浅述ERP管理与内部审计

摘 要：随着ERP在企业广泛地实施，给传统企业管理带来了很大影响，内审人员应了解、掌握ERP系统相关知识及风险，加强对业务流程及关键控制点、系统监控的监督评价，加强审计信息化建设，降低审计风险。

关键词：ERP 系统风险 内部审计 影响及对策

作为信息化管理的重要手段之―，ERP管理已成为当今社会先进的现代企业管理模式的主流管理手段。ERP为企业实现了管理水平的提高，竟争力的改善；但同时也有很多企业实施ERP管理，却没有达到应有的预期，甚至是惨痛的教训。ERP系统的实施使企业管理方式发生重大改变，同时也增加了企业的管理风险，给内部审计带来很大的影响。

1.ERP系统管理的内涵和主要特点

1.1ERP系统管理的内涵

ERP是Enterprise Resource Planning的简称，中文意思企业资源计划，是20世纪90年代美国著名的计算机技术咨询和评估公司加特纳（GartnerGroupInc）提出的概念。他预测在今后信息时代企业管理信息系统的发展趋势和即将发生变革。 ERP是针对物资资源管理、人力资源管理、财务资源管理、信息资源管理集成一体化的企业管理软件。

ERP是指建立在信息技术基础上，以系统化的管理思想，为企业决策层及员工提供决策运行手段的管理平台。ERP系统集中信息技术与先进的管理思想於一身，成为现代企业的运行模式。ERP的应用涉及到企业的各个部门，从最高的领导层到最底层的操作人员。其主要目的是使企业的资源得到合理配置和优化管理，从而提高经营管理绩效。

1.2ERP系统的主要特点

1.2.1系统集成性

ERP系统是个完整的集成化管理信息系统，包括财务、供应链、生产、HR、CRM（销售）、BI（领导决策）、PDM（产品数据管理）、质量控制、售后服务等子系统，其最大特点是信息集成，实行财务与业务、财务与供应链、销售链的一体化管理。

1.2.2可定制性

ERP要通过“定制”，才能形成适应特定企业业务处理所需要的管理信息系统。所谓“定制”，就是在系统中设置很多控制系统运行的参数和一些关键数据，如企业结构、计划策略、财务科目表等。一个标准 ERP 实施完成后，它将变成“量身定制”的适应特定企业当前业务处理需求的专用系统。

1.2.3开放性

ERP一般都要开放和其他系统的接口，同时也要提供二次开发的必要条件。一般商品化ERP产品源代码是全部开放的，因为这样才能使客户充分理解和掌握 ERP 系统，给客户提供二次开发的充分支持。ERP作为企业核心信息处理系统，通常要和工程设计，办公自动化，自动控制设备，质量检测设备等连接，所以ERP系统通常要提供标准接口。

1.2.4灵活性

ERP面对企业经常发生的业务改变，唯一不变是以灵活的定制手段辅之以二次开发，满足各类单位管理业务不断变化的需要。一个企业的结构难免要随着业务发展和经营环境变化而进行改组，一旦改组，处理业务的ERP管理信息系统也跟着修改和调整。因此，ERP 系统只有具有巨大的灵活性，才能适应企业的实际需要。

1.2.5普遍适用性

ERP的适用性，建立在系统功能的高度可“定制”性上。而这种可“定制”性，又是建立在对社会上广泛的企业和业务内在规律的理论认识基础上。ERP的设计思想抓住了企事业等大量组织实体的业务处理任务的共性，辅之以定制手段，就可以普遍适用于大量不同类型的企业和非企业组织机构。使他们能够利用ERP系统协助他们完成特定的业务信息处理任务。

2.ERP应用现状、原因及系统实施风险

ERP在我国发展已有20余年，在目前拥有的15000多家大中型企业和1000多万家中小型企业中，多数已实行了信息化管理。但据统计数据表明，ERP成功实施的也仅占10%―20%，约有30%―40%的企业只是实现了系统的部分集成。在ERP实施过程中，企业自行开发系统实施的占4.33%，企业委托开发自己实施的占23.16%，企业找软件开发商实施的占35.25%，通过管理顾问制定实施的占37.26%。企业选择自行开发或委托开发，主要是成本相对低廉，但同时也带来了诸如系统局限性、升级困难、程序人员变动空缺等系列问题，不能适应标准化管理要求。后期较多企业选择软件供应商实施也遇到了难题：如何选择软件企业，什么样的系统是适合的等问题。

据赛迪顾问调查报告显示：在部份ERP应用不成功的案例中，因软件选择失败的占67%，因管理协调不够而失败的占13%，因实施步骤过急而失败的占9%，因人才流失而失败的占8%，因软件厂商服务支持不够而失败的占3%。从中看出，选择软件是ERP成功实施的关键因素。但是信息技术复杂，企业适用各异，单凭企业自身或者软件厂商都是无法做到的。除此而外，还有部分企业由于内部管理失控导致ERP系统失败。这些对ERP的实施产生重大风险和隐患。

2.1技术风险

ERP系统的用户无论在企业的哪个角落都能因其高度集成的功能获得访问和控制或改变重要业务参数。ERP高度集成的功能模块使得任何一点出现问题都会影响到其他模块的正常运行。同时传统ERP系统所采用客户端/服务器架构使系统管理的难度增大，系统更容易遭受攻击。基于WEB的B/S技术的ERP系统支持异地登录和访问，由于通过因特网登录，任何不正当的用户授权都能导致对系统的非法访问。ERP系统使用单一数据库形式，这有利于ERP系统数据的一致性和信息共享，但如果对不合适的访问权限，缺乏有效控制，那么系统中的一些机密数据将有导致企业重大损失的可能。

2.2管理和项目规划风险

ERP实行流程化管理，导致组织结构改变，甚至是对业务流程的重新设计，因此必然对企业的整体运营产生影响。ERP系统的使用会改变员工的职权，这种工作角色的转变和适应过程因其外部环境的适应程度具有不确定性。流程化的管理密切了部门之间的关系，系统用户必须对自己的业务行为负责，因为它直接影响到其他部门的业务能否顺利进行以及整个企业运作的秩序。在ERP系统的规划实施过程中，企业往往重视流程和技术因素，而忽视对人的重视，最终导致令人失望的实施结果。

2.3组织变革管理和培训风险

组织变革管理和相应的培训在ERP项目初期的预算制定和业务特征定义阶段，往往被忽视。由于ERP的实施会给企业或组织带来相当程度的变革，而在变革管理和培训方面缺乏足够的投入是项目失败的主要原因之一。ERP项目的实施需要改变员工的工作方式和岗位职责，所以员工在参与ERP项目实施方面缺乏积极性。另外，员工需要接收大量的培训去熟悉新的业务流程，并且通过对系统的熟悉来获得使用技能，而这些是整个企业或组织适应新流程和新系统的关键。

2.4BPR（业务流程重组）对业务运作的风险

BPR在优化流程、提高流程效率的同时，也带来了岗位变动的潜在风险。这是由于许多ERP系统实施商通常用业务流程重组（BPR）来描述ERP实施的第一阶段。流程化的管理确实需要对岗位做出一定的调整，但这种调整更多的是对原有岗位特征的重新描述或者调整。对于习惯过去的组织结构和岗位要求的人来说，新的岗位角色可能会造成很多的不适应，其特点就是在ERP系统使用前期某些业务职能不能很好地实施。

3.ERP系统实施对内部审计的影响及对策

3.1ERP系统实施对内部审计的影响

ERP管理与传统企业管理有着本质的不同。其通过流程重组，实现了企业管理变革的同时，也给企业的内部审计带来了巨大的影响。

3.1.1内部审计风险增大

企业的生产经营业务通过统一的ERP系统平台进行处理后，传统的审计线索从内容到形式都发生了变化，企业及员工的工作习惯、思维方式、信息载体、控制手段和管理模式等都发生了根本变化。舞弊和失误均由原来的手工操作变成了机器和系统程序操作，不留任何纸面痕迹；远程联算的应用致使某些原始凭证不在本地存放，记账凭证与原始凭证不在一起存放等。ERP使企业经营风险层次提高、隐蔽更深，风险识别、评估的难度更大。

3.1.2内部审计重点发生了转移

传统审计主要重点是在财会部门，业务的发生都由财会部门来记录；而当企业实施了ERP之后，业务的发生则是由生产部门开始与采购、生产、销售、库存等环节是紧密相连的。所以ERP软件的其他功能模块，对于核实企业资产负债的真实性、交易过程的合法性，检查企业内部控制的执行情况，都有重要的参考作用。传统单纯的财务审计需要向财务审计和业务审计相结合。

3.1.3内部控制环境发生变化

在ERP环境下，企业所有的工作流程都按照面向客户、面向信息网络、面向软件应用的要求进行了重组，原有明确职责分工的作用被削弱，相关部分的内部控制点已建立于系统的应用程序中，由计算机自动执行各种检验、核对、判断、监督以及对系统各功能的权限控制等。企业的内部控制已转变成以整个业务流程实时控制与决策为核心的全方位综合性控制，内部管理权限的严密性以及关键风险点的设置成为ERP环境下内部控制的重点。

3.1.4内部审计技术发生改变

在ERP环境下，由于内部审计环境、内部审计线索、安全控制和内部审计内容的改变，决定了计算机辅助内部审计技术是必不可少的。利用计算机可以更快速、更有效地对电子化的经济信息进行抽样、检查、核对、分析、比较和计算，能有效地提高内部审计效率、扩大审查范围、提高内部审计质量。

3.1.5审计线索隐蔽化

在ERP信息系统中很多纸质信息转换成只有计算机才能识别的编码，数据的输入、输出及存储趋于磁介质化。很多单据、凭证、报表等都可在ERP系统自动生成，经济业务隐性化和数字化。不同于传统的涂改方法，舞弊者一旦非法通过对计算机系统程序的篡改，不仅可以对数据资料进行修改、复制或销毁，还可以消除行动轨迹，不会留下操作痕迹，传统的审计线索就会中断甚至消失。这在一定程度上增加了内部审计调查取证的难度。

3.2ERP环境下的审计对策及建议

ERP实施实现了业务流程的整合，对内部控制产生重大影响，对企业风险管理提出了新的要求：对ERP环境下业务流程进行分析，对内部控制进行测试，重新确定审计切入点。

3.2.1对业务流程的审计

ERP系统是建立在对业务流程进行优化重组的基础之上的，它打破了原有的权力分配模式，系统实施后能否按既定的模式运行以及运行效果如何，关系到系统运行的成败。业务流程会因实施后运行环境的变化而有进一步优化的必要，这样才能使业务始终运行于相对较优的流程环境中。对业务流程的风险管理审计大体包括以下方面：应该在系统中运行的业务是否全部通过系统运行；信息是否及时录入系统；录入的信息是否真实、准确；系统运行是否正确；流程是否通畅，有无缺陷或舞弊的可能；识别、评价和应对流程风险的效果如何等。

3.2.2 对关键控制点的审计

ERP系统是由采购、生产、销售、财务、人力资源等多个模块高度集成起来的，每一模块都有相应的关键控制点，对企业的经营起着至关重要作用。如销售模块中的信用控制点，是根据用户的信用程度控制发货的关键点，如控制不严，有可能使公司财产遭受巨大损失；销售结算中的定价控制点，是根据发货时间来自动划价的，若销售价格调整，而发货时间控制不严，公司的效益损失将非常巨大。因此，对关键控制点的风险管理审计要关注以下问题：是否对关键控制点进行了识别及建立风险评价体系；是否建立了关键控制点的预警机制和应对机制及其适应性和有效性如何。

3.2.3对系统监控的内部审计

ERP系统的优点之一就是对业务和绩效能够进行动态监控。就关键控制点来说，如果随时进行了动态监控，其风险将大大降低，即使偶有异常，也会因及时的动态监控而发现问题并采取相应的措施以减少损失。因此，我们有必要对系统监控功能进行内部审计，审查和评价企业是否利用ERP系统进行了业务和绩效的动态监控、监控点及其风险如何识别和评价、监控的效果如何、发现问题的处理方式以及应对风险的效果如何、有无监控盲区或监控不力的区域、监控结果的利用情况如何等。

3.2.4建立健全、高效的审计信息化系统及操作平台

在ERP系统环境下审计软件应具备智能化、集成化、网络化、通用性的特点，这就要求审计软件应具有直接取数的功能、财务分析及测试功能、计算处理功能、报表及附注合并功能、自动生成部分审计底稿的功能、网络访问功能和审计项目参数设置功能等工具功能；同时，还应具有包含被审计单位资料管理功能、人事管理功能等管理功能。在开发和编制软件过程中，内审人员应积极参与进来；在投入使用后要注意对软件不断进行优化。审计信息系统要能与ERP系统有效链接，实现资源共享。通过审计信息化系统和审计操作平台的建立和完善，帮助企业发现薄弱环节和存在的问题，完善内部控制，提高内审部门在信息化条件下实施审计监督与评价的能力。

参考文献：

[1]张瑞君编著.e时代财务管理[第三版][M].中国人民大学出版社，2009.

[2]赛迪顾问专题报告.ERP应用现状分析[R/OL].百度文库,2011,10.

[3]陆培炜.ERP系统实施和应用的风险管理[EB/OL].中国会计视野,2003.05.

[4]赵红英.ERP环境下的内部审计[J].经济研究导刊，2009，（2）.

[5]巩文芳.浅析ERP系统对内部审计的影响[J/OL].会计文苑，2007，（3），中华会计网.