張秋倫

摘要：ERP系統(tǒng)的開發(fā)關(guān)系著公司經(jīng)營的成敗，也給審計工作提出了新挑戰(zhàn)。統(tǒng)籌系統(tǒng)的開發(fā)、控制、維護是保證上線成功的關(guān)鍵。

關(guān)鍵詞：系統(tǒng)開發(fā)；風(fēng)險管理；內(nèi)審信息化

中圖分類號：D9

文獻標(biāo)識碼：A

文章編號：1672—3198（2014）10—0166—02

審計信息化包括以信息技術(shù)為手段開展審計工作，和以信息系統(tǒng)為對象開展審計業(yè)務(wù)兩個方面，既是實現(xiàn)內(nèi)部審計轉(zhuǎn)型的一項重要使命，又是開展以風(fēng)險控制為導(dǎo)向管理審計的重要支撐，對審計工作的程序、管理，審計人員的思維方式和自身素質(zhì)都提出了新要求。我公司通過實施內(nèi)部審計信息化建設(shè)，不僅提高了審計工作的效率，還實現(xiàn)了防護關(guān)口的前移。總結(jié)開展信息化審計的經(jīng)驗，主要有以下幾點：

1領(lǐng)導(dǎo)重視，統(tǒng)籌規(guī)劃，建立ERP系統(tǒng)的風(fēng)險管理體制

信息化建設(shè)的實施，使信息傳遞存儲方式由紙質(zhì)轉(zhuǎn)為電磁，內(nèi)部控制形式由制度控制轉(zhuǎn)變?yōu)橹贫瓤刂坪统绦蚩刂葡嘟Y(jié)合，呈現(xiàn)透明度共享度高，輸入分散的特點，在優(yōu)化流程提高效率的同時，也面臨著病毒攻擊、黑客入侵、數(shù)據(jù)泄密、系統(tǒng)癱瘓等運行風(fēng)險。為準(zhǔn)確地識別、評估、防范公司ERP系統(tǒng)運行中面臨的風(fēng)險，順利推進公司管理信息化，集團成立了由總經(jīng)理任組長的專項工作組，抽調(diào)審計、財務(wù)、信息中心的業(yè)務(wù)骨干組成ERP專項工作組，對系統(tǒng)的上線進行統(tǒng)籌布局。工作組依據(jù)公司的戰(zhàn)略目標(biāo)規(guī)劃信息系統(tǒng)，控制政策程序經(jīng)審計評估、董事會批準(zhǔn)后實施，布局上充分粘合公司生產(chǎn)經(jīng)營的特點，并方便審計工作的開展，主要做法如下：

1.1預(yù)置審計程序，將審計信息化納入風(fēng)險管理范疇統(tǒng)一管控

為控制信息系統(tǒng)固有風(fēng)險，公司在信息化建設(shè)過程中始終堅持效益性、實用性、開放性原則，將審計信息化納入企業(yè)風(fēng)險的整體框架進行設(shè)定，在資源配置、流程優(yōu)化、協(xié)作配合中提升審計信息化的戰(zhàn)略地位，通過預(yù)置審計程序，統(tǒng)一數(shù)據(jù)結(jié)構(gòu)，接入審計接口，解決了信息化環(huán)境下內(nèi)部審計可視線索消失、數(shù)據(jù)結(jié)構(gòu)不統(tǒng)一、審計工作取數(shù)難的困擾，為審計工作的順利開展保留了清晰的審計線索。

1.2開展風(fēng)險審計，發(fā)揮防護功效

信息系統(tǒng)開發(fā)中，信息化專項工作組主動審計部意見，如期完成了ERP系統(tǒng)的上線。ERP系統(tǒng)上線審計，我們主要關(guān)注了以下風(fēng)險：

（1）計劃階段。目的是否明確，是否準(zhǔn)確描述了系統(tǒng)的效果，是否明確了系統(tǒng)開發(fā)的組織，對整體計劃進程預(yù)計是否正確，計劃能否隨經(jīng)營環(huán)境改變而修正，計劃是否制定有可行性報告，關(guān)于計劃的過程和結(jié)果是否有文檔記錄等。

（2）開發(fā)階段。A分析控制：是否己分析公司的組織結(jié)構(gòu)；是否確定用戶功能和性能需求；是否確定用戶的數(shù)據(jù)需求。B設(shè)計控制：界面是否方便用戶使用；設(shè)計是否與業(yè)務(wù)內(nèi)容相符；性能能否滿足需要，是否考慮故障對策和安全保護等。C編程控制：是否有程序說明書，并按照說明書編寫，并與設(shè)計相符；有無違背編程原則；程序是否按要求測試；編程的書寫、變量的命名是否規(guī)范。D測試控制：測試數(shù)據(jù)的選取是否按計劃及需要進行，是否具有代表性；測試是否站在公正客觀的立場進行，是否有用戶參與；結(jié)果是否正確記錄。

（3）運行階段。A輸入控制：是否制定并遵守輸入管理規(guī)則，是否有數(shù)據(jù)生成順序、處理等的防錯、保護措施、防錯、保護措施是否有效等。B通信系統(tǒng)控制：是否制定并遵守通信規(guī)則，對網(wǎng)絡(luò)存取控制及監(jiān)控是否有效等。C處理過程控制：數(shù)據(jù)處理實現(xiàn)的目的，系統(tǒng)處理的差錯率，平均無故障時間，可恢復(fù)性和平均恢復(fù)時間等。D數(shù)據(jù)庫控制：對數(shù)據(jù)的存取控制及監(jiān)視是否有效，是否記錄數(shù)據(jù)利用狀況，并定期分析，是否考慮數(shù)據(jù)的保護功能，防錯、保密功能是否有效。E輸出控制：輸出信息的獲取及處理時是否有防止不正當(dāng)行為和機密保護措施，輸出信息是否準(zhǔn)確、及時，輸出信息的形式是否被客戶所接受，是否記錄輸出出錯情況并定期分析等。

（4）維護階段。維護是否建有計劃，得到授權(quán)；是否對發(fā)現(xiàn)問題作了修正，記錄是否完整，舊系統(tǒng)的廢除是否經(jīng)過審批。

通過分析，輸入評價指標(biāo)，建立模型，實現(xiàn)對系統(tǒng)風(fēng)險的防范。

1.3優(yōu)化業(yè)務(wù)流程

配合ERP系統(tǒng)上線，公司對原來的組織機構(gòu)和業(yè)務(wù)流程進行了重組，傳統(tǒng)的需要幾步或幾個部門完成的工作，在EPR中利用統(tǒng)一的數(shù)據(jù)庫和集成的信息系統(tǒng)一次就可以完成。

1.4嚴(yán)把信息來源

隨著對信息系統(tǒng)和數(shù)據(jù)驅(qū)動的自動化決策系統(tǒng)及程序依賴性增加，數(shù)據(jù)的可靠性風(fēng)險逐步增大，能否輸出正確的數(shù)據(jù)，不僅取決于處理程序正確與否，更取決于錄入數(shù)據(jù)是否正確。為提高信息質(zhì)量，公司根據(jù)六西格瑪?shù)南到y(tǒng)改善方法論，將管理信息化分解為數(shù)據(jù)來源信息化、過程信息化、管理信息化，通過已接口系統(tǒng)完整性系數(shù)、管理系統(tǒng)功能完備性系數(shù)對信息質(zhì)量進行管理，對信息的獲取、維護和分配實施嚴(yán)格控制，嚴(yán)把數(shù)據(jù)輸入關(guān)，明確數(shù)據(jù)來源的控制主體和責(zé)任人并實施考核。此外，結(jié)合公司經(jīng)營特點，重點對庫房和銷售數(shù)據(jù)細(xì)化考核，從源頭上杜絕虛假數(shù)據(jù)的產(chǎn)生。

2強化信息化環(huán)境下內(nèi)部控制環(huán)境、控制程序?qū)徲?/p>

ERP系統(tǒng)是按照計算機數(shù)據(jù)處理系統(tǒng)組織起來的，記賬、算賬、報賬全部由計算機自動完成，控制的重點是人機交互處理過程和計算機系統(tǒng)業(yè)務(wù)處理過程。數(shù)據(jù)處理的集中性導(dǎo)致傳統(tǒng)的組織控制功能弱化，必須結(jié)合ERP系統(tǒng)的特點，對信息系統(tǒng)環(huán)境下的崗位設(shè)置、職責(zé)劃分開展評估，以保證關(guān)鍵業(yè)務(wù)領(lǐng)域、業(yè)務(wù)活動經(jīng)過授權(quán)且安全有效，防范原手工作業(yè)環(huán)境下審計可視線索消失帶來的風(fēng)險。主要措施如下：

2.1開展信息管理制度審計

公司所有生產(chǎn)經(jīng)營指令全部依靠信息系統(tǒng)發(fā)出和傳遞，一旦系統(tǒng)停止運轉(zhuǎn)或黑客入侵，將會造成經(jīng)營中斷、機密外泄，損失不可估量。因此我們把制度的制定和執(zhí)行作為重點，定期檢查并向高管層通報檢查結(jié)果。制度審計主要關(guān)注以下環(huán)節(jié)：（1）人員崗位責(zé)任制制定、執(zhí)行及考核情況，如：財務(wù)部應(yīng)按系統(tǒng)管理員、電算審查員、系統(tǒng)輸入員、系統(tǒng)審核員等進行崗位劃分和考核。（2）安全保密制度，包括口令密碼的使用和管理辦法，機房、保衛(wèi)、數(shù)據(jù)資料安全等；（3）硬件設(shè)備的操作管理制度，操作過程應(yīng)遵守的流程和注意事項；（4）數(shù)據(jù)管理制度，包括數(shù)據(jù)輸入、輸出、存儲、查詢、使用等；（5）電子會計檔案管理制度，包括范圍、期限、保管辦法、借閱領(lǐng)用手續(xù)；（6）系統(tǒng)維護制度，包括系統(tǒng)維護的申請、審批、實施等。通過審查確定信息管理制度制定的完善程度和實際執(zhí)行情況，有無有章不循、越級越權(quán)現(xiàn)象，出現(xiàn)異常情況時，系統(tǒng)能否拒絕執(zhí)行錯誤指令并報警。

2.2重視ERP系統(tǒng)中的一般控制審計

一般控制是對系統(tǒng)中組織、開發(fā)、操作、管理等系統(tǒng)運行環(huán)境所進行的控制，通常以制定規(guī)章制度、網(wǎng)絡(luò)安全軟件和程序控制形式體現(xiàn)，重點關(guān)注以下內(nèi)容：系統(tǒng)平臺結(jié)構(gòu)的合理與規(guī)范，是否具有多層防范黑客或病毒侵?jǐn)_的措施，在數(shù)據(jù)接收與發(fā)送方面是否具備防止非法竊取、篡改措施，有無密碼、密鎖、簽名認(rèn)證技術(shù)確保數(shù)據(jù)的安全，有無備用系統(tǒng)保證原系統(tǒng)在硬件物理損壞的情況下正常運行，有無備用能源保證在主動力系統(tǒng)異常狀態(tài)下系統(tǒng)正常運行。

2.3加強ERP系統(tǒng)中的應(yīng)用控制審計

應(yīng)用控制是對信息系統(tǒng)某一具體處理過程施加的控制，主要以程序形式體現(xiàn)。審計時，我們在對系統(tǒng)—般控制做出評價的基礎(chǔ)上，通過讀原程序、模擬數(shù)據(jù)上機測試、上機處理實際業(yè)務(wù)等方式測試系統(tǒng)的安全性，控制程序的正確性和有效性。如對會計模塊的審計主要包括業(yè)務(wù)系統(tǒng)及接口程序，主要檢查信息處理的準(zhǔn)確、及時、完整、可靠性，查看是否具有容錯、糾錯、控制能力，處理過程及方法是否符合制度法規(guī)要求，接口程序?qū)彶橹攸c關(guān)注數(shù)據(jù)來源的合法性，有無篡改刪除痕跡。

通過對上述審計，對薄弱環(huán)節(jié)提出了改進意見，保證了公司信息系統(tǒng)開發(fā)運行的穩(wěn)定可靠。

3以資金、預(yù)算為主線，全面監(jiān)督公司的生產(chǎn)經(jīng)營和資本運作

資金是公司所有資產(chǎn)中流動性最強、風(fēng)險最大的資產(chǎn)，為實現(xiàn)資金安全管理，審計組將預(yù)算植入ERP系統(tǒng)，通過程序控制預(yù)算外資金的支付和使用，嚴(yán)控費用支出，并安排審計人員實施在線監(jiān)控，依托資金這條主線，實時把控資本運作、生產(chǎn)經(jīng)營的重要環(huán)節(jié)，從采購、銷售、回款、費用報銷、理財?shù)确矫姹O(jiān)督評價產(chǎn)、供、銷環(huán)節(jié)集成互動和資本運作的效果，審核每一筆資金的進出是否符合預(yù)算要求，是否履行規(guī)定的審批手續(xù)，貫徹落實國網(wǎng)公司的三集五大精神，實現(xiàn)權(quán)力的集中監(jiān)控、資源的集中配置、信息的集中共享，從認(rèn)識和行動上都和上級部門保持高度一致，避免資金運作風(fēng)險和自傳行為發(fā)生。