erp环境下内部审计信息化平台的建立优化及发展方向
晋树峰
信息化已成为当前企业发展的重要推动力,信息系统在企业中逐步普及,信息技术不断成熟,企业内部审计必须适应审计环境的变化,构建内部审计信息化平台,为强化企业管理发挥作用。本文基于我公司恒逸集团内审信息化平台的建设情况,浅析其优化与发展方向。
一、ERP系统下内部审计信息化系统建设的必要性
ERP系统是一个集成化管理的完整信息化系统,它能够对公司多方面资源进行有效共享与利用,在生产经营中合理配置和优化公司资源。随着ERP系统在公司的全面实施,内部审计信息化平台的建设显得尤为必要。
(一)内审环境的变化
ERP系统的实施,使企业内部经营管理发生质的变化,内部控制点已建立于系统的应用程序中,由计算机程序自动执行各种检验、核对、判断、监督以及对系统各功能实用的权限控制。在这一平台下,企业管理成为一个流程驱动的管理过程,企业所有的流程都必须按照面向客户、面向信息网络、面向软件应用的要求进行重组。这些变化,使传统的审计线索可能会部分或完全消失。
(二)内部审计内容和重点的变化
在ERP系统中,由于会计事项由计算机按程序自动进行处理,所以审计人员要对计算机管理信息系统的处理和控制功能进行审查,以证实其处理的合法性、正确性、完整性和安全性,内部审计重点转移到风险管控领域。主要包括四方面内容:
一是对内部控制机制的审计。主要审查企业及其下属单位是否建立内控机制以及实际运行情况,评价应对机制是否有效,重点审计业务流程、关键点控制、系统监控等方面的内控机制。二是对业务管理流程及关键控制点的审计。包括业务处理的全面性、信息录入的及时性和准确性、系统运行的可靠性、流程处理有无缺陷或舞弊的可能、系统识别评价和应对流程风险的效果等,重点审计关键控制点的风险管理。三是对ERP系统监控的审计。审计有无监控盲区或监控不力的区域、监控结果的利用情况等。四是对ERP系统与其他系统链接的审计。包括对系统的开发与设计、软件的程序、系统的控制、功能的划分、硬件的架构、备份模式及效果、故障处理方案及风险应对措施、系统风险识别与评价体系等。
(三)对企业内部审计人员素质要求的变化
实施ERP系统后,庞大的信息实现了高度集成与共享,使之比传统会计系统更为复杂,审计对象也更广泛,审计人员不仅需要在业务方面有很高的业务素质,还应熟悉ERP各子系统数据来源,掌握ERP系统的使用平台和网络环境。
二、内审信息化系统的建设方案与思路
根据公司内审模式,内审信息化系统平台分成三个子系统:内控系统、审计业务系统和问题闭环管理系统。这三个系统将内控审计管理全流程打通:内控系统主要由各职能部门及子公司内部风险管理使用,审计系统由总公司内审人员使用,问题闭环管理系统用于考核各公司审计发现问题的反馈及整改情况。
(一)内控系统模块
主要包含公司层面和业务流程两个部分。公司层面分为组织结构、治理结构、岗位节点、绩效考核等模块,业务流程分为一般业务流程和关键控制流程两个模块,业务流层面模块的建设,将使公司业务的关键控制点能基本在系统中实现。见图1
图1——内控系统模块
(二)审计业务系统模块
根据业务循环特点将审计业务划分为常规审计和专项审计。常规审计包含异常报表明细模块、审计行程规划模块、审计报告模块、财务报表风险评估抽查模块、重要事项模块、查询模块、审计系统维护模块等。
(三)问题闭环管理模块
设置问题闭环管理模块,管理及统计各职能部门及子公司对审计发现问题的反馈及整改情况,结果列入各责任单位年终考核指标;同时问题管理模块也可以作为审计案例库在公司内部共享,推动管理提升。
鉴于当前公司审计信息化建设处于起步阶段,所以优先开发通用性强的审计系统模块,主要供公司内审人员使用。
三、审计业务系统模块的开发
(一)审计循环化
按照审计循环来设置,可以将审计类型分为常规审计和专项审计两块,具体项目明细见图2。
按照图示内容制作行程规划表单,一般需要制定审计方案。形成规划表单就是审计系统模块中审计循环化整理的第一步,具体工作中除了列明各核查循环项,还需要注明具体的细项内容。考虑到有些核查项属于未在行程规划表格内,所以在设置的时候需要增加其他核查项,以全面覆盖核查范围内的审计发现。
(二)基于风险开发核查项
公司的审计部门成立多年,在整理前期审计发现的基础上识别出高风险领域,并将核查项按照图例中分类进行归类。例如:收入模块的风险点有销售折扣无审批;应收账款模块的风险点有存在逾期3月以上的应收账款无跟进措施等。然后针对风险点设置审计关注点,如采购审计,关注采购是否进行三家比价、采购物品比价基础是否一致、长期供应商是否定期比价等进行归纳;人事中的招聘审计,可以审查有没有背景调查、是否存在人事部门招聘虚假人员等进行归纳;项目工程中,在工程招投标阶段是否存在绑标行为等。最后是核查项的分类,按照严重程度、风险大小记分,设置非常严重、严重、一般,共三个等级设置风险等级利于对审计发现的定位。
(三)内审流程设置及审计模板植入
主要是设置行程规划的审批流程,审计报告的发送、抄送、反馈、追踪的审批流程,这里需要进行权限限制的设置,做到审计信息的保密。审计全业务流程中的审计通知书、开工会、底稿、审计报告等各类审计业务模板按照审计业务流在系统中植入,可自动生成,也可数据关联和导出。
(四)审计底稿与核查项串联
审计信息化系统建设的最后一步是需要将核查项与审计底稿进行串联。具体描述就是将审计发现按照循环—核查大项—核查分项—核查小项录入系统,可以实现只要选择了审计核查事项,得到一批此类问题的案例。
(五)开发实施
第一步,审计内容分解、循环化核查项归纳、表格细化;第二步,循环化核查项的调整,包括以前的工作底稿的手工整理,重复项的调整归纳,数据导入等。为了节省时间,充分利用现有ERP系统的功能,由IT人员按需要做好数据接口,确保调整全面详尽,防止日后返工;第三步,系统平台测试和设立审计系统模块维护功能。
四、ERP系统下内审信息化平台的使用与优化
(一)审计系统模块的使用方法
审计系统模块要求涵盖内审常用的因素分析法、比较分析法、趋势分析法、定性定量分析等,具体到实际工作应用中可以灵活使用。
1. 利用审计系统开展调查问卷、访谈等工作。通过对ERP系统操作者、维护者的访谈或调查问卷,了解ERP运行情况,分析控制是否有效;2. 利用审计系统查验保证ERP系统稳定运行的数据资料。查阅ERP系统运行前期调研报告、开工报告、业务流程图、重要业务的流程说明以及试运行阶段的工作记录;3. 利用审计系统抽查ERP系统中原始数据录入的准确性和完整性的。从源头上对系统原始数据的准确性审核控制错误和舞弊的发生;4. 利用审计系统直接提取数据进行自动分析发现风险点:审计人员可以信息化的优势,通过系统自动且例行提取数据并进行分析,及时发现问题;同时,还可以综合分析物流、资金流、信息流的数据,避免内审工作单一停留在某一环节,通过进行大量的数字勾稽关系以及业务逻辑关系确认,得出准确的审计结论。
(二)审计系统模块的应用优化
内审信息化工作不可能一蹴而就,审计系统模块在实际运行过程中还需要不断的优化。
1. 利用ERP系统集成化优化审计信息系统。充分利用公司ERP系统平台,在统一的平台下构建审计系统模块,这可以满足手工状态下内审控制和信息处理的要求,避免产生“信息孤岛”,利用ERP系统的集成化优化审计系统模块,把公司所有业务实现信息集成,通过物流、资金流和信息流的协同进行实现业务流程的内审控制。
2. 优化整合事前预防、事中检查和事后纠正三种控制机制。在审计系统模块中将业务活动和信息处理相结合,以事前预防和事中检查为主、事后纠正为辅来控制业务流程和结果的风险,实现内审工作由被动控制朝自主控制的方向转变。
3. 创建良好的信息和沟通机制,优化审计系统。在信息化环境下,信息和沟通机制包括企业内部IT部门核心成员与相关业务人员的沟通以及与外部审计师之间的沟通。
4. 重组业务流程,优化内部控制系统。通过有效执行设计合理的业务流程,能规范业务操作,变“人为控制”为“自动控制”,同时提高处理速度,变“滞后控制”为“实时控制”。内部控制以贯穿企业全部业务流程为主线覆盖整个企业,优化内部控制系统就要通过对业务流程进行优化和重组完善原有的内部控制。首先,由于业务流程重组涉及组织结构调整和人员、岗位、职能调整以及控制点的变化。因此,内部控制要结合新控制点制定控制措施。其次,要面向客户和供应商整合整个供应链业务流程,并尽可能实现企业与外部只有一个接触点,变局部控制为全程控制。再次,尽可能将控制点设在工作执行的地方,使组织结构扁平化,降低内部控制的成本。最后,针对企业的各种业务从政策法规、权限金额、标准流程、部门职责等方面进行规范,并将这些规定固化在软件程序中,迫使企业人员按照这种既定的规则进行操作,以提高内部控制的执行力度。
五、公司内审信息化系统的发展思路
公司开发的审计系统模块从功能结构上划分,由应用系统和支撑系统构成,应用系统包括项目管理、自动分析、例外报告、统计分析与信息查询等几大功能模块;支撑系统包括数据采集、数据库管理和文档管理三个功能模块,应用系统的正常作用离不开支撑系统的辅助。
按照上述原则建立的内审信息化系统决定了我们公司的内审信息化工作必须围绕以下几个方向发展:1. 规划内审信息化整体战略,进行资源优化配置,实现内审资源共享;2. 构建内部审计信息化网络平台,利用网络平台优化内部审计目标;3. 优化内部审计信息系统功能,建立全方位、全过程,多接口、多通道、安全可靠、快捷高效的内审信息化体系;4. 培养公司内部审计信息化人才,重视审计信息化安全、审计系统网络平台建设的发展。
内部审计信息化建设标志着公司内部审计工作的重大转变,也是公司从传统内部审计管理向现代内部审计管理转变的重要标志。
(作者单位:浙江恒逸集团有限公司)
