24周年

財(cái)稅實(shí)務(wù) 高薪就業(yè) 學(xué)歷教育
APP下載
APP下載新用戶掃碼下載
立享專屬優(yōu)惠

安卓版本:8.7.50 蘋果版本:8.7.50

開發(fā)者:北京正保會計(jì)科技有限公司

應(yīng)用涉及權(quán)限:查看權(quán)限>

APP隱私政策:查看政策>

HD版本上線:點(diǎn)擊下載>

ERP環(huán)境下的系統(tǒng)控制分析審計(jì)初探

來源: 葉俊凱 編輯: 2012/04/28 19:49:51  字體:

    ERP(即Enterprise Resource Planning,企業(yè)資源規(guī)劃),是20世紀(jì)90年代初發(fā)展起來的一個全新的企業(yè)管理系統(tǒng),體現(xiàn)了現(xiàn)代企業(yè)先進(jìn)的管理理念和管理方法,它建立在信息技術(shù)高度發(fā)達(dá)的基礎(chǔ)上,是以系統(tǒng)化的管理思想為企業(yè)決策者和員工提供決策運(yùn)行管理平臺。企業(yè)由于實(shí)施ERP系統(tǒng)導(dǎo)致其管理流程發(fā)生巨變,從而使得內(nèi)部控制的環(huán)境與之前大不相同,內(nèi)部控制的重點(diǎn)由對人的控制為主轉(zhuǎn)變?yōu)閷θ?、?jì)算機(jī)和互聯(lián)網(wǎng)的控制,風(fēng)險(xiǎn)控制點(diǎn)也隨之發(fā)生改變。為此,我們只有樹立數(shù)據(jù)審計(jì)理念,從ERP系統(tǒng)控制入手分析企業(yè)內(nèi)控風(fēng)險(xiǎn),全面開展系統(tǒng)數(shù)據(jù)分析審計(jì),才能真正提高審計(jì)工作效率,實(shí)現(xiàn)審計(jì)工作目標(biāo)。

    所謂系統(tǒng)數(shù)據(jù)審計(jì)方法,即在ERP環(huán)境下,從企業(yè)系統(tǒng)控制入手分析內(nèi)控風(fēng)險(xiǎn)的薄弱環(huán)節(jié),篩選對應(yīng)的系統(tǒng)數(shù)據(jù)表,進(jìn)行數(shù)據(jù)的多視角、多方式結(jié)合分析的一種審計(jì)思路。

    一、以系統(tǒng)控制為把握內(nèi)控薄弱環(huán)節(jié)

    ERP系統(tǒng)的應(yīng)用使企業(yè)的內(nèi)部經(jīng)營管理環(huán)境和內(nèi)部控制方式發(fā)生了變化。相當(dāng)一部分內(nèi)部控制點(diǎn)已建立于系統(tǒng)的應(yīng)用程序中,由系統(tǒng)自動執(zhí)行各種檢驗(yàn)、核對、判斷、監(jiān)督以及各種功能權(quán)限的控制;企業(yè)形成了管理控制與系統(tǒng)控制并重、人機(jī)控制相結(jié)合的全方位綜合性控制,內(nèi)部管理權(quán)限的嚴(yán)密性以及關(guān)鍵風(fēng)險(xiǎn)點(diǎn)的設(shè)置成為ERP環(huán)境下內(nèi)部控制的重點(diǎn)。因此,審計(jì)人員應(yīng)更加關(guān)注系統(tǒng)的內(nèi)部控制。

    (一)管理制度分析。

    制度管理是企業(yè)ERP系統(tǒng)安全運(yùn)行、合理高效利用和數(shù)據(jù)真實(shí)完整的重要前提。了解被審計(jì)單位ERP系統(tǒng)相關(guān)的管理制度,可以幫助審計(jì)人員從總體上了解ERP系統(tǒng)的管理運(yùn)行情況,初步分析ERP系統(tǒng)可能存在的風(fēng)險(xiǎn)控制點(diǎn)。管理制度分析的包括以下主要內(nèi)容。

    1.管理制度的完整性。即管理制度是否足夠保證ERP系統(tǒng)運(yùn)行正常,包括三方面:一是對系統(tǒng)管理員和崗位操作員進(jìn)行管理的人員類管理制度;二是對硬件設(shè)網(wǎng)絡(luò)設(shè)施、應(yīng)用系統(tǒng)進(jìn)行管理的技術(shù)類管理制度;三是對ERP的業(yè)務(wù)操作進(jìn)行管理的流程類管理制度,重點(diǎn)是基礎(chǔ)數(shù)據(jù)和關(guān)鍵數(shù)據(jù)的錄入和審核制度。

    2.管理制度的科學(xué)性。每項(xiàng)制度的各項(xiàng)規(guī)定是否明確、是否具有可操作性,制度之間的相關(guān)規(guī)定是否統(tǒng)一。

    3.管理制度的有效性。每項(xiàng)制度是否得到有效執(zhí)行。

    (二)系統(tǒng)權(quán)限分析。

    了解系統(tǒng)權(quán)限主要從ERP系統(tǒng)權(quán)限設(shè)計(jì)與ERP企業(yè)的組織架構(gòu)、ERP系統(tǒng)角色與權(quán)限、ERP系統(tǒng)用戶與角色對應(yīng)、崗位的職責(zé)控制這幾個層層遞進(jìn)的方面來進(jìn)行。ERP系統(tǒng)一般由財(cái)務(wù)管理、供應(yīng)鏈、人力資源等多個模塊高度集成,每一模塊都有相應(yīng)的關(guān)鍵控制點(diǎn),關(guān)注被審計(jì)單位ERP系統(tǒng)權(quán)限配置,分析是否存在某個或某些成員同時履行不相容的職責(zé)和操作權(quán)限。系統(tǒng)權(quán)限分析包括以下主要內(nèi)容。

    1.ERP系統(tǒng)權(quán)限設(shè)計(jì)與ERP企業(yè)的組織架構(gòu)。

    ERP權(quán)限用于系統(tǒng)檢查用戶操作權(quán)限。在ERP系統(tǒng)用戶進(jìn)行某項(xiàng)工作操作時,系統(tǒng)需要執(zhí)行相應(yīng)事務(wù)碼對應(yīng)的功能,該事務(wù)碼是系統(tǒng)用于檢查ERP權(quán)限的標(biāo)識。ERP權(quán)限設(shè)計(jì)是企業(yè)整體權(quán)限實(shí)施的核心,是企業(yè)內(nèi)部控制的基礎(chǔ)。

    2.ERP系統(tǒng)各模塊的角色劃分及其權(quán)限,重點(diǎn)關(guān)注敏感角色的權(quán)限配置情況。

    3.獲取ERP系統(tǒng)用戶與角色的對應(yīng)關(guān)系表和用戶授權(quán)結(jié)果表,重點(diǎn)關(guān)注擁有多重角色的用戶和超級用戶。

    多重角色用戶在ERP系統(tǒng)中擁有一個以上的角色。通常情況下,崗位相當(dāng)于角色,一個用戶處于某一崗位,就擁有相應(yīng)角色。但是大型企業(yè)通常員工較多,導(dǎo)致ERP系統(tǒng)中的角色體系十分龐雜,有些企業(yè)通常在ERP中建立一套通用角色、復(fù)合角色和單一角色所構(gòu)成的角色體系來對用戶進(jìn)行授權(quán),這樣就會導(dǎo)致某個用戶擁有多個角色。擁有多重角色的用戶的系統(tǒng)權(quán)限可能被逐漸放大甚至有失控的危險(xiǎn)。

    一般ERP產(chǎn)品會在系統(tǒng)內(nèi)置入特定的超級用戶,“超級用戶”擁有操作軟件所有功能的所有權(quán)限,是最高管理賬戶。超級用戶有可能直接篡改業(yè)務(wù)數(shù)據(jù),造成被審計(jì)單位數(shù)據(jù)不真實(shí)。審計(jì)人員需要摸清企業(yè)是否應(yīng)用了超級用戶,有哪些人是超級用戶,超級用戶的權(quán)限內(nèi)容,是否有對應(yīng)的日志記錄可使其被監(jiān)督。

    4.明確系統(tǒng)用戶的權(quán)限是否設(shè)有期限。

    5.獲取企業(yè)ERP系統(tǒng)的崗位職責(zé)分配表,重點(diǎn)關(guān)注企業(yè)對關(guān)鍵崗位的職責(zé)控制,以及其控制是如何通過ERP系統(tǒng)的權(quán)限、角色、用戶的設(shè)置來實(shí)現(xiàn)的。

    (三)系統(tǒng)運(yùn)行分析。

    ERP系統(tǒng)運(yùn)行分析包括運(yùn)行環(huán)境和運(yùn)維方式兩個方面。運(yùn)行環(huán)境是ERP系統(tǒng)運(yùn)行的載體,ERP運(yùn)行環(huán)境的安全性、穩(wěn)定性是ERP系統(tǒng)數(shù)據(jù)信息可靠性的有效保障。運(yùn)維方式反映了企業(yè)的經(jīng)營規(guī)模、安全目標(biāo)和管理體系的匹配程度,也是分析審計(jì)風(fēng)險(xiǎn)的一個參考依據(jù)。系統(tǒng)運(yùn)行分析包括以下主要內(nèi)容。

    1.ERP運(yùn)行環(huán)境的構(gòu)成,主要包括應(yīng)用軟件環(huán)境、數(shù)據(jù)庫環(huán)境、硬件環(huán)境、網(wǎng)絡(luò)環(huán)境、安全環(huán)境等,其中重點(diǎn)是數(shù)據(jù)庫環(huán)境。

    2.ERP系統(tǒng)的部署方式,主要了解ERP系統(tǒng)是集中部署還是分布式部署,是由一套軟件系統(tǒng)構(gòu)成還是多套ERP系統(tǒng)軟件構(gòu)成。

    3.ERP系統(tǒng)日常運(yùn)維方式。集團(tuán)企業(yè)ERP系統(tǒng)運(yùn)維方式通常有兩種方式,一種是企業(yè)自行組織開發(fā)或與ERP廠商聯(lián)合開發(fā)的ERP系統(tǒng),被審計(jì)單位自己負(fù)責(zé)ERP系統(tǒng)的運(yùn)維。另一種是企業(yè)使用標(biāo)準(zhǔn)化的ERP產(chǎn)品,由ERP廠商或第三方負(fù)責(zé)運(yùn)維。

    4.ERP系統(tǒng)運(yùn)行中的重大問題和突發(fā)事件,解決情況和造成的影響。

    (四)系統(tǒng)實(shí)施分析。

    系統(tǒng)實(shí)施是指企業(yè)從啟動ERP系統(tǒng)建設(shè)項(xiàng)目開始,經(jīng)過規(guī)劃業(yè)務(wù)藍(lán)圖、確定系統(tǒng)需求、設(shè)計(jì)開發(fā)與測試、安排系統(tǒng)部署等環(huán)節(jié),直至ERP系統(tǒng)上線的全過程發(fā)生的事務(wù)。該建設(shè)過程與ERP生產(chǎn)廠商開發(fā)ERP產(chǎn)品的過程相區(qū)別,是ERP系統(tǒng)在企業(yè)內(nèi)的建設(shè)過程。對于某些直接購買ERP產(chǎn)品而未重新進(jìn)行二次開發(fā)的企業(yè)來說,該過程可能不存在確定系統(tǒng)需求、設(shè)計(jì)開發(fā)與測試等環(huán)節(jié)。

    審計(jì)人員可以通過編制發(fā)放調(diào)查表的方式了解被審計(jì)單位建設(shè)的主要信息系統(tǒng)的靜態(tài)基本情況,該調(diào)查表要素包括系統(tǒng)名稱、系統(tǒng)類別、應(yīng)用范圍、所有者、系統(tǒng)狀況、主要用途、開發(fā)商或集成商、體系架構(gòu)、硬件環(huán)境、數(shù)據(jù)庫管理系統(tǒng)、數(shù)據(jù)年生產(chǎn)量及主要業(yè)務(wù)年交易量、評審驗(yàn)收情況、文檔資料情況(需求說明書、概要設(shè)計(jì)說明書、測試分析報(bào)告、用戶操作手冊、軟件維護(hù)手冊、數(shù)據(jù)庫表結(jié)構(gòu)等)。在此基礎(chǔ)上調(diào)查了解以下主要內(nèi)容。

    1.被審計(jì)單位ERP項(xiàng)目需求階段的業(yè)務(wù)藍(lán)圖、需求分析報(bào)告和用戶需求規(guī)格說明書。

    業(yè)務(wù)藍(lán)圖是ERP界通用的一種企業(yè)建模方式。業(yè)務(wù)藍(lán)圖通過對公司業(yè)務(wù)現(xiàn)狀進(jìn)行的需求調(diào)研分析,梳理出企業(yè)未來的物流、資金流和信息流的業(yè)務(wù)模型;業(yè)務(wù)藍(lán)圖用一種企業(yè)客戶易于理解的方式來描述復(fù)雜的過程,是一種直觀明了的描述方法。他使用少量的符號,以集合的方式進(jìn)行組織,定義了某人在特定的時間、采用特定的方法去做特定的事情。在業(yè)務(wù)藍(lán)圖基礎(chǔ)之上可以建立起ERP系統(tǒng)業(yè)務(wù)的規(guī)劃、上線方案等,從而建立起企業(yè)整體應(yīng)用的ERP系統(tǒng)框架。

    2.被審計(jì)單位ERP項(xiàng)目設(shè)計(jì)階段的系統(tǒng)概要設(shè)計(jì)文檔和數(shù)據(jù)庫概要設(shè)計(jì)文檔。特別是系統(tǒng)應(yīng)用架構(gòu)和數(shù)據(jù)庫表結(jié)構(gòu)。如果被審計(jì)單位是自己開發(fā)的ERP系統(tǒng)或與ERP廠商合作開發(fā)的系統(tǒng),可直接獲取ERP系統(tǒng)的數(shù)據(jù)字典等數(shù)據(jù)結(jié)構(gòu)性文檔。

    3.被審計(jì)單位ERP項(xiàng)目實(shí)施各階段的系統(tǒng)授權(quán)手冊、基礎(chǔ)數(shù)據(jù)設(shè)置清單、標(biāo)準(zhǔn)參數(shù)配置文檔、基礎(chǔ)數(shù)據(jù)設(shè)置報(bào)告、用戶操作手冊、軟件維護(hù)手冊、項(xiàng)目實(shí)施階段報(bào)告、系統(tǒng)實(shí)施階段里程碑文件等文檔。

    4.企業(yè)資產(chǎn)重組引起ERP系統(tǒng)結(jié)構(gòu)變化情況。

    5.獲取業(yè)務(wù)模塊基礎(chǔ)靜態(tài)表和動態(tài)表。

    (五)業(yè)務(wù)流程分析。

    ERP系統(tǒng)的業(yè)務(wù)流程基于ERP企業(yè)的業(yè)務(wù)流程,貫穿企業(yè)各種業(yè)務(wù)的各種管理對象,形成物流、資金流、信息流的變化過程,是ERP系統(tǒng)的核心內(nèi)容,也是進(jìn)行審計(jì)數(shù)據(jù)分析的核心內(nèi)容。審計(jì)人員可以通過書面或者口頭詢問、召開調(diào)查會議、發(fā)放調(diào)查表(問卷)、查閱文件、實(shí)地察看、利用以往審計(jì)的資料與經(jīng)驗(yàn)以及學(xué)習(xí)對被審計(jì)企業(yè)有重大影響的法規(guī)等方法,調(diào)查了解以下主要內(nèi)容。

    1.獲取ERP系統(tǒng)整體業(yè)務(wù)流程的規(guī)劃設(shè)計(jì)文檔,了解ERP系統(tǒng)整體業(yè)務(wù)流程和各子系統(tǒng)間業(yè)務(wù)數(shù)據(jù)的關(guān)系,明確企業(yè)的業(yè)務(wù)流程和各子系統(tǒng)之間的數(shù)據(jù)控制和關(guān)聯(lián)性。

    ERP系統(tǒng)業(yè)務(wù)流程規(guī)劃設(shè)計(jì)遵循職責(zé)完整原則、職責(zé)分離原則、目標(biāo)驅(qū)動原則、跨職能扁平化原則、流程運(yùn)作效率原則等多項(xiàng)原則。

    ERP整體業(yè)務(wù)流程和各子系統(tǒng)間業(yè)務(wù)數(shù)據(jù)的關(guān)系:ERP系統(tǒng)業(yè)務(wù)流程處理的對象實(shí)質(zhì)是數(shù)據(jù),可以將ERP系統(tǒng)數(shù)據(jù)分為基礎(chǔ)性數(shù)據(jù)和事務(wù)性數(shù)據(jù);ERP 系統(tǒng)的各個子系統(tǒng)之間根據(jù)企業(yè)內(nèi)部生產(chǎn)經(jīng)營的業(yè)務(wù)流程關(guān)系,利用數(shù)據(jù)接口進(jìn)行與流程相對應(yīng)的數(shù)據(jù)共享與處理。如了解到物流系統(tǒng)基礎(chǔ)數(shù)據(jù)中的供應(yīng)商同時也進(jìn)入財(cái)務(wù)管理系統(tǒng),是應(yīng)付賬款的核算單元,在審計(jì)中可以在物流系統(tǒng)中抽取供應(yīng)商明細(xì)表核對應(yīng)付賬款中往來情況。

    2.獲取ERP系統(tǒng)核心業(yè)務(wù)流程的業(yè)務(wù)流程圖和數(shù)據(jù)流圖。

    業(yè)務(wù)流程圖是一種描述系統(tǒng)內(nèi)各單位、人員之間業(yè)務(wù)關(guān)系、作業(yè)順序和管理信息流向的圖表。

    數(shù)據(jù)流圖(Data Flow Diagram,DFD)是從數(shù)據(jù)流轉(zhuǎn)和加工分析角度,以圖形的方式來表達(dá)系統(tǒng)的邏輯功能要求、數(shù)據(jù)在系統(tǒng)內(nèi)的數(shù)據(jù)流向和邏輯變換過程,是結(jié)構(gòu)化系統(tǒng)分析方法的主要表達(dá)工具。

    業(yè)務(wù)流程圖和數(shù)據(jù)流圖之間的關(guān)系:業(yè)務(wù)流程圖是物理模型,數(shù)據(jù)流圖是系統(tǒng)的邏輯模型,數(shù)據(jù)流圖是提供給軟件研發(fā)人員理解業(yè)務(wù)流程需求處理的圖示。

    3.核心業(yè)務(wù)流程與法律、法規(guī)和制度的符合程度。

    4.了解和分析核心業(yè)務(wù)流程涉及哪些數(shù)據(jù)表及關(guān)鍵、關(guān)聯(lián)字段。

    二、以系統(tǒng)數(shù)據(jù)為主做好數(shù)據(jù)分析準(zhǔn)備

    根據(jù)審計(jì)人員調(diào)查了解的情況,判斷數(shù)據(jù)獲取和數(shù)據(jù)分析的可能性和依據(jù),搭建數(shù)據(jù)化審計(jì)的現(xiàn)場環(huán)境,為數(shù)據(jù)獲取和數(shù)據(jù)分析做好充分準(zhǔn)備。

    (一)系統(tǒng)數(shù)據(jù)獲取依據(jù)。

    可由審計(jì)組聘請的專家或計(jì)算機(jī)專業(yè)技術(shù)人員在做好下列工作準(zhǔn)備的前提下,為獲取系統(tǒng)數(shù)據(jù)提供依據(jù)。

    1.分析管理制度對系統(tǒng)數(shù)據(jù)保管、備份、運(yùn)維及相關(guān)硬件設(shè)施的保護(hù)等情況,從制度層面確定系統(tǒng)數(shù)據(jù)獲取的可能性。

    2.明確ERP系統(tǒng)是集中部署還是分布部署,從而選擇數(shù)據(jù)的獲取方式。企業(yè)如果部署了多套ERP系統(tǒng),其相應(yīng)的ERP數(shù)據(jù)環(huán)境就變得復(fù)雜,系統(tǒng)數(shù)據(jù)獲取的難度也隨之變大。

    3.了解ERP系統(tǒng)的數(shù)據(jù)庫環(huán)境,分析數(shù)據(jù)庫設(shè)計(jì)是否嚴(yán)謹(jǐn)。如果被審計(jì)單位的ERP系統(tǒng)是標(biāo)準(zhǔn)的ERP產(chǎn)品,則被審計(jì)單位的數(shù)據(jù)庫環(huán)境也就相對簡單。反之如果被審計(jì)單位的ERP系統(tǒng)是非標(biāo)準(zhǔn)ERP產(chǎn)品或是異構(gòu)的ERP系統(tǒng),則被審計(jì)單位的數(shù)據(jù)庫環(huán)境也會變更加復(fù)雜。

    4.了解ERP系統(tǒng)運(yùn)行的年限和已啟用的模塊,分析實(shí)施各階段里程碑文件,明確ERP系統(tǒng)實(shí)施的關(guān)鍵時間點(diǎn)、啟用模塊時間表、上線單位時間表等,從而劃定需獲取數(shù)據(jù)的時間和業(yè)務(wù)范圍。

    (二)系統(tǒng)數(shù)據(jù)分析準(zhǔn)備。

    審計(jì)組數(shù)據(jù)分析人員應(yīng)全面熟悉下列內(nèi)容,為數(shù)據(jù)分析做好準(zhǔn)備。

    1.了解數(shù)據(jù)庫的表結(jié)構(gòu),為數(shù)據(jù)分析做好準(zhǔn)備。

    2.了解被審計(jì)單位ERP系統(tǒng)業(yè)務(wù)數(shù)據(jù)之間的關(guān)系,可以幫助審計(jì)人員驗(yàn)證各個業(yè)務(wù)系統(tǒng)數(shù)據(jù)的完整性、準(zhǔn)確性和真實(shí)性。

    3.分析數(shù)據(jù)完整性約束,包括數(shù)據(jù)有效性、取值域檢查、實(shí)體完整性、引用完整性、取值合法性、商業(yè)規(guī)則、一致性等約束。

    (三)搭建數(shù)據(jù)審計(jì)環(huán)境。

    ERP環(huán)境下的審計(jì)現(xiàn)場,應(yīng)搭建用于ERP運(yùn)行和適于審計(jì)人員研究系統(tǒng)、了解控制、獲取數(shù)據(jù)的審計(jì)環(huán)境,該環(huán)境包括硬件設(shè)備與網(wǎng)絡(luò)環(huán)境、軟件環(huán)境及安全性要求等內(nèi)容。根據(jù)上述數(shù)據(jù)獲取依據(jù),審計(jì)組可以選擇直接訪問被審計(jì)單位ERP環(huán)境、搭建被審計(jì)單位ERP模擬環(huán)境和搭建審計(jì)專用服務(wù)器數(shù)據(jù)庫環(huán)境三種方式開展數(shù)據(jù)審計(jì)。

    直接訪問被審計(jì)單位ERP環(huán)境的優(yōu)點(diǎn)是數(shù)據(jù)真實(shí)可信,缺點(diǎn)是由于直連被審計(jì)單位真實(shí)的ERP環(huán)境存在諸多權(quán)限上的限制(如只讀限制),數(shù)據(jù)分析的靈活性較差;搭建被審計(jì)單位ERP模擬環(huán)境的優(yōu)點(diǎn)是便于模擬被審計(jì)單位使用ERP系統(tǒng)的配置情況,易發(fā)生內(nèi)控風(fēng)險(xiǎn)的節(jié)點(diǎn),缺點(diǎn)同樣是數(shù)據(jù)分析的靈活性較差;搭建審計(jì)專用服務(wù)器數(shù)據(jù)庫環(huán)境的優(yōu)點(diǎn)是數(shù)據(jù)分析靈活,但缺點(diǎn)是缺乏全面、可信的系統(tǒng)數(shù)據(jù)。

    審計(jì)現(xiàn)場環(huán)境搭建可以由審計(jì)人員提出需求,請被審計(jì)單位熟悉ERP配置管理的工作人員予以實(shí)施,最后由審計(jì)組計(jì)算機(jī)審計(jì)人員根據(jù)需要進(jìn)行完善。

    三、以數(shù)據(jù)分析為主制定審計(jì)應(yīng)對措施

    ERP環(huán)境下的內(nèi)部控制系統(tǒng)是由人工控制和系統(tǒng)自動控制共同實(shí)現(xiàn),通過ERP系統(tǒng)實(shí)施控制活動是典型的自動控制,但不是內(nèi)部控制活動的全部內(nèi)容。因此,人工處理所帶來的風(fēng)險(xiǎn),加上ERP系統(tǒng)環(huán)境本身的風(fēng)險(xiǎn),共同構(gòu)成了ERP環(huán)境下的風(fēng)險(xiǎn)。按照內(nèi)部控制的不同環(huán)節(jié)可分為數(shù)據(jù)錄入、數(shù)據(jù)篡改、業(yè)務(wù)差錯和業(yè)務(wù)違規(guī)等4大類風(fēng)險(xiǎn),每類風(fēng)險(xiǎn)在系統(tǒng)數(shù)據(jù)上的表現(xiàn)形式和導(dǎo)致的問題結(jié)果都各不相同。審計(jì)組應(yīng)按不同風(fēng)險(xiǎn)表現(xiàn)形式分析存在重要問題的可能性,確定審計(jì)事項(xiàng),制定系統(tǒng)數(shù)據(jù)分析的主要審計(jì)步驟和方法。

    (一)數(shù)據(jù)錄入風(fēng)險(xiǎn)。

    1.制度缺陷或未執(zhí)行導(dǎo)致系統(tǒng)數(shù)據(jù)表字段錄入內(nèi)容錯誤或記錄時間滯后。

    舉例分析:將未經(jīng)批準(zhǔn)的業(yè)務(wù)錄入系統(tǒng),或已經(jīng)發(fā)生的業(yè)務(wù)未及時錄入系統(tǒng),如少計(jì)、多計(jì)收入或支出。

    審計(jì)步驟和方法:篩選制度缺陷或制度未執(zhí)行所影響的系統(tǒng)數(shù)據(jù),通過數(shù)據(jù)的趨勢變化分析或?qū)徲?jì)抽樣的方法核實(shí)數(shù)據(jù)與實(shí)際業(yè)務(wù)的差異,分析原因和后果。

    2.數(shù)據(jù)庫設(shè)計(jì)未滿足數(shù)據(jù)的完整性約束導(dǎo)致系統(tǒng)數(shù)據(jù)表字段錄入內(nèi)容錯誤或缺失。

    舉例分析:數(shù)據(jù)錄入不完整,業(yè)務(wù)要素記載不全,如應(yīng)收賬款或應(yīng)付賬款未按客戶單位進(jìn)行明細(xì)核算。

    審計(jì)步驟和方法:篩選錄入不完整的系統(tǒng)數(shù)據(jù),分析業(yè)務(wù)要素記載不全的原因和由此導(dǎo)致的后果,發(fā)現(xiàn)隱藏其中的違法違規(guī)行為。

    3.外掛小軟件導(dǎo)致系統(tǒng)數(shù)據(jù)表字段錄入內(nèi)容錯誤或輸出信息內(nèi)容錄入錯誤。

    舉例分析:通過輸入、輸出小軟件隨意修改輸入、輸出信息,如隨意修改發(fā)票收款人信息。

    審計(jì)步驟和方法:獲取小軟件處理的所有數(shù)據(jù),與系統(tǒng)數(shù)據(jù)進(jìn)行關(guān)聯(lián)分析,分析兩者差異的原因和由此導(dǎo)致的后果,通過延伸審計(jì)相關(guān)單位,發(fā)現(xiàn)隱藏其中的違法違規(guī)行為。

    4.業(yè)務(wù)模塊動態(tài)基礎(chǔ)數(shù)據(jù)初始錄入不正確,導(dǎo)致系統(tǒng)數(shù)據(jù)表字段內(nèi)容錄入錯誤。

    舉例分析:企業(yè)系統(tǒng)上線前在完成動態(tài)數(shù)據(jù)清理工作時,將有效資產(chǎn)轉(zhuǎn)到帳外,如企業(yè)將固定資產(chǎn)、對外投資或債券通過系統(tǒng)上線轉(zhuǎn)入賬外。

    審計(jì)步驟和方法:獲取財(cái)務(wù)、物資等業(yè)務(wù)模塊動態(tài)基礎(chǔ)數(shù)據(jù)表,與系統(tǒng)上線前的相關(guān)賬冊、報(bào)表核對,分析兩者差異的原因和由此導(dǎo)致的后果,查找賬外資產(chǎn)去向。

    (二)數(shù)據(jù)篡改或丟失風(fēng)險(xiǎn)。

    1.超級用戶(或系統(tǒng)操作員)的權(quán)限配置不合理,導(dǎo)致系統(tǒng)數(shù)據(jù)表記錄條數(shù)不全。

    舉例分析:為了某種目的通過超級用戶(或系統(tǒng)操作員)刪除某項(xiàng)業(yè)務(wù)記錄,如刪除購銷業(yè)務(wù)流水和會計(jì)憑證等,使業(yè)務(wù)記錄缺失。

    審計(jì)步驟和方法:篩選相關(guān)用戶操作的系統(tǒng)數(shù)據(jù),查找缺失的流水號,分析記錄缺失的原因和由此導(dǎo)致的后果。

    2.篡改業(yè)務(wù)數(shù)據(jù),導(dǎo)致系統(tǒng)數(shù)據(jù)表字段內(nèi)容錯誤。

    舉例分析:為了某種目的通過超級用戶(或系統(tǒng)操作員)修改某項(xiàng)業(yè)務(wù)記錄,如會計(jì)憑證反映的經(jīng)濟(jì)事項(xiàng)或金額與實(shí)際不符。

    審計(jì)步驟和方法:篩選相關(guān)用戶操作的系統(tǒng)數(shù)據(jù),通過數(shù)據(jù)關(guān)聯(lián)分析或?qū)徲?jì)抽樣的方法,找出差異并分析原因和由此導(dǎo)致的后果。

    3.篡改計(jì)算規(guī)則方面的業(yè)務(wù)模塊靜態(tài)基礎(chǔ)數(shù)據(jù),可能導(dǎo)致數(shù)據(jù)表計(jì)算結(jié)果錯誤。

    舉例分析:篡改各種減值準(zhǔn)備的提取比例導(dǎo)致數(shù)據(jù)表計(jì)算結(jié)果錯誤,如減值準(zhǔn)備計(jì)提方法及比例、應(yīng)收款項(xiàng)計(jì)提減值準(zhǔn)備的方法及金額,費(fèi)用提取的比例或范圍等錯誤。

    審計(jì)步驟和方法:獲取靜態(tài)基礎(chǔ)數(shù)據(jù),通過復(fù)算的方法查找數(shù)據(jù)差錯的具體金額。

    4.突發(fā)事件,沒有得到有效解決,導(dǎo)致系統(tǒng)數(shù)據(jù)表內(nèi)容大量丟失。

    舉例分析:因企業(yè)服務(wù)器遭受人為惡意攻擊或非法侵入導(dǎo)致數(shù)據(jù)庫故障,如果其備份周期較長,往往只能恢復(fù)到最近一次有效備份時點(diǎn)的數(shù)據(jù),該時點(diǎn)之后的數(shù)據(jù)表內(nèi)容則大量丟失。

    審計(jì)步驟和方法:查看突發(fā)事件記錄檔案,了解突發(fā)事件時點(diǎn)和解決情況,查詢相關(guān)數(shù)據(jù)表的時間記錄字段確定丟失內(nèi)容造成的損失,對丟失內(nèi)容涉及的重大業(yè)務(wù)事項(xiàng)逐一檢查,防止國有資產(chǎn)損失。

    (三)業(yè)務(wù)差錯風(fēng)險(xiǎn)。

    1.用戶使用的熟悉程度較低,導(dǎo)致系統(tǒng)數(shù)據(jù)表字段內(nèi)容錯誤。

    舉例分析:經(jīng)濟(jì)業(yè)務(wù)記錄經(jīng)常出現(xiàn)與實(shí)際內(nèi)容相反的問題,如將會計(jì)憑證的借貸金額記反。

    審計(jì)步驟和方法:對新上線業(yè)務(wù)進(jìn)行審計(jì)抽樣,找出差錯并分析原因和由此導(dǎo)致的后果。

    2.系統(tǒng)流程存在斷點(diǎn),導(dǎo)致系統(tǒng)數(shù)據(jù)表字段內(nèi)容錯誤、記錄時間滯后。

    舉例分析:大量已發(fā)生業(yè)務(wù)未及時入賬,甚至存在挪用資金的問題,如財(cái)會人員挪用資金炒股。

    審計(jì)步驟和方法:篩選系統(tǒng)流程存在斷點(diǎn)的關(guān)鍵數(shù)據(jù)表,將上下游數(shù)據(jù)進(jìn)行關(guān)聯(lián)分析,找出差異并分析原因和由此導(dǎo)致的后果。

    3.模塊之間未能有效集成,導(dǎo)致系統(tǒng)數(shù)據(jù)表字段內(nèi)容錯誤。

    舉例分析:不同部門對同一業(yè)務(wù)記錄不一致,如收款人名稱在不同模塊間不一致。

    審計(jì)步驟和方法:篩選不同模塊之間的關(guān)鍵數(shù)據(jù)表,將上下游數(shù)據(jù)進(jìn)行關(guān)聯(lián)分析,找出差異并分析原因和由此導(dǎo)致的后果。

    4.各子系統(tǒng)之間關(guān)聯(lián)性差,導(dǎo)致相關(guān)子系統(tǒng)數(shù)據(jù)表記錄時間和內(nèi)容不一致。

    舉例分析:集團(tuán)公司內(nèi)部上下游公司相關(guān)業(yè)務(wù)發(fā)生后的記錄存在較大時間差異,如一方采購業(yè)務(wù)入賬,一方還未做銷售入賬。

    審計(jì)步驟和方法:篩選子公司之間或母子公司之間關(guān)聯(lián)交易數(shù)據(jù),進(jìn)行對比分析,找出差異并分析原因和由此導(dǎo)致的后果。

    (四)業(yè)務(wù)違規(guī)風(fēng)險(xiǎn)。

    1.多重角色的用戶權(quán)限被放大,導(dǎo)致系統(tǒng)數(shù)據(jù)表記錄內(nèi)容違規(guī)。

    舉例分析:虛構(gòu)業(yè)務(wù)套取企業(yè)資金或挪用單位財(cái)物,如以虛假資產(chǎn)處置減少實(shí)物資產(chǎn)價(jià)值。

    審計(jì)步驟和方法:篩選相關(guān)用戶操作的系統(tǒng)數(shù)據(jù),逐一檢查相關(guān)業(yè)務(wù)的合法性和合規(guī)性,并分析原因和由此導(dǎo)致的后果。

    2.篡改供應(yīng)商、分銷商和客戶等業(yè)務(wù)模塊靜態(tài)基礎(chǔ)數(shù)據(jù),導(dǎo)致系統(tǒng)數(shù)據(jù)表記錄內(nèi)容違規(guī)。

    舉例分析:修改不符合企業(yè)管理規(guī)定供應(yīng)商或分銷商的關(guān)鍵數(shù)據(jù),如國有公司、企業(yè)的董事、經(jīng)理利用職務(wù)便利,自己經(jīng)營或?yàn)樗私?jīng)營與所任職公司、企業(yè)同類的營業(yè),獲取非法利益。

    審計(jì)步驟和方法:獲取基礎(chǔ)數(shù)據(jù)表,篩選供應(yīng)商、分銷商和客戶基礎(chǔ)信息,通過與國家審計(jì)數(shù)據(jù)平臺或社會公共信息平臺的企業(yè)基礎(chǔ)信息關(guān)聯(lián)分析,并延伸調(diào)查相關(guān)個人信息,逐一審計(jì)不合規(guī)業(yè)務(wù),并分析原因和由此導(dǎo)致的后果。

    3.系統(tǒng)核心業(yè)務(wù)流程違反法律、法規(guī)和制度的相關(guān)規(guī)定,導(dǎo)致系統(tǒng)數(shù)據(jù)表記錄內(nèi)容違規(guī)。

    舉例分析:系統(tǒng)業(yè)務(wù)流程本身沒有控制可以控制的違規(guī)業(yè)務(wù),如企業(yè)超限額對外投資或擔(dān)保。

    審計(jì)步驟和方法:獲取違規(guī)業(yè)務(wù)流程對應(yīng)的數(shù)據(jù)表,通過與法定業(yè)務(wù)流程涉及的條件或要求對比,逐一審計(jì)不合規(guī)業(yè)務(wù),并分析原因和由此導(dǎo)致的后果。

    ERP環(huán)境下,系統(tǒng)處理是否合規(guī)、合法、安全可靠,與系統(tǒng)的處理和控制功能有直接關(guān)系。ERP系統(tǒng)的這些特點(diǎn)及其固有的風(fēng)險(xiǎn),決定了審計(jì)人員要花費(fèi)較多的時間和精力來了解和審查ERP系統(tǒng)的功能,以證實(shí)系統(tǒng)處理的合法性、正確性和完整性,以及系統(tǒng)數(shù)據(jù)的準(zhǔn)確性、及時性和可靠性;同時,確定風(fēng)險(xiǎn)控制的薄弱環(huán)節(jié)和由此產(chǎn)生的系統(tǒng)數(shù)據(jù),再進(jìn)行數(shù)據(jù)的多視角、多方式結(jié)合分析,避免審計(jì)的盲目性和無序性,提高審計(jì)工作的質(zhì)量和效率,降低審計(jì)風(fēng)險(xiǎn),這就是本文需要研究解決的問題。

實(shí)務(wù)學(xué)習(xí)指南

回到頂部
折疊
網(wǎng)站地圖

Copyright © 2000 - m.galtzs.cn All Rights Reserved. 北京正保會計(jì)科技有限公司 版權(quán)所有

京B2-20200959 京ICP備20012371號-7 出版物經(jīng)營許可證 京公網(wǎng)安備 11010802044457號