ERP系統的風險與審計

張金城，李庭燎

（南京審計大學，南京 211815）

ERP系統的風險與審計

張金城，李庭燎

（南京審計大學，南京 211815）

分析了ERP系統的主要風險，將ERP系統審計分為ERP系統實施過程中的審計與ERP系統實施后的審計兩種類型，并對審計內容進行了初步探討。

ERP審計；ERP風險；信息系統審計

ERP是集成業務、管理、財務的全系統，是對企業物流、資金流、信息流進行一體化管理的軟件系統［1］。ERP系統的系統審計是信息系統審計的一個子集，是對業務審計的重要支撐［2］。ERP系統下對傳統的審計模式＂審計程序和方法等都帶來了沖擊［3］，應充分認識到新形勢下對ERP系統的風險進行分析和審計的重要性。

1　ERP系統的風險

普通的商業活動中，企業組織都承擔一定的風險，建立風險控制或安全防護可以降低這些風險。但如果控制手段不充分，組織就有可能面臨巨大的風險，并遭受損失。任何IT環境都會產生特定的脆弱性和威脅。脆弱性是基于IT系統的薄弱點或缺點，某種系統功能或資源被誤用或者其他一些具有破壞性的威脅產生，都會引發這些系統弱點對企業環境造成破壞。威脅可能來自于物理環境，也可能是人為造成的。破壞性事件的風險不可能被完全排除，但企業可以運用控制手段將這些風險降低到合理水平。ERP系統的風險包括：

（1）技術誤用。信息技術必須與用戶的需求相適應，才能最大化地滿足這些需求，技術與需求不匹配會導致企業資源浪費。常見的錯誤企業在沒有準備好情況下引進新技術，經驗表明，一項新技術的早期用戶通常要花費大量的資源來學習使用這項新技術。導致技術誤用的原因有：使用者未熟練掌握新的硬件技術和軟件技術；安裝新硬件和軟件技術前未經過充分策劃；系統分析員/程序員使用技術時操作失誤。

（2）未能有效控制技術。IT部門把絕大部分精力都放在了與新技術實施有關的問題上，大量研究表明他們通常沒有時間去開發和安裝技術控件，結果企業不得不花費資源去解決新技術帶來的問題。技術環境需要控制，有效的控制才能保證適當的程序在恰當的時機運行，同時保證文件安裝正確以及操作員遵守了安裝指導。

（3）未能把用戶需求轉化為技術需求。信息技術失敗的一個重要原因是用戶與技術人員未能有效溝通。在許多企業組織中，一方面用戶不能充分表達他們的需求，另一方面技術人員也不能鑒別技術使用者所關注的問題及需求，這些表現主要有：用戶不了解技術功能，導致未能實施滿足用戶需要的技術；技術人員實施了不恰當的技術；為彌補ERP系統的脆弱建立了多余的手工系統。

（4）不合邏輯的處理。非邏輯處理是自動化處理過程中很容易發生、而人工處理環境下幾乎不可能發生的。例如，系統產生的某個特定賬號超過百萬元的工資單，如果是手工處理，這不可能發生。這通常由于：未能對異常數字進行審核；字段的完整性和有效性檢驗等。

（5）無法快速回應。ERP系統的價值之一在于能夠及時滿足用戶需求，衡量ERP系統成功與否的方法之一就是看它滿足特殊需求的速度。導致ERP系統不能快速反應的原因有：計算機處理需求的時間過長，處理的成本超過所需信息帶來的價值、軟件和硬件故障等。

（6）輸入數據有誤。ERP系統中，需要將輸入的數據轉換為機器能夠讀出的格式，在轉換過程中可能會出現錯誤，經過適當準備和授權的數據可能被錯誤地輸入到ERP應用程序中。導致的原因包括：輸入數據時的人為失誤；硬件的機械故障；對于手寫字符或者數據輸入程序的錯誤理解，未對數據進行充分驗證等。

（7）數據集中。ERP應用程序將數據集中起來，方便用戶獲取和使用。在ERP環境下，非授權人員能夠通過計算機瀏覽大量相關信息，如果沒有合適的防護措施，企業很難監測到這些行為，數據可以被迅速地拷貝下來，或被破壞而不留痕跡。數據庫技術也增加了數據操縱和數據安全的風險。數據集中增加了因更多地依賴單個數據或單個數據文件而帶來的問題，如果單個數據輸入錯誤，那么依賴這個數據的程序越多，錯誤的影響就越嚴重，給企業帶來的影響也越大。

2　ERP系統的審計

因為ERP系統不存在那些傳統的原始文件，可審計性在ERP系統中非常重要。可審計性取決于系統證實所有輸入交易是否真實、完整的能力，這種交易的真實、完整性只能通過恰當的內部控制系統實現。可審計性的概念要求ERP系統在實施過程中企業就要對ERP系統進行審計。因為ERP系統實施完成以后在重新改進控制的成本非常高，也非常困難。因此，在ERP系統實施過程中，企業必須設計并實施有效的控制使其具備可審計性。

ERP環境下的審計可以分為兩種：一種是對實施過程中的ERP系統進行審計；另一種是對ERP系統實施后運營情況的審計。對于實施過程中的審計，審計人員主要關注的是相關人員是否遵循了一定的實施程序和標準。對ERP系統的運營情況審計是對自動化處理生成的結果進行評價。它通常是審計數據處理過程，通過檢查運行結果來評估系統是否被適當控制以及控制是否有效，應用程序是否生成了預期結果。具體內容如下：

（1）ERP實施過程控制的審計。在檢查企業對ERP系統實施過程的審計時，審計工作包括兩項任務：①審計部門必須對ERP實施的生命周期法本身進行與檢查，以確定它是否適當遵循了對ERP實施的一些原則和控制。②審計部門必須把正在接受檢查的ERP系統實施所使用的方法與ERP生命周期法進行比較，以確定實施中是否涵蓋了該方法中重要的內容以及是否實施了適當的控制。

審計作為管理工作的代表，必須把每一個管理控制目標轉化為合適的審計問題，這些問題能夠確定特殊領域的控制是否實現。例如，對于控制目標“用戶部門的管理層應當參與項目啟動階段”，可以轉換為審計測試行為如：“①檢查相應的書面文件以證實用戶確實參加了項目啟動階段，這些文件包括指導委員會的會議備忘錄、項目計劃等；②與用戶管理層面談，確定他們對項目的了解程度和參與層次”。相應的檢查方法和技術如：結構化訪談技巧、根據資料評估用戶管理層次參與情況。

（2）ERP實施后控制的審計。對ERP系統實施后的控制可以分為兩大類：一類是用于控制特定應用系統的風險，即應用控制；另一類是適用于較寬范圍的風險，這些風險系統地威脅到信息系統環境下所有應用程序的完整性，即一般控制。其中對應用控制的審計內容包括對用戶部門的應用控制的審計和對數據控制部門的應用控制的審計兩大類。前者包括輸入控制、常備數據控制、對拒絕處理交易及未決交易的用戶控制、輸出結果的用戶控制等；后者包括輸入控制和輸出控制。對一般控制的審計內容包括：職責分工和安全審計、系統軟件控制的審計、計算機操作控制的審計、業務連續性控制的審計、應用程序系統開發控制的審計等。

主要參考文獻

［1］張萍，王瑩.ERP環境下的審計風險研究［J］.財會研究，2010（20）：71－72.

［2］衛劍.論ERP系統的系統審計策略［J］.審計研究，2006（z1）：21－28.

［3］趙長明.我國二手房地產交易價格風險的核算［J］.統計與決策，2014（1）：50-52.

10.3969/j.issn.1673-0194.2016.19.023

F239.1

A

1673-0194（2016）19-0037-02

2016-06-21

江蘇省高校自然科學研究重大項目（12KJA630001）；江蘇省審計信息工程重點實驗室開放課題（AIE201207）。