审计师重新设计系统

但是ERP系统需要一个有别于原始审计方法的审计方法来审计独立的系统。作为多年跟踪和研究这方面的专业人士，希望能在怎么成功审计ERP系统这个问题上提供了自己的看法，以供大家参考。 读者问道：审计师认为一个好的ERP系统应该是什么样子的？ 审计师答道：ERP系统应该是例如SAP R/3，Oracle财务和peoplesoft这样一些可以构成和谐整体的客户/服务商应用单元。 这样的一些单元模块开始普及，因为它们能提供多功能的业务流程解决方案，这正好可以应用到组织的财务和人力资源方面中。 ERP单元包括一系列经修改就可以适应财务需要的模块，例如应付帐款，应收帐款，总账等。已经广泛使用的Oracle财务模块和SAP R/3，以及起先致力于人力资源和相关财务追踪研究的peoplesoft都可提供这种服务。对所有可用ERP的类型和可用模块选择的概述不再本文范围。 ERP应用模块可与端到端流程连接到一起。例如，从订货单或征调单到发货单或付款单，再到总账。ERP在许多地方的使用，就好比是一个系统的建筑群。ERP中多样化的选择，业务规章，报告，审计追踪，监管特征等等都应该按照商业需求来设计。它的实施是非常复杂的。 对于ERP审计的发展，存在一些普遍的错误观点。例如，你很有可能听到这样的说法：“这是一个软件套装，因此它的应用应该是低风险的（和家庭应用相比）”。这个19世纪90年代早期的观点很有可能是错误的。尤其是在说到它在ERP中的应用时，它就更是错误的了。事实上，很多早期的ERP之所以失败，就是由于企业严重低估了自身应该投入的时间，金钱和努力。企业认为，ERP就像一个已经被设计好的精确的会计软件，我们只需要加入一些账户图表就可以使用。 要想加入这些图表，ERP系统需要一个相当耐用的数据管理系统，通常Oracle可以胜任这项工作。此外，ERP的实施还需要提供合适的数据结构、计划、子模块以及相关数据元素，这其中的复杂性是ERP系统实施中所面临的重大挑战。 要想让任何审计都能有效进行，就需要先清晰地设定审计目标。通常，在ERP审计时，我们从定义审计实体，评估风险和风险控制开始一个完整的审计过程。如果ERP系统侧重于财务交易过程，审计目标就通常类似于，“确保已授权的付款以准确的数目付给了经我方认可的买方。”换句话说，就是应付帐款系统是不是记录了所有合法的交易——在根本没有备份的情况下——并把他们填写在正确的分账中？ 审计师和信息技术经理要意识到，审计包括应付帐款模块等在内的独立信息系统是一个复杂的过程，其保持应用模块的完整性会让一件事情变得更加困难，那就是怎样能把保持完整性这个目标放入一个划分明确的审计项目中。 审计师需要理解ERP的整个处理过程，因为最初的交易建立的数据是供各类模块使用才有意义。审计师需要大致看一下那些比较大的业务模块并好好理解它们：例如销售模块，支出模块，薪酬模块和客户服务模块。这样就可以弄明白各种各样的子过程（以及它们的支持模块）是怎样相互影响的。理解一个完整的流程是非常重要的一步，因为控制过程依赖于最开始的交易和随后的一系列相互作用影响。 ERP审计 审计师在ERP审计中提到的一些问题和那些在开发和应用系统时提出的问题完全一样。 ·对于财务方面来讲，系统需要完全遵循通用会计准则和通用审计准则吗？ ·在用户和系统的互动中，用户的需求被完全开发出来了吗？ ·系统保护信息资产的完整和隐私吗？ ·系统是否控制流程仅进行真实、有效和准确的交易？ ·系统的操作运行和支持功能是否有效？ ·所有的系统资源是否都是经过授权才得以访问和使用？ ·ERP系统的管理者是否都有明确的授权？ ·系统功能可接受吗？满足用户需求吗？用户满意吗？ ·审计追踪和对用户行为的监控是否充分？ ·系统能提供给管理层最可靠的数据吗？ ·用户得到培训了吗？他们是否有完备和及时的文档？ ·是否有一个问题升级方法？ 变更管理和控制 对于一个使用中的ERP系统来说，另一个关键的方面就是改变管理。那些在检查中提出的问题，聚焦于在生产中对更新和改变的控制，但是说到底还是和信息技术开发有关的。 管理变更是一门艺术，而且如果处理不好就会成为控制中的一个薄弱环节。审计师要提出的问题有： 在一个正式的变更请求的处理中，这个处理是否能用文件证明?是否有授权的政策，相关的控制形式和授权许可？ 所有的变更请求和相关的活动是否都记录了下来便于日后的追踪？ 管理层授权的所有变更内容都是在分析后得到认可吗？ 在变更之后要实施的安全管理都能得到及时批准吗？ 对变更进行的所有的测试产生的相关证明资料都要保存下来，包括测试计划书，测试结果以及相关的批准文件。为了避免主要的变化未能充分测试，相应的变更管理方针要对变更进行分级，并对它们的重要性作出明确定义。一些小的变更当然就不需要像那些关键变更一样级别的测试和相关证明资料，但是为了赶着完工，开发设计者有时会说：“变更计划中这个地方需要的改动太少了，所以完全不用进行测试。” 在进行重要的升级或重大的变更之前，应该对原先的那个系统版本做一个详尽的备份。审计师要明确是不是有一个终止系统更新的计划作为重大变革的一个常规内容。为了防止系统变更失败，企业的整个信息系统要有能力存储系统变更前的版本。同时审计师还要注意，在系统的变更开始前用户是否已经参与了进来并得到了系统变更的通知。 以上这些对ERP审计中出现问题的回答，可以算是对这个复杂的课题的一个简要的概括。

随着信息技术的发展，信息系统环境给企业的管理带来了翻天覆地的变化，信息系统审计更多地体现在为企业的IT治理提供了安全有效的保障，降低了企业面临的信息系统风险、管理风险，然而关于信息系统审计的操作流程，很多人还不是很清楚，快来跟时代新威一起来了解一下吧！

1.审计规划阶段

规划阶段是整个审计过程的起点。其主要任务包括：

1 ）了解审判中制度的基本情况

了解被审计系统的基本情况是实施任何信息系统审计的必要程序，了解基本情况有助于审计机构对系统的组成、环境、运行寿命、控制等有初步印象，以便决定是否对系统进行审计，澄清审计的困难、所需时间和人员情况等。在了解了基本情况后，审计机构可以粗略地判断系统的复杂性、管理人员对审计的态度、内部控制的状况、以往审计的状况、审计的困难和要点，以确定是否审计。

2 )对被审查单位内部控制和外部控制的初步评价

传统的内部控制系统是以内部审计和相互约束为核心，防止欺诈和差错的工作体系，随着信息技术的发展和应用，特别是以互联网为代表的网络技术的进一步发展，企业信息系统得到了深入的发展，这些变化无疑给企业带来了巨大的利益，同时也给内部控制带来了新的问题和挑战，时代新威IT审计加强了对内部控制制度是信息系统安全可靠运行的有力保证，根据控制对象的范围和环境，信息系统内部控制系统的审计内容包括一般控制和应用控制。一般控制是对系统运行环境的控制，是指对信息系统各组成部分(人、机器、文件)的控制，它为应用程序的正常运行提供了外围保障，影响着计算机应用的成败和应用控制的强度，主要包括：组织控制、操作控制、软硬件控制和系统安全控制。应用控制是对信息系统中特定数据处理活动的控制，是预测、检测和纠正错误、处理特定应用系统违法行为的一种控制措施，信息系统的应用控制主要体现在输入控制、处理控制和输出控制三个方面，应用控制有其特殊性，不同的应用系统有不同的处理方法和环节，有不同的控制问题和不同的控制要求，但可以分为输入控制、处理控制和输出控制。通过对信息系统组织控制、系统开发维护控制、安全控制、软硬件资源控制、输入控制、过程控制、输出控制等审计分析，时代新威建立了内部控制强度评价的指标体系和评价模型，审计员通过人机交互对话输入各评价指标的评价指标，内部控制审计评价系统可以进行多层次的综合审计评价，通过对内部控制系统的审计，实现系统的预防性控制、检测控制和纠正控制。

3 )承认重要性

为了有效地实现审计目标和合理利用审计资源，信息系统审计人员在制定审计计划时应正确评价系统的重要性。对重要性的评估一般需要使用专业判断。在考虑重要程度时，应依据审计人员的专业判断或共同标准、系统的服务对象和业务性质以及内部控制的初步评估结果。重要性的判断离不开特定的环境，审计师必须根据特定的信息系统环境来确定重要性。重要性具有数量和质量两方面的特点。子系统越重要，就越需要足够的审计证据来支持审计结论或意见。4 )编制审计计划经过上述程序后，审计计划已做好准备，审计师可编制全面和具体的审计计划。总体规划包括：被审计人的基本情况；审计目的、审计范围和战略；重要问题和重要审计领域；工作进展和时间；审计小组成员之间的分工；重要性确定和风险评估。具体计划包括：IT信息系统审计具体的审计目标；审计程序；从业人员和时限。

2.审计执行阶段

审计可以充分准备上诉材料，包括以下内容：

1 )审计计划中的信息系统开发阶段

对信息系统计划发展阶段的审计包括对计划的审计和对发展的审计，无论是个案审计还是事后审计。相比之下，审计更有意义，审计结果有利于及早发现错误和问题，有利于计划的调整，有利于改进发展顺序。IT信息系统审计规划阶段的关键控制点是：该计划是否有明确的目的，该计划是否清楚地描述了该系统的作用，是否界定了系统开发的组织，是否正确地预测了总体规划过程，该计划是否能够随着业务环境的变化而及时修订，是否有关于该计划是否制定的可行性报告，是否有关于该计划的过程和结果的文件，等等。系统开发阶段包括三个部分：系统分析、系统设计、代码编写和系统测试，包括功能需求分析、业务数据分析、总体框架设计、结构设计、代码设计、数据库设计、输入输出设计、处理流程和模块功能设计，根据系统设计阶段的设计图、数据库结构和代码设计，系统的过程用计算机程序语言实现，测试包括动态测试和静态测试，这是系统开发和试运行前的必要程序，其关键控制点是：

分析控制点：是否仔细分析了企业的组织结构；是否确定了用户的功能和性能要求；是否确定了用户的数据需求等。

设计控制点：设计界面是否方便用户使用；设计是否与业务内容一致；性能是否满足需要；是否考虑故障对策和安全保护等。

编程控制点：是否有程序规范，并按照规范编写；程序设计与设计是否一致，是否违反编程原则；程序作者是否进行自我测试；是否有程序作者以外的第三人进行测试；程序编写、变量命名等是否标准化。

测试控制点：测试数据的选择是否按照计划和需要进行，是否具有代表性；测试是否在公平和客观的位置进行；是否有用户参与测试；测试结果是否被正确记录等。

2 )对信息系统操作和维护阶段的审计

信息系统运行维护阶段审计分为运行阶段审计和维护阶段审计，系统运行过程审计是在信息系统正式运行阶段进行的，目的是为了真正实现信息系统的发展目标，满足用户的需要，时代新威对信息系统运行过程的审计分为六个部分：系统输入审计、通信系统审计、过程审计、数据库审计、系统输出审计和运行管理审计。输入审计的关键控制点是否制定和遵守输入管理规则，是否有数据生成顺序、处理错误预防、保护措施、错误预防和保护措施等。通信系统实现实际数据的传输。在通信系统中，审计跟踪应记录输入数据、传输数据和工作通信系统。通信系统审计的关键控制点是否制定和遵守通信规则，网络访问控制和监控是否有效等。处理过程是指处理器在接收到输入数据后对数据进行处理的过程。此时，审计主要针对数据输入系统是否正确处理，关键控制点是：处理数据、数据处理器、数据处理时间、数据处理结果、数据处理目的、系统处理错误率、平均无故障时间、可恢复时间和平均恢复时间等。

数据库审计确保数据库正确地行使数据操作的有效性和异常操作时数据的保护功能(正确数据不丢失，数据回滚以保证数据的一致性)。关键控制点是：数据的访问控制和监控是否有效，是否记录数据的使用，是否考虑数据的保护功能，是否存在错误预防、保密功能、错误预防和保密功能等。输出审计不同于测试阶段的输出审计。此时，输出是根据实际数据进行的。输出审计可以根据用户的需要对系统的输出进行重新控制。关键控制点是：在获取和处理输出信息时是否有防止不当行为和保密保护的措施，输出信息是否准确和及时，输出信息的形式是否为客户接受，是否定期记录和分析输出错误等。运行管理审计是对人机系统中人的行为的审计，其关键控制点是：操作顺序是否规范，作业进度是否优先，操作是否按照标准进行，人员是否交替进行，实际操作中期望运行的差异是否可以分析，出现问题时能否相互沟通，是否有定期的培训和教育等等。对维修过程的审计包括对维修活动的审计，如维修计划、维修实施、改进后的系统的试运行和旧制度的废除。维修过程的关键控制点是：维修组织的规模是否符合需要，分工是否明确，是否有一套管理机制和协调机制，维修过程能否得到改进，维修是否得到维修主管的批准，维修记录中是否有文件，是否定期分析维修记录，是否在授权下废除旧制度等。

3.审计完成阶段

时代新威完成阶段是对整个信息系统进行实质性审计的结束，其主要任务如下：

1 ）对执行审计业务过程中收集到的证据进行整理和评价

在现代信息系统审计管理阶段，收集到的数据存储在管理系统中，审计人员只需对其进行分析和调用。

2 ）审查审计草案并完成第二级审查

传统审计的三级审查制度也适用于信息系统审计，是保证审计质量、降低审计风险的重要措施。第一级审查是信息系统审计项目负责人在审计过程中对工作文件的审查，主要是评价已完成的审计工作和编写工作文件所形成的结论；第二级审查是审计部门领导在外地工作结束时对工作文件的关键审查。在今天的审计办公室自动化中，辅助审查系统也可以通过在线报告和呼叫来实现。

3 ）评估审计结果，形成审计意见，完成三级评审，并准备审计报告

评价审计结果的主要目的是确定要发表的审计意见的类型，以及在整个审计过程中是否遵循了独立的审计标准。信息系统审计师需要对审计的重要性和审计风险做出最终的评价。这是审计员决定发表哪类审计意见的必要程序，所查明的可接受的审计风险必须有充分和适当的审计证据作为佐证。在发布审计报告之前，最后(三级)审查应与工作草案一起进行，三级审查应由审计部门主任进行。主要审查应包括所采用的审计程序是否适当、审计工作草案是否充分、审计过程中是否存在重大遗漏、审计工作是否符合事务所的质量要求等。坚持三级审查制度是控制审计风险的重要手段.审计报告是审计工作的最终结果。首先，审计报告应对被审查系统的安全性、可靠性、稳定性和有效性提出审计意见，并提出改进建议。当前，审计工作的发展正经历着前所未有的发展和转型时期，时代新威要发展审计工作，既要适应信息化的发展，又要适应审计对象、内容和手段的变化，充分利用信息资源，不断转变审计观念，不断向前发展。审计工作要抓住机遇，大力推进信息化，加强审计信息化研究，让审计信息技术更好地服务于审计工作。