ERP系統(tǒng)的風(fēng)險(xiǎn)與審計(jì)

張金城，李庭燎

（南京審計(jì)大學(xué)，南京 211815）

ERP系統(tǒng)的風(fēng)險(xiǎn)與審計(jì)

張金城，李庭燎

（南京審計(jì)大學(xué)，南京 211815）

分析了ERP系統(tǒng)的主要風(fēng)險(xiǎn)，將ERP系統(tǒng)審計(jì)分為ERP系統(tǒng)實(shí)施過(guò)程中的審計(jì)與ERP系統(tǒng)實(shí)施后的審計(jì)兩種類型，并對(duì)審計(jì)內(nèi)容進(jìn)行了初步探討。

ERP審計(jì)；ERP風(fēng)險(xiǎn)；信息系統(tǒng)審計(jì)

ERP是集成業(yè)務(wù)、管理、財(cái)務(wù)的全系統(tǒng)，是對(duì)企業(yè)物流、資金流、信息流進(jìn)行一體化管理的軟件系統(tǒng)［1］。ERP系統(tǒng)的系統(tǒng)審計(jì)是信息系統(tǒng)審計(jì)的一個(gè)子集，是對(duì)業(yè)務(wù)審計(jì)的重要支撐［2］。ERP系統(tǒng)下對(duì)傳統(tǒng)的審計(jì)模式＂審計(jì)程序和方法等都帶來(lái)了沖擊［3］，應(yīng)充分認(rèn)識(shí)到新形勢(shì)下對(duì)ERP系統(tǒng)的風(fēng)險(xiǎn)進(jìn)行分析和審計(jì)的重要性。

1　ERP系統(tǒng)的風(fēng)險(xiǎn)

普通的商業(yè)活動(dòng)中，企業(yè)組織都承擔(dān)一定的風(fēng)險(xiǎn)，建立風(fēng)險(xiǎn)控制或安全防護(hù)可以降低這些風(fēng)險(xiǎn)。但如果控制手段不充分，組織就有可能面臨巨大的風(fēng)險(xiǎn)，并遭受損失。任何IT環(huán)境都會(huì)產(chǎn)生特定的脆弱性和威脅。脆弱性是基于IT系統(tǒng)的薄弱點(diǎn)或缺點(diǎn)，某種系統(tǒng)功能或資源被誤用或者其他一些具有破壞性的威脅產(chǎn)生，都會(huì)引發(fā)這些系統(tǒng)弱點(diǎn)對(duì)企業(yè)環(huán)境造成破壞。威脅可能來(lái)自于物理環(huán)境，也可能是人為造成的。破壞性事件的風(fēng)險(xiǎn)不可能被完全排除，但企業(yè)可以運(yùn)用控制手段將這些風(fēng)險(xiǎn)降低到合理水平。ERP系統(tǒng)的風(fēng)險(xiǎn)包括：

（1）技術(shù)誤用。信息技術(shù)必須與用戶的需求相適應(yīng)，才能最大化地滿足這些需求，技術(shù)與需求不匹配會(huì)導(dǎo)致企業(yè)資源浪費(fèi)。常見(jiàn)的錯(cuò)誤企業(yè)在沒(méi)有準(zhǔn)備好情況下引進(jìn)新技術(shù)，經(jīng)驗(yàn)表明，一項(xiàng)新技術(shù)的早期用戶通常要花費(fèi)大量的資源來(lái)學(xué)習(xí)使用這項(xiàng)新技術(shù)。導(dǎo)致技術(shù)誤用的原因有：使用者未熟練掌握新的硬件技術(shù)和軟件技術(shù)；安裝新硬件和軟件技術(shù)前未經(jīng)過(guò)充分策劃；系統(tǒng)分析員/程序員使用技術(shù)時(shí)操作失誤。

（2）未能有效控制技術(shù)。IT部門(mén)把絕大部分精力都放在了與新技術(shù)實(shí)施有關(guān)的問(wèn)題上，大量研究表明他們通常沒(méi)有時(shí)間去開(kāi)發(fā)和安裝技術(shù)控件，結(jié)果企業(yè)不得不花費(fèi)資源去解決新技術(shù)帶來(lái)的問(wèn)題。技術(shù)環(huán)境需要控制，有效的控制才能保證適當(dāng)?shù)某绦蛟谇‘?dāng)?shù)臅r(shí)機(jī)運(yùn)行，同時(shí)保證文件安裝正確以及操作員遵守了安裝指導(dǎo)。

（3）未能把用戶需求轉(zhuǎn)化為技術(shù)需求。信息技術(shù)失敗的一個(gè)重要原因是用戶與技術(shù)人員未能有效溝通。在許多企業(yè)組織中，一方面用戶不能充分表達(dá)他們的需求，另一方面技術(shù)人員也不能鑒別技術(shù)使用者所關(guān)注的問(wèn)題及需求，這些表現(xiàn)主要有：用戶不了解技術(shù)功能，導(dǎo)致未能實(shí)施滿足用戶需要的技術(shù)；技術(shù)人員實(shí)施了不恰當(dāng)?shù)募夹g(shù)；為彌補(bǔ)ERP系統(tǒng)的脆弱建立了多余的手工系統(tǒng)。

（4）不合邏輯的處理。非邏輯處理是自動(dòng)化處理過(guò)程中很容易發(fā)生、而人工處理環(huán)境下幾乎不可能發(fā)生的。例如，系統(tǒng)產(chǎn)生的某個(gè)特定賬號(hào)超過(guò)百萬(wàn)元的工資單，如果是手工處理，這不可能發(fā)生。這通常由于：未能對(duì)異常數(shù)字進(jìn)行審核；字段的完整性和有效性檢驗(yàn)等。

（5）無(wú)法快速回應(yīng)。ERP系統(tǒng)的價(jià)值之一在于能夠及時(shí)滿足用戶需求，衡量ERP系統(tǒng)成功與否的方法之一就是看它滿足特殊需求的速度。導(dǎo)致ERP系統(tǒng)不能快速反應(yīng)的原因有：計(jì)算機(jī)處理需求的時(shí)間過(guò)長(zhǎng)，處理的成本超過(guò)所需信息帶來(lái)的價(jià)值、軟件和硬件故障等。

（6）輸入數(shù)據(jù)有誤。ERP系統(tǒng)中，需要將輸入的數(shù)據(jù)轉(zhuǎn)換為機(jī)器能夠讀出的格式，在轉(zhuǎn)換過(guò)程中可能會(huì)出現(xiàn)錯(cuò)誤，經(jīng)過(guò)適當(dāng)準(zhǔn)備和授權(quán)的數(shù)據(jù)可能被錯(cuò)誤地輸入到ERP應(yīng)用程序中。導(dǎo)致的原因包括：輸入數(shù)據(jù)時(shí)的人為失誤；硬件的機(jī)械故障；對(duì)于手寫(xiě)字符或者數(shù)據(jù)輸入程序的錯(cuò)誤理解，未對(duì)數(shù)據(jù)進(jìn)行充分驗(yàn)證等。

（7）數(shù)據(jù)集中。ERP應(yīng)用程序?qū)?shù)據(jù)集中起來(lái)，方便用戶獲取和使用。在ERP環(huán)境下，非授權(quán)人員能夠通過(guò)計(jì)算機(jī)瀏覽大量相關(guān)信息，如果沒(méi)有合適的防護(hù)措施，企業(yè)很難監(jiān)測(cè)到這些行為，數(shù)據(jù)可以被迅速地拷貝下來(lái)，或被破壞而不留痕跡。數(shù)據(jù)庫(kù)技術(shù)也增加了數(shù)據(jù)操縱和數(shù)據(jù)安全的風(fēng)險(xiǎn)。數(shù)據(jù)集中增加了因更多地依賴單個(gè)數(shù)據(jù)或單個(gè)數(shù)據(jù)文件而帶來(lái)的問(wèn)題，如果單個(gè)數(shù)據(jù)輸入錯(cuò)誤，那么依賴這個(gè)數(shù)據(jù)的程序越多，錯(cuò)誤的影響就越嚴(yán)重，給企業(yè)帶來(lái)的影響也越大。

2　ERP系統(tǒng)的審計(jì)

因?yàn)镋RP系統(tǒng)不存在那些傳統(tǒng)的原始文件，可審計(jì)性在ERP系統(tǒng)中非常重要。可審計(jì)性取決于系統(tǒng)證實(shí)所有輸入交易是否真實(shí)、完整的能力，這種交易的真實(shí)、完整性只能通過(guò)恰當(dāng)?shù)膬?nèi)部控制系統(tǒng)實(shí)現(xiàn)。可審計(jì)性的概念要求ERP系統(tǒng)在實(shí)施過(guò)程中企業(yè)就要對(duì)ERP系統(tǒng)進(jìn)行審計(jì)。因?yàn)镋RP系統(tǒng)實(shí)施完成以后在重新改進(jìn)控制的成本非常高，也非常困難。因此，在ERP系統(tǒng)實(shí)施過(guò)程中，企業(yè)必須設(shè)計(jì)并實(shí)施有效的控制使其具備可審計(jì)性。

ERP環(huán)境下的審計(jì)可以分為兩種：一種是對(duì)實(shí)施過(guò)程中的ERP系統(tǒng)進(jìn)行審計(jì)；另一種是對(duì)ERP系統(tǒng)實(shí)施后運(yùn)營(yíng)情況的審計(jì)。對(duì)于實(shí)施過(guò)程中的審計(jì)，審計(jì)人員主要關(guān)注的是相關(guān)人員是否遵循了一定的實(shí)施程序和標(biāo)準(zhǔn)。對(duì)ERP系統(tǒng)的運(yùn)營(yíng)情況審計(jì)是對(duì)自動(dòng)化處理生成的結(jié)果進(jìn)行評(píng)價(jià)。它通常是審計(jì)數(shù)據(jù)處理過(guò)程，通過(guò)檢查運(yùn)行結(jié)果來(lái)評(píng)估系統(tǒng)是否被適當(dāng)控制以及控制是否有效，應(yīng)用程序是否生成了預(yù)期結(jié)果。具體內(nèi)容如下：

（1）ERP實(shí)施過(guò)程控制的審計(jì)。在檢查企業(yè)對(duì)ERP系統(tǒng)實(shí)施過(guò)程的審計(jì)時(shí)，審計(jì)工作包括兩項(xiàng)任務(wù)：①審計(jì)部門(mén)必須對(duì)ERP實(shí)施的生命周期法本身進(jìn)行與檢查，以確定它是否適當(dāng)遵循了對(duì)ERP實(shí)施的一些原則和控制。②審計(jì)部門(mén)必須把正在接受檢查的ERP系統(tǒng)實(shí)施所使用的方法與ERP生命周期法進(jìn)行比較，以確定實(shí)施中是否涵蓋了該方法中重要的內(nèi)容以及是否實(shí)施了適當(dāng)?shù)目刂啤?/p>

審計(jì)作為管理工作的代表，必須把每一個(gè)管理控制目標(biāo)轉(zhuǎn)化為合適的審計(jì)問(wèn)題，這些問(wèn)題能夠確定特殊領(lǐng)域的控制是否實(shí)現(xiàn)。例如，對(duì)于控制目標(biāo)“用戶部門(mén)的管理層應(yīng)當(dāng)參與項(xiàng)目啟動(dòng)階段”，可以轉(zhuǎn)換為審計(jì)測(cè)試行為如：“①檢查相應(yīng)的書(shū)面文件以證實(shí)用戶確實(shí)參加了項(xiàng)目啟動(dòng)階段，這些文件包括指導(dǎo)委員會(huì)的會(huì)議備忘錄、項(xiàng)目計(jì)劃等；②與用戶管理層面談，確定他們對(duì)項(xiàng)目的了解程度和參與層次”。相應(yīng)的檢查方法和技術(shù)如：結(jié)構(gòu)化訪談技巧、根據(jù)資料評(píng)估用戶管理層次參與情況。

（2）ERP實(shí)施后控制的審計(jì)。對(duì)ERP系統(tǒng)實(shí)施后的控制可以分為兩大類：一類是用于控制特定應(yīng)用系統(tǒng)的風(fēng)險(xiǎn)，即應(yīng)用控制；另一類是適用于較寬范圍的風(fēng)險(xiǎn)，這些風(fēng)險(xiǎn)系統(tǒng)地威脅到信息系統(tǒng)環(huán)境下所有應(yīng)用程序的完整性，即一般控制。其中對(duì)應(yīng)用控制的審計(jì)內(nèi)容包括對(duì)用戶部門(mén)的應(yīng)用控制的審計(jì)和對(duì)數(shù)據(jù)控制部門(mén)的應(yīng)用控制的審計(jì)兩大類。前者包括輸入控制、常備數(shù)據(jù)控制、對(duì)拒絕處理交易及未決交易的用戶控制、輸出結(jié)果的用戶控制等；后者包括輸入控制和輸出控制。對(duì)一般控制的審計(jì)內(nèi)容包括：職責(zé)分工和安全審計(jì)、系統(tǒng)軟件控制的審計(jì)、計(jì)算機(jī)操作控制的審計(jì)、業(yè)務(wù)連續(xù)性控制的審計(jì)、應(yīng)用程序系統(tǒng)開(kāi)發(fā)控制的審計(jì)等。

主要參考文獻(xiàn)

［1］張萍，王瑩.ERP環(huán)境下的審計(jì)風(fēng)險(xiǎn)研究［J］.財(cái)會(huì)研究，2010（20）：71－72.

［2］衛(wèi)劍.論ERP系統(tǒng)的系統(tǒng)審計(jì)策略［J］.審計(jì)研究，2006（z1）：21－28.

［3］趙長(zhǎng)明.我國(guó)二手房地產(chǎn)交易價(jià)格風(fēng)險(xiǎn)的核算［J］.統(tǒng)計(jì)與決策，2014（1）：50-52.

10.3969/j.issn.1673-0194.2016.19.023

F239.1

A

1673-0194（2016）19-0037-02

2016-06-21

江蘇省高校自然科學(xué)研究重大項(xiàng)目（12KJA630001）；江蘇省審計(jì)信息工程重點(diǎn)實(shí)驗(yàn)室開(kāi)放課題（AIE201207）。