文/徐俊俄吳君兒

伴隨著會計信息技術化的成熟，以ERP為代表的企業(yè)信息系統(tǒng)的高度集成逐漸開始興起。采用ERP系統(tǒng)后，企業(yè)信息系統(tǒng)已不僅僅是一個孤立的系統(tǒng)，而是集財務、人事、供銷、生產為一體的綜合性系統(tǒng)，財務信息只是系統(tǒng)所處理信息的一部分。ERP系統(tǒng)的特點決定其審計風險區(qū)別于手工會計信息系統(tǒng)的風險，其特有風險主要包括：（1）系統(tǒng)缺乏應有的審計接口；（2）系統(tǒng)程序易于被非法調用甚至遭到篡改；（3）錯誤程序產生的風險；（4）數據集中與職責集中產生的風險；（5）計算機系統(tǒng)固有的脆弱性。

在風險導向審計理論中，審計風險劃分為固有風險、控制風險和檢查風險。其中固有風險和控制風險不可分割的交織在一起，有時無法單獨進行評估，合并稱為“重大錯報風險”。ERP系統(tǒng)的應用使得企業(yè)在提高運行效率的同時產生了新的重大錯報風險。與傳統(tǒng)企業(yè)手工系統(tǒng)相比，其主要的重大錯報風險就在于企業(yè)的ERP系統(tǒng)是否真實地反映了企業(yè)的各項業(yè)務。

——ERP系統(tǒng)環(huán)境下的固有風險。在傳統(tǒng)的人工管理系統(tǒng)中，紙面上的信息易于辨認、追溯，而在ERP系統(tǒng)中，由于存儲介質的改變，一旦非法用戶透過計算機系統(tǒng)的“防護墻”，那就極易破壞和修改電子數據且不留痕跡；計算機病毒、電源故障、操作失誤、數據處理錯誤和網絡傳輸錯誤也會造成實際數據和電子賬面數據不相符，存在會計數據被濫用、篡改和丟失的可能。

——ERP系統(tǒng)環(huán)境下的控制風險。ERP系統(tǒng)實現了從采購到付款、訂單的獲取到發(fā)票的開出等業(yè)務集成，實現了跨職能部門的業(yè)務處理。在這種情況下，ERP系統(tǒng)中單一的數據庫，使過去跨部門的審批流程得到簡化和壓縮。壓縮所造成的一個結果是，用于企業(yè)內部控制的許多審計線索在ERP系統(tǒng)的引入后消失了。同時，企業(yè)過去基于文件審批的內部控制機制，也無法適應ERP基于流程的管理需要。更重要的是，由于企業(yè)的業(yè)務運作更加依賴于ERP系統(tǒng)，這種依賴形成了企業(yè)新的業(yè)務風險。如有意或無意使設置權限密碼、實行職責分工的約束機制，由于權限設置的重疊或跨責任中心越權設置，使這一控制措施有可能形同虛設。

——ERP系統(tǒng)環(huán)境下的檢查風險。（1）會計軟件的更新?lián)Q代，使歷史文件難以提取。（2）內部控制主要依賴軟件本身，而要在有效的時間內設計出面面俱到的測試數據是不現實的，從而增加了難以全面檢查測試的可能性。（3）經營業(yè)務的真實性。由于ERP系統(tǒng)中的財務（FIS）模塊與其他功能模塊之間信息高度共享，系統(tǒng)中如果存在程序錯誤，不能及時發(fā)現該類錯誤，則將帶來極大的審計風險。

為充分評估、識別重大錯報風險，控制檢查風險，進而達到降低審計風險的目的，在ERP系統(tǒng)下無紙化商業(yè)活動以及無紙化數據庫的審計環(huán)境中，審計過程中將更依賴于電子數據信息流程的評價證據，而非繞過計算機審計。因而在ERP系統(tǒng)環(huán)境下控制審計風險的應對措施如下：一是要適度增加對ERP系統(tǒng)進行控制測試。在認為僅通過實施實質性程序不能獲取充分、適當的審計證據的情況下，審計人員必須實施控制測試，且這種測試已不再是單純出于成本效益的考慮，而是必須獲取的一類審計證據。二是要注重對被審計單位ERP系統(tǒng)內部控制的審計。應考慮計算機條件下內部控制的以下特征：缺乏交易軌跡，同類交易處理的一致性，缺乏職責分工，在特定方面發(fā)生錯誤與舞弊行為的可能性較大，交易授權、執(zhí)行與手工處理差異等。三是要關注ERP會計信息系統(tǒng)對審計程序包括審計線索、內部控制改變、審計內容、審計技術手段、審計人員要求以及審計范圍的影響。

值得指出的是，從程序上看，審計人員在評估被審計單位ERP系統(tǒng)的風險時，首先要識別內部控制的風險，判別其重要性；其次是制定鑒別系統(tǒng)需要控制每一重要風險的規(guī)則；最后是制定測試風險控制的規(guī)程與措施。