估。ERP的实施使审计从对凭证账簿核对为主的详细审计发展成为以评价内部控制制度为基础的抽样审计。因此,在ERP环境下进行审计要先对内部控制进行符合性测试、穿行测试,了解整个系统运行情况,做到总体把握,心中有数。审计人员可以模拟或监督被审计单位人员就某一业务数据在ERP系统中进行录入,并查看其最终结果。如可以销售订单为主线,任意选择一个销售订单,来跟踪系统中的材料采购、入库、生产领用、产成品完工入库、销售出库等方面的执行、授权情况、数据流转等方面的信息,对照财务总账模块的相应数据,来验证物流信息在财务处理模块中传递及核算的正确性、内控制度执行的有效性。
二是加大对审计人员新技术、新业务、新技能、新管理思维的培训,提高业务素质。企业可适当配备一些熟悉ERP系统的人员作为内审人员,并对这些人员进行内部审计业务培训,同时加大对原有内部审计人员ERP系统知识和计算机知识的培训力度,尽快提高内审人员队伍的能力和整体素质。
三是不断调整和优化审计工作流程。企业ERP系统的实施是一个不断优化的过程,它必须建立在与之相适应的业务流程的基础上。因此,按规范化信息处理的要求对现有的内部审计业务流程进行重新设计,就成为实施ERP的关键环节之一。
四是明确ERP环境稳定后内审工作的新方向。ERP系统上线后,原先许多由内部审计人员完成的内部稽核的功能可以由系统来完成,内部审计可以有更多的精力来着眼于强化企业管理、加强内部控制方面的审计工作,提高审计工作的质量与含金量,与国际内部审计工作接轨。