信息系統審計師工作探討

前言：想要寫出一篇引人入勝的文章？我們特意為您整理了信息系統審計師工作探討范文，希望能給你帶來靈感和參考，敬請閱讀。

摘要：隨著信息技術的風發展和管理理論的創新，很多企業已經建立各自的ERP（企業資源計劃）系統，雖然通過ERP軟件能給企業帶來信息和管理上的優勢，但同樣需要面對的是較高的實施失敗率。據CSC對實施ERP系統的全球500強企業進行統計后發現，ERP的成功率僅僅為32.1%，其余的67.9%的企業處于部分成功狀態或完全失敗的狀態。如何規避ERP系統實施的險，已經成為企業面臨的重大問題。本文將從ERP系統實施過程中信息系統審計師開展工作的前提、審計的步驟、注意事項等方面展開研究，為企業ERP的成功實施提供借鑒。

關鍵詞：信息系統審計；ERP項目；審計標準

1信息系統審計師開展工作的前提

1.1選定信息系統審計的標準

開展實施過程中的信息系統審計，首先必須選定審計的標準，這是開展信息系統審計工作依據和準繩。目前國際上比較通用的信息系統審計標準是信息系統審計與控制協會（ISACA）公布的CO-BIT，目前該標準也是國際上公認的最先進、最權威的安全與信息技術管理和控制標準。COBIT標準規定了從ERP系統的選型、實施團隊的組織、實施過程的控制等方面，對系統實施過程中如何進行審計。筆者曾經參與過多次ERP系統的實施，采用的實施方法和步驟，與COBIT的規定的步驟和流程是一致的，所以建議審計部門采用這個標準作為ERP系統審計的標準。

1.2審計人員全程參與ERP項目的實施

信息系統審計的主要職能是確保企業信息化戰略，提高信息化工作的管理水平，規避信息化帶來的風險。為了保證ERP項目的成功實施，信息系統審計師必須全程參與ERP項目的實施，在實施過程中，利用審計的知識體系，提出相應的建議，避免實施過程中的風險。只有全程參與了項目的實施，才能及時發現項目實施過程的風險，才能提出相應的審計建議。

1.3對審計人員素質的要求

ERP系統的審計不同于傳統的審計工作，需要審計人員具有相當的計算機知識和審計經驗。尤其是采用COBIT標準，很多關鍵的檢查點都需要審計人員要對計算機技術有所了解，如：網絡的拓撲結構、網絡防火墻等概念。

2對ERP系統實施過程審計的步驟

ERP系統與傳統的辦公軟件不一樣，需要有規劃、實施維護等階段，在ERP項目實施過程的審計中，每個階段的審計關注點也是不一樣的，主要有：

2.1項目準備階段

在這一階段，主要工作是系統地選型、軟件購置合同條款及咨詢公司的確定，審計人員主要應該關注廠商的實力、咨詢顧問的的資質要求、以及是否有三方的責任條款。同時關注公司領導層對ERP系統實施的期望和目標是否太高，是否有足夠的重視程度。對系統選型，主要應關注系統選擇是否經過科學的分析，是否能滿足企業的業務特點。同時對軟件廠商的實力進行分析，看是否存在破產、被并購的風險，對軟件合同的審查，主要關注是否有避免相關風險的條款，如：軟件廠商被并購或破產。對于咨詢公司的選擇，審計人員應主要關注咨詢公司以往的業績，是否曾經成功實施過類似的項目，實施的效果如何；關注咨詢合同條款中對咨詢顧問的資歷要求是否能滿足項目實施的需要，以及咨詢顧問的工期計劃是否能按時完成，以及實施成本是否可控等方面。一定要注意成本與工期的規定，盡量簽訂總價咨詢合同，避免出現窩工的情況。對于領導層的觀念及重視程度，審計人員應該從客觀的角度進行分析，并提出自己的意見和建議，客觀的分析系統實施后的效果和作用。

2.2項目實施階段

ERP項目的實施階段包括很多步驟，包括項目的評估、設計、構建及系統上線等步驟，這一階段也是系統從開始規劃到最終付諸實施的關鍵階段，是ERP系統的成功應用和推廣的基礎。在項目計劃階段，審計人員主要應該關注實施ERP項目的組織機構是夠建立，參與系統實施的我方人員的知識結構是否合理，咨詢公司的顧問資歷是夠足夠，項目的計劃是夠詳細，是否得到項目管理層的審批等。審計人員還應該重點關注系統規劃中的軟硬件情況，以及ERP系統的安全防衛措施規劃等方面。在項目評估階段，審計人員主要應該關注項目組是否在企業進行了業務調研，業務調研的范圍是否覆蓋了公司的主要業務，調研的問卷是否清晰，是否保存完整，新設計的業務流程是否經過項目籌備組以及最終用戶的審查，最終用戶是否簽字確認，業務流程是否融入了企業的內部控制措施。業務需求的調研結果將最終決定ERP實施完成后所能達到的效果，所以對這個階段的審計應重點關注調研情況，并關注項目組所做的藍圖，是否能符合公司的戰略發展目標。在項目設計階段，審計人員主要關注初始化配置文檔是否完整，是否有版本號；客戶化開發是否有項目籌備組的批準，開發文檔是否保存完整，開發是否必要；系統的主數據編碼（如部門編碼、人員編碼、物料編碼等）是否經討論，是否考慮了系統以后擴展的需求；ERP系統的安裝文檔是否保存，安裝的數據庫是否符合規劃，是否有相應的數據備份容錯措施等。這里重點關注的應該是客戶化開發，ERP系統一般允許用戶進行報告、報表的客戶化開發，但對于改變系統設計理念的開發，是絕對禁止的，因為這樣改動之后的系統，會很不穩定，增加維護的成本，而且以后系統也很難進行版本的升級或更新。在系統構建階段，審計人員主要應關注測試案例是否覆蓋了企業的業務，是否與實際業務相符，用戶是否在UAT測試案例上簽字，問題是否清晰反映，項目組是否對存在的問題進行了更正，用戶手冊的編寫是否清晰、完整。這里應重點關注UAT測試，這是ERP系統交付給最終用戶使用之前的最后一次檢驗，只用順利的通過了UAT測試，系統才能交付上線。在系統上線階段，審計人員應該主要關注用戶是否對遷入系統的歷史數據進行了核對，ERP系統輸出的報告、報表是否與原系統數據一致，不一致的原因是什么，項目組是否對用戶進行了培訓，人員培訓是否有反饋等。在這里重點應該關注歷史數據的問題，因為ERP系統維護過程中，有很大一部分原因是歷史數據遷入的不準確造成的，對此審計人員應該給與關注。當然培訓也非常重要，最終用戶的熟練使用，是ERP系統成功的基本條件。

2.3項目并行階段

為了對新上線的ERP系統進行檢驗，一般都需要ERP系統與原系統同時使用一段時間，這也是系統實施過程中的保險措施。在這一階段，審計人員主要應該關注并行的期間是否過長，并行的數據是否一致，不一致數據的原因是否得到分析；系統是否有最終驗收報告，報告是否經過籌備組、項目組的審查簽字，是否。

2.4項目維護階段

ERP系統完成實施、交付使用之后，并不是萬事大吉了，還需要日常的維護，才能保證系統的正常運行。在這一階段，審計人員應該主要關注維護組內部的控制制度是否完備，對系統的更改是否有復核及驗證措施；用戶的口令和權限是否經過申請和審批，相關的申請是否存檔；用戶的口令是否有定期更改的要求，有無安全的規定，如要求字母和數字組合等；對用戶提出的問題反應是否及時，問題是否已經得到解決；系統中設定的審批流程是否符合公司的內控制度，審批流程是否得到了遵守；是否組織了用戶的培訓，培訓的效果如何等方面的問題。

3開展ERP實施過程中審計的注意事項

ERP系統不同于其他企業辦公軟件，是基于流程式管理思想來設計的，同時技術上強調功能的集成性和數據的一致性。對ERP系統進行審計，還應該要注意以下的問題：

3.1責任的劃分

審計人員在ERP系統實施過程中，應著重關注項目實施過程中的風險，從審計專業的角度對相關風險提出審計建議，而不是負責系統的實施過程，也就不應該負擔系統實施成功或失敗的責任。

3.2審計人員的構成

開展信息系統審計，不僅需要有懂得審計知識的審計人員，還需要有信息人員和業務人員的參與。由于ERP系統是一個集成化的系統，本身不僅僅是一個業務處理系統，還是具有相當的管理思想和一定的計算機知識，所以在考慮審計組組成時，一定要有業務人員和信息人員的參與。

3.3開展審計的方式

ERP系統的審計工作，審計人員應該是全程參與的。在系統的前期和實施階段，應該主要采用參與項目組各種會議、討論，審查項目提交的各種配置參數、主數據資料，提出審計建議的方式進行，盡量避免由于開展系統審計工作影響到項目的實施。在系統維護期，應該主要采取定期進行全面檢查的審計方式進行，這樣能從系統的整體上進行檢查，能及時發現存在的問題。伴隨著企業信息化，ERP系統的實施已經在各個企業內部大規模的開始展開，針對ERP系統的審計工作已經開始提上審計部門的工作日程，相信經過項目組和審計人員的共同努力，可以保證ERP項目獲得成功。但由于信息系統審計在中國還是內部審計領域比較新的課題，筆者也只是是根據自己ERP系統的實施經驗及審計的經驗，對如何開展ERP系統實施過程中的審計工作做了一個簡單的探討，因為時間關系，文中的方法和觀點也都值得商榷，希望能起到各位專家的批評和指正。

參考文獻

[1]張金城,李庭燎.ERP系統的風險與審計[J].中國管理信息化,2016,19(19):37-38.

[2]楊慧.ERP系統實施對審計師決策的影響研究[D].

[3]趙剛,孫開陌.怎樣開展ERP建設項目審計[J].財會學習,2006(4):62-62

作者：李宏偉 單位：中國石油技術開發有限公司