论中小企业ERP系统风险与计算机辅助审计

陈会林

论中小企业ERP系统风险与计算机辅助审计

陈会林

ERP系统就是基于管理会计为核心的信息系统，是建立在信息技术基础上，以系统化的管理思想，为企业决策层及员工提供决策运行手段的管理平台，其基本思想是将企业的运营流程作为紧密连接的供应链。改革开放特别是党的十五大以来，我国的中小企业发展迅速，在国民经济和社会发展中的作用及地位日益增强，应国际国内市场和自身不断发展的需求，企业信息化迫在眉睫。

一、ERP系统存在着自身的缺陷及管理风险

1.中小企业ERP系统的自身缺陷

不同于大型企业，中小企业选择ERP系统时，更多的会考虑系统部署的成本，投入安装周期及投资回收期是否符合企业的期望，符合期望的中小企业ERP系统，有操作相对简便，应用性强的特点。但目前存在的中小企业ERP系统存在如下的自身缺陷：

ERP系统采用高度集成的功能模块。系统模块之间相互联系，出现任何一点问题都会使得其他模块受到影响，从而牵动整个ERP系统，影响系统的其他功能。

ERP系统具有复杂性。因而要求审计人员具备相应的审计知识与技能。然而几乎没有任何人能够熟悉复杂系统的每个模块中的每个功能，这给系统审计带来了难度。

ERP系统使用单一的数据库。企业拥有中央数据库。这一方面保证了ERP系统数据的一致性和减少重复劳动的同时，使各个部门，比如生产、销售、库存和财务能够共享信息。而另一方面，处于这样的环境中，数据的所有权和维护成为一个问题。如果存在不合适的访问权限的定义，缺乏有效的法规对系统使用的控制，那么系统中的一些机密数据将会变得非常透明，将会可能导致企业的重大损失。如，任何人只要获得操作人密码，就能获得操作权限，假设得到管理人权限，对数据进行修改，会造成巨大的影响。

2.ERP环境下的管理和应用风险

中小企业“一把手”及管理层对ERP不理解或理解不统一，急于购买ERP系统，但实施ERP系统没有务实的定量目标，从而盲目制定计划。很多中小企业实施ERP项目之初没有根据企业所在行业的特征以及目前的状况，制定一个完整详细的实施计划和实施范围，什么模块都想上，结果真正使用的都是很小的一部分。事实证明，国内许多中小企业部署ERP系统，均已失败告终，很大的原因都在于将ERP等同于财务工具看待，却不主动制定计划，改变企业的管理模式。所以，有一个周详完善的实施规划，是保证高效完成这个项目的大前提。ERP系统的实施是一项大工程，需要大投入，对于企业来讲，这是管理思想，管理方式的大变革，盲目实施或盲目制定过高的计划，忽视企业本身的实际，中小企业改革不可能成功。中小企业领导在是否实施ERP系统上应有足够清醒的认识。

企业ERP系统实施应用，面临着人才欠缺的状况。项目组织的成员任命不当，没有选派得力的项目经理及核心成员，项目组织缺少团队精神，成员之间缺少沟通，定期会议流于形式，激励机制不到位，员工辛苦工作得不到肯定和奖励，人员流动频繁，关键人才缺失，都会给ERP系统成功实施买下隐患。人才的保护与培养，是推动企业ERP发展的动力。ERP系统上线只是企业进行变革的第一步，全面了解ERP的各个模块，例如生产管理、财务管理、销售管理、库存管理、人力资源管理等的具体运作体系，明确各个部门应该如何具体做好配合工作来保证ERP实施的成功显得极其重要。

二、中小企业计算机辅助审计

传统的审计通过查看原始凭证，记账凭证等纸质材料而实现，区别于传统审计，计算机条件下的审计对象包括计算机系统及计算机存储的数据。ERP环境下，会计舞弊由机器完成，增加了审计的难度，使会计舞弊更加隐蔽，层次更高，风险识别和应对的难度更大。中小企业ERP系统的高风险性及系统特性给计算机辅助审计提出了新的要求，同时，ERP环境下的企业管理和应用风险，更加离不开计算机辅助审计的帮助。审计对象的变化客观上要求审计机关或企业内部审计的作业方式做出及时相应的调整，运用日益发展的计算机审计技术，全面，深入检查被审计单位的经济活动。而审计人员为了适应ERP环境的需要，必须使用计算机辅助审计技术来完成审计任务。因此，掌握计算机辅助审计技术对于企业及审计人员来说，非常重要。同时，中小企业ERP系统的脆弱性及管理应用风险将给审计工作造成一定风险，为了提高审计效率，降低ERP管理风险，开展计算机辅助审计显得意义重大。

1.针对中小企业ERP系统自身风险的辅助审计

第一种审计途径主要针对系统应用程序的。对于某一应用程序，审计人员用一个独立的程序去模拟该程序的部分功能，在输入数据的同时进行并行处理，其结果和该应用程序处理的结果进行比较以验证其功能正确性的方法。ERP系统的参数设置是认为可操作的，其运行程序亦然，通过平行模拟的检验，保证ERP系统数据库数据的正确、合理性，避免系统模块因相互影响，导致重大错误。

第二种审计途径面向系统数据。审计人员事先准备好一组正确的数据，将其输入ERP系统的会计子系统中，会计软件输出结果与预计结果相比较，以测试系统的逻辑合理性。或者，审计人员通过输入错误的数据，如，不符合逻辑的会计科目，不可能的科目余额，测试系统程序是否能检测错误。虽然通过数据校对，对审计人员的计算机知识要求不高，操作简便，但针对系统数据的审计，不能发现系统程序的所有问题。

第三种审计途径面向程序编码。通过审查程序编码，确定ERP系统的可操作性。一方面，可以将同一版本的ERP软件程序相比较，找出差异，并对差异做出分析，检查程序编码的差异是否造成对系统的破坏。另一方面，可以通过审计人员的计算机专业知识审查编码，找出错误代码、未被授权的代码、无效的代码、效率低的代码以及不标准的代码。保证ERP系统程序的正常运行，才能保证企业经营顺畅。

第四种途径针对ERP系统的经济活动。如，采用嵌入审计模块，审计人员可以对ERP环境下的经济活动进行实时监督，及时发现问题，从而实现事中审计与控制，避免造成重大损失。这样不仅减少审计时间，也能快速的发现企业漏洞，及时纠正错误。

在保证ERP系统中数据完整的情况下，需要运用数据处理的计算机辅助审计技术（CAATs）。面向数据的CAATs包括：数据查询，账表分析，审计抽样，审计统计，数值分析技术等。

2.降低中小企业ERP系统管理风险的审计途径

（1）培养精通审计业务的复合型人才

目前，中小企业ERP系统的实施，应用，缺少的是既懂审计又懂计算机操作的复合型人才，这不仅不利于企业工作的展开，也制约着审计事业的发展。中小企业ERP系统虽得到简化，但系统不同的模块构成并紧密联系，结构复杂，没有计算机审计基础的审计人员无法胜任企业的审计工作。此外，信息技术条件下，会计数据脱离纸质材料，这给会计舞弊留下了机会，审计过程若缺乏计算机应用，势必会给审计带来风险。因而，审计人才的培养迫在眉睫。审计人才除了具备检查证，账，表能力、观察能力、分析判断能力、表达能力、沟通协调能力之外，还要具备良好的职业道德，具有创新精神及创新能力，具备学习能力及适应未来审计需要的能力。中小企业部署ERP系统离不开审计人才的监督。

（2）营造中小企业计算机审计氛围

一方面，尽管计算机辅助审计技术多种多样，但只有少数审计技术被审计人员使用，其中最为普遍使用的是通用审计软件，另一方面，虽有一些审计软件问世，但严格的说我国还没有较好的与中小企业ERP环境相配套的审计软件，开发审计软件成为必要。应用和提倡计算机审计的多样化，可以有效降低审计风险。

总的说来，计算机辅助审计在中小企业的应用，有助于审计效率的提高，它的运用既提高了审计的正确性与准确性，也使审计人员从冗长乏味的计算工作中解放出来。同时，计算机辅助审计技术使中小企业审计工作更加全面，迅速的进行。由此看出，计算机辅助审计对减少中小企业ERP系统管理风险起到了十分重要的作用。

（作者单位：江南大学商学院会计系）