信息系统审计师工作探讨

1、信息系统审计师工作讨论摘要：随着信息技术的风开展和管理理论的创新，很多企业已经建立各自的ERP企业资源方案系统，虽然通过ERP软件能给企业带来信息和管理上的优势，但同样需要面对的是较高的施行失败率。据CSC对施行ERP系统的全球500强企业进展统计后发现，ERP的成功率仅仅为32.1%，其余的67.9%的企业处于部分成功状态或完全失败的状态。如何躲避ERP系统施行的险，已经成为企业面临的重大问题。本文将从ERP系统施行过程中信息系统审计师开展工作的前提、审计的步骤、本卷须知等方面展开研究，为企业ERP的成功施行提供借鉴。关键词：信息系统审计；ERP工程；审计标准1信息系统审计师开展工作的前提1

2、.1选定信息系统审计的标准开展施行过程中的信息系统审计，首先必须选定审计的标准，这是开展信息系统审计工作根据和准绳。目前国际上比较通用的信息系统审计标准是信息系统审计与控制协会ISACA公布的CO-BIT，目前该标准也是国际上公认的最先进、最权威的平安与信息技术管理和控制标准。COBIT标准规定了从ERP系统的选型、施行团队的组织、施行过程的控制等方面，对系统施行过程中如何进展审计。笔者曾经参与过屡次ERP系统的施行，采用的施行方法和步骤，与COBIT的规定的步骤和流程是一致的，所以建议审计部门采用这个标准作为ERP系统审计的标准。1.2审计人员全程参与ERP工程的施行信息系统审计的主要职能是

3、确保企业信息化战略，进步信息化工作的管理程度，躲避信息化带来的风险。为了保证ERP工程的成功施行，信息系统审计师必须全程参与ERP工程的施行，在施行过程中，利用审计的知识体系，提出相应的建议，防止施行过程中的风险。只有全程参与了工程的施行，才能及时发现工程施行过程的风险，才能提出相应的审计建议。1.3对审计人员素质的要求ERP系统的审计不同于传统的审计工作，需要审计人员具有相当的计算机知识和审计经历。尤其是采用COBIT标准，很多关键的检查点都需要审计人员要对计算机技术有所理解，如：网络的拓扑构造、网络防火墙等概念。2对ERP系统施行过程审计的步骤ERP系统与传统的办公软件不一样，需要有规划、

4、施行维护等阶段，在ERP工程施行过程的审计中，每个阶段的审计关注点也是不一样的，主要有：2.1工程准备阶段在这一阶段，主要工作是系统地选型、软件购置合同条款及咨询公司确实定，审计人员主要应该关注厂商的实力、咨询参谋的的资质要求、以及是否有三方的责任条款。同时关注公司指导层对ERP系统施行的期望和目的是否太高，是否有足够的重视程度。对系统选型，主要应关注系统选择是否经过科学的分析，是否能满足企业的业务特点。同时对软件厂商的实力进展分析，看是否存在破产、被并购的风险，对软件合同的审查，主要关注是否有防止相关风险的条款，如：软件厂商被并购或破产。对于咨询公司的选择，审计人员应主要关注咨询公司以往的业

5、绩，是否曾经成功施行过类似的工程，施行的效果如何；关注咨询合同条款中对咨询参谋的资历要求是否能满足工程施行的需要，以及咨询参谋的工期方案是否能按时完成，以及施行本钱是否可控等方面。一定要注意本钱与工期的规定，尽量签订总价咨询合同，防止出现窝工的情况。对于指导层的观念及重视程度，审计人员应该从客观的角度进展分析，并提出自己的意见和建议，客观的分析系统施行后的效果和作用。2.2工程施行阶段ERP工程的施行阶段包括很多步骤，包括工程的评估、设计、构建及系统上线等步骤，这一阶段也是系统从开始规划到最终付诸施行的关键阶段，是ERP系统的成功应用和推广的根底。在工程方案阶段，审计人员主要应该关注施行ERP

6、工程的组织机构是够建立，参与系统施行的我方人员的知识构造是否合理，咨询公司的参谋资历是够足够，工程的方案是够详细，是否得到工程管理层的审批等。审计人员还应该重点关注系统规划中的软硬件情况，以及ERP系统的平安防卫措施规划等方面。在工程评估阶段，审计人员主要应该关注工程组是否在企业进展了业务调研，业务调研的范围是否覆盖了公司的主要业务，调研的问卷是否明晰，是否保存完好，新设计的业务流程是否经过工程筹备组以及最终用户的审查，最终用户是否签字确认，业务流程是否融入了企业的内部控制措施。业务需求的调研结果将最终决定ERP施行完成后所能到达的效果，所以对这个阶段的审计应重点关注调研情况，并关注工程组所做

7、的蓝图，是否能符合公司的战略开展目的。在工程设计阶段，审计人员主要关注初始化配置文档是否完好，是否有版本号；客户化开发是否有工程筹备组的批准，开发文档是否保存完好，开发是否必要；系统的主数据编码如部门编码、人员编码、物料编码等是否经讨论，是否考虑了系统以后扩展的需求；ERP系统的安装文档是否保存，安装的数据库是否符合规划，是否有相应的数据备份容错措施等。这里重点关注的应该是客户化开发，ERP系统一般允许用户进展报告、报表的客户化开发，但对于改变系统设计理念的开发，是绝对制止的，因为这样改动之后的系统，会很不稳定，增加维护的本钱，而且以后系统也很难进展版本的晋级或更新。在系统构建阶段，审计人员主

8、要应关注测试案例是否覆盖了企业的业务，是否与实际业务相符，用户是否在UAT测试案例上签字，问题是否明晰反映，工程组是否对存在的问题进展了更正，用户手册的编写是否明晰、完好。这里应重点关注UAT测试，这是ERP系统交付给最终用户使用之前的最后一次检验，只用顺利的通过了UAT测试，系统才能交付上线。在系统上线阶段，审计人员应该主要关注用户是否对迁入系统的历史数据进展了核对，ERP系统输出的报告、报表是否与原系统数据一致，不一致的原因是什么，工程组是否对用户进展了培训，人员培训是否有反响等。在这里重点应该关注历史数据的问题，因为ERP系统维护过程中，有很大一部分原因是历史数据迁入的不准确造成的，对此

9、审计人员应该给与关注。当然培训也非常重要，最终用户的纯熟使用，是ERP系统成功的根本条件。2.3工程并行阶段为了对新上线的ERP系统进展检验，一般都需要ERP系统与原系统同时使用一段时间，这也是系统施行过程中的保险措施。在这一阶段，审计人员主要应该关注并行的期间是否过长，并行的数据是否一致，不一致数据的原因是否得到分析；系统是否有最终验收报告，报告是否经过筹备组、工程组的审查签字，是否。2.4工程维护阶段ERP系统完成施行、交付使用之后，并不是万事大吉了，还需要日常的维护，才能保证系统的正常运行。在这一阶段，审计人员应该主要关注维护组内部的控制制度是否完备，对系统的更改是否有复核及验证措施；用

10、户的口令和权限是否经过申请和审批，相关的申请是否存档；用户的口令是否有定期更改的要求，有无平安的规定，如要求字母和数字组合等；对用户提出的问题反响是否及时，问题是否已经得到解决；系统中设定的审批流程是否符合公司的内控制度，审批流程是否得到了遵守；是否组织了用户的培训，培训的效果如何等方面的问题。3开展ERP施行过程中审计的本卷须知ERP系统不同于其他企业办公软件，是基于流程式管理思想来设计的，同时技术上强调功能的集成性和数据的一致性。对ERP系统进展审计，还应该要注意以下的问题：3.1责任的划分审计人员在ERP系统施行过程中，应着重关注工程施行过程中的风险，从审计专业的角度对相关风险提出审计建

11、议，而不是负责系统的施行过程，也就不应该负担系统施行成功或失败的责任。3.2审计人员的构成开展信息系统审计，不仅需要有懂得审计知识的审计人员，还需要有信息人员和业务人员的参与。由于ERP系统是一个集成化的系统，本身不仅仅是一个业务处理系统，还是具有相当的管理思想和一定的计算机知识，所以在考虑审计组组成时，一定要有业务人员和信息人员的参与。3.3开展审计的方式ERP系统的审计工作，审计人员应该是全程参与的。在系统的前期和施行阶段，应该主要采用参与工程组各种会议、讨论，审查工程提交的各种配置参数、主数据资料，提出审计建议的方式进展，尽量防止由于开展系统审计工作影响到工程的施行。在系统维护期，应该主要采取定期进展全面检查的审计方式进展，这样能从系统的整体上进展检查，能及时发现存在的问题。伴随着企业信息化，ERP系统的施行已经在各个企业内部大规模的开始展开，针对ERP系统的审计工作已经开始提上审计部门的工作日程，相信经过工程组和审计人员的共同努力，可以保证ERP工程获得成功。但由于信息系统审计在中国还是内部审计领域比较新的课题，笔者也只是是根据自己ERP系统的施行经历及审计的经历，对如何开展ERP系统施行过程中的审计工作做了一个简单的讨论，因为时间关系，文中的