基于SAP环境下的审计风险分析及应对策略

基于SAP环境下的审计风险分析及应对策略

胡钦乐张宣洪杨赟赟

山东非金属材料研究所山东济南250031

摘要：随着SAP系统在财务处理中的普及，其对传统审计风险产生了深刻的影响并赋予了其新的内涵。在新的环境下为了提高审计质量，必须充分认识到审计风险的变化，以完善审计风险理论。本文结合SAP环境下审计风险的新特点，对审计风险的识别进行了分析，提出了对SAP环境下的审计风险的应对策略。

关键词：SAP；审计风险；应对策略

1SAP环境下审计风险呈现的新特点

审计环境的发展，使得审计工作面临着全新的挑战，相对于传统审计而言，在SAP环境下信息技术作为一个新的风险因素，使审计风险变得日趋复杂化，并呈现出新的特点。

1.1SAP环境下的重大错报风险

1.1.1系统资源风险

任何计算机系统都存在着由于操作失误，硬件、软件、网络本身出现故障导致系统数据丢失甚至瘫痪的风险。并且在互联网内联网结构的会计信息系统中，由于其分布式、开放性、远程实时处理的特点，系统的一致性、可控性降低，一旦出现故障,影响面更广，数据的一致性保障更难，系统恢复处理的成本更高。

1.1.2电子化会计数据存在被滥用、篡改和丢失的可能性

手工系统中，纸质介质上的信息易于辨认、追溯。而在SAP环境下，由于存贮介质的改变，一旦用户非法透过计算机系统的“防火墙”，极易破坏和修改电子数据。另外，由于网络系统本身的脆弱性，可能会使会计数据出现异常错误，虽然从SAP系统看，在数据录入的一致性、正确性以及会计数据处理的安全性和连续性方面设计得比较慎密，但对集成化程度较高的企业级管理软件，数据的共享性和一致性还不尽如人意，这增加了审计的固有风险。

1.1.3电子数据存在易于减少或消失审计线索的可能性

手工系统中，会计处理的每一步都有文字记录和经手人签名，审计线索清晰，但在SAP环境下，从原始数据的录入到报表的自动生成，几乎不用人工干预，传统的审计线索不复存在，这为审计师追查审计线索带来了极大困难。

1.1.4职责分工的约束机制有可能失效

手工系统下，通过建立岗位责任中心达到内部控制的目的。而在SAP环境下，通过软件设计划分若干子系统或功能模块设置不同的责任中心，而常常出现的权限设置重叠和跨责任中心越权设置的情况会使内部控制措施失效，增加了审计的控制风险。

1.2SAP环境下的检查风险

1.2.1SAP系统的更新换代，增加了历史文件难以提取的可能性

对账户或交易的重大实质性测试往往离不开企业的历史数据。由于软件版本的更新、平台的迁移，难以从往年账套里提取这些历史数据，迫使审计师不得不从浩如烟海的文档中收集整理历史数据。这不仅降低了审计效率，而且带来了更多的检查风险。

1.2.2内部控制对软件的依赖性增加了实质性测试的难度

手工系统下，对内部控制的测试看得见、摸得着，而在SAP环境下，内部控制融于软件之中，肉眼无法觉察，这就要求审计师有必要设计一些正常有效的业务数据和一些不完整的、无效的、不合理的、不合逻辑的例外业务数据，来检查测试软件的控制能力。由于多数审计师不可能完全掌握计算机网络技术，要在有限的审计时间里设计面面俱到的测试数据是不现实的。

1.2.3SAP环境下审计人员的素质不高，也增加了审计的检查风险

SAP环境下的审计要求审计师主要审计数字经济系统的设计及运行过程，审计网络的安全性与可靠性。因此，要求审计人员具有较高的素质，不仅要掌握财务会计知识、经济管理知识，还要掌握网络技术、计算机技术和现代通信技术，而现阶段同时具备上述各种素质的审计人员较少。审计人员执业水平不高，直接增加了SAP环境下审计的检查风险。

2SAP环境下审计风险的应对策略

2.1建立审计服务信息库

审计人员可将被审计单位的有关信息，通过网络建立一个完善的大容量的信息库，这些信息包括被审计单位的背景资料、最新动态和一些以前审计的档案信息，以便以后开展审计时查阅和运用，这样可以提高工作效率。因此，建议职能部门应尽快制定出相应的规范，使SAP的数据传输通道能够有一个标准的格式，从而使计算机审计软件能够直接与SAP系统并接，从而有目标地汇集所需审计数据，保证审计通用数据接口文件中的数据永远与会计软件内部生成的输出数据保持一致。

2.2加大SAP系统事前和事中审计的力度

目前的审计工作均是一种事后审计，而SAP环境下的审计工作不只是事后审计，更主要是进行事前和事中审计。事前审计可以直接监督系统开发过程必须按照标准的开发规程和方法进行，以保证系统程序及应用控制满足会计管理需要并达到应有的质量。系统的事中审计，确保系统设计、系统开发和系统运转达到预期标准，同时也是使系统具备充分内控机制的关键。

2.3加强SAP系统内部控制的审查情况

在SAP环境下，会计资料被存储在磁介质中，数据的处理过程不可见，审计线索大大减少，在对信息系统内部控制进行审计时，要做到以下几点：

2.3.1规章制度的建立和执行

审查被审单位是否建立了诸如系统设计、程序操作数据存取软硬件标准及计算机网络等方面的基本规范和准则，各项管理制度是否健全，操作系统的安全保障制度是否完善。

2.3.2组织机构设置和职责划分

审查在SAP系统中，会计岗位和工作职责的划分是否适合被审单位的规模、符合总体经营目标，是否建立了一整套符合职责划分原则的内部控制和职务轮换制度。

2.3.3数据输入控制

审查被审单位是否建立了一整套内控制度对输入数据进行严格控制，保证数据输入的准确性。首先是输入的数据应通过授权，并经过内部控制部门检查；其次应采用技术手段对输入数据的准确性进行校验。

2.3.4数据处理控制

对被审单位计算机系统数据处理的有效性和可靠性进行审查，分为有效性控制和文件控制。对已记账的凭证、账簿以及计算机账簿生成的报表数据，SAP系统不应提供更改功能。

2.3.5数据输出控制

审查输出数据是否完整，能否满足使用部门的需要，是否建立标准化的编号、收发、保管工作。实行识别认证和访问控制技术。为了防止非法用户的入侵，可在因特网内部采用识别认证和访问控制技术，内部网的访问采用入网控制、目录级别安全控制、网络服务器的安全控制等技术。

2.4提高审计人员的综合素质

在SAP环境下，审计的复杂性要求审计人员应该是一种复合型全方位人才，不仅要具备一定的法律知识、现代审计理论和审计技能，还要具备一定的现代信息技术、计算机网络知识和电子商务理论，并能熟练地从事计算机硬件、软件的操作和维护。在审计实务工作中，审计人员能够灵活地使用SAP系统与审计软件，并熟练掌握二者接口的技术。

2.5建立风险预警管理机制

网络的虚拟性和开放性使审计人员在执行业务时审计风险加大，建立完善的风险预警管理机制是十分必要的。审计人员可以通过风险感知与辨识，对被审计单位在SAP环境下的交易事项和会计信息系统进行风险评价与度量。

3结语

在现代信息技术日益发达的环境下，审计职业被置于一个新的风险环境之中，这给审计工作提出了更高的目标和要求，也为审计的实践活动带来了新的风险。虽然SAP环境下的审计风险对传统手工审计造成了强大的冲击，但于此同时也促进了审计方法和理念的进一步改革。那么随着信息技术的日益发展和SAP系统的进一步普及和运用，新环境下的审计风险也将在一系列的应对措施下得到有效地控制。

参考文献：

[1]王世锋.SAP风险管控点确认及审计技术应用.财经界,2015（24）

[2]唐志豪,刘瑾.国外SAP系统审计思路与经验启示.财会月刊,2014（23）