信息系統(tǒng)審計(jì)師工作探討

前言：想要寫出一篇引人入勝的文章？我們特意為您整理了信息系統(tǒng)審計(jì)師工作探討范文，希望能給你帶來靈感和參考，敬請(qǐng)閱讀。

摘要：隨著信息技術(shù)的風(fēng)發(fā)展和管理理論的創(chuàng)新，很多企業(yè)已經(jīng)建立各自的ERP（企業(yè)資源計(jì)劃）系統(tǒng)，雖然通過ERP軟件能給企業(yè)帶來信息和管理上的優(yōu)勢(shì)，但同樣需要面對(duì)的是較高的實(shí)施失敗率。據(jù)CSC對(duì)實(shí)施ERP系統(tǒng)的全球500強(qiáng)企業(yè)進(jìn)行統(tǒng)計(jì)后發(fā)現(xiàn)，ERP的成功率僅僅為32.1%，其余的67.9%的企業(yè)處于部分成功狀態(tài)或完全失敗的狀態(tài)。如何規(guī)避ERP系統(tǒng)實(shí)施的險(xiǎn)，已經(jīng)成為企業(yè)面臨的重大問題。本文將從ERP系統(tǒng)實(shí)施過程中信息系統(tǒng)審計(jì)師開展工作的前提、審計(jì)的步驟、注意事項(xiàng)等方面展開研究，為企業(yè)ERP的成功實(shí)施提供借鑒。

關(guān)鍵詞：信息系統(tǒng)審計(jì)；ERP項(xiàng)目；審計(jì)標(biāo)準(zhǔn)

1信息系統(tǒng)審計(jì)師開展工作的前提

1.1選定信息系統(tǒng)審計(jì)的標(biāo)準(zhǔn)

開展實(shí)施過程中的信息系統(tǒng)審計(jì)，首先必須選定審計(jì)的標(biāo)準(zhǔn)，這是開展信息系統(tǒng)審計(jì)工作依據(jù)和準(zhǔn)繩。目前國際上比較通用的信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)是信息系統(tǒng)審計(jì)與控制協(xié)會(huì)（ISACA）公布的CO-BIT，目前該標(biāo)準(zhǔn)也是國際上公認(rèn)的最先進(jìn)、最權(quán)威的安全與信息技術(shù)管理和控制標(biāo)準(zhǔn)。COBIT標(biāo)準(zhǔn)規(guī)定了從ERP系統(tǒng)的選型、實(shí)施團(tuán)隊(duì)的組織、實(shí)施過程的控制等方面，對(duì)系統(tǒng)實(shí)施過程中如何進(jìn)行審計(jì)。筆者曾經(jīng)參與過多次ERP系統(tǒng)的實(shí)施，采用的實(shí)施方法和步驟，與COBIT的規(guī)定的步驟和流程是一致的，所以建議審計(jì)部門采用這個(gè)標(biāo)準(zhǔn)作為ERP系統(tǒng)審計(jì)的標(biāo)準(zhǔn)。

1.2審計(jì)人員全程參與ERP項(xiàng)目的實(shí)施

信息系統(tǒng)審計(jì)的主要職能是確保企業(yè)信息化戰(zhàn)略，提高信息化工作的管理水平，規(guī)避信息化帶來的風(fēng)險(xiǎn)。為了保證ERP項(xiàng)目的成功實(shí)施，信息系統(tǒng)審計(jì)師必須全程參與ERP項(xiàng)目的實(shí)施，在實(shí)施過程中，利用審計(jì)的知識(shí)體系，提出相應(yīng)的建議，避免實(shí)施過程中的風(fēng)險(xiǎn)。只有全程參與了項(xiàng)目的實(shí)施，才能及時(shí)發(fā)現(xiàn)項(xiàng)目實(shí)施過程的風(fēng)險(xiǎn)，才能提出相應(yīng)的審計(jì)建議。

1.3對(duì)審計(jì)人員素質(zhì)的要求

ERP系統(tǒng)的審計(jì)不同于傳統(tǒng)的審計(jì)工作，需要審計(jì)人員具有相當(dāng)?shù)挠?jì)算機(jī)知識(shí)和審計(jì)經(jīng)驗(yàn)。尤其是采用COBIT標(biāo)準(zhǔn)，很多關(guān)鍵的檢查點(diǎn)都需要審計(jì)人員要對(duì)計(jì)算機(jī)技術(shù)有所了解，如：網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)、網(wǎng)絡(luò)防火墻等概念。

2對(duì)ERP系統(tǒng)實(shí)施過程審計(jì)的步驟

ERP系統(tǒng)與傳統(tǒng)的辦公軟件不一樣，需要有規(guī)劃、實(shí)施維護(hù)等階段，在ERP項(xiàng)目實(shí)施過程的審計(jì)中，每個(gè)階段的審計(jì)關(guān)注點(diǎn)也是不一樣的，主要有：

2.1項(xiàng)目準(zhǔn)備階段

在這一階段，主要工作是系統(tǒng)地選型、軟件購置合同條款及咨詢公司的確定，審計(jì)人員主要應(yīng)該關(guān)注廠商的實(shí)力、咨詢顧問的的資質(zhì)要求、以及是否有三方的責(zé)任條款。同時(shí)關(guān)注公司領(lǐng)導(dǎo)層對(duì)ERP系統(tǒng)實(shí)施的期望和目標(biāo)是否太高，是否有足夠的重視程度。對(duì)系統(tǒng)選型，主要應(yīng)關(guān)注系統(tǒng)選擇是否經(jīng)過科學(xué)的分析，是否能滿足企業(yè)的業(yè)務(wù)特點(diǎn)。同時(shí)對(duì)軟件廠商的實(shí)力進(jìn)行分析，看是否存在破產(chǎn)、被并購的風(fēng)險(xiǎn)，對(duì)軟件合同的審查，主要關(guān)注是否有避免相關(guān)風(fēng)險(xiǎn)的條款，如：軟件廠商被并購或破產(chǎn)。對(duì)于咨詢公司的選擇，審計(jì)人員應(yīng)主要關(guān)注咨詢公司以往的業(yè)績(jī)，是否曾經(jīng)成功實(shí)施過類似的項(xiàng)目，實(shí)施的效果如何；關(guān)注咨詢合同條款中對(duì)咨詢顧問的資歷要求是否能滿足項(xiàng)目實(shí)施的需要，以及咨詢顧問的工期計(jì)劃是否能按時(shí)完成，以及實(shí)施成本是否可控等方面。一定要注意成本與工期的規(guī)定，盡量簽訂總價(jià)咨詢合同，避免出現(xiàn)窩工的情況。對(duì)于領(lǐng)導(dǎo)層的觀念及重視程度，審計(jì)人員應(yīng)該從客觀的角度進(jìn)行分析，并提出自己的意見和建議，客觀的分析系統(tǒng)實(shí)施后的效果和作用。

2.2項(xiàng)目實(shí)施階段

ERP項(xiàng)目的實(shí)施階段包括很多步驟，包括項(xiàng)目的評(píng)估、設(shè)計(jì)、構(gòu)建及系統(tǒng)上線等步驟，這一階段也是系統(tǒng)從開始規(guī)劃到最終付諸實(shí)施的關(guān)鍵階段，是ERP系統(tǒng)的成功應(yīng)用和推廣的基礎(chǔ)。在項(xiàng)目計(jì)劃階段，審計(jì)人員主要應(yīng)該關(guān)注實(shí)施ERP項(xiàng)目的組織機(jī)構(gòu)是夠建立，參與系統(tǒng)實(shí)施的我方人員的知識(shí)結(jié)構(gòu)是否合理，咨詢公司的顧問資歷是夠足夠，項(xiàng)目的計(jì)劃是夠詳細(xì)，是否得到項(xiàng)目管理層的審批等。審計(jì)人員還應(yīng)該重點(diǎn)關(guān)注系統(tǒng)規(guī)劃中的軟硬件情況，以及ERP系統(tǒng)的安全防衛(wèi)措施規(guī)劃等方面。在項(xiàng)目評(píng)估階段，審計(jì)人員主要應(yīng)該關(guān)注項(xiàng)目組是否在企業(yè)進(jìn)行了業(yè)務(wù)調(diào)研，業(yè)務(wù)調(diào)研的范圍是否覆蓋了公司的主要業(yè)務(wù)，調(diào)研的問卷是否清晰，是否保存完整，新設(shè)計(jì)的業(yè)務(wù)流程是否經(jīng)過項(xiàng)目籌備組以及最終用戶的審查，最終用戶是否簽字確認(rèn)，業(yè)務(wù)流程是否融入了企業(yè)的內(nèi)部控制措施。業(yè)務(wù)需求的調(diào)研結(jié)果將最終決定ERP實(shí)施完成后所能達(dá)到的效果，所以對(duì)這個(gè)階段的審計(jì)應(yīng)重點(diǎn)關(guān)注調(diào)研情況，并關(guān)注項(xiàng)目組所做的藍(lán)圖，是否能符合公司的戰(zhàn)略發(fā)展目標(biāo)。在項(xiàng)目設(shè)計(jì)階段，審計(jì)人員主要關(guān)注初始化配置文檔是否完整，是否有版本號(hào)；客戶化開發(fā)是否有項(xiàng)目籌備組的批準(zhǔn)，開發(fā)文檔是否保存完整，開發(fā)是否必要；系統(tǒng)的主數(shù)據(jù)編碼（如部門編碼、人員編碼、物料編碼等）是否經(jīng)討論，是否考慮了系統(tǒng)以后擴(kuò)展的需求；ERP系統(tǒng)的安裝文檔是否保存，安裝的數(shù)據(jù)庫是否符合規(guī)劃，是否有相應(yīng)的數(shù)據(jù)備份容錯(cuò)措施等。這里重點(diǎn)關(guān)注的應(yīng)該是客戶化開發(fā)，ERP系統(tǒng)一般允許用戶進(jìn)行報(bào)告、報(bào)表的客戶化開發(fā)，但對(duì)于改變系統(tǒng)設(shè)計(jì)理念的開發(fā)，是絕對(duì)禁止的，因?yàn)檫@樣改動(dòng)之后的系統(tǒng)，會(huì)很不穩(wěn)定，增加維護(hù)的成本，而且以后系統(tǒng)也很難進(jìn)行版本的升級(jí)或更新。在系統(tǒng)構(gòu)建階段，審計(jì)人員主要應(yīng)關(guān)注測(cè)試案例是否覆蓋了企業(yè)的業(yè)務(wù)，是否與實(shí)際業(yè)務(wù)相符，用戶是否在UAT測(cè)試案例上簽字，問題是否清晰反映，項(xiàng)目組是否對(duì)存在的問題進(jìn)行了更正，用戶手冊(cè)的編寫是否清晰、完整。這里應(yīng)重點(diǎn)關(guān)注UAT測(cè)試，這是ERP系統(tǒng)交付給最終用戶使用之前的最后一次檢驗(yàn)，只用順利的通過了UAT測(cè)試，系統(tǒng)才能交付上線。在系統(tǒng)上線階段，審計(jì)人員應(yīng)該主要關(guān)注用戶是否對(duì)遷入系統(tǒng)的歷史數(shù)據(jù)進(jìn)行了核對(duì)，ERP系統(tǒng)輸出的報(bào)告、報(bào)表是否與原系統(tǒng)數(shù)據(jù)一致，不一致的原因是什么，項(xiàng)目組是否對(duì)用戶進(jìn)行了培訓(xùn)，人員培訓(xùn)是否有反饋等。在這里重點(diǎn)應(yīng)該關(guān)注歷史數(shù)據(jù)的問題，因?yàn)镋RP系統(tǒng)維護(hù)過程中，有很大一部分原因是歷史數(shù)據(jù)遷入的不準(zhǔn)確造成的，對(duì)此審計(jì)人員應(yīng)該給與關(guān)注。當(dāng)然培訓(xùn)也非常重要，最終用戶的熟練使用，是ERP系統(tǒng)成功的基本條件。

2.3項(xiàng)目并行階段

為了對(duì)新上線的ERP系統(tǒng)進(jìn)行檢驗(yàn)，一般都需要ERP系統(tǒng)與原系統(tǒng)同時(shí)使用一段時(shí)間，這也是系統(tǒng)實(shí)施過程中的保險(xiǎn)措施。在這一階段，審計(jì)人員主要應(yīng)該關(guān)注并行的期間是否過長，并行的數(shù)據(jù)是否一致，不一致數(shù)據(jù)的原因是否得到分析；系統(tǒng)是否有最終驗(yàn)收?qǐng)?bào)告，報(bào)告是否經(jīng)過籌備組、項(xiàng)目組的審查簽字，是否。

2.4項(xiàng)目維護(hù)階段

ERP系統(tǒng)完成實(shí)施、交付使用之后，并不是萬事大吉了，還需要日常的維護(hù)，才能保證系統(tǒng)的正常運(yùn)行。在這一階段，審計(jì)人員應(yīng)該主要關(guān)注維護(hù)組內(nèi)部的控制制度是否完備，對(duì)系統(tǒng)的更改是否有復(fù)核及驗(yàn)證措施；用戶的口令和權(quán)限是否經(jīng)過申請(qǐng)和審批，相關(guān)的申請(qǐng)是否存檔；用戶的口令是否有定期更改的要求，有無安全的規(guī)定，如要求字母和數(shù)字組合等；對(duì)用戶提出的問題反應(yīng)是否及時(shí)，問題是否已經(jīng)得到解決；系統(tǒng)中設(shè)定的審批流程是否符合公司的內(nèi)控制度，審批流程是否得到了遵守；是否組織了用戶的培訓(xùn)，培訓(xùn)的效果如何等方面的問題。

3開展ERP實(shí)施過程中審計(jì)的注意事項(xiàng)

ERP系統(tǒng)不同于其他企業(yè)辦公軟件，是基于流程式管理思想來設(shè)計(jì)的，同時(shí)技術(shù)上強(qiáng)調(diào)功能的集成性和數(shù)據(jù)的一致性。對(duì)ERP系統(tǒng)進(jìn)行審計(jì)，還應(yīng)該要注意以下的問題：

3.1責(zé)任的劃分

審計(jì)人員在ERP系統(tǒng)實(shí)施過程中，應(yīng)著重關(guān)注項(xiàng)目實(shí)施過程中的風(fēng)險(xiǎn)，從審計(jì)專業(yè)的角度對(duì)相關(guān)風(fēng)險(xiǎn)提出審計(jì)建議，而不是負(fù)責(zé)系統(tǒng)的實(shí)施過程，也就不應(yīng)該負(fù)擔(dān)系統(tǒng)實(shí)施成功或失敗的責(zé)任。

3.2審計(jì)人員的構(gòu)成

開展信息系統(tǒng)審計(jì)，不僅需要有懂得審計(jì)知識(shí)的審計(jì)人員，還需要有信息人員和業(yè)務(wù)人員的參與。由于ERP系統(tǒng)是一個(gè)集成化的系統(tǒng)，本身不僅僅是一個(gè)業(yè)務(wù)處理系統(tǒng)，還是具有相當(dāng)?shù)墓芾硭枷牒鸵欢ǖ挠?jì)算機(jī)知識(shí)，所以在考慮審計(jì)組組成時(shí)，一定要有業(yè)務(wù)人員和信息人員的參與。

3.3開展審計(jì)的方式

ERP系統(tǒng)的審計(jì)工作，審計(jì)人員應(yīng)該是全程參與的。在系統(tǒng)的前期和實(shí)施階段，應(yīng)該主要采用參與項(xiàng)目組各種會(huì)議、討論，審查項(xiàng)目提交的各種配置參數(shù)、主數(shù)據(jù)資料，提出審計(jì)建議的方式進(jìn)行，盡量避免由于開展系統(tǒng)審計(jì)工作影響到項(xiàng)目的實(shí)施。在系統(tǒng)維護(hù)期，應(yīng)該主要采取定期進(jìn)行全面檢查的審計(jì)方式進(jìn)行，這樣能從系統(tǒng)的整體上進(jìn)行檢查，能及時(shí)發(fā)現(xiàn)存在的問題。伴隨著企業(yè)信息化，ERP系統(tǒng)的實(shí)施已經(jīng)在各個(gè)企業(yè)內(nèi)部大規(guī)模的開始展開，針對(duì)ERP系統(tǒng)的審計(jì)工作已經(jīng)開始提上審計(jì)部門的工作日程，相信經(jīng)過項(xiàng)目組和審計(jì)人員的共同努力，可以保證ERP項(xiàng)目獲得成功。但由于信息系統(tǒng)審計(jì)在中國還是內(nèi)部審計(jì)領(lǐng)域比較新的課題，筆者也只是是根據(jù)自己ERP系統(tǒng)的實(shí)施經(jīng)驗(yàn)及審計(jì)的經(jīng)驗(yàn)，對(duì)如何開展ERP系統(tǒng)實(shí)施過程中的審計(jì)工作做了一個(gè)簡(jiǎn)單的探討，因?yàn)闀r(shí)間關(guān)系，文中的方法和觀點(diǎn)也都值得商榷，希望能起到各位專家的批評(píng)和指正。

參考文獻(xiàn)

[1]張金城,李庭燎.ERP系統(tǒng)的風(fēng)險(xiǎn)與審計(jì)[J].中國管理信息化,2016,19(19):37-38.

[2]楊慧.ERP系統(tǒng)實(shí)施對(duì)審計(jì)師決策的影響研究[D].

[3]趙剛,孫開陌.怎樣開展ERP建設(shè)項(xiàng)目審計(jì)[J].財(cái)會(huì)學(xué)習(xí),2006(4):62-62

作者：李宏偉 單位：中國石油技術(shù)開發(fā)有限公司