掃碼下載APP
及時(shí)接收最新考試資訊及
備考信息
安卓版本:8.7.30 蘋(píng)果版本:8.7.30
開(kāi)發(fā)者:北京正保會(huì)計(jì)科技有限公司
應(yīng)用涉及權(quán)限:查看權(quán)限>
APP隱私政策:查看政策>
HD版本上線(xiàn):點(diǎn)擊下載>
ERP(即Enterprise Resource Planning,企業(yè)資源規(guī)劃),是20世紀(jì)90年代初發(fā)展起來(lái)的一個(gè)全新的企業(yè)管理系統(tǒng),體現(xiàn)了現(xiàn)代企業(yè)先進(jìn)的管理理念和管理方法,它建立在信息技術(shù)高度發(fā)達(dá)的基礎(chǔ)上,是以系統(tǒng)化的管理思想為企業(yè)決策者和員工提供決策運(yùn)行管理平臺(tái)。企業(yè)由于實(shí)施ERP系統(tǒng)導(dǎo)致其管理流程發(fā)生巨變,從而使得內(nèi)部控制的環(huán)境與之前大不相同,內(nèi)部控制的重點(diǎn)由對(duì)人的控制為主轉(zhuǎn)變?yōu)閷?duì)人、計(jì)算機(jī)和互聯(lián)網(wǎng)的控制,風(fēng)險(xiǎn)控制點(diǎn)也隨之發(fā)生改變。為此,我們只有樹(shù)立數(shù)據(jù)審計(jì)理念,從ERP系統(tǒng)控制入手分析企業(yè)內(nèi)控風(fēng)險(xiǎn),全面開(kāi)展系統(tǒng)數(shù)據(jù)分析審計(jì),才能真正提高審計(jì)工作效率,實(shí)現(xiàn)審計(jì)工作目標(biāo)。
所謂系統(tǒng)數(shù)據(jù)審計(jì)方法,即在ERP環(huán)境下,從企業(yè)系統(tǒng)控制入手分析內(nèi)控風(fēng)險(xiǎn)的薄弱環(huán)節(jié),篩選對(duì)應(yīng)的系統(tǒng)數(shù)據(jù)表,進(jìn)行數(shù)據(jù)的多視角、多方式結(jié)合分析的一種審計(jì)思路。
一、以系統(tǒng)控制為把握內(nèi)控薄弱環(huán)節(jié)
ERP系統(tǒng)的應(yīng)用使企業(yè)的內(nèi)部經(jīng)營(yíng)管理環(huán)境和內(nèi)部控制方式發(fā)生了變化。相當(dāng)一部分內(nèi)部控制點(diǎn)已建立于系統(tǒng)的應(yīng)用程序中,由系統(tǒng)自動(dòng)執(zhí)行各種檢驗(yàn)、核對(duì)、判斷、監(jiān)督以及各種功能權(quán)限的控制;企業(yè)形成了管理控制與系統(tǒng)控制并重、人機(jī)控制相結(jié)合的全方位綜合性控制,內(nèi)部管理權(quán)限的嚴(yán)密性以及關(guān)鍵風(fēng)險(xiǎn)點(diǎn)的設(shè)置成為ERP環(huán)境下內(nèi)部控制的重點(diǎn)。因此,審計(jì)人員應(yīng)更加關(guān)注系統(tǒng)的內(nèi)部控制。
(一)管理制度分析。
制度管理是企業(yè)ERP系統(tǒng)安全運(yùn)行、合理高效利用和數(shù)據(jù)真實(shí)完整的重要前提。了解被審計(jì)單位ERP系統(tǒng)相關(guān)的管理制度,可以幫助審計(jì)人員從總體上了解ERP系統(tǒng)的管理運(yùn)行情況,初步分析ERP系統(tǒng)可能存在的風(fēng)險(xiǎn)控制點(diǎn)。管理制度分析的包括以下主要內(nèi)容。
1.管理制度的完整性。即管理制度是否足夠保證ERP系統(tǒng)運(yùn)行正常,包括三方面:一是對(duì)系統(tǒng)管理員和崗位操作員進(jìn)行管理的人員類(lèi)管理制度;二是對(duì)硬件設(shè)網(wǎng)絡(luò)設(shè)施、應(yīng)用系統(tǒng)進(jìn)行管理的技術(shù)類(lèi)管理制度;三是對(duì)ERP的業(yè)務(wù)操作進(jìn)行管理的流程類(lèi)管理制度,重點(diǎn)是基礎(chǔ)數(shù)據(jù)和關(guān)鍵數(shù)據(jù)的錄入和審核制度。
2.管理制度的科學(xué)性。每項(xiàng)制度的各項(xiàng)規(guī)定是否明確、是否具有可操作性,制度之間的相關(guān)規(guī)定是否統(tǒng)一。
3.管理制度的有效性。每項(xiàng)制度是否得到有效執(zhí)行。
(二)系統(tǒng)權(quán)限分析。
了解系統(tǒng)權(quán)限主要從ERP系統(tǒng)權(quán)限設(shè)計(jì)與ERP企業(yè)的組織架構(gòu)、ERP系統(tǒng)角色與權(quán)限、ERP系統(tǒng)用戶(hù)與角色對(duì)應(yīng)、崗位的職責(zé)控制這幾個(gè)層層遞進(jìn)的方面來(lái)進(jìn)行。ERP系統(tǒng)一般由財(cái)務(wù)管理、供應(yīng)鏈、人力資源等多個(gè)模塊高度集成,每一模塊都有相應(yīng)的關(guān)鍵控制點(diǎn),關(guān)注被審計(jì)單位ERP系統(tǒng)權(quán)限配置,分析是否存在某個(gè)或某些成員同時(shí)履行不相容的職責(zé)和操作權(quán)限。系統(tǒng)權(quán)限分析包括以下主要內(nèi)容。
1.ERP系統(tǒng)權(quán)限設(shè)計(jì)與ERP企業(yè)的組織架構(gòu)。
ERP權(quán)限用于系統(tǒng)檢查用戶(hù)操作權(quán)限。在ERP系統(tǒng)用戶(hù)進(jìn)行某項(xiàng)工作操作時(shí),系統(tǒng)需要執(zhí)行相應(yīng)事務(wù)碼對(duì)應(yīng)的功能,該事務(wù)碼是系統(tǒng)用于檢查ERP權(quán)限的標(biāo)識(shí)。ERP權(quán)限設(shè)計(jì)是企業(yè)整體權(quán)限實(shí)施的核心,是企業(yè)內(nèi)部控制的基礎(chǔ)。
2.ERP系統(tǒng)各模塊的角色劃分及其權(quán)限,重點(diǎn)關(guān)注敏感角色的權(quán)限配置情況。
3.獲取ERP系統(tǒng)用戶(hù)與角色的對(duì)應(yīng)關(guān)系表和用戶(hù)授權(quán)結(jié)果表,重點(diǎn)關(guān)注擁有多重角色的用戶(hù)和超級(jí)用戶(hù)。
多重角色用戶(hù)在ERP系統(tǒng)中擁有一個(gè)以上的角色。通常情況下,崗位相當(dāng)于角色,一個(gè)用戶(hù)處于某一崗位,就擁有相應(yīng)角色。但是大型企業(yè)通常員工較多,導(dǎo)致ERP系統(tǒng)中的角色體系十分龐雜,有些企業(yè)通常在ERP中建立一套通用角色、復(fù)合角色和單一角色所構(gòu)成的角色體系來(lái)對(duì)用戶(hù)進(jìn)行授權(quán),這樣就會(huì)導(dǎo)致某個(gè)用戶(hù)擁有多個(gè)角色。擁有多重角色的用戶(hù)的系統(tǒng)權(quán)限可能被逐漸放大甚至有失控的危險(xiǎn)。
一般ERP產(chǎn)品會(huì)在系統(tǒng)內(nèi)置入特定的超級(jí)用戶(hù),“超級(jí)用戶(hù)”擁有操作軟件所有功能的所有權(quán)限,是最高管理賬戶(hù)。超級(jí)用戶(hù)有可能直接篡改業(yè)務(wù)數(shù)據(jù),造成被審計(jì)單位數(shù)據(jù)不真實(shí)。審計(jì)人員需要摸清企業(yè)是否應(yīng)用了超級(jí)用戶(hù),有哪些人是超級(jí)用戶(hù),超級(jí)用戶(hù)的權(quán)限內(nèi)容,是否有對(duì)應(yīng)的日志記錄可使其被監(jiān)督。
4.明確系統(tǒng)用戶(hù)的權(quán)限是否設(shè)有期限。
5.獲取企業(yè)ERP系統(tǒng)的崗位職責(zé)分配表,重點(diǎn)關(guān)注企業(yè)對(duì)關(guān)鍵崗位的職責(zé)控制,以及其控制是如何通過(guò)ERP系統(tǒng)的權(quán)限、角色、用戶(hù)的設(shè)置來(lái)實(shí)現(xiàn)的。
(三)系統(tǒng)運(yùn)行分析。
ERP系統(tǒng)運(yùn)行分析包括運(yùn)行環(huán)境和運(yùn)維方式兩個(gè)方面。運(yùn)行環(huán)境是ERP系統(tǒng)運(yùn)行的載體,ERP運(yùn)行環(huán)境的安全性、穩(wěn)定性是ERP系統(tǒng)數(shù)據(jù)信息可靠性的有效保障。運(yùn)維方式反映了企業(yè)的經(jīng)營(yíng)規(guī)模、安全目標(biāo)和管理體系的匹配程度,也是分析審計(jì)風(fēng)險(xiǎn)的一個(gè)參考依據(jù)。系統(tǒng)運(yùn)行分析包括以下主要內(nèi)容。
1.ERP運(yùn)行環(huán)境的構(gòu)成,主要包括應(yīng)用軟件環(huán)境、數(shù)據(jù)庫(kù)環(huán)境、硬件環(huán)境、網(wǎng)絡(luò)環(huán)境、安全環(huán)境等,其中重點(diǎn)是數(shù)據(jù)庫(kù)環(huán)境。
2.ERP系統(tǒng)的部署方式,主要了解ERP系統(tǒng)是集中部署還是分布式部署,是由一套軟件系統(tǒng)構(gòu)成還是多套ERP系統(tǒng)軟件構(gòu)成。
3.ERP系統(tǒng)日常運(yùn)維方式。集團(tuán)企業(yè)ERP系統(tǒng)運(yùn)維方式通常有兩種方式,一種是企業(yè)自行組織開(kāi)發(fā)或與ERP廠商聯(lián)合開(kāi)發(fā)的ERP系統(tǒng),被審計(jì)單位自己負(fù)責(zé)ERP系統(tǒng)的運(yùn)維。另一種是企業(yè)使用標(biāo)準(zhǔn)化的ERP產(chǎn)品,由ERP廠商或第三方負(fù)責(zé)運(yùn)維。
4.ERP系統(tǒng)運(yùn)行中的重大問(wèn)題和突發(fā)事件,解決情況和造成的影響。
(四)系統(tǒng)實(shí)施分析。
系統(tǒng)實(shí)施是指企業(yè)從啟動(dòng)ERP系統(tǒng)建設(shè)項(xiàng)目開(kāi)始,經(jīng)過(guò)規(guī)劃業(yè)務(wù)藍(lán)圖、確定系統(tǒng)需求、設(shè)計(jì)開(kāi)發(fā)與測(cè)試、安排系統(tǒng)部署等環(huán)節(jié),直至ERP系統(tǒng)上線(xiàn)的全過(guò)程發(fā)生的事務(wù)。該建設(shè)過(guò)程與ERP生產(chǎn)廠商開(kāi)發(fā)ERP產(chǎn)品的過(guò)程相區(qū)別,是ERP系統(tǒng)在企業(yè)內(nèi)的建設(shè)過(guò)程。對(duì)于某些直接購(gòu)買(mǎi)ERP產(chǎn)品而未重新進(jìn)行二次開(kāi)發(fā)的企業(yè)來(lái)說(shuō),該過(guò)程可能不存在確定系統(tǒng)需求、設(shè)計(jì)開(kāi)發(fā)與測(cè)試等環(huán)節(jié)。
審計(jì)人員可以通過(guò)編制發(fā)放調(diào)查表的方式了解被審計(jì)單位建設(shè)的主要信息系統(tǒng)的靜態(tài)基本情況,該調(diào)查表要素包括系統(tǒng)名稱(chēng)、系統(tǒng)類(lèi)別、應(yīng)用范圍、所有者、系統(tǒng)狀況、主要用途、開(kāi)發(fā)商或集成商、體系架構(gòu)、硬件環(huán)境、數(shù)據(jù)庫(kù)管理系統(tǒng)、數(shù)據(jù)年生產(chǎn)量及主要業(yè)務(wù)年交易量、評(píng)審驗(yàn)收情況、文檔資料情況(需求說(shuō)明書(shū)、概要設(shè)計(jì)說(shuō)明書(shū)、測(cè)試分析報(bào)告、用戶(hù)操作手冊(cè)、軟件維護(hù)手冊(cè)、數(shù)據(jù)庫(kù)表結(jié)構(gòu)等)。在此基礎(chǔ)上調(diào)查了解以下主要內(nèi)容。
1.被審計(jì)單位ERP項(xiàng)目需求階段的業(yè)務(wù)藍(lán)圖、需求分析報(bào)告和用戶(hù)需求規(guī)格說(shuō)明書(shū)。
業(yè)務(wù)藍(lán)圖是ERP界通用的一種企業(yè)建模方式。業(yè)務(wù)藍(lán)圖通過(guò)對(duì)公司業(yè)務(wù)現(xiàn)狀進(jìn)行的需求調(diào)研分析,梳理出企業(yè)未來(lái)的物流、資金流和信息流的業(yè)務(wù)模型;業(yè)務(wù)藍(lán)圖用一種企業(yè)客戶(hù)易于理解的方式來(lái)描述復(fù)雜的過(guò)程,是一種直觀明了的描述方法。他使用少量的符號(hào),以集合的方式進(jìn)行組織,定義了某人在特定的時(shí)間、采用特定的方法去做特定的事情。在業(yè)務(wù)藍(lán)圖基礎(chǔ)之上可以建立起ERP系統(tǒng)業(yè)務(wù)的規(guī)劃、上線(xiàn)方案等,從而建立起企業(yè)整體應(yīng)用的ERP系統(tǒng)框架。
2.被審計(jì)單位ERP項(xiàng)目設(shè)計(jì)階段的系統(tǒng)概要設(shè)計(jì)文檔和數(shù)據(jù)庫(kù)概要設(shè)計(jì)文檔。特別是系統(tǒng)應(yīng)用架構(gòu)和數(shù)據(jù)庫(kù)表結(jié)構(gòu)。如果被審計(jì)單位是自己開(kāi)發(fā)的ERP系統(tǒng)或與ERP廠商合作開(kāi)發(fā)的系統(tǒng),可直接獲取ERP系統(tǒng)的數(shù)據(jù)字典等數(shù)據(jù)結(jié)構(gòu)性文檔。
3.被審計(jì)單位ERP項(xiàng)目實(shí)施各階段的系統(tǒng)授權(quán)手冊(cè)、基礎(chǔ)數(shù)據(jù)設(shè)置清單、標(biāo)準(zhǔn)參數(shù)配置文檔、基礎(chǔ)數(shù)據(jù)設(shè)置報(bào)告、用戶(hù)操作手冊(cè)、軟件維護(hù)手冊(cè)、項(xiàng)目實(shí)施階段報(bào)告、系統(tǒng)實(shí)施階段里程碑文件等文檔。
4.企業(yè)資產(chǎn)重組引起ERP系統(tǒng)結(jié)構(gòu)變化情況。
5.獲取業(yè)務(wù)模塊基礎(chǔ)靜態(tài)表和動(dòng)態(tài)表。
(五)業(yè)務(wù)流程分析。
ERP系統(tǒng)的業(yè)務(wù)流程基于ERP企業(yè)的業(yè)務(wù)流程,貫穿企業(yè)各種業(yè)務(wù)的各種管理對(duì)象,形成物流、資金流、信息流的變化過(guò)程,是ERP系統(tǒng)的核心內(nèi)容,也是進(jìn)行審計(jì)數(shù)據(jù)分析的核心內(nèi)容。審計(jì)人員可以通過(guò)書(shū)面或者口頭詢(xún)問(wèn)、召開(kāi)調(diào)查會(huì)議、發(fā)放調(diào)查表(問(wèn)卷)、查閱文件、實(shí)地察看、利用以往審計(jì)的資料與經(jīng)驗(yàn)以及學(xué)習(xí)對(duì)被審計(jì)企業(yè)有重大影響的法規(guī)等方法,調(diào)查了解以下主要內(nèi)容。
1.獲取ERP系統(tǒng)整體業(yè)務(wù)流程的規(guī)劃設(shè)計(jì)文檔,了解ERP系統(tǒng)整體業(yè)務(wù)流程和各子系統(tǒng)間業(yè)務(wù)數(shù)據(jù)的關(guān)系,明確企業(yè)的業(yè)務(wù)流程和各子系統(tǒng)之間的數(shù)據(jù)控制和關(guān)聯(lián)性。
ERP系統(tǒng)業(yè)務(wù)流程規(guī)劃設(shè)計(jì)遵循職責(zé)完整原則、職責(zé)分離原則、目標(biāo)驅(qū)動(dòng)原則、跨職能扁平化原則、流程運(yùn)作效率原則等多項(xiàng)原則。
ERP整體業(yè)務(wù)流程和各子系統(tǒng)間業(yè)務(wù)數(shù)據(jù)的關(guān)系:ERP系統(tǒng)業(yè)務(wù)流程處理的對(duì)象實(shí)質(zhì)是數(shù)據(jù),可以將ERP系統(tǒng)數(shù)據(jù)分為基礎(chǔ)性數(shù)據(jù)和事務(wù)性數(shù)據(jù);ERP 系統(tǒng)的各個(gè)子系統(tǒng)之間根據(jù)企業(yè)內(nèi)部生產(chǎn)經(jīng)營(yíng)的業(yè)務(wù)流程關(guān)系,利用數(shù)據(jù)接口進(jìn)行與流程相對(duì)應(yīng)的數(shù)據(jù)共享與處理。如了解到物流系統(tǒng)基礎(chǔ)數(shù)據(jù)中的供應(yīng)商同時(shí)也進(jìn)入財(cái)務(wù)管理系統(tǒng),是應(yīng)付賬款的核算單元,在審計(jì)中可以在物流系統(tǒng)中抽取供應(yīng)商明細(xì)表核對(duì)應(yīng)付賬款中往來(lái)情況。
2.獲取ERP系統(tǒng)核心業(yè)務(wù)流程的業(yè)務(wù)流程圖和數(shù)據(jù)流圖。
業(yè)務(wù)流程圖是一種描述系統(tǒng)內(nèi)各單位、人員之間業(yè)務(wù)關(guān)系、作業(yè)順序和管理信息流向的圖表。
數(shù)據(jù)流圖(Data Flow Diagram,DFD)是從數(shù)據(jù)流轉(zhuǎn)和加工分析角度,以圖形的方式來(lái)表達(dá)系統(tǒng)的邏輯功能要求、數(shù)據(jù)在系統(tǒng)內(nèi)的數(shù)據(jù)流向和邏輯變換過(guò)程,是結(jié)構(gòu)化系統(tǒng)分析方法的主要表達(dá)工具。
業(yè)務(wù)流程圖和數(shù)據(jù)流圖之間的關(guān)系:業(yè)務(wù)流程圖是物理模型,數(shù)據(jù)流圖是系統(tǒng)的邏輯模型,數(shù)據(jù)流圖是提供給軟件研發(fā)人員理解業(yè)務(wù)流程需求處理的圖示。
3.核心業(yè)務(wù)流程與法律、法規(guī)和制度的符合程度。
4.了解和分析核心業(yè)務(wù)流程涉及哪些數(shù)據(jù)表及關(guān)鍵、關(guān)聯(lián)字段。
二、以系統(tǒng)數(shù)據(jù)為主做好數(shù)據(jù)分析準(zhǔn)備
根據(jù)審計(jì)人員調(diào)查了解的情況,判斷數(shù)據(jù)獲取和數(shù)據(jù)分析的可能性和依據(jù),搭建數(shù)據(jù)化審計(jì)的現(xiàn)場(chǎng)環(huán)境,為數(shù)據(jù)獲取和數(shù)據(jù)分析做好充分準(zhǔn)備。
(一)系統(tǒng)數(shù)據(jù)獲取依據(jù)。
可由審計(jì)組聘請(qǐng)的專(zhuān)家或計(jì)算機(jī)專(zhuān)業(yè)技術(shù)人員在做好下列工作準(zhǔn)備的前提下,為獲取系統(tǒng)數(shù)據(jù)提供依據(jù)。
1.分析管理制度對(duì)系統(tǒng)數(shù)據(jù)保管、備份、運(yùn)維及相關(guān)硬件設(shè)施的保護(hù)等情況,從制度層面確定系統(tǒng)數(shù)據(jù)獲取的可能性。
2.明確ERP系統(tǒng)是集中部署還是分布部署,從而選擇數(shù)據(jù)的獲取方式。企業(yè)如果部署了多套ERP系統(tǒng),其相應(yīng)的ERP數(shù)據(jù)環(huán)境就變得復(fù)雜,系統(tǒng)數(shù)據(jù)獲取的難度也隨之變大。
3.了解ERP系統(tǒng)的數(shù)據(jù)庫(kù)環(huán)境,分析數(shù)據(jù)庫(kù)設(shè)計(jì)是否嚴(yán)謹(jǐn)。如果被審計(jì)單位的ERP系統(tǒng)是標(biāo)準(zhǔn)的ERP產(chǎn)品,則被審計(jì)單位的數(shù)據(jù)庫(kù)環(huán)境也就相對(duì)簡(jiǎn)單。反之如果被審計(jì)單位的ERP系統(tǒng)是非標(biāo)準(zhǔn)ERP產(chǎn)品或是異構(gòu)的ERP系統(tǒng),則被審計(jì)單位的數(shù)據(jù)庫(kù)環(huán)境也會(huì)變更加復(fù)雜。
4.了解ERP系統(tǒng)運(yùn)行的年限和已啟用的模塊,分析實(shí)施各階段里程碑文件,明確ERP系統(tǒng)實(shí)施的關(guān)鍵時(shí)間點(diǎn)、啟用模塊時(shí)間表、上線(xiàn)單位時(shí)間表等,從而劃定需獲取數(shù)據(jù)的時(shí)間和業(yè)務(wù)范圍。
(二)系統(tǒng)數(shù)據(jù)分析準(zhǔn)備。
審計(jì)組數(shù)據(jù)分析人員應(yīng)全面熟悉下列內(nèi)容,為數(shù)據(jù)分析做好準(zhǔn)備。
1.了解數(shù)據(jù)庫(kù)的表結(jié)構(gòu),為數(shù)據(jù)分析做好準(zhǔn)備。
2.了解被審計(jì)單位ERP系統(tǒng)業(yè)務(wù)數(shù)據(jù)之間的關(guān)系,可以幫助審計(jì)人員驗(yàn)證各個(gè)業(yè)務(wù)系統(tǒng)數(shù)據(jù)的完整性、準(zhǔn)確性和真實(shí)性。
3.分析數(shù)據(jù)完整性約束,包括數(shù)據(jù)有效性、取值域檢查、實(shí)體完整性、引用完整性、取值合法性、商業(yè)規(guī)則、一致性等約束。
(三)搭建數(shù)據(jù)審計(jì)環(huán)境。
ERP環(huán)境下的審計(jì)現(xiàn)場(chǎng),應(yīng)搭建用于ERP運(yùn)行和適于審計(jì)人員研究系統(tǒng)、了解控制、獲取數(shù)據(jù)的審計(jì)環(huán)境,該環(huán)境包括硬件設(shè)備與網(wǎng)絡(luò)環(huán)境、軟件環(huán)境及安全性要求等內(nèi)容。根據(jù)上述數(shù)據(jù)獲取依據(jù),審計(jì)組可以選擇直接訪問(wèn)被審計(jì)單位ERP環(huán)境、搭建被審計(jì)單位ERP模擬環(huán)境和搭建審計(jì)專(zhuān)用服務(wù)器數(shù)據(jù)庫(kù)環(huán)境三種方式開(kāi)展數(shù)據(jù)審計(jì)。
直接訪問(wèn)被審計(jì)單位ERP環(huán)境的優(yōu)點(diǎn)是數(shù)據(jù)真實(shí)可信,缺點(diǎn)是由于直連被審計(jì)單位真實(shí)的ERP環(huán)境存在諸多權(quán)限上的限制(如只讀限制),數(shù)據(jù)分析的靈活性較差;搭建被審計(jì)單位ERP模擬環(huán)境的優(yōu)點(diǎn)是便于模擬被審計(jì)單位使用ERP系統(tǒng)的配置情況,易發(fā)生內(nèi)控風(fēng)險(xiǎn)的節(jié)點(diǎn),缺點(diǎn)同樣是數(shù)據(jù)分析的靈活性較差;搭建審計(jì)專(zhuān)用服務(wù)器數(shù)據(jù)庫(kù)環(huán)境的優(yōu)點(diǎn)是數(shù)據(jù)分析靈活,但缺點(diǎn)是缺乏全面、可信的系統(tǒng)數(shù)據(jù)。
審計(jì)現(xiàn)場(chǎng)環(huán)境搭建可以由審計(jì)人員提出需求,請(qǐng)被審計(jì)單位熟悉ERP配置管理的工作人員予以實(shí)施,最后由審計(jì)組計(jì)算機(jī)審計(jì)人員根據(jù)需要進(jìn)行完善。
三、以數(shù)據(jù)分析為主制定審計(jì)應(yīng)對(duì)措施
ERP環(huán)境下的內(nèi)部控制系統(tǒng)是由人工控制和系統(tǒng)自動(dòng)控制共同實(shí)現(xiàn),通過(guò)ERP系統(tǒng)實(shí)施控制活動(dòng)是典型的自動(dòng)控制,但不是內(nèi)部控制活動(dòng)的全部?jī)?nèi)容。因此,人工處理所帶來(lái)的風(fēng)險(xiǎn),加上ERP系統(tǒng)環(huán)境本身的風(fēng)險(xiǎn),共同構(gòu)成了ERP環(huán)境下的風(fēng)險(xiǎn)。按照內(nèi)部控制的不同環(huán)節(jié)可分為數(shù)據(jù)錄入、數(shù)據(jù)篡改、業(yè)務(wù)差錯(cuò)和業(yè)務(wù)違規(guī)等4大類(lèi)風(fēng)險(xiǎn),每類(lèi)風(fēng)險(xiǎn)在系統(tǒng)數(shù)據(jù)上的表現(xiàn)形式和導(dǎo)致的問(wèn)題結(jié)果都各不相同。審計(jì)組應(yīng)按不同風(fēng)險(xiǎn)表現(xiàn)形式分析存在重要問(wèn)題的可能性,確定審計(jì)事項(xiàng),制定系統(tǒng)數(shù)據(jù)分析的主要審計(jì)步驟和方法。
(一)數(shù)據(jù)錄入風(fēng)險(xiǎn)。
1.制度缺陷或未執(zhí)行導(dǎo)致系統(tǒng)數(shù)據(jù)表字段錄入內(nèi)容錯(cuò)誤或記錄時(shí)間滯后。
舉例分析:將未經(jīng)批準(zhǔn)的業(yè)務(wù)錄入系統(tǒng),或已經(jīng)發(fā)生的業(yè)務(wù)未及時(shí)錄入系統(tǒng),如少計(jì)、多計(jì)收入或支出。
審計(jì)步驟和方法:篩選制度缺陷或制度未執(zhí)行所影響的系統(tǒng)數(shù)據(jù),通過(guò)數(shù)據(jù)的趨勢(shì)變化分析或?qū)徲?jì)抽樣的方法核實(shí)數(shù)據(jù)與實(shí)際業(yè)務(wù)的差異,分析原因和后果。
2.數(shù)據(jù)庫(kù)設(shè)計(jì)未滿(mǎn)足數(shù)據(jù)的完整性約束導(dǎo)致系統(tǒng)數(shù)據(jù)表字段錄入內(nèi)容錯(cuò)誤或缺失。
舉例分析:數(shù)據(jù)錄入不完整,業(yè)務(wù)要素記載不全,如應(yīng)收賬款或應(yīng)付賬款未按客戶(hù)單位進(jìn)行明細(xì)核算。
審計(jì)步驟和方法:篩選錄入不完整的系統(tǒng)數(shù)據(jù),分析業(yè)務(wù)要素記載不全的原因和由此導(dǎo)致的后果,發(fā)現(xiàn)隱藏其中的違法違規(guī)行為。
3.外掛小軟件導(dǎo)致系統(tǒng)數(shù)據(jù)表字段錄入內(nèi)容錯(cuò)誤或輸出信息內(nèi)容錄入錯(cuò)誤。
舉例分析:通過(guò)輸入、輸出小軟件隨意修改輸入、輸出信息,如隨意修改發(fā)票收款人信息。
審計(jì)步驟和方法:獲取小軟件處理的所有數(shù)據(jù),與系統(tǒng)數(shù)據(jù)進(jìn)行關(guān)聯(lián)分析,分析兩者差異的原因和由此導(dǎo)致的后果,通過(guò)延伸審計(jì)相關(guān)單位,發(fā)現(xiàn)隱藏其中的違法違規(guī)行為。
4.業(yè)務(wù)模塊動(dòng)態(tài)基礎(chǔ)數(shù)據(jù)初始錄入不正確,導(dǎo)致系統(tǒng)數(shù)據(jù)表字段內(nèi)容錄入錯(cuò)誤。
舉例分析:企業(yè)系統(tǒng)上線(xiàn)前在完成動(dòng)態(tài)數(shù)據(jù)清理工作時(shí),將有效資產(chǎn)轉(zhuǎn)到帳外,如企業(yè)將固定資產(chǎn)、對(duì)外投資或債券通過(guò)系統(tǒng)上線(xiàn)轉(zhuǎn)入賬外。
審計(jì)步驟和方法:獲取財(cái)務(wù)、物資等業(yè)務(wù)模塊動(dòng)態(tài)基礎(chǔ)數(shù)據(jù)表,與系統(tǒng)上線(xiàn)前的相關(guān)賬冊(cè)、報(bào)表核對(duì),分析兩者差異的原因和由此導(dǎo)致的后果,查找賬外資產(chǎn)去向。
(二)數(shù)據(jù)篡改或丟失風(fēng)險(xiǎn)。
1.超級(jí)用戶(hù)(或系統(tǒng)操作員)的權(quán)限配置不合理,導(dǎo)致系統(tǒng)數(shù)據(jù)表記錄條數(shù)不全。
舉例分析:為了某種目的通過(guò)超級(jí)用戶(hù)(或系統(tǒng)操作員)刪除某項(xiàng)業(yè)務(wù)記錄,如刪除購(gòu)銷(xiāo)業(yè)務(wù)流水和會(huì)計(jì)憑證等,使業(yè)務(wù)記錄缺失。
審計(jì)步驟和方法:篩選相關(guān)用戶(hù)操作的系統(tǒng)數(shù)據(jù),查找缺失的流水號(hào),分析記錄缺失的原因和由此導(dǎo)致的后果。
2.篡改業(yè)務(wù)數(shù)據(jù),導(dǎo)致系統(tǒng)數(shù)據(jù)表字段內(nèi)容錯(cuò)誤。
舉例分析:為了某種目的通過(guò)超級(jí)用戶(hù)(或系統(tǒng)操作員)修改某項(xiàng)業(yè)務(wù)記錄,如會(huì)計(jì)憑證反映的經(jīng)濟(jì)事項(xiàng)或金額與實(shí)際不符。
審計(jì)步驟和方法:篩選相關(guān)用戶(hù)操作的系統(tǒng)數(shù)據(jù),通過(guò)數(shù)據(jù)關(guān)聯(lián)分析或?qū)徲?jì)抽樣的方法,找出差異并分析原因和由此導(dǎo)致的后果。
3.篡改計(jì)算規(guī)則方面的業(yè)務(wù)模塊靜態(tài)基礎(chǔ)數(shù)據(jù),可能導(dǎo)致數(shù)據(jù)表計(jì)算結(jié)果錯(cuò)誤。
舉例分析:篡改各種減值準(zhǔn)備的提取比例導(dǎo)致數(shù)據(jù)表計(jì)算結(jié)果錯(cuò)誤,如減值準(zhǔn)備計(jì)提方法及比例、應(yīng)收款項(xiàng)計(jì)提減值準(zhǔn)備的方法及金額,費(fèi)用提取的比例或范圍等錯(cuò)誤。
審計(jì)步驟和方法:獲取靜態(tài)基礎(chǔ)數(shù)據(jù),通過(guò)復(fù)算的方法查找數(shù)據(jù)差錯(cuò)的具體金額。
4.突發(fā)事件,沒(méi)有得到有效解決,導(dǎo)致系統(tǒng)數(shù)據(jù)表內(nèi)容大量丟失。
舉例分析:因企業(yè)服務(wù)器遭受人為惡意攻擊或非法侵入導(dǎo)致數(shù)據(jù)庫(kù)故障,如果其備份周期較長(zhǎng),往往只能恢復(fù)到最近一次有效備份時(shí)點(diǎn)的數(shù)據(jù),該時(shí)點(diǎn)之后的數(shù)據(jù)表內(nèi)容則大量丟失。
審計(jì)步驟和方法:查看突發(fā)事件記錄檔案,了解突發(fā)事件時(shí)點(diǎn)和解決情況,查詢(xún)相關(guān)數(shù)據(jù)表的時(shí)間記錄字段確定丟失內(nèi)容造成的損失,對(duì)丟失內(nèi)容涉及的重大業(yè)務(wù)事項(xiàng)逐一檢查,防止國(guó)有資產(chǎn)損失。
(三)業(yè)務(wù)差錯(cuò)風(fēng)險(xiǎn)。
1.用戶(hù)使用的熟悉程度較低,導(dǎo)致系統(tǒng)數(shù)據(jù)表字段內(nèi)容錯(cuò)誤。
舉例分析:經(jīng)濟(jì)業(yè)務(wù)記錄經(jīng)常出現(xiàn)與實(shí)際內(nèi)容相反的問(wèn)題,如將會(huì)計(jì)憑證的借貸金額記反。
審計(jì)步驟和方法:對(duì)新上線(xiàn)業(yè)務(wù)進(jìn)行審計(jì)抽樣,找出差錯(cuò)并分析原因和由此導(dǎo)致的后果。
2.系統(tǒng)流程存在斷點(diǎn),導(dǎo)致系統(tǒng)數(shù)據(jù)表字段內(nèi)容錯(cuò)誤、記錄時(shí)間滯后。
舉例分析:大量已發(fā)生業(yè)務(wù)未及時(shí)入賬,甚至存在挪用資金的問(wèn)題,如財(cái)會(huì)人員挪用資金炒股。
審計(jì)步驟和方法:篩選系統(tǒng)流程存在斷點(diǎn)的關(guān)鍵數(shù)據(jù)表,將上下游數(shù)據(jù)進(jìn)行關(guān)聯(lián)分析,找出差異并分析原因和由此導(dǎo)致的后果。
3.模塊之間未能有效集成,導(dǎo)致系統(tǒng)數(shù)據(jù)表字段內(nèi)容錯(cuò)誤。
舉例分析:不同部門(mén)對(duì)同一業(yè)務(wù)記錄不一致,如收款人名稱(chēng)在不同模塊間不一致。
審計(jì)步驟和方法:篩選不同模塊之間的關(guān)鍵數(shù)據(jù)表,將上下游數(shù)據(jù)進(jìn)行關(guān)聯(lián)分析,找出差異并分析原因和由此導(dǎo)致的后果。
4.各子系統(tǒng)之間關(guān)聯(lián)性差,導(dǎo)致相關(guān)子系統(tǒng)數(shù)據(jù)表記錄時(shí)間和內(nèi)容不一致。
舉例分析:集團(tuán)公司內(nèi)部上下游公司相關(guān)業(yè)務(wù)發(fā)生后的記錄存在較大時(shí)間差異,如一方采購(gòu)業(yè)務(wù)入賬,一方還未做銷(xiāo)售入賬。
審計(jì)步驟和方法:篩選子公司之間或母子公司之間關(guān)聯(lián)交易數(shù)據(jù),進(jìn)行對(duì)比分析,找出差異并分析原因和由此導(dǎo)致的后果。
(四)業(yè)務(wù)違規(guī)風(fēng)險(xiǎn)。
1.多重角色的用戶(hù)權(quán)限被放大,導(dǎo)致系統(tǒng)數(shù)據(jù)表記錄內(nèi)容違規(guī)。
舉例分析:虛構(gòu)業(yè)務(wù)套取企業(yè)資金或挪用單位財(cái)物,如以虛假資產(chǎn)處置減少實(shí)物資產(chǎn)價(jià)值。
審計(jì)步驟和方法:篩選相關(guān)用戶(hù)操作的系統(tǒng)數(shù)據(jù),逐一檢查相關(guān)業(yè)務(wù)的合法性和合規(guī)性,并分析原因和由此導(dǎo)致的后果。
2.篡改供應(yīng)商、分銷(xiāo)商和客戶(hù)等業(yè)務(wù)模塊靜態(tài)基礎(chǔ)數(shù)據(jù),導(dǎo)致系統(tǒng)數(shù)據(jù)表記錄內(nèi)容違規(guī)。
舉例分析:修改不符合企業(yè)管理規(guī)定供應(yīng)商或分銷(xiāo)商的關(guān)鍵數(shù)據(jù),如國(guó)有公司、企業(yè)的董事、經(jīng)理利用職務(wù)便利,自己經(jīng)營(yíng)或?yàn)樗私?jīng)營(yíng)與所任職公司、企業(yè)同類(lèi)的營(yíng)業(yè),獲取非法利益。
審計(jì)步驟和方法:獲取基礎(chǔ)數(shù)據(jù)表,篩選供應(yīng)商、分銷(xiāo)商和客戶(hù)基礎(chǔ)信息,通過(guò)與國(guó)家審計(jì)數(shù)據(jù)平臺(tái)或社會(huì)公共信息平臺(tái)的企業(yè)基礎(chǔ)信息關(guān)聯(lián)分析,并延伸調(diào)查相關(guān)個(gè)人信息,逐一審計(jì)不合規(guī)業(yè)務(wù),并分析原因和由此導(dǎo)致的后果。
3.系統(tǒng)核心業(yè)務(wù)流程違反法律、法規(guī)和制度的相關(guān)規(guī)定,導(dǎo)致系統(tǒng)數(shù)據(jù)表記錄內(nèi)容違規(guī)。
舉例分析:系統(tǒng)業(yè)務(wù)流程本身沒(méi)有控制可以控制的違規(guī)業(yè)務(wù),如企業(yè)超限額對(duì)外投資或擔(dān)保。
審計(jì)步驟和方法:獲取違規(guī)業(yè)務(wù)流程對(duì)應(yīng)的數(shù)據(jù)表,通過(guò)與法定業(yè)務(wù)流程涉及的條件或要求對(duì)比,逐一審計(jì)不合規(guī)業(yè)務(wù),并分析原因和由此導(dǎo)致的后果。
ERP環(huán)境下,系統(tǒng)處理是否合規(guī)、合法、安全可靠,與系統(tǒng)的處理和控制功能有直接關(guān)系。ERP系統(tǒng)的這些特點(diǎn)及其固有的風(fēng)險(xiǎn),決定了審計(jì)人員要花費(fèi)較多的時(shí)間和精力來(lái)了解和審查ERP系統(tǒng)的功能,以證實(shí)系統(tǒng)處理的合法性、正確性和完整性,以及系統(tǒng)數(shù)據(jù)的準(zhǔn)確性、及時(shí)性和可靠性;同時(shí),確定風(fēng)險(xiǎn)控制的薄弱環(huán)節(jié)和由此產(chǎn)生的系統(tǒng)數(shù)據(jù),再進(jìn)行數(shù)據(jù)的多視角、多方式結(jié)合分析,避免審計(jì)的盲目性和無(wú)序性,提高審計(jì)工作的質(zhì)量和效率,降低審計(jì)風(fēng)險(xiǎn),這就是本文需要研究解決的問(wèn)題。
安卓版本:8.7.30 蘋(píng)果版本:8.7.30
開(kāi)發(fā)者:北京正保會(huì)計(jì)科技有限公司
應(yīng)用涉及權(quán)限:查看權(quán)限>
APP隱私政策:查看政策>
HD版本上線(xiàn):點(diǎn)擊下載>
官方公眾號(hào)
微信掃一掃
官方視頻號(hào)
微信掃一掃
官方抖音號(hào)
抖音掃一掃
初級(jí)會(huì)計(jì)職稱(chēng) 報(bào)名 考試 查分 備考 題庫(kù)
中級(jí)會(huì)計(jì)職稱(chēng) 報(bào)名 考試 查分 備考 題庫(kù)
高級(jí)會(huì)計(jì)師 報(bào)名 考試 查分 題庫(kù) 評(píng)審
注冊(cè)會(huì)計(jì)師 報(bào)名 考試 查分 備考 題庫(kù)
Copyright © 2000 - m.galtzs.cn All Rights Reserved. 北京正保會(huì)計(jì)科技有限公司 版權(quán)所有
京B2-20200959 京ICP備20012371號(hào)-7 出版物經(jīng)營(yíng)許可證 京公網(wǎng)安備 11010802044457號(hào)