1、紹興職業技術學院經濟管理系會計電算化專業畢業論文ERP系統下的審計風險及規避姓 名: 學 號: A003074020738指導教師: 日 期: 2010年4月29日目 錄一、ERP系統概述及優勢1二、ERP系統下，審計環境的變化1（一）審計范圍的擴大1（二）審計線索的改變2（三）內部控制的變化2三、ERP系統下的審計風險3（一）固有風險3（二）控制風險31、審計線索的減少或消失32、原始數據錄入存在的錯漏4（三）檢查風險41、歷史文件的難以提取42、經濟業務難以真實反映4四、ERP系統下審計風險的規避4（一）加強審計隊伍建設4（二）使用科學的審計方法5（三）不斷完善審計準則和行業標準5（四）注

2、重對被審計單位的了解51、了解企業情況52、了解主要業務流程63、注重內部控制的審計6（五）運用計算機輔助審計應注意的控制6內容摘要隨著信息技術和互聯網技術的迅速發展，企業的經營模式、管理模式等都發生了劃時代的革命。ERP系統實施后，企業利用信息系統進入了業務流程重組和優化，而隨之而來的問題就是系統的復雜化和信息技術風險的集中化。由于ERP的特點，對審計人員提出了挑戰，傳統的審計技術和方法，審計思想和策略都需發生變化。同時ERP環境下的某些領域審計風險也在加大，隨著新審計準則的施行，審計風險模型也隨之發生了變化。利用審計風險模型，分析各個因素對審計風險的影響。注重ERP系統下審計風險的規避，以

3、降低審計人員的審計風險，提高審計質量。關鍵詞： ERP系統，審計風險，規避AbstractWith the rapid development of information technology and Internet technologies, the models of business and management have undergone an epoch-making revolution. After the implementation of ERP systems, on the hand, the enterprises employ the information s

4、ystem to enter the reengineering and optimization of the business process, on the other hand, the attendant problem is that the complexity of the system and the risk of the centralization of information technology. Owing to the characteristics of the ERP, it is a challenge for the auditor. Both the

5、traditional technique and methods of the audit and the ideas and strategies need to be changed. Meanwhile, the risk of audit in some area is increasing as well under the environment of ERP. As the new standards of the auditing implementats, the model of the audit risk will be changed too, under the

6、ERP system ,which means that the auditors not only need to utilize the model of the audie risk and analyze various factors which may affect the audit risk, but also should focus on the circumvent of the audit risk, so as to reduce auditors audit risk and improve the quality of the audit.Keywords: ER

7、P System，Audit Risk，CircumventERP系統下的審計風險及規避緒論：審計的發展與其賴以生存的環境密切相關。環境的不確定性和相互制約性將直接影響審計的目的和范圍，進而影響審計的內容和方法。由于ERP的管理理念、管理思想和管理方法在企業的應用，改變了企業的經營環境，改變了信息的產生和處理，同時某些領域審計風險也在加大。隨著新審計準則的施行，審計風險模型也隨之發生了變化。新形勢下，審計人員如何應對這些風險，提高審計的質量和效率，成為急待解決的問題。一、 ERP系統概述及優勢ERP(Enterprise Resource Plan)是整合了企業管理理念、業務流程、基礎數據、人

8、力物力、計算機硬件和軟件與一體的企業資源管理系統。主要包括四方面的內容：生產控制（計劃，制造），物流管理（分銷，采購，庫存管理），財務管理（會計核算，財務管理）和人力資源管理，這四大系統本身就是集成體。ERP系統將各個模塊細化，拆分，形成相對獨立又無可無縫銜接的軟件系統，使得不同規模的企業可根據需要自由組合，讓企業的資源得到最優化配置。ERP系統集信息技術與先進的管理思想於一身，成為現代企業的運行模式。反映時代對企業合理調配資源，最大化地創造社會財富的要求，成為企業在信息時代生存、發展的基石。它對于改善企業業務流程、提高企業核心競爭力具有顯著作用。完善的ERP系統其自身特有的數據集成化，集中化

9、等優勢，能提供靈活全面的數據輸出功能，也為審計人員的數據分析提供了便利。與傳統審計相比，ERP系統的審計使垮時空審計成為可能，信息的及時性和準確性較高，審計的隱秘性較好，審計報告時效性得以提高，審計技術方法得以創新。二、 ERP系統下，審計環境的變化（一） 審計范圍的擴大企業實施ERP后，會計資料雖然仍通過其核心模塊財務會計系統反映。然而與傳統的手工記賬相比，ERP實現了采購、生產、銷售、人力資源及財務信息等相關數據的自動傳輸，財務數據更加及時、全面、自動化。由于所有信息全部實現了電子傳輸，交易過程及交易信息反映的直觀性大打折扣，數據的關聯性更強。審計人員不應僅局限于財務會計系統，而要延伸到其

10、他模塊，追溯到原始數據的輸入及各模塊關鍵環節的控制情況。同時，由于系統的介入，數據的準確性不僅受主觀因素的影響，又與計算機自身(如黑客侵入，病毒危害等)有關，ERP系統運行的穩定性、安全性納入了審計的范圍。另一方面，ERP不僅對傳統的業務和流程進行了優化和重組，而且還將上下游企業都納入管理中來，實現了整個供應鏈的統一。在這種環境下，企業的財務收支及其有關的經營管理活動不僅涉及企業的內部資源，還涉及企業的外部資源。審計對象擴大，使審計的范圍和特點變得更加廣泛和復雜，審計風險進一步加大。（二） 審計線索的改變在手工會計系統中，會計人員對經濟業務的處理詳細記錄在紙上，審計人員所需要的線索，都可以通過

11、這些書面記錄加以審計。而企業實施ERP后，許多操作通過網絡在計算機上處理完成或自動生成，傳統的原始附件有些已經無紙化而通過電磁介質的形式存在。比如，客戶的訂單、企業銷售出貨單、發票等紙質或電磁的形式同時存在，而訂單、出貨單、發票的審批一般通過網上進行，不再像傳統的手工會計系統中根據筆記清晰可辨。同時，ERP系統可以根據確認的經濟業務自動生成憑證，這些集成的憑證按照計算機程序指令進行。如果軟件編碼、程序正確，其財務數據應該更加正確。但是人為的介入，如對上述電磁信息/程序的修改、刪除，也可能不會留下任何痕跡，更加隱蔽，企業作弊的動機也更大。另外，ERP系統本身設置的可修改性、多功能性（如反過賬、反

12、審核、反結賬）為企業財務提供方便的同時，也存在一定的隱患，加大了審計的難度，降低了審計線索的可追溯性。（三） 內部控制的變化企業實施ERP后，內部環境的變化促使內部控制發生相應改變。政策方面：實施ERP前，我國大多數企業屬金字塔式的職能型層次式組織結構。為了適應ERP扁平化管理的需要，企業對業務流程方面進行了重組，對組織結構進行了調整。相應的企業內部各人員的職能、各流程的規劃都有所變動。為了保證在新的環境下能夠順利完成業務流程的優化、管理模式的改變，一系列新的政策和制度將應運而生。比如ERP系統使用權限的相關規定、ERP的定期培訓制度、計算機/網絡風險的安全控制措施等。程序方面：實施信息化前，

13、內部控制主要通過建立相應的制度規范，及工作人員適當的職責分離，實現互相牽連，由人工完成各種檢驗、核對、判斷等。實現信息化后，相當一部分內部控制建立于系統的應用程序中。系統運行時，相對于信息化前，其交易授權和職責劃分發生了變化。同時增加了許多新的內部控制程序，這些新的內部控制包括了許多建立在系統應用程序中由計算機自動執行的各種檢驗、核對、判斷、監控等。三、 ERP系統下的審計風險2003年，修訂后的國際審計準則提出了全新的審計風險模型，即：審計風險=重大錯報風險×檢查風險，其中重大錯報風險即為固有風險和控制風險的綜合。ERP系統的應用使得企業在提高運行效率的同時又產生了新的審計風險。E

14、RP審計與傳統審計相比，其主要的特有風險在于企業的ERP系統是否真實地反映了企業的各項經濟業務。（一） 固有風險在計算機系統的控制下，ERP系統中會計數據的準確性和可靠性大大加強。因此，審計的固有風險基本上被控制，并在一定程度上有所降低。但是由于ERP系統自身的開放性和網絡化，使系統內的數據在較大的范圍內得以共享和交流，這樣審計風險的環境就加大了。例如，計算機數據庫內的會計信息面臨被他人非法拷貝和篡改的風險；會計數據在傳輸過程中面臨被競爭對手截取和惡意修改的風險；還有計算機病毒和網絡黑客的攻擊也會威脅會計數據的安全，嚴重時可能導致系統的全線崩潰等。由此可見，會計數據的安全、完整性控制難以得到保

15、證，從而使控制風險和檢查風險的水平成上升趨勢。（二） 控制風險在手工條件下,內部控制一般表現為對人的控制,強調職責分清,相互牽制。采用的手段主要是利用紙面信息進行手工核對和檢查,責任容易明確,結果也比較直觀。但是在ERP系統中,內部控制轉變為對人和機器兩方面的控制,而且主要是對機器的控制為主。ERP系統實現了從采購到付款、訂單的獲取到發票的開出等業務集成,實現了跨職能部門的業務處理。在這種情況下,ERP系統中單一的數據庫,使過去跨部門的審批流程得到簡化和壓縮。壓縮所造成的一個結果是,用于企業內部控制的許多審計線索在ERP系統的引入后消失了。同時,企業過去基于文件審批的內部控制機制,也無法適應E

16、RP基于流程的管理需要。更重要的是,由于企業的業務運作更加依賴于ERP系統,這種依賴和信息系統本身特點所導致的脆弱性,形成了企業新的業務風險。例如,在ERP系統中,通過對手工流程的機器處理,比如審批處理自動化等,進一步增強了完成各種業務流程的效率。但是,在新的業務執行環境中,這些審批處理的自動化方法將改變企業內部原有的一些風險特征,這時相應的內部控制體系就需要重新評估和設計。1、審計線索的減少或消失傳統會計系統中，從原始憑證到記賬憑證，由過賬到財務報表的編制，每一步都有具體的、可見性的文字記錄和經手人的簽字,審計線索十分清晰。而ERP系統具有憑證自動生成和報表自動生成的功能，幾乎不需要人工干預

17、,使各種業務隱性化和數字化，傳統的憑證和賬簿有的已消失，有的發生了重大的變化。審計線索不復存在,為追查審計線索帶來了極大的困難。2、原始數據錄入存在的錯漏ERP系統下,大量的記賬憑證仍靠人工錄入,如果輸入了錯誤的數據,表面上的機制憑證、賬簿、報表還是互相平衡,這就掩蓋了人工錄入的錯誤。如果漏輸了數據,更是無法察覺。（三） 檢查風險1、歷史文件的難以提取對賬戶或交易的實質性測試往往離不開企業的歷史數據。由于軟件版本的更新、平臺的遷移,難以從往年賬中提取這些歷史數據,使得審計不得不從大量的文檔中收集整理歷史數據。這不僅降低了審計效率,而且帶來了更多的檢查風險。2、經濟業務難以真實反映由于ERP系統

18、中的財務(FIS)模塊與其他功能模塊之間信息高度共享,因此企業各項經濟活動所產生的對企業財務狀況的影響幾乎可以實時地得到反映。而系統中如果存在程序錯誤,則系統是不可信的,不能正確反映企業的經濟業務,使得企業資產、負債及損益的核算結果失真。如不能及時發現此類錯誤,則將帶來極大的審計風險。四、 ERP系統下審計風險的規避（一） 加強審計隊伍建設審計風險的控制實施最終要由人來完成，因此，一支高素質的審計隊伍是真正發揮審計職能的關鍵。只依靠原有的知識和技能是無法勝任對ERP系統環境的審計工作。若要高質量地完成對ERP企業的審計，降低審計風險，不僅要求審計人員具有良好的會計審計知識，還必須對信息技術、網

19、絡技術及其相應的安全控制技術有充分的認識，這可能意味著審計人員知識構成以及人員構成需要根本性的改變。全新的審計程序對審計人員的素質提出了更高的要求，它要求審計人員不僅要精通財務會計知識，還要求審計人員具有計算機知識、信息技術及網絡技術及原理知識。要重視審計人員關于計算機、網絡知識的后續培訓，不斷更新和拓寬知識面，培養審計人員良好的審計風險意識。在此基礎上，培養一批計算機審計的系統開發人員，從事設計和開發審計軟件，建立適合ERP的計算機審計程序，尤其是在這些軟件中規定必須嵌入的監控程序以及通用接口。此外，須加快研究網絡環境下進行審計的理論研究，以達到降低審計風險的目的。（二） 使用科學的審計方法

20、要降低和控制審計風險，應采取科學的審計方法。風險導向審計是將審計風險觀念應用于審計全過程的科學模式，它通過對審計風險進行系統的分析和評價，來確定審計風險是否可以控制在可容忍的范圍內。審計人員必須不斷創新審計手段、方法，應做到：第一，審計人員應積極學習借鑒國外的先進審計技術，根據需要不斷開發出一系列應用審計、嵌入式審計軟件。在ERP系統下，紙質信息載體被數字化信息載體取代，面對無紙化的各種業務，審計工作的起點只能是經計算機處理過的數據，而不是繞過計算機審計。因此，審計系統的開發勢在必行。第二，利用計算機強大的計算功能，快速、有效的對每筆重要業務進行抽樣、核對、分析、比較和計算，測試其原始憑證、入

21、賬、匯總的正確性。使用電子郵件向網絡銀行中心、客戶、供應商進行函證，取得有關電子數據文件作為審計證據。第三，利用網絡進行遠程審計和就地審計，當前審計與前續審計、后續審計相結合，實時審查被審計單位的財務情況，使得跨時空、跨地域審計成為可能。同時由于信息系統涉及到整個供應鏈，與客戶、供應商緊密相關，審計人員審計的協同作業即聯合審計成為可能。最后，借鑒國際所審計經驗，建立國內ERP系統數據分析庫等。審計人員應在分工、協作、交流的基礎上不斷創新審計手段與方法。（三） 不斷完善審計準則和行業標準我國應抓緊完善審計法規和審計業務準則，以統一審計執業規范，降低審計風險。審計準則是審計工作應遵循的規范和尺度，

22、是評價審計工作質量的權威性規則。企業實施ERP系統后，由于審計范圍和審計線索發生了重大變化。因而審計的技術和手段也發生了相應的變化。這時，現有的審計標準準則體系和法律法規體系已不能完全適應、指導和規范ERP環境下審計的實踐。應在原有的審計標準和準則的基礎上，建立一系列與新情況相適應的新的審計標準和準則，如內部控制審計準則、系統安全可靠性評價標準和對審計人員的一般要求等，以適應新形勢的需要。（四） 注重對被審計單位的了解1、了解企業情況由于在ERP的引入過程中存在誤區，許多使用ERP的企業經常存在兩種情況：一是和原有的系統并行；二是全面取代舊的系統。因此在前期階段，審計人員應充分了解企業情況。通

23、過與管理層和各業務主管部門的溝通、詢問，了解企業的ERP項目是否真正上線成功，運行過程中是否出現過重大問題。處于并行階段的，很多情況下ERP系統和舊的賬務系統之間會存在一個差額，要了解這個差額的形成原因，以及企業如何處置，有無弄虛作假的行為。如果是后者則了解新的系統是否正常運行，以便在不同的情況下制定不同的審計計劃。同時關注企業的各項管理、控制制度是否同步跟進。要熟悉和理解被審計企業ERP軟件中所包含的管理思想，注重與企業的信息主管溝通，必要時可與企業的軟件供應商溝通，以充分利用軟件本身的統計、分析比較功能，獲得豐富的分析性復核資料。2、了解主要業務流程包括材料采購流程、產品制造流程、商品銷售

24、流程等。要了解企業系統的整體框架和各個模塊的大致框架。對業務流程在ERP中的反映，即從接受訂單，到采購、收貨、驗貨、庫存管理、生產直至出貨銷售，從數據流方面有個大致印象。3、注重內部控制的審計加強對ERP系統內部控制的審計，應考慮計算機條件下的內部控制的特征：第一：缺乏交易軌跡。第二:同類交易處理的一致性。第三：缺乏職責分工。第四：在特定方面發生錯誤與舞弊行為的可能性較大。第五：交易授權、執行與手工處理存在差異。第六：其他內部控制依賴計算機處理。提倡在ERP系統的設計和開發階段，審計人員介入，參與對系統內控的設計。ERP系統下的內部控制包括一般控制和應用控制。在研究評價一般控制時應考慮組織與管

25、理控制應用系統開發和系統控制。計算機操作控制系統軟件控制，數據和程序控制。在研究和評價應用控制時應考慮輸入控制，計算機處理與數據文件控制，輸出控制。（五） 運用計算機輔助審計應注意的控制第一：文件備份工作應定期進行。在審計完成后，審計資料的軟盤至少應備份兩到三份，而且應作好軟盤的保管工作。第二：制定制度，規定只有經過授權的人員才可以接觸審計資料，應使用密碼或口令控制審計軟件系統的進入。第三：保存必要的書面資料。企業在使用系統時，未必會書面保存計算機里的資料，審計人員在審計中應要求企業打印出審計所需要的文件并保存。第四：軟件測試。審計人員在使用審計軟件前必須檢測，還需檢查測試版本同審計軟件是否兼容。如果使用不當的軟件，容易導致新的審計風險。另外如果使用企業的拷貝文件，審計人員應確定拷貝文件與原文件完全一致。第五：計算機輔助審計與職業判斷相結合。職業判斷是審計人員進行審計決策時對各相關方面進行綜合考慮的過程，審計人員應將計算機輔助審計與職業判斷有機結合，才能