ERP（即Enterprise Resource Planning，企業資源規劃），是20世紀90年代初發展起來的一個全新的企業管理系統，體現了現代企業先進的管理理念和管理方法，它建立在信息技術高度發達的基礎上，是以系統化的管理思想為企業決策者和員工提供決策運行管理平臺。企業由于實施ERP系統導致其管理流程發生巨變，從而使得內部控制的環境與之前大不相同，內部控制的重點由對人的控制為主轉變為對人、計算機和互聯網的控制，風險控制點也隨之發生改變。為此，我們只有樹立數據審計理念，從ERP系統控制入手分析企業內控風險，全面開展系統數據分析審計，才能真正提高審計工作效率，實現審計工作目標。

    所謂系統數據審計方法，即在ERP環境下，從企業系統控制入手分析內控風險的薄弱環節，篩選對應的系統數據表，進行數據的多視角、多方式結合分析的一種審計思路。

    一、以系統控制為把握內控薄弱環節

    ERP系統的應用使企業的內部經營管理環境和內部控制方式發生了變化。相當一部分內部控制點已建立于系統的應用程序中，由系統自動執行各種檢驗、核對、判斷、監督以及各種功能權限的控制；企業形成了管理控制與系統控制并重、人機控制相結合的全方位綜合性控制，內部管理權限的嚴密性以及關鍵風險點的設置成為ERP環境下內部控制的重點。因此，審計人員應更加關注系統的內部控制。

    （一）管理制度分析。

    制度管理是企業ERP系統安全運行、合理高效利用和數據真實完整的重要前提。了解被審計單位ERP系統相關的管理制度，可以幫助審計人員從總體上了解ERP系統的管理運行情況，初步分析ERP系統可能存在的風險控制點。管理制度分析的包括以下主要內容。

    1.管理制度的完整性。即管理制度是否足夠保證ERP系統運行正常，包括三方面：一是對系統管理員和崗位操作員進行管理的人員類管理制度；二是對硬件設網絡設施、應用系統進行管理的技術類管理制度；三是對ERP的業務操作進行管理的流程類管理制度，重點是基礎數據和關鍵數據的錄入和審核制度。

    2.管理制度的科學性。每項制度的各項規定是否明確、是否具有可操作性，制度之間的相關規定是否統一。

    3.管理制度的有效性。每項制度是否得到有效執行。

    （二）系統權限分析。

    了解系統權限主要從ERP系統權限設計與ERP企業的組織架構、ERP系統角色與權限、ERP系統用戶與角色對應、崗位的職責控制這幾個層層遞進的方面來進行。ERP系統一般由財務管理、供應鏈、人力資源等多個模塊高度集成，每一模塊都有相應的關鍵控制點，關注被審計單位ERP系統權限配置，分析是否存在某個或某些成員同時履行不相容的職責和操作權限。系統權限分析包括以下主要內容。

    1.ERP系統權限設計與ERP企業的組織架構。

    ERP權限用于系統檢查用戶操作權限。在ERP系統用戶進行某項工作操作時，系統需要執行相應事務碼對應的功能，該事務碼是系統用于檢查ERP權限的標識。ERP權限設計是企業整體權限實施的核心，是企業內部控制的基礎。

    2.ERP系統各模塊的角色劃分及其權限，重點關注敏感角色的權限配置情況。

    3.獲取ERP系統用戶與角色的對應關系表和用戶授權結果表，重點關注擁有多重角色的用戶和超級用戶。

    多重角色用戶在ERP系統中擁有一個以上的角色。通常情況下，崗位相當于角色，一個用戶處于某一崗位，就擁有相應角色。但是大型企業通常員工較多，導致ERP系統中的角色體系十分龐雜，有些企業通常在ERP中建立一套通用角色、復合角色和單一角色所構成的角色體系來對用戶進行授權，這樣就會導致某個用戶擁有多個角色。擁有多重角色的用戶的系統權限可能被逐漸放大甚至有失控的危險。

    一般ERP產品會在系統內置入特定的超級用戶，“超級用戶”擁有操作軟件所有功能的所有權限，是最高管理賬戶。超級用戶有可能直接篡改業務數據，造成被審計單位數據不真實。審計人員需要摸清企業是否應用了超級用戶，有哪些人是超級用戶，超級用戶的權限內容，是否有對應的日志記錄可使其被監督。

    4.明確系統用戶的權限是否設有期限。

    5.獲取企業ERP系統的崗位職責分配表，重點關注企業對關鍵崗位的職責控制，以及其控制是如何通過ERP系統的權限、角色、用戶的設置來實現的。

    （三）系統運行分析。

    ERP系統運行分析包括運行環境和運維方式兩個方面。運行環境是ERP系統運行的載體，ERP運行環境的安全性、穩定性是ERP系統數據信息可靠性的有效保障。運維方式反映了企業的經營規模、安全目標和管理體系的匹配程度，也是分析審計風險的一個參考依據。系統運行分析包括以下主要內容。

    1.ERP運行環境的構成，主要包括應用軟件環境、數據庫環境、硬件環境、網絡環境、安全環境等，其中重點是數據庫環境。

    2.ERP系統的部署方式，主要了解ERP系統是集中部署還是分布式部署，是由一套軟件系統構成還是多套ERP系統軟件構成。

    3.ERP系統日常運維方式。集團企業ERP系統運維方式通常有兩種方式，一種是企業自行組織開發或與ERP廠商聯合開發的ERP系統，被審計單位自己負責ERP系統的運維。另一種是企業使用標準化的ERP產品，由ERP廠商或第三方負責運維。

    4.ERP系統運行中的重大問題和突發事件，解決情況和造成的影響。

    （四）系統實施分析。

    系統實施是指企業從啟動ERP系統建設項目開始，經過規劃業務藍圖、確定系統需求、設計開發與測試、安排系統部署等環節，直至ERP系統上線的全過程發生的事務。該建設過程與ERP生產廠商開發ERP產品的過程相區別，是ERP系統在企業內的建設過程。對于某些直接購買ERP產品而未重新進行二次開發的企業來說，該過程可能不存在確定系統需求、設計開發與測試等環節。

    審計人員可以通過編制發放調查表的方式了解被審計單位建設的主要信息系統的靜態基本情況，該調查表要素包括系統名稱、系統類別、應用范圍、所有者、系統狀況、主要用途、開發商或集成商、體系架構、硬件環境、數據庫管理系統、數據年生產量及主要業務年交易量、評審驗收情況、文檔資料情況（需求說明書、概要設計說明書、測試分析報告、用戶操作手冊、軟件維護手冊、數據庫表結構等）。在此基礎上調查了解以下主要內容。

    1.被審計單位ERP項目需求階段的業務藍圖、需求分析報告和用戶需求規格說明書。

    業務藍圖是ERP界通用的一種企業建模方式。業務藍圖通過對公司業務現狀進行的需求調研分析，梳理出企業未來的物流、資金流和信息流的業務模型；業務藍圖用一種企業客戶易于理解的方式來描述復雜的過程，是一種直觀明了的描述方法。他使用少量的符號，以集合的方式進行組織，定義了某人在特定的時間、采用特定的方法去做特定的事情。在業務藍圖基礎之上可以建立起ERP系統業務的規劃、上線方案等，從而建立起企業整體應用的ERP系統框架。

    2.被審計單位ERP項目設計階段的系統概要設計文檔和數據庫概要設計文檔。特別是系統應用架構和數據庫表結構。如果被審計單位是自己開發的ERP系統或與ERP廠商合作開發的系統，可直接獲取ERP系統的數據字典等數據結構性文檔。

    3.被審計單位ERP項目實施各階段的系統授權手冊、基礎數據設置清單、標準參數配置文檔、基礎數據設置報告、用戶操作手冊、軟件維護手冊、項目實施階段報告、系統實施階段里程碑文件等文檔。

    4.企業資產重組引起ERP系統結構變化情況。

    5.獲取業務模塊基礎靜態表和動態表。

    （五）業務流程分析。

    ERP系統的業務流程基于ERP企業的業務流程，貫穿企業各種業務的各種管理對象，形成物流、資金流、信息流的變化過程，是ERP系統的核心內容，也是進行審計數據分析的核心內容。審計人員可以通過書面或者口頭詢問、召開調查會議、發放調查表（問卷）、查閱文件、實地察看、利用以往審計的資料與經驗以及學習對被審計企業有重大影響的法規等方法，調查了解以下主要內容。

    1.獲取ERP系統整體業務流程的規劃設計文檔，了解ERP系統整體業務流程和各子系統間業務數據的關系，明確企業的業務流程和各子系統之間的數據控制和關聯性。

    ERP系統業務流程規劃設計遵循職責完整原則、職責分離原則、目標驅動原則、跨職能扁平化原則、流程運作效率原則等多項原則。

    ERP整體業務流程和各子系統間業務數據的關系：ERP系統業務流程處理的對象實質是數據，可以將ERP系統數據分為基礎性數據和事務性數據；ERP 系統的各個子系統之間根據企業內部生產經營的業務流程關系，利用數據接口進行與流程相對應的數據共享與處理。如了解到物流系統基礎數據中的供應商同時也進入財務管理系統，是應付賬款的核算單元，在審計中可以在物流系統中抽取供應商明細表核對應付賬款中往來情況。

    2.獲取ERP系統核心業務流程的業務流程圖和數據流圖。

    業務流程圖是一種描述系統內各單位、人員之間業務關系、作業順序和管理信息流向的圖表。

    數據流圖（Data Flow Diagram，DFD）是從數據流轉和加工分析角度，以圖形的方式來表達系統的邏輯功能要求、數據在系統內的數據流向和邏輯變換過程，是結構化系統分析方法的主要表達工具。

    業務流程圖和數據流圖之間的關系：業務流程圖是物理模型，數據流圖是系統的邏輯模型，數據流圖是提供給軟件研發人員理解業務流程需求處理的圖示。

    3.核心業務流程與法律、法規和制度的符合程度。

    4.了解和分析核心業務流程涉及哪些數據表及關鍵、關聯字段。

    二、以系統數據為主做好數據分析準備

    根據審計人員調查了解的情況，判斷數據獲取和數據分析的可能性和依據，搭建數據化審計的現場環境，為數據獲取和數據分析做好充分準備。

    （一）系統數據獲取依據。

    可由審計組聘請的專家或計算機專業技術人員在做好下列工作準備的前提下，為獲取系統數據提供依據。

    1.分析管理制度對系統數據保管、備份、運維及相關硬件設施的保護等情況，從制度層面確定系統數據獲取的可能性。

    2.明確ERP系統是集中部署還是分布部署，從而選擇數據的獲取方式。企業如果部署了多套ERP系統，其相應的ERP數據環境就變得復雜，系統數據獲取的難度也隨之變大。

    3.了解ERP系統的數據庫環境，分析數據庫設計是否嚴謹。如果被審計單位的ERP系統是標準的ERP產品，則被審計單位的數據庫環境也就相對簡單。反之如果被審計單位的ERP系統是非標準ERP產品或是異構的ERP系統，則被審計單位的數據庫環境也會變更加復雜。

    4.了解ERP系統運行的年限和已啟用的模塊，分析實施各階段里程碑文件，明確ERP系統實施的關鍵時間點、啟用模塊時間表、上線單位時間表等，從而劃定需獲取數據的時間和業務范圍。

    （二）系統數據分析準備。

    審計組數據分析人員應全面熟悉下列內容，為數據分析做好準備。

    1.了解數據庫的表結構，為數據分析做好準備。

    2.了解被審計單位ERP系統業務數據之間的關系，可以幫助審計人員驗證各個業務系統數據的完整性、準確性和真實性。

    3.分析數據完整性約束，包括數據有效性、取值域檢查、實體完整性、引用完整性、取值合法性、商業規則、一致性等約束。

    （三）搭建數據審計環境。

    ERP環境下的審計現場，應搭建用于ERP運行和適于審計人員研究系統、了解控制、獲取數據的審計環境，該環境包括硬件設備與網絡環境、軟件環境及安全性要求等內容。根據上述數據獲取依據，審計組可以選擇直接訪問被審計單位ERP環境、搭建被審計單位ERP模擬環境和搭建審計專用服務器數據庫環境三種方式開展數據審計。

    直接訪問被審計單位ERP環境的優點是數據真實可信，缺點是由于直連被審計單位真實的ERP環境存在諸多權限上的限制（如只讀限制），數據分析的靈活性較差；搭建被審計單位ERP模擬環境的優點是便于模擬被審計單位使用ERP系統的配置情況，易發生內控風險的節點，缺點同樣是數據分析的靈活性較差；搭建審計專用服務器數據庫環境的優點是數據分析靈活，但缺點是缺乏全面、可信的系統數據。

    審計現場環境搭建可以由審計人員提出需求，請被審計單位熟悉ERP配置管理的工作人員予以實施，最后由審計組計算機審計人員根據需要進行完善。

    三、以數據分析為主制定審計應對措施

    ERP環境下的內部控制系統是由人工控制和系統自動控制共同實現，通過ERP系統實施控制活動是典型的自動控制，但不是內部控制活動的全部內容。因此，人工處理所帶來的風險，加上ERP系統環境本身的風險，共同構成了ERP環境下的風險。按照內部控制的不同環節可分為數據錄入、數據篡改、業務差錯和業務違規等4大類風險，每類風險在系統數據上的表現形式和導致的問題結果都各不相同。審計組應按不同風險表現形式分析存在重要問題的可能性，確定審計事項，制定系統數據分析的主要審計步驟和方法。

    （一）數據錄入風險。

    1.制度缺陷或未執行導致系統數據表字段錄入內容錯誤或記錄時間滯后。

    舉例分析：將未經批準的業務錄入系統，或已經發生的業務未及時錄入系統，如少計、多計收入或支出。

    審計步驟和方法：篩選制度缺陷或制度未執行所影響的系統數據，通過數據的趨勢變化分析或審計抽樣的方法核實數據與實際業務的差異，分析原因和后果。

    2.數據庫設計未滿足數據的完整性約束導致系統數據表字段錄入內容錯誤或缺失。

    舉例分析：數據錄入不完整，業務要素記載不全，如應收賬款或應付賬款未按客戶單位進行明細核算。

    審計步驟和方法：篩選錄入不完整的系統數據，分析業務要素記載不全的原因和由此導致的后果，發現隱藏其中的違法違規行為。

    3.外掛小軟件導致系統數據表字段錄入內容錯誤或輸出信息內容錄入錯誤。

    舉例分析：通過輸入、輸出小軟件隨意修改輸入、輸出信息，如隨意修改發票收款人信息。

    審計步驟和方法：獲取小軟件處理的所有數據，與系統數據進行關聯分析，分析兩者差異的原因和由此導致的后果，通過延伸審計相關單位，發現隱藏其中的違法違規行為。

    4.業務模塊動態基礎數據初始錄入不正確，導致系統數據表字段內容錄入錯誤。

    舉例分析：企業系統上線前在完成動態數據清理工作時，將有效資產轉到帳外，如企業將固定資產、對外投資或債券通過系統上線轉入賬外。

    審計步驟和方法：獲取財務、物資等業務模塊動態基礎數據表，與系統上線前的相關賬冊、報表核對，分析兩者差異的原因和由此導致的后果，查找賬外資產去向。

    （二）數據篡改或丟失風險。

    1.超級用戶（或系統操作員）的權限配置不合理，導致系統數據表記錄條數不全。

    舉例分析：為了某種目的通過超級用戶（或系統操作員）刪除某項業務記錄，如刪除購銷業務流水和會計憑證等，使業務記錄缺失。

    審計步驟和方法：篩選相關用戶操作的系統數據，查找缺失的流水號，分析記錄缺失的原因和由此導致的后果。

    2.篡改業務數據，導致系統數據表字段內容錯誤。

    舉例分析：為了某種目的通過超級用戶（或系統操作員）修改某項業務記錄，如會計憑證反映的經濟事項或金額與實際不符。

    審計步驟和方法：篩選相關用戶操作的系統數據，通過數據關聯分析或審計抽樣的方法，找出差異并分析原因和由此導致的后果。

    3.篡改計算規則方面的業務模塊靜態基礎數據，可能導致數據表計算結果錯誤。

    舉例分析：篡改各種減值準備的提取比例導致數據表計算結果錯誤，如減值準備計提方法及比例、應收款項計提減值準備的方法及金額，費用提取的比例或范圍等錯誤。

    審計步驟和方法：獲取靜態基礎數據，通過復算的方法查找數據差錯的具體金額。

    4.突發事件，沒有得到有效解決，導致系統數據表內容大量丟失。

    舉例分析：因企業服務器遭受人為惡意攻擊或非法侵入導致數據庫故障，如果其備份周期較長，往往只能恢復到最近一次有效備份時點的數據，該時點之后的數據表內容則大量丟失。

    審計步驟和方法：查看突發事件記錄檔案，了解突發事件時點和解決情況，查詢相關數據表的時間記錄字段確定丟失內容造成的損失，對丟失內容涉及的重大業務事項逐一檢查，防止國有資產損失。

    （三）業務差錯風險。

    1.用戶使用的熟悉程度較低，導致系統數據表字段內容錯誤。

    舉例分析：經濟業務記錄經常出現與實際內容相反的問題，如將會計憑證的借貸金額記反。

    審計步驟和方法：對新上線業務進行審計抽樣，找出差錯并分析原因和由此導致的后果。

    2.系統流程存在斷點，導致系統數據表字段內容錯誤、記錄時間滯后。

    舉例分析：大量已發生業務未及時入賬，甚至存在挪用資金的問題，如財會人員挪用資金炒股。

    審計步驟和方法：篩選系統流程存在斷點的關鍵數據表，將上下游數據進行關聯分析，找出差異并分析原因和由此導致的后果。

    3.模塊之間未能有效集成，導致系統數據表字段內容錯誤。

    舉例分析：不同部門對同一業務記錄不一致，如收款人名稱在不同模塊間不一致。

    審計步驟和方法：篩選不同模塊之間的關鍵數據表，將上下游數據進行關聯分析，找出差異并分析原因和由此導致的后果。

    4.各子系統之間關聯性差，導致相關子系統數據表記錄時間和內容不一致。

    舉例分析：集團公司內部上下游公司相關業務發生后的記錄存在較大時間差異，如一方采購業務入賬，一方還未做銷售入賬。

    審計步驟和方法：篩選子公司之間或母子公司之間關聯交易數據，進行對比分析，找出差異并分析原因和由此導致的后果。

    （四）業務違規風險。

    1.多重角色的用戶權限被放大，導致系統數據表記錄內容違規。

    舉例分析：虛構業務套取企業資金或挪用單位財物，如以虛假資產處置減少實物資產價值。

    審計步驟和方法：篩選相關用戶操作的系統數據，逐一檢查相關業務的合法性和合規性，并分析原因和由此導致的后果。

    2.篡改供應商、分銷商和客戶等業務模塊靜態基礎數據，導致系統數據表記錄內容違規。

    舉例分析：修改不符合企業管理規定供應商或分銷商的關鍵數據，如國有公司、企業的董事、經理利用職務便利，自己經營或為他人經營與所任職公司、企業同類的營業，獲取非法利益。

    審計步驟和方法：獲取基礎數據表，篩選供應商、分銷商和客戶基礎信息，通過與國家審計數據平臺或社會公共信息平臺的企業基礎信息關聯分析，并延伸調查相關個人信息，逐一審計不合規業務，并分析原因和由此導致的后果。

    3.系統核心業務流程違反法律、法規和制度的相關規定，導致系統數據表記錄內容違規。

    舉例分析：系統業務流程本身沒有控制可以控制的違規業務，如企業超限額對外投資或擔保。

    審計步驟和方法：獲取違規業務流程對應的數據表，通過與法定業務流程涉及的條件或要求對比，逐一審計不合規業務，并分析原因和由此導致的后果。

    ERP環境下，系統處理是否合規、合法、安全可靠，與系統的處理和控制功能有直接關系。ERP系統的這些特點及其固有的風險，決定了審計人員要花費較多的時間和精力來了解和審查ERP系統的功能，以證實系統處理的合法性、正確性和完整性，以及系統數據的準確性、及時性和可靠性；同時，確定風險控制的薄弱環節和由此產生的系統數據，再進行數據的多視角、多方式結合分析，避免審計的盲目性和無序性，提高審計工作的質量和效率，降低審計風險，這就是本文需要研究解決的問題。