ERP(EntERPrise Resource Planning，企业资源计划)是由美国著名的计算机技术咨询和评估集团Garter Group公司提出的一整套企业管理系统体系标准，是在信息技术基础上，应用系统化的管理思想，有效地组织和计划企业资源，保证信息的集成性、实时性和统一性，达到“物流、信息流及资金流”三流合一，为企业提供决策手段的信息管理系统。

    近年来，随着经济的迅速发展，信息技术的不断提高以及企业间竞争的加剧，国内越来越多的企业特别是国有大中型企业，相继实施集成了主要经济业务流程的ERP系统，ERP系统实施后，内部审计这个独立、客观的保证与咨询活动，不可避免地受到其带来的冲击与挑战。这从客观上要求我们认真探索在ERP环境下企业内部审计工作。

一、ERP运行环境下企业管理流程及业务处理的特点

    (一)业务流程规范化

    ERP系统的实施，从企业的角度对企业业务处理流程进行了全面梳理，统一发布，并在系统中进行了固化，系统的应用，实现了职能管理到流程管理的转变，从而实现了从凭经验到有标准可依的工作方法转变。

    (二)业务处理集成化

    ERP系统实现了财务信息和业务信息的集成，实行财务与业务的一体化管理，实现了资产与设备的联动，跨部门的业务处理，可以及时反映到相关部门以及高层管理人员，不同部门、岗位的人员，在同一个平台下进行业务处理，可实现业务处理从事后追踪到事前管控的转变。

    (三)业务处理流程化、透明化

    企业的业务流程均固化在系统中，不同的部门、岗位人员均工作于流程的不同节点，系统严格按照规范的业务流程进行业务处理，处理过程清晰透明。

    (四)业务信息标准化

    ERP系统的实施，解决了不同系统之间信息不一致的问题，统一了会计科目体系、物资编码体系等信息标准，实现了信息从分散到共享的转变。

    (五)会计核算自动化

    在ERP环境下，会计的工作内容范围大大扩展，渗透到业务流程和核算的全过程，很多会计数据的录入和生成工作已经前移至业务部门，系统自动生成会计凭证，自动完成财务账簿登记和报表生成等，会计工作延伸到前端业务部门。

二、ERP运行环境下企业内部审计面临的问题

    (一)企业内部控制的改变

    传统会计系统下的内部控制是以财务系统数据核算流程监控和内部牵制为控制重点，而在ERP环境下，企业所有的工作流程都按照面向客户、面向信息网络、面向软件应用的要求进行了重组。同时，ERP系统数据处理与存储的高度集中化、自动化，使手工操作时明确的职责分工这一基本内部控制的作用被削弱，相当一部分内部控制点已建立于系统的应用程序中，由计算机自动执行各种检验、核对、判断、监督以及对系统各功能实用的权限控制等；企业的内部控制已转变成以整个业务流程实时控制与决策为核心，形成了管理控制与系统控制并重、人机控制相结合的全方位综合性控制，内部管理权限的严密性以及关键风险点的设置成为ERP环境下内部控制的重点。

    (二)审计调查取证的难度加大，传统的内部审计技术方法面临挑战

    在传统审计中，每一项经济业务都有文字记录，审计线索十分清晰。在审计方法上审计人员可以根据需要进行顺查、逆查或者抽查。但在ERP环境下，审计线索的储存与处理发生了重大的变化，各种单据、票证和账簿等都以电磁信息的形式存储于磁性介质中，这些信息不再是肉眼所能直接识别的。此外，原始单据进入计算机以后，中间的交易处理由计算机自动完成，传统的审计线索在这里中断、消失，传统的审计方法，有的已不再适用。

    (三)传统的数据分析方法适用性减弱

    ERP系统的后台数据庞大，数据表多，表间钩稽关系复杂。对于一些大型ERP系统，只有极少数运行维护人员较清楚系统的详细设计，这给审计人员确定数据采集重点，重建账表带来了难度。同时，由于ERP系统强调了信息集成，体现的财务数据主要是来源于各个业务系统的集成财务数据，数据具有同一来源的特征，这使审计人员原来应用的财务数据与业务数据对比等方法失去了意义。

    (四)面临新的审计风险

    ERP系统高度集成的特点，决定了在ERP环境下容易产生不同于传统会计信息系统下的新的审计风险：

    1、业务流程控制风险。ERP系统对错误的处理具有重复性和连续性。某一环节数据输入或程序处理的错误，会使错误按照系统设计的流程流转到下一环节，导致以后环节数据的不真实。如果这种错误是由ERP系统本身程序设计错误产生的，会在每一笔相关业务处理中出现，并且不易察觉，加大了审计风险。

    2、职责集中风险。在ERP系统中操作权限分配可能会出现不相容职责相对集中的情况，引发操作风险。如操作人员违规使用，或在数据录入过程中恶意采用虚假、修改、省略、延迟录入等手段制造虚假财务数据，且不留痕迹，会扰乱审计工作人员的视线，给审计工作带来风险。

    3、审计证据的安全风险。计算机信息是用二进制数据表示，以数字信号的方式存在，而数字信息是非连续性的，如果有人故意或因差错对计算机审计证据进行截收、监听、删除、剪接，从技术上来讲审计人员难以查清。计算机操作人员的差错或供电系统、通信网络的故障等环境和技术方面的原因都会使计算机审计证据无法反映真实情况。同时信息是存贮在各种电、磁介质上的，而这些电、磁介质在受热、受潮或强的电磁场环境下容易损坏。在网络环境下，数据的通信传输又为远程操纵计算机破坏、修改计算机审计证据提供了更便利的条件。与传统审计证据相比，计算机审计证据易更改，且更改往往不留痕迹，安全性不高。从内部控制的角度看，利用电、磁介质很容易通过拷贝进行数据的复制而无法区分正本和副本；利用电、磁介质无法实现像签字、盖章这样的使信息证据化的操作。因此，如果单纯依赖电、磁介质这种信息载体，则可能造成责任不清、真伪难辨，使审计证据缺乏应有的法律效力。

    (五)缺乏符合ERP运行环境要求的高素质、复合型的企业内部审计人员

    在ERP系统下，实施ERP系统后，庞大的信息实现了高度集成与共享，要求审计人员除了运用传统审计方法以外，还应具备计算机、网络、信息系统和电子商务等多方面的知识与技能。然而在实践中，企业审计队伍主要由财经类专业人员构成，所掌握的计算机知识和技能尚不能达到ERP环境下开展审计所要求的水平，而审计队伍中的计算机专业人员，又普遍缺乏相应的财会和审计知识，不能独立开展审计工作。符合ERP运行环境的高素质、复合型人才匮乏，制约了信息时代企业内部审计工作的开展。

    (六)对内审工作存在认识上的误区

    有人认为，用上了ERP系统后内部审计部门没事干了，原先很多审计工作可以通过ERP业务流程的整合，ERP的稽核功能解决，内审工作职能已相应削弱；ERP环境下，许多核对工作ERP系统已经能自动完成，只需将所需的数据从ERP系统中导出，然后按照传统的工作思路和方法、按照传统审计环境下容易出现的错误及舞弊为起点进行审计即可。

三、ERP运行环境下企业内部审计工作应采取的对策

    (一)根据管理模式不断调整和优化审计工作流程

    企业ERP系统的实施是一个不断优化的过程，它必须建立在与之相适应的业务流程的基础上，按照企业业务流程的重组、规范化信息处理的要求对现有的审计工作流程进行重新设计，根据管理模式不断调整优化审计工作流程，是实施ERP环境下内部审计的关键环节之一。

    (二)企业内部审计人员必须参与ERP系统实施的全过程

    企业在实施ERP项目之前一般都要对企业进行业务流程重组，其根本目的就是利用ERP系统的信息优势对企业的运作过程进行优化。从风险管理的角度，内部审计部门应及早参与到ERP实施的全过程中，从ERP系统论证、规划、准备、实施到系统运行，并进行适时监控。审计的内容可包括：ERP项目的决策与规划审计，ERP软、硬件选型审计，对实施人员的工作进行审计，实施合同审计，业务流程控制的审计，对项目的实施进度进行审计和对项目实施效果进行审计等。同时，由于ERP系统业务模块众多，通过跟踪其实施过程，审计人员能够进一步熟悉ERP系统功能与特性，也便于更好地开展ERP环境下的内部审计工作。

    (三)加强对重点内容的评估与审计

    1、加强对ERP系统中原始数据录入的准确性、完整性的抽查。ERP环境下的相关数据都是从各业务环节开始，财务与生产、采购、销售、库存等环节紧密相连，一环扣一环，真正做到了无缝连接。如ERP系统中的销售部分，销售是从订立销售合同开始，在实际开具销售发票和提货出库时，系统都自动进行账务处理，自动生成记账凭证传到财务部门，财务人员可以通过操作由系统进行自动审核、记账，也可以进行人工审核。ERP系统使用一个数据库，二者同一数据源，因此这就对原始数据准确性、完整性提出了要求。在审计中，我们工作的目的除检查由于工作失误所造成的原始数据的不准确外，还包括检查是否存在由于舞弊所造成的原始数据的不真实，从而从源头上控制错误和舞弊的发生。

    2、注重控制参数设置的审计。ERP系统有很多参数，如，工艺参数、业务控制参数、财务集成参数、费用分摊等大量的参数，使其能够将经营业务环节输入的数据转化为财务数据以及分析数据，这些参数既影响内部控制的效果，又影响财务数据的准确性和一致性。特别是集成财务数据，除了要从数据源头控制数据的正确性之外，还应该关注中间环节中的财务集成参数的设置，以确保集成财务数据的有效性。因此，系统的参数设置是审计的一个重点，要检查系统参数的设置是否符合企业的实际情况和行业特点，系统参数的设置是否符合一贯性、有效性，是否存在随意改变参数设置的情况。

    3、加强数据安全性审计。计算机及网络技术使会计信息最大范围地被信息使用者共同享用，但这种共同享用的基础是数据的安全。由于计算机技术及人为方面的影响，网络信息的风险将会增加，特别是信息化环境下使用的数据资料通常是电子数据，而电子数据易于被无“痕迹”修改和伪造，使审计资料的可信度下降，而审计证据在网络中传输时又容易遭到截取或替换，从而使审计证据的真实性受到了威胁。因此，必须积极开展数据安全性审计，并将其作为内部审计的重要内容以应对ERP环境下的审计工作。

    (四)加强审计信息化建设，探索ERP环境下的数据式审计

    企业实施ERP是一个浩大的工程，在相当长的一段时间内会保持所应用ERP系统的稳定性，不会像应用财务软件那样频繁更换，所以加强审计信息化建设，探索ERP环境下的数据式审计，使之规范化、智能化对于规范审计工作、提高审计效率具有重要意义。虽然ERP系统数据具有同源性的特点使一些常用的系统间数据对比等审计方法不再适用，但其数据具有的集中性也为审计人员提供了一次性全面采集分析企业集团数据的可能。针对ERP系统表多、表间关系复杂，审计人员在短时间内很难确定采集和分析重点的情况，应探索如何集成ERP环境下财务系统电子账簿采集转换接口及模版，使审计人员能够轻松地获取第一手账簿资料，利用实施系统的数据分析功能，灵活地进行数据分析。同时，积极开发针对ERP系统的计算机审计方法，提高账簿查阅及数据分析的效率，促进ERP环境下计算机审计的规范化、智能化。另外，随着对ERP系统数据采集分析方法的积累和成熟应用，还可以逐步探索对ERP系统数据的联网在线实时审计。

    (五)提高企业内部审计人员素质和技能，适应ERP环境下内部审计发展

    在ERP环境下，内部审计人员必须是既懂ERP系统知识、又懂内部审计业务，能在ERP环境下独立开展内部审计业务的高素质的复合型人才。审计人员要具有丰富的会计、财务、审计知识和技能，熟悉财经法规以及其他的审计规范，还应掌握计算机应用技术、数据处理和管理技术，掌握计算机、网络、信息系统、电子商务等多方面的现代知识技能。不仅要懂得审计软件的操作方法，还要能根据审计过程所出现的各种问题，即时编写出各种测试、审查程序模块，具备较强的将计算机技术与审计工作结合的能力。

    (六)明确ERP环境下内审工作的新方向

    积极开展ERP环境下内审工作新方向、新思路的研究，将审计工作重点逐步进行转移。内审的职能应从查错防弊逐步向为强化企业管理、加强内部控制、新环境下的风险分析与控制等方向转变 。ERP系统上线后，原先许多由内部审计人员完成的内部审核功能可以由系统来完成，内部审计人员可以腾出更多的精力来着眼于强化企业管理、加强内部控制方面的审计工作，提高审计工作的质量，提升内部审计地位，使内审工作进一步发展和提高。

    ERP环境下的内部审计工作目前还处于探索、发展阶段，随着ERP系统的逐步完善，内审工作的重点和方法也需逐步调整，这就要求我们必须不断地学习和探索，才能适应ERP系统运行管理的要求，才能适应企业生产、经营战略发展的需要。