浅析ERP环境下企业内部控制设计的规范基于降低审计风险的视角

浅析ERP环境下企业内部控制设计的规范—基于降低审计风险的视角赵文华一、引言一个企业应用ERP(enterpriseresourceplanning)系统，无疑可以给会计工作带来很多简化，但也给内部控制带来了新的考验。我国越来越多的现代企业都在运用ERP系统对企业进行管理，既提高了管理效率，也为改善企业内部控制的现状提供了绝好的工具。但由于审计人员缺乏对信息系统的全面认识和理解，以及ERP系统本身带来的风险，思索企业中引入ERP系统带来的审计风险，既可以对审计人员提出新的思考点，也有益于内部控制建设的完善和规范。二、ERP环境给审计和内部控制带来的风险（一）ERP的引入对审计风险的影响1.ERP系统对审计工作的影响ERP环境下对企业进行审计时,对被审计单位数据的调取和查阅非常方便快捷,可以提高审计证据的独立性,提高分析处理的有效性，增强时效性。但也有弊端，最突出的体现为成本效益原则。ERP环境下的企业一般规模宏大、业务复杂、内控监控点细密,使审计工作量大；审计人员在开展审计时，需要更多的人力和资源成本，了解被审计单位的ERP系统，审计成本上升，计算机审计需要更多的信息技术咨询，审计质量也难以保证。我国ERP环境下的审计观念的不成熟，对审计中大量的职业判断带来了新的考验。2.ERP系统下审计风险的新特点审计风险由于ERP的引入，出现了新的特点，以下通过审计的三大风险加以说明：⑴固有风险和表现：固有风险是指假定不存在相关的内部控制时，账户或交易产生的漏报、错报风险。在ERP系统中，一旦用户非法侵入计算机系统的防火墙，就会给数据的安全带来巨大的威胁；而且操作失误、计算机故障、程序设计出错等，极容易引起手工账数据与电子数据不一致，增加了固有审计风险的可能性。⑵控制风险和表现：控制风险是指固有风险未能被内部控制防止、发现或纠正的风险。在ERP系统下，实际工作中为了节约成本，导致了有意或无意使设置权限密码、实现职责分工的约束机制失效。另外，软件本身的技术控制的不完善，对数据的一致性和共享性的集中，在实际中会增加新的控制风险。⑶检查风险和表现：检查风险是指账户或交易产生的漏报、错报，未被实质性测试发现的风险。这一点增加的风险表现最为明显。内部控制的电脑化，使得原来可以观察的内部控制测试变得不那么显然，审计人员对企业用计算机实现造假的手法难以识别，加大了审计的风险。（二）对内部控制设计带来的影响1.对软件流程再造的控制风险企业购入的ERP系统，一般是通用的类型,在实际应用时,软件无法准确契合地适应个性化的企业组织结构、业务流程的要求。在对软件与企业需求进行融合时，内部控制设计也会出现更大的控制风险。此外,ERP系统带来的业务流程简化，会造成很多审批环节的缺失,隐含一定的内部控制制度不完善的风险。2.软件是否提供了足够的控制技术实际中开发的企业常常把大部分精力都放在了ERP应用软件的开发与实施上,而没有考虑足够的技术控制控件的开发和安装。从而导致应用ERP系统的单位缺乏足够的控制技术,如果非法利用计算机程序来破坏数据，对企业是巨大的损失。有效的控制技术能保证程序的正常运行;同时保证文件正确安装以及系统正确操作,能避免、检查和纠正操作环境中的问题。三、ERP系统下完善内控建设与降低审计风险的措施（一）对内控建设的建议1.系统安全管理的内部控制ERP系统的安全管理环节存在的主要风险点，包括自然原因或人为恶意操作可能造成的对信息系统硬件和软件的损害及由此导致的信息外泄等。除去一些必备常识如数据应及时备份等，建议如下：⑴人员的访问控制。企业应当合理设置权限,员工不能擅自对ERP系统进行修改,更换配置,对某些重要数据的访问也应当受到严格的限制。⑵建立账号审批制度。对计算机部门以及各业务单元使用ERP系统的人员,建立账号审批制度,对于新入员工或者离职员工的账号以及系统权限,应当及时修改或注销,确保企业信息系统的信息安全。2.对岗位职责的内部控制⑴明确人员之间的责任划分。首先，组织系统内部的权限设置未必明确，若存在重叠或空白会影响团队的合作。在企业实际的经营过程中,可能出现一些意外的226浅谈事业单位经济内控应用刘莉摘要：本文在加强事业单位经济内部控制重要性的基础上，分析了目前事业单位经济内部控制的现状，针对事业单位经济内部控制出现的问题提出了相应的改进策略。关键词：事业单位经济；内部控制；重要性；现状；应用一、事业单位经济内部控制的重要性第一，加强事业单位经济的内部控制有利于提高事业单位的经营效率。通过内部控制制度的建立，建立科学有效的财务预算体系，对资金的使用进行风险评估，有利于优化资金的配置，降低资金的使用风险，有利于提高事业单位的经营效率。第二，加强事业单位经济的内部控制，建立公开透明的财务体系，有利于提高资金使用的透明度，有利于预防腐败现象的产生，有利于降低国家对事业单位的投入。二、事业单位经济内部控制的现状（一）事业单位经济的内部控制意识不强意识决定行动，内部控制意识是内部控制制度实施的保证。在事业单位经济内部控制中，内部控制意识不强是一个具有普遍性的问题，尤其是事业单位最高领导的内部控制意识不强，主要表现在以下三个方面：第一，对经济内控的重要性认识不足。许多事业单位的负责人对内控重要性的认识不到位，认为内控可有可无。部分事业单位的负责人将部门预算和内部控制等同，这样就缩小了经济内部控制的范围，影响了经济内部控制作用的发挥。第二，对财务工作或者是会计工作不重视。事业单位的财务工作和会计工作的主要内容就是进行资金核算和资金控制。但是在实际的应用中，部分事业单位的负责人不重视财务和会计的作用，剥夺了财务、会计人员参与企业决策的权利，使得财务人员和会计人员对事业单位的经济活动不甚了解，影响了财务核算和资金控制作用的发挥。第三，对资金支出的控制意识不强。目事项。当这些事项出现时,应能做到问题的及时沟通与协商解决。这需要管理层要对ERP系统可能会给企业带来的风险予以重视以及内部审计人员的配合。⑵建立岗位的授权审批。管理层仍可采用原信息技术部门的人员来完成各人的授权分工与权限设置。要注意将IT部门负责授权的人员与各个业务操作部门分离开，防止其利用后门程序中饱私囊。⑶监督性审核和独立性审核。审计人员可以通过现场观察和询问，来审核监督性和独立性，在一定程度上防范因缺乏必要的职责分离所造成的管理层舞弊问题。（二）降低审计风险的对策1.降低审计固有风险的对策固有风险依赖于系统的安全管理和运行。强化对系统的安全运行和维护，完善软件功能，完善数据录入技术，降低审计固有风险。如对财务数据进行加密，防止非法的篡改；审计人员及时备份，降低减少或消失审计线索的可能性。2.降低控制风险的对策控制措施包括制度控制和程序控制。审计人员可以观察被审计单位的约束机制是否失效。程序控制如是否实现了：分配设置责任区和操作权限和口令，经过授权的个人用户应定期修改自己的密码，严格控制跨责任区设置操作权限。制度控制如IT部门负责授权的人员与各个业务操作部门是否分离开等。3.降低检查风险的对策企业人员应主动与审计人员沟通，减少审计人员因为不了解该系统而产生误解；审计人员对ERP系统下的审计环境，要采取更为有效审计程序和审计方法。⑴审计程序应该具有针对性和科学性。⑵提高审计人员的计算机水平。四、结语ERP系统在提高会计信息质量、提高运行效率、方便信息沟通等方面发挥了重要作用。但是其在内部控制上也不是万能的。ERP环境下的内部控制建设并不够完善，审计人员在对企业进行审计时也面临了更大的审计风险。本文浅析了ERP环境下企业内部控制可以在制度上进行完善的两个方面，通过采取措施在一定程度上降低审计风险，提高企业内部控制的质量。ERP环境下内部控制制度设计的规范与发展是大势所趋，希望本文可以抛砖引玉。参考文献：[1]孙民.会计电算化环境下的审计风险与对策.财会研究，2012,9.（作者单位：中南财经政法大学）227浅析ERP环境下企业内部控制设计的规范-基于降低审计风险的视角作者：赵文华作者单位：中南财经政法大学刊名：中国乡镇企业会计英文刊名：ChineseEnterpriseAccountingofVillagesandtowns年，卷(期)：2015(7)引用本文格式：赵文华浅析ERP环境下企业内部控制设计的规范-基于降低审计风险的视角[期刊论文]-中国乡镇企业会计2015(7)