關(guān)于ERP審計(jì)的幾點(diǎn)意見

來源: 編輯： 2009/07/22 17:06:06　　字體：大小

　　要澄清的幾個(gè)ERP審計(jì)的觀念：

　　1.ERP審計(jì)不是ERP測(cè)試，測(cè)試是系統(tǒng)測(cè)試員應(yīng)該干的事情。

　　2.ERP審計(jì)不只是信息系統(tǒng)安全審計(jì)，信息系統(tǒng)審計(jì)只是ERP的外圍審計(jì)。

　　3.ERP審計(jì)也不是傳統(tǒng)的業(yè)務(wù)審計(jì)，它有其獨(dú)特的業(yè)務(wù)電子化的特點(diǎn)。

　　4.ERP審計(jì)是將業(yè)務(wù)和電子化集成起來的一種全方位全新的審計(jì)。

　　ERP審計(jì)的必要性：

　　1.成熟的ERP產(chǎn)品（如SAP，Oracle，IFS，UF，Kingdee等）都存在著流程/權(quán)限漏洞，所以法國(guó)興業(yè)銀行的交易員可以繞過系統(tǒng)的控制造成重大的損失。這還是我們假設(shè)其沒有系統(tǒng)錯(cuò)誤造成的漏洞（其實(shí)這個(gè)假設(shè)也不成立，MS給了我們生動(dòng)的例子）。

　　2.成熟產(chǎn)品的二次開發(fā)，幾乎所有的大企業(yè)所購(gòu)買的ERP產(chǎn)品都會(huì)有二次開發(fā)，這其中就會(huì)出現(xiàn)程序錯(cuò)誤和系統(tǒng)設(shè)計(jì)漏洞。

　　自主開發(fā)的ERP系統(tǒng)則存在以上系統(tǒng)存在的所有漏洞。

　　一個(gè)合格的ERP審計(jì)人員應(yīng)該具備的知識(shí)和技能：

　　1.熟悉軟件開發(fā)流程和軟件開發(fā)的特點(diǎn)?？梢灾滥男┦擒浖到y(tǒng)容易忽視或易出錯(cuò)的地方。

　　2.熟悉ERP原理，熟悉ERP的架構(gòu)。可以知道ERP是如何實(shí)現(xiàn)業(yè)務(wù)流程，哪些業(yè)務(wù)流程的實(shí)現(xiàn)是ERP難以做到的。

　　3.熟悉軟件編程。了解程序員有哪些小伎倆來設(shè)置后門程序。

　　4.精通數(shù)據(jù)庫(kù)管理。有了這種能力才能取得第一手的審計(jì)數(shù)據(jù)資料。

　　5.熟悉審計(jì)知識(shí)和流程，知道如何取證，分析和報(bào)告。

　　幾個(gè)ERP審計(jì)中要注意的地方（其實(shí)很多，在這里只是略舉幾例）：

　　1.單據(jù)月結(jié)的日期是單據(jù)日期還是輸入日期，是否發(fā)生月結(jié)后還有當(dāng)月單據(jù)仍未輸入？

　　2.輸入錯(cuò)誤的單據(jù)如何在系統(tǒng)中修改？如果是月結(jié)前的單據(jù)又是如何處理的？

　　3.BOM變化前后產(chǎn)品的成本是如何體現(xiàn)？相應(yīng)的原材料供應(yīng)和采購(gòu)計(jì)劃如何變動(dòng)？