读者问道:审计师认为一个好的ERP系统应该是什么样子的?
审计师答道:ERP系统应该是例如SAP R/3,Oracle财务和peoplesoft这样一些可以构成和谐整体的客户/服务商应用单元。
这样的一些单元模块开始普及,因为它们能提供多功能的业务流程解决方案,这正好可以应用到组织的财务和人力资源方面中。
ERP单元包括一系列经修改就可以适应财务需要的模块,例如应付帐款,应收帐款,总账等。已经广泛使用的Oracle财务模块和SAP R/3,以及起先致力于人力资源和相关财务追踪研究的peoplesoft都可提供这种服务。对所有可用ERP的类型和可用模块选择的概述不再本文范围。
ERP应用模块可与端到端流程连接到一起。例如,从订货单或征调单到发货单或付款单,再到总账。ERP在许多地方的使用,就好比是一个系统的建筑群。ERP中多样化的选择,业务规章,报告,审计追踪,监管特征等等都应该按照商业需求来设计。它的实施是非常复杂的。
对于ERP审计的发展,存在一些普遍的错误观点。例如,你很有可能听到这样的说法:“这是一个软件套装,因此它的应用应该是低风险的(和家庭应用相比)”。这个19世纪90年代早期的观点很有可能是错误的。尤其是在说到它在ERP中的应用时,它就更是错误的了。事实上,很多早期的ERP之所以失败,就是由于企业严重低估了自身应该投入的时间,金钱和努力。企业认为,ERP就像一个已经被设计好的精确的会计软件,我们只需要加入一些账户图表就可以使用。
要想加入这些图表,ERP系统需要一个相当耐用的数据管理系统,通常Oracle可以胜任这项工作。此外,ERP的实施还需要提供合适的数据结构、计划、子模块以及相关数据元素,这其中的复杂性是ERP系统实施中所面临的重大挑战。
要想让任何审计都能有效进行,就需要先清晰地设定审计目标。通常,在ERP审计时,我们从定义审计实体,评估风险和风险控制开始一个完整的审计过程。如果ERP系统侧重于财务交易过程,审计目标就通常类似于,“确保已授权的付款以准确的数目付给了经我方认可的买方。”换句话说,就是应付帐款系统是不是记录了所有合法的交易——在根本没有备份的情况下——并把他们填写在正确的分账中?
审计师和信息技术经理要意识到,审计包括应付帐款模块等在内的独立信息系统是一个复杂的过程,其保持应用模块的完整性会让一件事情变得更加困难,那就是怎样能把保持完整性这个目标放入一个划分明确的审计项目中。
审计师需要理解ERP的整个处理过程,因为最初的交易建立的数据是供各类模块使用才有意义。审计师需要大致看一下那些比较大的业务模块并好好理解它们:例如销售模块,支出模块,薪酬模块和客户服务模块。这样就可以弄明白各种各样的子过程(以及它们的支持模块)是怎样相互影响的。理解一个完整的流程是非常重要的一步,因为控制过程依赖于最开始的交易和随后的一系列相互作用影响。
ERP审计
审计师在ERP审计中提到的一些问题和那些在开发和应用系统时提出的问题完全一样。
·对于财务方面来讲,系统需要完全遵循通用会计准则和通用审计准则吗?
·在用户和系统的互动中,用户的需求被完全开发出来了吗?
·系统保护信息资产的完整和隐私吗?
·系统是否控制流程仅进行真实、有效和准确的交易?
·系统的操作运行和支持功能是否有效?
·所有的系统资源是否都是经过授权才得以访问和使用?
·ERP系统的管理者是否都有明确的授权?
·系统功能可接受吗?满足用户需求吗?用户满意吗?
·审计追踪和对用户行为的监控是否充分?
·系统能提供给管理层最可靠的数据吗?
·用户得到培训了吗?他们是否有完备和及时的文档?
·是否有一个问题升级方法?
变更管理和控制
对于一个使用中的ERP系统来说,另一个关键的方面就是改变管理。那些在检查中提出的问题,聚焦于在生产中对更新和改变的控制,但是说到底还是和信息技术开发有关的。
管理变更是一门艺术,而且如果处理不好就会成为控制中的一个薄弱环节。审计师要提出的问题有:
在一个正式的变更请求的处理中,这个处理是否能用文件证明?是否有授权的政策,相关的控制形式和授权许可?
所有的变更请求和相关的活动是否都记录了下来便于日后的追踪?
管理层授权的所有变更内容都是在分析后得到认可吗?
在变更之后要实施的安全管理都能得到及时批准吗?
对变更进行的所有的测试产生的相关证明资料都要保存下来,包括测试计划书,测试结果以及相关的批准文件。为了避免主要的变化未能充分测试,相应的变更管理方针要对变更进行分级,并对它们的重要性作出明确定义。一些小的变更当然就不需要像那些关键变更一样级别的测试和相关证明资料,但是为了赶着完工,开发设计者有时会说:“变更计划中这个地方需要的改动太少了,所以完全不用进行测试。”
在进行重要的升级或重大的变更之前,应该对原先的那个系统版本做一个详尽的备份。审计师要明确是不是有一个终止系统更新的计划作为重大变革的一个常规内容。为了防止系统变更失败,企业的整个信息系统要有能力存储系统变更前的版本。同时审计师还要注意,在系统的变更开始前用户是否已经参与了进来并得到了系统变更的通知。
以上这些对ERP审计中出现问题的回答,可以算是对这个复杂的课题的一个简要的概括。这个概括提供了一些关键的内容,供我们思考怎样针对ERP系统设计专门的审计项目和测试步骤。更多细节性的指导,请登陆我们的网站www.itgov.org.cn,或直接与我联系沟通:wdh62211@msn.com。
关于ITGov 中国 IT 治理研究中心
ITGov中国IT治理研究中心(简称ITGov)创立于2001年,致力于推动中国信息化建设的高效可持续发展,是一个“六方”(政府、企业、学研机构、社团组织、网络媒体、个体)支持的权威、专业、中立的“文化治理、组织治理、IT治理”研究机构,是一个在IT治理领域唯一推动中国与国际同步的资源平台,是一个中国人创办的、为中国政府和行业用户提供信息化战略决策支撑的服务中心。
自2001年以来,ITGov一直重视在中国进行长期的非为赢利性质的IT治理推动工作。迄今,我们出版了8本IT治理智库丛书,这些书籍都是具有突破性管理理念的图书,已在全国都产生了重大影响。同时,我们还为国内众多大型组织,如财政部、中兴通讯、中国联通、建设银行提供了优质的培训与咨询服务。我们相信,这些工作,在服务于我国信息化职业经理人和信息化管理实践的同时,也必将积极推动我国信息化的高效可持续发展。- 信息系统运维预算定额参考标准研究[04-09]
- 第2章 跨文化管理理论和实践[01-14]
- 16:什么是关键成功因素法(CSF)?[06-09]
- 24:eSCM-SP(服务提供商外包能力模型)有哪些…[06-10]
- 第4章 跨文化沟通[01-14]
- 治理评论第一期[01-20]
- 治理评论第二期[01-20]
- 治理评论第五期[01-20]
- 治理评论第三期[01-20]
- 治理评论第六期[01-20]
- 治理评论第四期[01-20]
- 太极凭什么中标12306? [09-26]
- 中国国际航空股份有限公司--书评[11-01]