關(guān)于ERP審計的幾點(diǎn)意見

來源: 編輯： 2009/07/22 17:06:06　　字體：大小

　　要澄清的幾個ERP審計的觀念：

　　1.ERP審計不是ERP測試，測試是系統(tǒng)測試員應(yīng)該干的事情。

　　2.ERP審計不只是信息系統(tǒng)安全審計，信息系統(tǒng)審計只是ERP的外圍審計。

　　3.ERP審計也不是傳統(tǒng)的業(yè)務(wù)審計，它有其獨(dú)特的業(yè)務(wù)電子化的特點(diǎn)。

　　4.ERP審計是將業(yè)務(wù)和電子化集成起來的一種全方位全新的審計。

　　ERP審計的必要性：

　　1.成熟的ERP產(chǎn)品（如SAP，Oracle，IFS，UF，Kingdee等）都存在著流程/權(quán)限漏洞，所以法國興業(yè)銀行的交易員可以繞過系統(tǒng)的控制造成重大的損失。這還是我們假設(shè)其沒有系統(tǒng)錯誤造成的漏洞（其實(shí)這個假設(shè)也不成立，MS給了我們生動的例子）。

　　2.成熟產(chǎn)品的二次開發(fā)，幾乎所有的大企業(yè)所購買的ERP產(chǎn)品都會有二次開發(fā)，這其中就會出現(xiàn)程序錯誤和系統(tǒng)設(shè)計漏洞。

　　自主開發(fā)的ERP系統(tǒng)則存在以上系統(tǒng)存在的所有漏洞。

　　一個合格的ERP審計人員應(yīng)該具備的知識和技能：

　　1.熟悉軟件開發(fā)流程和軟件開發(fā)的特點(diǎn)?？梢灾滥男┦擒浖到y(tǒng)容易忽視或易出錯的地方。

　　2.熟悉ERP原理，熟悉ERP的架構(gòu)?？梢灾繣RP是如何實(shí)現(xiàn)業(yè)務(wù)流程，哪些業(yè)務(wù)流程的實(shí)現(xiàn)是ERP難以做到的。

　　3.熟悉軟件編程。了解程序員有哪些小伎倆來設(shè)置后門程序。

　　4.精通數(shù)據(jù)庫管理。有了這種能力才能取得第一手的審計數(shù)據(jù)資料。

　　5.熟悉審計知識和流程，知道如何取證，分析和報告。

　　幾個ERP審計中要注意的地方（其實(shí)很多，在這里只是略舉幾例）：

　　1.單據(jù)月結(jié)的日期是單據(jù)日期還是輸入日期，是否發(fā)生月結(jié)后還有當(dāng)月單據(jù)仍未輸入？

　　2.輸入錯誤的單據(jù)如何在系統(tǒng)中修改？如果是月結(jié)前的單據(jù)又是如何處理的？

　　3.BOM變化前后產(chǎn)品的成本是如何體現(xiàn)？相應(yīng)的原材料供應(yīng)和采購計劃如何變動？