與前面程式開發與變更申請的作法類似，資料修改申請是偏資料內容本身的修改異動記錄。

稽核重點：資料的修改申請是否依據資料修改管理流程進行？是否需求單位主管認可？是否經資訊主管認可？修改的歷程是否記錄詳實。

提供資料：資料修改申請清單、抽查樣本之實體單據與簽核記錄
ERP 的交易資料是否可以直接被修改？這種狀況不應該被允許！人為的疏失必須要能夠被記錄，資料的異動必須能夠被追蹤，而不是船過水無痕。但是，迫於現實的無奈，當系統沒有提供相關的沖銷流程，或者資料異動記錄時，為了不讓正常的營運因此中斷，所不得不採用的作法，但是資料的修改仍然需要被記錄下來。

同樣的我們公司在資料修改申請的部份，也是透過系統來協助管理，流程如下：

1.使用者針對資料修改的需求，於系統填寫申請單
2.經部門主管核准後，通知資訊主管審核
3.資訊主管依功能需求指派負責的人員處理（估計處理時程）
4.接單人員依實際進度維護實際處理時程（必要修改記錄、修改方式）
5.通知需求人員驗收
6.驗收完由部門主管認可結案
7.通知資訊主管結案

審計的重點在於，ERP資料的修改，是否有記錄？是否有經過審核程序。

但這樣是不夠的，因為無法從資料面進行勾稽。這是相當可怕的事情！例如轟動一時的 DELL 標錯價格案例，如果資料是從資料庫直接改掉，那麼責任的追究要怎麼進行？IT人員就變成了共犯，這可輕忽不得。

比較完善的 ERP 系統，對於欄位資料的修改，是可以設定 Audit 機制，資料的異動可以被完整的記錄下來（透過所提供的工具，而非直接從資料庫），搭配需求申請的流程進行勾稽：時間點、異動內容等，這樣對公司以及資訊人員本身都是一種保障。

全系列文章列表