ERP系統(tǒng)環(huán)境下的審計(jì)風(fēng)險(xiǎn)

文/徐俊俄吳君兒

伴隨著會(huì)計(jì)信息技術(shù)化的成熟，以ERP為代表的企業(yè)信息系統(tǒng)的高度集成逐漸開(kāi)始興起。采用ERP系統(tǒng)后，企業(yè)信息系統(tǒng)已不僅僅是一個(gè)孤立的系統(tǒng)，而是集財(cái)務(wù)、人事、供銷、生產(chǎn)為一體的綜合性系統(tǒng)，財(cái)務(wù)信息只是系統(tǒng)所處理信息的一部分。ERP系統(tǒng)的特點(diǎn)決定其審計(jì)風(fēng)險(xiǎn)區(qū)別于手工會(huì)計(jì)信息系統(tǒng)的風(fēng)險(xiǎn)，其特有風(fēng)險(xiǎn)主要包括：（1）系統(tǒng)缺乏應(yīng)有的審計(jì)接口；（2）系統(tǒng)程序易于被非法調(diào)用甚至遭到篡改；（3）錯(cuò)誤程序產(chǎn)生的風(fēng)險(xiǎn)；（4）數(shù)據(jù)集中與職責(zé)集中產(chǎn)生的風(fēng)險(xiǎn)；（5）計(jì)算機(jī)系統(tǒng)固有的脆弱性。

在風(fēng)險(xiǎn)導(dǎo)向?qū)徲?jì)理論中，審計(jì)風(fēng)險(xiǎn)劃分為固有風(fēng)險(xiǎn)、控制風(fēng)險(xiǎn)和檢查風(fēng)險(xiǎn)。其中固有風(fēng)險(xiǎn)和控制風(fēng)險(xiǎn)不可分割的交織在一起，有時(shí)無(wú)法單獨(dú)進(jìn)行評(píng)估，合并稱為“重大錯(cuò)報(bào)風(fēng)險(xiǎn)”。ERP系統(tǒng)的應(yīng)用使得企業(yè)在提高運(yùn)行效率的同時(shí)產(chǎn)生了新的重大錯(cuò)報(bào)風(fēng)險(xiǎn)。與傳統(tǒng)企業(yè)手工系統(tǒng)相比，其主要的重大錯(cuò)報(bào)風(fēng)險(xiǎn)就在于企業(yè)的ERP系統(tǒng)是否真實(shí)地反映了企業(yè)的各項(xiàng)業(yè)務(wù)。

——ERP系統(tǒng)環(huán)境下的固有風(fēng)險(xiǎn)。在傳統(tǒng)的人工管理系統(tǒng)中，紙面上的信息易于辨認(rèn)、追溯，而在ERP系統(tǒng)中，由于存儲(chǔ)介質(zhì)的改變，一旦非法用戶透過(guò)計(jì)算機(jī)系統(tǒng)的“防護(hù)墻”，那就極易破壞和修改電子數(shù)據(jù)且不留痕跡；計(jì)算機(jī)病毒、電源故障、操作失誤、數(shù)據(jù)處理錯(cuò)誤和網(wǎng)絡(luò)傳輸錯(cuò)誤也會(huì)造成實(shí)際數(shù)據(jù)和電子賬面數(shù)據(jù)不相符，存在會(huì)計(jì)數(shù)據(jù)被濫用、篡改和丟失的可能。

——ERP系統(tǒng)環(huán)境下的控制風(fēng)險(xiǎn)。ERP系統(tǒng)實(shí)現(xiàn)了從采購(gòu)到付款、訂單的獲取到發(fā)票的開(kāi)出等業(yè)務(wù)集成，實(shí)現(xiàn)了跨職能部門(mén)的業(yè)務(wù)處理。在這種情況下，ERP系統(tǒng)中單一的數(shù)據(jù)庫(kù)，使過(guò)去跨部門(mén)的審批流程得到簡(jiǎn)化和壓縮。壓縮所造成的一個(gè)結(jié)果是，用于企業(yè)內(nèi)部控制的許多審計(jì)線索在ERP系統(tǒng)的引入后消失了。同時(shí)，企業(yè)過(guò)去基于文件審批的內(nèi)部控制機(jī)制，也無(wú)法適應(yīng)ERP基于流程的管理需要。更重要的是，由于企業(yè)的業(yè)務(wù)運(yùn)作更加依賴于ERP系統(tǒng)，這種依賴形成了企業(yè)新的業(yè)務(wù)風(fēng)險(xiǎn)。如有意或無(wú)意使設(shè)置權(quán)限密碼、實(shí)行職責(zé)分工的約束機(jī)制，由于權(quán)限設(shè)置的重疊或跨責(zé)任中心越權(quán)設(shè)置，使這一控制措施有可能形同虛設(shè)。

——ERP系統(tǒng)環(huán)境下的檢查風(fēng)險(xiǎn)。（1）會(huì)計(jì)軟件的更新?lián)Q代，使歷史文件難以提取。（2）內(nèi)部控制主要依賴軟件本身，而要在有效的時(shí)間內(nèi)設(shè)計(jì)出面面俱到的測(cè)試數(shù)據(jù)是不現(xiàn)實(shí)的，從而增加了難以全面檢查測(cè)試的可能性。（3）經(jīng)營(yíng)業(yè)務(wù)的真實(shí)性。由于ERP系統(tǒng)中的財(cái)務(wù)（FIS）模塊與其他功能模塊之間信息高度共享，系統(tǒng)中如果存在程序錯(cuò)誤，不能及時(shí)發(fā)現(xiàn)該類錯(cuò)誤，則將帶來(lái)極大的審計(jì)風(fēng)險(xiǎn)。

為充分評(píng)估、識(shí)別重大錯(cuò)報(bào)風(fēng)險(xiǎn)，控制檢查風(fēng)險(xiǎn)，進(jìn)而達(dá)到降低審計(jì)風(fēng)險(xiǎn)的目的，在ERP系統(tǒng)下無(wú)紙化商業(yè)活動(dòng)以及無(wú)紙化數(shù)據(jù)庫(kù)的審計(jì)環(huán)境中，審計(jì)過(guò)程中將更依賴于電子數(shù)據(jù)信息流程的評(píng)價(jià)證據(jù)，而非繞過(guò)計(jì)算機(jī)審計(jì)。因而在ERP系統(tǒng)環(huán)境下控制審計(jì)風(fēng)險(xiǎn)的應(yīng)對(duì)措施如下：一是要適度增加對(duì)ERP系統(tǒng)進(jìn)行控制測(cè)試。在認(rèn)為僅通過(guò)實(shí)施實(shí)質(zhì)性程序不能獲取充分、適當(dāng)?shù)膶徲?jì)證據(jù)的情況下，審計(jì)人員必須實(shí)施控制測(cè)試，且這種測(cè)試已不再是單純出于成本效益的考慮，而是必須獲取的一類審計(jì)證據(jù)。二是要注重對(duì)被審計(jì)單位ERP系統(tǒng)內(nèi)部控制的審計(jì)。應(yīng)考慮計(jì)算機(jī)條件下內(nèi)部控制的以下特征：缺乏交易軌跡，同類交易處理的一致性，缺乏職責(zé)分工，在特定方面發(fā)生錯(cuò)誤與舞弊行為的可能性較大，交易授權(quán)、執(zhí)行與手工處理差異等。三是要關(guān)注ERP會(huì)計(jì)信息系統(tǒng)對(duì)審計(jì)程序包括審計(jì)線索、內(nèi)部控制改變、審計(jì)內(nèi)容、審計(jì)技術(shù)手段、審計(jì)人員要求以及審計(jì)范圍的影響。

值得指出的是，從程序上看，審計(jì)人員在評(píng)估被審計(jì)單位ERP系統(tǒng)的風(fēng)險(xiǎn)時(shí)，首先要識(shí)別內(nèi)部控制的風(fēng)險(xiǎn)，判別其重要性；其次是制定鑒別系統(tǒng)需要控制每一重要風(fēng)險(xiǎn)的規(guī)則；最后是制定測(cè)試風(fēng)險(xiǎn)控制的規(guī)程與措施。