審計師眼中的好ERP系統(tǒng) 和諧整體的應(yīng)用單元

申請免費試用、咨詢電話：400-8352-114

審計師認為一個好的erp系統(tǒng)應(yīng)該是像SAP R/3，Oracle財務(wù)和peoplesoft這樣一些可以構(gòu)成和諧整體的客戶/服務(wù)商應(yīng)用單元。

這樣的一些單元模塊開始普及，因為它們能提供多功能的業(yè)務(wù)流程解決方案，這正好可以應(yīng)用到組織的財務(wù)和人力資源方面中。

ERP單元包括一系列經(jīng)修改就可以適應(yīng)財務(wù)需要的模塊，例如應(yīng)付帳款，應(yīng)收帳款，總賬等。已經(jīng)廣泛使用的Oracle財務(wù)模塊和SAP R/3，以及起先致力于人力資源和相關(guān)財務(wù)追蹤研究的peoplesoft都可提供這種服務(wù)。對所有可用ERP的類型和可用模塊選擇的概述不再本文范圍。

ERP應(yīng)用模塊可與端到端流程連接到一起。例如，從訂貨單或征調(diào)單到發(fā)貨單或付款單，再到總賬。ERP在許多地方的使用，就好比是一個系統(tǒng)的建筑群。ERP中多樣化的選擇，業(yè)務(wù)規(guī)章，報告，審計追蹤，監(jiān)管特征等等都應(yīng)該按照商業(yè)需求來設(shè)計。它的實施是非常復(fù)雜的。

對于ERP審計的發(fā)展，存在一些普遍的錯誤觀點。例如，你很有可能聽到這樣的說法：“這是一個軟件套裝，因此它的應(yīng)用應(yīng)該是低風險的（和家庭應(yīng)用相比）”。這個19世紀90年代早期的觀點很有可能是錯誤的。尤其是在說到它在ERP中的應(yīng)用時，它就更是錯誤的了。事實上，很多早期的ERP之所以失敗，就是由于企業(yè)嚴重低估了自身應(yīng)該投入的時間，金錢和努力。企業(yè)認為，ERP就像一個已經(jīng)被設(shè)計好的精確的會計軟件，我們只需要加入一些賬戶圖表就可以使用。

要想加入這些圖表，ERP系統(tǒng)需要一個相當耐用的數(shù)據(jù)管理系統(tǒng)，通常Oracle可以勝任這項工作。此外，ERP的實施還需要提供合適的數(shù)據(jù)結(jié)構(gòu)、計劃、子模塊以及相關(guān)數(shù)據(jù)元素，這其中的復(fù)雜性是ERP系統(tǒng)實施中所面臨的重大挑戰(zhàn)。

要想讓任何審計都能有效進行，就需要先清晰地設(shè)定審計目標。通常，在ERP審計時，我們從定義審計實體，評估風險和風險控制開始一個完整的審計過程。如果ERP系統(tǒng)側(cè)重于財務(wù)交易過程，審計目標就通常類似于，“確保已授權(quán)的付款以準確的數(shù)目付給了經(jīng)我方認可的買方。”換句話說，就是應(yīng)付帳款系統(tǒng)是不是記錄了所有合法的交易——在根本沒有備份的情況下——并把他們填寫在正確的分賬中？

審計師和信息技術(shù)經(jīng)理要意識到，審計包括應(yīng)付帳款模塊等在內(nèi)的獨立信息系統(tǒng)是一個復(fù)雜的過程，其保持應(yīng)用模塊的完整性會讓一件事情變得更加困難，那就是怎樣能把保持完整性這個目標放入一個劃分明確的審計項目中。

審計師需要理解ERP的整個處理過程，因為最初的交易建立的數(shù)據(jù)是供各類模塊使用才有意義。審計師需要大致看一下那些比較大的業(yè)務(wù)模塊并好好理解它們：例如銷售模塊，支出模塊，薪酬模塊和客戶服務(wù)模塊。這樣就可以弄明白各種各樣的子過程（以及它們的支持模塊）是怎樣相互影響的。理解一個完整的流程是非常重要的一步，因為控制過程依賴于最開始的交易和隨后的一系列相互作用影響。

ERP審計

審計師在ERP審計中提到的一些問題和那些在開發(fā)和應(yīng)用系統(tǒng)時提出的問題完全一樣。

·對于財務(wù)方面來講，系統(tǒng)需要完全遵循通用會計準則和通用審計準則嗎？

·在用戶和系統(tǒng)的互動中，用戶的需求被完全開發(fā)出來了嗎？

·系統(tǒng)保護信息資產(chǎn)的完整和隱私嗎？

·系統(tǒng)是否控制流程僅進行真實、有效和準確的交易？

·系統(tǒng)的操作運行和支持功能是否有效？

·所有的系統(tǒng)資源是否都是經(jīng)過授權(quán)才得以訪問和使用？

·ERP系統(tǒng)的管理者是否都有明確的授權(quán)？

·系統(tǒng)功能可接受嗎？滿足用戶需求嗎？用戶滿意嗎？

·審計追蹤和對用戶行為的監(jiān)控是否充分？

·系統(tǒng)能提供給管理層最可靠的數(shù)據(jù)嗎？

·用戶得到培訓(xùn)了嗎？他們是否有完備和及時的文檔？

·是否有一個問題升級方法？ 

變更管理和控制  

對于一個使用中的ERP系統(tǒng)來說，另一個關(guān)鍵的方面就是改變管理。那些在檢查中提出的問題，聚焦于在生產(chǎn)中對更新和改變的控制，但是說到底還是和信息技術(shù)開發(fā)有關(guān)的。

管理變更是一門藝術(shù)，而且如果處理不好就會成為控制中的一個薄弱環(huán)節(jié)。審計師要提出的問題有：

在一個正式的變更請求的處理中，這個處理是否能用文件證明?是否有授權(quán)的政策，相關(guān)的控制形式和授權(quán)許可？

所有的變更請求和相關(guān)的活動是否都記錄了下來便于日后的追蹤？

管理層授權(quán)的所有變更內(nèi)容都是在分析后得到認可嗎？

在變更之后要實施的安全管理都能得到及時批準嗎？

對變更進行的所有的測試產(chǎn)生的相關(guān)證明資料都要保存下來，包括測試計劃書，測試結(jié)果以及相關(guān)的批準文件。為了避免主要的變化未能充分測試，相應(yīng)的變更管理方針要對變更進行分級，并對它們的重要性作出明確定義。一些小的變更當然就不需要像那些關(guān)鍵變更一樣級別的測試和相關(guān)證明資料，但是為了趕著完工，開發(fā)設(shè)計者有時會說：“變更計劃中這個地方需要的改動太少了，所以完全不用進行測試?！?

在進行重要的升級或重大的變更之前，應(yīng)該對原先的那個系統(tǒng)版本做一個詳盡的備份。審計師要明確是不是有一個終止系統(tǒng)更新的計劃作為重大變革的一個常規(guī)內(nèi)容。為了防止系統(tǒng)變更失敗，企業(yè)的整個信息系統(tǒng)要有能力存儲系統(tǒng)變更前的版本。同時審計師還要注意，在系統(tǒng)的變更開始前用戶是否已經(jīng)參與了進來并得到了系統(tǒng)變更的通知。

以上這些對ERP審計中出現(xiàn)問題的回答，可以算是對這個復(fù)雜的課題的一個簡要的概括。這個概括提供了一些關(guān)鍵的內(nèi)容，供我們思考怎樣針對ERP系統(tǒng)設(shè)計專門的審計項目和測試步驟。(itgov)