专家答疑之ERP系统审计

专家答疑之ERP系统审计

【 信息化】    对ERP系统进行必要的审计，已经被越来越多的企业所采纳。

ERP系统耗资巨大，承载着企业几乎全部的关键业务，因此，如何确保ERP系统按照运营需求正常运转，成为众多企业非常关注的问题之一。一些企业把审计从财务延伸到了ERP，开始尝试对ERP系统进行审计。CIO INSIGHT记者采访了金花集团审计部副部长徐海涛，与他就ERP系统审计的相关话题进行了交流。

CIOI：为什么要对ERP系统进行审计?

徐海涛：虽然ERP软件的成功实施能给企业带来信息和管理上的优势，然而若有不慎也可能带来各种负面效应。若是能很好发挥内部审计的功能，将能极大促进ERP的实施，尤其是在风险管理方面。ERP的实施会在很短的时间内变动程序、组织结构和技术，这样会带来风险，从而需要进行风险管理审计。

同时，内部审计部门在风险和控制方面的专长可帮助决策者决定ERP是否合理以及哪个软件更合适。另外，内部审计师应询问项目经理要实施的计划，通过对计划的充分审计可达到三个目的：首先，它可以促进有关负责人员在某个特定时间来准备一个更详细的计划;其次，它可以使内部审计师直接改善ERP实施中的质量;另外，内部审计师的报告也可以给更高管理层提供一个工具来了解实施计划中的优点和缺陷，这一报告也可以给管理层在实施ERP过程中提供一个基石，使实施小组各负其责，而不是在事后再寻找原因。

对ERP系统的审计，一般会从哪些方面展开?

大体来讲，主要包括业务流程、关键控制点、系统监控和风险管理这四个方面。当然，这其中的每个方面都包含很多内容。

对业务流程的风险管理审计大体包括以下几个方面：应该在系统中运行的业务是否全部通过系统运行;信息是否及时录入系统;录入的信息是否真实、准确;系统运行是否正确，有无系统错误;流程是否通畅，有无缺陷或舞弊的可能，能否进行进一步的优化;识别、评价和应对流程风险的效果等。

对关键控制点的内部审计主要关注以下问题：是否对关键控制点进行了识别，识别是否全面;是否建立了关键控制点的风险评价体系;是否建立了关键控制点的预警机制和应对机制;关键控制点的识别、评价、预警和应对机制的适应性和有效性如何;控制方法和手段是否可进一步优化;有无控制不严或失控的现象和可能等。

我们有必要对系统监控的风险管理进行内部审计，审查和评价企业及其下属单位是否利用ERP系统进行了业务和绩效的动态监控、监控点及其风险如何识别和评价、监控的权威性及其效果如何、发现问题的处理方式以及应对风险的效果如何、有无监控盲区或监控不力的区域和监控结果的利用情况如何等。

对风险管理的内部审计。企业实施ERP以后， ERP已成为企业的生命线，风险可能造成的损失将更加巨大。企业为了防范和降低风险，必须加大风险管理的内部审计力度。

那么，从您对ERP系统审计的结果来看，一般会审计出哪些问题呢?

第一，旧的管理统计工作主要做信息的采集、汇总、统计与传递，而这些工作都由ERP取代了，但由于新的职能定位或新的管理规则不健全，使得手工统计工作仍处于企业信息管理的重要位置。

二是ERP的业务流程是根据物流、资金流来设计业务流程的，而旧的业务流程是按专业部门设计业务流程的。由于在信息采集、共享方面未建立整体的管理规则，导致ERP业务流程长期得不到切换。这样会出现旧的业务流程与ERP管理流程并行运作，新技术不断与传统的东西发生冲突，“ERP不符合厂情”就会逐渐被人所接受。

三是旧的管理模式是面向“结果管理”的管理，即生产部门向车间下达生产命令，由车间组织生产，生产部门仅关心每日的成品生产完成数量，而生产过程由车间负责。

除了ERP系统之外，你是否认为对于全部的信息系统都需要进行审计?

任何系统都是用来收集加工处理数据信息的，这些信息的准确完整和及时与否都决定着用户的决策定制和应用效果。信息的质量决定系统的效果，所以我认为完全有必要对于全部的信息系统进行审计。