信息系统审计师工作探讨

摘要：随着信息技术的风发展和管理理论的创新，很多企业已经建立各自的ERP（企业资源计划）系统，虽然通过ERP软件能给企业带来信息和管理上的优势，但同样需要面对的是较高的实施失败率。据CSC对实施ERP系统的全球500强企业进行统计后发现，ERP的成功率仅仅为32.1%，其余的67.9%的企业处于部分成功状态或完全失败的状态。如何规避ERP系统实施的险，已经成为企业面临的重大问题。本文将从ERP系统实施过程中信息系统审计师开展工作的前提、审计的步骤、注意事项等方面展开研究，为企业ERP的成功实施提供借鉴。

关键词：信息系统审计；ERP项目；审计标准

1信息系统审计师开展工作的前提

1.1选定信息系统审计的标准

开展实施过程中的信息系统审计，首先必须选定审计的标准，这是开展信息系统审计工作依据和准绳。目前国际上比较通用的信息系统审计标准是信息系统审计与控制协会（ISACA）公布的CO-BIT，目前该标准也是国际上公认的最先进、最权威的安全与信息技术管理和控制标准。COBIT标准规定了从ERP系统的选型、实施团队的组织、实施过程的控制等方面，对系统实施过程中如何进行审计。笔者曾经参与过多次ERP系统的实施，采用的实施方法和步骤，与COBIT的规定的步骤和流程是一致的，所以建议审计部门采用这个标准作为ERP系统审计的标准。

1.2审计人员全程参与ERP项目的实施

信息系统审计的主要职能是确保企业信息化战略，提高信息化工作的管理水平，规避信息化带来的风险。为了保证ERP项目的成功实施，信息系统审计师必须全程参与ERP项目的实施，在实施过程中，利用审计的知识体系，提出相应的建议，避免实施过程中的风险。只有全程参与了项目的实施，才能及时发现项目实施过程的风险，才能提出相应的审计建议。

1.3对审计人员素质的要求

ERP系统的审计不同于传统的审计工作，需要审计人员具有相当的计算机知识和审计经验。尤其是采用COBIT标准，很多关键的检查点都需要审计人员要对计算机技术有所了解，如：网络的拓扑结构、网络防火墙等概念。

2对ERP系统实施过程审计的步骤

ERP系统与传统的办公软件不一样，需要有规划、实施维护等阶段，在ERP项目实施过程的审计中，每个阶段的审计关注点也是不一样的，主要有：

2.1项目准备阶段

在这一阶段，主要工作是系统地选型、软件购置合同条款及咨询公司的确定，审计人员主要应该关注厂商的实力、咨询顾问的的资质要求、以及是否有三方的责任条款。同时关注公司领导层对ERP系统实施的期望和目标是否太高，是否有足够的重视程度。对系统选型，主要应关注系统选择是否经过科学的分析，是否能满足企业的业务特点。同时对软件厂商的实力进行分析，看是否存在破产、被并购的风险，对软件合同的审查，主要关注是否有避免相关风险的条款，如：软件厂商被并购或破产。对于咨询公司的选择，审计人员应主要关注咨询公司以往的业绩，是否曾经成功实施过类似的项目，实施的效果如何；关注咨询合同条款中对咨询顾问的资历要求是否能满足项目实施的需要，以及咨询顾问的工期计划是否能按时完成，以及实施成本是否可控等方面。一定要注意成本与工期的规定，尽量签订总价咨询合同，避免出现窝工的情况。对于领导层的观念及重视程度，审计人员应该从客观的角度进行分析，并提出自己的意见和建议，客观的分析系统实施后的效果和作用。

2.2项目实施阶段

ERP项目的实施阶段包括很多步骤，包括项目的评估、设计、构建及系统上线等步骤，这一阶段也是系统从开始规划到最终付诸实施的关键阶段，是ERP系统的成功应用和推广的基础。在项目计划阶段，审计人员主要应该关注实施ERP项目的组织机构是够建立，参与系统实施的我方人员的知识结构是否合理，咨询公司的顾问资历是够足够，项目的计划是够详细，是否得到项目管理层的审批等。审计人员还应该重点关注系统规划中的软硬件情况，以及ERP系统的安全防卫措施规划等方面。在项目评估阶段，审计人员主要应该关注项目组是否在企业进行了业务调研，业务调研的范围是否覆盖了公司的主要业务，调研的问卷是否清晰，是否保存完整，新设计的业务流程是否经过项目筹备组以及最终用户的审查，最终用户是否签字确认，业务流程是否融入了企业的内部控制措施。业务需求的调研结果将最终决定ERP实施完成后所能达到的效果，所以对这个阶段的审计应重点关注调研情况，并关注项目组所做的蓝图，是否能符合公司的战略发展目标。在项目设计阶段，审计人员主要关注初始化配置文档是否完整，是否有版本号；客户化开发是否有项目筹备组的批准，开发文档是否保存完整，开发是否必要；系统的主数据编码（如部门编码、人员编码、物料编码等）是否经讨论，是否考虑了系统以后扩展的需求；ERP系统的安装文档是否保存，安装的数据库是否符合规划，是否有相应的数据备份容错措施等。这里重点关注的应该是客户化开发，ERP系统一般允许用户进行报告、报表的客户化开发，但对于改变系统设计理念的开发，是绝对禁止的，因为这样改动之后的系统，会很不稳定，增加维护的成本，而且以后系统也很难进行版本的升级或更新。在系统构建阶段，审计人员主要应关注测试案例是否覆盖了企业的业务，是否与实际业务相符，用户是否在UAT测试案例上签字，问题是否清晰反映，项目组是否对存在的问题进行了更正，用户手册的编写是否清晰、完整。这里应重点关注UAT测试，这是ERP系统交付给最终用户使用之前的最后一次检验，只用顺利的通过了UAT测试，系统才能交付上线。在系统上线阶段，审计人员应该主要关注用户是否对迁入系统的历史数据进行了核对，ERP系统输出的报告、报表是否与原系统数据一致，不一致的原因是什么，项目组是否对用户进行了培训，人员培训是否有反馈等。在这里重点应该关注历史数据的问题，因为ERP系统维护过程中，有很大一部分原因是历史数据迁入的不准确造成的，对此审计人员应该给与关注。当然培训也非常重要，最终用户的熟练使用，是ERP系统成功的基本条件。

2.3项目并行阶段

为了对新上线的ERP系统进行检验，一般都需要ERP系统与原系统同时使用一段时间，这也是系统实施过程中的保险措施。在这一阶段，审计人员主要应该关注并行的期间是否过长，并行的数据是否一致，不一致数据的原因是否得到分析；系统是否有最终验收报告，报告是否经过筹备组、项目组的审查签字，是否。

2.4项目维护阶段

ERP系统完成实施、交付使用之后，并不是万事大吉了，还需要日常的维护，才能保证系统的正常运行。在这一阶段，审计人员应该主要关注维护组内部的控制制度是否完备，对系统的更改是否有复核及验证措施；用户的口令和权限是否经过申请和审批，相关的申请是否存档；用户的口令是否有定期更改的要求，有无安全的规定，如要求字母和数字组合等；对用户提出的问题反应是否及时，问题是否已经得到解决；系统中设定的审批流程是否符合公司的内控制度，审批流程是否得到了遵守；是否组织了用户的培训，培训的效果如何等方面的问题。

3开展ERP实施过程中审计的注意事项

ERP系统不同于其他企业办公软件，是基于流程式管理思想来设计的，同时技术上强调功能的集成性和数据的一致性。对ERP系统进行审计，还应该要注意以下的问题：

3.1责任的划分

审计人员在ERP系统实施过程中，应着重关注项目实施过程中的风险，从审计专业的角度对相关风险提出审计建议，而不是负责系统的实施过程，也就不应该负担系统实施成功或失败的责任。

3.2审计人员的构成

开展信息系统审计，不仅需要有懂得审计知识的审计人员，还需要有信息人员和业务人员的参与。由于ERP系统是一个集成化的系统，本身不仅仅是一个业务处理系统，还是具有相当的管理思想和一定的计算机知识，所以在考虑审计组组成时，一定要有业务人员和信息人员的参与。

3.3开展审计的方式

ERP系统的审计工作，审计人员应该是全程参与的。在系统的前期和实施阶段，应该主要采用参与项目组各种会议、讨论，审查项目提交的各种配置参数、主数据资料，提出审计建议的方式进行，尽量避免由于开展系统审计工作影响到项目的实施。在系统维护期，应该主要采取定期进行全面检查的审计方式进行，这样能从系统的整体上进行检查，能及时发现存在的问题。伴随着企业信息化，ERP系统的实施已经在各个企业内部大规模的开始展开，针对ERP系统的审计工作已经开始提上审计部门的工作日程，相信经过项目组和审计人员的共同努力，可以保证ERP项目获得成功。但由于信息系统审计在中国还是内部审计领域比较新的课题，笔者也只是是根据自己ERP系统的实施经验及审计的经验，对如何开展ERP系统实施过程中的审计工作做了一个简单的探讨，因为时间关系，文中的方法和观点也都值得商榷，希望能起到各位专家的批评和指正。

参考文献

[1]张金城,李庭燎.ERP系统的风险与审计[J].中国管理信息化,2016,19(19):37-38.

[2]杨慧.ERP系统实施对审计师决策的影响研究[D].

[3]赵刚,孙开陌.怎样开展ERP建设项目审计[J].财会学习,2006(4):62-62

作者：李宏伟 单位：中国石油技术开发有限公司