會計電算化專業(yè)畢業(yè)論文-ERP系統(tǒng)下的審計風險及規(guī)避

1、紹興職業(yè)技術(shù)學(xué)院經(jīng)濟管理系會計電算化專業(yè)畢業(yè)論文ERP系統(tǒng)下的審計風險及規(guī)避姓 名: 學(xué) 號: A003074020738指導(dǎo)教師: 日 期: 2010年4月29日目 錄一、ERP系統(tǒng)概述及優(yōu)勢1二、ERP系統(tǒng)下，審計環(huán)境的變化1（一）審計范圍的擴大1（二）審計線索的改變2（三）內(nèi)部控制的變化2三、ERP系統(tǒng)下的審計風險3（一）固有風險3（二）控制風險31、審計線索的減少或消失32、原始數(shù)據(jù)錄入存在的錯漏4（三）檢查風險41、歷史文件的難以提取42、經(jīng)濟業(yè)務(wù)難以真實反映4四、ERP系統(tǒng)下審計風險的規(guī)避4（一）加強審計隊伍建設(shè)4（二）使用科學(xué)的審計方法5（三）不斷完善審計準則和行業(yè)標準5（四）注

2、重對被審計單位的了解51、了解企業(yè)情況52、了解主要業(yè)務(wù)流程63、注重內(nèi)部控制的審計6（五）運用計算機輔助審計應(yīng)注意的控制6內(nèi)容摘要隨著信息技術(shù)和互聯(lián)網(wǎng)技術(shù)的迅速發(fā)展，企業(yè)的經(jīng)營模式、管理模式等都發(fā)生了劃時代的革命。ERP系統(tǒng)實施后，企業(yè)利用信息系統(tǒng)進入了業(yè)務(wù)流程重組和優(yōu)化，而隨之而來的問題就是系統(tǒng)的復(fù)雜化和信息技術(shù)風險的集中化。由于ERP的特點，對審計人員提出了挑戰(zhàn)，傳統(tǒng)的審計技術(shù)和方法，審計思想和策略都需發(fā)生變化。同時ERP環(huán)境下的某些領(lǐng)域?qū)徲嬶L險也在加大，隨著新審計準則的施行，審計風險模型也隨之發(fā)生了變化。利用審計風險模型，分析各個因素對審計風險的影響。注重ERP系統(tǒng)下審計風險的規(guī)避，以

3、降低審計人員的審計風險，提高審計質(zhì)量。關(guān)鍵詞： ERP系統(tǒng)，審計風險，規(guī)避AbstractWith the rapid development of information technology and Internet technologies, the models of business and management have undergone an epoch-making revolution. After the implementation of ERP systems, on the hand, the enterprises employ the information s

4、ystem to enter the reengineering and optimization of the business process, on the other hand, the attendant problem is that the complexity of the system and the risk of the centralization of information technology. Owing to the characteristics of the ERP, it is a challenge for the auditor. Both the

5、traditional technique and methods of the audit and the ideas and strategies need to be changed. Meanwhile, the risk of audit in some area is increasing as well under the environment of ERP. As the new standards of the auditing implementats, the model of the audit risk will be changed too, under the

6、ERP system ,which means that the auditors not only need to utilize the model of the audie risk and analyze various factors which may affect the audit risk, but also should focus on the circumvent of the audit risk, so as to reduce auditors audit risk and improve the quality of the audit.Keywords: ER

7、P System，Audit Risk，CircumventERP系統(tǒng)下的審計風險及規(guī)避緒論：審計的發(fā)展與其賴以生存的環(huán)境密切相關(guān)。環(huán)境的不確定性和相互制約性將直接影響審計的目的和范圍，進而影響審計的內(nèi)容和方法。由于ERP的管理理念、管理思想和管理方法在企業(yè)的應(yīng)用，改變了企業(yè)的經(jīng)營環(huán)境，改變了信息的產(chǎn)生和處理，同時某些領(lǐng)域?qū)徲嬶L險也在加大。隨著新審計準則的施行，審計風險模型也隨之發(fā)生了變化。新形勢下，審計人員如何應(yīng)對這些風險，提高審計的質(zhì)量和效率，成為急待解決的問題。一、 ERP系統(tǒng)概述及優(yōu)勢ERP(Enterprise Resource Plan)是整合了企業(yè)管理理念、業(yè)務(wù)流程、基礎(chǔ)數(shù)據(jù)、人

8、力物力、計算機硬件和軟件與一體的企業(yè)資源管理系統(tǒng)。主要包括四方面的內(nèi)容：生產(chǎn)控制（計劃，制造），物流管理（分銷，采購，庫存管理），財務(wù)管理（會計核算，財務(wù)管理）和人力資源管理，這四大系統(tǒng)本身就是集成體。ERP系統(tǒng)將各個模塊細化，拆分，形成相對獨立又無可無縫銜接的軟件系統(tǒng)，使得不同規(guī)模的企業(yè)可根據(jù)需要自由組合，讓企業(yè)的資源得到最優(yōu)化配置。ERP系統(tǒng)集信息技術(shù)與先進的管理思想於一身，成為現(xiàn)代企業(yè)的運行模式。反映時代對企業(yè)合理調(diào)配資源，最大化地創(chuàng)造社會財富的要求，成為企業(yè)在信息時代生存、發(fā)展的基石。它對于改善企業(yè)業(yè)務(wù)流程、提高企業(yè)核心競爭力具有顯著作用。完善的ERP系統(tǒng)其自身特有的數(shù)據(jù)集成化，集中化

9、等優(yōu)勢，能提供靈活全面的數(shù)據(jù)輸出功能，也為審計人員的數(shù)據(jù)分析提供了便利。與傳統(tǒng)審計相比，ERP系統(tǒng)的審計使垮時空審計成為可能，信息的及時性和準確性較高，審計的隱秘性較好，審計報告時效性得以提高，審計技術(shù)方法得以創(chuàng)新。二、 ERP系統(tǒng)下，審計環(huán)境的變化（一） 審計范圍的擴大企業(yè)實施ERP后，會計資料雖然仍通過其核心模塊財務(wù)會計系統(tǒng)反映。然而與傳統(tǒng)的手工記賬相比，ERP實現(xiàn)了采購、生產(chǎn)、銷售、人力資源及財務(wù)信息等相關(guān)數(shù)據(jù)的自動傳輸，財務(wù)數(shù)據(jù)更加及時、全面、自動化。由于所有信息全部實現(xiàn)了電子傳輸，交易過程及交易信息反映的直觀性大打折扣，數(shù)據(jù)的關(guān)聯(lián)性更強。審計人員不應(yīng)僅局限于財務(wù)會計系統(tǒng)，而要延伸到其

10、他模塊，追溯到原始數(shù)據(jù)的輸入及各模塊關(guān)鍵環(huán)節(jié)的控制情況。同時，由于系統(tǒng)的介入，數(shù)據(jù)的準確性不僅受主觀因素的影響，又與計算機自身(如黑客侵入，病毒危害等)有關(guān)，ERP系統(tǒng)運行的穩(wěn)定性、安全性納入了審計的范圍。另一方面，ERP不僅對傳統(tǒng)的業(yè)務(wù)和流程進行了優(yōu)化和重組，而且還將上下游企業(yè)都納入管理中來，實現(xiàn)了整個供應(yīng)鏈的統(tǒng)一。在這種環(huán)境下，企業(yè)的財務(wù)收支及其有關(guān)的經(jīng)營管理活動不僅涉及企業(yè)的內(nèi)部資源，還涉及企業(yè)的外部資源。審計對象擴大，使審計的范圍和特點變得更加廣泛和復(fù)雜，審計風險進一步加大。（二） 審計線索的改變在手工會計系統(tǒng)中，會計人員對經(jīng)濟業(yè)務(wù)的處理詳細記錄在紙上，審計人員所需要的線索，都可以通過

11、這些書面記錄加以審計。而企業(yè)實施ERP后，許多操作通過網(wǎng)絡(luò)在計算機上處理完成或自動生成，傳統(tǒng)的原始附件有些已經(jīng)無紙化而通過電磁介質(zhì)的形式存在。比如，客戶的訂單、企業(yè)銷售出貨單、發(fā)票等紙質(zhì)或電磁的形式同時存在，而訂單、出貨單、發(fā)票的審批一般通過網(wǎng)上進行，不再像傳統(tǒng)的手工會計系統(tǒng)中根據(jù)筆記清晰可辨。同時，ERP系統(tǒng)可以根據(jù)確認的經(jīng)濟業(yè)務(wù)自動生成憑證，這些集成的憑證按照計算機程序指令進行。如果軟件編碼、程序正確，其財務(wù)數(shù)據(jù)應(yīng)該更加正確。但是人為的介入，如對上述電磁信息/程序的修改、刪除，也可能不會留下任何痕跡，更加隱蔽，企業(yè)作弊的動機也更大。另外，ERP系統(tǒng)本身設(shè)置的可修改性、多功能性（如反過賬、反

12、審核、反結(jié)賬）為企業(yè)財務(wù)提供方便的同時，也存在一定的隱患，加大了審計的難度，降低了審計線索的可追溯性。（三） 內(nèi)部控制的變化企業(yè)實施ERP后，內(nèi)部環(huán)境的變化促使內(nèi)部控制發(fā)生相應(yīng)改變。政策方面：實施ERP前，我國大多數(shù)企業(yè)屬金字塔式的職能型層次式組織結(jié)構(gòu)。為了適應(yīng)ERP扁平化管理的需要，企業(yè)對業(yè)務(wù)流程方面進行了重組，對組織結(jié)構(gòu)進行了調(diào)整。相應(yīng)的企業(yè)內(nèi)部各人員的職能、各流程的規(guī)劃都有所變動。為了保證在新的環(huán)境下能夠順利完成業(yè)務(wù)流程的優(yōu)化、管理模式的改變，一系列新的政策和制度將應(yīng)運而生。比如ERP系統(tǒng)使用權(quán)限的相關(guān)規(guī)定、ERP的定期培訓(xùn)制度、計算機/網(wǎng)絡(luò)風險的安全控制措施等。程序方面：實施信息化前，

13、內(nèi)部控制主要通過建立相應(yīng)的制度規(guī)范，及工作人員適當?shù)穆氊煼蛛x，實現(xiàn)互相牽連，由人工完成各種檢驗、核對、判斷等。實現(xiàn)信息化后，相當一部分內(nèi)部控制建立于系統(tǒng)的應(yīng)用程序中。系統(tǒng)運行時，相對于信息化前，其交易授權(quán)和職責劃分發(fā)生了變化。同時增加了許多新的內(nèi)部控制程序，這些新的內(nèi)部控制包括了許多建立在系統(tǒng)應(yīng)用程序中由計算機自動執(zhí)行的各種檢驗、核對、判斷、監(jiān)控等。三、 ERP系統(tǒng)下的審計風險2003年，修訂后的國際審計準則提出了全新的審計風險模型，即：審計風險=重大錯報風險×檢查風險，其中重大錯報風險即為固有風險和控制風險的綜合。ERP系統(tǒng)的應(yīng)用使得企業(yè)在提高運行效率的同時又產(chǎn)生了新的審計風險。E

14、RP審計與傳統(tǒng)審計相比，其主要的特有風險在于企業(yè)的ERP系統(tǒng)是否真實地反映了企業(yè)的各項經(jīng)濟業(yè)務(wù)。（一） 固有風險在計算機系統(tǒng)的控制下，ERP系統(tǒng)中會計數(shù)據(jù)的準確性和可靠性大大加強。因此，審計的固有風險基本上被控制，并在一定程度上有所降低。但是由于ERP系統(tǒng)自身的開放性和網(wǎng)絡(luò)化，使系統(tǒng)內(nèi)的數(shù)據(jù)在較大的范圍內(nèi)得以共享和交流，這樣審計風險的環(huán)境就加大了。例如，計算機數(shù)據(jù)庫內(nèi)的會計信息面臨被他人非法拷貝和篡改的風險；會計數(shù)據(jù)在傳輸過程中面臨被競爭對手截取和惡意修改的風險；還有計算機病毒和網(wǎng)絡(luò)黑客的攻擊也會威脅會計數(shù)據(jù)的安全，嚴重時可能導(dǎo)致系統(tǒng)的全線崩潰等。由此可見，會計數(shù)據(jù)的安全、完整性控制難以得到保

15、證，從而使控制風險和檢查風險的水平成上升趨勢。（二） 控制風險在手工條件下,內(nèi)部控制一般表現(xiàn)為對人的控制,強調(diào)職責分清,相互牽制。采用的手段主要是利用紙面信息進行手工核對和檢查,責任容易明確,結(jié)果也比較直觀。但是在ERP系統(tǒng)中,內(nèi)部控制轉(zhuǎn)變?yōu)閷θ撕蜋C器兩方面的控制,而且主要是對機器的控制為主。ERP系統(tǒng)實現(xiàn)了從采購到付款、訂單的獲取到發(fā)票的開出等業(yè)務(wù)集成,實現(xiàn)了跨職能部門的業(yè)務(wù)處理。在這種情況下,ERP系統(tǒng)中單一的數(shù)據(jù)庫,使過去跨部門的審批流程得到簡化和壓縮。壓縮所造成的一個結(jié)果是,用于企業(yè)內(nèi)部控制的許多審計線索在ERP系統(tǒng)的引入后消失了。同時,企業(yè)過去基于文件審批的內(nèi)部控制機制,也無法適應(yīng)E

16、RP基于流程的管理需要。更重要的是,由于企業(yè)的業(yè)務(wù)運作更加依賴于ERP系統(tǒng),這種依賴和信息系統(tǒng)本身特點所導(dǎo)致的脆弱性,形成了企業(yè)新的業(yè)務(wù)風險。例如,在ERP系統(tǒng)中,通過對手工流程的機器處理,比如審批處理自動化等,進一步增強了完成各種業(yè)務(wù)流程的效率。但是,在新的業(yè)務(wù)執(zhí)行環(huán)境中,這些審批處理的自動化方法將改變企業(yè)內(nèi)部原有的一些風險特征,這時相應(yīng)的內(nèi)部控制體系就需要重新評估和設(shè)計。1、審計線索的減少或消失傳統(tǒng)會計系統(tǒng)中，從原始憑證到記賬憑證，由過賬到財務(wù)報表的編制，每一步都有具體的、可見性的文字記錄和經(jīng)手人的簽字,審計線索十分清晰。而ERP系統(tǒng)具有憑證自動生成和報表自動生成的功能，幾乎不需要人工干預(yù)

17、,使各種業(yè)務(wù)隱性化和數(shù)字化，傳統(tǒng)的憑證和賬簿有的已消失，有的發(fā)生了重大的變化。審計線索不復(fù)存在,為追查審計線索帶來了極大的困難。2、原始數(shù)據(jù)錄入存在的錯漏ERP系統(tǒng)下,大量的記賬憑證仍靠人工錄入,如果輸入了錯誤的數(shù)據(jù),表面上的機制憑證、賬簿、報表還是互相平衡,這就掩蓋了人工錄入的錯誤。如果漏輸了數(shù)據(jù),更是無法察覺。（三） 檢查風險1、歷史文件的難以提取對賬戶或交易的實質(zhì)性測試往往離不開企業(yè)的歷史數(shù)據(jù)。由于軟件版本的更新、平臺的遷移,難以從往年賬中提取這些歷史數(shù)據(jù),使得審計不得不從大量的文檔中收集整理歷史數(shù)據(jù)。這不僅降低了審計效率,而且?guī)砹烁嗟臋z查風險。2、經(jīng)濟業(yè)務(wù)難以真實反映由于ERP系統(tǒng)

18、中的財務(wù)(FIS)模塊與其他功能模塊之間信息高度共享,因此企業(yè)各項經(jīng)濟活動所產(chǎn)生的對企業(yè)財務(wù)狀況的影響幾乎可以實時地得到反映。而系統(tǒng)中如果存在程序錯誤,則系統(tǒng)是不可信的,不能正確反映企業(yè)的經(jīng)濟業(yè)務(wù),使得企業(yè)資產(chǎn)、負債及損益的核算結(jié)果失真。如不能及時發(fā)現(xiàn)此類錯誤,則將帶來極大的審計風險。四、 ERP系統(tǒng)下審計風險的規(guī)避（一） 加強審計隊伍建設(shè)審計風險的控制實施最終要由人來完成，因此，一支高素質(zhì)的審計隊伍是真正發(fā)揮審計職能的關(guān)鍵。只依靠原有的知識和技能是無法勝任對ERP系統(tǒng)環(huán)境的審計工作。若要高質(zhì)量地完成對ERP企業(yè)的審計，降低審計風險，不僅要求審計人員具有良好的會計審計知識，還必須對信息技術(shù)、網(wǎng)

19、絡(luò)技術(shù)及其相應(yīng)的安全控制技術(shù)有充分的認識，這可能意味著審計人員知識構(gòu)成以及人員構(gòu)成需要根本性的改變。全新的審計程序?qū)徲嬋藛T的素質(zhì)提出了更高的要求，它要求審計人員不僅要精通財務(wù)會計知識，還要求審計人員具有計算機知識、信息技術(shù)及網(wǎng)絡(luò)技術(shù)及原理知識。要重視審計人員關(guān)于計算機、網(wǎng)絡(luò)知識的后續(xù)培訓(xùn)，不斷更新和拓寬知識面，培養(yǎng)審計人員良好的審計風險意識。在此基礎(chǔ)上，培養(yǎng)一批計算機審計的系統(tǒng)開發(fā)人員，從事設(shè)計和開發(fā)審計軟件，建立適合ERP的計算機審計程序，尤其是在這些軟件中規(guī)定必須嵌入的監(jiān)控程序以及通用接口。此外，須加快研究網(wǎng)絡(luò)環(huán)境下進行審計的理論研究，以達到降低審計風險的目的。（二） 使用科學(xué)的審計方法

20、要降低和控制審計風險，應(yīng)采取科學(xué)的審計方法。風險導(dǎo)向?qū)徲嬍菍徲嬶L險觀念應(yīng)用于審計全過程的科學(xué)模式，它通過對審計風險進行系統(tǒng)的分析和評價，來確定審計風險是否可以控制在可容忍的范圍內(nèi)。審計人員必須不斷創(chuàng)新審計手段、方法，應(yīng)做到：第一，審計人員應(yīng)積極學(xué)習(xí)借鑒國外的先進審計技術(shù)，根據(jù)需要不斷開發(fā)出一系列應(yīng)用審計、嵌入式審計軟件。在ERP系統(tǒng)下，紙質(zhì)信息載體被數(shù)字化信息載體取代，面對無紙化的各種業(yè)務(wù)，審計工作的起點只能是經(jīng)計算機處理過的數(shù)據(jù)，而不是繞過計算機審計。因此，審計系統(tǒng)的開發(fā)勢在必行。第二，利用計算機強大的計算功能，快速、有效的對每筆重要業(yè)務(wù)進行抽樣、核對、分析、比較和計算，測試其原始憑證、入

21、賬、匯總的正確性。使用電子郵件向網(wǎng)絡(luò)銀行中心、客戶、供應(yīng)商進行函證，取得有關(guān)電子數(shù)據(jù)文件作為審計證據(jù)。第三，利用網(wǎng)絡(luò)進行遠程審計和就地審計，當前審計與前續(xù)審計、后續(xù)審計相結(jié)合，實時審查被審計單位的財務(wù)情況，使得跨時空、跨地域?qū)徲嫵蔀榭赡?。同時由于信息系統(tǒng)涉及到整個供應(yīng)鏈，與客戶、供應(yīng)商緊密相關(guān)，審計人員審計的協(xié)同作業(yè)即聯(lián)合審計成為可能。最后，借鑒國際所審計經(jīng)驗，建立國內(nèi)ERP系統(tǒng)數(shù)據(jù)分析庫等。審計人員應(yīng)在分工、協(xié)作、交流的基礎(chǔ)上不斷創(chuàng)新審計手段與方法。（三） 不斷完善審計準則和行業(yè)標準我國應(yīng)抓緊完善審計法規(guī)和審計業(yè)務(wù)準則，以統(tǒng)一審計執(zhí)業(yè)規(guī)范，降低審計風險。審計準則是審計工作應(yīng)遵循的規(guī)范和尺度，

22、是評價審計工作質(zhì)量的權(quán)威性規(guī)則。企業(yè)實施ERP系統(tǒng)后，由于審計范圍和審計線索發(fā)生了重大變化。因而審計的技術(shù)和手段也發(fā)生了相應(yīng)的變化。這時，現(xiàn)有的審計標準準則體系和法律法規(guī)體系已不能完全適應(yīng)、指導(dǎo)和規(guī)范ERP環(huán)境下審計的實踐。應(yīng)在原有的審計標準和準則的基礎(chǔ)上，建立一系列與新情況相適應(yīng)的新的審計標準和準則，如內(nèi)部控制審計準則、系統(tǒng)安全可靠性評價標準和對審計人員的一般要求等，以適應(yīng)新形勢的需要。（四） 注重對被審計單位的了解1、了解企業(yè)情況由于在ERP的引入過程中存在誤區(qū)，許多使用ERP的企業(yè)經(jīng)常存在兩種情況：一是和原有的系統(tǒng)并行；二是全面取代舊的系統(tǒng)。因此在前期階段，審計人員應(yīng)充分了解企業(yè)情況。通

23、過與管理層和各業(yè)務(wù)主管部門的溝通、詢問，了解企業(yè)的ERP項目是否真正上線成功，運行過程中是否出現(xiàn)過重大問題。處于并行階段的，很多情況下ERP系統(tǒng)和舊的賬務(wù)系統(tǒng)之間會存在一個差額，要了解這個差額的形成原因，以及企業(yè)如何處置，有無弄虛作假的行為。如果是后者則了解新的系統(tǒng)是否正常運行，以便在不同的情況下制定不同的審計計劃。同時關(guān)注企業(yè)的各項管理、控制制度是否同步跟進。要熟悉和理解被審計企業(yè)ERP軟件中所包含的管理思想，注重與企業(yè)的信息主管溝通，必要時可與企業(yè)的軟件供應(yīng)商溝通，以充分利用軟件本身的統(tǒng)計、分析比較功能，獲得豐富的分析性復(fù)核資料。2、了解主要業(yè)務(wù)流程包括材料采購流程、產(chǎn)品制造流程、商品銷售

24、流程等。要了解企業(yè)系統(tǒng)的整體框架和各個模塊的大致框架。對業(yè)務(wù)流程在ERP中的反映，即從接受訂單，到采購、收貨、驗貨、庫存管理、生產(chǎn)直至出貨銷售，從數(shù)據(jù)流方面有個大致印象。3、注重內(nèi)部控制的審計加強對ERP系統(tǒng)內(nèi)部控制的審計，應(yīng)考慮計算機條件下的內(nèi)部控制的特征：第一：缺乏交易軌跡。第二:同類交易處理的一致性。第三：缺乏職責分工。第四：在特定方面發(fā)生錯誤與舞弊行為的可能性較大。第五：交易授權(quán)、執(zhí)行與手工處理存在差異。第六：其他內(nèi)部控制依賴計算機處理。提倡在ERP系統(tǒng)的設(shè)計和開發(fā)階段，審計人員介入，參與對系統(tǒng)內(nèi)控的設(shè)計。ERP系統(tǒng)下的內(nèi)部控制包括一般控制和應(yīng)用控制。在研究評價一般控制時應(yīng)考慮組織與管

25、理控制應(yīng)用系統(tǒng)開發(fā)和系統(tǒng)控制。計算機操作控制系統(tǒng)軟件控制，數(shù)據(jù)和程序控制。在研究和評價應(yīng)用控制時應(yīng)考慮輸入控制，計算機處理與數(shù)據(jù)文件控制，輸出控制。（五） 運用計算機輔助審計應(yīng)注意的控制第一：文件備份工作應(yīng)定期進行。在審計完成后，審計資料的軟盤至少應(yīng)備份兩到三份，而且應(yīng)作好軟盤的保管工作。第二：制定制度，規(guī)定只有經(jīng)過授權(quán)的人員才可以接觸審計資料，應(yīng)使用密碼或口令控制審計軟件系統(tǒng)的進入。第三：保存必要的書面資料。企業(yè)在使用系統(tǒng)時，未必會書面保存計算機里的資料，審計人員在審計中應(yīng)要求企業(yè)打印出審計所需要的文件并保存。第四：軟件測試。審計人員在使用審計軟件前必須檢測，還需檢查測試版本同審計軟件是否兼容。如果使用不當?shù)能浖?，容易?dǎo)致新的審計風險。另外如果使用企業(yè)的拷貝文件，審計人員應(yīng)確定拷貝文件與原文件完全一致。第五：計算機輔助審計與職業(yè)判斷相結(jié)合。職業(yè)判斷是審計人員進行審計決策時對各相關(guān)方面進行綜合考慮的過程，審計人員應(yīng)將計算機輔助審計與職業(yè)判斷有機結(jié)合，才能