运用ERP系统开展内审信息化建设

张秋伦

摘要：ERP系统的开发关系着公司经营的成败，也给审计工作提出了新挑战。统筹系统的开发、控制、维护是保证上线成功的关键。

关键词：系统开发；风险管理；内审信息化

中图分类号：D9

文献标识码：A

文章编号：1672—3198（2014）10—0166—02

审计信息化包括以信息技术为手段开展审计工作，和以信息系统为对象开展审计业务两个方面，既是实现内部审计转型的一项重要使命，又是开展以风险控制为导向管理审计的重要支撑，对审计工作的程序、管理，审计人员的思维方式和自身素质都提出了新要求。我公司通过实施内部审计信息化建设，不仅提高了审计工作的效率，还实现了防护关口的前移。总结开展信息化审计的经验，主要有以下几点：

1领导重视，统筹规划，建立ERP系统的风险管理体制

信息化建设的实施，使信息传递存储方式由纸质转为电磁，内部控制形式由制度控制转变为制度控制和程序控制相结合，呈现透明度共享度高，输入分散的特点，在优化流程提高效率的同时，也面临着病毒攻击、黑客入侵、数据泄密、系统瘫痪等运行风险。为准确地识别、评估、防范公司ERP系统运行中面临的风险，顺利推进公司管理信息化，集团成立了由总经理任组长的专项工作组，抽调审计、财务、信息中心的业务骨干组成ERP专项工作组，对系统的上线进行统筹布局。工作组依据公司的战略目标规划信息系统，控制政策程序经审计评估、董事会批准后实施，布局上充分粘合公司生产经营的特点，并方便审计工作的开展，主要做法如下：

1.1预置审计程序，将审计信息化纳入风险管理范畴统一管控

为控制信息系统固有风险，公司在信息化建设过程中始终坚持效益性、实用性、开放性原则，将审计信息化纳入企业风险的整体框架进行设定，在资源配置、流程优化、协作配合中提升审计信息化的战略地位，通过预置审计程序，统一数据结构，接入审计接口，解决了信息化环境下内部审计可视线索消失、数据结构不统一、审计工作取数难的困扰，为审计工作的顺利开展保留了清晰的审计线索。

1.2开展风险审计，发挥防护功效

信息系统开发中，信息化专项工作组主动审计部意见，如期完成了ERP系统的上线。ERP系统上线审计，我们主要关注了以下风险：

（1）计划阶段。目的是否明确，是否准确描述了系统的效果，是否明确了系统开发的组织，对整体计划进程预计是否正确，计划能否随经营环境改变而修正，计划是否制定有可行性报告，关于计划的过程和结果是否有文档记录等。

（2）开发阶段。A分析控制：是否己分析公司的组织结构；是否确定用户功能和性能需求；是否确定用户的数据需求。B设计控制：界面是否方便用户使用；设计是否与业务内容相符；性能能否满足需要，是否考虑故障对策和安全保护等。C编程控制：是否有程序说明书，并按照说明书编写，并与设计相符；有无违背编程原则；程序是否按要求测试；编程的书写、变量的命名是否规范。D测试控制：测试数据的选取是否按计划及需要进行，是否具有代表性；测试是否站在公正客观的立场进行，是否有用户参与；结果是否正确记录。

（3）运行阶段。A输入控制：是否制定并遵守输入管理规则，是否有数据生成顺序、处理等的防错、保护措施、防错、保护措施是否有效等。B通信系统控制：是否制定并遵守通信规则，对网络存取控制及监控是否有效等。C处理过程控制：数据处理实现的目的，系统处理的差错率，平均无故障时间，可恢复性和平均恢复时间等。D数据库控制：对数据的存取控制及监视是否有效，是否记录数据利用状况，并定期分析，是否考虑数据的保护功能，防错、保密功能是否有效。E输出控制：输出信息的获取及处理时是否有防止不正当行为和机密保护措施，输出信息是否准确、及时，输出信息的形式是否被客户所接受，是否记录输出出错情况并定期分析等。

（4）维护阶段。维护是否建有计划，得到授权；是否对发现问题作了修正，记录是否完整，旧系统的废除是否经过审批。

通过分析，输入评价指标，建立模型，实现对系统风险的防范。

1.3优化业务流程

配合ERP系统上线，公司对原来的组织机构和业务流程进行了重组，传统的需要几步或几个部门完成的工作，在EPR中利用统一的数据库和集成的信息系统一次就可以完成。

1.4严把信息来源

随着对信息系统和数据驱动的自动化决策系统及程序依赖性增加，数据的可靠性风险逐步增大，能否输出正确的数据，不仅取决于处理程序正确与否，更取决于录入数据是否正确。为提高信息质量，公司根据六西格玛的系统改善方法论，将管理信息化分解为数据来源信息化、过程信息化、管理信息化，通过已接口系统完整性系数、管理系统功能完备性系数对信息质量进行管理，对信息的获取、维护和分配实施严格控制，严把数据输入关，明确数据来源的控制主体和责任人并实施考核。此外，结合公司经营特点，重点对库房和销售数据细化考核，从源头上杜绝虚假数据的产生。

2强化信息化环境下内部控制环境、控制程序审计

ERP系统是按照计算机数据处理系统组织起来的，记账、算账、报账全部由计算机自动完成，控制的重点是人机交互处理过程和计算机系统业务处理过程。数据处理的集中性导致传统的组织控制功能弱化，必须结合ERP系统的特点，对信息系统环境下的岗位设置、职责划分开展评估，以保证关键业务领域、业务活动经过授权且安全有效，防范原手工作业环境下审计可视线索消失带来的风险。主要措施如下：

2.1开展信息管理制度审计

公司所有生产经营指令全部依靠信息系统发出和传递，一旦系统停止运转或黑客入侵，将会造成经营中断、机密外泄，损失不可估量。因此我们把制度的制定和执行作为重点，定期检查并向高管层通报检查结果。制度审计主要关注以下环节：（1）人员岗位责任制制定、执行及考核情况，如：财务部应按系统管理员、电算审查员、系统输入员、系统审核员等进行岗位划分和考核。（2）安全保密制度，包括口令密码的使用和管理办法，机房、保卫、数据资料安全等；（3）硬件设备的操作管理制度，操作过程应遵守的流程和注意事项；（4）数据管理制度，包括数据输入、输出、存储、查询、使用等；（5）电子会计档案管理制度，包括范围、期限、保管办法、借阅领用手续；（6）系统维护制度，包括系统维护的申请、审批、实施等。通过审查确定信息管理制度制定的完善程度和实际执行情况，有无有章不循、越级越权现象，出现异常情况时，系统能否拒绝执行错误指令并报警。

2.2重视ERP系统中的一般控制审计

一般控制是对系统中组织、开发、操作、管理等系统运行环境所进行的控制，通常以制定规章制度、网络安全软件和程序控制形式体现，重点关注以下内容：系统平台结构的合理与规范，是否具有多层防范黑客或病毒侵扰的措施，在数据接收与发送方面是否具备防止非法窃取、篡改措施，有无密码、密锁、签名认证技术确保数据的安全，有无备用系统保证原系统在硬件物理损坏的情况下正常运行，有无备用能源保证在主动力系统异常状态下系统正常运行。

2.3加强ERP系统中的应用控制审计

应用控制是对信息系统某一具体处理过程施加的控制，主要以程序形式体现。审计时，我们在对系统—般控制做出评价的基础上，通过读原程序、模拟数据上机测试、上机处理实际业务等方式测试系统的安全性，控制程序的正确性和有效性。如对会计模块的审计主要包括业务系统及接口程序，主要检查信息处理的准确、及时、完整、可靠性，查看是否具有容错、纠错、控制能力，处理过程及方法是否符合制度法规要求，接口程序审查重点关注数据来源的合法性，有无篡改删除痕迹。

通过对上述审计，对薄弱环节提出了改进意见，保证了公司信息系统开发运行的稳定可靠。

3以资金、预算为主线，全面监督公司的生产经营和资本运作

资金是公司所有资产中流动性最强、风险最大的资产，为实现资金安全管理，审计组将预算植入ERP系统，通过程序控制预算外资金的支付和使用，严控费用支出，并安排审计人员实施在线监控，依托资金这条主线，实时把控资本运作、生产经营的重要环节，从采购、销售、回款、费用报销、理财等方面监督评价产、供、销环节集成互动和资本运作的效果，审核每一笔资金的进出是否符合预算要求，是否履行规定的审批手续，贯彻落实国网公司的三集五大精神，实现权力的集中监控、资源的集中配置、信息的集中共享，从认识和行动上都和上级部门保持高度一致，避免资金运作风险和自传行为发生。