ERP系统环境下的审计风险

文/徐俊俄吴君儿

伴随着会计信息技术化的成熟，以ERP为代表的企业信息系统的高度集成逐渐开始兴起。采用ERP系统后，企业信息系统已不仅仅是一个孤立的系统，而是集财务、人事、供销、生产为一体的综合性系统，财务信息只是系统所处理信息的一部分。ERP系统的特点决定其审计风险区别于手工会计信息系统的风险，其特有风险主要包括：（1）系统缺乏应有的审计接口；（2）系统程序易于被非法调用甚至遭到篡改；（3）错误程序产生的风险；（4）数据集中与职责集中产生的风险；（5）计算机系统固有的脆弱性。

在风险导向审计理论中，审计风险划分为固有风险、控制风险和检查风险。其中固有风险和控制风险不可分割的交织在一起，有时无法单独进行评估，合并称为“重大错报风险”。ERP系统的应用使得企业在提高运行效率的同时产生了新的重大错报风险。与传统企业手工系统相比，其主要的重大错报风险就在于企业的ERP系统是否真实地反映了企业的各项业务。

——ERP系统环境下的固有风险。在传统的人工管理系统中，纸面上的信息易于辨认、追溯，而在ERP系统中，由于存储介质的改变，一旦非法用户透过计算机系统的“防护墙”，那就极易破坏和修改电子数据且不留痕迹；计算机病毒、电源故障、操作失误、数据处理错误和网络传输错误也会造成实际数据和电子账面数据不相符，存在会计数据被滥用、篡改和丢失的可能。

——ERP系统环境下的控制风险。ERP系统实现了从采购到付款、订单的获取到发票的开出等业务集成，实现了跨职能部门的业务处理。在这种情况下，ERP系统中单一的数据库，使过去跨部门的审批流程得到简化和压缩。压缩所造成的一个结果是，用于企业内部控制的许多审计线索在ERP系统的引入后消失了。同时，企业过去基于文件审批的内部控制机制，也无法适应ERP基于流程的管理需要。更重要的是，由于企业的业务运作更加依赖于ERP系统，这种依赖形成了企业新的业务风险。如有意或无意使设置权限密码、实行职责分工的约束机制，由于权限设置的重叠或跨责任中心越权设置，使这一控制措施有可能形同虚设。

——ERP系统环境下的检查风险。（1）会计软件的更新换代，使历史文件难以提取。（2）内部控制主要依赖软件本身，而要在有效的时间内设计出面面俱到的测试数据是不现实的，从而增加了难以全面检查测试的可能性。（3）经营业务的真实性。由于ERP系统中的财务（FIS）模块与其他功能模块之间信息高度共享，系统中如果存在程序错误，不能及时发现该类错误，则将带来极大的审计风险。

为充分评估、识别重大错报风险，控制检查风险，进而达到降低审计风险的目的，在ERP系统下无纸化商业活动以及无纸化数据库的审计环境中，审计过程中将更依赖于电子数据信息流程的评价证据，而非绕过计算机审计。因而在ERP系统环境下控制审计风险的应对措施如下：一是要适度增加对ERP系统进行控制测试。在认为仅通过实施实质性程序不能获取充分、适当的审计证据的情况下，审计人员必须实施控制测试，且这种测试已不再是单纯出于成本效益的考虑，而是必须获取的一类审计证据。二是要注重对被审计单位ERP系统内部控制的审计。应考虑计算机条件下内部控制的以下特征：缺乏交易轨迹，同类交易处理的一致性，缺乏职责分工，在特定方面发生错误与舞弊行为的可能性较大，交易授权、执行与手工处理差异等。三是要关注ERP会计信息系统对审计程序包括审计线索、内部控制改变、审计内容、审计技术手段、审计人员要求以及审计范围的影响。

值得指出的是，从程序上看，审计人员在评估被审计单位ERP系统的风险时，首先要识别内部控制的风险，判别其重要性；其次是制定鉴别系统需要控制每一重要风险的规则；最后是制定测试风险控制的规程与措施。