張金城，李庭燎

（南京審計大學，南京 211815）

ERP系統(tǒng)的風險與審計

張金城，李庭燎

（南京審計大學，南京 211815）

分析了ERP系統(tǒng)的主要風險，將ERP系統(tǒng)審計分為ERP系統(tǒng)實施過程中的審計與ERP系統(tǒng)實施后的審計兩種類型，并對審計內(nèi)容進行了初步探討。

ERP審計；ERP風險；信息系統(tǒng)審計

ERP是集成業(yè)務、管理、財務的全系統(tǒng)，是對企業(yè)物流、資金流、信息流進行一體化管理的軟件系統(tǒng)［1］。ERP系統(tǒng)的系統(tǒng)審計是信息系統(tǒng)審計的一個子集，是對業(yè)務審計的重要支撐［2］。ERP系統(tǒng)下對傳統(tǒng)的審計模式＂審計程序和方法等都帶來了沖擊［3］，應充分認識到新形勢下對ERP系統(tǒng)的風險進行分析和審計的重要性。

1　ERP系統(tǒng)的風險

普通的商業(yè)活動中，企業(yè)組織都承擔一定的風險，建立風險控制或安全防護可以降低這些風險。但如果控制手段不充分，組織就有可能面臨巨大的風險，并遭受損失。任何IT環(huán)境都會產(chǎn)生特定的脆弱性和威脅。脆弱性是基于IT系統(tǒng)的薄弱點或缺點，某種系統(tǒng)功能或資源被誤用或者其他一些具有破壞性的威脅產(chǎn)生，都會引發(fā)這些系統(tǒng)弱點對企業(yè)環(huán)境造成破壞。威脅可能來自于物理環(huán)境，也可能是人為造成的。破壞性事件的風險不可能被完全排除，但企業(yè)可以運用控制手段將這些風險降低到合理水平。ERP系統(tǒng)的風險包括：

（1）技術誤用。信息技術必須與用戶的需求相適應，才能最大化地滿足這些需求，技術與需求不匹配會導致企業(yè)資源浪費。常見的錯誤企業(yè)在沒有準備好情況下引進新技術，經(jīng)驗表明，一項新技術的早期用戶通常要花費大量的資源來學習使用這項新技術。導致技術誤用的原因有：使用者未熟練掌握新的硬件技術和軟件技術；安裝新硬件和軟件技術前未經(jīng)過充分策劃；系統(tǒng)分析員/程序員使用技術時操作失誤。

（2）未能有效控制技術。IT部門把絕大部分精力都放在了與新技術實施有關的問題上，大量研究表明他們通常沒有時間去開發(fā)和安裝技術控件，結(jié)果企業(yè)不得不花費資源去解決新技術帶來的問題。技術環(huán)境需要控制，有效的控制才能保證適當?shù)某绦蛟谇‘數(shù)臅r機運行，同時保證文件安裝正確以及操作員遵守了安裝指導。

（3）未能把用戶需求轉(zhuǎn)化為技術需求。信息技術失敗的一個重要原因是用戶與技術人員未能有效溝通。在許多企業(yè)組織中，一方面用戶不能充分表達他們的需求，另一方面技術人員也不能鑒別技術使用者所關注的問題及需求，這些表現(xiàn)主要有：用戶不了解技術功能，導致未能實施滿足用戶需要的技術；技術人員實施了不恰當?shù)募夹g；為彌補ERP系統(tǒng)的脆弱建立了多余的手工系統(tǒng)。

（4）不合邏輯的處理。非邏輯處理是自動化處理過程中很容易發(fā)生、而人工處理環(huán)境下幾乎不可能發(fā)生的。例如，系統(tǒng)產(chǎn)生的某個特定賬號超過百萬元的工資單，如果是手工處理，這不可能發(fā)生。這通常由于：未能對異常數(shù)字進行審核；字段的完整性和有效性檢驗等。

（5）無法快速回應。ERP系統(tǒng)的價值之一在于能夠及時滿足用戶需求，衡量ERP系統(tǒng)成功與否的方法之一就是看它滿足特殊需求的速度。導致ERP系統(tǒng)不能快速反應的原因有：計算機處理需求的時間過長，處理的成本超過所需信息帶來的價值、軟件和硬件故障等。

（6）輸入數(shù)據(jù)有誤。ERP系統(tǒng)中，需要將輸入的數(shù)據(jù)轉(zhuǎn)換為機器能夠讀出的格式，在轉(zhuǎn)換過程中可能會出現(xiàn)錯誤，經(jīng)過適當準備和授權的數(shù)據(jù)可能被錯誤地輸入到ERP應用程序中。導致的原因包括：輸入數(shù)據(jù)時的人為失誤；硬件的機械故障；對于手寫字符或者數(shù)據(jù)輸入程序的錯誤理解，未對數(shù)據(jù)進行充分驗證等。

（7）數(shù)據(jù)集中。ERP應用程序?qū)?shù)據(jù)集中起來，方便用戶獲取和使用。在ERP環(huán)境下，非授權人員能夠通過計算機瀏覽大量相關信息，如果沒有合適的防護措施，企業(yè)很難監(jiān)測到這些行為，數(shù)據(jù)可以被迅速地拷貝下來，或被破壞而不留痕跡。數(shù)據(jù)庫技術也增加了數(shù)據(jù)操縱和數(shù)據(jù)安全的風險。數(shù)據(jù)集中增加了因更多地依賴單個數(shù)據(jù)或單個數(shù)據(jù)文件而帶來的問題，如果單個數(shù)據(jù)輸入錯誤，那么依賴這個數(shù)據(jù)的程序越多，錯誤的影響就越嚴重，給企業(yè)帶來的影響也越大。

2　ERP系統(tǒng)的審計

因為ERP系統(tǒng)不存在那些傳統(tǒng)的原始文件，可審計性在ERP系統(tǒng)中非常重要?？蓪徲嬓匀Q于系統(tǒng)證實所有輸入交易是否真實、完整的能力，這種交易的真實、完整性只能通過恰當?shù)膬?nèi)部控制系統(tǒng)實現(xiàn)?？蓪徲嬓缘母拍钜驟RP系統(tǒng)在實施過程中企業(yè)就要對ERP系統(tǒng)進行審計。因為ERP系統(tǒng)實施完成以后在重新改進控制的成本非常高，也非常困難。因此，在ERP系統(tǒng)實施過程中，企業(yè)必須設計并實施有效的控制使其具備可審計性。

ERP環(huán)境下的審計可以分為兩種：一種是對實施過程中的ERP系統(tǒng)進行審計；另一種是對ERP系統(tǒng)實施后運營情況的審計。對于實施過程中的審計，審計人員主要關注的是相關人員是否遵循了一定的實施程序和標準。對ERP系統(tǒng)的運營情況審計是對自動化處理生成的結(jié)果進行評價。它通常是審計數(shù)據(jù)處理過程，通過檢查運行結(jié)果來評估系統(tǒng)是否被適當控制以及控制是否有效，應用程序是否生成了預期結(jié)果。具體內(nèi)容如下：

（1）ERP實施過程控制的審計。在檢查企業(yè)對ERP系統(tǒng)實施過程的審計時，審計工作包括兩項任務：①審計部門必須對ERP實施的生命周期法本身進行與檢查，以確定它是否適當遵循了對ERP實施的一些原則和控制。②審計部門必須把正在接受檢查的ERP系統(tǒng)實施所使用的方法與ERP生命周期法進行比較，以確定實施中是否涵蓋了該方法中重要的內(nèi)容以及是否實施了適當?shù)目刂啤?/p>

審計作為管理工作的代表，必須把每一個管理控制目標轉(zhuǎn)化為合適的審計問題，這些問題能夠確定特殊領域的控制是否實現(xiàn)。例如，對于控制目標“用戶部門的管理層應當參與項目啟動階段”，可以轉(zhuǎn)換為審計測試行為如：“①檢查相應的書面文件以證實用戶確實參加了項目啟動階段，這些文件包括指導委員會的會議備忘錄、項目計劃等；②與用戶管理層面談，確定他們對項目的了解程度和參與層次”。相應的檢查方法和技術如：結(jié)構化訪談技巧、根據(jù)資料評估用戶管理層次參與情況。

（2）ERP實施后控制的審計。對ERP系統(tǒng)實施后的控制可以分為兩大類：一類是用于控制特定應用系統(tǒng)的風險，即應用控制；另一類是適用于較寬范圍的風險，這些風險系統(tǒng)地威脅到信息系統(tǒng)環(huán)境下所有應用程序的完整性，即一般控制。其中對應用控制的審計內(nèi)容包括對用戶部門的應用控制的審計和對數(shù)據(jù)控制部門的應用控制的審計兩大類。前者包括輸入控制、常備數(shù)據(jù)控制、對拒絕處理交易及未決交易的用戶控制、輸出結(jié)果的用戶控制等；后者包括輸入控制和輸出控制。對一般控制的審計內(nèi)容包括：職責分工和安全審計、系統(tǒng)軟件控制的審計、計算機操作控制的審計、業(yè)務連續(xù)性控制的審計、應用程序系統(tǒng)開發(fā)控制的審計等。

主要參考文獻

［1］張萍，王瑩.ERP環(huán)境下的審計風險研究［J］.財會研究，2010（20）：71－72.

［2］衛(wèi)劍.論ERP系統(tǒng)的系統(tǒng)審計策略［J］.審計研究，2006（z1）：21－28.

［3］趙長明.我國二手房地產(chǎn)交易價格風險的核算［J］.統(tǒng)計與決策，2014（1）：50-52.

10.3969/j.issn.1673-0194.2016.19.023

F239.1

A

1673-0194（2016）19-0037-02

2016-06-21

江蘇省高校自然科學研究重大項目（12KJA630001）；江蘇省審計信息工程重點實驗室開放課題（AIE201207）。