审计能要求企业返祖?

最近连续有人来问ERP上的单据审核问题，一开始是企业内的财会人员，继而有软件业朋友，后来就连审计的朋友都提起这个问题。那就是企业的ERP中已经针对单据的申请进行比对与条件式审查，是不是一定还要有「核对」与「审核」的设置？

问题描述

其中一位朋友对我具体描述：

1）申请项目、金额、内容与预算做了比对，经过三级人工审核，后产生「申请单号」于系统；

2）报销流程：企业与ERP供应商确定的流程中，（1）申请单号与报销（或回报）的单据由经办人线上登录与确认，（2）继而抛转给财务会计（做成会计凭证），（3）同时与出纳结算应收、应付或其他应收、其他应付，（4）最后把处理结果反馈给经办部门、经办部门主管、财务主管。

他们遭遇的问题是：现在进行2020年的年度财务审计的时候，外聘的审计单位「强烈要求」（1）报销（2）会计凭证、（3）出纳结算都需要有审核、与核准，而且这些都必须要有权责主管的人工审核轨迹。

所以，这几个朋友就这个情况（即（1）报销（2）会计凭证、（3）出纳结算）找我咨询，是不是一定要有审核、核准，或审核是不是不能与申请人是同一个人。因为多人提出这样的问题，所以今天提笔写下并记录，希望能帮助更多的朋友。

忆及陈年往事

我在2019-8-27发布于财税微波的《小化工厂的差旅费报销流程改造》（点击划底线的文字即可阅读）中说明，业务的出差与费用报销从人工作业流程转变成电脑系统，上线后剔除诸多签核程序，达到事简人精的效果。

当时系统完成后，面对注册会计师（以下简称CPAs）的审计时，CPAs要求提供「系统规划」与「程序结构说明」材料，并趁我不注意的时候找人协助做了几次盲测，证实在他们的模拟中无法「造假」后，对我当时的内部控制程序给予「未发现足以影响财务报表品质的情况」的结论。

从1986年电子计算机正式进入企业应用，到2020年互联网与手机搭配应用都非常纯熟，这30多年不但诞生了MRP、ERP，还有各种互联网应用技术与手机APP。只是让我非常惊讶的是，现在居然还有为了电子计算机应用后的单据是不是要有「审核」，是不是「审核」必须不同于申请人之争。

电子计算机应用后的世界

从手工到电子计算机处理到过程中，最困难的是事务流程合理化与流程再设计；有些企业囿于三级审核与独立复核的概念，坚持维持手工的签核程序，就会导致电子化的作用不大；甚至会出现不但人员没能精简，还拖长处理时效。

企业管理就是要充分应用80/20理论（甚至是97/03），也就是要把主管与相关管理人员的时间腾挪出来做更能增加企业增值的工作，而不是被繁琐的公文绑架。

优化后的电子处理程序中，如果要求在「标准范围内」的作业仍必须保持三级审核，这是非常有问题的。例如我们通过手机APP订购外卖的时候，APP上的里程设定、订餐都是在既定的标准内，难道美团还要针对每一份通过手机的订餐做三级审核？事实上，即便实体店的餐厅接受客户点菜，也没必要三级审核。

如何破解传统审计的尴尬

会有这样的争议应该来自内部控制的设计原则之一：独立复核、执行与监督分离这两个原则。但是当旧思维碰上新事务时，是不是应该有所调整才能「入世」。

当企业的领料单必须根据MRP核算出来的标准用量之内的时候，还需要三级审查吗？还需要再找个人来复核电脑所核算出来的数据吗？有需要的是定期检查系统有没有遭到破坏、有没有被篡改提供舞弊，而不是在平时不断的用大量的人工去验证电子计算机核算的正确性。

所以面对客户已经使用ERP系统的审计单位，理应取得ERP的设计架构、程序结构，并进行盲测（正常是不是通过与异常是不是不通过）以验证系统的可靠性（可信度），而不是要客户返祖的要有三级审核、审核必须与申请不同人。

因为客户勉强配合审计单位返祖，不能保证审计单位善尽应注意之责，例如某幸咖啡的接单流水出现5、10、15、20的跳动的时候，就是审计单位不懂才给予造假的空间与机会。

审计单位可能比较困难的是电子审计，尤其审计系统作业程序，其实审计单位应该借用CISA(Certified Information Systems Auditor的简称,中文为国际信息系统审计师)的专业，至少可以早期发现类似某幸咖啡的异常接单流水。

即便不具备CISA的技术或知识，至少不能要求企业返祖。

对企业而言，倘若遇到要求返祖的审计单位，代表这审计单位已经德不配位，该换。