(三)企業內部審計風險多樣化。
企業應用ERP係統後,企業的組織結構、內部控製方式和數據處理方式等都發生了很大變化。
內部控製風險。ERP係統作為高度集成化係統,使得企業的組織結構扁平化,內部控製的層次減少,係統中許多不相容職務相對集中,加大了相關人員利用職務之便進行違規操作的風險。另外,若建立在係統程序中的各種控製機製,比如,係統、權限、參數等的設置存在失誤,錯誤會不斷重複發生。
係統舞弊風險。由於ERP係統中很多業務數據的處理工作都是由係統按照程序自動完成,如果係統中的各種程序化控製,如係統設置、參數設置等存在缺陷或控製不當,會增加錯誤重複發生和人為舞弊的風險。尤其是在內部控製製度不健全或存在缺陷的企業中,錯誤發生的可能性更大,而且不可控性更強。
數據安全風險。由於計算機信息係統本身存在不穩定性,存儲於電磁介質中的數據信息容易遭到毀損或丟失,使得對重要數據信息的保存、監控難度加大。尤其是在信息高度共享的情況下,錯誤的發生可能會導致整個企業的嚴重失誤。
網絡安全風險。ERP係統處在一個開放和共享的網絡環境中,黑客侵入係統、計算機中病毒等等都會通過網絡對係統造成嚴重的安全威脅,竊取或者是毀壞數據,破壞係統中信息的安全性。這是計算機網絡固有的脆弱性,給企業的內部審計人員提出了極大的難題,也使審計工作的風險大大增加。
這些信息係統與生俱來的風險,即計算機信息係統的安全性導致的信息風險與日俱增。企業內部審計向風險導向型審計轉變,信息係統的風險控製成為企業內部審計的審計重點。雖然ERP的實施給企業內部審計帶來了更多的風險,但是,如果企業能夠充分地發揮內部審計的監督與服務的功能,必將極大地促進ERP的實施,信息係統帶來的風險也必將被控製在合理的範圍內。
(四)企業內部審計線索的獲取難度加大。
審計線索對審計來說是極為重要的。在手工會計中,審計線索包括會計憑證、賬簿、報表等會計資料。這些資料都反映在書麵上,審計人員利用這些資料就能夠從原始憑證開始,通過記帳憑證、帳簿追蹤到會計報表,或者對報表之間、報表與帳簿之間的會計數據的勾稽關係進行審查,通過這些可見的審計線索檢查證、帳、表數據所反映的經濟業務的合法性,通過每個會計人員手寫筆跡的不同,確定每一責任人完成業務的正確性。一旦這些資料被篡改,就會留下痕跡,很容易被發現。總之,在手工會計係統中,審計人員所需的審計線索,都可以通過這些書麵記錄加以審計。
企業應用ERP係統後,企業的業務流程得到了優化重組,實現了跨職能部門的業務處理,使得過去基於跨部門的審批流程得到簡化和壓縮,然而,壓縮所造成的結果使用於企業內部控製的許多審計線索在ERP係統引入後消失了。ERP係統的授權控製機製取代了過去基於文件審批的內部控製機製,程序化審核方式代替了基於傳統紙介質的簽字蓋章,審計線索變得模糊不清,其審計證據的可靠性受到直接影響。在ERP係統中,各種原始數據經係統確認後,由計算機自動進行處理,直至生成會計憑證、賬簿和報表,傳統的可視審計線索中斷甚至消失,即使係統留有相關的審計線索,其產生與存儲方式也與傳統的審計線索有了很大變化。另外,在ERP環境下,由於數據存儲、傳輸的電子化,使得任何對數據的修改、刪除或銷毀都不會留下痕跡。此時企業的內部審計人員麵對的是一個無紙化的審計環境,審計線索完全依賴於計算機係統,使得審計人員獲取相關線索的難度加大。
(五)企業傳統的內部審計技術麵臨挑戰。
在企業實施ERP之前,對會計資料的審計一般由審計人員采用審閱、核對、分析、比較和函證等方法來完成,所有的審查工作都是由人工來執行的。企業實施ERP係統後,企業的各項業務數據處理工作由計算機程序自動完成,數據的處理過程無形化,數據的存儲介質電磁化,並且數據的生成和傳遞都在網絡中進行,造成了審計線索的“不可見性”,傳統的追溯審計方法已經不能適應新環境下的審計任務,需要采用新的審計技術與方法對數據處理過程進行追蹤審計。在ERP係統環境下,企業的很多經營業務數據都以電磁化的形式存儲在ERP係統的數據庫中,要對存儲在係統中的電子化數據進行審計,審計人員必須借助於計算機輔助技術才能完成相關數據的采集和分析。另外,在應用ERP係統的企業中,企業各業務流程的信息全部集成到一個係統中,形成了海量數據,舞弊和失誤痕跡很容易淹沒在其中,且變得更加隱蔽,要從這些海量數據中尋找審計證據,傳統審計技術方法顯然無法完成審計任務,必須借助於計算機輔助審計技術和方法。
(六)企業內部審計人員的素質和技能有待提高。
在ERP環境下,企業內部審計的審計環境、審計重點、審計內容、審計技術等,均發生了顯著的變化。如果企業沒有能夠及時地對其審計人員進行相應的培訓工作,審計人員僅僅依靠原有的知識和技能,是無法勝任ERP環境下的審計工作的,審計工作的風險和難度就會大大增加。ERP環境下審計工作需要的,是一批既掌握現代審計理論與實務,又了解管理知識、計算機技術的複合型知識結構的專業人才。盡管目前我國內部審計人員的素質比過去有了較大提高,但還不能適應信息化的需要。實際情況是,企業內部審計人員大部分都是財經類的專業人員,他們不具備ERP環境下的審計工作所需要計算機知識以及操作技能,少部分的計算機專員又不具備財會和審計方麵的知識。符合ERP環境下審計工作的高素質的複合型人才十分匱乏,嚴重製約了企業內部審計工作的開展。這就對企業內部審計人員的素質提出了更高水平的要求。
首先是思維意識方麵的革新。審計人員要積極轉變審計觀念,勇於接受新的知識、新的思想,不能將審計目標僅僅局限在查錯糾弊上。內部審計中發現的很多錯弊大多都是由於係統和管理上出現了問題。而信息係統審計的任務就是幫助企業建立一個具有良好的控製機製的係統,使企業能夠及時發現問題並且防止問題的發生。隻有全麵樹立係統基礎審計或風險基礎審計的觀念,才能理解信息係統審計的重要意義。
其次是技能方麵的提升。由於ERP的係統環境十分複雜,內部審計人員就需要懂得各個方麵的知識和技能。比如,審計人員要不斷加強對專業理論知識的學習,更新自己的知識體係,掌握豐富的財會、審計方麵的知識和技能;審計人員要強化自己對計算機、信息係統等方麵的知識的學習,熟練掌握一定的必需的網絡技術和計算機審計技術,提高自己應用信息技術的水平;審計人員要加強對ERP係統的學習,加深對ERP係統的了解,並熟知ERP係統內部控製的審計的標準,能夠熟練地操作ERP係統的各個模塊,熟悉並掌握對計算機審計軟件的應用等。
三、ERP環境下企業內部審計問題的解決對策
(一)企業內部審計人員應充分了解ERP的實施流程。
ERP環境下的審計工作,其審計環境和審計重點發生了重大的變化,內部審計的目標不僅僅是查錯糾弊,而是幫助企業的管理層建立起一個具有規範合理的有效的控製機製的信息係統,為管理服務。所以,在實施ERP的企業中,內部審計人員不僅要對企業的經營管理活動以及其內部控製機製給出客觀、公正的評價,還要全程參與到企業的內部控製機製的建立和健全的過程中去。企業的內部審計人員隻有充分了解企業所應用的ERP係統的所有相關情況,才能夠確保審計工作在各個階段的順利進行。
根據ERP係統的應用特點,審計人員應著重了解以下內容:ERP係統應用環境下企業的組織結構、管理和控製製度,ERP係統所涉及的業務範圍,ERP係統的整體框架、各模塊之間的關係以及係統與外界的接口,ERP係統的主要功能及業務數據處理流程,ERP係統運行過程中出現的問題,ERP軟件功能提升、軟件升級情況等,從而把ERP係統的有關情況摸清。審計人員可采用召開座談會、與有關管理層和業務部門溝通、查閱相關文檔資料和調查表以及親自上機操作等方法進行調查了解。通過對ERP軟件相關情況的充分了解,內部審計人員對審計的總體對象有了一定的把握,對企業內部控製環節、控製點變化有了透徹的理解,因此對如何建立與完善內部控製也有了深刻的理解。內部審計人員與相關管理人員一起根據管理層提出的具體的管理需求,分析軟件的功能設置,判斷軟件的功能能否滿足管理的需求,以及滿足的程度如何,並將分析結果反饋給管理層。
(二)完善ERP環境下企業內部控製體係。