关注ERP审计

victor_yang

看了各位关于ERP审计的贴子，说得都很好，可以借鉴。

从审计角度看ERP，要区别于具体业务人员、ERP项目成员、ERP顾问和项目监理，审计是以第三方的独立的来审查：1、是否有控制措施；2、这些措施是否适当；3、是否得到有效遵循或执行；4、是否存在管理风险，当然审计有自己的一套流程和方法。之所以要区别，审计不是业务人员或IT人员，也不是顾问或监理，不从事任何具体业务活动，而是对这些控制过程的再控制、再审核，其标准就是制度规范、行业标准或最佳实践、以及有关法律法规。

我认为ERP审计包括三方面：ERP实施审计、ERP系统审计和ERP应用审计，分别如下：
    ERP实施审计重点针对ERP实施项目，主要评审项目的进度、质量、成本、风险是否得到有效规划和执行，绩效如何，是否存在改善空间；
    ERP系统审计重点针对ERP系统本身，主要是系统的安全性、可靠性、可用性，也就是信息安全的部分，甚至涉及到网络及用户计算机方面；
    ERP应用审计重点针对ERP建设完成后的业务应用情况，主要包括目标业务流程的遵循情况、控制的有效性和遵从性、业务风险评估、应用效果评估等。

ERP审计无疑是对审计师的新挑战，对人员素质的要求也是非常的高。欢迎各位审计同行、IT同行和ERP顾问共同探讨，共同认识。错误之处也多多指正。

juvenzeng

提供一些资料，供大家参考。
前面有一帖子提到了Approva，我理解Approva更加侧重于ERP系统的审计，提供的材料里（ACL产品）更加侧重于基于ERP的业务方面的审计。两者缺一不可，SIEMENS就同时采用了这两个产品进行审计工作。

ERP审计确实对审计人员要求非常高，开始的时候IT部门会提供协助，但是后面更多的事情还是要依靠审计部门本身。

jeff_wu

楼上在ACL啊? 以前试图自学ACL，当然，没想达到专家级别，但发现ACL挺难学的，不是很用户友好。就放弃了。

ACL的卖点就是有审计线索，以及数据倒入后不能再修改。但是为了这个特点就牺牲用户友好性，挺可惜的。我碰到一个ERP软件，如果要做DATA LEVEL VALIDATION，第一选择肯定是直接从DB里抓数，写几句SQL比写ACL SCRIPT省下的时间和精力可多不少。

另外，ACL早该做产品、行业解决方案了。我们公司自己就有用ACL写好的SAP, ORACLE ERP审计脚本，也有看SAP DIRECT DATA ACCESS相关风险的工具，不过对使用者要求太高。 要是ACL早作产品和行业方案，可能推广会更快些。

ANYWAY，楼上SHARE的资料，简单说了一下ACL通过SAP DIRECT DATA ACCESS实现AUTOMATED TESTING/REPORTING和持续审计，学习一下。如果能从设计角度更深入介绍SAP的权限审计、配置审计、BASIS安全审计等在ACL的实现方法，就更好些。 谢谢！

mzgcareer

看过各位的发言，获益不少。本来凭我的微薄知识，实在不敢献丑，但还是忍不住。

我现在在一个公司的内审部门做it审计——刚过来。个人觉得：

内部审计可分为业务审计（当然也包括财务审计）和IS审计。
就ERP（已经实施完）审计而言，IS审计与之前信息系统审计相差不大，主要关注安全、控制、信息系统环境等与IT信息资产相关的审计，除此以外，当然也会涉及包括erp系统的权限、end user对erp使用情况等方面。

而业务审计主要是对公司运用erp后的业务流程进行审计。至于业务审计是计算机辅助审计还是像传统一样进行手工审计，那只是审计的手段不一样而已。但是，计算机辅助审计就目前来看毕竟是一种趋势，提高审计效率，降低审计风险的一个工具。

计算机辅助审计：
就我了解，使用计算机审计比较多，使用效果比较好的应该是政府审计人员，现在的政府审计人员不光是对审计应用软件掌握的比较好，很多对sql语句、多维分析、数据挖掘等技术都是非常纯熟。当然，这归功于近几年红红火火的金审工程。

就计算机工具而言，目前社会上流行的国内审计软件主要偏重于财务审计，而有的审计软件在某个行业拓展开来，业务审计做得不错，却在数据量处理方面有所缺陷。俺以为，做得比较好的审计软件应该是财务审计、业务审计、以及能够对大数据量进行有效审计的软件（这样的软件，可能针对某个行业进行有针对性的开发会更加理想）。
因为，使用sap、oracle ebs等软件的公司，我相信数据量一般来说不会少。
目前来说，很多审计人员进行审计时这么安排：财务数据审计使用审计软件（说实话，国内审计软件对财务审计确实做得挺不错），业务数据（针对数据量大的情况）审计使用数据分析、数据挖掘等BI工具（如sas，ms ssas等）。当然，很多时候，我们可以将财务数据和业务数据都导入到分析软件中，这样我们可以对财务数据和业务数据进行对比进行分析。如：业务收入应该跟我的主营业务收入的变化趋势大致一致，主营业务收入与主营业务成本的变化趋势基本一致等等。

大家也讨论了将erp数据采集到我们的审计软件中，大家不要以为数据采集是一个非常非常困难的事。其实，进行数据采集时，工具很简单，主要难在对数据进行分析上（如果有了数据字典，我想这事容易很多）

再讨论下审计分工。我想一个公司的IT审计应该不是简单的IS审计，他还有义务带动大家一起进行业务审计，当然是使用计算机软件。而有的工作普通审计人员不好做时，这就需要你这个it审计了，比如数据采集。如果一个it审计只是做is审计，大家可能觉得也没啥意思。另外，大家也不要把对erp软件的业务流程审计都归于it审计，如果这样，累死了，而且所有业务流程都进行审计，那其他审计人员还要来干嘛？

我来到这个公司做内审，了解到我们的人员对计算机仅限于word和excel，而领导很希望我能够将计算机知识带给审计人员，让我们的审计水平提升一个台阶————难啊！


——————加油

不正确之处，大家批啊。

听说四大的审计人员在it审计方面有很多独到之处，请指教。为了中国的it审计，大家共同研究

bacchusluo

数据分析的确是个大工程，也是个肥肉，我们这里还专门成立了几十个人的team做数据分析，用SAS，然后卖分析报告，呵呵。

xrlsy

用SAS？牛人，没有统计功底，没有编程功底，这玩意不是那么容易摆弄的噢。

mzgcareer

不要把SAS想得太难，作为应用，为什么一定要去编程呢？每个人都去编程，那软件公司吃啥？也并不一定要有多么强的统计功底，只要懂业务，有点统驭规划方面的能力就能够掌握了， 基本都是group by，sum，count 的东西。step by step, 入门以后努力学习自然就好了

mzgcareer

不要把SAS想得太难，作为应用，为什么一定要去编程呢？每个人都去编程，那软件公司吃啥？也并不一定要有多么强的统计功底，只要懂业务，有点统驭规划方面的能力就能够掌握了， 基本都是group by，sum，count 的东西。step by step, 入门以后努力学习自然就好了

mzgcareer

不要把SAS想得太难，作为应用，为什么一定要去编程呢？每个人都去编程，那软件公司吃啥？也并不一定要有多么强的统计功底，只要懂业务，有点统驭规划方面的能力就能够掌握了， 基本都是group by，sum，count 的东西。step by step, 入门以后努力学习自然就好了

mzgcareer

你们公司很聪明嘛！真正的服务咨询就应该是结合业务，运用工具，把客户想要（有时他也不知道想要什么，待你抛砖引玉）又很难实现的东西show给他看