|
|
最初由 bacchusluo 发布
[B]IT audit如果做到transaction很deep的层次,那是否已经近乎financial audit's substantive testing了?同时,如果不是主要关注control,而是看具体设置,那么和erp consulting有什么区别?(当然,大的区别还是有,至少不是从零开始) [/B]
IT audit 分很多小领域的, 借用PwC的概念,大概分为以下几类:
1. IT Governance, control & security
Focus on the high-level IT management, strategy, governance
2. Pre & Post implementation assurance for IT project
To ensure IT project on the right track and mitigate associated project risks.
3. ERP assurance
To ensure that ERP, including system, process and related technology, is in compliance with company and, if any, legal requirement.
4. Data assurance
To ensure transaction data is valid, complete, accurate...
5. 3rd-party assurance
To provide independent 3rd-party assurance when needed,
你提到的transaction level, 一般归在data assurance类,不外乎用CAATs分析/处理海量数据,如果是在事务所里,我觉得可以算substantive testing了。
ERP里的可配置参数,可以同时达到两类目的,一类是在系统中实现企业业务流程; 另一类,也是大多数ERP顾问想到比较少的,就是实现系统层面的管理控制。 后一类我举两个例解释。 以采购收货为例,无论是SAP, ORACLE, JDE, BPCS都有Tolerance 设置。如果采购收货与采购订单不匹配,差异超过一定限制就不允许收货, 或者需要进一步审批。 有些企业没有设置torelance, 经审批的采购订单可以超量收货,那采购审批有什么意义? 从这个角度看,tolerance的设置可以一定程度上限制采购人员对审批控制的override。 另一个例子, ERP都是各模块集成,业务操作会自动产生财务记录, 这些都是在系统中预设好的,审计ERP系统的时候,就要检查这些设置,保证系统产生的财务凭证是正确的。 这样,在一定程度上为财务审计提供了支持。
可以说ERP consulting和ERP auditing有很多共同之处,比如都要看流程,都要懂ERP产品, 但是偏重不一样。 ERPC 看重用技术实现企业流程,提高效率。而ERPA则考虑利用技术加强对流程的控制,降低风险。一高一低,管理之道也。 |
|
楼主: 降龙十八掌
IP卡
狗仔卡
发表于 2006-9-12 11:22
显身卡
